Aqui tem uma pequena FAQ sobre Sniffer escrito por Chri
stopher William Klaus que trabalha no sistema de segurança de computadores.
1. O que é sniffer e como ele funciona?
Computadores em rede compartilham canais de comunicação. Isso é, obviamente, muito
mais barato que passar um cabo para cada par de computadores e usar um switch (hub) pra co
mutar as conexões. Neste canais compartilhados, computadores podem receber informações env
iadas a outros computadores. A ação de capturar informações destinadas a uma outra máquina
é chamada sniffing.
O padrão Ethernet envia um pacote para todas as máquinas em um mesmo segmento. O c
abecalho do pacote contem o endereço da máquina destino. Supoe-se que somente a máquina qu
e tenha o endereço contido no pacote receba-o. Diz-se que um computador está em modo promí
scuo quando o mesmo captura todos os pacotes, independentemente de serem ou não destinados
a ele.
Em um ambiente de rede normal, os nomes e as senhas dos usuários sao passadas atra
ves da rede em claro, ou seja, texto não criptografado. Não é dificil, portanto, um intrus
o utilizando uma máquina com interface de rede em modo promíscuo, obter qualquer senha,
inclusive a do root, usando um sniffer.
2. Como detectar um ataque de um sniffer?
Para detectar um dispositivo sniffer que somente coleta dados e não responde a nen
huma solicitacao, é necessario o exame fisico de todas as conexões ethernet e a verificaçã
o individual das interfaces.
Um sniffer, rodando em uma máquina, coloca a interface de rede em modo promíscuo
com o intuito de capturar todos os pacotes de um determindado segmento. Na maioria dos si
stemas Unix é possivel detectar uma interface promiscua.
Note que é possivel usar um sniffer em modo não promíscuo, porem somente poderao
ser capturados os pacotes enderecados para a máquina onde ele está rodando.
Para SunOs, NetBSD, e diversos derivados de BSD Unix systems, o comando "ifconfig
-a" mostrará informações relativas a todas as interfaces.
A utilização do comando "ifconfig" no DEC OSF/1, IRIX e em alguns outros Unix,
requer que o dispositivo seja especificado. Uma maneira de saber o nome deste dispositivo
é utilizar o comando "netstat -r"
Assim, para testar a interface utiliza-se o comando "ifconfig le0".
No Ultrix é possivel detectar o uso de sniffer com os comandos pfstat e pfconfig.
pfconfig mostra quem está rodando o sniffer e o pfstat mostra se a interface está
ou não em modo promíscuo.
Em sistemas como Solaris, SCO e algumas versoes do Irix, não existe indicação de
modo promíscuo, não havendo, portanto, maneiras de detectar o uso do sniffer.
Como o volume de informações que trafegam em uma rede tente a ser grande, grande
também sera o tamanho do log gerado pelo programa sniffer. Pacotes como o tigger tentam
encontrar arquivos de log, com esta característica.
É altamente recomendado o uso da ferramenta lsof
(disponível em ftp://coast.cs.purdue.edu/pub/Purdue/lsof (ftp://coast.cs.purdue.edu/pub/Purdue/lsof)) para procurar arquivos de log e
programas acessando dispositivos como o /dev/nit (no caso do SunOS).
Não são conhecidos comandos para detectar um IBM PC compativel em modo promíscuo.
3. Bloqueando ataques de sniffer
Hubs ativos e switches enviam um pacote somente para a máquina destino, tornando a
ação no sniffer sem efeito. Note que isto somente funciona em circuitos 10 base T.
(texto enviado por «« Gµ§†åVø »» - ICQ UIN: 99269252)
(Autor desconhecido)
Fonte:txt.org