it-swarm-vi.com

Làm thế nào để biết rằng a NIC đang ở chế độ bừa bãi trên mạng LAN?

Làm thế nào để biết rằng a NIC đang ở chế độ bừa bãi trên mạng LAN?

30
LanceBaynes

Kiểm tra DNS - nhiều công cụ đánh hơi gói thực hiện địa chỉ IP để tra cứu tên để cung cấp tên DNS thay cho địa chỉ IP. Để kiểm tra điều này, bạn phải đặt card mạng của mình vào chế độ lăng nhăng và gửi các gói ra mạng nhằm vào các máy chủ không có thật. Nếu bất kỳ tìm kiếm tên nào từ các máy chủ không có thật được nhìn thấy, một trình thám thính có thể đang hoạt động trên Máy chủ thực hiện việc tra cứu.

Kiểm tra ARP - Khi ở chế độ bừa bãi, trình điều khiển cho card mạng kiểm tra địa chỉ MAC là của card mạng cho các gói tin unicast, nhưng chỉ kiểm tra octet đầu tiên của địa chỉ MAC so với giá trị 0xff xác định xem gói tin có được phát sóng hay không. Lưu ý rằng địa chỉ cho gói tin quảng bá là ff: ff: ff: ff: ff: ff. Để kiểm tra lỗ hổng này, nếu bạn gửi một gói có địa chỉ MAC là ff: 00: 00: 00: 00: 00 và địa chỉ IP đích chính xác của Máy chủ. Sau khi nhận được gói, HĐH Microsoft sử dụng trình điều khiển bị lỗi sẽ phản hồi trong khi ở chế độ lăng nhăng. Có lẽ nó xảy ra chỉ với trình điều khiển MS mặc định.

Kiểm tra Ether Ping - Trong các nhân Linux cũ hơn khi card mạng được đặt ở chế độ lăng nhăng, mọi gói tin được chuyển đến HĐH. Một số hạt nhân Linux chỉ nhìn vào địa chỉ IP trong các gói để xác định xem chúng có nên được xử lý hay không. Để kiểm tra lỗ hổng này, bạn phải gửi một gói có địa chỉ MAC không có thật và địa chỉ IP hợp lệ. Các nhân Linux dễ bị tổn thương với các card mạng của họ ở chế độ lăng nhăng chỉ nhìn vào địa chỉ IP hợp lệ. Để nhận được phản hồi, một thông báo yêu cầu tiếng vang ICMP được gửi trong gói không có thật dẫn đến các máy chủ dễ bị tổn thương trong chế độ lăng nhăng để phản hồi.

Có thể có nhiều hơn, kiểm tra DNS đối với tôi là đáng tin cậy nhất

33
VP.

@vp đưa ra lý thuyết, tôi sẽ đưa ra một số công cụ.

Để sử dụng trong các hệ thống Linux:

  • SniffDet: Bài kiểm tra này sử dụng 4 bài kiểm tra khác nhau: bài kiểm tra ICMP, bài kiểm tra ARP; Kiểm tra DNS và cũng là kiểm tra LATENCY (mà VP01 không đề cập). Công cụ này được cập nhật gần đây và tôi khuyên bạn nên dùng nó.

Cũng thế:

  • nmap: Có một tập lệnh NSE cho nmap được gọi là sniffer-phát hiện.nse thực hiện điều đó.
  • nast : Nó phát hiện các PC khác ở chế độ lăng nhăng bằng cách thực hiện kiểm tra ARP.
  • ptool : Có kiểm tra ARP và ICMP không. Cam kết cuối cùng là vào năm 2009 .

Đối với hệ thống Windows:

  • Cain & Abel có thể thực hiện quét bừa bãi bằng nhiều loại xét nghiệm ARP.
  • Promqry và PromqryUI Các công cụ của Microsoft cho mục đích này cũng vậy, nhưng tôi không thực sự chắc chắn về cách chúng hoạt động.

Đối với các kỹ thuật phát hiện chung, cũng có một kỹ thuật khác, được gọi là phát hiện honeypot. Chi tiết về kiểm tra độ trễ và kỹ thuật honeypot có thể được tìm thấy trong sniffdet's tài liệ .

25
john
15
Jon Bringhurst

Mặc dù không phải lúc nào cũng có thể xác định được liệu mạng cục bộ có đang đánh hơi một cách bừa bãi lưu lượng truy cập mạng cục bộ hay không - có thể xảy ra sự cố hầu hết hoặc tất cả các ứng dụng chụp gói làm như vậy.

Hãy xem Samy http://samy.pl/killmon.pl script để biết điểm bắt đầu. Nhận ra rằng hầu hết các ứng dụng hoạt động trong năm 2011 đều dễ bị tấn công do sự cố DoS, ngay cả khi sự cố không dễ bị vi phạm truy cập bộ nhớ (hoặc ngoại lệ đọc/ghi dẫn đến tràn bộ đệm).

2
atdre

Tôi tin rằng có một công cụ đáng tin cậy phát hiện điều này bằng cách xem xét sự khác biệt về thời gian phản hồi ping. Công cụ này sẽ gửi ping và đồng thời gửi một số lượng lớn ping đến cùng một địa chỉ IP nhưng với một địa chỉ MAC khác nhau.

Công cụ này hoạt động vì các thẻ ở chế độ lăng nhăng sẽ trả lại tất cả lưu lượng truy cập cho CPU, do đó khi có nhiều gói tin vào CPU, điều này sẽ làm chậm phản ứng với ping chính hãng. Một thẻ ở chế độ bình thường sẽ bỏ qua tất cả các gói có địa chỉ MAC khác nhau nên sẽ không có sự khác biệt về thời gian phản hồi.

Ai đó chèn tên của công cụ

2
Stuart