Kysymys:
Kuinka saada selville, että verkkokortti on ristiriitaisessa tilassa lähiverkossa?
LanceBaynes
2011-05-07 02:24:24 UTC
view on stackexchange narkive permalink

Kuinka selvittää, että verkkokortti on ristiriitaisessa tilassa lähiverkossa?

Luultavasti parempi ehdokas superuser.com-sivustoon?
On myös syytä tarkastella verkon laitteistoa. Jos seuraat odottamattomia verkkolaitteita ja porttitapahtumia, sinun pitäisi pystyä näkemään, että nämä laitteet tulevat näkyviin.
Tietääkö kukaan myös tavan tehdä tämä wlanin kautta? En ymmärrä, kuinka se olisi mahdollista, ellei katselulaitetta pakoteta yhdistämään, mahdollisesti salauksen vuoksi.
On mahdollista luoda "vain vastaanotto" -kaapeli, jota joku käyttää laitteensa kanssa epäselvässä tilassa, jota ei olisi mahdollista havaita. http://www.infosecwriters.com/hhworld/hh9/roc/node3.html
Waybackmachine-linkki, koska alkuperäinen näyttää olevan poistettu: https://web.archive.org/web/20150415194325/http://www.infosecwriters.com/hhworld/hh9/roc/node3.html
Viisi vastused:
#1
+33
VP.
2011-05-07 02:40:43 UTC
view on stackexchange narkive permalink

DNS-testi - monet pakettien haistelutyökalut suorittavat IP-osoitteen nimihakuihin ja antavat DNS-nimet IP-osoitteiden sijaan. Tämän testaamiseksi sinun on asetettava verkkokorttisi epämääräiseen tilaan ja lähetettävä paketit verkkoon, jonka tarkoituksena on väärä isäntä. Jos näennäis isännöiltä näkyy nimihakuja, haukkoja voi olla toiminnassa hakuja suorittavalle isännälle.

ARP-testi - verkon ohjain on epäselvässä tilassa Kortti tarkistaa, että MAC-osoite on verkkokortin MAC-osoite unicast-paketeille, mutta tarkistaa vain MAC-osoitteen ensimmäisen oktetin arvoon 0xff sen määrittämiseksi, lähetetäänkö paketti vai ei. Huomaa, että lähetyspaketin osoite on ff: ff: ff: ff: ff: ff. Jos haluat testata tämän virheen, lähetä paketti, jonka MAC-osoite on ff: 00: 00: 00: 00: 00 ja isännän oikea IP-osoite. Saatuaan paketin, virheellistä ohjainta käyttävä Microsoft-käyttöjärjestelmä reagoi räikeässä tilassa. Todennäköisesti se tapahtuu vain MS-oletusohjaimen kanssa.

Ether Ping -testi - Vanhemmissa Linux-ytimissä, kun verkkokortti asetetaan lupaavaan tilaan, jokainen paketti välitetään käyttöjärjestelmälle. Jotkut Linux-ytimet katsoivat vain pakettien IP-osoitetta päättääkseen, pitäisikö niitä käsitellä vai ei. Tämän virheen testaamiseksi sinun on lähetettävä paketti, jossa on väärä MAC-osoite ja kelvollinen IP-osoite. Haavoittuvat Linux-ytimet, joissa verkkokorttinsa on epäselvä, tarkastelevat vain kelvollista IP-osoitetta. Vastauksen saamiseksi ICMP-kaikupyyntösanoma lähetetään väärässä paketissa, mikä johtaa haavoittuviin isäntiin epäselvässä tilassa vastaamaan.

Ehkä niitä on enemmän, DNS-testi on minulle luotettavin

#2
+25
john
2011-05-17 23:45:37 UTC
view on stackexchange narkive permalink

@vp antoi teorian, annan joitain työkaluja.

Käytettäväksi Linux-järjestelmissä:

  • SniffDet : Tässä testissä käytetään 4 erilaista testiä: ICMP-testi, ARP-testi; DNS-testi ja myös LATENCY-testi (jota VP01 ei maininnut). Työkalu on äskettäin päivitetty, ja suosittelen sitä.

Myös:

  • nmap : nmap: lle on NSE-komentosarja nimeltä sniffer-detect.nse, joka tekee juuri sen.
  • nast : Se tunnistaa muut tietokoneet epäselvässä tilassa tekemällä ARP-testi.
  • ptool : Testaa ARP ja ICMP. Viimeinen sitoutuminen oli vuonna 2009.

Windows-järjestelmät:

  • Cain & Abel voi röyhkeä skannaus, joka käyttää monenlaisia ​​ARP-testejä.
  • Promqry ja PromqryUI Microsoftin työkalut myös tähän tarkoitukseen, mutta en ole varma siitä, miten ne toimivat.

Mitä tulee yleisiin havaitsemismenetelmiin, on olemassa myös toinen, nimeltään hunajapotin tunnistus. Tiedot latenssitestistä ja hunajapotin tekniikasta löytyvät sniffdetin dokumentaatiosta.

mukava kohteliaisuus!
#3
+15
Jon Bringhurst
2011-05-18 09:09:11 UTC
view on stackexchange narkive permalink

Et voi taata, että pystyt havaitsemaan sen.

Esimerkiksi, voit helposti tehdä vain luku -lukuisen Ethernet-kaapelin silmukoimalla TX + (nasta 1) ja TX- ( nuusketun tietokoneen nasta 2), aseta sitten TX + (nasta 1) -asetukseksi RX + (nasta 3). Tällöin nuuskivan tietokoneen on mahdotonta vaikuttaa verkon dataliikenteeseen.

Voi olla mahdollista havaita jännitehäviö tai radiotaajuuspäästöt ( Van Eck -freaking), mutta en ole tietoinen mistään COTS-laitteistosta, joka havaitsisi sen.

Kiva. Ja tietysti on tapoja muokata snooping-järjestelmän kokoonpanoa tai ohjelmistoa estämään sitä lähettämästä myös paketteja. Esim. yksinkertaisen iptables-sääntöjoukon pitäisi tehdä se Linuxissa.
@nealmcv http://www.askapache.com/security/sniffing-on-ethernet-undetected.html
#4
+2
atdre
2011-05-23 19:36:32 UTC
view on stackexchange narkive permalink

Vaikka ei aina olisikaan mahdollista tunnistaa, hauko paikallinen verkko salamyhkäisesti paikallisverkkoliikennettä, voi olla mahdollista kaataa suurin osa tai kaikki pakettien sieppaussovellukset.

Katso Samyn http://samy.pl/killmon.pl komentosarja aloituspisteeksi. Ymmärrä, että useimmat vuonna 2011 toimivat sovellukset ovat alttiita ainakin DoS-kaatumishyökkäyksille, vaikka kaatuminen ei olisikaan haavoittuva muistin käyttöoikeusrikkomuksena (tai luku- / kirjoituspoikkeuksena, joka johtaa puskurin ylivuotoon).

#5
+2
Stuart
2011-05-25 13:45:06 UTC
view on stackexchange narkive permalink

Uskon, että on olemassa työkalu, joka havaitsee tämän luotettavasti tarkastelemalla ping-vasteaikojen eroa. Työkalu lähettää pingejä ja lähettää samanaikaisesti suuren määrän pingejä samaan IP-osoitteeseen, mutta eri MAC-osoitteilla.

Työkalu toimii, koska pilkkomattomassa tilassa olevat kortit palauttavat kaiken liikenteen keskusyksikköön siis kun prosessoria osuu paljon paketteja, tämä hidastaa vastausta aitoon pingiin. Normaalitilassa kortti jättää huomiotta kaikki paketit, joilla on eri MAC-osoitteet, joten vasteajassa ei olisi eroa.

Joku lisää työkalun nimen



Tämä Q & A käännettiin automaattisesti englanniksi.Alkuperäinen sisältö on saatavilla stackexchange-palvelussa, jota kiitämme cc by-sa 3.0-lisenssistä, jolla sitä jaetaan.
Loading...