SNUFF
SNUFF представляет из себя скрипт на языке bash, выполняющий поиск в своем широковещательном домене тех хостов, сетевая карта которых работает в неразборчивом режиме (Promiscuous mode), что косвенно может указывать на наличие запущенного на хосте анализатора сетевых пакетов (сниффера), такого как Wireshark или tcpdump.
В настоящее время программа уверенно работает на ОС:
Информация о тестировании SNUFF на прочих ОС будет дополняться по мере появления.
Необходимое для работы дополнительное ПО:
- logger
- nping
- nmap
Для запуска необходимы повышенные привилегии - root или sudo.
Принцип работы
Принцип работы заключается в передаче специально сгенерированного icmp запроса (type 8), в котором реальный MAC адрес получателя заменяется на поддельный (01:02:03:04:05:06). Драйвер сетевой карты, работающей в номальном режиме, отбросит такой пакет (на втором уровне сетевой модели), поскольку MAC адрес в пакете в поле “получатель” не соответствует реальному MAC адресу получателя. Сетевая карта работающая в “неразборчивом” режиме полученный пакет примет на втором уровне, обработает и передаст на третий уровень. При условии отсутствия запрета на отправку icmp ответа, например, средствами локального межсетевого экрана, хост получателя сгенерирует и отправит icmp ответ на поддельный запрос.
ВНИМАНИЕ!!! Замечены ложные срабатывания в тех случаях, когда интерфейс получателя задействован в качестве сетевого моста, или хост, например, является гипервизором виртуальных машин.
Автор
Игорь Зайцев aka honeycomb, 2023 год
E-mail для связи: igor.zaytseff@ro.ru