Packet Sniffing

LAN内のいずれかのパソコンがspambot等に感染している場合、どこかにスパムメールを送信してしまう場合がある。 これを検出してくれるサイトには例えば以下がある。

http://cbl.abuseat.org

いずれのパソコンが感染しているかは、それぞれウイルススキャンをしてみればよいことであるが、しかしウイルスがrootkitを利用している場合には、検出不可能な場合があるようだ。

このようなときは、LAN内を流れるパケットをチェックしなければならない。高価な機器を購入しなくとも、例えば以下のソフトで可能である。

• http://www.bothunter.net/

• http://www.wireshark.org/

しかし、これらのソフトを使用するためのハードウェア的な前提条件がある。

スイッチングハブでないこと

スイッチングハブの場合、パケットの送信元と送信先のマシンにしかパケットが届かず、他のマシンでいくらsniffingを行なおうとしても無駄である。一般に通常のハブよりスイッチングハブの方が高価であるが、sniffingのためには安いハブの方がよい。

Promiscuous modeをサポートしたアダプタであること

Sniffingを行おうとするマシンのネットワークアダプタがPromiscuous modeに移行できるものでなければならない。 このモードがOFFのときには、やはり自分に向けられたパケットしか受け取ることができない。

前述のソフト二つは、起動すると対象とするネットワークアダプタを自動的にPromiscuous modeに変更する模様である。