Introduction

Avant de commencer la lecture de cet article je vous recommande pour connaître le principe des sniffeurs, l'article sur les sniffeurs.

Théoriquement, les sniffeurs sont "invisibles". Ils peuvent être entièrement passifs, et peuvent seulement servir à écouter. La menace qu'un sniffeur peut representer vient habituellement d'une machine UNIX ou de machines à base de Linux. Il existe des possibilités pour identifier les sniffeurs sur ce type de systèmes. Toutefois, les sniffeurs sous win32 se développent très rapidement, l'apparition de logiciels comme WINDump, adaptation du célèbre TCPDump d'Unix permet à un simple windows9X de faire du sniff. Les systèmes Unix ainsi que windows NT demandent une intervention de l'utilisateur sur la carte réseau, ce qui réduit les risques si une politique de sécurité sur les droits des utilisateurs est correctement mise en place.

Comment détecter si votre machine fait fonctionner un sniffeur

Eviter une attaque de sniff est loin d'être simple, 2 approches :

• Détecter et éliminer le sniffer
• Protéger les données contre le sniffer
  Nous allons regarder chaque méthode de près :
  
  

Si votre machine est de type UNIX, un hackeur peut avoir pris l'accès en mode root, et peut donc exécuter un sniffeur. et ainsi sniffer un réseau auquel il n'a pas accès régulièrement (par exemple, pour rechercher des mots de passe sur d'autres machines du réseau). Détecter un processus qui fait fonctionner le sniffeur est difficile, parce que le nom de ce processus peut être déguisé en quelque chose d'anodin. ou cela peut être un cheval de Troie d'un binaire très connu. Dans ce cas-ci, l'utilisateur n'a pas besoin de l'accès root, juste assez pour déposer le Trojan et attendre que l'administrateur l'exécute. La seule manière pour détecter un sniffeur dans ce cas, est de contrôler si l'interface réseau n'est pas en promiscous mode. Si la carte est en mode promicous cela signifie qu'elle écoute les paquets de tous le réseau et pas seulement ceux destinés à sa machine.
Une machine Unix ne devra jamais être mise en mode promiscous, sauf si sont fonctionnement le nécessite (cas pour un routeur ou un firewall), et donc être en mode promiscous est une indication forte qu'un sniffer est en cours exécution.

Il existe différentes applications qui contrôlebt si l'interface de réseau est en mode promiscous comme CPM (check Promiscuous Mode) écrite par l'université de Carnegie Mellon. Une autre méthode est d'exécuter: ifconfig -a ceci énumérera les interfaces réseaux, et affichera toutes les informations à leur sujet. Le mot PROMISC signifie que la carte est en mode promiscous. Exécuter la commande :
ifconfig -a | grep PROMISC
ceci vous affichera les cartes qui sont en mode promiscous (ce type de commande peut être facilement incorporé à une entrée dans cron, cela peut fonctionner d'heure en heure ou par jour pour vérifier la présence d'un sniffeur). Notez que l'utilitaire ifconfig est parfois remplacé par des hackeurs pour éviter d'être découvert par le biais de la méthode décrite ci-dessus. Une somme de contrôle (checksum) ou une signature MD5 devra être faite pour s'assurer que l'utilitaire ifconfig est l'initial.

Comment detecter un sniffeur sur votre réseau

Détecter d'autres sniffeurs sur d'autres machines est très difficile (et parfois impossible). Mais détecter si une machine Linux fait fonctionner un sniffeur est possible. Ceci peut être fait en exploitant une faille dans la pile TCP/IP de Linux. Quand Linux est en mode promiscous, il répondra aux paquets TCP/IP envoyés à son adresse IP même si l'adresse MAC de ce paquet est fausse (le comportement standard d'un paquet contenant une adresse MAC fausse et qu'il n'y aura pas de réponse car l'interface réseau va le supprimer). Par conséquent, en envoyant des paquets TCP/IP à toutes les adresses IP du sous-réseau, avec une adresse MAC fausse, les ordinateurs en mode promiscous vous répondront (la réponse de ces machines sera un paquet RST). Cette méthode est loin d'être parfaite, elle peut aider à découvrir une activité suspicieuse sur votre réseau. Le programme Neped automatise cette manipulation pour toutes les machines d'un réseau. Notez que cela ne donne rien avec les versions récentes de Linux. En effet cela est du à un bug dans /linux/net/ipv4/arp.c, plus exactement sur la fonction arp_rcv0. Il suffit de patcher son linux ou pour contrer ce type de logiciel il suffit de reconfigurer votre carte avant de déclencher votre sniffeur :

• /sbin/ipconfig eth0 -arp

Cela empêchera votre carte réseau de répondre aux requêtes ARP, et donc d'être détectée.

Eviter le sniff de manière efficace

Les hubs actifs ou switch permettent de lier une adresse MAC a un port de sortie, ceci implique que la machine ne reçoit plus que les paquets qui lui sont destinés, le filtre se faisant au niveau du hub. Le sniff du réseau se limite à la frontière du hub. Le hacker essaiera alors de détourner le hub actif ou le switch par le biais d'un logiciel comme Hunt (voir hackoff16), mais ceci est une autre Histoire.

Voici une liste de logiciels pour tester la présence d'un sniffeur :

• Antisniff

  Antisniff par l'équipe de lOpht destiné au machines Windows9X, NT et Unix. Voir article sur Antisniff pour plus d'informations.

  
  
  • http://www.l0ph.com
  
  
• Neped

  Neped est un des outils écrits par le groupe d'Apostols (http://www.apostols.org) qui détecte sur le réseau les cartes qui sont en mode promiscous (une carte de réseau doit être en mode promiscous pour écouter le trafic réseau ou un ordinateur sur le réseau). Pour cela Il exploite une imperfection dans le protocole arp de Linux (comme decrit plus haut).

  
  
  • neped.c (apostols.org)
  
  
• Snifftest

  Snifftest (écrit par "Beavis and Butthead") essaiera de détecter un sniffeur sur sunOS et solaris. I teste le réseau afin de voir les cartes qui ne sont pas en promiscuous mode (mode mélé).

  
  
  • snfftest.c (ftp.win.or.jp)
  
  
• Promisc

  Promisc peut détecter un sniffeur sur Linux et SunOS

  
  
  • 1997_3/0411.html (geek-girl.com/bugtraq)
  
  
• CPM

  CPM est un outil connu sous SunOS4.0, il peut détecter les cartes en promiscuous mode.

  
  
  • cpm.1.2.tar.gz (info.cert.org)
  • cpm (coast.cs.purdue.edu)
  
  

  Ces utilitaires fonctionnent essentiellement sur SunOS ou Solaris. Ces outils vous aiderons à améliorer votre politique de sécurité, mais le sniffeur dans un réseau hétérogène reste quand meme extrêmement difficile à détecter.
  

  ---

  02:15 01/11/99 LES OUTILS POUR LE SNIFF
  

  Je vous évite les sniffeurs commercialisés qui vont de 1000 frs à 15000 frs. Il existe beaucoup de sniffeurs en freeware et shareware. Certains sont excellents pour apprendre à manier cet outils et comprendre les particularités des réseaux. La plupart sont développés pour UNIX (ou Linux). Voici pour exemple une liste de sniffeurs commercialises, a sa suite les freeware :

  • NetXray L'analyseur par excellente, existe en version demo pour Windows NT4
  • ATM Sniffer analyser de network associates www.networkassociates.com
  • shomiti system century lan analysez www.shomiti.com.
  • packetview par klos technologies www.klos.com
  • lanwatch wwww.guesswork.com
    

    Voici le résultat des différents tests effectués sur les sniffeurs en freeware, la liste ci-dessous sera mise a jour petit a petit (si vous en avez testé, n'hésitez pas a m'envoyer les résultats ou vos remarques) :
    

  • Esniff
    
    Esniff est un standard, basé sur UNIX, il a été réalisé par la revue Phrack Magazine (online). Il nécessite un compilateur C.
    
    
    • ESNIFF.C (www.asmodeus.com)
    • Esniff.c.html (www.rootshell.com)
    • solsniffer.c.html (www.rootshell.com)
    • http://www.freshmeat.net
    • ftp://ftp.ee.lbl.gov
    • http://filewatcher.org