PROCURAR:     
  Terça, 06/01/2009
» Introdução
» Programação
» Administração
» Hardware
» Aplicativos
» Jogos
» Segurança
» Editorial
» Entrevistas
» Fórum
» Links
» Notícias
» Pegue o Linux
» Documentação
» Programas
» Dúvidas
» Oportunidades
» Sobre
» Contato
» Publicidade
 
Powered By:
DEBIAN
GNU/LINUX
 
English Version
 
 
Shopping OLinux
Sniffers - Parte III
Por: Giovanni Nunes

Introdução

Já foi discutida a teoria, demonstrado como se faz e passados alguns modos de tornar rede mais difícil para um sniffer . Desta vez irei comentar sobre algumas tecnicas para detectar quem na rede está fazendo sniffing . Detectar? Na primeira parte deste artigo eu mesmo não havia dito que sniffing era transparente?

Sim, ele é invisível e, em teoria, indetectável pois apenas coleta informações sem transmitir nada. Porém durante o processo eles acabam produzindo alguns efeitos colateriais que, se estiverem sendo procurandos, podem denunciá-los.

Modo Promíscuo

Como já foi dito outras vezes, quem esta fazendo sniffing está com o adaptador de rede operando em modo promíscuo, logo basta descobrir quem está agindo assim, e a forma mais fácil é simplesmente perguntando! Que no caso do GNU/Linux significa:

artemis:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:00:21:CE:11:43
inet addr:10.0.0.1 Bcast:10.0.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING PROMISC
MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Interrupt:12 Base address:0xf680

Nota: em alguns UNIXes (como Solaris e OpenBSD) você precisará acrescentar o "-a" à linha de comando.

Claro que isto não é 100% confiável pois o invasor pode muito bem ter substituído o ifconfig original por um que não mostre esta mensagem, assim para ter certeza use uma versão original do binário (por exemplo, o binário gravado no CD da sua distribuição). Inclusive uma boa dica de segurança para verificar invasões é fazer uma verificação periódica da integridade dos binários comparando a assinatura MD5 deles.

Outra maneira é explorando uma curiosidade na implementação TCP/IP de alguns sistemas (inclusive no GNU/Linux). Neste caso um computador operando em modo promíscuo acaba por responder a todos os pacotes TCP/IP enviados para seu endereço IP, mesmo que o endereço MAC de destino dos frames estejam errados. Algo que não aconteceria em um modo norlam de operação, pois com o "MAC Address Filter" ligado o adaptador descartaria os frames que não o pertencem. Como isto já foi bastante divulgado, programas mais novos de sniffing cuidam de fazer o "MAC Address Filter" por software.

E apenas por curiosidade alguns sistemas operacionais, por exemplo o Microsoft Windows, incluem estes filtros nos próprios drivers.
Próximo»

Introdução
Modo Promíscuo
Armadilhas
Considerações Finais


Enviar para um amigo
Imprimir
Índice de artigos

ENQUETE
Neste novo ano,qual distribuição você pretende usar?

Goblinx
Opensuse 11
Debian 4.0
O novo ubuntu
Outra


NEWSLETTER
Inscreva-se e receba as últimas notícias, programas, artigos, novidades e tudo do mundo Linux que aconteceu na semana.
 
Digite seu email:
Publicidade / Sobre OLinux / Entre em Contato / Privacidade
Copyright (c) 2000-2007, OLinux - O Portal de Linux do Brasil.
Desenvolvido por: Linux Solutions
Todos os Direitos Reservados.