Encontre o Sniffer na LAN

É muito difícil detectar sniffers, porque eles funcionam passivamente . Alguns sniffers geram pequenas quantidades de tráfego e, por isso, existem algumas técnicas para detectá-los.

• Cache de máquinas ARPs (Protocolo de resolução de endereços). O envio de um ARP sem difusão, uma máquina em modo promíscuo (uma placa de rede que faz com que a placa passe todo o tráfego) armazenará em cache o seu endereço ARP. Então, enviando um pacote de ping de broadcast com nosso IP, mas um endereço MAC diferente. Somente uma máquina que tenha nosso endereço MAC correto do quadro ARP sniffed poderá responder à nossa solicitação de ping de difusão. Então, se a máquina está respondendo, deve estar farejando.
• A maioria dos sniffers faz algumas análises. Enviando uma quantidade enorme de dados e pingando a máquina suspeita antes e durante a inundação de dados. Se a placa de rede da máquina suspeita estiver no modo promíscuo, ela analisará os dados e aumentará a carga. Desta forma, leva algum tempo extra para responder ao ping. Esse pequeno atraso pode ser usado como um indicador de se uma máquina está farejando ou não. Isso poderia provocar alguns falsos positivos, se houvesse alguns atrasos "normais" na rede devido ao alto tráfego.
• O método a seguir é antigo e não é mais confiável: enviar uma solicitação de ping com o endereço IP da máquina suspeita, mas não seu endereço MAC. O ideal é que ninguém veja esse pacote, pois cada placa de rede rejeitará o ping, porque ele não corresponde ao seu endereço MAC. Se a máquina suspeita estiver farejando, ela responderá, pois não se incomoda em rejeitar pacotes com um endereço MAC de destino diferente.

Existem algumas ferramentas que implementam essas técnicas, por exemplo, ferramentas de código aberto como Neped e ARP Assista ou AntiSniff para o Windows, que é uma ferramenta comercial.

Se você quiser evitar sniffing, a melhor maneira é usar criptografia para qualquer atividade de rede (SSH, https etc.). Dessa forma, os sniffers podem ler o tráfego, mas os dados não farão sentido para eles.

O sniffing de pacotes é uma atividade passiva, geralmente não é possível dizer se alguém está cheirando sua rede. No entanto, para que alguém em uma LAN com fio e comutada veja o tráfego que não é destinado apenas para ou de seu IP (ou transmitido para a rede / sub-rede), ele precisa ter acesso a uma porta monitorada / espelhada que duplica todo o tráfego. ou instale um 'toque' no gateway.

A melhor defesa contra o sniffing é uma criptografia de ponta a ponta decente e controles físicos em hardware sensível.

Editar: CPM, Neped e AntiSniff agora estão 10-15 anos obsoletos ... Pense no kernel do Linux < 2.2 ou Windows NT4. Se alguém tiver acesso a um toque ou espelho, geralmente será muito difícil detectá-lo. Manipular ARP ou DNS é provavelmente a melhor aposta, mas está longe de ser uma certeza.

A (só acredito) maneira que você pode farejar todo o tráfego em uma LAN comutada é com um ataque de 'homem no meio'. Você basicamente faz envenenamento por ARP, roubando todos os pacotes, lendo-os e enviando-os para o computador certo depois.

Provavelmente, existem várias ferramentas que podem fazer isso, só sei de uma:

Ettercap pode realizar o ataque Mitm e detectar um quando alguém o estiver fazendo.

Engenharia social é a outra maneira de fazer isso. Configure uma conta raiz / admin do honeypot ou algum outro alvo tentador, transmita sua senha em modo claro e assista seus registros.

Existe uma maneira simples de detectar a maioria dos sniffers. Coloque duas caixas na rede que não estão no DNS e não são usadas para mais nada. Faça com que eles periodicamente façam ping ou se comuniquem entre si.

Agora, monitore sua rede em busca de DNS e / ou solicitações de ARP para seus IPs. Muitos sniffers procurarão, por padrão, todos os endereços encontrados e, portanto, qualquer pesquisa nesses dispositivos seria um aviso sólido.

Um hacker inteligente pode desativar essas pesquisas, mas muitas não pensariam em fazê-lo, o que definitivamente o atrasaria.

Agora, se ele for inteligente o suficiente para não ativar pesquisas de DNS e impedir qualquer ARP para esses dispositivos, sua tarefa será muito mais difícil. Neste ponto, você deve trabalhar sob a filosofia de que a rede está sempre sendo inspecionada e executar procedimentos proativos para evitar quaisquer vulnerabilidades que possam surgir sob essa suposição. Vários incluem:

1. Use uma rede totalmente comutada
2. Ligar as portas do switch aos endereços MAC
3. Proibir a ativação do modo promíscuo nas NICs (se possível em seu ambiente)
4. Use protocolos seguros

O Wireshark é uma ótima ferramenta para monitorar o tráfego da rede. E ele procurará nomes para combinar endereços IP, encontrar o fabricante a partir de um endereço MAC, etc. Naturalmente, você pode assisti-lo fazendo essas consultas e, então, sabe que está sendo executado.

Claro, você pode desativar essas coisas e não ser detectado. E há outros programas projetados para não serem detectados intencionalmente. Então, é apenas algo a considerar ao tentar responder a essa pergunta.

A única maneira segura de fazer isso é examinar cada um dos dispositivos na sub-rede.

Existem ferramentas, por ex. nmap , mas não há garantias de que eles funcionem e os toques passivos não traem a presença deles.

A melhor abordagem é assumir que sua rede é mais ou menos pública e usar criptografia. Seja em uma base de aplicativo - SSH, HTTPS IMAPS, etc, ou túnel todo o seu tráfego através de uma VPN

Na minha cabeça, eu observaria os dados da interface SNMP do switch para interfaces que um host está recebendo mais dados e / ou enviando menos dados que a média. Procure por qualquer coisa fora de um desvio padrão e provavelmente você encontrará as pessoas com maior probabilidade de estar fazendo algo que não deveriam.

Pode não ser apenas sniffers, mas sim encontrar observadores ávidos de hulu / netflix.

Seus switches / roteadores também podem ter recursos para vigiar e detectar pessoas que tentam envenenar tabelas arp, o que também seria uma grande vantagem.

Os hubs (ou configurações de rede realmente antigas, como Thinnet / Thicknet) transferem todos os dados pelo fio em todos os momentos. Qualquer um conectado veria cada pacote em seu segmento local. Se você definir sua placa de rede para o modo promíscuo (ler todos os pacotes, não apenas os enviados diretamente para você) e executar um programa de captura de pacotes, poderá ver tudo o que acontece, detectar senhas, etc.

Os switches operam como pontes de rede da velha escola - eles só transferem tráfego para uma porta se a) transmissão b) destinado a esse dispositivo

Os switches mantêm um cache indicando quais endereços MAC estão em qual porta (às vezes haverá um hub ou switch encadeado de uma porta). Os comutadores não replicam todo o tráfego para todas as portas.

Chaves finais mais avançadas (para uso comercial) podem ter portas especiais (Span ou Management) que podem ser configuradas para replicar todo o tráfego. Os departamentos de TI usam essas portas para monitorar o tráfego (legit sniffing). Detectar sniffing não autorizado deve ser fácil - vá ver o switch e veja se alguma coisa está conectada a essa porta.