¿Cómo puedo detectar si alguien está olfateando paquetes de red en la LAN?

15

¿Me gustaría saber si hay un producto o software que pueda detectar si hay un rastreador actualmente en la red?

En otras palabras, ¿es posible detectar si hay una tarjeta de red en la red que se encuentra actualmente en modo promiscuo?

    
pregunta Hanan N. 05.12.2012 - 10:12
fuente

3 respuestas

13

Es posible detectar paquetes en Ethernet o wifi sin conmutación de forma completamente pasiva. Herramientas como el Throwing Star Lan Tap hacen que esto sea aún más fácil. En este caso pasivo, no hay nada que puedas hacer realmente al respecto.

Sin embargo, si se encuentra en una LAN conmutada, cualquier rastreador tendría que iniciar el envenenamiento de las cachés ARP, aunque solo sea en el interruptor. Esto es algo que puedes detectar mucho más fácilmente y es una buena advertencia temprana de que alguien está planeando algo malo.

    
respondido por el lynks 05.12.2012 - 13:14
fuente
12

Se ha realizado algún trabajo que he escuchado, como anti-sniff , que parece para detectar máquinas en modo promiscuo usando información de tiempo.

La idea es que las máquinas en modo promiscuo tendrán que procesar todos los paquetes que ven, por lo que si hay una gran cantidad de tráfico que necesita procesarse, el sistema estará ocupado y será más lento en responder al tráfico dirigido.

Este tipo de enfoque, si aún es práctico, no funcionaría en todos los escenarios. Por ejemplo, si un host no tiene una dirección IP, todavía puede potencialmente detectar tráfico y no sería posible detectarla utilizando este enfoque.

Sin embargo, es un posible enfoque que podría explorarse.

    
respondido por el Rоry McCune 05.12.2012 - 10:41
fuente
6

Si el sistema ejecuta el sniffer, su interfaz estará en modo promiscuo. La prueba funciona así: envíe un ping con la dirección IP correcta a la red pero con una dirección mac incorrecta. El host de sniffing responderá al paquete de ping, ya que recibirá cada paquete en modo promiscuo. Hay un script listo para usar en nmap para admitir esta detección.

enlace

SIN EMBARGO: este método solo funciona si,

  1. el host de rastreo está en la misma red Layer2
  2. el host de rastreo no tiene un firewall que bloquee los paquetes icmp entrantes
  3. el host de sniffing hace el sniffing con una interfaz que tiene TCP / IP habilitado, y por lo tanto es capaz de responder al paquete ICMP.

Fuente: enlace

    
respondido por el Arka 26.03.2014 - 13:34
fuente

Lea otras preguntas en las etiquetas