[connect24h:0679] Re: SEC2001-Promisucuous Mode検出

[DANNA <danna@xxxxxxxxxxx>]

ダンナ＠サポセンです。

いはらさん
> >私が人知れずパケットモニタリングしたいなら、Linuxのnicデバイスドライバ
> >をちょっと書き換えて、パケット送信をしないようにしてから、tcpdumpを走
> >らせると思います。(完全受動モード)
〜〜〜〜〜 snip 〜〜〜〜〜
> >この程度の小細工でも検出はかなり難しくなるでしょうね。
> 
> 素朴な疑問として、その状態にあるシステムをネットワーク上から
> 検出することって可能なんでしょかね？

antisniff、promiscanって、対象のNICがなんらかの反応を示すことを前提と
してるハズだから、まったくパケットを送信してくれないノードとか、ポート
ミラーリング、Tap使ってsniffしてるヤツってのは検出しようが無いと思いま
す。

ノードの存在自体も調べようが無いし。HUBのLinkLampとかsnmpでおかしな挙
動を示してるポートを力技で追っかけるようかも。

でも、antisniffとかは、目的がヤラれちゃったホストや、悪意のある利用者
が動かしているsnifferの検出が目的ですよね。普通に通信してるけど、実は
snifferが仕掛けられているってノードなら、挙動があやしいかどうかくらい
は検出できそう。

まだl0pht重工業だった頃にantisniffを１度だけ動かしたことあります。ち
ょっとしか使わなかったので、検証って程までたどり着けませんでした。時
間あったらまた使ってみたいな。

+----------------------------------------+
+    DANNA @ SAPOSEN
+  e-mail : danna@xxxxxxxxxxx
+  web site : http://www.hawkeye.ac/micky
+----------------------------------------+



--[PR]------------------------------------------------------------------
　★┃今┃週┃の┃ベ┃ス┃ト┃セ┃ラ┃ー┃★┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
【送料無料の楽天ブックス】話題の本を今すぐチェック・・・
 http://ad.freeml.com/cgi-bin/ad.cgi?id=a6JHW
------------------------------------------------------------------[PR]--