TOPに戻る
▼Network
盗聴
┣ 盗聴の方法と原理
┣ コンピュータニュ
┃ ースサイトの説明
┣ IPアドレスとMAC
┃ アドレス
┣ Address Resolution
┃ Protocol
┣ 盗聴者を特定する原理
┣ 盗聴者特定ツール
┗ 付録
Copyright(C) 2001-2002.ugpop. All rights reserved.
■ 盗聴者特定ツール ■
前回はARPを利用してプロミスキャスモードのコンピュータを
特定する原理を説明しました。
ARPの問い合わせデータの宛先MACアドレスをある特定のアドレ
スに変えて送出する事によってプロミスキャスモードであるか
どうか判定出来る事を解説しました。
プロミスキャスモードの場合と通常のモードの場合で、それぞ
れ特殊なMACアドレスに対してARP問い合わせが行われた図をも
う1度見てみましょう。
●通常モードの場合で動作している例
コンピュータ
IP:11.22.33.01
MAC:00-00-00-00-00-02
 ̄
┌───────────────┐
│ │
│ │
│┌─────────────┐│
││ ││
││ OS ││
│└─────────────┘│
│ │
│┌─────────────┐│
││ ×────────┼┼→廃棄
││ ↑ NIC
││NICのつぶやき:
│└────┼────────┘│宛先MACアドレスが自
└─────┼─────────┘分のMACアドレスと異
│ なるから駄目だよ。
─→────→┘
ARP
IP:11.22.33.01の人は
MACアドレス教えて
宛先MAC:FF-FF-FF-FF-FF-FE
 ̄
●プロミスキャスモードで動作している例
コンピュータ
IP:11.22.33.01
MAC:00-00-00-00-00-02
 ̄
┌───────────────┐
│ │
│ │
│┌─────────────┐│
││ ○ ││
││ ↑ OS ││OSのつぶやき:
│└────┼────────┘│なんだか良く分からな
│ ↑ │いけどOKです。
│┌────┼────────┐│
││ │ ││
││ │ NIC
││NICのつぶやき:
│└────┼────────┘│宛先MACアドレスが自
└─────┼─────────┘分のMACアドレスと異
│ なるけどプロミスキャ
─→────→┘ スモードだから取り込
ARP
もう。
IP:11.22.33.01の人は
MACアドレス教えて
宛先MAC:FF-FF-FF-FF-FF-FE
 ̄
通常モードで動作している場合はNICにより宛先MACアドレスの
チェックが行われ、ARP問い合わせのデータは廃棄されるので
した。
この場合、ARPの応答が返される事はありません。
それに対し、プロミスキャスモードの場合、NICのチェックを
通過し、宛先MACアドレスの特殊性からOSによるチェックもO
Kとなリ、ARP問い合わせの応答が返される事になります。
この差分をチェックすれば通常モードで動作しているのかプロ
ミスキャスモードで動作しているのかが判定出来るのでした。
今回は実際に宛先MACアドレスを変更してARP問い合わせを行な
う為のツールを紹介します。
ARPの問い合わせによってOSの宛先MACアドレスチェックを通り
抜けてしまうMACアドレスはFF-FF-FF-FF-FF-FEでした。
実は、これ以外にもチェックを通り抜けてしまう宛先MACアド
レスが判明しています。
OS毎にチェックを通り抜ける宛先MACアドレスが異なるので、
以下に一覧表を示します。
OSのチェックを通り抜ける宛先MACアドレス一覧
(「○」印がチェックを通り抜けるという意味)
┌─────────┬───────┬───────┬───────┐
│ MAC
アドレス │WINDOWS9x/Me │WINDOWS NT系 │ LINUX
│
├─────────┼───────┼───────┼───────┤
│FF:FF:FF:FF:FF:FE
│ ○ │ ○ │ ○ │
├─────────┼───────┼───────┼───────┤
│FF:FF:00:00:00:00
│ ○ │ ○ │ ○ │
├─────────┼───────┼───────┼───────┤
│FF:00:00:00:00:00
│ ○ │ ○ │ ○ │
├─────────┼───────┼───────┼───────┤
│01:00:00:00:00:00
│ ○ │ − │ ○ │
├─────────┼───────┼───────┼───────┤
│01:00:5E:00:00:00
│ ○ │ − │ ○ │
├─────────┼───────┼───────┼───────┤
│01:00:5E:00:00:01
│ ○ │ − │ ○ │
└─────────┴───────┴───────┴───────┘
どうでしょうか?結構ありますよね。
ではツールの紹介です。
プロミスキャスモードで動作しているコンピュータを特定する
方法はSecurity
Fridayというグループが発見したものです。
このサイトを見るとプロミスキャスモードのコンピュータを特
定する原理が掲載してあり、ツールも掲載されています。
このツールを使用する事により、プロミスキャスモードで動作
しているコンピュータを特定する事が可能となります。
Security
Fridayのホームページ(英語)
>>> http://www.securityfriday.com/main_index.html
Security Fridayによるプロミスキャスモード特定原理の説明
とツールのダウンロード。(英語)
>>>
http://www.securityfriday.com/ToolDownload/PromiScan/promiscan_doc.html
使い方は、疑わしいコンピュータのIPアドレスを指定してあげ
てボタンを押すだけです。
これにより指定したIPアドレスに対してARP問い合わせが行わ
れ、応答が返るかどうか確認が行なわれます。
指定したIPのコンピュータがプロミスキャスモードの時は応答
が返送され、プロミスキャスモードでない時はARPの問い合わ
せは廃棄されます。
さて、以上でこの講座は終わりです。
最後に、この講座で紹介したツールもやはり完璧ではないとい
う事を断っておかねばなりません。
残念な事なのですが、今回紹介したツールも高度な知識を持っ
た人がOS自体を改変してしまう事がないとは言い切れないので
す。
特にLINUXなどOSのソースコードが公開されている場合はOSの
変更は簡単に出来てしまいます。
ここらへんはオープンソースの悪い所かもしれません。
オープンソースというものは、純粋にコンピュータの事を知り
たいと思っている人にとっては最高の勉強材料なのですが、悪
い事をしようと思っている人にとっても最高の勉強材料となっ
てしまうのです。
LINUXの動作を変更する事は結構簡単なのですが、Windowsの動
作を変更する事は難しいはずです。
ですので、Windows上で盗聴を行なっている人を特定するには
このツールはかなり有効となります。
また仮にOSに変更を加えていたとしても、特定のMACアドレス
に対するARP要求の応答が返らなくなるだけなので、LINUXであ
れWindowsであれ、このツールを使用して結果がプロミスキャ
スモードとなった場合(つまり特定のMACアドレスに対するARP
要求の応答が返った場合)、ほぼ100%そのコンピュータは
盗聴を行なっていると思って間違いないです。
インターネット上での盗聴行為は現在でもバレないという理由
で結構行なわれている事が多いようです。
インターネット盗聴を行なう動機としては、ただ単に他人のプ
ライバシーを覗き見したいという人もいれば、企業情報を盗む
為という人もいるでしょう。
盗聴を行なう為のツール(本来はネットワークの診断を行なう
為のツール。)も簡単に手に入れる事が出来てしまいます。
盗聴をやろうと思えば誰でも出来る状況なのです。
盗聴を行なう人としては、暗くて陰湿そうな人を思い浮かべる
かもしれませんが、意外とそんな事はやってそうにない人がし
ていたりするものです。
今、この瞬間にもあなたのデータを覗き見してニヤリと笑って
いる人がいるのかもしれないのです。
もしかしてそれはあなたの隣にいる人なのかも・・・。
参考文献:ハッカージャパン21 vol.6
http://www.zdnet.co.jp/help/howto/security/j06/
←前へ戻る ▲このページの上へ 続きを読む→