*nix 和 Windows 可以使用哪些工具或技术来帮助查找 LAN 上的其他人是否正在使用嗅探器?
话虽如此,并强烈考虑到有工具可以发现这种“现象”,不被嗅探的解决方法是什么?
AskOverflow.Dev
*nix 和 Windows 可以使用哪些工具或技术来帮助查找 LAN 上的其他人是否正在使用嗅探器?
话虽如此,并强烈考虑到有工具可以发现这种“现象”,不被嗅探的解决方法是什么?
检测嗅探器非常困难,因为它们是被动工作的。一些嗅探器确实会产生少量流量,因此有一些技术可以检测它们。
有一些工具可以实现这些技术,例如开源工具,如Neped和ARP Watch或用于 Windows 的AntiSniff,这是一种商业工具。
如果您想防止嗅探,最好的方法是对任何网络活动(SSH、https 等)使用加密。通过这种方式,嗅探器可以读取流量,但数据对他们来说毫无意义。
数据包嗅探是一种被动活动,通常无法判断是否有人在嗅探您的网络。但是,为了让有线、交换 LAN 上的某人看到不只是发往或来自其 IP(或广播到网络/子网)的流量,他们需要访问复制所有流量的受监控/镜像端口,或在网关上安装“水龙头”。
对嗅探的最佳防御是体面的端到端加密,以及对敏感硬件的物理控制。
编辑:CPM、Neped 和 AntiSniff 现在已经过时了 10-15 年……想想 Linux 内核 <2.2 或 Windows NT4。如果有人可以使用水龙头或镜子,通常很难检测到。操纵 ARP 或 DNS 可能是最好的选择,但这远非确定无疑。
(我相信)您可以嗅探交换 LAN 上所有流量的唯一方法是使用“中间人”攻击。你基本上是做 ARP 中毒,窃取每个人的数据包,然后读取它们并将它们发送到正确的计算机。
可能有多种工具可以做到这一点,我只知道一个:
Ettercap既可以执行 Mitm 攻击,也可以在其他人执行此操作时检测到一个。
社会工程是另一种方法。设置一个蜜罐 root/admin 帐户或其他一些诱人的目标,以明文方式广播其密码并查看您的日志。
有一种简单的方法可以检测大多数嗅探器。在网络上放置两个不在 DNS 中且不用于其他任何东西的盒子。让他们定期 ping 或以其他方式相互通信。
现在,监视您的网络以查找任何 DNS 查找和/或针对其 IP 的 ARP 请求。默认情况下,许多嗅探器会查找他们找到的任何地址,因此在这些设备上的任何查找都将是一个可靠的警告。
一个聪明的黑客可以关闭这些查找,但许多人不会想到,这肯定会减慢他的速度。
现在,如果他足够聪明,不会启用 DNS 查找,并阻止这些设备的任何 ARP,那么您的任务就会困难得多。此时,您应该在网络始终被嗅探的理念下工作,并制定主动程序以防止在此假设下可能出现的任何漏洞。其中包括:
Wireshark 是监控网络流量的绝佳工具。它会查找名称以匹配 IP 地址,从 MAC 地址中查找制造商等。当然,您可以看到它执行这些查询,然后您就知道它正在运行。
当然,你可以关闭这些东西然后不被检测到。还有其他旨在故意不被发现的程序。所以这只是在尝试回答这个问题时需要考虑的事情。
唯一可靠的方法是检查子网上的每个设备。
有一些工具,例如nmap,但不能保证它们能正常工作,而且被动水龙头不会泄露它们的存在。
最好的方法是假设您的网络或多或少是公开的并使用加密。以应用程序为基础 - SSH、HTTPS IMAPS 等,或通过 VPN 隧道传输所有流量
在我的脑海中,我会看到为主机接收更多数据和/或发送的数据少于平均水平的接口切换 SNMP 接口数据。寻找任何一个标准偏差之外的任何东西,你可能会发现人们最有可能做他们不应该做的事情。
它可能不仅仅是嗅探器,可能会找到狂热的 hulu/netflix 观察者。
您的交换机/路由器也可能具有监视和捕捉试图毒化 arp 表的人的功能,这也是一个相当大的赠品。
集线器(或真正的旧网络设置,如 Thinnet/Thicknet)始终通过网络传输所有数据。任何插入的人都会看到他们本地网段上的每个数据包。如果您将网卡设置为混杂模式(读取所有数据包,而不仅仅是直接发送给您的数据包)并运行数据包捕获程序,您可以看到发生的一切,嗅探密码等。
交换机像老式网络桥一样运行——它们只将流量传输到一个端口,如果它是 a) 广播 b) 以该设备为目的地
交换机维护一个缓存,指示哪些 MAC 地址在哪个端口上(有时会有集线器或交换机以菊花链形式连接到端口)。交换机不会将所有流量复制到所有端口。
高端交换机(用于商业用途)可能具有特殊端口(跨度或管理),可配置为复制所有流量。IT 部门使用这些端口来监控流量(合法嗅探)。检测未经授权的嗅探应该很容易——去看看交换机,看看是否有任何东西插入该端口。