Quelqu'un peut-il me dire comment fonctionne exactement "test ICMP"? (Une des méthodes pour détecter le reniflement dans le réseau local)Détection de reniflage
Répondre
La détection de reniflage consiste essentiellement à détecter s'il y a des renifleurs dans votre réseau. La principale caractéristique des sniffers utilisés pour les détecter est qu'ils placent la carte réseau en mode espion, en écoutant tout le trafic. Généralement, un renifleur est placé sur une machine avec une pile TCP/IP complète qui sera affectée par ce mode. Le protocole ICMP est le protocole à l'origine de la commande ping
. Pour envoyer une requête ping à une machine, vous lui envoyez un paquet de requête ICMP Echo et attendez une réponse ICMP. Généralement, la requête ICMP est intégrée dans un paquet Ethernet à distribuer sur le réseau. Un paquet Ethernet standard comprendrait l'adresse MAC de la carte réseau adressée, ainsi que l'adresse IP de cette machine dans le paquet ICMP intégré. Le paquet serait détecté par la carte appropriée et cette machine répondrait au ping
. C'est le processus standard.
Maintenant, nous allons voir ce qui se passe si nous avons envoyé un paquet ping
(requête ICMP Echo un) avec l'adresse IP de l'adresse renifleur suspectée, mais avec un autre , adresse MAC défectueuse dans l'enveloppe Ethernet.
Si la carte réseau dans la machine à sniffer est pas sur le mode promiscuous, le paquet ne pas être reçu par cette machine. Naturellement, la machine ne répondrait pas. La tentative
ping
échouerait. Si la carte réseau de la machine renifleur est en mode promiscuité, la machine verra tous les paquets sur le réseau. La pile TCP/IP sur cette machine accepterait donc le paquetping
en identifiant l'adresse IP de paquet reçue. La pile enverrait ainsi une réponse. La tentativeping
réussirait.
Semblable à d'autres méthodes de détection, ceci a des faux positifs aussi bien que des faux négatifs. La machine sniffer peut être chargée d'ignorer toutes les requêtes ICMP. La détection du mode promiscuous ne détecte pas exactement les renifleurs, bien que ce soit un indice très significatif.
Merci beaucoup. C'est exactement ce dont j'ai besoin :) Savez-vous peut-être comment envoyer un paquet ICMP comme celui-ci (à l'adresse IP suspectée mais différente, adresse MAC défectueuse) dans .NET/C#? – Saint
Votre phrasé n'a aucun sens pour moi. Peut-être que vous pouvez clarifier? – jdizzle
J'ai entendu parler d'envoyer un paquet ICMP à un hôte suspecté d'être un renifleur. Ce paquet devrait avoir quelques changements (adresse MAC de sth) mais je ne sais pas quoi et pourquoi. – Saint