Wykrywanie podsłuchu

IDS

Do wykrywania podsłuchu często wykorzystuje się narzędzia zbiorczo oznaczane skrótem IDS (Intrusion Detection System). Ich działanie najczęściej polega na:

monitorowaniu ruchu sieciowego i porównywanie go z wewnętrzną bazą danych typowych ataków
powiadamianiu administratora o nieprawidłowościach, przerwanie zagrożonego połączenia, bądź wykonanie innych czynności (łącznie z kontratakiem)

IDS i szyfrowanie

Niestety w sieciach wykorzystujących szyfrowanie, działanie IDS'ów jest bardzo utrudnione, dlatego też może się okazać, że atak w sieciach szyfrowanych jest w pewnych sytuacjach łatwiejszy do przeprowadzenia.

Wykrywanie podsłuchu w sieciach z koncentratorami

Lokalne sprawdzenie czy komputer działa w trybie Promiscuous:

Windows
program PromiscDetect (http://ntsecurity.nu/toolbox/promiscdetect)
Linux
polecenie ifconfig (flaga PROMISC)

Sprawdzanie zdalne:

Wykorzystuje się fakt, że komputer z systemem Linux i kartą sieciową przełączoną w ten tryb często odpowiada na wszystkie pakiety, nawet jeśli adres MAC zawarty w pakiecie nie odpowiada adresowi MAC karty sieciowej.

Ale:

Tryb promiscuous wcale nie musi oznaczać podsłuchu, np. używają go emulatory VMware.
Istnieją łaty na jądro, które utrudniają wykrycie:
- www.sOftpj.org/tools/aasniff.tgz
- http://downloads.securityfocus.com/tools/aass.c

Wykrywanie podsłuchu w sieciach z przełącznikami

Narzędzia wykrywające:

AntiSniff (Windows)
www.securityfocus.com/tools/1004
Sentinel (Linux)
www.packetfactory.net/projects/sentinel
ARPwatch - na bieżąco sprawdza poprawność tablic ARP
www.securityfocus.com/tools/142
ANASIL - komercyjne narzędzie przeznaczone dla dużych sieci korporacyjnych

Inne metody wykrywania podsłuchu

wysyłanie pakietów do nieistniejącego hosta komputer podsłuchujący będzie chciał sprawdzić
wykorzystywanie fałszywych danych uwierzytelniających i nasłuchiwanie czy ktoś używa ich ponownie

Prezentacja na Systemy Operacyjne 2004/2005 - Informatyka MIM UW.

Marcin Czępiński (O nas)