- PR -

パケットの監視

投稿者投稿内容
樫田
常連さん
会議室デビュー日: 2002/07/18
投稿数: 25
投稿日時: 2003-11-26 19:23
> >(1)自分が送出したパケットが監視ツールに監視されているか否か知る方法は
> >ありませんか?(たぶん無いよね)
>以前どこかのスレッドであったような気がします。
>ARPを調べてプロミスキャスモードになっていたら監視ツールが起動していると
>判断するものです。

PromiScan というツールは、まさにそのような動作を行ないます。
このツールの紹介は、この会議室の他のスレッドでも何度か取り扱われて
いるので、過去ログを参照されることをお勧めします。

>実際プロミスキャスになっていなければクライアントからは監視なんて出来ないと
>思いますし実害ないのではないでしょうか?

プロミスキャス以外にもデータの盗聴は可能です。例えば、ARP汚染という
テクニックを使うと、プロミスキャスモードにしないままでパケットを
取り込み(ハイジャック)できます。
(ネットワーク全体は対象にできず、個別システムの監視のみですが)
実際に、ARP汚染 + 盗聴を簡単に行なうネットワークツールも出回っています。
この会議室の過去スレッド「無線による有線LANの盗聴は可能」も参考になるかと
思います。

Hide
会議室デビュー日: 2003/12/09
投稿数: 1
投稿日時: 2003-12-09 18:59
| (1)自分が送出したパケットが監視ツールに監視されているか否か知る方法は
|   ありませんか?(たぶん無いよね)

基本的には難しいと思う
プロミスキャスホストが居たとしても、そいつが見ているとは限らないし
スイッチのミラーリングポートで見られていたら...

樫田
常連さん
会議室デビュー日: 2002/07/18
投稿数: 25
投稿日時: 2003-12-11 14:08
| (1)自分が送出したパケットが監視ツールに監視されているか否か知る方法は
|   ありませんか?(たぶん無いよね)

確実ではありませんが、比較的有効な方法に「DNSサーバのログを読む」方法が
あります。

ある環境でDNSサーバのログを監視します。ログには様々なマシンからの名前解決の
リクエストが送られているはずですが、その中のある特定のマシンだけ、ネットワーク
上で動作中の全マシンの名前解決を要求する(しかも頻繁に)ものがあるかもしれません。
その場合、その特定のマシン上でスニーファなどの監視サーバが動作している可能性が
あります。

例えばあるマシンがサーバ用途で無い場合に、そのマシンが他のマシンから
DNSの名前解決される可能性は(ありえなくは無いにしても)非常に少ないでしょう。
ましてや全てのマシンの名前解決を比較的頻繁に行なう必要は、管理者が
意図して設置した管理用のマシン以外にありえないはずです。
もしもこの怪しいマシン上で、スニーファなどが動作している場合、実装にも
よりますが、他のマシン名などを表示するために、それらのマシンの名前解決を
行なう場合があります。その場合、DNSサーバにリクエストが飛ぶはずです。

これは有名なスニーファの論理的チェック技法の1つです。

名前解決を行なわないスニーファもあるはずですが、特に考慮していない
スニーファも多いはずです。いくつかのスニーファを使用して、自分のネット
ワークでテストしてみると、興味深い結果が得られることと思います。

スキルアップ/キャリアアップ(JOB@IT)