Etherealを使っていると１つの事に気付かれると思います。

これって盗聴ソフト？

その通り、悪く言えばEtherealは立派なパケット盗聴ソフトです。

私はある日、ふとEtherealを使っていて頭に浮かんだクラック方法を思いつきました（ひらめいたと言っても良いでしょう、私は基本的に馬鹿ですから（笑））。早速、サーバ管理者として確認する為に（笑）部下と共に仮のネットワーク環境を構築し、その方法を試してみました。

ばっちり盗聴ができちゃいました（笑）この方法は公開する事はできませんが、下記の条件下でEtherealにてパケットを盗聴する事ができるのです。

１．すべてのネットワークはスイッチングHUB（リピートのみのいわゆるバカHUBは無い）
２．ステートフルインスペクション型のファイアーウォールが入っている上にポリシーに当然抜けは無い（例：Firewall-1等）
３．1秒たりともパケットのロスが発生してはならない（つまりケーブルの切断もダメ）
４．ポートモニタが搭載されたHUBは一切無い（全てのHUB全ポートも埋まっている）
５．当然誰にもネットワーク配下の者には気付かれてはならない
６．どのネットワーク配下のパソコンも触れる事すらできない（半径１０M以内にも近づけないし画面も見れない）
７．当然無線環境なんて無い（すべてケーブル直指し）
８．なんとインターネットに繋がってない（笑）
９．長期間｛1年でも2年でも｝気付かれない恐れがある環境でする事
１０．ネットワーク管理者も使用者も死人より口が堅い（笑）

何度も言いますが、上記の様な一見完璧な環境でもEtherealを使用してサーバのroot権限を奪う事がちゃんとできました。

どうやってやるんだ？と思われて質問されても一切解答しません。当然、この方法によりクラックされた方は何人か居るのでしょうけど・・・とりあえずサイトを結構巡回しましたがこの方法を記載したサイトは国内にも国外にも見つける事はできませんでした。といっても私が天才なわけではなくちょっとした知識が合体すれば誰でも思いつきます。（笑）

とにかくこの様にEtherealはちょっとした知識でかなり防御の難しいハッキングが可能となります。

これを防ぐ事はできないのでしょうか。１つ必ず挙げられるのが「暗号化」です。これは当然やるべき事でしょう。しかし、最近のクラッキングツールでは暗号化されていてもたいした暗号形式でなければなんとか解けてしまいます。

又、暗号化のシステムをよくご存知の方であれば、とある暗号方式は、暗号の設定をするその時にパケットをキャプチャされているとあまり意味の無い場合がある事もご存知でしょう。

しかも「メールもTELNETもFTPもWWWも全て暗号化してますか？」と聞かれて「ハイ」と答える人はそう居ません（居るかな？居るような・・・汗）

この他にも「パケット盗聴防止機能」が搭載されたスイッチHUBも存在しますが、非常に高価なスイッチに限られた機能です。
※しかも私は「あれをこうしたらやぶれるのでは・・」といった疑いを持っています(笑)

パケット盗聴者発見ソフト

Sanai Daijiさんという方が作成されたソフトでPromiScanというソフトがあります。

実はこのソフト、ARPを使用してプロミスキャスモードのNICを検出するものでEtherealの様なパケット盗聴ソフトを使った「侵入者」を発見できる画期的なフリーソフトになります。
※プロミスキャス=すべての信号を受ける事、パケットを盗聴するという事は当然、自分宛以外の信号を受信する必要がある為、NICは必然的にプロミスキャスモードになっている。

従って、ここでは上記のPromiScanを使用した「侵入者」を発見する方法を説明しましょう。Etherealを広めるからにはこれを悪用した行為を防ぐ事もしっかりと説明しなければなりませんので・・・

PromiScanのダウンロード＆インストール

まず、SecurityFridayの下記アドレスからPromiScanをダウンロードしてきます。

http://www.securityfriday.com/ToolDownload/tools.html

2003年4月現在ではバージョン0.27が最新になります。

インストールは非常に簡単です。圧縮されたプログラムを解凍、それだけです。

PromiScanの起動

PromiScanを起動するには下記のアイコンをクリックします。（DONTSniffという名前はそのままで私は気に入ってます（笑））

下記の様なウィンドウが出て来ると思います。

試験環境

とりあえず今回は下記の様なネットワーク構成で話しをすすめていきたいと思います。

PromiScanの設定

コンピュータBに搭載されているPromiScanを起動します。

[Setup]をクリックします。

各項目について下記の通り説明します。

NetWORK I/F ：NICを指定します。

IP Address：監視対象のネットワーク内で有効で、他に使用されていないIPを設定します。（自分のIPを入れる所ではありません）

MACAddress：他に使用されていない（自分も含む）MACアドレスを記載します。（基本的にデフォルトのままでOKでしょう）

ScanOptionのshow all：選択された条件をすべてフィールドに表示します。

EthernetとIEEE802.3：どちらでARPを出すか

基本的にはNICを選択して[IP Address]欄に使用していないIPアドレスを入力して[Close]をクリックすれば設定完了です。

MACアドレスはデフォルトで大丈夫ですし、ScanOptionも上記の図の様な形で問題ありません。特にこだわりがなければ他の設定はデフォルトのままが一番です。

探知する

では、実際に探知してみましょう。

まず、上記の様に[IP Range]の[From]欄に開始IPを[To]欄に最終IPを入力します。今回の場合は192.168.1.10以上のIPは存在しないと判断して192.168.1.0〜192.168.1.10までを監視対象にしました（192.168.1.0なんてものも無いが・・・）

後は[Start]をクリックして盗聴者を逆探知開始です。

結果を見る

今回の場合、下記の様な探知結果が表示されます。

いきなりWindowsXPになりましたが・・・(汗)

上記の絵を見ていただければ分かる様にミラーリングポートでEtherealを使用して盗聴している192.168.1.7がしっかりと発見されています。

B31とB16にXがついているのはWindowsNT/Windows2000/XP Proがプロミスキャスモードになっている時にでるものでここ２つに[X]が入っているIPは必ずチェックしよう。NICによっては正常な状態でも上記の様な結果が出る可能性があるので、実際に調べてみるまでは誤った判断をしないようにして下さい。

B16だけにXが入っている場合は「現在盗聴していないがそれに関するドライバがインストールされている」という意味になります。この場合はパソコンを調べて見て、自分の記憶にないソフトがインストールされていないかどうかチェックした方が良い思います。

B31とB16、B8に「X」がついている場合はWindows9x系のPCがプロミスキャスモードになっている状態です。

B31とB16、B8、Grに「X」が入っている場合はLinux、BreeBSDがプロミスキャスモードになっている状態です。

この様にPromiScanでは各フィールドのどこに「X」が入っているかどうかでプロミスキャスモード（盗聴モード）になっているコンピュータを特定する事ができる。

PromiScanの落とし穴

PromiScanは完璧ではない。その証拠に冒頭で述べたクラッキング方法はこのPromiScanでさえ探知する事ができない。（実際できませんでした）

つまりPromiScanの探知から逃れる方法が存在します。

しかも、PromiScanをかけている時にEtherealでは下記の様なARPの信号が大量にキャプチャされるので、PromiScanで探知をかけている事が盗聴者に知られてしまいます。

又、古いNICを搭載しているネットワーク等では誤認が非常に多く、その点では何度も定期的に行う必要があるかもしれません。