IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Программирование (http://www.imho.ws/forumdisplay.php?f=40)
-   -   Программное обнаружение снифера (http://www.imho.ws/showthread.php?t=111160)

Enemy. 14.11.2006 22:40
Программное обнаружение снифера
 
Собственно задача состоит в следующем, в локальной сети имеется снифер. Написан он с помощью библиотеки Winpcap и перехватывает все пакеты поступающие на сетевую карту (сетевая карта находится в promisc mode - собственно опция для перехвата всех входящих пакетов). Нужно определить компьютер на каком находится этот сниффер. Может надо какой хитрый пакет сформировать и послать его всем..а он как-нибудь специфично отреагирует? Стороннние разработки по обнаружению не подойдут...Необходимо это разработать, только вот не знаю с чего начать.

PhoeniX 14.11.2006 23:47
Enemy. Вот что удалось найти в сети:
Цитата:
Самым распространенным является метод пинга. Вспоминаем - в режиме promisc сетевуха принимает абсолютно все запросы, даже некорректные. Попробуем пингануть подозреваемую машину и в случае ответа мы получим ECHO_REPLY, что обозначает присутствие снифера. В ином случае после сравнение мака по ARP-таблицам система не найдет связку ip-mac и не ответит на этот запрос. Недостаток метода в том,что все чаще и чаще встречаются сниферы с возможность фильтарции Mac адресов. Как вариант послать широковещательный пакет ( 255.255.255.255 ). Машины не должны на него ответить,ответит только снифер.
Собственно, как я понял, необходимо послать широковещательный пакет (255.255.255.255) и ждать отклика ECHO_REPLY.

Конкретно как и с помощью чего это реализовывать, пока не скажу, но может инфа чем поможет.


Часовой пояс GMT +4, время: 14:39.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.