Sniffer im Netzwerk finden?

Isarianer_7a8711 · 7. Oktober 2003 um 16:48

Hallo Experten,

es gibt ja einen ganze Menge verschiedener Sniffer, um den Netzwerkverkehr im LAN mitzuschneiden.

Gibt es auch Tools, welche herausfinden, ob ein User über einen Sniffer den LAN Verkehr mithört?

Leider habe ich diesbezüglich nichts gefunden, und bitte daher euch um Hilfe.

Gruß und Dank
Rudi

Malte_4b1c84 · 7. Oktober 2003 um 18:42

Jein
Hallo Rudi,

es gibt ja einen ganze Menge verschiedener Sniffer, um den
Netzwerkverkehr im LAN mitzuschneiden.

Gibt es auch Tools, welche herausfinden, ob ein User über
einen Sniffer den LAN Verkehr mithört?

wenn Du in Google mal die Suchbegriffe

sniffer detection

eingibst, kommen da einige Ergebnisse. Ich hab bislang keines dieser Tools ausprobiert, deshalb kann ich dazu nix weiter sagen, außer:

Du kannst Sniffer damit entdecken. Aber Du kannst nie sicher sein, daß Du damit ALLE Sniffer in Deinem Netz entdeckst. Im Zweifelsfall knippst jemand einfach die Litzen für’s Senden am Netzwerkkabel ab (phsykalisch oder mittels Treiber-Hack) und schon hast Du keine Chance mehr, diesen Sniffer mit solch einem Tool zu entdecken.

Gruß,

Malte.

C_S_fa6cf5 · 7. Oktober 2003 um 22:20

Zusätzlich zu dem was Malte sagte, gibt es noch unzählige Tools, die Netzwerkkarten im lokalen LAN entdecken können, die im Promiscuous-Mode arbeiten. In diesem Modus nimmt die Netzwerkkarte jedes Datenpaket an - eine Voraussetzung um zu sniffen.

Dabei wird analysiert welche IP-Adressen im Netz vorkommen, und den Systemen werden dann IP-Pakete mit falscher dest. MAC-Adresse geschickt. Normalerweise werden diese Pakete verworfen, im Promiscuous-Mode allerdings nicht und der IP-Stack antwortet.
Oder es wird eine ARP-Anfrage an die Unicast-Adresse geschickt, und wer antwortet arbeitet im Promiscuous-Mode.

Eine 100%ige Lösung ist es auch nicht, aber man kann erkennen, welche Systeme Traffic mittracen „könnten“. Habs vor ca. 2 Jahren mal unter Linux getestet und das Ergebnis war okay.

Mehr: nach „Promiscuous mode detection“ googlen!

Chris

Sebastian · 7. Oktober 2003 um 23:11

Huhu,

wenn Du in Google mal die Suchbegriffe

sniffer detection

eingibst, kommen da einige Ergebnisse.

Mein Favorit ist seit langem http://www.robertgraham.com/pubs/sniffing-faq.html

Gruß,

Sebastian