| Sécurisation des routeurs Cisco 57
Chapitre3 : Politique de sécurité
Détection des sniffer
En principe, les sniffers sont indétectables puisque ne générant aucun trafic, se contentant d‟rtre passif, en écoute active. Il existe des outils pour essayer de les piéger. Voici quelques méthodes utilisées pour tenter d‟opérer cette détection.
Le contrôle des temps de latence
La méthode consiste à produire une surcharge de travail pour l‟hôte suspect. On teste le délai des réponses à diverses requêtes, avant la surcharge. Puis on surcharge le réseau avec du trafic suspecté d‟rtre sniffé. Ceci devrait générer une suractivité pour l‟hôte sniffeur et donc 50 accroître ses temps de réponses. Les résultats permettent de renforcer la suspicion ou de disculper l‟hôte en question.
La méthode Ping
Cette méthode permet d‟identifier les interfaces réseau en mode promiscuous, autrement dit celles sur lesquelles écoute un sniffer. Une interface Ethernet ne répond en principe qu‟aux trames qui lui sont destinées.
1. On construit un paquet ICMP Echo Request à destination de l‟adresse IP de l‟hôte surveillé dans lequel l‟adresse MAC destination a été modifiée (i-e différente de celle de l‟hôte surveillé).
2. Si l‟hôte est en mode normal, le filtre MAC joue son rôle, le démultiplexage des couches supérieures ne se fait pas, l‟adresse IP destination n‟est pas reconnue et il n‟y a donc pas de réponse à cette requête.
3. Si maintenant il est en mode promiscuous, le filtre n‟opère plus, le démultiplexage a lieu, l‟adresse IP est reconnue et une réponse est renvoyée.
Si le sniffer prévoit la mise en place d‟un filtre d‟adresse MAC, la méthode devient inefficace.
On peut affiner cette approche par l‟utilisation de paquets corrompus, devant produire une réponse ICMP error.
Share with your friends: |
