Come funziona il rilevamento della modalità promiscua usando un test ARP?

4

Ho letto che possiamo rilevare se un sistema sta eseguendo la modalità promiscua inviando una richiesta ARP con un indirizzo di trasmissione falso, ad esempio FF: FF: FF: FF: FF: FE.Questo sarà bloccato da tutte le NIC che operano in modalità normale ma sarà consentita dalla scheda NIC che opera in modalità promiscua e quindi risponderà al messaggio.Ma sono un po 'confuso:

1.Non il sistema in modalità promiscua risponde alla richiesta ARP solo se è IP corrisponde all'IP nel campo di destinazione (destinazione) del pacchetto di richiesta ARP.

2.Se dovessimo seguire la logica sopra riportata, tutti i sistemi risponderanno ad un pacchetto di richiesta ARP (broadcast) poiché passerebbe attraverso il filtro Hardware (NIC).

3. Supponiamo che solo quel sistema in modalità promiscua risponda al pacchetto ARP di trasmissione falso che ha lo stesso IP di quello nel campo di destinazione del pacchetto ARP (richiesta), quindi come troviamo tutti i sistemi (su quella sottorete) che operano in modalità promiscua, senza il targeting di un particolare IP.

Grazie

    
posta faraz khan 04.06.2015 - 08:26
fonte

1 risposta

1

All'inizio è leggermente controintuitivo, poiché l'indirizzo Ethernet è un indirizzo di trasmissione "falso", ma il test in sé non è un test di trasmissione. È indirizzato solo all'indirizzo IP di destinazione. Dovresti scegliere come target ogni singolo IP sulla tua sottorete, ovvero eseguire una scansione.

Tuttavia, notare che è relativamente facile non essere rilevabile, usando un Lan Tap. Collega efficacemente lo sniffer in parallelo a un altro dispositivo, ma ha il cavo di trasmissione disconnesso (ovvero non è possibile che il dispositivo di monitoraggio risponda a qualcosa).

Per ulteriori informazioni: link

    
risposta data 03.08.2015 - 13:02
fonte

Leggi altre domande sui tag