[HACK] Detectar interfaces de red en modo promiscuo
Fernando Gont
fernando at gont.com.ar
Thu May 9 10:08:09 CEST 2002
At 17:56 06/05/2002 +0200, you wrote:
>¿Alguien sabe donde encontrar algo de teoria sobre como detectar en un
>segmento de red interfaces de red en modo promiscuo?
Realmente no recuerdo un link especifico, pero estoy seguro de que buscando
en Google debería saltar mas de un "paper" sobre el tema.
>¿Es esto posible? Si es posible ¿Es fiable?
Me atrevería a decir que es fiable que si detectás que una máquina tiene la
interfaz en modo promiscuo, lo está.
Pero no es fiable pensar que porque no la detectes, no está.
>Cualquier tipo de idea me vendría muy bien.
>Si conoceis algun tipo de comportamiento extraño ante algun tipo de
>paquetes (malformados,con dirección IP que no corresponda con la
>dirección ethernet,o cosas asi) por parte de estos interfaces, os
>agradecería que me lo contaseis.
Una forma simple (aunque obviamente no-infalible) de detectar un sniffer es
la de tirar algún paquete desde/hacia alguna dirección IP inexistente. En
este caso, es muy probable que el sniffer genere "reverse DNS queries" (es
decir, que intente obtener el dominio a través de una dirección IP). Si vez
ese tipo de pedido, es un indicio de que alguien está corriendo un sniffer.
Nota: esto que te digo sirve por ejemplo para detectar que alguien esté
corriendo un sniffer como el tcpdump (que por "default" intenta mostrarte
nombres de dominio en vez de direcciones IP), SALVO de que el mismo haya
sido corrido con la opción "-n", que explicitamente le indica que no tenga
ese comportamiento.
P.D.: Cualquier duda, preguntá.
Greetings, Fernando (fernando at gont.com.ar)
"De toda la memoria, solo vale el don preclaro de evocar los sueños"
- Antonio Machado
More information about the hacking
mailing list