TOPに戻る
▼Network
盗聴
┣ 盗聴の方法と原理
┣ コンピュータニュ
┃ ースサイトの説明
┣ IPアドレスとMAC
┃ アドレス
┣ Address Resolution
┃ Protocol
┣ 盗聴者を特定する原理
┣ 盗聴者特定ツール
┗ 付録
Copyright(C) 2001-2002.ugpop. All rights reserved.
■ 盗聴者を特定する原理 ■
前回はARP(Address Resolution Protocol)について説明を行な
いました。
ARPとは、IPアドレスからMACアドレスを求める為のプロトコル
である事を説明しました。また、PINGコマンドとARPコマンド
を使用して実際にARPが行なわれる様子を見てみました。
今回は、このARPを使用して盗聴を行なっている人を特定する
原理について説明します。
まず、ARPの問い合わせを行なっている図をもう1度見てみま
しょう。
データ送る人 ルータ
IP:11.22.33.44 IP:11.22.33.01
MAC:00-00-00-00-00-01 MAC:00-00-00-00-00-02
┌───┐ ┌───┐
│ │ ARP │ │
└─┬─┘ IP:11.22.33.01の人は └───┘
↓ MACアドレス教えて ↑
│ 宛先MAC:FF-FF-FF-FF-FF-FF │
└─→──→──→──→──→──→──→──→┘
この時、問い合わせの宛先MACアドレスはFF-FF-FF-FF-FF-FFを
示しています。
これはブロードキャストアドレスと言って、「全てのコンピュ
ータの宛先」を表します。
つまり、このデータが届けられた全てのコンピュータはMACア
ドレスが何であろうとも、このデータを受け取ってくださいね。
という特別なアドレスなのです。
ここで、上の図の「ルータ」だけに着目します。
「ルータ」を拡大したものを以下に示します。
ルータ
IP:11.22.33.01
MAC:00-00-00-00-00-02
 ̄
┌───────────────┐
│ │
│ │
│ ↑ │
│┌────┼────────┐│
││ │ ││
││ │ NIC ││NICのつぶやき:
│└────┼────────┘│宛先MACアドレスがブ
└─────┼─────────┘ロードキャストだから
│ このデータは取り込も
─→────→┘ う。
ARP
IP:11.22.33.01の人は
MACアドレス教えて
宛先MAC:FF-FF-FF-FF-FF-FF
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
宛先MACアドレスがブロードキャストアドレスなのでNIC(Netw-
ork Interface Card)はこのデータを取り込んでいます。
ARPの問い合わせを受けたルータは、この後自分のMACアドレス
を返してあげます。
ルータ
IP:11.22.33.01
MAC:00-00-00-00-00-02
 ̄
┌───────────────┐
│ │
│ │
│ ↓ │
│┌────┼────────┐│
││ │ ││
││ │ NIC ││
│└────┼────────┘│
└─────┼─────────┘
│
─←────←┘
自分のMACアドレスは
00-00-00-00-00-02です。
 ̄
では、通常ありえない事なのですが、ARPで問い合わせを行な
う時に宛先MACアドレスをブロードキャストアドレス以外にし
てみたらどうなるでしょうか?
以下に、例として宛先MACアドレスを00-00-00-00-00-03にして
送ってみた図を示します。  ̄
ルータ
IP:11.22.33.01
MAC:00-00-00-00-00-02
 ̄
┌───────────────┐
│ │
│ │
│ │
│┌─────────────┐│
││ ×────────┼┼→廃棄
││ ↑ NIC ││NICのつぶやき:
│└────┼────────┘│宛先MACアドレスが自
└─────┼─────────┘分のMACアドレスと異
│ なるから駄目だよ。
─→────→┘
ARP
IP:11.22.33.01の人は
MACアドレス教えて
宛先MAC:00-00-00-00-00-03
 ̄
宛先MACアドレスがブロードキャストアドレスではないので、
自分のMACアドレスと同じかどうかチェックが行なわれてます。
チェックの結果、自分宛のデータでない事が判明し廃棄されま
す。
では、このルータがプロミスキャスモードで動作していた場合
どうなるでしょうか?
以下にルータがプロミスキャスモードで動作している場合の図
を示します。
ルータ
IP:11.22.33.01
MAC:00-00-00-00-00-02
 ̄
┌───────────────┐
│ │
│ │
│ ↑ │
│┌────┼────────┐│
││ │ ││
││ │ NIC ││NICのつぶやき:
│└────┼────────┘│宛先MACアドレスが自
└─────┼─────────┘分のMACアドレスと異
│ なるけどプロミスキャ
─→────→┘ スモードだから取り込
ARP もう。
IP:11.22.33.01の人は
MACアドレス教えて
宛先MAC:00-00-00-00-00-03
 ̄
NICはこのARP問い合わせを受け入れています。
そうです。プロミスキャスモードの時はどんなデータでも受け
入れるので、NICはこのARP問い合わせも受け入れるのです。
では、ルータはこのARP問い合わせに応答するのではないでし
ょうか?
しかし、これでもこのルータは正常に応答を返す事はありませ
ん。
何故応答を返さないのかというと、NICの上位にOSがいて、そ
のOSにより宛先MACアドレスがチェックされていたからです。
以下にそのイメージを示します。
ルータ
IP:11.22.33.01
MAC:00-00-00-00-00-02
 ̄
┌───────────────┐
│ │
│ │
│┌─────────────┐│
││ ×────────┼┼→廃棄
││ │ OS ││OSのつぶやき:
│└────┼────────┘│宛先MACアドレスが自
│ ↑ │分のMACアドレスと異
│┌────┼────────┐│なるから駄目だよ。
││ │ ││
││ │ NIC ││NICのつぶやき:
│└────┼────────┘│宛先MACアドレスが自
└─────┼─────────┘分のMACアドレスと異
│ なるけどプロミスキャ
─→────→┘ スモードだから取り込
ARP もう。
IP:11.22.33.01の人は
MACアドレス教えて
宛先MAC:00-00-00-00-00-03
 ̄
OSが宛先MACアドレスをチェックして自分のMACアドレスと異な
る事を判断し、廃棄しています。
しかしこのOS、宛先MACアドレスをいろいろと変えてみるとデ
ータを通してしまう場合があるようです。
例えば宛先MACアドレスをFF-FF-FF-FF-FF-FEにするとOSはデー
 ̄
タを通してしまいます。
以下にそのイメージを示します。
ルータ
IP:11.22.33.01
MAC:00-00-00-00-00-02
 ̄
┌───────────────┐
│ │
│ │
│┌─────────────┐│
││ ○ ││
││ ↑ OS ││OSのつぶやき:
│└────┼────────┘│なんだか良く分からな
│ ↑ │いけど自分宛みたい。
│┌────┼────────┐│
││ │ ││
││ │ NIC ││NICのつぶやき:
│└────┼────────┘│宛先MACアドレスが自
└─────┼─────────┘分のMACアドレスと異
│ なるけどプロミスキャ
─→────→┘ スモードだから取り込
ARP もう。
IP:11.22.33.01の人は
MACアドレス教えて
宛先MAC:FF-FF-FF-FF-FF-FE
 ̄
この様に、ある限られた宛先MACアドレスに対してARP問い合わ
せを行なうとOSが勘違いを起こしてしまい、自分宛だと思って
しまうのです。
これは、宛先MACアドレスを判定する時にOSが宛先MACアドレス
の一部分しかチェックしていないからです。
ARPの問い合わせを受けたルータは、この後自分のMACアドレス
を返してあげます。
ルータ
IP:11.22.33.01
MAC:00-00-00-00-00-02
 ̄
┌───────────────┐
│ │
│ │
│┌─────────────┐│
││ ↓ ││
││ │ OS ││
│└────┼────────┘│
│ ↓ │
│┌────┼────────┐│
││ │ ││
││ │ NIC ││
│└────┼────────┘│
└─────┼─────────┘
│
─←────←┘
自分のMACアドレスは
00-00-00-00-00-02です。
 ̄
以上は、NICがプロミスキャスモードで動作していた場合です。
では、このARPの問い合わせと全く同じデータを通常のモード
で動作しているルータが受けた場合の図を見てみましょう。
ルータ
IP:11.22.33.01
MAC:00-00-00-00-00-02
 ̄
┌───────────────┐
│ │
│ │
│┌─────────────┐│
││ ││
││ OS ││
│└─────────────┘│
│ │
│┌─────────────┐│
││ ×────────┼┼→廃棄
││ ↑ NIC ││NICのつぶやき:
│└────┼────────┘│宛先MACアドレスが自
└─────┼─────────┘分のMACアドレスと異
│ なるから駄目だよ。
─→────→┘
ARP
IP:11.22.33.01の人は
MACアドレス教えて
宛先MAC:FF-FF-FF-FF-FF-FE
 ̄
プロミスキャスモードでないのでNICにより宛先MACアドレスの
チェックが行われて、廃棄されています。
さあ、プロミスキャスモードで動作しているのと通常モードで
動作しているのとで差分が現れました。
この処理の差を判定するとプロミスキャスモードで動作してい
るのか、そうでないのか、判定する事が出来ます。
次回はこの判定を行なう為のツールを紹介します。
←前へ戻る ▲このページの上へ 続きを読む→