Antisniff
AntiSniff 1.0
работающая под управлением Win NT
позволяет определить какая машина
в сети производит анализ сетевого
трафика внезависимости от того
какая OS используется на компьютере
с установленным сниффером. AntiSniff
тестирует сетевые интерфейсы по
трe:м параметрам - тест для
отдельных верий ОС, DNS тест и тесты
сетевой латентности. 1.1.Тест ядра
Linux. Он основан на том, что программа
посылает в сеть пакет с
некорректным MAC адресом, но
содержащий внутри вполне
корректный IP-пакет. Не находясь в
режиме sniff, ядро проигнорирует
такой пакет - у него ведь
неправильный MAC. Но, если на системе
запущен, к примеру, tcpdump, то пакет с
неверным MAC'ом будет перехвачен, и
система ответит на IP-пакет. Этот
ответ будет означать запущенный
сниффер. Этот тест основан на том,
что в нормальном режиме, прежде чем
рассматривать содержимое пакета,
машина сначала проверяет его MAC, в
режиме же перехвата траффика все
без исключения пакеты
перехватываются и обрабатываются.
Естественно, если сниффер
обработает такой пакет с
энкапсулироваными корректными
данными, то на него будет
произведен ответ.
NetBSD - аналогично
Windows 95/98/NT
В нормальных условиях сетевой
адаптер под win32 принимает пакеты,
предназначенные либо ему, либо
броадкасту (адрес ff:ff:ff:ff:ff:ff). Когда
адаптер находится в слушающем
режиме, то производится проверка
только первого октета MAC-адреса. и
если он равен ff, то пакет считается
броадкастовым - остальные октеты
игнорируются. Итак, посылая пакет с
MAC ff:00:00:00:00:00 и содержащий внутри
нормальный ICMP-пакет, если мы
получаем на него ответ - то машина
находится в режиме сниффинга. В
нормальном режиме такой пакет
просто игнорируется.
DNS тест
Зачастую хакеры, получив список IP
адресов подсети, устанавливают так
же имена DNS им соответствующие.
Конечно же, хост main_server.net.work - более
интересная цель для атаки, чем
terminal012.net.work ;-) AntiSniff так же
распознаe:т попытки resolv'a IP адресов,
стоящих в передаваемых пакетах. Это
достигается переводом самого
AntiSniff'a в режим сниффинга и
посылания пакетов фиктивным
хостам. Естественно, все попытки
resolv'a доменных имe:н у этих фиктивных
хостов будут замечены.
Тесты сетевой латентности
Вкратце можно сказать, что в
нормальных условиях посылка
большого количества пакетов с
несуществующим MACом не приведeт к
заметному ухудшению пинга до машин
в сети. Но, если в сети запущен
сниффер, то он будет перехватывать
эту бессмысленную "кашу" и
время ответа от такой машины
заметно увеличится.
Скачать AntiSniff можно http://www.l0pht.com/antisniff/dist/as-beta1.exe