[connect24h:0653] SEC2001-Promisucuous Mode 検出

[taka-yk@xxxxxxxxxxxxxxxx]

はじめまして。高橋と申します。私もSec2001に参加しました。高木さんや三輪さん井原さんのセッションとても参考になりました。特に三輪さんのセッションは、ユーモアを交えたお話で楽しめました。あの静かな会場に爆笑の渦が起こすなんて、すばらしいプレゼンテーション能力ですよね。

SEC2001の河端さんのセッションで質問がでていたスニッファの検出ですが、自宅に帰った後確認したところ「クラッキング防衛大全」(Sec2001のセッションスピーカーだった宇野俊夫さんの監修)6章にこの情報が載っていました。
ホストベースで、スニッファプロセスを検出するものとネットワークベースで動作するものがあるそうです。ネットワーク型で動作するものの例として、AntiSniff　　(http://www.l0pht.com/)が取り上げられています。ホームページで確認したところ、３つのテスト(OS固有のテスト、DNSテスト、遅延のテスト)で、プロミスカスモードで動作している可能性の高いネットワークノードを検出できるようです。

TechnicalDetailをざっと読むと、遅延テストでは、プロミスカスモードで動作していないネットワークカードでは、NICのファームウェアで動作するハードウェアフィルタによってドロップされるはずのフレームを大量に流し、それによる遅延の発生から検出を行うようです。
OS固有のテストでは、Windows系OSであれば、プロミスカスモードで動作している場
合ドライバーがUnicastとBroadcastの判別に最初の1オクテットのみを利用する
ことを利用して、MAC　ff-00-00-00-00-00で正しい送信先IPをセットしたフレームを作り、応答があればプロミスカスモードであると判定するそうです。
(プロミスカスモードで動作していなければ、MAC　ff-00-00-00-00-00は、ドロップされます。)

どなたかこのツールを使った経験のある方がいれば、ぜひレポートをお伺いしたいところです。

----　K.Takahashi


--[PR]------------------------------------------------------------------
【FreeMLからのお知らせ】
 ユーザー登録すると、MyPageっていうとっても便利なページが使えるように
 なります。
 例えば、MLの過去ログが見られたり、アドレス変更も簡単に行えます。
 　　　　　　　 http://www.freeml.com/reg_member1.php
------------------------------------------------------------------[PR]--