在局域网上查找嗅探器

Question

哪些工具或技术可用于 *nix 和 Windows 以帮助查找 LAN 上的其他人是否正在使用嗅探器？

话虽如此，并强烈考虑到有工具可以发现这种“现象”，有什么办法可以避免被嗅探呢？

Answer 1

检测嗅探器非常困难，因为它们是被动工作的。一些嗅探器确实会产生少量流量，因此有一些技术可以检测它们。

• 机器缓存 ARP（地址解析协议）。发送非广播 ARP，混杂模式的机器（使网卡通过所有流量的网卡）将缓存您的 ARP 地址。然后，使用我们的 IP 发送广播 ping 数据包，但使用不同的 MAC 地址。只有从嗅探到的 ARP 帧中拥有我们正确 MAC 地址的机器才能响应我们的广播 ping 请求。所以，如果机器有响应，它一定是在嗅探。
• 大多数嗅探器都会做一些解析。在数据泛滥之前和期间发送大量数据并ping可疑机器。如果可疑机器的网卡处于混杂模式，它会解析数据并增加其负载。这样就需要一些额外的时间来响应 ping。这个小小的延迟可以作为机器是否在嗅探的指标。如果网络上由于高流量而出现一些“正常”延迟，则可能会引起一些误报。
• 以下方法已过时且不再可靠：使用可疑机器的 IP 地址而不是其 MAC 地址发送 ping 请求。理想情况下，没有人应该看到这个数据包，因为每个网卡都会拒绝 ping，因为它与它的 MAC 地址不匹配。如果可疑机器正在嗅探，它会做出响应，因为它不会拒绝具有不同目标 MAC 地址的数据包。

有一些工具可以实现这些技术，例如像Neped和ARP Watch这样的开源工具或用于 Windows 的AntiSniff，这是一种商业工具。

如果您想防止嗅探，最好的方法是对任何网络活动（SSH、https 等）使用加密。这样嗅探器可以读取流量，但数据对他们来说没有意义。

Answer 2

数据包嗅探是一种被动活动，通常无法判断是否有人正在嗅探您的网络。但是，为了让有线、交换 LAN 上的某人看到不只是发往或来自其 IP（或广播到网络/子网）的流量，他们需要有权访问复制所有流量的受监控/镜像端口，或在网关上安装“tap”。

对嗅探的最佳防御是体面的端到端加密和对敏感硬件的物理控制。

编辑：CPM、Neped 和 AntiSniff 现在已经过时 10-15 年了……想想 Linux 内核 <2.2 或 Windows NT4。如果有人可以使用水龙头或镜子，通常很难被发现。操纵 ARP 或 DNS 可能是最好的选择，但这远非确定的事情。

Answer 3

（我相信）您可以嗅探交换 LAN 上所有流量的唯一方法是使用“中间人”攻击。你基本上是在做 ARP 中毒，窃取每个人的数据包，读取它们然后将它们发送到正确的计算机。

可能有多种工具可以做到这一点，我只知道一种：

Ettercap既可以执行 Mitm 攻击，也可以在其他人进行攻击时检测到。