COME INDIVIDUARE UNO SNIFFER
Individuare se qualcuno ha installato uno sniffer su una rete, o sulla propria macchina è un’operazione non tanto semplice. Infatti, con il passare degli anni, sono state trovate strategie in grado di rendere invisibile uno sniffer alle tecniche di individuazione generali. Passiamo ora ad elencare alcune tecniche di individuazione e diamo qualche utile consiglio al fine di aumentare la sicurezza sulla propria macchina.
RETI LAN E INTERNET
Su una rete LAN (Ex. Ethernet) ogni macchina è un potenziale sniffer. Infatti tutte le interfacce di rete comunicano su di un unico canale comune e possono ascoltare tutto il traffico della rete ponendo la propria scheda di rete in modalità promiscua.
Nella seguente figura su ogni macchina potrebbe essere installato uno sniffer in quanto tutte si interfacciano sullo stesso bus.
.
In questi casi una possibile soluzione è quella di installare degli switch. In questo modo un pacchetto arriva ad una macchina, se e solo se l’indirizzo di destinazione del pacchetto coincide con il suo. Come si vede dalla figura seguente, i pacchetti diretti ad altri utenti non passano sotto la propria scheda di rete, e pertanto non è possibile prelevarli.
L'utente numero 3(il diavoletto) anche se ha installato uno sniffer non riceverà pacchetti destinati ad altri utenti e quindi l'utente 2 può ricevere i pacchetti senza preoccuparsi che qualcuno li intercetti.
Su Internet, i router sono i potenziali punti di installazione di sniffer più pericolosi. Infatti in questi punti della rete transitano dati che provengono da più reti, e in quantità elevate.
Il ruter in figura smista i pacchetti fra tutte le reti alle quali è connesso e, quindi può ascoltare ed interpretare tutti i pacchetti di tutte le reti che connette.
Per scovare sniffer su reti di grandi dimensioni sono state sviluppate molte tecniche, che col passare degli anni diventano sempre meno efficienti .
CATEGORIE DI SNIFFER
Esistono due categorie di sniffer
1. Sniffer Stand-Alone
Uno sniffer stand-Alone è uno sniffer che si limita semplicemente a prelevare i pacchetti dalla rete, senza effettuare nessuna operazione che generi traffico sulla rete. Come si capirà in seguito, uno sniffer appartenente a questa categoria è difficilmente individuabile in quanto le tecniche di individuazione più conosciute si basano sul traffico generato da una macchina sospetta.
2. Sniffer non Stand-Alone
Uno sniffer non Stand-Alone è uno sniffer che dopo aver prelevato un pacchetto dalla rete effettua delle operazioni che possono generare traffico sulla rete. Per esempio dopo aver prelevato un pacchetto con indirizzo sconosciuto, tale sniffer può effettuare una richiesta al DNS per risolvere l’indirizzo, oppure può risponde ad un ping da parte di una macchina. Questa categoria di sniffer, a differenza della precedente, è localizzabile.