|
|
|
NEPED |
|
http://www.apostols.org/projectz/neped/ |
|
Anti-Sniff |
|
http://www.l0pht.com/antisniff/index.html |
|
Sentinel |
|
http://www.packetfactory.net/Projects/Sentinel/ |
|
|
|
|
DNS test |
|
Etherping Test |
|
ARP Test |
|
ICMP Ping Latency Test |
|
|
|
|
|
|
sul segmento della macchina da testare, creo
false connessioni tcp verso hosts inesistenti |
|
uno sniffer rozzo mandera` richieste al DNS per
risolvere i nomi degli host |
|
intercetto le richieste e quindi rivelo lo
sniffer |
|
|
|
|
si basa su imperfezioni nel kernel di alcuni
sistemi (alcuni Linux, NetBSD, NT) |
|
mando alla macchina da testare un ping echo con
destination IP corretto e falso MAC address |
|
se la macchina mi risponde, so che la sua
interfaccia e` in modo promiscuo |
|
|
|
|
si basa su imperfezioni nel kernel di alcuni
sistemi (alcuni Linux, NetBSD, NT) |
|
mando in rete una arp request riguardante l’IP
della macchina da testare. |
|
la
richiesta e` corretta in tutto tranne che non e` un broadcast, ma e`
inviata ad un MAC address inesistente |
|
se ottengo risposta, la macchina e` in modo
promiscuo |
|
|
|
|
misuro il tempo di risposta al ping (RTT) della
macchina in test |
|
creo numerose false connessioni tcp sul segmento
della macchina |
|
se la macchina ha l’interfaccia in modo
promiscuo deve processare queste richieste |
|
mi aspetto che RTT cresca |
|
|
|
|
non sono affidabili |
|
alcuni test possono sovraccaricare la rete |
|
ci sono problemi sulle switched LAN |
|
i test non hanno validita` universale (rivelano
solo alcuni sniffer o funzionano solo con alcuni OS o solo in certe
condizioni di traffico) |
|
e` possibile predere delle precauzioni in modo
da eludere tutti i test |
|
|
|
|
per ora non e` noto un efficiente sistema di
rilevazione remota delle interfacce di rete in modo promiscuo |
|
Possiamo conoscere con certezza solo lo stato
dell’interfaccia locale |
|
|
|
|
e` un semplice script in C che legge lo stato
dell’interfaccia locale (in molti sistemi ifconfig fa lo stesso) |
|
se l’interfaccia e` in modo promiscuo ifstatus
scrive un messaggio su stdout |
|
installando ifstatus su tutte le macchine posso
monitorare automaticamente lo stato di tutte le interfacce di rete |
|
e` bene nascondere il programma |
|
|
|
|
ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/ |
|
http://security.fi.infn.it/tools/ifstatus/ |
|
http://www.ja.net/CERT/Software/ifstatus/ |
|
|
|
Autore: |
|
David A. Curry - Purdue University |
|
Note