Good to Know Database

Nmap: Sniffer und Netzwerkkarten im Promiscuous Mode aufspüren


Mit dem Netzwerkscanner Nmap können Sie Ihr Netzwerk nach Clients durchsuchen, deren Netzwerkkarte im Promiscuous Mode betrieben wird. In der Regel wird der Promiscuous Mode verwendet, wenn mit einem Paketanalyser, wie zum Beispiel Wireshark, der Datenverkehr einer Netzwerkverbindung analysiert wird. Wenn Sie in Ihrem Netzwerk nach solchen Sniffern suchen wollen, können Sie die Nmap Scripting Engine einsetzen.

Mit dem folgenden Befehl wird nur der durch die IP-Adresse angegebene Client überprüft. Durch die Option --script wird die Nmap Scripting Engine (NSE) mit dem Skript sniffer-detect gestartet. Damit Nmap keinen Portscan des Zielsystems durchführt, wird mit der Option -sP nur ein Ping Scan vorgenommen.

[root@centos5 ~]# nmap --script=sniffer-detect -sP 192.168.10.3

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-10 19:39 CET
Host 192.168.10.3 is up (0.00068s latency).
MAC Address: 00:15:17:67:25:8D (Intel Corporate)

Nmap done: 1 IP address (1 host up) scanned in 3.00 seconds

Das hier gezeigte System befindet sich nicht im Promiscuous Mode. Sollte der Promiscuous Mode aktiviert sein, sieht die Ausgabe von Nmap wie folgt aus.

[root@centos5 ~]# nmap --script=sniffer-detect -sP 192.168.10.3

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-10 19:39 CET
Host 192.168.10.3 is up (0.0011s latency).
MAC Address: 00:15:17:67:25:8D (Intel Corporate)

Host script results:
|_ sniffer-detect: Likely in promiscuous mode (tests: "11111111")

Nmap done: 1 IP address (1 host up) scanned in 0.98 seconds

Um ein ganzes Netzwerksegment zu scannen, geben Sie anstelle einer einzelnen IP-Adresse das Netzwerksegment an.

[root@centos5 ~]# nmap --script=sniffer-detect -sP 192.168.10.0/24

Die Technik zur Erkennung von Netzwerkkarten im Promiscuous Mode wird unter http://www.securityfriday.com/promiscuous_detection_01.pdf näher beschrieben.


Dieser Eintrag wurde am 10.11.2009 erstellt und zuletzt am 11.02.2011 bearbeitet.

Direkter Link zu dieser Seite: http://www.gtkdb.de/index_7_783.html

[ Zur Startseite ]   [ Zur Kategorie ]


Valid XHTML 1.0 Transitional Valid CSS Valid Atom 1.0

© 2004-2018 by Georg Kainzbauer