Vorrei sapere se c'è un prodotto o un software in grado di rilevare se c'è uno sniffer attualmente sulla rete?
In altre parole, è possibile rilevare se sulla rete è presente una scheda di rete che è attualmente in modalità promiscua?
È possibile annusare i pacchetti su Ethernet non commutata o wifi completamente passivamente. Strumenti come Tocco Lan Lan Stella rendono ancora più semplice. In questo caso passivo, non c'è nulla che tu possa davvero fare al riguardo.
Tuttavia, se ci si trova su una LAN commutata, qualsiasi sniffer dovrebbe iniziare ad avvelenare le cache ARP, anche se solo sull'interruttore. Questo è qualcosa che puoi rilevare molto più facilmente ed è un buon avvertimento che qualcuno sta pianificando qualcosa di malvagio.
Sono stati fatti alcuni lavori di cui ho sentito parlare come anti-sniff , che sembra per rilevare le macchine in modalità promiscua usando le informazioni sul tempo.
L'idea è che le macchine in modalità promiscua dovranno elaborare tutti i pacchetti che vedono così se ci sono grandi quantità di traffico che devono essere elaborate il sistema sarà occupato e più lento a rispondere al traffico diretto.
Questo tipo di approccio, se è ancora pratico, non funzionerebbe in ogni scenario. Ad esempio, se un host non ha un indirizzo IP, può ancora annusare il traffico e non sarebbe possibile rilevarlo utilizzando questo approccio.
Tuttavia è un approccio possibile che potrebbe essere esplorato.
Se il sistema esegue lo sniffer, la sua interfaccia sarà in modalità promiscua. Il test funziona così: Invia un ping con l'indirizzo IP corretto nella rete ma con un indirizzo mac sbagliato. L'host sniffing risponderà al pacchetto ping, poiché riceverà ogni pacchetto in modalità promiscua. C'è uno script pronto all'uso in nmap per supportare questo rilevamento.
TUTTAVIA: questo metodo funziona solo se,
Fonte: link