プロミスキャスモード・Sniffingってなに?
LAN上ではNICはIPアドレスではなく、MACアドレス(アダプタアドレス)で自分あてなのかどうかを判断しています。NIC(Network Interface Card)は自分あてのフレームとブロードキャストだけを受け取り、自分あてではないフレームは破棄します。
でもプロミスキャスモード(Promiscuous Mode、無差別モード)のNICは全てのフレームを受け取ってしまいます。このようなNICはSniffing・ネットワーク盗聴をしている可能性があります。
SniffingのためのツールをSniffer・パケットキャプチャとよぶことがあります。
ある数百万円のネットワーク管理ツールの名称とまぎらわしいですね。
くわしいことは、こちらをどうぞ。
LANが危ない? 通信を傍受 - Sniffing(ネットワーク盗聴)
PromiScan 3.0Jはネットワーク上のプロミスキャスモード(無差別モード)のNIC(LANカードなどです)を発見するソフトで、SecurityFriday社長の佐内大司(Sanai Daiji)氏により開発されました。
シェアウェアですけど、機能拡張は以前よりもずっと進んでいます(PromiScan ver3.0JとPromiScan027の比較)。
PromiScanはARP(Address Resolution Protocol)に対する応答をもとに、NICがプロミスキャスモードかどうかを判断するソフトです。ARPはIPアドレスとMACアドレスを対応づけるために用いられるプロトコルです。
スイッチングハブを使っている環境でも、PromiScanは利用できます。
でもARPはルーターを超えられませんので、検査できる範囲はARPのブロードキャストへの応答が帰ってくる、同じネットワークセグメント上に限られます。
PromiScanの準備をしましょう♪
PromiScan ver3.0JはWindows 2000/XP用ソフトです。WinPcapをここからダウンロードします(3.1βには未対応とのことです、Version 3をダウンロードしてください)。
http://winpcap.polito.it/install/default.htm
(WinPcap auto-installer (driver +DLLs) を選んでください)。
PromiScan ver3.0Jの前に、WinPcapをインストールしておきましょう。
PromiScan ver3.0J本体をダウンロードします。
セキュリティフライデー株式会社
http://www.securityfriday.com/jp/
それではPromiScanをインストールしてみましょう♪
インストール直後から利用できますけど、スタートメニューへの登録はOSの再起動後です。
[スタート] - [プログラム] - [SecurityFriday] - [PromiScan] - [PromiScan3.0J]から起動します。
ヘルプは[スタート] - [プログラム] - [SecurityFriday] - [PromiScan] - [PromiScan取り扱い説明書]のPDFファイルを開いてください。
起動してみますと、[PromiScanライセンス登録]のダイアログが出ます。このとき[試用]を押しますと、試用版(トライアル)として利用できます。
試用版はIPアドレス 192.168.0.1〜192.168.0.20の範囲で試用できます。
[PromiScan Ver.3.0J 試用モード]のウィンドウが表示されました。
それでは操作してみましょう♪
ここでちょっとトラブル。設定(X)を押せません・・・[開始]を押して設定画面を呼び出したあとには、設定(X)を押せるようになりましたけど。
原因はわかりません。
このまま設定をしないで[開始]をおしますと、[IPアドレスを設定してください!」という警告が出ました。
空欄のままの[ネットワークI/F]の右の矢印を押して、NICを選択します。
IPアドレスとMACアドレスは、もしSniffingしているひとがいるとき、PromiScanを使っているパソコンがどれなのかわからないようにするため、ARPの送信元として詐称するためのです。
この設定がわからず、3日悩みました・・・ヘルプに書いてください・・・
MACアドレスの欄は、00-11-22-33-44-50のままではあやしすぎます・・・実在しそうなNICのMACアドレス(アダプタアドレス)を設定してください。
IPアドレスはデタラメにしたほうがいいのかもしれません。
下の図は[192.168.0.0/24(192.0.0.0-192.168.0.127)]のアドレス空間のLANで、リピーターハブを使っていてARP応答が帰ってくる環境でテストしたので、ためしに192.168.1.3に設定してみました。
あなたが管理しているLANのアドレス空間のうち、使っていないIPアドレスを設定してみる方がいいのかもしれません。
スキャンオプションは[Br] [B47] [B16] [B8] [Gr]がチェックされていて、[M0] [M1] [M3]にはチェックが入っていません。
[Br]にマウスのポイントを近づけると、FF:FF:FF:FF:FF:FFという黄色い文字が浮かびます。
扱うARPのタイプを指定するみたいです。対象となるOSの種類やNICの状態によって検出される結果が異なるみたいです。
全部にチェックを入れて[全表示]させてみます。
ヘルプのPDFには、このように書かれています。
| スキャンモード | イーサネットアドレス | 説明 |
| Br | FF:FF:FF:FF:FF:FF | ブロードキャスト |
| B47 | FF:FF:FF:FF:FF:FE | 最後の1bit だけが0 の偽ブロードキャスト |
| B16 | FF:FF:00:00:00:00 | 先頭の16bit が1 の偽ブロードキャスト |
| B8 | FF:00:00:00:00:00 | 先頭の8bit が1 の偽ブロードキャスト |
| Gr | 01:00:00:00:00:00 | グループビットだけが1 の偽ブロードキャスト |
| M0 | 01:00:5E:00:00:00 | グループ番号0のマルチキャスト |
| M1 | 01:00:5E:00:00:01 | オールホストグループのマルチキャスト |
| M3 | 01:00:5E:00:00:03 | グループ番号3のマルチキャスト |
| SP1 | ユーザ設定値 | ユーザが任意に設定したMACアドレス |
| SP2 | ユーザ設定値 | ユーザが任意に設定したMACアドレス |
作者のひとの記事を読んでやっと納得、転載してみます。
一般にLANでは,Ethernetフォーマットが使われているが,IEEE802.3フォーマットでパケットを送信することもできる。
Windowsだけは,このIEEE802.3フォーマットのARPリクエスト・パケットに対して,Ethernetフォーマットで応答する特徴があり,IEEE802.3を選択してスキャンを実行すると,Linuxやルータ,プリンタなどを除いてWindowsだけを調べることができる。このオプションを選択した時にレスポンスがあった場合は,小文字の「x」「o」で表示される。
とりあえず[Ethernet]のままでいいみたいです・・・
PromiScanをつかってみましょう♪
[開始]を押してみると、スキャンが始まります。しばらく待ちますと、このようなリストが表示されました(MACアドレスの欄は、画像を編集しました)
 |
Br、B47などはスキャンオプションで 選択した項目です。 それぞれの記号の意味は、 [ヘルプ] - [結果の見方]で表示されます。 |
もしLAN上にプロミスキャスモードのNICが新たに出現・消失したときは、警告画面が出ます。
でもPromiScanを起動する前からずっとSniffingしている場合などには、この警告ダイアログ画面は出ないみたいです。
さいごに
プロミスキャスモードのNICのパソコンがすべて、不正な利用者によるものとは限りません。ネットワーク監視用ソフトを使っているとき、NICがプロミスキャスモードになることもよくあります。またマニュアルには古いNICでは誤検出する可能性があると書かれていました。
ネットワーク盗聴ノードの発見手法にはこのソフトの解説が書かれていますけど。
PromiScan英語版旧バージョンでのB31(FF:FF:FF:FF:FF:FE)が、PromiScan 3.0JではB47(FF:FF:FF:FF:FF:FE)と表示されています。
問い合わせたところB31は書きミスで、B47は[疑似ブロードキャスト47ビット]の意味とのことでした。
このソフトは単独で使うのではなく、LAN内に不審なパソコンが接続されていないか確かめるためネットワーク管理ソフトと併用するのが望ましいのかもしれません。
レビューの作成にあたって、セキュリティフライデー株式会社のHylerさまには大変お世話になりました。
この場を借りてお礼申し上げます。