パケットスニッフィング：スニッフィングツールを検出防止の方法

1 。はじめに：

Homepage | Submit an article | Contact us

バイオメトリクスは、謎をロック：どのような遠い/ FMRです

一般的なコンピュータの問題と修理

バイオメトリクスは、謎をロック：どのような指紋は容量です

バイオメトリクスは、謎ロックス、どのようなセンサは、

バイオメトリクスは、謎ロックス、何を意味するのESD保護しません。

何のウイルス対策ソフトウェアです

バイオメトリクスは、ロック：あなたがインストールの専門家を電話する理由

最新のコンピュータのヒントとコンピュータ健康のためにトリック

どのようにコンピュータをスピードアップする

バイオメトリクスは、ロック：どのようにWindows 7のバイオメトリックドライバがあなたを助ける

3印あなたはウイルス駆除サービスを必要とする

ヒントバイオメトリックロックを購入する上で

パケットスニファプログラムでは、ネットワークのトラフィックを監視し、コンピュータを通過します。パケットスニファを実行し、コンピュータ上でモデムを使ってインターネットに接続して、分かることができ、現在のアドレスと同様にアドレスを指定して、ウェブサーバーには、そのサイトを訪問します。
見ることができ、国連のすべてのデータを暗号化してからお使いのコンピュータの旅行は、インターネットに接続します。これには、パスワードや他の機密データを暗号化で保護されたことではありませんします。パケットスニファを置くルータ、インターネット上で見ることができ、ネットワークのトラフィックを通過するすべてのルータにしています。これには、絶対に誰にもそのデータが起こってルータを通過しています。
sniffersプログラムは、基本的にデータを傍受します。イーサネット仕事だったので、彼らの周りに建ての原則を共有します。ほとんどのネットワークでは何と呼ばれる放送技術を使用し、すべてのメッセージが送信されるという意味で1つのネットワーク上のコンピュータを読むことができ、他のコンピュータをネットワークしています。実際には、すべての他のコンピュータを除いて、このメッセージが表示され、 1つの意味は、メッセージを無視しています。しかし、コンピュータのメッセージを受け入れることができるように、たとえ意味ではありませんので、スニファするという手段によっています。
スニファ受動的には、通常、それだけでデータを収集します。したがって、スニファを検出することが極めて困難です。コンピュータにインストールされたときは、スニファは、いくつかの少量のトラフィックを生成し、ただし、そのためでは検知します。

2 。作業パケットスニファ

パケットスニファ作品を見ることによって、すべてのパケットを送信されたネットワークでは、パケットを含めていないために意図しています。この操作を行うには、さまざまな方法があります。かぎつけることで、これらのメソッドは次のとおりです。 sniffersも仕事に応じて、異なったタイプのネットワークでは、

共有イーサネット：
イーサネットで共有する環境では、すべてのホストに接続してバスと同じ帯域幅を互いに競い合いました。このような環境では、 1台の機械を意味するパケットのすべての他のマシンで受信されました。このように、任意のマシンでそのような環境に置かれるpromiscuousモードのパケットをキャプチャすることができ、他のマシンとそのために耳を傾けることができ、ネットワーク上のすべてのトラフィックします。

イーサネット切り替え：
イーサネット環境で、ホストに接続してスイッチの代わりにハブと呼ばれるイーサネットに切り替えています。スイッチを維持する表追う各コンピュータのマックアドレスを配信するパケットの運命とは、特定のマシンをそのマシンのポートに接続されます。スイッチは、インテリジェントなデバイスにパケットを送信して運命のコンピュータでのみ放送していませんが、ネットワーク上のすべてのマシンで、前の事件のようにします。この切り替えイーサネットネットワークのパフォーマンス向上を意図した環境ではなく、付加利益は、 promiscuousモードのマシンで動作しませんよ。この結果として、ほとんどのsniffersていないと仮定して、ネットワーク管理者の仕事をする環境に切り替えます。

3 。使用するパケットsniffers

スニッフィングプログラムが見つかった2つのフォームをします。商業sniffersパケットを使用してヘルプを維持するネットワークでは、地下の中にパケットが使用されsniffers攻撃に不正アクセスをリモートホストします。使用するには、下記のいくつかの共通のスニッフィングプログラム：

•クリアテキストを検索するためのユーザー名とパスワードは、ネットワークからです。
•ネットワークのトラフィックを変換する人間が読める形式です。
•ネットワークのボトルネック分析を見つけました。
•ネットワーク侵入検知を監視するために攻撃します。

スニファを使用する方法では、非嫡出受動的攻撃とみなされます。ていませんインターフェイスまたは直接接続して、ネットワーク上の他のシステムにします。しかし、スニファがインストールされているコンピュータのことかもしれないが侵害されて積極的な攻撃を使用しています。この消極的な性質のsniffersほど難しいことは何かを検出しています。以下のリストを説明し、いくつかの理由が考えられsniffersを使用して、ネットワーク上の侵入者：

ユーザー名とパスワードをクリアテキストをキャプチャ
妥協所有権情報
キャプチャとreplaying ip電話ボイスオーバーのスレッド
ネットワークマッピング
受動osの指紋採取

明らかに、これらは違法なスニファを使用する場合を除き、浸透するテスターの仕事を見つけることがこのような種類のレポートをして、組織の弱点とします。探知のために発生した場合、最初の侵入者にアクセスできるようにする必要があり、通信ケーブルをしているシステムへの関心します。このため、同じ共有されているネットワークセグメント、またはタッピングへのパスの間のどこかで、ケーブル通信します。侵入者ではありません物理的に存在する場合には、ターゲットシステムや通信のアクセスポイントでは、ネットワークのトラフィックのにおいを嗅ぐ方法をまだします。これらに含まれる：

侵入をインストールすると、ターゲットコンピュータのリモート制御ソフトウェアを探知します。
侵入を通信アクセスポイントなどのインターネットサービスプロバイダ（）およびソフトウェアをインストールする探知します。
位置決め/システムを見つけることはispスニッフィングのソフトウェアをインストールしています。
ソーシャルエンジニアリングを使って物理的なアクセスを得ることで、 ispにパケットスニファをインストールするにします。
インサイダーの共犯者は、目標を持つコンピュータにインストールしている団体やユーザーの所在地を探知します。
リダイレクトコミュニケーションを取るのパスのコンピュータに侵入者が含まれています。

4 。スニッフィングツール

アドレスtcpdump ： tcpdumpとすることができる強力なツールは、私たちににおいを嗅いで、ネットワークパケットとそれらのいくつかの統計分析するダンプします。主な欠点の1つに、 tcpdumpとは、サイズのフラットファイルを含むテキストを出力します。しかし、 tcpdumpとできるかどうかを正確にすべてのトラフィックを参照してくださいと私たちを作成する統計の監視スクリプトを有効にします。
sniffit ：堅牢なパケットスニファの良いフィルタリングします。
エーテル：無料のネットワークプロトコルアナライザをunixとwindowsた。それからのデータを調べることができ、生きたネットワークやディスク上のファイルからキャプチャします。
ハント：ハントの主要な目標のためのツールを開発するプロジェクトではよく知られ搾取の弱点は、 tcp / ipプロトコル届けします。
dsniff ： dsniffは、コレクションのためのツールやネットワークの監査侵入テストします。 dsniff 、 filesnarf 、 mailsnarf 、 msgsnarf 、 urlsnarf 、およびwebspy受動ネットワークを監視するための興味深いデータ（パスワード、電子メール、ファイルなど）します。 arpspoof 、 dnsspoof 、およびmacofを円滑にするネットワークのトラフィックを遮断、通常、攻撃者に利用できない（ egため、レイヤ2スイッチング）します。 sshmitmとwebmitmを実施する積極的な猿の真ん中で攻撃のsshとhttpsにリダイレクトされるセッションを搾取してアドホックなpki弱いバインドします。

5 。スニッフィングメソッド

そこには、 3つの種類の方法で探知します。いくつかの手法を切り替えて仕事以外の他のネットワークの中で働くのネットワークに切り替えています。このメソッドはスニッフィング： ipベースかぎつけることで、 macベースの探知、およびアルプベース探知します。

5.1 ipベースのスニッフィング

この方法では、元のパケットスニッフィングします。この作品を置くことにより、ネットワークカードをpromiscuousモードとマッチするすべてのパケットスニッフィングアドレスフィルタします。通常、アドレスのフィルタ設定ではありませんのですべてのパケットをキャプチャすることはできます。この方法でのみ動作し、非ネットワークに切り替えています。

5.2 macベースのスニッフィング

この方法で作品を置くことにより、ネットワークカードをpromiscuousモードのすべてのパケットスニッフィングとmacアドレスフィルタにマッチします。

5.3アルプベースのスニッフィング
この方法で作品を少し違っていた。ネットワークカードを入れていませんpromiscuousモードにします。アルプ必要はありませんので、このパケットが送信されています。アルプが起こっているため、このプロトコルはステートレスします。このため、探知することができネットワークの切り替えを完了しています。この種のスニッフィングを実行し、まず最初にしなければ毒アルプcache1の2つのホストにしたいにおいを嗅いで、自分のことを識別する他のホストに接続します。アルプは、キャッシュに保存したら、毒、 2つのホスト接続を開始して、トラフィックを直接送信する代わりに、他のホストを取得することに送信されています。次に、トラフィックやログを転送することを意図して本物のホストの反対側に接続します。これは一人の男と呼ばれる中間的攻撃します。

6 。パケットスニファの検出

理論的には、それは不可能なプログラムを検出しているため、受動探知：彼らのパケットを収集するだけで、彼ら何もしないで送信します。しかし、このことは、実際の可能性を検出することがときどきスニッフィングプログラムします。
全般の検出手法の概要

6.1 pingの方法

そのトリックにpingを送信するには、ここで使用されたリクエストをして容疑者のアドレスではなく、マシンのmacアドレス。理想的には、このパケットを参照してくださいませんすべきマシンなど、それぞれのイーサネットアダプターが合致していない拒否して以来、独自のmacアドレス。容疑者の場合、スニファを実行するマシンは、それは対応するパケットを拒否していませんので、別の送信先のmacアドレスします。これはもはや古い方法と信頼性です。
ほとんどの"パケットsniffers "通常のマシンで実行され、通常のtcp / ipスタックします。これは、リクエストを送信する場合は、これらのマシンでは、かれらは対応します。トリックのリクエストを送信するには、マシンのipアドレスは、ではなく、イーサネットアダプタにします。

6.2アルプ法

このメソッドは、アルプのpingに類似した方法では、しかし、アルプパケットが使用されます。最も簡単な方法アルプアルプを送信する以外のブロードキャストアドレスです。このような場合、マシンに対応したアルプのアドレス、そしてそれpromiscuousモードである必要があります。
この手法を利用するの変動という事実マシン"キャッシュ" arpsます。各アルプの両方の完全な情報が含まれ、送信者と同様、希望の情報をターゲットにします。言い換えると、送信するときに、 1つのアルプブロードキャストアドレスを、私は、私自身のipイーサネットアドレスをマッピングします。ほかのみんなは、この情報を覚えて、次の線数分後にします。したがって、何かのように送信することができ、非アルプ放送、そして放送にpingします。誰にも誰にpingに応答せずにお客様のおarpingが得られていただけに、 macアドレスからのフレームアルプ探知します。（確認を行うダブルを使用して、さまざまなソースのmacアドレスでのping ）します。

6.3 dnsのメソッド

多くの自動探知プログラムは逆のルックアップして彼らのアドレスを参照してくださいました。したがって、 promiscuousモードで検出されることを見て、 dnsのトラフィックを生成しています。
このメソッドを検出することができデュアルルータのマシンをリモートで働くことができます。着信を監視する必要があり逆ルックアップしてdnsサーバーで、お客様の組織です。全体のpingスイープを行うだけで、会社のマシンに反対しているないように存在します。逆に誰かいるのルックアップルックアップしようとし、これらのアドレスが見られるのarpパケットのアドレスを指定し、これだけスニッフィングプログラムです。

6.4ソースルート法

他の方法を設定するには、ソースのルートipヘッダ内の情報です。これを使用することができ、他のsniffersパケットを検出し、近所のセグメントします。

pingのパケットを作成するには、しかし、緩やかなソースルートにすることを強制され、同じセグメントの別のマシンにします。このマシンのルーティング無効になってなければならないので、実際に転送されませんして、それをターゲットにします。
応答を取得する場合は、それが高い目標を切り、パケットの盗聴ワイヤします。
応答で、 doublecheckのフィールドのttlどうかを確認すること'探知のために帰ってきた（というより配線が正しく）

ゆるいソースルーティングでは、 ipヘッダーオプションが追加されました。リンク先のアドレスは、ルーターを無視すると、次のアドレスに転送する代わりに、ソースルートオプションを使用する。これは、パケットを送信する場合は、と言うことができ"をお送りするためにパケットanoushkaが、最初のルートを経てアーリア人"とします。
このシナリオでは、両方の"アーリア人"と" anoushka "はセグメントしています。アーリア人のルートはありませんし、そのときには、受け取ったパケットをドロップします。したがって、 " anoushka "彼女がいる場合にのみ対応してからのパケットを盗聴ワイヤします。
チャンスをオフにして、それはまさにアーリア人のルート（この場合anoushkaに対応）、それからのttlフィールドで使用できることを確認しanoushka回答アーリア人からルーティングを通じて、または直接答えました。

6.5の方法をおとり

pingとアルプの方法ですが、ローカルネットワークでのみ動作し、どこでも動作する方法をおとりします。
以来非常に多くのプロトコルを許可する"プレーンテキスト"パスワード、およびそれらのパスワードをハッカーを実行しsiftersを探して、単におとり法を満たすことが必要です。それだけでの構成を設定すると、クライアント側のネットワークのいずれかを使用して、クライアントのログオンスクリプトを実行するには、サーバーへtelnetを使って、ポップ、のimap 、または他のいくつかのプレーンテキスト形式のプロトコルです。サーバーには、特別なアカウントを設定していない本物の権利、または仮想サーバーが完全に（この場合には、実際に存在していないアカウント）します。

6.6ホスト法

お使いのシステムに侵入するハッカーときに、彼らは頻繁に通信傍受のプログラムを残すし、バックグラウンドで実行するためにパスワードやユーザーアカウントのにおいを嗅いでワイヤを切りました。これらはしばしばimbedded （としてトロイの木馬）で、他のプログラムではないので、もし何かを見つけるしかないが、このようなクエリを実行するには、インターフェイスを参照している場合はpromiscuousモードで実行されます。

6.7待ち時間法

このメソッドは、ほとんどのsniffersという前提に基づいていくつかのことをパースします。簡潔に言えば、この方法では、巨額のは、ネットワーク上のデータが送信されており、容疑者は、マシンに更新を通知する前に、データの洪水の中にいます。 promiscuousモードでは、マシンの場合は、それはデータをパースし、負荷が増加しています。それは余分に時間をかけるためにpingパケットに対応しています。この応答時間の差を示す指標として使用できるかどうかは、マシンは、 promiscuousモードだ。注目すべき点は、パケットの負荷が遅れる可能性がために、ワイヤ上のは、結果的にもっともらしいです。
これは、もっと邪悪な方法です。もう片方の手にすることができネットワークのパフォーマンスを大幅に低下した。その半面、することはでき'ブラインド' sniffersパケットを送信することによりトラフィックを過ぎるました。
このメソッドは関数の膨大な量のネットワークトラフィックを送信することにより、ワイヤ上のです。これは影響しません。非ごたまぜのマシンでは、探知しましたが巨大な影響を及ぼすのマシンでは、特にこれらのアプリケーション層のプロトコルでパスワードをパースします。単にpingを実行する前にマシンの負荷や負荷とテスト期間中の応答時間の違いを示すことができた場合は、マシンの下にロードします。
問題の1つにすることができ、この手法は、パケットの遅延というだけの理由で、ワイヤ上の負荷、タイムアウトのケースがあり、そのためもっともらしいです。その半面、多くのスニッフィングプログラムは"ユーザーモード"では、回答してpingを"カーネルモード"で、そのためには、マシンの負荷をcpuから独立し、それを引き起こして虚偽ネガます。

6.8 tdr （時間領域reflectometers ）

tdrレーダーは、基本的には、ワイヤします。下り線パルスを送信すること、そして、グラフを反射して戻ってきました。専門家を見ることができ、グラフや図は、応答するかどうかは、すべてのデバイスに接続してワイヤーしてはいけませんします。大体どこにも教え、線に沿って距離の点では、水道があります。
このハードウェアのパケットを検出することができsniffersに接続して、ワイヤのかもしれませんが、これは完全に沈黙してください。 tdrsを使用するには、昔使用され、多くのイーサネット同軸タップヴァンパイアを検出するためには、しかし、これらのスタートポロジ日間で、彼らは非常にまれに使用されます。そこにも存在しotdr機器が、これは本当に本当に妄想のためだけにします。

6.9ハブライト

ハブをチェックすることができ、手動でライトを参照してくださいがあれば、接続はありません期待します。お手伝いをしてどこにあるラベルの付いたケーブルを図（物理的に）パケットスニファかもしれませんがあります。

6.10監視

スマートハブを提供することができsnmp管理自動monitroningイーサネットハブ（や他の）します。でもあなたは、いくつかの管理コンソールの接続ログ/ disconnectionsに、すべてのポートがあります。設定した場合は、システムの情報をどこにすべてのケーブルを終了し、追跡することができときどきパケットスニファどこに隠れているかもしれませんします。

7 。にはいくつかのツールを使用することができsniffersを検出して、ネットワーク上します。

多くの人たちは、もはや時代遅れと積極的に維持され、ハードだけで、そしてときどきを見つけました。また、新しいsniffers書き換えてきた彼らの検出を回避します。しかし、ここではいくつかしてください。

7.1 。 promiscanバージョン0.27 ：これは、セキュリティの金曜日のプログラムを無料では、積極的に公開するように維持されます。それを実行するwindows 2000およびxpとのwinpcapドライバを必要とします。ローカルネットワークをスキャンすることができpromiscuousモードを探してリモートアダプタを使用して、パケットアルプます。

7.2 。 antisniffこのプログラムは、もともと書かれたl0phtが、これはサポートされなくなりまたは維持されます。

7.3 。 この無料プログラムを実行しセンティネルリモートごたまぜの検出、および実行するさまざまなバージョンのリナックスbsdとします。 libpcapにすることが必要とlibnetライブラリに動作します。

7.4 。 nepedネットワークごたまぜイーサネットディテクタは無料のunixベースのプログラムで書かれた最初のapostolsグループをリモートでpromiscuousモードを検出するネットワークインタフェースカードをlinuxコンピュータもあります。それだけで検出されたシステムではリナックスのサブセットを前にパッチを当ててカーネルのバージョン2.0.36ます。このapostolsウェブサイトには存在しませんを見つけることが困難とnepedすることができます。

7.5します。 チェックpromiscuousモード（インプレッション単価）これは、 unixベースのプログラムを無料で開発された証明書/受理官庁の増加に対応してネットワークのスニッフィングします。

7.6します。 ifstatusこれは、 unixベースの無料のプログラムを検出するインターフェイスをpromiscuousモードaixのシステムsolarisとします。

7.7します。 promisc.cこれは、 unixベースの無料のプログラムを検出するインターフェイスをpromiscuousモードのsunos linuxと、いくつかのシステムです。

8 。パケットの予防sniffers

最良の方法を確保する暗号化を使用するには、スニッフィングに反対します。これを回避するスニファされませんから、機能し、それはどのようなことを確認して、スニファは、純粋な迷惑を読み込みます。

幸いにしていくつかの方法を使用することができ、ネットワーク上に提供することを防止するため、受動的攻撃と呼ばれる探知します。

予防のためには、いくつかの技術：

8.1 。 pgpのとs / mimeで

電子メールを盗聴することができ、多くの別の方法があります。それを通過する企業のファイアウォール、トラフィックが監視しています。頻繁にログインして保存して取得するための期間延長します。見当違いを得ることがあり、誤って、結局は誰か他のメールボックスにします。最良の方法を維持する秘密は、このような電子メールを暗号化してください。共通の2つの方法があり、これは、 pgpの（のpretty good privacy ）とs / mimeで（セキュアのmime ）します。 pgpのを購入することができ、アドオンオプションとして、多くの製品です。 s / mimeでは、電子メールプログラムに組み込まれ、マイクロソフトネットスケープされました。

8.2 。 セキュアシェル（ sshの）

sshは、アプリケーションを実行するのtcp vpnのレベルを確保するためのクライアントサーバのトランザクションをします。これは全般でよく使用されるリモートサーバーのログイン情報を管理するとします。それを置き換えるには、通常使用されるのtelnetやftp 、バークレーやサービス" r "コマンドします。しかし、すべての任意のtcpプロトコルトンネルを通してssh接続することができ、多くのことができ、他のアプリケーションで使用されます。 sshの認証を提供したりしたのdsa rsaの非対称鍵ペアします。 sshセッションのヘッダーを暗号化していませんので、侵入者は、引き続きできるようになり、ソースと目的地の住所を表示します。

8.3 。 vpns （仮想プライベートネットワーク）

vpnsインターネット全体のトラフィックの暗号化を提供します。しかし、妥協た場合、ハッカーは、エンドノードのvpn接続、彼らのトラフィックのにおいを嗅ぐことができます。典型的なシナリオでは、エンドユーザーの人surfsインターネットの侵害を取得すると、通常のリモートアクセストロイの木馬（ラット）スニッフィングのプラグインが含まれます。 vpn接続を確立するときに、ユーザーは、プログラムがスニフィングを見ることは出来ません。トラフィックのみを暗号化し、インターネット上で見ることができるだけでなく、トラフィックを暗号化する前に取得して、スタックvpnを介して送信されます。

8.4 。 セキュアソケットレイヤー（ ssl ）の/トランスポート層セキュリティー（ tls ）に

のsslはもともと開発されたネットスケープコミュニケーションズを提供するインターネットのセキュリティとプライバシーをセッションします。それに置き換えられてきたのrfc 2246.tls提供tlsのに記載され、トランスポート層のセキュリティで、いくつかのセキュリティ上の問題を克服し、 sslをします。それが使用され、ネットワークのトラフィックをカプセル化して高レベルのldapなどのアプリケーションは、 httpやftp 、はnntp 、 pop3 、とのimapます。認証との整合性を経由して提供するデジタル証明書およびデジタル署名します。

8.5します。 ipセキュリティ（のipsec ）

ipsecは、ネットワークレベルのセキュリティプロトコルを組み込むことをipv4とipv6直接プロトコルをパケットレベルでのipパケットのヘッダーを拡張します。これにより、すべての能力を暗号化する上位レイヤのプロトコルです。それは、現在のデバイスに組み込まれルーティング、ファイアウォール、およびクライアントネットワークの信頼確保のために別の1つです。 ipsecのいくつかの手段を提供する認証および暗号化をサポートする、かなりの数の公開鍵認証暗号と対称鍵暗号暗号化します。トンネルモードで動作することができ新しいipヘッダーを提供することが、オリジナルのソースと目的地の住所のマスクです。

8.6 。 1回限りのパスワード（ otp ）

1回限りのパスワードは別の方法を守る探知します。秒/キーは、 1回限りのパスワードをすべて（オーピー）は、 1回限りのパスワードやその他のテクニックが身を守るの収集とパスワードを再利用します。彼ら運営するチャレンジレスポンス方式を使用すると、別のパスワードが送信されるたびに認証が必要となります。スニファを収集して、パスワードは使用できませんので、一度のみ使用されます。スマートカードには、人気の1つのメソッドを実装する時間passwords.eメールの保護は、企業や個人の両方話題になっています。 2つの方法で電子メールの保護は、暗号化されて輸送や貯蔵があり、かなりします。

9 。リファレンス

www.securitysoftwaretech.com
www.robertgraham.com
www.fernando.org.uk
www.linuxjournal.com
http://cs.baylor.edu
www.tldp.org
www.zurich.ibm.com
www.robertgraham.com
www.linuxsecurity.com

suhasするデサイ：
suhasする作業は、ハイテクデサイmahindra株式会社ソフトウェア開発者としてのプネます。彼はオープンソースコミュニティで活動しています。彼は多くの研究論文の執筆、記事、国際的な評判のための機能と国民会議、定期刊行物と手続きをします。 www.linuxsecurity.com彼の書き込みのための機能です。彼は彼の自由な時間の講義を行い、ワークショップの専門家や学生のためのソフトウェアです。

これは、記事に追加されsuhasするデサイ