Найдите сниффера на LAN
SHOW SLAVE STATUS\G
Запишите значения, показанные для Relay_Master_Log_File и Exec_Master_Log_Pos, которые показывают последнюю позицию от двоичных журналов ведущего устройства, которые выполнились успешно.
Используйте ВЕДУЩЕЕ УСТРОЙСТВО ИЗМЕНЕНИЯ, чтобы заставить ведомое устройство копировать двоичный журнал с той точки на снова, заменяя релейные журналы новыми:
STOP SLAVE;
CHANGE MASTER TO
master_log_file='<Relay_Master_Log_File>',
master_log_pos=<Exec_Master_Log_Pos>;
-- replace those two tags with the values you recorded earlier
START SLAVE;
Очень трудно обнаружить снифферов, потому что они работают пассивно. Некоторые снифферы действительно генерируют небольшие количества трафика и хотя, таким образом, существуют некоторые методы для обнаружения их.
- Кэш машин ARPs (Протокол определения адресов). Отправляя нешироковещательной передаче ARP, машина в неразборчивом режиме (сетевая плата, которая заставляет карту передать весь трафик) будет кэшировать Ваш адрес ARP. Затем отправка широковещательной передачи проверяет с помощью ping-запросов пакет с нашим IP, но другой MAC-адрес. Только машина, которая имеет наш корректный MAC-адрес от сниффингового кадра ARP, сможет ответить на наш широковещательный запрос ping. Так, если машина отвечает, она должна осуществлять сниффинг.
- Большинство снифферов делает некоторый парсинг. Отправка огромного объема данных и проверка с помощью ping-запросов подозрительной машины прежде и во время лавинной рассылки данных. Если сетевая плата подозреваемой машины будет в неразборчивом режиме, то это проанализирует данные и увеличит нагрузку на него. Таким образом, требуется некоторое дополнительное время для ответа на ping. Эта небольшая задержка может использоваться в качестве индикатора того, осуществляет ли машина сниффинг или нет. Это могло вызвать некоторую положительную ложь, если бы были некоторые "нормальные" задержки в сети из-за интенсивного трафика.
- Следующий метод стар и не надежен больше: отправление запроса ping с IP-адресом подозрительной машины, но не ее MAC-адреса. Идеально никто не должен видеть этот пакет, поскольку каждая сетевая плата отклонит ping, потому что это не соответствует своему MAC-адресу. Если подозрительная машина осуществит сниффинг его, то ответит, поскольку это не потрудилось отклонять пакеты с другим Целевым MAC-адресом.
Существуют некоторые инструменты, какой implment эти методы, например, инструменты с открытым исходным кодом как Neped и Часы ARP или AntiSniff для Windows, который является коммерческим инструментом.
Если Вы хотите предотвратить сниффинг, лучший способ состоит в том, чтобы использовать шифрование для любой сетевой активности (SSH, https и т.д.). Таким образом, снифферы могут считать трафик, но данные не будут иметь никакого смысла им.
-
1" Снифферы действительно генерируют некоторое небольшое количество traffic" - It' s очень важный, чтобы отметить, что сниффинг систем может быть настроен, чтобы не генерировать абсолютно никакой трафик. – Adam Davis 14 May 2009 в 16:53
Пакетный сниффинг является пассивным действием, обычно не возможно сказать, осуществляет ли кто-то сниффинг Вашей сети. Однако для кого-то на проводной, коммутируемой LAN для наблюдения трафика это не предназначило только к или от их IP (или широковещательно передало к сети/подсети), у них должен или быть доступ к, контролировал/зеркально отражал порт, который копирует весь трафик, или установите 'касание' на шлюзе.
Лучшая защита против сниффинга является достойным сквозным шифрованием и физическими средствами управления на чувствительных аппаратных средствах.
Править: CPM, Neped и AntiSniff являются теперь 10-15 устаревшими годами... Думайте ядро Linux <2.2 или Windows NT4. Если у кого-то будет доступ к касанию или зеркалу, то обычно будет очень трудно обнаружить. Управление ARP или DNS является, вероятно, лучшим выбором, но это далеко от решенного вопроса.
-
1
-
2CPM, Neped и AntiSniff могут использоваться для обнаружения сниффинга. – kmarsh 18 November 2009 в 15:22
-
3Взгляните на 802.1x, который может быть другим слоем для защиты доступа уровня 2 к LAN. Это заделывает людей, поворачивающихся и просто включающих Вашу сеть. Уменьшите физический доступ к сетевым корпусам точек/переключателя. используйте вплотную шифрование. Используйте коммутаторы уровня 3! Присвойте каждый порт it' s владеют подсетью! Никакой arp вообще! имейте политику безопасности! – The Unix Janitor 18 March 2010 в 18:09
(Я верю) только способ, которым можно осуществить сниффинг всего трафика в коммутируемой LAN, с 'человеком в среднем' нападении. Вы basicly делаете отравление ARP, кража общих пакетов, чтение их и отправка их к правильному компьютеру впоследствии.
Существует, вероятно, несколько инструментов, которые могут сделать это, я только знаю об одном:
Ettercap может и выполнить нападение на Mitm и обнаружить то, когда кто-то еще делает его.
-
1' dsniff' требования смочь сделать отравление ARP и MITM также. I' ve только читают документы, не используемые это. monkey.org/~dugsong/dsniff – pboin 18 November 2009 в 14:57
Wireshark является большим инструментом для контроля сетевого трафика. И это будет искать имена, чтобы соответствовать IP-адресам, найти производителя от MAC-адреса, и т.д. Естественно, можно наблюдать его делающий эти запросы, и затем Вы знаете, что это работает.
Конечно, можно выключить эти вещи и затем не быть обнаружены. И существуют другие программы, разработанные для намеренного движения необнаруженные. Таким образом, это - просто что-то для рассмотрения при попытке ответить на этот вопрос.
Первое, что пришло на ум я наблюдал бы данные интерфейса SNMP переключателя за интерфейсами, что хост получает больше данных и/или отправляет меньше данных, чем среднее число. Ищите что-либо за пределами стандартного отклонения на любом, и Вы, вероятно, найдете людей, скорее всего, для выполнения чего-то, что они не были должны.
Это не могли бы только быть снифферы, хотя, мог бы найти энергичных hulu/netflix наблюдателей.
Ваши переключатели/маршрутизатор могут также иметь функции, чтобы наблюдать за и поймать людей, пытающихся отравить arp таблицы, которые были бы довольно большим givaway также.
Единственный верный способ сделать это должно исследовать каждое из устройств на подсети.
Существуют инструменты, например, nmap, но они, как гарантируют, не будут работать, и пассивная привычка касаний предают их присутствие.
Лучший подход должен предположить, что Ваша сеть более или менее общедоступна, и используйте шифрование. Или на основе приложения - SSH, HTTPS IMAPS и т.д., или на туннеле весь Ваш трафик через VPN
Существует простой способ обнаружить большинство снифферов. Поместите два поля на сеть, которые не находятся в DNS и не используются ни для чего больше. Имейте их, периодически проверяют с помощью ping-запросов или иначе общаются друг с другом.
Теперь, контролируйте свою сеть для любых поисков DNS и/или запросов ARP на их дюйм/с. Многие снифферы будут значением по умолчанию искать любые адреса, которые они находят, и таким образом любой поиск на этих устройствах был бы серьезным предупреждением.
Умный хакер мог выключить эти поиски, но многие не будут думать к, и это определенно замедлило бы его.
Теперь, если он достаточно умен для не включения поисков DNS и предотвращает какой-либо ARPs для этих устройств, задача является намного более трудной. На данном этапе необходимо работать под философией, что сеть всегда является сниффинговой, и выполните превентивные процедуры для предотвращения любых уязвимостей, которые возникли бы под этим предположением. Несколько включают:
- Используйте полностью коммутируемую сеть
- Свяжите порты коммутатора с MAC-адресами
- Запретите включение неразборчивого режима на NICs (если это возможно, в Вашей среде)
- Используйте защищенные протоколы
-
1I' замеченный сниффер ve, где кабель Ethernet имел часть сокращения строки так, чтобы это был RX только кабель. Это было не было трафика ARP или DNS, прибывающего из машины. – Walter 3 March 2010 в 05:43
Концентраторы (или действительно старые настройки сети, как Сеть с тонким кабелем/Сеть с толстым кабелем) передают все данные через провод в любом случае. Любой включенный видел бы каждый пакет на их локальном сегменте. При установке сетевой платы на неразборчивый режим (считайте все пакеты, не только те отправили непосредственно Вам), и запустите пакетную программу получения, Вы видите все, что происходит, пароли сниффинга, и т.д.
Переключатели работают как старые школьные сетевые мосты - они только передают трафик порт, если это любой a), широковещательно передает b), предназначенный для того устройства
Переключатели поддерживают кэш, указывающий, какие MAC-адреса включены который порт (иногда будет концентратор или переключатель, объединенный в гирляндную цепь от порта). Переключатели не копируют весь трафик во все порты.
Переключатели более высокого качества (для бизнес-использования) могут иметь специальные порты (Промежуток или управление), который может быть настроен для тиражирования всего трафика. Отделы ИТ используют те порты для контроля трафика (законный сниффинг). Обнаружение несанкционированного сниффинга должно быть легким - пошли посмотреть на переключатель и видят, включено ли что-нибудь тот порт.