Last update: 29/05/2007


EtatStable
Version1.00
Mise à jour10/06/2004

Projet anti-sniff
"ANTI-SNIFF" est un petit outil permettant de détecter à distance si des ordinateurs sur le LAN sniffent le réseau (carte en mode promiscuous).

Principe
Le principe est simple: L'outil envoie des requêtes de résolution ARP, sauf que l'adresse destination est FF:FF:FF:FF:FF:FF:00
En temps normal, une carte réseau ne répondra pas à ce genre de requête... sauf si elle est en mode promiscious !
Il suffit alors d'écouter les réponses: les cartes qui répondent sont en mode promiscious
(Special thanks à Fred Raynal pour l'idée ;) )
Installation
Plateforme
anti-sniff est un programme C compilé avec gcc sur Linux. Il a été testé uniquement sur une Red Hat 9 kernel 2.4, mais fonctionne probablement sur Linux de manière générale.
Procédure d'installation
Téléchargez et décompressez l'archive dans un répertoire.
Lancez le programme en tant que root (il utilise les raw sockets).
Limites
anti-sniff va détecter un sniffer sous Windows (tests effectués sous W2k avec ethereal), par contre il semble ne pas détecter les sniffer sous Linux
Démonstration
Voici un copier-coller obtenu sur mon LAN:
$ ./anti_sniff -r 172.16.0.0-172.16.0.255 -t 5 -i eth0

               +-------------------------------+
               | ghorg0re/3ey sniffer detector |
               | Version 1.00                  |
               +-------------------------------+

[TRACE] : Waiting 5 seconds for ARP reply
[TRACE] : Sending 256 fake ARP requests
Sniffer detected on address 172.16.0.2
[TRACE] : End of detection: Number of sniffer detected: 1
	
Téléchargement de anti-sniff
Pour l'instant, seul le binaire est disponible : anti-sniff
Une remarque/un bug ?
anti-sniff est plus un petit proof-of-concept, il est donc très limité. N'hésitez cependant pas à me contacter si vous avez des questions ou des remarques: Benjamin CAILLAT