home *** CD-ROM | disk | FTP | other *** search
/ ftp.pasteur.org/FAQ/ / ftp-pasteur-org-FAQ.zip / FAQ / computer-security / sniffers < prev    next >
Encoding:
Internet Message Format  |  1997-07-29  |  21.3 KB

  1. Path: senator-bedfellow.mit.edu!bloom-beacon.mit.edu!gatech!howland.erols.net!infeed1.internetmci.com!newsfeed.internetmci.com!newsfeed.randomc.com!wittsend!iss.net!cklaus
  2. From: cklaus@iss.net (Christopher Klaus)
  3. Newsgroups: comp.security,alt.security,comp.security.misc,comp.security.unix,comp.unix.admin,comp.answers,alt.answers,news.answers,comp.sys.sun.admin,comp.sys.sgi.admin,misc.answers,misc.security,comp.os.ms-windows.nt.admin.misc,comp.os.ms-windows.nt.admin.networking
  4. Subject: computer-security/sniffers FAQ
  5. Supersedes: <secfaq.p3_860650445@iss.net>
  6. Followup-To: poster
  7. Date: 28 Jul 1997 19:22:46 GMT
  8. Organization: ISS, Inc.
  9. Lines: 501
  10. Approved: news-answers-request@MIT.Edu
  11. Distribution: world
  12. Message-ID: <secfaq.p3_870116489@iss.net>
  13. Reply-To: cklaus@iss.net
  14. NNTP-Posting-Host: ocean.iss.net
  15. Keywords: security contact vendor
  16. Originator: cklaus@iss.net
  17. Xref: senator-bedfellow.mit.edu alt.security:44978 comp.security.misc:41781 comp.security.unix:40380 comp.unix.admin:67061 comp.answers:27289 alt.answers:27868 news.answers:108347 comp.sys.sun.admin:100907 comp.sys.sgi.admin:53450 misc.answers:6266 comp.os.ms-windows.nt.admin.misc:41017 comp.os.ms-windows.nt.admin.networking:43354
  18.  
  19. Archive-name: computer-security/sniffers
  20. Posting-frequency: monthly
  21. Last-modified: 1996/7/15
  22. Version: 3.00
  23.  
  24. Sniffer FAQ
  25.  
  26. Version: 3.00
  27. ----------------------------------------------------------------------------
  28. This Security FAQ is a resource provided by:
  29.  
  30.      Internet Security Systems, Inc.
  31.      Suite 660, 41 Perimeter Center East          Tel: (770) 395-0150
  32.      Atlanta, Georgia 30346                       Fax: (770) 395-1972
  33.  
  34. ----------------------------------------------------------------------------
  35. To get the newest updates of Security files check the following services:
  36.  
  37.      http://www.iss.net/
  38.      ftp ftp.iss.net /pub/
  39.  
  40. To subscibe to the update mailing list, Alert, send an e-mail to
  41. request-alert@iss.net and, in the text of your message (not the subject
  42. line), write:
  43.  
  44.      subscribe alert
  45.  
  46. ----------------------------------------------------------------------------
  47. This Sniffer FAQ will hopefully give administrators a clear understanding of
  48. sniffing problems and hopefully possible solutions to follow up with.
  49. Sniffers is one of the main causes of mass break-ins on the Internet today.
  50.  
  51. This FAQ will be broken down into:
  52.  
  53.    * What a sniffer is and how it works
  54.    * Where are sniffers available
  55.    * How to detect if a machine is being sniffed
  56.    * Stopping sniffing attacks:
  57.         o Active hubs
  58.         o Encryption
  59.         o Kerberos
  60.         o One-time password technology
  61.         o Non-promiscuous interfaces
  62.  
  63. ----------------------------------------------------------------------------
  64.  
  65. What a sniffer is and how it works
  66.  
  67. Unlike telephone circuits, computer networks are shared communication
  68. channels. It is simply too expensive to dedicate local loops to the switch
  69. (hub) for each pair of communicating computers. Sharing means that computers
  70. can receive information that was intended for other machines. To capture the
  71. information going over the network is called sniffing.
  72.  
  73. Most popular way of connecting computers is through ethernet. Ethernet
  74. protocol works by sending packet information to all the hosts on the same
  75. circuit. The packet header contains the proper address of the destination
  76. machine. Only the machine with the matching address is suppose to accept the
  77. packet. A machine that is accepting all packets, no matter what the packet
  78. header says, is said to be in promiscuous mode.
  79.  
  80. Because, in a normal networking environment, account and password
  81. information is passed along ethernet in clear-text, it is not hard for an
  82. intruder once they obtain root to put a machine into promiscuous mode and by
  83. sniffing, compromise all the machines on the net.
  84.  
  85. ----------------------------------------------------------------------------
  86.  
  87. Where are sniffers available
  88.  
  89. Sniffing is one of the most popular forms of attacks used by hackers. One
  90. special sniffer, called Esniff.c, is very small, designed to work on Sunos,
  91. and only captures the first 300 bytes of all telnet, ftp, and rlogin
  92. sessions. It was published in Phrack, one of the most widely read freely
  93. available underground hacking magazines. You can find Phrack on many FTP
  94. sites. Esniff.c is also available on many FTP sites such as
  95. coombs.anu.edu.au:/pub/net/log.
  96.  
  97. You may want to run Esniff.c on an authorized network to quickly see how
  98. effective it is in compromising local machines.
  99.  
  100. Other sniffers that are widely available which are intended to debug network
  101. problems are:
  102.  
  103.    * RealSecure (real time monitoring, attack recognition and response) on
  104.      SunOs 4.1.x, Solaris 2.5, and Linux. Available at
  105.      http://www.iss.net/RealSecure
  106.    * SniffIt for Linux, SunOs, Solaris, FreeBsd,and IRIX available at
  107.      http://reptile.rug.ac.be/~coder/sniffit/sniffit.html
  108.    * Etherfind on SunOs4.1.x
  109.    * Snoop is a utility on Solaris.
  110.    * Tcpdump 3.0 uses bpf for a multitude of platforms.
  111.    * Packetman, Interman, Etherman, Loadman works on the following
  112.      platforms:
  113.      SunOS, Dec-Mips, SGI, Alpha, and Solaris. It is available on
  114.      ftp.cs.curtin.edu.au:/pub/netman/[sun4c|dec-mips|sgi|alpha|solaris2]/
  115.      [etherman-1.1a|interman-1.1|loadman-1.0|packetman-1.1].tar.Z
  116.      Packetman was designed to capture packets, while Interman, Etherman,
  117.      and Loadman monitor traffic of various kinds.
  118.  
  119.      DOS based sniffers
  120.  
  121.    * Gobbler for IBM DOS Machines
  122.    * ethdump v1.03
  123.      Available on ftp
  124.      ftp.germany.eu.net:/pub/networking/inet/ethernet/ethdp103.zip
  125.    * ethload v1.04
  126.      Companion utility to a ethernet monitor. Available on ftp
  127.      ftp.germany.eu.net:/pub/networking/monitoring/ethload/ethld104.zip
  128.  
  129. Commercial Sniffers are available at:
  130.  
  131.    * Klos Technologies, Inc.
  132.  
  133.           PacketView - Low cost network protocol analyzer
  134.  
  135.           Phone: 603-424-8300
  136.           BBS: 603-429-0032
  137.  
  138.    * Network General.
  139.  
  140.           Network General produces a number of products. The most
  141.           important are the Expert Sniffer, which not only sniffs on
  142.           the wire, but also runs the packet through a high-performance
  143.           expert system, diagnosing problems for you. There is an
  144.           extension onto this called the "Distributed Sniffer System"
  145.           that allows you to put the console to the expert sniffer on
  146.           you Unix workstation and to distribute the collection agents
  147.           at remote sites.
  148.  
  149.    * Microsoft's Net Monitor
  150.  
  151.           " My commercial site runs many protocols on one wire -
  152.           NetBeui, IPX/SPX, TCP/IP, 802.3 protocols of various flavors,
  153.           most notably SNA. This posed a big problem when trying to
  154.           find a sniffer to examine the network problems we were
  155.           having, since I found that some sniffers that understood
  156.           Ethernet II parse out some 802.3 traffic as bad packets, and
  157.           vice versa. I found that the best protocol parser was in
  158.           Microsoft's Net Monitor product, also known as Bloodhound in
  159.           its earlier incarnations. It is able to correctly identify
  160.           such oddities as NetWare control packets, NT NetBios name
  161.           service broadcasts, etc, which etherfind on a Sun simply
  162.           registered as type 0000 packet broadcasts. It requires MS
  163.           Windows 3.1 and runs quite fast on a HP XP60 Pentium box. Top
  164.           level monitoring provides network statistics and information
  165.           on conversations by mac address (or hostname, if you bother
  166.           with an ethers file). Looking at tcpdump style details is as
  167.           simple as clicking on a conversation. The filter setup is
  168.           also one of the easiest to implement that I've seen, just
  169.           click in a dialog box on the hosts you want to monitor. The
  170.           number of bad packets it reports on my network is a tiny
  171.           fraction of that reported by other sniffers I've used. One of
  172.           these other sniffers in particular was reporting a large
  173.           number of bad packets with src mac addresses of
  174.           aa:aa:aa:aa:aa:aa but I don't see them at all using the MS
  175.           product. - Anonymous
  176.  
  177. ----------------------------------------------------------------------------
  178.  
  179. How to detect a sniffer running.
  180.  
  181. To detect a sniffing device that only collects data and does not respond to
  182. any of the information, requires physically checking all your ethernet
  183. connections by walking around and checking the ethernet connections
  184. individually.
  185.  
  186. It is also impossible to remotely check by sending a packet or ping if a
  187. machine is sniffing.
  188.  
  189. A sniffer running on a machine puts the interface into promiscuous mode,
  190. which accepts all the packets. On some Unix boxes, it is possible to detect
  191. a promiscuous interface. It is possible to run a sniffer in non-promiscuous
  192. mode, but it will only capture sessions from the machine it is running on.
  193. It is also possible for the intruder to do similiar capture of sessions by
  194. trojaning many programs such as sh, telnet, rlogin, in.telnetd, and so on to
  195. write a log file of what the user did. They can easily watch the tty and
  196. kmem devices as well. These attacks will only compromise sessions coming
  197. from that one machine, while promiscuous sniffing compromises all sessions
  198. on the ethernet.
  199.  
  200. For SunOs, NetBSD, and other possible BSD derived Unix systems, there is a
  201. command
  202.  
  203.      "ifconfig -a"
  204.  
  205. that will tell you information about all the interfaces and if they are in
  206. promiscuous mode. DEC OSF/1 and IRIX and possible other OSes require the
  207. device to be specified. One way to find out what interface is on the system,
  208. you can execute:
  209.  
  210.      # netstat -r
  211.      Routing tables
  212.  
  213.      Internet:
  214.      Destination      Gateway            Flags     Refs     Use  Interface
  215.      default          iss.net            UG          1    24949  le0
  216.      localhost        localhost          UH          2       83  lo0
  217.  
  218. Then you can test for each interface by doing the following command:
  219.  
  220.      #ifconfig le0
  221.      le0: flags=8863<UP,BROADCAST,NOTRAILERS,RUNNING,PROMISC,MULTICAST>
  222.              inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1
  223.  
  224. Intruders often replace commands such as ifconfig to avoid detection. Make
  225. sure you verify its checksum.
  226.  
  227. There is a program called cpm available on ftp.cert.org:/pub/tools/cpm that
  228. only works on Sunos and is suppose to check the interface for promiscuous
  229. flag.
  230.  
  231. Ultrix can possibly detect someone running a sniffer by using the commands
  232. pfstat and pfconfig.
  233.  
  234. pfconfig allows you to set who can run a sniffer
  235. pfstat shows you if the interface is in promiscuous mode.
  236.  
  237. These commands only work if sniffing is enabled by linking it into the
  238. kernel. by default, the sniffer is not linked into the kernel. Most other
  239. Unix systems, such as Irix, Solaris, SCO, etc, do not have any flags
  240. indication whether they are in promiscuous mode or not, therefore an
  241. intruder could be sniffing your whole network and there is no way to detect
  242. it.
  243.  
  244. Often a sniffer log becomes so large that the file space is all used up. On
  245. a high volume network, a sniffer will create a large load on the machine.
  246. These sometimes trigger enough alarms that the administrator will discover a
  247. sniffer. I highly suggest using lsof (LiSt Open Files) available from
  248. coast.cs.purdue.edu:/pub/Purdue/lsof for finding log files and finding
  249. programs that are accessing the packet device such as /dev/nit on SunOs.
  250.  
  251. There is no commands I know of to detect a promiscuous IBM PC compatible
  252. machine, but they atleast usually do not allow command execution unless from
  253. the console, therefore remote intruders can not turn a PC machine into a
  254. sniffer without inside assistance.
  255.  
  256. ----------------------------------------------------------------------------
  257.  
  258. Stopping sniffing attacks
  259.  
  260. Active hubs send to each system only packets intended for it rendering
  261. promiscuous sniffing useless. This is only effective for 10-Base T.
  262.  
  263. The following vendors have available active hubs:
  264.  
  265.    * Cisco
  266.    * 3Com
  267.    * HP
  268.  
  269. ----------------------------------------------------------------------------
  270.  
  271. Encryption
  272.  
  273. There are several packages out there that allow encryption between
  274. connections therefore an intruder could capture the data, but could not
  275. decypher it to make any use of it.
  276.  
  277. Some packages available are:
  278.  
  279.    * ssh is available at http://www.cs.hut.fi/ssh/ssh-archive/ .
  280.  
  281.    * deslogin is one package available at ftp
  282.      coast.cs.purdue.edu:/pub/tools/unix/deslogin .
  283.  
  284.    * swIPe is another package available at
  285.      ftp.csua.berkeley.edu:/pub/cypherpunks/swIPe/
  286.  
  287.    * Netlock encrypts all (tcp, udp, and raw ip based) communications
  288.      transparently. It has automatic (authenticated Diffie-Helman)
  289.      distibuted key management mechanism for each host and runs on the SUN
  290.      4.1 and HP 9.x systems. The product comes with a Certification
  291.      Authority Management application which generates host certificates
  292.      (X.509) used for authentication between the hosts. and provides
  293.      centralized control of each Hosts communications rules.
  294.  
  295.      The product is built by Hughes Aircraft and they can be reached at
  296.      800-825-LOCK or email at netlock@mls.hac.com.
  297.  
  298. ----------------------------------------------------------------------------
  299.  
  300. Kerberos
  301.  
  302. Kerberos is another package that encrypts account information going over the
  303. network. Some of its draw backs are that all the account information is held
  304. on one host and if that machine is compromised, the whole network is
  305. vulnerable. It is has been reported a major difficulty to set up. Kerberos
  306. comes with a stream-encrypting rlogind, and stream-encrypting telnetd is
  307. available. This prevents intruders from capturing what you did after you
  308. logged in.
  309.  
  310. There is a Kerberos FAQ at ftp at rtfm.mit.edu in
  311. /pub/usenet/comp.protocols/kerberos/Kerberos_Users__Frequently_Asked_Questions_1.11
  312. or try: ftp://aeneas.mit.edu/pub/kerberos/doc/KERBEROS.FAQ
  313.  
  314. ----------------------------------------------------------------------------
  315.  
  316. One time password technology
  317.  
  318. S/key and other one time password technology makes sniffing account
  319. information almost useless. S/key concept is having your remote host already
  320. know a password that is not going to go over insecure channels and when you
  321. connect, you get a challenge. You take the challenge information and
  322. password and plug it into an algorithm which generates the response that
  323. should get the same answer if the password is the same on the both sides.
  324. Therefore the password never goes over the network, nor is the same
  325. challenge used twice. Unlike SecurID or SNK, with S/key you do not share a
  326. secret with the host. S/key is available on
  327. ftp:thumper.bellcore.com:/pub/nmh/skey
  328.  
  329. OPIE is the successor of Skey and is available at
  330. ftp://ftp.nrl.navy.mil/pub/security/nrl-opie/
  331.  
  332. Other one time password technology is card systems where each user gets a
  333. card that generates numbers that allow access to their account. Without the
  334. card, it is improbable to guess the numbers.
  335.  
  336. The following are companies that offer solutions that are provide better
  337. password authenication (ie, handheld password devices):
  338.  
  339. Secure Net Key (SNK)
  340.  
  341. Digital Pathways, Inc.
  342. 201 Ravendale Dr. Mountainview, Ca.
  343. 97703-5216 USA
  344.  
  345. Phone: 415-964-0707 Fax: (415) 961-7487
  346.  
  347. SecurID
  348.  
  349. Security Dynamics,
  350. One Alewife Center
  351. Cambridge, MA 02140-2312
  352. USA Phone: 617-547-7820
  353. Fax: (617) 354-8836
  354. SecurID uses time slots as authenication rather than challenge/response.
  355.  
  356. ArKey and OneTime Pass
  357.  
  358. Management Analytics
  359. PO Box 1480
  360. Hudson, OH 44236
  361. Email: fc@all.net
  362. Tel:US+216-686-0090 Fax: US+216-686-0092
  363.  
  364. OneTime Pass (OTP):
  365. This program provides unrestricted one-time pass codes on a user by user
  366. basis without any need for cryptographic protocols or hardware devices. The
  367. user takes a list of usable pass codes and scratches out each one as it is
  368. used. The system tracks usage, removing each passcode from the available
  369. list when it is used. Comes with a very small and fast password tester and
  370. password and pass phrase generation systems.
  371.  
  372. ArKey:
  373. This is the original Argued Key system that mutually authenticates users and
  374. systems to each other based on their common knowledge. No hardware
  375. necessary. Comes with a very small and fast password tester and password and
  376. pass phrase generation systems.
  377.  
  378. WatchWord and WatchWord II
  379.  
  380. Racal-Guardata
  381. 480 Spring Park Place
  382. Herndon, VA 22070
  383. 703-471-0892
  384. 1-800-521-6261 ext 217
  385.  
  386. CRYPTOCard
  387.  
  388. Arnold Consulting, Inc.
  389. 2530 Targhee Street, Madison, Wisconsin
  390. 53711-5491 U.S.A.
  391. Phone : 608-278-7700 Fax: 608-278-7701
  392. Email: Stephen.L.Arnold@Arnold.Com
  393. CRYPTOCard is a modern, SecureID-sized, SNK-compatible device.
  394.  
  395. SafeWord
  396.  
  397. Enigma Logic, Inc.
  398. 2151 Salvio #301
  399. Concord, CA 94520
  400. 510-827-5707 Fax: (510)827-2593
  401. For information about Enigma ftp to: ftp.netcom.com in directory
  402. /pub/sa/safeword
  403.  
  404. Secure Computing Corporation:
  405.  
  406. 2675 Long Lake Road
  407. Roseville, MN 55113
  408. Tel: (612) 628-2700
  409. Fax: (612) 628-2701
  410. debernar@sctc.com
  411.  
  412. ----------------------------------------------------------------------------
  413.  
  414. Non-promiscuous Interfaces
  415.  
  416. You can try to make sure that most IBM DOS compatible machines have
  417. interfaces that will not allow sniffing. Here is a list of cards that do not
  418. support promiscuous mode:
  419.  
  420. Test the interface for promiscuous mode by using the Gobbler. If you find a
  421. interface that does do promiscuous mode and it is listed here, please e-mail
  422. cklaus@iss.net so I can remove it ASAP.
  423.  
  424.      IBM Token-Ring Network PC Adapter
  425.      IBM Token-Ring Network PC Adapter II (short card)
  426.      IBM Token-Ring Network PC Adapter II (long card)
  427.      IBM Token-Ring Network 16/4 Adapter
  428.      IBM Token-Ring Network PC Adapter/A
  429.      IBM Token-Ring Network 16/4 Adapter/A
  430.      IBM Token-Ring Network 16/4 Busmaster Server Adapter/A
  431.  
  432. The following cards are rumoured to be unable to go into promiscuous mode,
  433. but that the veracity of those rumours is doubtful.
  434.  
  435.      Microdyne (Excelan) EXOS 205
  436.      Microdyne (Excelan) EXOS 205T
  437.      Microdyne (Excelan) EXOS 205T/16
  438.      Hewlett-Packard 27250A EtherTwist PC LAN Adapter Card/8
  439.      Hewlett-Packard 27245A EtherTwist PC LAN Adapter Card/8
  440.      Hewlett-Packard 27247A EtherTwist PC LAN Adapter Card/16
  441.      Hewlett-Packard 27248A EtherTwist EISA PC LAN Adapter Card/32
  442.      HP 27247B EtherTwist Adapter Card/16 TP Plus
  443.      HP 27252A EtherTwist Adapter Card/16 TP Plus
  444.      HP J2405A EtherTwist PC LAN Adapter NC/16 TP
  445.  
  446. Adapters based upon the TROPIC chipset generally do not support promiscuous
  447. mode. The TROPIC chipset is used in IBM's Token Ring adapters such as the
  448. 16/4 adapter. Other vendors (notably 3Com) also supply TROPIC based
  449. adapters. TROPIC-based adapters do accept special EPROMs, however, that will
  450. allow them to go into promiscuous mode. However, when in promiscuous mode,
  451. these adapters will spit out a "Trace Tool Present" frame.
  452.  
  453. ----------------------------------------------------------------------------
  454.  
  455. Acknowledgements
  456.  
  457. I would like to thank the following people for the contribution to this FAQ
  458. that has helped to update and shape it:
  459.  
  460.    * Padgett Peterson (padgett@tccslr.dnet.mmc.com)
  461.    * Steven Bellovin (smb@research.att.com)
  462.    * Wietse Venema (wietse@wzv.win.tue.nl)
  463.    * Robert D. Graham (robg@NGC.COM)
  464.    * Kevin Martinez (kevinm@beavis.qntm.com)
  465.    * Frederick B. Cohen (fc@all.net)
  466.    * James Bonfield (jkb@mrc-lmb.cam.ac.uk)
  467.    * Marc Horowitz (marc@MIT.EDU)
  468.    * Steve Edwards (steve@newline.com)
  469.    * Andy Poling (Andy.Poling@jhu.edu)
  470.    * Jeff Collyer (jeff@cnet-pnw.com)
  471.    * Sara Gordon (sgordon@sun1.iusb.indiana.edu)
  472.  
  473. ----------------------------------------------------------------------------
  474.  
  475. Copyright
  476.  
  477. This paper is Copyright (c) 1994, 1995, 1996
  478.    by Christopher Klaus of Internet Security Systems, Inc.
  479.  
  480. Permission is hereby granted to give away free copies electronically. You
  481. may distribute, transfer, or spread this paper electronically. You may not
  482. pretend that you wrote it. This copyright notice must be maintained in any
  483. copy made. If you wish to reprint the whole or any part of this paper in any
  484. other medium excluding electronic medium, please ask the author for
  485. permission.
  486.  
  487. Disclaimer
  488.  
  489. The information within this paper may change without notice. Use of this
  490. information constitutes acceptance for use in an AS IS condition. There are
  491. NO warranties with regard to this information. In no event shall the author
  492. be liable for any damages whatsoever arising out of or in connection with
  493. the use or spread of this information. Any use of this information is at the
  494. user's own risk.
  495.  
  496. Address of Author
  497.  
  498. Please send suggestions, updates, and comments to:
  499. Christopher Klaus <cklaus@iss.net> of Internet Security Systems, Inc.
  500. <iss@iss.net>
  501.  
  502. Internet Security Systems, Inc.
  503.  
  504. ISS is the leader in network security tools and technology through
  505. innovative audit, correction, and monitoring software. The Atlanta-based
  506. company's flagship product, Internet Scanner, is the leading commercial
  507. attack simulation and security audit tool. The Internet Scanner SAFEsuite is
  508. based upon ISS' award-winning Internet Scanner and was specifically designed
  509. with expanded capabilities to assess a variety of network security issues
  510. confronting web sites, firewalls, servers and workstations. The Internet
  511. Scanner SAFEsuite is the most comprehensive security assessment tool
  512. available. For more information about ISS or its products, contact the
  513. company at (770) 395-0150 or e-mail at iss@iss.net. ISS maintains a Home
  514. Page on the World Wide Web at http://www.iss.net
  515. -- 
  516. Christopher William Klaus            Voice: (770)395-0150. Fax: (770)395-1972
  517. Internet Security Systems, Inc.              "Internet Scanner SAFEsuite finds
  518. Ste. 660,41 Perimeter Center East,Atlanta,GA 30346 your network security holes
  519. Web: http://www.iss.net/  Email: cklaus@iss.net        before the hackers do."
  520.