Метододы sniffdet
Sniffdet имеет несколько методов определения того, что целевая машина работает в качестве анализатора («вынюхивателя»). Однако только два из них будут работать с повторяющимися и предсказуемыми результатами — ARP- и DNS-тесты. ARP-тест основан на том, как стек протокола «вынюхивающей» системы поступает с ARP-запросами, находясь в «беспорядочном режиме». При запуске этого теста sniffdet отправляет ARP-запрос на целевую машину. Этот запрос имеет неверные МАС-адреса источника и пункта назначения, но использует верный IP-адрес проверяемой машины. Если целевая машина находится в «беспорядочном режиме», ARP-запрос с ложным МАС-адресом пройдет через стек протокола, и эта машина пошлет отклик. Если машина не в «беспорядочном режиме», то этот запрос будет спокойно сброшен. Такой метод эффективен как в коммутируемых, так и в некоммутируемых сетях.
Давайте рассмотрим, как sniffdet с машины colossus (192.168.0.64) сканирует sinus (192.168.0.2) (две машины, находящиеся в одной коммутируемой сети). Вот результат выполнения sniffdet в отношении sirus:
colossus # sniffdet -i ethO -t arp sirius Sniffdet Report
Generated on: Wed Dec 31 03:49:28 2003
Tests Results for target sirius
Test: ARP Test (single hosf)-
Check if target replies a bogus ARР request (with wrong MAC) Validation: OK
Started on: Wad Dec 31 03:49:08 2003 Finished on: Wad Dec 31 03:49:28 2003 Bytes Sent: 252 Bytes Received: 0 Packets Sent: 6 Packets Received: 0 Number of valid tests: #1
Number of tests with positive result: #1
DNS-тест работает подобным образом, особенно в сетях с совместно используемой средой (на основе концентраторов либо в беспроводных сетях). Однако он основан на разрешении имен, включенном у «вынюхивателя». При выполнении DNS-теста sniffdet посылает лавину пакетов, содержащих IP-адрес, не используемый в данной сети. Если разрешение имен включено, то «шпион» попытается выполнить обратный поиск с целью определения имени узла, соответствующего этому IP-адресу. А поскольку эти адреса не существуют, sniffdet определит, что целевая машина, просматривающая DNS-запросы, находится в «беспорядочном режиме».
Этот тест может выполняться так же, как и ARP-тест, но вместо ключа -t агр используется -t dns.