Sniffer 检测 110
——本地及远程
检测方法 --- 原理:不同OS平台下的Tcp/Ip协议栈实现不同
1.本地主机
(1).ifconfig -a | grep PROMISC
(2).查找捕捉文件(通常比较大且增加比较快)
(3).查找可疑的连接和进程
(4).性能监控
2.远程主机
a.RTT检测技术 --- 不太可靠的方法
b.DNS检测技术 --- 限制:Sniffer主机可以禁用reverse lookup
c.ARP检测技术 --- 限制:Sniffer主机可能不会发送ARP回应包
d.蜜罐
3.工具
(1).Nmap Sniffer detect脚本
http://nmap.org/svn/scripts/sniffer-detect.nse
(2).Ettercap
(3).ptool
http://code.google.com/p/ptool/
(4).Sniffdet
http://sniffdet.sourceforge.net/
(5).Promqry 1.0 or PromqryUI 1.0
support.microsoft.com/kb/892853
(6).PromiscDetect v1.0
http://ntsecurity.nu/downloads/promiscdetect.exe
4.技术原理参见
www.securityfriday.com/promiscuous_detection_01.pdf
BTW:完全检测Sniffer是一件非常困难的事,建议大家 --- 双管齐下 --- 管理+技术
转载于:https://blog.51cto.com/missuniverse110/540886