¿Cómo saber si una NIC está en modo promiscuo en una LAN?

26

¿Cómo saber que una NIC está en modo promiscuo en una LAN?

    
pregunta LanceBaynes 06.05.2011 - 23:24
fuente

5 respuestas

32

Prueba de DNS : muchas herramientas de rastreo de paquetes realizan una dirección IP para nombrar las búsquedas para proporcionar nombres DNS en lugar de direcciones IP. Para probar esto, debe colocar su tarjeta de red en modo promiscuo y enviar paquetes a la red destinada a hosts falsos. Si se observan las búsquedas de nombres de los hosts falsos, es posible que un rastreador esté en acción en el host que realiza las búsquedas.

Prueba ARP : cuando está en modo promiscuo, el controlador de la tarjeta de red verifica que la dirección MAC sea la de la tarjeta de red para paquetes de unidifusión, pero solo compara el primer octeto de la dirección MAC con el Valor 0xff para determinar si el paquete se transmite o no. Tenga en cuenta que la dirección de un paquete de difusión es ff: ff: ff: ff: ff: ff. Para probar esta falla, si envía un paquete con una dirección MAC de ff: 00: 00: 00: 00: 00 y la dirección IP de destino correcta del host. Después de recibir un paquete, el sistema operativo de Microsoft que usa el controlador defectuoso responderá mientras está en modo promiscuo. Probablemente ocurra solo con el controlador MS predeterminado.

Ether Ping test : en los kernels de Linux más antiguos, cuando una tarjeta de red se coloca en modo promiscuo, todos los paquetes pasan al SO. Algunos kernels de Linux solo miraron la dirección IP en los paquetes para determinar si deberían procesarse o no. Para probar esta falla, debe enviar un paquete con una dirección MAC falsa y una dirección IP válida. Los kernels de Linux vulnerables con sus tarjetas de red en modo promiscuo solo tienen en cuenta la dirección IP válida. Para obtener una respuesta, se envía un mensaje de solicitud de eco ICMP dentro del paquete falso que conduce a los hosts vulnerables en modo promiscuo para responder.

Quizás haya más, la prueba de DNS para mí es la más confiable

    
respondido por el VP. 06.05.2011 - 23:40
fuente
24

VP01 dio la teoría, daré algunas herramientas.

Para uso en sistemas linux:

SniffDet : Esta emplea 4 pruebas diferentes: prueba ICMP, prueba ARP; Prueba de DNS y también una prueba de LATENCIA (que VP01 no mencionó). La herramienta se ha actualizado recientemente y la recomiendo.

También:

NMAP: hay un script NSE para nmap llamado sniffer-detect.nse que hace exactamente eso .

NAST : - detecta otras PC en modo promiscuo al realizar la prueba ARP.

PTOOL : realiza la prueba ARP e ICMP

Para sistemas de ventanas: Cain & Abel puede realizar un escaneo promiscuo utilizando muchos tipos de pruebas ARP.

Microsoft también tiene herramientas para este propósito. Promqry and PromqryUI , pero no estoy realmente seguro de cómo funcionan.

En cuanto a las técnicas generales de detección, también hay otra, llamada honeypot detect. Los detalles sobre la prueba de latencia y la técnica de honeypot se pueden encontrar en documentación .

    
respondido por el john 17.05.2011 - 20:45
fuente
14

No puedes garantizar que puedas detectarlo.

Por ejemplo, puede hacer fácilmente un cable Ethernet de solo lectura haciendo un bucle con el TX + (pin 1) y TX- (pin 2) de la computadora de rastreo, luego configure TX + (pin 1) a RX + (pin 3 del sniffer) y TX- (pin 2) a RX- (pin 6 del sniffer). Entonces, será imposible para la computadora de rastreo afectar el tráfico de datos en la red.

Puede ser posible detectar una caída de voltaje o emisiones de RF (en la línea de phreaking Van Eck ), pero No tengo conocimiento de ningún hardware COTS que lo detecte.

    
respondido por el Jon Bringhurst 18.05.2011 - 06:09
fuente
2

Si bien es posible que no siempre sea posible identificar si la red local está olfateando de manera promiscua el tráfico de la red local, es posible que se bloquee la mayoría o todas las aplicaciones de captura de paquetes que lo hacen.

Consulte el script enlace de Samy para obtener un punto de partida. Tenga en cuenta que la mayoría de las aplicaciones que trabajan en 2011 son vulnerables a al menos un ataque de bloqueo DoS, incluso si el bloqueo no es vulnerable como una violación de acceso a la memoria (o una excepción de lectura / escritura que conduce a un desbordamiento de búfer).

    
respondido por el atdre 23.05.2011 - 16:36
fuente
2

Creo que hay una herramienta que detecta esto de manera confiable al observar la diferencia en los tiempos de respuesta de ping. La herramienta envía pings y al mismo tiempo envía un gran número de pings a la misma dirección IP pero con direcciones MAC diferentes.

La herramienta funciona porque las tarjetas en modo promiscuo devolverán todo el tráfico a la CPU, por lo tanto, cuando hay muchos paquetes que llegan a la CPU, esto reducirá la respuesta a los pings genuinos. Una tarjeta en modo normal ignoraría todos los paquetes con diferentes direcciones MAC, por lo que no habría diferencia en el tiempo de respuesta.

Alguien inserta el nombre de la herramienta

    
respondido por el Stuart 25.05.2011 - 10:45
fuente

Lea otras preguntas en las etiquetas