在局域网上查找嗅探器

8

* nix和Windows可使用哪些工具或技术来帮助查找LAN上是否有人在使用嗅探器？

话虽如此，并强烈考虑到有发现这种“现象”的工具，那么如何解决这个问题呢？

local-area-network packet-sniffer

— 阿南德·沙（Anand Shah）
source

16

检测嗅探器非常困难，因为它们是被动工作的。尽管某些嗅探器确实会产生少量流量，所以有一些检测它们的技术。

机器缓存ARP（地址解析协议）。发送非广播ARP时，处于混杂模式（使网卡通过所有流量的网卡）的计算机将缓存您的ARP地址。然后，使用我们的IP发送一个广播ping数据包，但使用另一个MAC地址。只有在嗅探到的ARP帧中具有正确MAC地址的机器才能响应我们的广播ping请求。因此，如果计算机正在响应，则它一定在嗅探。
大多数嗅探器都会进行一些解析。在数据泛洪之前和期间，发送大量数据并对可疑计算机执行ping操作。如果可疑机器的网卡处于混杂模式，它将解析数据并增加其负载。这样，需要一些额外的时间来响应ping。这个很小的延迟可以用作指示机器是否在嗅探的指标。如果网络由于流量大而存在“正常”延迟，则可能会引起误报。
以下方法已经过时并且不再可靠：使用可疑机器的IP地址而不是其MAC地址发送ping请求。理想情况下，没有人应该看到此数据包，因为每个网卡都会拒绝ping，因为它与其MAC地址不匹配。如果可疑机器正在嗅探，它将响应，因为它不会打扰拒绝具有不同目标MAC地址的数据包。

有一些工具可以实现这些技术，例如Neped和ARP Watch等开源工具或Windows的AntiSniff，这是一种商业工具。

如果要防止嗅探，最好的方法是对任何网络活动（SSH，https等）使用加密。通过这种方式，嗅探器可以读取流量，但是数据对他们而言毫无意义。

— 喷溅
source

“嗅探器确实会产生少量流量”-请务必注意，可以将嗅探系统配置为绝对不产生任何流量。

— 亚当·戴维斯

14

数据包嗅探是一种被动活动，通常无法确定是否有人在嗅探您的网络。但是，为了使有线交换LAN上的某人看到不仅仅来自或来自其IP的流量（或广播到网络/子网），他们需要访问复制所有流量的受监视/镜像端口，或在网关上安装“ tap”。

最好的防御措施是端到端的加密以及对敏感硬件的物理控制。

编辑：CPM，Neped和AntiSniff现在已过时10-15年...认为Linux内核<2.2或Windows NT4。如果有人可以使用水龙头或镜子，通常将很难检测到。操纵ARP或DNS可能是最好的选择，但这远不能肯定。

— 内德姆
source

而且最便宜的是IPSEC。

— 赛义夫汗2009年

CPM，Neped和AntiSniff可用于检测嗅探。

— kmarsh

看一下802.1x，它可以作为另一层来保护对局域网的第2层访问。这可以阻止人们出现，而只是插入您的网络。减少对网络点/开关柜的物理访问。使用端到端加密。使用第3层交换机！为每个端口分配自己的子网！根本没有arp！有安全政策！

— Unix管理员

5

（我相信）您可以嗅探交换局域网上所有流量的唯一方法是“中间人”攻击。您基本上会进行ARP中毒，窃取每个人的数据包，读取它们，然后将它们发送到正确的计算机。

可能有多种工具可以做到这一点，我只知道其中一种：

Ettercap既可以执行Mitm攻击，也可以在其他人进行攻击时检测到它。

— 格特·M
source

“ dsniff”声称也能够进行ARP中毒和MITM。我只看过文档，没有使用过。 monkey.org/~dugsong/dsniff

— pboin

4

社会工程学是另一种方式。设置一个蜜罐root / admin帐户或其他诱人的目标，以明文广播其密码并查看您的日志。

— 亚当
source

3

有一种检测大多数嗅探器的简单方法。在网络上放置两个不在DNS中且不用于其他任何用途的框。让他们定期ping或以其他方式相互通信。

现在，监视您的网络以查找其IP的任何DNS查找和/或ARP请求。默认情况下，许多嗅探器将查找他们找到的所有地址，因此在这些设备上进行的任何查找都是有力的警告。

一个聪明的黑客可以关闭这些查询，但是很多人都不会这么做，这肯定会使他慢下来。

现在，如果他足够聪明以至于无法启用DNS查找，并阻止了这些设备的任何ARP，那么您的任务将变得更加困难。在这一点上，您应该在始终侦听网络的理念下进行工作，并制定积极的程序来防止在此假设下可能出现的任何漏洞。其中包括：

使用完全交换的网络
将交换机端口绑定到MAC地址
禁止在NIC上启用混杂模式（如果环境允许）
使用安全协议

— 里姆
source

1

我看到嗅探器在以太网电缆上剪了一些线，因此它只是RX电缆。那是没有来自计算机的ARP或DNS通信。

— Walter 2010年

2

Wireshark是监视网络流量的好工具。然后它将查找名称以匹配IP地址，从MAC地址中找到制造商，等等。自然地，您可以看着它进行这些查询，然后知道它正在运行。

当然，您可以关闭这些东西，然后再将其检测不到。还有其他一些程序旨在故意不被发现。因此，尝试回答这个问题只是要考虑的事情。

— 格巴里
source

2

唯一确定的方法是检查子网中的每个设备。

有一些工具，例如nmap，但不能保证它们可以工作，并且无源水龙头不会背叛它们的存在。

最好的方法是假定您的网络或多或少是公共的，并使用加密。基于应用程序-SSH，HTTPS IMAPS等，或通过VPN传输所有流量

— 约翰·麦克
source

1

在我的头顶上，我将监视交换机SNMP接口数据，以了解主机接收的数据和/或发送的数据少于平均水平的接口。在任何一个标准偏差之外寻找任何东西，您可能会发现人们最有可能做他们不应该做的事情。

但是，它可能不只是嗅探器，还可能找到狂热的hulu / netflix观察者。

您的交换机/路由器还可能具有监视和捕获企图毒害arp表的人员的功能，这也将是一个很大的陷阱。

— 斯克莱森
source

1

集线器（或真正的旧网络设置，如Thinnet / Thicknet）始终可以通过网络传输所有数据。任何插入的人都会在其本地网段上看到每个数据包。如果将网卡设置为混杂模式（读取所有数据包，而不仅是直接发送给您的数据包）并运行数据包捕获程序，您将看到发生的一切，嗅探密码等。

交换机的运行方式就像老式的学校网桥一样-仅在以下情况下将流量从端口传输出去：a）广播b）目的地为该设备

交换机维护一个高速缓存，该高速缓存指示哪个MAC地址在哪个端口上（有时会在端口上链接集线器或交换机菊花链）。交换机不会将所有流量复制到所有端口。

高端交换机（用于商业用途）可能具有特殊的端口（Span或Management），可以将其配置为复制所有流量。IT部门使用这些端口来监视流量（合法嗅探）。检测未经授权的嗅探应该很容易-查看交换机，看看是否有任何东西插入该端口。

— 海里马特
source