promiscuous mód kiderítése

Security-all

Hogyan lehetne kideríteni azt, hogy egy adott subneten van-e olyan k*csög, aki promiscuous módban tartja a hálókártyáját, azért, hogy jelszavak után sniffeljen?

  • 2125 megtekintés

( Finder | 2010. 02. 03., sze – 23:06 )

Sehogy. De jól konfigurált switchelt hálózatban nem is gond.

( persicsb | 2010. 02. 03., sze – 23:14 )

Nem a subnet a lényeg, hanem a collision domain. Mivel a packet sniffing az adatkapcsolat-rétegbeli dolog, semmi köze az IP-k kiosztásához, sokkal inkább ahhoz, hogy az adott fizikai vivőn melyik host adatai mennek át. Ha csillagtopológiád van, akkor csak a switchek és routerek kapnak meg nem számukra szóló, hanem más felé továbbítandó adatot. De ott is csak az kapja meg akire tartozik. Ez vagy közvetlenül a célhost, vagy egy switch/router a célhost irányába, semmiképpen sem egy másik host, az hiába sniffel. Ez persze csak Ethernetre igaz, a WiFi más tészta teljesen.

( vl v | 2010. 02. 04., cs – 01:23 )

van egy "klasszikus" trükk, amivel buta tcp stackű gépekről kideríthető, ha promisc módban megy a kártyájuk.
az a lényeg, hogy úgy küldesz pinget a veled egy subnetben levő ip címekre úgy, hogy egy nem létező mac address-t adsz meg célként (tehát olyan mac address-t címzel, ami garantáltan nincs senkinél). ha erre valaki válaszol, akkor az csak úgy lehetséges, hogy a nem neki címzett csomagot elkapta, azaz promisc módban van a kártyája.

szerintem ha valaki fülel, attól még nem feltétlenül felel minden csomagra. főleg, hogy a témaindító arra gyanakszik, hogy jelszavak után kutat. gondolom ilyenkor csak a saját arp-táblájában lévő címek között megy a tárol-továbbít eljárás. persze lehet, hogy nincs igazam, nem ismerem ezeket a módszereket...

szerk: hogy hozzá is tegyek valami szellemi terméket, azt tudnám javasolni, hogy a subneten lévő gépek arp-tábláit vessétek össze, ha találtok nem valós IP-MAC párost, akkor valakinek vaj van a füle mögött. a továbbiakban pedig fix arp-táblákkal dolgozzatok.

szép napot!
sbalazs.