[port139:00775] Re: スイッチとスニフィング

["Kunikata Tamaki" <tama@xxxxxxxxxxxxx>]

飲み会とはご無沙汰気味のTAMAです。

> L2でMITMやった場合、snifferが仕掛けられているホストがL2スイッチみたいな
> 動きをしてセッション乗っ取ります。で、そのホストが動いてるうちは幸せだ
> けど、とうぜんホストが止まればarpキャッシュの有効期間内は、盗聴されてる
> ホストが送るパケットは止まってるホストに対して送りつづけられるので、「
> 通信障害だぁ！」って騒ぎまくって、よくよく調べてみたらMITMだったとかっ
> て気づいてくれるとうれしいかなぁ。

　arpキャッシュの最大有効期間（Win2Kなら10分）を過ぎれば再度arpブロード
キャストでの更新が行われますから、ユーザーが「障害だぁ！」と騒ぎはじめて
いくらもしないうちに「あれ？直っちゃったよ。」ということになりそう・・・。

　ハタから見れば、端末が一時的に通信不能になっただけですから、
それに対してセキュリティ侵害を疑い調査を始める管理者が、いったい
どれだけいらっしゃるか・・・。

TAMA