<![CDATA[Latest posts for the topic "Thảo luận: Promiscuous mode detection and anti-detection :-)"]]> /hvaonline/posts/list/31.html JForum - http://www.jforum.net Thảo luận: Promiscuous mode detection and anti-detection :-) và promiscuous NICs là chấp nhận packet này để pass lên trên (*) Nói trong Local Network cũng không đúng. Các host nằm trong một subnet khác, connect dùng router/switch sẽ không thấy các packets này (không biết về bridge nên hông dám nói. Bác nào biết cách work của bridge xin help dùm:-) ). Chỉ khi các subnet connect dùng Hub thì các packet loại này mới đi qua được. ...TO BE DISCUSSED :!:) :!:) :!:) ]]> /hvaonline/posts/list/2548.html#13859 /hvaonline/posts/list/2548.html#13859 GMT Re: Thảo luận: Promiscuous mode detection and anti-detection :-) Bà con có vẽ không thích thảo luận vấn đề này. Buồn 2 phút --------------------------------------------------------- Promiscuous Mode Detection Khoai không nói nhiều về phần detect promisc. mode ở ngay tai local host. Chủ yếu topic này bàn về việc detect tại một remote host trong LAN. Cách thức để detect khá đơn giản: Craft một ARP packet. Destination IP là một broadcast hoặc multicast IP. Trong đó destination MAC address là một Address không có trong LAN, hoặc của chính localhost. Tung cái packet này ra ngoài, nếu như host nào reply thì host đó đang ở promisc. mode why ? Mọi packet trong LAN đều sẽ bị hardware filter. Hardware filter này là do NIC, không dính đến OS. Khi một NIC thấy một packet, nó kiểm tra xem packet có phải có destination cho mình không. Nếu phải, pass lên kernel. Nếu không phải, drop. Trừ NIC đang ở Promiscuous Mode, nó sẽ pass hoàn toàn mọi packet lên kernel Kernel filter sẽ bỏ Ethernet header của packet này. Đến lúc kiểm tra đến IP. Nếu Destination IP là Unicast đến đúng của mình hoặc Destination là Multicast/Broadcast, kernel sẽ generate reply. Nếu destination IP không phải của host, thì host đó sẽ không reply. Đó là lý do Destination phải để multicast hay broadcast Anti-Detection Một phương pháp anti cái detection này khá đơn giản không set IP cho máy đang ở promiscuous mode. Do đó, khi packet đến được kernel check là sẽ bị drop ngay. Cách này rất được ưa chuộng cho các NIDS, NIPS, và đôi khi các sniffers cũng dùng cách này để đảm bảo an toàn. ...mong mọi người tham gia thảo luận chứ Khoai]]> /hvaonline/posts/list/2548.html#14113 /hvaonline/posts/list/2548.html#14113 GMT Thảo luận: Promiscuous mode detection and anti-detection :-) /hvaonline/posts/list/2548.html#14127 /hvaonline/posts/list/2548.html#14127 GMT Thảo luận: Promiscuous mode detection and anti-detection :-)

lQ wrote:
Bài viết khá rõ về vấn đề promiscuous mode của 1 card mạng. Tuy nhiên, tớ nghĩ cậu ghi lộn tiêu đề rồi thì phải. Theo tớ thì nên là anti-change NIC to promiscuous mode. Nếu nói là anti-detection thì phải là vấn đề phòng chống chuyện bắt gói tin của 1 máy nào đó có sd card mạng với promisuous mode (câu dài quá :D). 
Hix, mừng quá, cuối cùng cũng có 1 người vào reply. Thanks lQ. Thật ra bài nầy Khoai muốn thảo luân về việc phát hiện Promiscuous Mode trong LAN. Song song với nó là việc chống phát hiện đối với NIDS, NIPS. Do đó Khoai nghĩ title này là Ok :) Cũng có lẽ title toàn English, bà con nhìn vào ai cũng...ngán, không thèm tham gia. Khoai]]> /hvaonline/posts/list/2548.html#14330 /hvaonline/posts/list/2548.html#14330 GMT Re: Thảo luận: Promiscuous mode detection and anti-detection :-) phát hiện có máy đang lén theo dõi, nhưng search trên google mới có 1 phát mà ra quá trời thông tin về cái này. Hoá ra chuyện này đã được để ý từ rất lâu. http://www.rokus.net/article121.html http://support.microsoft.com/?kbid=892853 http://www.microsoft.com/downloads/details.aspx?FamilyID=1a10d27a-4aa5-4e96-9645-aa121053e083&DisplayLang=en http://www.microsoft.com/downloads/details.aspx?FamilyID=4df8eb90-83be-45aa-bb7d-1327d06fe6f5&DisplayLang=en PromqryUI is a tool with a Windows graphical interface that can be used to detect network interfaces that are running in promiscuous mode. Promqry is a command line tool that can be used to detect network interfaces that are running in promiscuous mode. Sau khi xem qua các link nói trên, lQ nhận thấy là có thể phát hiện một NIC đang ở chế độ promiscuous mode hay không. Mặt khác:
• The tools cannot detect stand-alone sniffers, for example, devices that are manufactured for the sole purpose of sniffing network traffic. These devices can use different types of hardware and software. • The tools cannot detect sniffers that are running on operating systems other than Windows 2000, Windows XP, Windows Server 2003, and later Windows operating systems. • The tools cannot remotely detect sniffers that are running on Windows-based computers where the network hardware has been modified specifically to avoid detection. For example, the hardware may be modified so that the network interface card or a network cable allows the computer to receive traffic from the network, but not to send traffic to the network. In this scenario, the computer receives a query to determine whether it has interfaces that are running in Promiscuous mode, but its response does not make it back across the network to the computer that sent the query. However, Promqry and PromqryUI can be used to query these computers locally, instead of remotely, to determine whether interfaces are running in Promiscuous mode.  
Cái này chính là việc chống phát hiện ra NIC đang ở chế độ promisuous mode. Cái này có thể hiểu nôm na là ai đó đã hack 1 NIC và làm cho nó vô hình trước những chương trình kiểu như Promqry. Cái này hoàn toàn khác với chuyện chống bị phát hiện, nghe lén từ các NIC promiscuous mode. Tuy nhiên, tớ nghĩ ko chắc có thể phát hiện 1 máy tính nào đó đang chạy 1 ctr packet sniffer. Vì biết bao nhiêu ctr dạng này đã đc viết ra. Và theo tớ, mỗi khi 1 máy tính nào đó chạy ctr dạng này, thì các thông số trên NIC chắc chỉ có mỗi cái mode nhận packet đc chỉnh thành promiscuous mode.]]> /hvaonline/posts/list/2548.html#14924 /hvaonline/posts/list/2548.html#14924 GMT Thảo luận: Promiscuous mode detection and anti-detection :-) /hvaonline/posts/list/2548.html#14950 /hvaonline/posts/list/2548.html#14950 GMT Thảo luận: Promiscuous mode detection and anti-detection :-) /hvaonline/posts/list/2548.html#14956 /hvaonline/posts/list/2548.html#14956 GMT Thảo luận: Promiscuous mode detection and anti-detection :-) /hvaonline/posts/list/2548.html#15128 /hvaonline/posts/list/2548.html#15128 GMT Thảo luận: Promiscuous mode detection and anti-detection :-)

Mr.Khoai wrote:
Việc không set IP cho host là một bước nên làm nếu muốn an toàn. Tuy nhiên, một NIC khi tham gia LAN ít nhiều cũng sẽ send thông tin đi. Khoai đang xem về vấn đề này. Bất cứ dùng sniffer hay IDS/IPS apps đều phải cần stealth-mode này. Nhưng, steal-mode này vẫn không hoàn toàn invisible. Do đó, hard-hack cái NIC hoặc sử dụng các loại NIC chuyên dùng để monitor thì mới có hy vọng hoàn toàn tránh bị phát hiện.  
Em chưa có kiến thức về IPS và IDS nhiều, nhưng theo lý thuyết được học trong CCNA thì đây là hai hệ thống ngăn chặn và phát hiện xâm nhập (cả hardware và software) Theo ý em hiểu ở trên thì IDS và IPS apps không hoàn toàn stealth nên cần hard-hack NIC để stealth hoàn toàn trong hệ thống Vậy hard-hack NIC ở đây là 1 NIC chuyên dụng và tên nó là gì anh nhỉ ? (Em tìm google mà không thấy )

Mr.Khoai wrote:
Một số router/switch có hẳn một monitor port. Port này chỉ để nhận info mà không thể send bất cứ info nào ra ngoài. Đây cũng là một trong các "special-purpose hardware" mà lQ đã quote. Dùng monitor port này sẽ rất an toàn, không bị phát hiện.  
Anh ví dụ một vài dòng Router/ Switch của Cisco support monitor port được không ? Em sẽ tìm hiểu về dòng R/S đó xem nó như thế nào :D ]]> /hvaonline/posts/list/2548.html#211201 /hvaonline/posts/list/2548.html#211201 GMT