Antisniff


AntiSniff 1.0 работающая под управлением Win NT позволяет определить какая машина в сети производит анализ сетевого трафика внезависимости от того какая OS используется на компьютере с установленным сниффером. AntiSniff тестирует сетевые интерфейсы по трe:м параметрам - тест для отдельных верий ОС, DNS тест и тесты сетевой латентности. 1.1.Тест ядра Linux. Он основан на том, что программа посылает в сеть пакет с некорректным MAC адресом, но содержащий внутри вполне корректный IP-пакет. Не находясь в режиме sniff, ядро проигнорирует такой пакет - у него ведь неправильный MAC. Но, если на системе запущен, к примеру, tcpdump, то пакет с неверным MAC'ом будет перехвачен, и система ответит на IP-пакет. Этот ответ будет означать запущенный сниффер. Этот тест основан на том, что в нормальном режиме, прежде чем рассматривать содержимое пакета, машина сначала проверяет его MAC, в режиме же перехвата траффика все без исключения пакеты перехватываются и обрабатываются. Естественно, если сниффер обработает такой пакет с энкапсулироваными корректными данными, то на него будет произведен ответ.

NetBSD - аналогично
Windows 95/98/NT
В нормальных условиях сетевой адаптер под win32 принимает пакеты, предназначенные либо ему, либо броадкасту (адрес ff:ff:ff:ff:ff:ff). Когда адаптер находится в слушающем режиме, то производится проверка только первого октета MAC-адреса. и если он равен ff, то пакет считается броадкастовым - остальные октеты игнорируются. Итак, посылая пакет с MAC ff:00:00:00:00:00 и содержащий внутри нормальный ICMP-пакет, если мы получаем на него ответ - то машина находится в режиме сниффинга. В нормальном режиме такой пакет просто игнорируется.

DNS тест
Зачастую хакеры, получив список IP адресов подсети, устанавливают так же имена DNS им соответствующие. Конечно же, хост main_server.net.work - более интересная цель для атаки, чем terminal012.net.work ;-) AntiSniff так же распознаe:т попытки resolv'a IP адресов, стоящих в передаваемых пакетах. Это достигается переводом самого AntiSniff'a в режим сниффинга и посылания пакетов фиктивным хостам. Естественно, все попытки resolv'a доменных имe:н у этих фиктивных хостов будут замечены.

Тесты сетевой латентности
Вкратце можно сказать, что в нормальных условиях посылка большого количества пакетов с несуществующим MACом не приведeт к заметному ухудшению пинга до машин в сети. Но, если в сети запущен сниффер, то он будет перехватывать эту бессмысленную "кашу" и время ответа от такой машины заметно увеличится.

Скачать AntiSniff можно
http://www.l0pht.com/antisniff/dist/as-beta1.exe