Thảo luận: Promiscuous mode detection and anti-detection :-)

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận mạng và thiết bị mạng

Thảo luận: Promiscuous mode detection and anti-detection :-)

[Question] Thảo luận: Promiscuous mode detection and anti-detection :-)	11/08/2006 02:12:22 (+0700) \| #1 \| 13859

Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline

Trong forum HVA trước khi bị phá database Khoai đã post một topic thảo luận vấn đề này. Nhưng có lẽ ít ai biết vì....sau khi lập topic được khoảng vài giờ, Khoai vào check thì database đã....bay mất smilie

Thấy cái topic này khá hấp dẫn, lại có ích cho net. admin nên Khoai quyết định làm lại.

Topic này là để mọi người cùng thảo luận, không phải bài "so-lo" của Khoai. Bạn nào có ý kiến xin cứ vô tư mà post.

Đầu tiên: What is Promiscuous Mode???

Promiscuous Mode là một mode của NIC. Rất đơn giản smilie

Điểm đặc biệt của Promiscuous Mode là NIC sẽ chấp nhận mọi packet gửi đến và pass lên trên. Chú ý là khi một host quết định gửi một packet đến target, sau bước ARP thì Elthernet Packet sẽ được gửi đến MAC address của target. Tất cả các máy trong local net này smilie

đều sẽ nhìn thấy packet đó. Tuy nhiên chỉ có target NIC và promiscuous NICs là chấp nhận packet này để pass lên trên

smilie

Nói trong Local Network cũng không đúng. Các host nằm trong một subnet khác, connect dùng router/switch sẽ không thấy các packets này (không biết về bridge nên hông dám nói. Bác nào biết cách work của bridge xin help dùm smilie

). Chỉ khi các subnet connect dùng Hub thì các packet loại này mới đi qua được.

...TO BE DISCUSSED :! smilie

[Question] Re: Thảo luận: Promiscuous mode detection and anti-detection :-)	11/08/2006 23:21:55 (+0700) \| #2 \| 14113

Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline

hix, đã gần 24h kể từ khi post cái topic lên. Read: 19, reply: 0 --> Bà con có vẽ không thích thảo luận vấn đề này. Buồn 2 phút
---------------------------------------------------------
Promiscuous Mode Detection
Khoai không nói nhiều về phần detect promisc. mode ở ngay tai local host. Chủ yếu topic này bàn về việc detect tại một remote host trong LAN.
Cách thức để detect khá đơn giản: Craft một ARP packet. Destination IP là một broadcast hoặc multicast IP. Trong đó destination MAC address là một Address không có trong LAN, hoặc của chính localhost. Tung cái packet này ra ngoài, nếu như host nào reply thì host đó đang ở promisc. mode

why ?
Mọi packet trong LAN đều sẽ bị hardware filter. Hardware filter này là do NIC, không dính đến OS. Khi một NIC thấy một packet, nó kiểm tra xem packet có phải có destination cho mình không. Nếu phải, pass lên kernel. Nếu không phải, drop. Trừ NIC đang ở Promiscuous Mode, nó sẽ pass hoàn toàn mọi packet lên kernel

Kernel filter sẽ bỏ Ethernet header của packet này. Đến lúc kiểm tra đến IP. Nếu Destination IP là Unicast đến đúng của mình hoặc Destination là Multicast/Broadcast, kernel sẽ generate reply. Nếu destination IP không phải của host, thì host đó sẽ không reply. Đó là lý do Destination phải để multicast hay broadcast

Anti-Detection
Một phương pháp anti cái detection này khá đơn giản không set IP cho máy đang ở promiscuous mode. Do đó, khi packet đến được kernel check là sẽ bị drop ngay. Cách này rất được ưa chuộng cho các NIDS, NIPS, và đôi khi các sniffers cũng dùng cách này để đảm bảo an toàn.

...mong mọi người tham gia thảo luận chứ
Khoai

[Question] Thảo luận: Promiscuous mode detection and anti-detection :-)	11/08/2006 23:41:26 (+0700) \| #3 \| 14127

lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline

Bài viết khá rõ về vấn đề promiscuous mode của 1 card mạng. Tuy nhiên, tớ nghĩ cậu ghi lộn tiêu đề rồi thì phải. Theo tớ thì nên là anti-change NIC to promiscuous mode. Nếu nói là anti-detection thì phải là vấn đề phòng chống chuyện bắt gói tin của 1 máy nào đó có sd card mạng với promisuous mode (câu dài quá smilie

[Question] Thảo luận: Promiscuous mode detection and anti-detection :-)	12/08/2006 12:10:56 (+0700) \| #4 \| 14330

Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline

lQ wrote:

Bài viết khá rõ về vấn đề promiscuous mode của 1 card mạng. Tuy nhiên, tớ nghĩ cậu ghi lộn tiêu đề rồi thì phải. Theo tớ thì nên là anti-change NIC to promiscuous mode. Nếu nói là anti-detection thì phải là vấn đề phòng chống chuyện bắt gói tin của 1 máy nào đó có sd card mạng với promisuous mode (câu dài quá ).

Hix, mừng quá, cuối cùng cũng có 1 người vào reply. Thanks lQ. Thật ra bài nầy Khoai muốn thảo luân về việc phát hiện Promiscuous Mode trong LAN. Song song với nó là việc chống phát hiện đối với NIDS, NIPS. Do đó Khoai nghĩ title này là Ok smilie

Cũng có lẽ title toàn English, bà con nhìn vào ai cũng...ngán, không thèm tham gia.
Khoai

[Question] Re: Thảo luận: Promiscuous mode detection and anti-detection :-)	14/08/2006 21:23:54 (+0700) \| #5 \| 14924

lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline

Ban đầu tớ nghĩ là ko thể có chuyện phát hiện có máy đang lén theo dõi, nhưng search trên google mới có 1 phát mà ra quá trời thông tin về cái này. Hoá ra chuyện này đã được để ý từ rất lâu.

http://www.rokus.net/article121.html
http://support.microsoft.com/?kbid=892853

http://www.microsoft.com/downloads/details.aspx?FamilyID=1a10d27a-4aa5-4e96-9645-aa121053e083&DisplayLang=en
http://www.microsoft.com/downloads/details.aspx?FamilyID=4df8eb90-83be-45aa-bb7d-1327d06fe6f5&DisplayLang=en
PromqryUI is a tool with a Windows graphical interface that can be used to detect network interfaces that are running in promiscuous mode.
Promqry is a command line tool that can be used to detect network interfaces that are running in promiscuous mode.

Sau khi xem qua các link nói trên, lQ nhận thấy là có thể phát hiện một NIC đang ở chế độ promiscuous mode hay không. Mặt khác:

• The tools cannot detect stand-alone sniffers, for example, devices that are manufactured for the sole purpose of sniffing network traffic. These devices can use different types of hardware and software.
• The tools cannot detect sniffers that are running on operating systems other than Windows 2000, Windows XP, Windows Server 2003, and later Windows operating systems.
• The tools cannot remotely detect sniffers that are running on Windows-based computers where the network hardware has been modified specifically to avoid detection. For example, the hardware may be modified so that the network interface card or a network cable allows the computer to receive traffic from the network, but not to send traffic to the network. In this scenario, the computer receives a query to determine whether it has interfaces that are running in Promiscuous mode, but its response does not make it back across the network to the computer that sent the query. However, Promqry and PromqryUI can be used to query these computers locally, instead of remotely, to determine whether interfaces are running in Promiscuous mode.

Cái này chính là việc chống phát hiện ra NIC đang ở chế độ promisuous mode. Cái này có thể hiểu nôm na là ai đó đã hack 1 NIC và làm cho nó vô hình trước những chương trình kiểu như Promqry. Cái này hoàn toàn khác với chuyện chống bị phát hiện, nghe lén từ các NIC promiscuous mode.

Tuy nhiên, tớ nghĩ ko chắc có thể phát hiện 1 máy tính nào đó đang chạy 1 ctr packet sniffer. Vì biết bao nhiêu ctr dạng này đã đc viết ra. Và theo tớ, mỗi khi 1 máy tính nào đó chạy ctr dạng này, thì các thông số trên NIC chắc chỉ có mỗi cái mode nhận packet đc chỉnh thành promiscuous mode.

[Question] Thảo luận: Promiscuous mode detection and anti-detection :-)	14/08/2006 23:13:13 (+0700) \| #6 \| 14950

toolcracking
Member

Joined: 26/06/2006 01:04:14
Messages: 14
Offline

cho tui tham gia với.
theo tui được biết là:
đa số các hệ điều hành đòi hỏi phải có superuser privileges thì mới có khả năng cho phép promiscuous mode. A non-routing node in promiscuous mode giúp cho việc theo dõi luồng lưu thông vào ra ở trong phạm vi cùng một collision domain (for Ethernet and Wireless LAN) hoặc ring (for Token ring or FDDI). Switch được dùng để ngăn chặn cái chế độ này.
Không biết dịch có chính xác ko, mong các bác chỉ giáo, tui chỉ mới tìm hiểu nó.

[Question] Thảo luận: Promiscuous mode detection and anti-detection :-)	14/08/2006 23:36:33 (+0700) \| #7 \| 14956

toolcracking
Member

Joined: 26/06/2006 01:04:14
Messages: 14
Offline

Adapter

Default setting

Smart Mk4 PCI Adapter

Enabled

Smart Mk4 Low Profile PCI Adapter

Enabled

RapidFire 3140v2 Low Profile PCI Adapter

Enabled

RapidFire 3140 Low Profile PCI Adapter

Enabled

Smart 16/4 CardBus Adapter Mk2

Enabled

Smart 16/4 PCI Ringnode Mk3

Enabled

Smart M4 PCI-HS Adapter

Enabled

Presto PCI 2000

Disabled

[Question] Thảo luận: Promiscuous mode detection and anti-detection :-)	15/08/2006 17:57:28 (+0700) \| #8 \| 15128

Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline

to lQ: Việc chống nghe lén là vấn đề không đơn giản. Cách duy nhất mà Khoai nghĩ ra có lẽ là encrypt payload mà thôi. Đó là lý do bà con chuyển sang ssh thay vì telnet smilie

Việc không set IP cho host là một bước nên làm nếu muốn an toàn. Tuy nhiên, một NIC khi tham gia LAN ít nhiều cũng sẽ send thông tin đi. Khoai đang xem về vấn đề này. Bất cứ dùng sniffer hay IDS/IPS apps đều phải cần stealth-mode này. Nhưng, steal-mode này vẫn không hoàn toàn invisible. Do đó, hard-hack cái NIC hoặc sử dụng các loại NIC chuyên dùng để monitor thì mới có hy vọng hoàn toàn tránh bị phát hiện.

to toolcracking: Để sniffer ngay sau một switch/router thì sẽ hoàn toàn không bị phát hiện. Nhưng song song đó cũng đồng nghĩa với việc chả sniff được gì! Why? Hãy kiểm tra cách làm việc của switch, router smilie

Một số router/switch có hẳn một monitor port. Port này chỉ để nhận info mà không thể send bất cứ info nào ra ngoài. Đây cũng là một trong các "special-purpose hardware" mà lQ đã quote. Dùng monitor port này sẽ rất an toàn, không bị phát hiện.
Khoai

[Question] Thảo luận: Promiscuous mode detection and anti-detection :-)	19/05/2010 00:38:28 (+0700) \| #9 \| 211201

tuewru
Member

Joined: 23/05/2008 04:17:26
Messages: 126
Offline

Srr vì em đào mộ topic gần 4 năm lên
Em đọc qua 1 bài về Sniffer trong đó có liên quan tới IP-based sniffing promiscuous mode
Em cũng đã test thử giữa máy thật và máy ảo

Em sử dụng kỹ thuật ARP spoof có trong Cain để test
Sau khi inject xong thì em sử dụng tool detect promiscuous mode là promqrycmd và promqryui
để detect

Nhưng có 1 vấn đề là em chỉ sử dụng tool này trên máy ảo (máy đang cài Cain để attack máy thật) thì nó phát hiện ra các NIC đang enable promiscuous mode
Còn tại máy thật em thử thì không phát hiện ra

Có thể do em chưa đọc kỹ về cơ chế của promiscuos mode lắm và nhất là quote của anh IQ smilie

Em hỏi thêm về vấn đề này nữa nhé

Mr.Khoai wrote:

Việc không set IP cho host là một bước nên làm nếu muốn an toàn. Tuy nhiên, một NIC khi tham gia LAN ít nhiều cũng sẽ send thông tin đi. Khoai đang xem về vấn đề này. Bất cứ dùng sniffer hay IDS/IPS apps đều phải cần stealth-mode này. Nhưng, steal-mode này vẫn không hoàn toàn invisible. Do đó, hard-hack cái NIC hoặc sử dụng các loại NIC chuyên dùng để monitor thì mới có hy vọng hoàn toàn tránh bị phát hiện.

Em chưa có kiến thức về IPS và IDS nhiều, nhưng theo lý thuyết được học trong CCNA thì đây là hai hệ thống ngăn chặn và phát hiện xâm nhập (cả hardware và software)
Theo ý em hiểu ở trên thì IDS và IPS apps không hoàn toàn stealth nên cần hard-hack NIC để stealth hoàn toàn trong hệ thống
Vậy hard-hack NIC ở đây là 1 NIC chuyên dụng và tên nó là gì anh nhỉ ? (Em tìm google mà không thấy )

Mr.Khoai wrote:

Một số router/switch có hẳn một monitor port. Port này chỉ để nhận info mà không thể send bất cứ info nào ra ngoài. Đây cũng là một trong các "special-purpose hardware" mà lQ đã quote. Dùng monitor port này sẽ rất an toàn, không bị phát hiện.

Anh ví dụ một vài dòng Router/ Switch của Cisco support monitor port được không ?
Em sẽ tìm hiểu về dòng R/S đó xem nó như thế nào smilie

Go to:

Users currently in here
1 Anonymous