Linuxのソースコード変更について

戸根様、初めまして。書き込みも初めてでLinuxに関しても初心者ですが
よろしくお願いします。
早速なのですが、スニッファを利用してネットワーク盗聴というものが
ありますが、この盗聴ノードの検知方法にARPパケットを用いるという
方法がどこかのサイトで取り上げられておりました。この検知方法はブロ
ードキャスト、マルチキャスト以外の間違った宛先MACアドレスのARP
要求に対して応答すると、このノードはおかしい、全パケットを受信する
盗聴ノードじゃないか?といった原理の検出法でした。この原理を考えると
OSのネットフィルタ部分のソースをブロードキャストにしか応答しないよう
設定すればこの特定もできないのではないか、と思ったのですがいかがでし
ょうか?よろしければLinux(Red Hat Linux)でのソースコードの見方も
教えていただけると幸いです。

素人な発言で申し訳ないですが、よろしくお願いします・・・。

名前: 
soreiyh
日時: 
04/02/12 18:40

コメント

投稿者:戸根 勤 投稿日時:2004/02/12 23:22

soreiyhさん,はじめまして。

>この盗聴ノードの検知方法にARPパケットを用いるという
>方法がどこかのサイトで取り上げられておりました。

PromiScanというツールが採用している方法のことですね。
下記に情報があります。
http://www.securityfriday.com/ToolDownload/PromiScan/promiscan_doc.html

>この原理を考えると
>OSのネットフィルタ部分のソースをブロードキャストにしか応答しないよう
>設定すればこの特定もできないのではないか、と思ったのですがいかがでしょうか?

この辺の動作は,LANインタフェースのハードウェアと,
LANのデバイスドライバと,OSのプロトコル処理ソフトが連携して動く動作なので,
OSのコードを変更するだけで済むのかどうかわかりません。
でも,試してみるのは面白そうな気がします。

>よろしければLinux(Red Hat Linux)でのソースコードの見方も
>教えていただけると幸いです。

ソースコードの見方といっても,どこまでやるかによるので
はっきりとした答えは難しいですね。
とりあえず,ソースコードを眺めるだけなら,
下記のサイトで眺めることはできます。
http://lxr.linux.no/

でも,上のようなことを自分で試してみたい,ということだと,
上のサイトでコードを眺めるだけじゃダメですね。
実験用のマシンを用意して,
自分でソースコードを修正して動作を調べられるようしないとだめでしょう。
そうするには,小規模なLANも用意しなければいけませんし,
そもそも,どこをどう直せばよいのか判断するために,
カーネルの構造や仕組みを理解しないといけません。
カーネルの内部を解説した書籍などを一度読んでみた方がよいでしょう。
O'Reillyの『詳解 LINUXカーネル』(オーム社発行)
とかが参考になると思います。

投稿者:soreiyh 投稿日時:2004/02/13 23:29

soreiyhです。素早い返信をいただいてありがとうございました。
戸根様の意見を参考にし、早速大学で小規模なLANを構築して実験
してみようと思います。ブロードキャストにしか応答しないために
はOSのソースコードを変更するだけでは十分とは言えないという事
ですね。もう一度Linuxのカーネルなどについて勉強しなおしてみます。
もしかしたらこの件でもう一度質問等することがあるかと思いますが、
そのときはまたよろしくお願いいたします。なるべく自己解決に努め
たいとは思っていますが・・・。