Программное обнаружение снифера

[Enemy.]

Собственно задача состоит в следующем, в локальной сети имеется снифер. Написан он с помощью библиотеки Winpcap и перехватывает все пакеты поступающие на сетевую карту (сетевая карта находится в promisc mode - собственно опция для перехвата всех входящих пакетов). Нужно определить компьютер на каком находится этот сниффер. Может надо какой хитрый пакет сформировать и послать его всем..а он как-нибудь специфично отреагирует? Стороннние разработки по обнаружению не подойдут...Необходимо это разработать, только вот не знаю с чего начать.

[PhoeniX]

Enemy. Вот что удалось найти в сети:

Цитата:

Самым распространенным является метод пинга. Вспоминаем - в режиме promisc сетевуха принимает абсолютно все запросы, даже некорректные. Попробуем пингануть подозреваемую машину и в случае ответа мы получим ECHO_REPLY, что обозначает присутствие снифера. В ином случае после сравнение мака по ARP-таблицам система не найдет связку ip-mac и не ответит на этот запрос. Недостаток метода в том,что все чаще и чаще встречаются сниферы с возможность фильтарции Mac адресов. Как вариант послать широковещательный пакет ( 255.255.255.255 ). Машины не должны на него ответить,ответит только снифер.

Собственно, как я понял, необходимо послать широковещательный пакет (255.255.255.255) и ждать отклика ECHO_REPLY.

Конкретно как и с помощью чего это реализовывать, пока не скажу, но может инфа чем поможет.