Che cos’è, cosa fa e come scoprire uno sniffer nella rete informatica
Gli sniffer catturano solamente pacchetti, e non emettono niente. Questa situazione può essere paragonata a quella di scoprire ricevitori radio/TV. Bisogna dire, inoltre, che gli sniffer (attività di sniffing) si distinguono in due classi principali:
- stand-alone non trasmettono nulla, ed sono teoricamente impossibile da individuare;
- non stand-alone: generano del traffico ben identificabile ed è possibile localizzarli più facilmente nella rete.
Come facciamo a scoprire lo sniffer?
Metodo PING
Invio una richiesta all’indirizzo IP della macchina sospetta ma non al suo ethernet adapter. L’inconveniente prinicipale di questo metodo è che gli sniffer adottano un filtro MAC che vanificano la ricerca. Si usa dunque il metodo ping su ogni servizio attivo in rete che generi risposte conosciute, oppure si utilizza ogni protocollo che possa generare un errore sulla
macchina bersaglio.
Metodo ARP
Per scoprire gli sniffer si può usare anche il protocollo ARP (Address Resolution Protocol); il metodo più semplice è inviare un ARP request a un indirizzo non broadcast sospetto: se risponde è in promiscuos mode.
Variante del Metodo ARP
Si avvantaggia della cache ARP di ogni macchina, ossia l’archivio in cui vengono immagazzinati, per alcuni minuti o per un tempo più lungo, le informazioni relative sia al mittente che al destinatario del traffico generato da una determinata interfaccia.
Metodo source route
Vediamo dunque i dettagli del metodo source route. I passaggi principali di questo metodo sono i seguenti.
- Viene aggiunta una opzione alla testata di IP.
- I routers ignorano gli indirizzi di destinazione IP e invece considerano il prossimo indirizzo IP.
Detto ciò, questo vuole dire che , quando un utente spedisce il pacchetto, può dire “per favore spedisca un pacchetto a Bob, ma instradalo attraverso Anna.
Metodo HOST
Chiedo all’interfaccia, direttamente, se sta girando in promiscuous mode utilizzando l’utility ifconfig.
Metodo Latency
Attraverso il metodo latency il nodo viene sommerso da tutti i pacchetti in passaggio, determinando un latenza rilevante nell’invio della risposta ad un ping. Successivamente, un altro nodo presente nella rete inonda la rete di traffico, e invia dei ping all’interfaccia sospetta per verificarne un eventuale sovraccarico.
Il metodo latency presenta però degli svantaggi tra cui:
- Degrada sensibilmente le performance della rete locale.
- Genera molti “false positive”.
- Lo sniffer può fare in modo di rispondere al ping in “KERNEL-MODE”, restando cosi indipendente dal carico sulla CPU determinato dalla raccolta di tutto il traffico.
Altri metodi per individuare uno sniffer
TDR (Time-Domain Reflectometers): Cavo Radar che spedisce impulsi sul cavo, e riflette dei grafici. TDR fu usato da Ethernet per scoprire i cosiddetti “vampiri”, ma molto raramente vengono utilizzati oggi per le topologie a stella
Hub lights:Si può manualmente controllare l’HUB per vedere se c’è qualche collegamento inaspettato. Aiuta ad identificare cavi per dedurre dove (fisicamente) un sniffer del pacchetto è localizzato.
SNMP monitoring: Piccoli HAB intelligenti con gestione SNMP che possono provvedere a monitorare le HUB Ethernet (e altro).
Tools per scoprire gli sniffer
- AntiSniff
- CPM (Controlli Maniera Promiscua)
- neped
- sentinel
- cpm (Controlli Maniera Promiscua)
- ifstatus
Migliorare la protezione
Per avere una difesa migliore contro uno sniffer è possibile eseguire le seguenti azioni:
Sostituire l’HUB con uno switch
Vantaggi: Migliore protezione.
Svantaggi: L’hacker può intercettare paccetti ARP.
Metodo router redirection
Vantaggi: Si nascondono gli IP-to-MAC dei mittenti.
L’hacker non può instradare attraverso la propria macchina.
Configurazione manualmente degli indirizzi MAC
