Packet Sniffing

LAN内のいずれかのパソコンがspambot等に感染している場合、どこかにスパムメールを送信してしまう場合がある。 これを検出してくれるサイトには例えば以下がある。

http://cbl.abuseat.org

いずれのパソコンが感染しているかは、それぞれウイルススキャンをしてみればよいことであるが、しかしウイルスがrootkitを利用している場合には、検出不可能な場合があるようだ。

このようなときは、LAN内を流れるパケットをチェックしなければならない。高価な機器を購入しなくとも、例えば以下のソフトで可能である。

• http://www.bothunter.net/

• http://www.wireshark.org/

満たすべきハードウェア条件

しかし、これらのソフトを使用するためのハードウェア的な前提条件がある。

スイッチングハブでないこと

スイッチングハブの場合、パケットの送信元と送信先のマシンにしかパケットが届かず、他のマシンでいくらsniffingを行なおうとしても無駄である。一般に通常のハブよりスイッチングハブの方が高価であるが、sniffingのためには安いハブの方がよい。

Promiscuous modeをサポートしたアダプタであること

Sniffingを行おうとするマシンのネットワークアダプタがPromiscuous modeに移行できるものでなければならない。 このモードがOFFのときには、やはり自分に向けられたパケットしか受け取ることができない。

前述のソフト二つは、起動すると対象とするネットワークアダプタを自動的にPromiscuous modeに変更する模様である。

ハードウェア条件を満たせないとき

上記のいずれかでも満たせない場合には、LAN内の他のマシンがやりとりするパケットを監視することはできない。 この場合には、監視用マシンをルータあるいはゲートウェイなどとして設定し、他マシンのネットとのやりとりはすべてこのマシンを経由させるようにするほかない。