[port139:00777] Re: スイッチとスニフィング

["Kunikata Tamaki" <tama@xxxxxxxxxxxxx>]

> そういえば、port139の社員旅行で温泉とかって話があったような。

　と、遠くない場所を希望・・・

> 他のネットワークは知らないのでアレなんですけど、ボクの知ってるトコ
> では、ルータの arp timeout を結構長めに取ってます。SNMPエージェント
> が動き回る都合上半日とかに設定してたりするのです。デフォルト値もそ
> こそこ長かったような。

　確かに、攻撃者が送信元端末のarpキャッシュだけでなく、通信相手側の
arpキャッシュも改ざんするタイプの手法を使っていて、しかも通信相手が
ルーターのように比較的しっかり監視されていることの多い機器の
場合には、スニフィングを検出するチャンスは増えそうですね。

　これが、同一ネットワーク内の２端末間の通信であったり、
送信元端末のarpキャッシュのみ改ざんする手法を使われた場合には、
攻撃者が去った事による通信不能状態は先に書いたようなarpキャッシュの
最大有効期間経過後、あるいは端末の再起動によって復旧してしまいますので、
スニフィングが行われた事自体に気づきにくいのではないかと思います。

TAMA