Ho letto che possiamo rilevare se un sistema sta eseguendo la modalità promiscua inviando una richiesta ARP con un indirizzo di trasmissione falso, ad esempio FF: FF: FF: FF: FF: FE.Questo sarà bloccato da tutte le NIC che operano in modalità normale ma sarà consentita dalla scheda NIC che opera in modalità promiscua e quindi risponderà al messaggio.Ma sono un po 'confuso:
1.Non il sistema in modalità promiscua risponde alla richiesta ARP solo se è IP corrisponde all'IP nel campo di destinazione (destinazione) del pacchetto di richiesta ARP.
2.Se dovessimo seguire la logica sopra riportata, tutti i sistemi risponderanno ad un pacchetto di richiesta ARP (broadcast) poiché passerebbe attraverso il filtro Hardware (NIC).
3. Supponiamo che solo quel sistema in modalità promiscua risponda al pacchetto ARP di trasmissione falso che ha lo stesso IP di quello nel campo di destinazione del pacchetto ARP (richiesta), quindi come troviamo tutti i sistemi (su quella sottorete) che operano in modalità promiscua, senza il targeting di un particolare IP.
Grazie