¿Hay alguna forma de averiguar si alguien que está conectado a mi red está olfateando paquetes? Existe una forma con nmap si su tarjeta está en modo promiscuo, pero ¿qué pasa si es pasiva?
¿Hay alguna forma de averiguar si alguien que está conectado a mi red está olfateando paquetes? Existe una forma con nmap si su tarjeta está en modo promiscuo, pero ¿qué pasa si es pasiva?
Lo que pasa con el rastreo pasivo es que no recibe el tráfico de la red de otras personas a menos que esté en una posición para ver ese tráfico debido a la topología de la red (por ejemplo, está olfateando un puerto troncal) o está haciendo una falsificación de red. (por ejemplo, suplantación de ARP) que hace que los paquetes se envíen a su dispositivo.
Si están haciendo lo último, solo debes estar atento a los ataques de suplantación ARP. Muchas soluciones IDS tienen características que pueden detectar la suplantación de ARP. Una forma económica de baja calidad para capturar dispositivos falsos es buscar paquetes que provengan de direcciones MAC que no reconozca. Las mejores soluciones combinan las direcciones MAC conocidas con los puertos físicos y los dispositivos, de modo que el enrutamiento inusual se puede detectar rápidamente.
No se me ocurre ninguna forma de detectar el sniffing pasivo per se , pero sin duda sería posible detectar dispositivos maliciosos en su red realizando exploraciones ARP, sondas DHCP o aplicaciones. difunde en la capa (por ejemplo, en 192.168.x.255) y busca respuestas de dispositivos que no reconoces.
Dejando a un lado los ataques físicos como el empalme de cables y las escuchas telefónicas, hay un par de maneras de encontrar rastreadores de tráfico. Una forma, como ya lo mencionó @Polynomial, es detectar la manipulación del tráfico que se requiere para dirigir el tráfico útil (es decir, de otras personas) hacia el sniffer. Un programa de ejemplo que hace esto es arpwatch .
Otro mecanismo de detección es usar sondas para determinar si la interfaz del host está en modo promiscuo. Nmap tiene un script, sniffer-detect que puede hacer esto, pero también hay otros programas.
Siempre existe la posibilidad de que se pueda implementar un rastreador en la máquina local para rastrear la red, limitará el tráfico al host local, pero es efectivo si se está realizando un ataque dirigido para monitorear a una persona específica / o anfitrión de interés.
Esto puede ser algo difícil de detectar en algunos casos debido a que este tipo de rastreo es de naturaleza pasiva, tal vez incluso cubierto por kits de raíz, etc.
Quiero ver esto en un poco más de detalles, pero recuerdo que un amigo mío en redes una vez me habló de un avanzado " Fluke Herramienta "que podría detectar la distancia de un cable y cualquier cosa físicamente en el cable. Esto no es usar tráfico de red, sino algo más abajo en la capa física, etc. Me imagino que si supiera su estado anterior, podría buscar cualquier cambio en las conexiones físicas (en una red cableada) de forma periódica y esto podría mostrar conexiones deshonestas Sin embargo, en una red grande, esto suena un poco impráctico.
Una mejor manera de hacer esto es asumir que se está haciendo tapping a nivel físico y usar IPSec, VPN, etc. para que la conexión no autorizada solo capture datos encriptados. Para una persona maliciosa, si es un equipo de la empresa, es de esperar que tenga las herramientas de administración del sistema, políticas, etc. para bloquear el software y evitar el modo promiscuo (creo que en Windows necesita un nivel de administrador para ingresar al modo promiscuo).