네트워크 스니핑 및 스니퍼 탐지 도구

Sniffing FAQ 입니다.

     http://www.securitymap.net/docs/faq/sniffing-faq.htm 

일반적으로 많은 사이트에서(특히, 호스팅 업체들) 스니핑(네트워크 도청)을 막기 위하여

네트워크 세그먼트를 나누어 스위칭 허브를 사용하고 있지요

하지만 이것도 완전한 방법은 아니지요.

위 문서는 스위칭 허브 환경에서 다른 세그먼트의 트래픽을 스니핑하는 방법과 그에 대한 대책이 나와 있습니다.

그리고 네트워크를 스니핑하는 시스템을 탐지하는 방법에 대해서도 나와 있네요 ...

참고로 스니퍼를 탐지하는 도구로는 sentinel.tar.gz (2000-04-10)이라는 도구가 있습니다.

위 문서에 나와있는 탐지방법을 구현한 도구 입니다.

      http://www.securitymap.net/tools-ids.html

또 다른 보조 도구로는 arp 활동을 감시하여 경보를 주는 arpwatch라는 도구가 있는데 매우

유용하게 활용할 수 있을 것 같네요

       ftp://ftp.ee.lbl.gov/

스니핑을 막기 위한 보다 간편하고 좋은 방법이 있을텐데 ... 좀더 생각해 봐야 겠네여 ..

혹 누구 아는 사람 없나여 ?

+---+----+----+----+----+

SecurityMAP Site Admin

talltree2@hanmail.net

http://www.securitymap.net

 

 LIBNET 설치하기

 . 네트워크 프로그래머로 하여금 로레벨 네트워크 프로그래밍을 하는데 신경 쓰지 않아도 되게 한다.

 .나아가 표준의 부족으로 느끼는 많은 불편함을 해소하기 시키기 위한 것이다.

 . Libnet 홈페이지 http://www.packetfactory.net/libnet

 프로젝트 홈페이지 http://www.packetfactory.net

설치하기 ./configure

          make

          make test

          ,make install

 

 LIBCAP 설치하기

  http://ee.lbl.gov

1.       makefile.in 파일을 커스터마이즈 한다.

2.        ./configure

3.       make install, make install-inci, make install-man

 

 

 리눅스용 스캐너

cgichk

 http://www.rootshell.com 에서 다운 받을 수 있다

  $ cgichk localhost

 

Whisker2.0

 http://www.rootshell.com

cgiexp.c

 http://www.rootshell.com

 

snort1.6

 http://www.rootshell.com

 

윈도우용 스캐너
(http://www.securityfocus.com

1. weakenss.zip

2.Shadow .CGI Scanner

4.       VoidEye CGI Scanner

 

 

 4층 : 어플리케이션 – telnet, ftp, e-mail, ping, rlogin

 3층 : 트랜스포트 – tcp, udp

 2층 : 네트워크 – ip, icmp, igmp

1층 : 디바이스 드라이버, 인터페이스, ARP, RARP

 

http://www.faqs.org/rfcs/

 

http://www.allwhois.com

 

www.networksolutions.com

 

www.arin.net

 

http://www.insecure.org/nmap

 rpm – ihv nmap-2.53-1.i386.rpm

 nmap –sT 172.16.0.1

 nmap –sS 172.16.0.1

 nmsp –O 172.16.0,1 –o osscan.txt

 

firewalk 사용하기

 firewalk는방화벽 뒤에 숨어 잇는 포트를 찿아내는 툴이다. 일명 게이트 웨이 포트 스캐너 이다.

 http://www.packetfactory.net/firewalk

 #tar zxvf firewalk-0.99.1.tar.gz

libcap, libnet, GTK등이 설치되어 있어야 한다.

 

./configure

make

make install

mke firwalk

 

#firewalk –n –P1 –8 –pTCP 10.0.0.5 10.0.0.20

 

HPING2 사용하기

 http://www.kyuzz.org/antirez/hping.html

 네트워크 툴이며 타겟으로 임의의 icmp/u에/tcp 패킷을 보내 반응을 보여준다.

 방화벽 룰 테스트, 가짜 포트 테스트, 여러가지 프로토콜과 크기 TOS와 프레그멘테이션으로 네트워크 성능 테스트,

 Path MTU찿아내기, 엄격한 방화벽 룰을 피해 파일 전송하기

 ./configure

make

make install

 #hping2 win98 –seqnum –p 139 –S –I u1 –l eth0

#hping2 2xxx.xxx.xxx.xx –seqnum –p 139 –S –I u1 –l eth0

 

윈도우용 스캐너 알아보기

 포트스캐너

 http://www.securityfocus.com

 

 Iptools

 http://www.securityfocus.com

 

wups-u에 port scanner

 http://www.securityfocus.com

 

웹서버 스캐너

 grinder

 http://www.technotronic.com/rhino9/software

 

 Netbios 공유 스캔

 DumpSec

 http://www.somarsoft.com

 

LEGION 공유체크

 http://www.anticode.com

 

NAT( Netbios Auditing Tool)

 http://packetstorm.security.com/NT/scanners

http://bbs.ee.ntu.edu.tw/boards/scurity/6/16.html

 

사용자 그룹 홈페이지 스캔

 nbtstat –A ip-addr

 

 DumpReg

 http://www.somarsoft.com

 

 Spade

 http://samspade.org/ssw

 

종합 스캐너

  shadowscan

 http://www.securityfocus.com

 

 보안 스캐너

  http://www.cerberus-infosec.co.uk/cis.shtml

 

네트워크 모니트링툴

http://ethereal.zing.org

http://rpmfind.net

http://reptile.rug.ac.be/~coder/sniffit/sniffit.html

 

 

http://netgroup-serv.polito.it/windump

 

 

 

IDS

http://www.monkey.org/~dugsong/talks/ids

 

http://www.hack.co.za

http://www.rootshell.com

http://packetstorm.security.com/archives.shtml

http://sunshine.sunshine.ro/FUN/new