회사 LAN이 여러 컴퓨터가 스니퍼 상태에 있음을 감지합니다.

스니퍼란 무엇인가요?

일반적으로 우리가 말하는 SNIFFER 프로그램은 NIC(네트워크 어댑터 카드, 일반적으로 이더넷 카드)를 무차별 모드라는 상태로 설정합니다. 네트워크에서 전송되는 모든 정보 패킷을 받아들일 수 있는 SNIFFER 프로그램

정상적인 상황에서 네트워크 카드는 자신의 주소

와 관련된 정보 패킷, 즉 로컬 호스트로 전송되는 정보 패킷만 허용합니다. SNIFFER가 이런 방식으로 정보를 받아들이고 처리하려면

시스템이 LINUX의 SOCKET-PACKET과 같은 bpf를 지원해야 하지만 일반적인 네트워크 하드웨어에서는

TCP/ IP 스택 로컬 컴퓨터와 관련되지 않은 데이터 패킷의 수신 또는 전송을 지원하지 않으므로 표준 TCP/IP 스택을 우회하려면 네트워크 카드를 방금 시작한 무차별 모드로 설정해야 합니다.

이 방법을 활성화하려면 커널이 이 의사 장치 bpfilter를 지원해야 하며 ROOT 사용자가 이를 실행해야 합니다.

이 SNIFFER 프로그램을 사용하면 SNIFFER를 설치하려면 ROOT ID가 필요하다는 것을 누구나 알 수 있습니다. , 그리고 로컬 사용자로 시스템에 로그인하더라도

SNIFFER를 실행할 수 없기 때문에 ROOT 비밀번호를 스니핑할 수 없습니다.

SNIFFER와 같은 모델을 기반으로 다양한 정보 패킷을 분석하여 네트워크 구조와 사용된 기계를 명확하게 설명할 수 있습니다.

동일한 네트워크 세그먼트의 어느 패킷이든 허용하기 때문입니다.

SNIFFER는 비밀번호, 이메일 정보, 비밀 문서 및 기타 암호화되지 않은 정보를 캡처하는 데 사용할 수 있습니다. 따라서

이는 해커가 결과를 확장하고 다른 호스트에 대한 제어권을 장악하는 일반적인 방법이 되었습니다.

다음은 일부 전송 매체가 모니터링될 가능성에 대해 설명합니다.

이더넷 네트워크는 브로드캐스트 네트워크이므로 이더넷 모니터링 가능성이 상대적으로 높으며 이는 번거롭습니다.

인터넷의 패킷 청취 시간의 대부분은 컴퓨터에서 실행되는 일부 패킷 청취 프로그램의 결과입니다

. 이 컴퓨터는 다른 컴퓨터, 게이트웨이 또는 라우터와 이더넷 네트워크를 형성합니다.

FDDI 토큰- 토큰 네트워크는 방송 네트워크는 아니지만 모니터링 가능성도 상대적으로 높습니다.

ring　 실제로 토큰이 포함된 패킷은 전송 과정에서 평균적으로 네트워크에 있는 컴퓨터의 절반을 통과합니다. 그러나 전송 속도가 높으면 모니터링이 어려워집니다.

도청 가능성은 보통입니다. 전화 회사와 협력하는 사람이나 회선에 물리적으로 접근할 수 있는 다른 사람이 전화선을 도청할 수 있습니다. 차단되기도 합니다. 실제로 고속 모뎀은 많은 주파수를 사용하기 때문에 저속 모뎀보다 배선하기가 훨씬 더 어렵습니다.

IP 패스를 가로챌 가능성은 상대적으로 높습니다. 케이블 TV 채널을 사용하여 IP 패킷을 보내는 것은 RF 변조에 의존합니다.

케이블 TV 채널 복조기는 TV 채널을 사용합니다. 올라갈 때 하나, 내려갈 때 하나.

이 회선을 통해 전송되는 정보는 암호화되지 않으므로 TV 케이블에 물리적으로 접근하는 사람이 가로챌 수 있습니다.

전자레인지 및 도청 가능성은 상대적으로 높습니다. 라디오는 원래 방송 전송 매체입니다.

라디오 수신기가 있는 사람은 누구나 전송된 정보를 가로챌 수 있습니다.

이제 대부분의 SNIFFER는 연결 중에 정보 패킷만 모니터링합니다. 그 이유는 SNIFFER가 모든

정보 패킷을 수락하면 로그 기록이 매우 커져서 CPU 시간이 많이 소요되므로

바쁜 작업을 담당하는 컴퓨터에서 모니터링하세요. CPU와 대역폭을 많이 사용하고 있는 경우

스니퍼가 작동하는 것으로 의심할 수 있습니다. 이상이 있다고 생각되면 먼저 이를 감지하기 위한 몇 가지 간단한 방법이 필요합니다.

PS 또는 netstat 명령을 사용하여 프로세스 및 연결 정보에 변경 사항이 있는지 확인할 수 있지만

그러나 침입자가 ps 또는 netstat 프로그램을 변경하면 이러한 프로그램은 예, 실제로 ps 명령을 수정하려면 모니터링 소프트웨어의 이름을 필터링하는 몇 가지 SHELL 명령만 필요합니다.

다음 두 가지 방법은 원칙적으로 간단하지만 작동이 어렵습니다.

1. 청취 프로그램을 실행하는 것으로 의심되는 시스템의 경우 올바른 IP 주소와 잘못된 물리적 주소를 사용하여 PING합니다. ,

수신 프로그램을 실행하는 시스템은 일반 시스템이 잘못된 물리적 주소를 받아들이지 않지만 수신 상태의 시스템은 STACK이 반전되지 않으면 이를 수락할 수 있기 때문입니다. 다시 확인하면 응답합니다. 이 방법은 시스템의 IP STACK에 의존하며 일부 시스템에서는 작동하지 않을 수 있습니다.

2. 존재하지 않는 물리적 주소를 가진 대량의 패킷을 인터넷으로 보냅니다. 청취 프로그램이 이러한 패킷을 처리하므로 성능이 저하됩니다

. 기계의 전후(icmp 에코 지연 및 기타 방법)를 판단하기에는 이 방법이 더 어렵습니다

.

몇 가지 인기 있는 SNIFFER

SNIFFIT: 이것은 Brecht Clearhout가 작성한 비교 SNIFFER입니다. 이것은 먼저 사용해야 하는 프로그램입니다.

이 SNIFFER는 기본적으로 정보 패킷의 처음 400바이트는 로그인 세션에 적합합니다. :p

SNORT: 이 SNIFFER에는 사용할 수 있는 옵션이 많고 이식성이 뛰어납니다. 일부 연결 정보를 기록할 수 있으며

일부 네트워크 활동을 추적하는 데 사용됩니다.

TCP DUMP: 이 SNIFFER는 매우 유명합니다. FREEBSD도 많은 UNIX 전문가들에 의해 전문적인 네트워크 관리 도구로 간주됩니다. 저는 Tsutomu Shimomura(Shimomura라고 불러야 합니다.) p>

침략) 자신의 수정된 버전의 TCPDUMP를 사용하여 자신의 시스템에 대한 KEVIN MITNICK의 공격을 기록하고

나중에 FBI와 협력하여 KEVIN MITNICK을 잡았습니다. 나중에 그는 이 로그를 사용하여 기사를 썼습니다.

공격을 설명하는 기록, Mitnick이 IP 시퀀스 공격으로 Tsutomu Shimomura를 해킹한 방법

(/antisniff/이 글은 L0pht가 작성했습니다. 아주 좋은 안티 SNIFFER 프로그램, L0PHT

p>

LINUX 버전에서도 소스 코드 버전을 출시할 계획입니다.

또한 시스템에서 두 개의 네트워크 카드를 사용하는 경우 하나를 무차별 모드로 설정하고 IP 주소를 설정하세요

~ 0.0.0.0이고, 다른 카드는 일반 모드이고 올바른 주소를 가지고 있어서 SNIFFER의 존재를 감지하기 어려울 것입니다

로딩에 대한 답변입니다. ~!