分かりやす〜い
コンピュータ技術情報

TOPに戻る
▼Network
盗聴
┣ 盗聴の方法と原理
┣ コンピュータニュ
┃ ースサイトの説明

┣ IPアドレスとMAC
┃ アドレス

┣ Address Resolution
┃ Protocol

┣ 盗聴者を特定する原理
┣ 盗聴者特定ツール
┗ 付録

Copyright(C) 2001-2002.ugpop. All rights reserved.




■デジタル用語辞典:

■ 盗聴者特定ツール ■

前回はARPを利用してプロミスキャスモードのコンピュータを
特定する原理を説明しました。
ARPの問い合わせデータの宛先MACアドレスをある特定のアドレ
スに変えて送出する事によってプロミスキャスモードであるか
どうか判定出来る事を解説しました。

プロミスキャスモードの場合と通常のモードの場合で、それぞ
れ特殊なMACアドレスに対してARP問い合わせが行われた図をも
う1度見てみましょう。


●通常モードの場合で動作している例

      コンピュータ      
      IP:11.22.33.01     
      MAC:00-00-00-00-00-02  
                ̄  
 ┌───────────────┐
 │               │
 │               │
 │┌─────────────┐│
 ││             ││
 ││        OS    ││
 │└─────────────┘│
 │               │
 │┌─────────────┐│
 ││    ×────────┼┼→廃棄
 ││    ↑   NIC    ││NICのつぶやき:
 │└────┼────────┘│宛先MACアドレスが自
 └─────┼─────────┘分のMACアドレスと異
       │          なるから駄目だよ。
─→────→┘          
ARP                 
IP:11.22.33.01の人は
MACアドレス教えて
宛先MAC:FF-FF-FF-FF-FF-FE
             ̄


●プロミスキャスモードで動作している例

      コンピュータ      
      IP:11.22.33.01     
      MAC:00-00-00-00-00-02  
                ̄  
 ┌───────────────┐
 │               │
 │               │
 │┌─────────────┐│
 ││    ○        ││
 ││    ↑   OS    ││OSのつぶやき:
 │└────┼────────┘│なんだか良く分からな
 │     ↑         │いけどOKです。
 │┌────┼────────┐│
 ││    │        ││
 ││    │   NIC    ││NICのつぶやき:
 │└────┼────────┘│宛先MACアドレスが自
 └─────┼─────────┘分のMACアドレスと異
       │          なるけどプロミスキャ
─→────→┘          スモードだから取り込
ARP                 もう。
IP:11.22.33.01の人は
MACアドレス教えて
宛先MAC:FF-FF-FF-FF-FF-FE
             ̄

通常モードで動作している場合はNICにより宛先MACアドレスの
チェックが行われ、ARP問い合わせのデータは廃棄されるので
した。
この場合、ARPの応答が返される事はありません。

それに対し、プロミスキャスモードの場合、NICのチェックを
通過し、宛先MACアドレスの特殊性からOSによるチェックもO
Kとなリ、ARP問い合わせの応答が返される事になります。

この差分をチェックすれば通常モードで動作しているのかプロ
ミスキャスモードで動作しているのかが判定出来るのでした。

今回は実際に宛先MACアドレスを変更してARP問い合わせを行な
う為のツールを紹介します。


ARPの問い合わせによってOSの宛先MACアドレスチェックを通り
抜けてしまうMACアドレスはFF-FF-FF-FF-FF-FEでした。

実は、これ以外にもチェックを通り抜けてしまう宛先MACアド
レスが判明しています。

OS毎にチェックを通り抜ける宛先MACアドレスが異なるので、
以下に一覧表を示します。


OSのチェックを通り抜ける宛先MACアドレス一覧
(「○」印がチェックを通り抜けるという意味)
┌─────────┬───────┬───────┬───────┐
│ MAC アドレス  │WINDOWS9x/Me │WINDOWS NT系 │  LINUX   │
├─────────┼───────┼───────┼───────┤
│FF:FF:FF:FF:FF:FE │   ○   │   ○   │   ○   │
├─────────┼───────┼───────┼───────┤
│FF:FF:00:00:00:00 │   ○   │   ○   │   ○   │
├─────────┼───────┼───────┼───────┤
│FF:00:00:00:00:00 │   ○   │   ○   │   ○   │
├─────────┼───────┼───────┼───────┤
│01:00:00:00:00:00 │   ○   │   −   │   ○   │
├─────────┼───────┼───────┼───────┤
│01:00:5E:00:00:00 │   ○   │   −   │   ○   │
├─────────┼───────┼───────┼───────┤
│01:00:5E:00:00:01 │   ○   │   −   │   ○   │
└─────────┴───────┴───────┴───────┘


どうでしょうか?結構ありますよね。

ではツールの紹介です。
プロミスキャスモードで動作しているコンピュータを特定する
方法はSecurity Fridayというグループが発見したものです。

このサイトを見るとプロミスキャスモードのコンピュータを特
定する原理が掲載してあり、ツールも掲載されています。

このツールを使用する事により、プロミスキャスモードで動作
しているコンピュータを特定する事が可能となります。

Security Fridayのホームページ(英語)
>>> http://www.securityfriday.com/main_index.html

Security Fridayによるプロミスキャスモード特定原理の説明
とツールのダウンロード。(英語)
>>> http://www.securityfriday.com/ToolDownload/PromiScan/promiscan_doc.html


使い方は、疑わしいコンピュータのIPアドレスを指定してあげ
てボタンを押すだけです。
これにより指定したIPアドレスに対してARP問い合わせが行わ
れ、応答が返るかどうか確認が行なわれます。

指定したIPのコンピュータがプロミスキャスモードの時は応答
が返送され、プロミスキャスモードでない時はARPの問い合わ
せは廃棄されます。



さて、以上でこの講座は終わりです。
最後に、この講座で紹介したツールもやはり完璧ではないとい
う事を断っておかねばなりません。
残念な事なのですが、今回紹介したツールも高度な知識を持っ
た人がOS自体を改変してしまう事がないとは言い切れないので
す。
特にLINUXなどOSのソースコードが公開されている場合はOSの
変更は簡単に出来てしまいます。

ここらへんはオープンソースの悪い所かもしれません。
オープンソースというものは、純粋にコンピュータの事を知り
たいと思っている人にとっては最高の勉強材料なのですが、悪
い事をしようと思っている人にとっても最高の勉強材料となっ
てしまうのです。

LINUXの動作を変更する事は結構簡単なのですが、Windowsの動
作を変更する事は難しいはずです。
ですので、Windows上で盗聴を行なっている人を特定するには
このツールはかなり有効となります。

また仮にOSに変更を加えていたとしても、特定のMACアドレス
に対するARP要求の応答が返らなくなるだけなので、LINUXであ
れWindowsであれ、このツールを使用して結果がプロミスキャ
スモードとなった場合(つまり特定のMACアドレスに対するARP
要求の応答が返った場合)、ほぼ100%そのコンピュータは
盗聴を行なっていると思って間違いないです。



インターネット上での盗聴行為は現在でもバレないという理由
で結構行なわれている事が多いようです。

インターネット盗聴を行なう動機としては、ただ単に他人のプ
ライバシーを覗き見したいという人もいれば、企業情報を盗む
為という人もいるでしょう。

盗聴を行なう為のツール(本来はネットワークの診断を行なう
為のツール。)も簡単に手に入れる事が出来てしまいます。

盗聴をやろうと思えば誰でも出来る状況なのです。

盗聴を行なう人としては、暗くて陰湿そうな人を思い浮かべる
かもしれませんが、意外とそんな事はやってそうにない人がし
ていたりするものです。

今、この瞬間にもあなたのデータを覗き見してニヤリと笑って
いる人がいるのかもしれないのです。

もしかしてそれはあなたの隣にいる人なのかも・・・。



 参考文献:ハッカージャパン21 vol.6
      http://www.zdnet.co.jp/help/howto/security/j06/



←前へ戻る    ▲このページの上へ    続きを読む→

▲このページの上へ