Dániel Nagy

DETECTING SNIFFERS ON AN ETHERNET NETWORK
PART II. - THE EXPERIMENTS

Abstract

Sniffing detection on an Ethernet network can be carried out by sending forged frames and then listen for the replies. The method relies on the fact that the sniffing host's NIC must be in promiscuous mode. This way it may answer irregular Ethernet frames. This seems to be a very straightforward and undertakeable approach for detecting sniffers. Practice, however, can be different from theory. This is the second and last part of two articles, where I present my experiments. I have developed a special software tool called mySnifferDetector, which is capable of sending out special purpose built frames (forged frames) to the Ethernet network, and then listens for the replies. By sending out these forged frames to a range of IP address, a sniffing host might be detected.

Ethernet hálózaton a sniffer detektálás irreguláris Ethernet keretek kiküldésével, majd az azokra érkező válaszüzenetek kiértékelésével lehetséges. A sniffelő számítógép hálózati interfésze ilyen esetben promiscuous módban kell legyen, ami azt eredményezi, hogy irreguláris Ethernet keretekre is válaszolhat. Ez egy igen egyszerű és megvalósítható sniffer detektálást valószínűsít. A gyakorlat azonban rácáfolhat erre a feltételezésre. Jelen cikk a második része egy kétrészes sorozatnak, amelyben bemutatom a témában elvégzett kísérleteimet. A cél érdekében fejlesztetem egy sniffer detektálásra alkalmas toolt, a mySnifferDetectort. A tool képes irreguláris Ethernet keretek kiküldésére, majd az ezekre érkező esetleges válaszokon alapulva a sniffelés tényét megállapítani. A módosított csomagok egy teljes IP tartományra kiküldhetők, így a hálózaton lévő sniffer elméletileg felderíthető.

Keywords: sniffing detection, Ethernet, OSI Level2, secrecy, privacy ~ hálózati forgalom figyelés, Ethernet, OSI adatkapcsolati retag, biztonság, titkosság

 

A teljes cikk megtekintése »

 

Vissza a tartalomhoz