tcpdump

афаик, это почти нереально. слышал про какую-то тулзу, которая может выкупать, работает ли в сети сетевушка в promiscous mode, насколько помню, она с некоторыми интервалами нагружает сеть эзэрнет-фреймами и сравнивает время отклика разных сетевух - у той, которая снифит всё подряд время отклика будет больше... но имхо, это не слишком надёжный метод - наверное, на практике никто не будет заморачиваться и выкупать сниферы таким образом - мне так кажется.

http://www.linux-sec.net/Sniffer.Detectors/

Можно.

Ты бы еще написал как, раз уж пишешь, что можно.

в security faq!

ettercap

и что дальше ? как это можно ? интересен механизм .

мы же не виндузятники блин , чтобы пологаться что вот эта мега тулза умеет колдовать ?

"Отметим, что сниффер - это пассивная программа. При правильной реализации сниффер не оказывает никакого влияния на сеть и не может быть обнаружен программными методами. Существующие методики обнаружения снифферов основываются на ошибках в реализации. Примером такого способа является следуюший:

Проверяющий создает ethernet фрейм содержащий к качестве MAC адреса получателя адрес, неравный адресу подозреваемой машины. В качестве IP адреса получателья используется тем не менее IP подозреваемой машины. Пакет высылается в сеть. Идея состоит в том, что если сетевой интерфейс находится в promisc режиме то пакет с MAC не соответствующий MAC адресу карточки все равно пройдет через нее и достигнет уровня OS. Остается в качестве IP payload положить например ICMP echo-request или TCP SYN для некоторого well-known открытого порта. Если вы получили ответ, значит карточка находится в смешаном режиме. Если нет - то возможно что автор сниффера умнее вас."

цитата из ЛОРовского секьюрити ФАКа :)

и вот то, о чём я говорил в предыдущем посте:

"Второй способ проверки основан на том, что теоретически OS машины сетевой интерфейс которой находится в смешаном режиме, должна обрабатывать бОльшее число пакетов чем та, которая слушает только пакеты для себя. Проверка производится так - в сегменте сети создается болшое количество траффика, не имеющего в качестве адреса получателя подозреваемую машину. После этого сравнивается время отклика (например на ping) для подозреваемой машины и гарантированно <<чистой.>> Если подозреваемая машина сниффит сеть то на нее должна возрасти нагрузка по сравнению с <<чистой>> машиной. Способ не работает, если вы не способны создать загрузку в сети достаточно серьезную для <<прогрузки>> сниферящей машины. Т.е. прогрузить E15K на 10Mb ethernet врят ли возможно."

http://www.opennet.ru/base/faq/lor_security_faq.txt.html

> При правильной реализации сниффер не оказывает никакого влияния на сеть

при правильной реализации сети(например свитчи а не хабы) ethernet снифер обязан себя обнаружить, иначе он просто не увидит ничего "полезного".

например проползти по проводу до свича?

извини за иронию, просто очень интересно как сниффер может себя проявить для перехвата пакета в сети построеной на свичах?

> извини за иронию, просто очень интересно как сниффер может себя проявить для перехвата пакета в сети построеной на свичах?

ирония не в тему или не в теме
не "может" а _обязан_
из за особенностей коммутации портов в девайсе
если звездой(хаб), то да, пакет дублируется на все порты и здесь достаточно слушать свой NIC
в свичах она организована "каждый с каждым"( по таблице маков свитч коммутирует только 2 порта, если это не броадкаст) и тут никакие пассивные методы не работают, только вещами вроде arp poisoning/spoofing, которые в общих случаях обнаруживаются на раз.

>arp poisoning/spoofing спасибо, слова которые я хотел услышать ты сказал, любопытство удовлетворено ;-)

> >arp poisoning/spoofing спасибо, слова которые я хотел услышать ты сказал,
> любопытство удовлетворено ;-)
вот это попрошу тоже отметить особо - "в общих случаях обнаруживаются на раз". со всеми вытекающими. :)