Yerel Ağ Üzerinde Çalışan Paket Yakalayacıların(Sniffer) Tespit Edilmesi

Paket yakalayıcılar daha çok belirtilen ağ arayüzüne gelen giden trafiğin analizinin gerçekleştirilmesinde kullanılan araçlardır.

Özellikle detaylı trafik inceleme yetenekleri ile ağ sorunlarının çözümünde ingiliz anahtarı vazifesi görmektedirler.

Belirtilen ağ arayüzüne gelen, giden trafiği detaylı analiz etme , trafik kaydetme  vs. özellikleri güvenlik gerekçeleri nedeni ile tehlikeli olabilmektedirler. Linux/Unix dünyasında bu amaç için en çok kullanılan yazılımlar tcpdump, wireshark , tshark olarak göze çarpmaktadır.

Ethernet kartlarının çalışmasında donanım seviyesinde aşağıda belirtilen 4 tip filtreleme etkindir.

Unicast-> Kendi adresine gelen paketler
Broadcast -> Broadcast adresine gelen paketler
Multicast-> Üye olunan multicast gruba ait paketler.
Promiscious -> Gelen paketin ne olduğuna bakmadan kabul edildiği durum.

Yerel ağda iletişime geçmek isteyen iki uç birim arasında iletişim mac adresi aracılığı ile gerçekleştirilir. İletişime geçmek isteyen uç birim hedef ip adresinin mac adresini biliyorsa eğer, bu mac adresli uç birimle iletişimi başlatabilir, eğer hedef uç birimin mac adres bilgisine sahip değilse bütün ağa (broadcast) bu ip adresli uç birimin mac acdresi nedir manasına gelen bir mesaj yayınlar ve ilgili uç birim bu mesaja bu ip adresi benim diyerek ilgili mesaja mac adresini dönerek, iletişimin başlamasını sağlar.

Bu arada diğer uç birimler ilgili mesaj kendileri ile ilgili olmadığı için bu mesaji dikkate almazlar. Normal trafik akışı bu şekilde işlerken ,uç birimler promiscious mod olarak adlandırılan, gelen paketin ne olduğuna bakılmadan kabul edildiği durumda uç birimler ilgili mesaji alarak işleme alırlar. Paket yakalayıcılarda promiscious modda çalışarak gelen giden her türlü paketi işleme alırlar.

Paket yakalayıcı çalıştırılan uç birimlere kendisinin sorgulandığı bozuk broadcast paketleri gönderilir. Normalde uç birim promiscious modda değilse bu paketleri önemsemeyecektir. Ama promiscious modda ise paketin hedefi neresi olduğunu kontrol etmeksizin paketi kabul edecektir ve paketin içerisinde de kendisinin sorgulandığını gördüğü için cevaplayacaktır. Böylece biz de o uç birimde paket yakalayıcı çalışıp çalışmadığını anlayabilecegiz.

Bu işlem çeşitli araçlar kullanılarak gerçekleştirilebilmektedir.BGA ekibi tarafından scapy kütüphanesi kullanılarak hazırlanan paket koklayici aracına http://www.bga.com.tr/araclar/detect_sniffer.py linkinden erişim sağlayabilirsiniz. Çalışmasına ilişkin örnek kullanım ve çıktılar aşağıda görüldüğü gibi olmaktadır.

# ./dedect_sniffers.py -ip 192.168.1.1

***http://bga.com.tr***

192.168.1.1: NOT

# ./dedect_sniffers.py -ip 192.168.1.2

***http://bga.com.tr***

192.168.1.2: OK

# ./dedect_sniffers.py -net 192.168.1.0/24

***http://bga.com.tr***

192.168.1.2

192.168.1.37

192.168.1.109

Kaynaklar:

——-

http://www.securityfriday.com/promiscuous_detection_01.pdf

http://blog.lifeoverip.net/2007/04/20/yerel-aglarda-snifferlarin-tespiti/