Local-Area-Network

在 LAN 上查找嗅探器

  • January 23, 2015

*nix 和 Windows 可以使用哪些工具或技術來幫助查找 LAN 上的其他人是否正在使用嗅探器?

話雖如此,並強烈考慮到有工具可以發現這種“現象”,不被嗅探的解決方法是什麼?

檢測嗅探器非常困難,因為它們是被動工作的。一些嗅探器確實會產生少量流量,因此有一些技術可以檢測它們。

  • 機器記憶體 ARP(地址解析協議)。發送非廣播 ARP,處於混雜模式的機器(使網卡通過所有流量的網卡)將記憶體您的 ARP 地址。然後,使用我們的 IP 發送廣播 ping 數據包,但 MAC 地址不同。只有從嗅探的 ARP 幀中具有我們正確 MAC 地址的機器才能響應我們的廣播 ping 請求。所以,如果機器有響應,它一定是在嗅探。
  • 大多數嗅探器都會進行一些解析。在數據氾濫之前期間發送大量數據並 ping 可疑機器。如果可疑機器的網卡處於混雜模式,它會解析數據並增加其負載。這樣,響應 ping 需要一些額外的時間。這個小小的延遲可以用作機器是否在嗅探的指標。如果由於高流量而在網路上出現一些“正常”延遲,它可能會引發一些誤報。
  • 以下方法已經過時且不再可靠:使用可疑機器的 IP 地址而不是其 MAC 地址發送 ping 請求。理想情況下,沒有人會看到這個數據包,因為每個網卡都會拒絕 ping,因為它與其 MAC 地址不匹配。如果可疑機器正在嗅探,它將響應,因為它不會拒絕拒絕具有不同目標 MAC 地址的數據包。

有一些工具可以實現這些技術,例如開源工具,如NepedARP Watch或用於 Windows 的AntiSniff,這是一種商業工具。

如果您想防止嗅探,最好的方法是對任何網路活動(SSH、https 等)使用加密。通過這種方式,嗅探器可以讀取流量,但數據對他們來說毫無意義。

引用自:https://serverfault.com/questions/8090