Архив форумов ЦИТФорума

[AntonD]

Как можно определить, работает ли в сети анализатор трафика (на чьем либо компьютере)?

[and3008]

Пассивный анализатор невозможно обнаружить ничем.
Да и сама природа Ethernet продполагает прослушивание трафика на предмет наличия пауз.

Если интересует защита от прослушки, то либо используйте зашифрованные соединения (VPN, SSL) либо используйте системы ограничения трафика (коммутаторы с VLAN или роутеры, они же маршрутизаторы).

[bss]

Пассивный анализатор невозможно обнаружить ничем.
Не совсем верно!
В некоторых случаях можно обнаружить работу снифера в сети

по крайней мере года три назад я знал способ
как обнаружить снифер работающий под линуксом
возможно на новых ядрах это уже не работает давно не пробовал.

если надо расскажу попозже счас некогда

[and3008]

Имеем сеть на хабах. Топология Ethernet на витой паре.
Когда комп передает пакет - его принимают ВСЕ компы. Обрабатывают только те, кому он предназначен. Сниферы ловят и обрабатывают все пакеты.

Перефразирую для непонятливых:
Едете вы в автобусе, разговариваете. Все вас слышат.
Внимание вопрос: как определить, кто из пассажиров записывает (не важно как) весь ваш разговор?

Ответ:
Никак. Боитесь, чтоб вас не слышали - говорите на другом языке (этакий VPN) или говорите в специательную трубочку, через которую фразы слышит только ваш собеседник (этакий свитч).

[bss]

Все правильно! Никто не спорит! Обнаружить работающий снифер сложно.
Мне известно два спрсоба:
1) Я сам опробовал когда-то давно на каком-то старом ядре линукс.
запускаешь снифер
интерфейс переводится в промиск режим
затем на другом компутере делаешь в в арп таблице статическую запись с ип-адресом интерфейса линукс и каким-нибудь левым мак-адресом
затем делаешь пинг ип-адрес интерфейса линукс
по хорошему ответа быть не должно но поскольку интерфейс в промиск режиме то получишь ответ
говорят также этот способ работает на вин98 но сам не проверял

2)пишешь прогу которая рассылает кучу мелких пакетов с левыми мак-адресами
сетевые адаптеры работающие в обычном режиме эти пакеты игнорируют а вот запущенный снифер их все хавает
нагрузку в сегменте надо создать близкую к пиковой

а затем сидишь и делаешь пинг всех рабочих станций
те которые отвечают очень быстро значит с ними все в порядке а вот та которая с задержкой на ней как раз и может работать снифер

[Andy_user]

Прошу прощения, в чем-то повторю пост "bss".
Есть 3 основных способа распознать promiscuous режим.
1. Особенности обработки разными ОС кадров Ethernet,содержащими IP пакты.
Например, некоторые ОС, находясь в режиме прослушивания, передают стеку IP пакет,
независимо от того, совпадает ли MAC получателя пакета с MAC сетевой карты.
Другие ОС в режиме прослушивания воспринимают MAC FF:00:00:00:00:00 как
широковещательный. Поэтому, послав ICMP Echo внутри неправильного пакета и
получив от него ответ, можно сделать предположение что работает Sniffer.
2. Можно предположить, что работающий Sniffer пытается узнать имя компьютера по
IP-адресу (обратное DNS-преобразование). Создаем пакеты с несуществующими IP
и слушаем сеть на предмет наличия DNS-запросов для этих IP.
3. При прослушивании обработка всех кадров ложится на программное обеспечение.
Замеряем время отклика в обычном режиме, затем наводняем сеть шквалом кадров,
напрвленных на несуществующие адреса, при этом продолжаем тестировать время отклика.
Если прослушивания нет - время отклика растет, но незначительно.
Если прослушивание имеет место быть - время отклика вырастет в разы (2-4 раза).