490575314

Snif/ery - wykrywanie

Sniffery - wykrywanie

•    Metoda ICMP:

-    Wysyłamy do podejrzanego hosta pakiet ICMP ECHO z jego adresem IP, ale „cudzym" lub nieistniejącym MAC.

-    Normalnie, taki pakiet nie ma prawa dotrzeć na miejsce

-    Karta w trybie „promiscuous" dostarcza taki pakiet do warstwy 3 i otrzymujemy ICMP REPLY

•    Metoda ARP cache:

-    ARP w dynamiczny sposób poznaje adresy MAC innych hostów w sieci lokalnej

-    Wszystkie odpowiedzi ARP REPLY są zapamiętywane w cache ARP

-    Pakiety ICMP ECHO i ICMP REPLY nie powodują aktualizacji cache ARP.

-    Testujemy z hosta A o adresie IP-A i MAC-A, podejrzany: MAC-B, IP-B, używamy także nieistniejącego w sieci MAC-T i IP-T

-    Wysyłamy pakiet PING ze źródłowym adresem MAC-T, IP-T na MAC-B,IP-B. Nie powinna pojawić się żadna odpowiedź.

-    Wysyłamy do B pakiet ARP REPLY na adres docelowy MAC-T, IP-T, zawierający w środku tłumaczenie MAC-A = IP-T. Jeśli B działa normalnie, zignoruje to. Jeśli podsłuchuje - zapamięta tłumaczenie.

-    Wysyłamy pakiet PING na adres docelowy MAC-B, IP-B, z adresem źródłowym MAC-T, IP-T. Jeśli B podsłuchiwał, odeśle odpowiedź na MAC-A, IP-T. Jeśli nie - zacznie generować ARP REQ pytając o MAC-T.

12

Bezpieczeństwo Usług Sieciowych 2014/2015, Tomasz Surmacz