Détection des renifleurs de réseau

Vue d'ensemble

Un renifleur de paquets est un programme ou un dispositif qui espionne le trafic réseau et recueille des données de paquets. Parfois, l'écoute électronique sont effectuées par l'administrateur réseau à des fins bénéfiques (comme la détection des intrusions, analyse de la performance, etc.) D'autre part, les intrus malveillant peut installer renifleurs de paquets afin de récupérer en texte clair nom d'utilisateur et mots de passe depuis le réseau local ou d'autres informations essentielles transmises sur le réseau. protocoles vulnérables (avec mots de passe en texte clair) comprennent: telnet, pop3, imap, ftp, smtp-auth et nntp. Renifleurs de travail parce ethernet a été conçu pour être partagé. La plupart des réseaux utilisent la technologie de radiodiffusion - Messages pour un ordinateur peut être lu par un autre ordinateur sur ce réseau. Dans la pratique, les ordinateurs ignorer les messages, sauf ceux qui étaient envoyés directement à eux (ou de diffuser à tous les hôtes sur le réseau). Toutefois, les ordinateurs peuvent être mis en mode promiscuous et fait d'accepter des messages, même si elles ne sont pas conçus pour eux - c'est ainsi que fonctionne un renifleur.

Les gens pensent que les ordinateurs connectés à un commutateur sont sûrs de renifler - mais ce n'est pas vraiment le cas. Les ordinateurs connectés à des commutateurs sont tout aussi vulnérables que celles de "renifleurs" connecté à un concentrateur.

Comment fonctionne un renifleur

Un ordinateur connecté à un réseau local dispose de 2 adresses - l'une est l'adresse MAC qui identifie de façon unique chaque nœud dans un réseau et qui est stocké sur la carte réseau. L'adresse MAC est utilisé par le protocole ethernet lorsque les cadres de construction pour transférer des données. L'autre est l'adresse IP, qui est utilisé par les applications. La couche liaison de données (couche 2 du modèle OSI) utilise un en-tête Ethernet avec l'adresse MAC de la machine de destination. La couche réseau (couche 3 du modèle OSI) est responsable de la cartographie des adresses de réseau IP à l'adresse MAC comme l'exige le Protocole de liaison de données. Layer 3 tentatives de look-up de l'adresse MAC de la machine de destination dans un tableau, appelé le cache ARP. Si aucune entrée MAC est trouvée pour l'adresse IP, le protocole de résolution d'adresse émissions un paquet de requête ARP (demande) pour toutes les machines sur le réseau. La machine avec cette adresse IP répond à la machine source avec son adresse MAC. Cette adresse MAC obtient alors ajouté à la source machines cache ARP. Cette adresse MAC est ensuite utilisé par la machine source dans toutes ses communications avec la machine de destination.

Il existe deux types de base des environnements Ethernet - commuté et partagé. Dans un environnement Ethernet partagé tous les hôtes sont connectés au même bus et en concurrence avec une autre pour la bande passante. Dans un tel environnement paquets destinés à une machine, sont reçues par toutes les autres machines. Tous les ordinateurs sur le réseau Ethernet partagé comparer destination de la trame adresse MAC avec les leurs. Si les deux ne correspondent pas, le cadre est calme au rebut. Une machine à tourner un sniffeur enfreint cette règle et accepte toutes les images. Une telle machine est dit avoir été mis en mode promiscuous et peut effectivement écouter tout le trafic sur le réseau. Sniffing dans un environnement Ethernet partagé est passive et, par conséquent, difficiles à détecter.

Dans un environnement commuté les hôtes sont connectés à un commutateur au lieu d'un hub. Le commutateur maintient une table qui garde la trace de l'adresse MAC de chaque ordinateur et le port physique sur l'interrupteur pour que cette adresse MAC est connecté. Le commutateur est un dispositif intelligent qui envoie des paquets que l'ordinateur de destination. En conséquence, le processus de mise une machine en mode promiscuous pour rassembler des paquets ne fonctionne pas. Toutefois, cela ne signifie pas que les réseaux commutés sont sécurisés et ne peuvent pas être reniflé.

Bien que d'un commutateur est plus sûr que d'un concentrateur, vous pouvez utiliser les méthodes suivantes pour renifler sur un commutateur:

· ARP Spoofing - L'ARP est apatride, qui est, vous pouvez envoyer une réponse ARP, même si aucun n'a pas été demandé, et une telle réponse ne sera acceptée. Par exemple, une technique consiste à ARP Spoof la passerelle du réseau. Le cache ARP du serveur cible va maintenant avoir une mauvaise entrée de la passerelle et l'on dit être empoisonné. A partir de là, tout le trafic destiné à la passerelle passe par le renifleur de la machine. Un autre truc qui peut être utilisé est d'empoisonner le cache ARP d'un hôte par réglage de l'adresse MAC de la passerelle à FF: FF: FF: FF: FF: FF (également connu sous le nom de diffusion MAC).

· Mac inondations - Commutateurs garder une table de traduction des adresses MAC des cartes de ports physiques sur le commutateur. Cela leur permet de router les paquets intelligemment d'un hôte à un autre. Le commutateur dispose d'une quantité limitée de mémoire pour ce travail. inondations MAC fait usage de cette limitation de bombarder un commutateur avec des adresses MAC faux jusqu'à ce que le commutateur ne peut pas tenir. Le commutateur entre alors dans ce qui est connu comme un mode `failopen, à quel point il commence à agir comme une plaque tournante de radiodiffusion par paquets pour toutes les machines sur le réseau. Une fois que cela arrive sniffing peut être effectuée facilement.

Détection des renifleurs sur le réseau

Un renifleur est généralement passive - il recueille seulement des données - et il est particulièrement difficile à détecter lors de l'exécution dans un environnement Ethernet partagé. Toutefois, il est facile de détecter un sniffer installé sur un réseau commuté. Lorsqu'il est installé sur un ordinateur un "sniffer" génère une petite quantité de trafic - qui permet la détection en utilisant les types de techniques:

· Ping méthode - une requête ping est envoyé avec l'adresse IP de la machine suspect, mais non son adresse MAC. Idéalement, personne ne devrait voir ce paquet que chaque carte Ethernet rejeter car elle ne correspond pas à son adresse MAC. Mais si la machine est en marche suspect un sniffer il répondra, car il accepte tous les paquets.

· ARP - Cette méthode repose sur le fait tous les ARP machines cache (ie les adresses MAC). Ici, nous envoyons un non-diffusion ARP machines alors uniquement en mode promiscuous cache ARP notre adresse. Ensuite, nous envoyons un paquet ping de broadcast avec notre propriété intellectuelle, mais une adresse MAC différente. Seule une machine qui a notre adresse MAC de la trame ARP reniflé sera en mesure de répondre à notre demande ping de broadcast.

· Sur l'hôte local - si une machine a été compromise un hacker peut-être laissé une course renifleurs. Il existe des programmes d'utilité qui peut être exécuté que si le rapport carte réseau de l'ordinateur local a été mis en mode promiscuous.

Latence · Méthode - est basé sur l'hypothèse la plus renifleurs faire une sorte de l'analyse, ce qui augmente la charge sur cette machine. Par conséquent, il faudra du temps supplémentaire pour répondre à un paquet ping. Cette différence de temps de réponse peut être utilisé comme un indicateur de savoir si une machine est en mode promiscuous ou non.

· ARP Watch - pour empêcher un pirate de l 'ARP spoofing la passerelle il existe des utilitaires qui peuvent être utilisés pour surveiller le cache ARP d'une machine pour voir si il ya double emploi pour une machine.

Comment protéger contre le sniffing

La meilleure façon de sécuriser un réseau contre le sniffing est d'utiliser le cryptage. Bien que cela n'empêchera pas renifleurs de fonctionnement, il assurera les données recueillies par les sniffeurs est non interprétable. En outre, sur un réseau commuté, les chances sont ARP spoofing sera utilisé pour renifler fins. La machine que le pirate sera probablement ARP-spoof est la passerelle par défaut. Pour éviter cela, il est suggéré l'adresse MAC de la passerelle en permanence ajoutée à chaque hôte le cache ARP.

Autres suggestions:

· Utilisez SSH au lieu de telnet.

· Utiliser HTTPS au lieu de HTTP (si le site prend en charge).

· Si préoccupé par la confidentialité des courriels, essayez un service tel que Hushmail (www.hushmail.com), qui utilise le protocole SSL pour garantir que les données ne sont pas lues en transit. En outre, Pretty Good Privacy (www.gnupg.org) peut être utilisé pour chiffrer et signer les e-mails pour empêcher d'autres de les lire.

· Employer un sniffer détecteur. Par exemple, le logiciel PromiScan est considéré comme le standard outil de capture et de détection de nœud est recommandé par le SANS (SysAdmin, Audit, Network, Security) Institute. Il s'agit d'un dossier de demande de surveiller à distance les ordinateurs sur les réseaux locaux de localiser les interfaces réseau fonctionnant en mode promiscuous.

cet article est traduisé en francais
l'origine de cet article (en anglai): http://ezinearticles.com/?Detecting-Network-Sniffers&id=648410