it-swarm-tr.com

LAN'da bir NIC karışık modda olduğunu nasıl öğrenebilirim?

LAN'da bir NIC karışık modda olduğunu nasıl öğrenebilirim?

30
LanceBaynes

DNS testi - birçok paket koklama aracı, IP adresleri yerine DNS adları sağlamak için ad aramalarına IP adresi uygular. Bunu test etmek için, ağ kartınızı karışık moda yerleştirmeniz ve sahte ana bilgisayarları hedefleyen ağa paketler göndermeniz gerekir. Sahte ana bilgisayarlardan herhangi bir ad araması görülürse, ana bilgisayar üzerinde arama gerçekleştiren bir dinleyici etkin olabilir.

ARP Test - Karma moddayken, ağ kartı sürücüsü tek noktaya yayın paketleri için MAC adresinin ağ kartında olup olmadığını denetler, ancak yalnızca MAC adresinin ilk sekizlisini 0xff değerine göre denetler paketin yayınlanıp yayınlanmadığını belirleyin. Bir yayın paketinin adresinin ff: ff: ff: ff: ff: ff olduğunu unutmayın. Bu kusuru test etmek için, MAC adresi ff: 00: 00: 00: 00: 00 ve Ana Makinenin doğru hedef IP adresi olan bir paket gönderirseniz. Bir paket aldıktan sonra, hatalı sürücüyü kullanan Microsoft OS, karışık moddayken yanıt verecektir. Muhtemelen sadece varsayılan MS sürücüsü ile olur.

Ether Ping testi - Eski Linux çekirdeklerinde, bir ağ kartı karışık moda yerleştirildiğinde, her paket işletim sistemine aktarılır. Bazı Linux çekirdekleri işlenip işlenmeyeceğini belirlemek için yalnızca paketlerdeki IP adresine baktı. Bu kusuru test etmek için sahte bir MAC adresi ve geçerli bir IP adresi içeren bir paket göndermeniz gerekir. Ağ kartları karışık modda olan savunmasız Linux çekirdekleri yalnızca geçerli IP adresine bakar. Yanıt almak için sahte paket içinde ICZ yankı isteği iletisi gönderilir.

Belki daha fazlası var, benim için DNS testi en güvenilir

33
VP.

@vp teoriyi verdi, bazı araçlar vereceğim.

Linux sistemlerinde kullanım için:

  • SniffDet: Bu 4 farklı test kullanır: ICMP testi, ARP testi; DNS testi ve ayrıca bir LATENCY testi (VP01'den bahsetmedi). Araç yakın zamanda güncellenir ve bunu tavsiye ederim.

Ayrıca:

  • nmap: nmap için sniffer-tespit.nse adında bir NSE betiği vardır.
  • nast : ARP testi yaparak diğer bilgisayarları karışık modda algılar.
  • ptool : ARP ve ICMP testi yapar. Son taahhüt 2009'da idi .

Windows sistemleri için:

  • Cain & Abel birçok ARP testi türünü kullanarak karışık bir tarama yapabilir.
  • Promqry and PromqryUI Bu amaçla Microsoft araçları da, ancak nasıl çalıştıklarından gerçekten emin değilim.

Genel tespit tekniklerine gelince, bal küpü tespit denilen başka bir tane daha var. Gecikme testi ve bal küpü tekniği ile ilgili detaylar sniffdet'in dokümantasyon bölümünde bulunabilir.

25
john
15
Jon Bringhurst

Yerel ağın yerel ağ trafiğini karışık bir şekilde koklayıp kokmadığını belirlemek her zaman mümkün olmasa da, bunu yapan paket yakalama uygulamalarının çoğunu veya tümünü çökertmek mümkün olabilir.

Bir başlangıç ​​noktası için Samy's http://samy.pl/killmon.pl komut dosyasına göz atın. 2011'de çalışan uygulamaların çoğunun, çökme bellek erişim ihlali (veya arabellek taşmasına neden olan bir okuma/yazma istisnası) olarak savunmasız olmasa bile, en az bir DoS kilitlenme saldırısına karşı savunmasız olduğunu unutmayın.

2
atdre

Ping yanıt sürelerindeki farklılığa bakarak bunu güvenilir bir şekilde algılayan bir araç olduğuna inanıyorum. Araç aynı IP adresine ping gönderir ve aynı zamanda farklı MAC adreslerine sahip çok sayıda ping gönderir.

Araç çalışır çünkü karışık moddaki kartlar CPU'ya tüm trafiği geri döndürür, bu nedenle CPU'ya çok fazla paket varken, orijinal pinglere yanıtı yavaşlatır. Normal moddaki bir kart, farklı MAC adreslerine sahip tüm paketleri yok sayar, böylece yanıt süresinde bir fark olmaz.

Birisi aracın adını ekler

2
Stuart