sm@rt » Ср дек 14, 2005 4:12 pm
<a href='http://www.gazeta.ru/techzone/2004/08/18_a_150723.shtml' target='_blank'>Источник</a> говорит нам, что
Вот как это делается (работает и в сети разделенной на сегменты свитчами):
-- послать ping с IP адресом подозрительного компьютера, но не с MAC адресом карты. В идеале никто из компьютеров "не увидит" этого запроса, так как в сети Ethernet карты будут отвергать такой запрос – их MAC не соответствует запросу. Но компьютер, слушающий сеть в promiscuous режиме ответит на этот запрос, – он-то перехватывает TCP/IP пакеты. Правда, такой метод считается устаревшим, так как большинство современных программ-снифферов умеют не поддаваться на такие провокации.
-- воспользоваться тем, что машина кэширует ARP запросы. Пошлем"нешироковещательный" пакет с ARP запросом, машина со сниффером ухватит егои положит в кэш наш ARP адрес. Затем пошлем широковещательный ping с нашимIP адресом, но подделаем MAC адрес. На эту уловку "купится" только машина со сниффером и вернет нам наш ping, потому что она знает наш настоящий MAC адрес.
-- так как большинство снифферов занимаются базовым анализом входящейинформации (parsing), можно попытаться определить сниффер по времени задержки с ответом. Машина с работающим сниффером должна обрабатывать гигантский объем информации, особенно в "час пик" на сети. Таким образом, она будет отвечать на ping с задержкой. Однако этот метод ненадежен – карта с дефектом или просто на плохой линии тоже может реагировать на запросы с задержкой.
-- воспользоваться утилитами (arpwatch - Linux), мониторящими ARP кэш на машинах, чтобы определить, не появился ли в сети дубль. Такая система может сбоить в сетях, где IP адреса распределяются DHCP серверами, но это можно обойти, увеличив срок, на который выдается IP адрес.
– воспользоваться системами выявления вторжения (IDS - Intrusion Detection System). На Линуксе есть, например, Snort, который в числе других своих функций следит за тем, чтобы не подделывались ARP адреса.
– вручную проверить все машины
Но в то же время <a href='http://www.xakep.ru/post/16381/default.asp' target='_blank'>другой источник</a> говорит:
По совету одного злобного хакера (мнению которого я весьма доверяю), если ты не хочешь, чтобы кто-нибудь смог обнаружить твой сниффер в принципе, просто сними поддержку TCP/IP с интерфейса, на котором ты поднимаешь сниффер. Либо запрети любую реакцию ядра на входящий TCP/IP'шный траффик. Либо сочно настрой файерволл.
Т.е. если кто захочет спрятаться - спрячется. Как выловить клуьхацкера написано... только проги надо искать
Красота и массовые расстрелы спасут мир.