web-dev-qa-db-fra.com

Comment puis-je détecter si quelqu'un renifle des paquets réseau sur le LAN?

Je voudrais savoir s'il existe un produit ou un logiciel qui peut détecter s'il y a un renifleur actuellement sur le réseau?

En d'autres termes, est-il possible de détecter s'il y a une carte réseau sur le réseau qui est actuellement en mode promiscuité?

18
Hanan N.

Il y a eu du travail fait dont j'ai entendu parler comme anti-sniff , qui cherche à détecter les machines en mode promiscuous en utilisant les informations de synchronisation.

L'idée étant que les machines en mode promiscuité devront traiter tous les paquets qu'elles voient, donc s'il y a de grandes quantités de trafic à traiter, le système sera occupé et plus lent à répondre au trafic dirigé.

Ce type d'approche, s'il est toujours pratique, ne fonctionnerait pas dans tous les scénarios. Par exemple, si un hôte n'a pas d'adresse IP, il peut toujours potentiellement renifler du trafic et il ne serait pas possible de le détecter en utilisant cette approche.

Cependant, c'est une approche possible qui pourrait être explorée.

14
Rory McCune

Il est possible de renifler les paquets sur Ethernet ou wifi non commutés de manière complètement passive. Des outils comme Throwing Star Lan Tap rendent cela encore plus facile. Dans ce cas passif, vous ne pouvez rien y faire.

Cependant, si vous êtes sur un réseau commuté, tout renifleur devrait commencer à empoisonner les caches ARP, même si ce n'est que sur le commutateur. C'est quelque chose que vous pouvez détecter beaucoup plus facilement et c'est un bon avertissement précoce que quelqu'un planifie quelque chose de mal.

14
lynks

Si le système exécute le renifleur, son interface sera en mode promiscuous. Le test fonctionne comme ceci: Envoyez un ping avec la bonne adresse IP dans le réseau mais avec une mauvaise adresse mac. L'hôte renifleur répondra au paquet ping, car il recevra chaque paquet en mode promiscuité. Il existe un script prêt à l'emploi dans nmap pour prendre en charge cette détection.

http://nmap.org/nsedoc/scripts/sniffer-detect.html

CEPENDANT: Cette méthode ne fonctionne que si,

  1. l'hôte qui renifle est sur le même réseau Layer2
  2. l'hôte qui renifle n'a pas de pare-feu qui bloque les paquets icmp entrants
  3. l'hôte de reniflement effectue le reniflement avec une interface sur laquelle TCP/IP est activé et est donc en mesure de répondre au paquet ICMP.

Source: http://ask.wireshark.org/questions/14351/detectprevent-wireshark

8
Arka