афаик, это почти нереально. слышал про какую-то тулзу, которая может выкупать, работает ли в сети сетевушка в promiscous mode, насколько помню, она с некоторыми интервалами нагружает сеть эзэрнет-фреймами и сравнивает время отклика разных сетевух - у той, которая снифит всё подряд время отклика будет больше... но имхо, это не слишком надёжный метод - наверное, на практике никто не будет заморачиваться и выкупать сниферы таким образом - мне так кажется.
"Отметим, что сниффер - это пассивная программа. При правильной реализации сниффер не оказывает никакого влияния на сеть и не может быть обнаружен программными методами. Существующие методики обнаружения снифферов основываются на ошибках в реализации. Примером такого способа является следуюший:
Проверяющий создает ethernet фрейм содержащий к качестве MAC адреса получателя адрес, неравный адресу подозреваемой машины. В качестве IP адреса получателья используется тем не менее IP подозреваемой машины. Пакет высылается в сеть. Идея состоит в том, что если сетевой интерфейс находится в promisc режиме то пакет с MAC не соответствующий MAC адресу карточки все равно пройдет через нее и достигнет уровня OS. Остается в качестве IP payload положить например ICMP echo-request или TCP SYN для некоторого well-known открытого порта. Если вы получили ответ, значит карточка находится в смешаном режиме. Если нет - то возможно что автор сниффера умнее вас."
цитата из ЛОРовского секьюрити ФАКа :)
и вот то, о чём я говорил в предыдущем посте:
"Второй способ проверки основан на том, что теоретически OS машины сетевой интерфейс которой находится в смешаном режиме, должна обрабатывать бОльшее число пакетов чем та, которая слушает только пакеты для себя. Проверка производится так - в сегменте сети создается болшое количество траффика, не имеющего в качестве адреса получателя подозреваемую машину. После этого сравнивается время отклика (например на ping) для подозреваемой машины и гарантированно <<чистой.>> Если подозреваемая машина сниффит сеть то на нее должна возрасти нагрузка по сравнению с <<чистой>> машиной. Способ не работает, если вы не способны создать загрузку в сети достаточно серьезную для <<прогрузки>> сниферящей машины. Т.е. прогрузить E15K на 10Mb ethernet врят ли возможно."
> извини за иронию, просто очень интересно как сниффер может себя проявить для перехвата пакета в сети построеной на свичах?
ирония не в тему или не в теме
не "может" а _обязан_
из за особенностей коммутации портов в девайсе
если звездой(хаб), то да, пакет дублируется на все порты и здесь достаточно слушать свой NIC
в свичах она организована "каждый с каждым"( по таблице маков свитч коммутирует только 2 порта, если это не броадкаст) и тут никакие пассивные методы не работают, только вещами вроде arp poisoning/spoofing, которые в общих случаях обнаруживаются на раз.
> >arp poisoning/spoofing спасибо, слова которые я хотел услышать ты сказал,
> любопытство удовлетворено ;-)
вот это попрошу тоже отметить особо - "в общих случаях обнаруживаются на раз". со всеми вытекающими. :)