tcpdumpでステルスセンサー

/ Linux/Unix / Comment[0]
wlan0をIPアドレスを持たせずにプロミスキャスモードで起動させて
tcpdumpでarpリクエストをキャプチャ

# ifconfig wlan0 down
# ifconfig wlan0 up promisc -arp
# tcpdump -ni wlan0 arp

IPアドレスを持たないから攻撃を受ける心配は無いし、センサの存在に気づかれることも無い。
(無線LAN接続だとairodumpなどで気づかれるかも)



11:24:01. ****** ARP, Request who-has 192.168.1.58 tell 192.168.1.2, length 46
この場合、192.168.1.2が192.168.1.58にARPリクエストを飛ばしていることになる。
192.168.1.2は短時間(15/s以上)で192.168.1.*ホストへARPリクエストを飛ばしまくってることから、192.168.1.*ネットワーク上のホスト列挙などを行っている不正なホストの可能性がある。
関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可