Bloqueando efeito de um sniffer na rede?

[i0d]

Pessoal, andei dando uma olhada aqui no forum e não encontrei uma resposta satisfatória para essa minha dúvida.
Andei lendo por ae e vi algo que me deu uma idéia mas não chegou a ficar claro.... Gostaria que me ajudassem....

Se na minha rede local eu tenho uma suspeita de um sniffer em execução...

1 - Qual seria os meus passos para verificar através de alguma ferramenta que realmente existe um sniffer na rede? Gostaria também se possível onde eu posso estudar sobre, pra entender o pq daquela ferramente indentifica-lo...

2-Depois de visto que ele está em execução, como pará-lo? Já ouvi falar que dando um roda estática para as máquinas ou seria um ip estático o sniffer não poderia continuar com sua ação... Se for isso mesmo, como seria na prática essa mudança na configuração? Gostaria também se possível onde eu posso estudar sobre, pra entender o pq que dessa modificação bloqueia...

Aguardo ancioso por um resposta... =D
Estou sempre disposto a aprender, não precisa ser tudo mastigado, se quiser indicar onde posso ler para aprender o pq também ficarei grato!

Abraço! Obrigado... =)

[mmachado]

Com essa pesquisa no Google aparecem diversos materiais sobre esse assunto:

http://www.google.com/search?q=sniffer+detection

Faça o seu dever de casa lendo um pouco. Você vai encontrar algumas respostas. Volte com as dúvidas mais específicas, caso contrário o tópico se transforma em um tratado... ;)

[]s, MM

[Mancha]

Na verdade foi uma das primeiras vezes que eu ouvi dizer que um sniffer poderia ser detectado na rede, mas parando pra pensar eu tive uma idéia e queria a opinião de vocês para saber se isso é possível.

A idéia é a seguinte, quando uma máquina entra em modo promisco ela captura todos os pacotes detectados na rede e "processa" todos, certo?
Mas como ela sabe quais são os pacotes IP realmente endereçados a ela? Olhando para o endereço de destino do IP.

Então, em teoria, se um pacote IP for enviado para o IP certo, mas o MAC errado, se a máquina estiver em modo promisco ela vai responder. Estou certo? :)

Deixa eu dar um exemplo.

Vamos supor que você tenha máquina A, que tem IP 192.168.1.1 e MAC 00:01 (pra abreviar).
Se você mandar um pacote para o MAC 00:02 com o IP 192.168.1.1 ela não vai responder. Já que o MAC de destino não é o dela.
Se essa máquina estiver em modo promisco, acredito, que ela va responder. Esse pode ser um meio de se detectar se uma dada interface está em modo promisco.

Não sei se é assim que as ferramentas de detecção trabalham, ou se isso funciona na prática. Mas ta aí a idéia :)
Assim que tiver tempo vou tentar implementar isso.

[]'s
Mancha

[mmachado]

Não sei se é assim que as ferramentas de detecção trabalham, ou se isso funciona na prática. Mas ta aí a idéia

Existem técnicas deste tipo descritas nos documentos que indiquei. Dê uma lida neles e sua idéia poderá ser valiosamente complementada.

Depois que você terminar suas pesquisas sobre "Anti-Sniffer", comece a pesquisar sobre o "Anti-Anti-Sniffer". É bem interessante...

[]s, MM

[dum_dum]

Olá,

2-Depois de visto que ele está em execução, como pará-lo? Já ouvi falar que dando um roda estática para as máquinas ou seria um ip estático o sniffer não poderia continuar com sua ação... Se for isso mesmo, como seria na prática essa mudança na configuração?

Entradas de ARP estáticas não protegem contra sniffing, e sim contra ARP poison, mesmo sendo utilizados juntos em muitos casos (por exemplo onde tem switch), elas são técnicas diferentes.

http://en.wikipedia.org/wiki/ARP_poisoning

http://en.wikipedia.org/wiki/Packet_sniffer

Obs.: Um sniffer pode rodar sem ser em modo promíscuo.

Não sei se é assim que as ferramentas de detecção trabalham, ou se isso funciona na prática. Mas ta aí a idéia

Sim existe, essa é uma das técnicas mais tradicionais de detecção de sniffers, porém é extremamente defasada e todos os sniffers construidos de modo "stealth" não são detectados com esses tipos de testes. :)

cya

[i0d]

Andei olhando umas ferramentas e documentos através do link que me passaste mm...
Aprendi um pouco sobre a identificação de sniffers na rede...
Existem algumas manerias de detecta-lo (arp, icmp, latência, etc);

Vou baixar o vmware para fazer alguns testes...

Aproveitando a conversa sobre sniffer... eu gostaria de tirar uma dúvida...

Eu tenho testado aqui na minha "rede laboratório" um sniffer (o dsniff) e tenho passado
por uma situação desconhecida... estou sem saber o que acontece...

Quando eu faço o seguinte tarefa:
Eu estou recebendo como resposta o seguinte:

bash-3.1# arpspoof -t 10.0.0.1 10.0.0.138
Sending 0:0:0:0:0:0
Sending 0:0:0:0:0:0
Sending 0:e:50:8d:80:da (momento quando pressiono CTRL+C)
Sending 0:e:50:8d:80:da
Sending 0:e:50:8d:80:da
bash-3.1#

Qual o pq do envio ser 0:0:0:0:0:0 ? Tem alguma coisa errada né?
Antes não era assim...

Alguma sugestão?

[i0d]

"Obs.: Um sniffer pode rodar sem ser em modo promíscuo." dum_dum

Interessante... Então cai por terra meu pensamento sobre ir
em uma máquina suspeita de estar em modo promíscuo
e fisicamente digitar ifconfig e analisar se está em modo promíscuo...
Pois a máquina pode está rodando o sniffer mas mesmo assim não mostrar
isso na saida do ifconfig... certo?! =)
Ai vai ter que verificar detalhadamente os processos (/proc) de qualquer jeito
para verificar algum processo suspeito rodando...

[ALIG_wicked]

Faz sentido sim..

ICMP test .. baseado que maquinas no modo promiscuo levam mais tempo pra responder..jah que tem que ler todos os pacotes

ARP test ... Mandamos pacotes comecando com 0xff .. somente as maquinas em modo promisco vao responder.

DNS test ..a maioria dos sniffers sao configurados com reverse DNS lookup

Fonte: CISSP Exam Guide 4th edition.
[s]
Andre Amorim

[ALIG_wicked]

"Obs.: Um sniffer pode rodar sem ser em modo promíscuo." dum_dum...

Verdade Verdaira... :)

Algumas opcoes do ettercap.

-R, --reversed
Reverse the matching in the TARGET selection. It means not(TARGET). All but the selected TARGET.

-t, --proto <PROTO>
Sniff only PROTO packets (default is TCP + UDP).
This is useful if you want to select a port via the TARGET specification but you want to differentiate between tcp or udp.
PROTO can be "tcp", "udp" or "all" for both.

-z, --silent
Do not perform the initial ARP scan of the LAN. NOTE: you will not have the hosts list, so you can't use the multipoison feature. you can only select two hosts for an ARP poisoning attack, specifying them through the TARGETs

-p, --nopromisc
Usually, ettercap will put the interface in promisc mode to sniff all the traffic on the wire. If you want to sniff only your connections, use this flag to NOT enable the promisc mode.


[s]
Andre Amorim