在局域网中,Sniffer是一个很大的威胁。恶意用户可以籍此看到一些机密文件和及一些个人的隐私。Sniffer对安全有如此的威胁,但它可以方便的在因特网上下免费下栽并安装在PC上。但是,目前为止,还没有很好的方法来检测谁的PC安装了Sniffer软件。这篇文档将讨论利用ARP包来检测那些在公司和学校局域网内Sniffing的恶意用户。
网卡混杂模式:为Sniffer窃取信息开后门
局域网通常是以太网组成的。在以太网上用的是IPV4协议,数据是明文传输的,除非用了加密软件。当用户发信息到网络上时,他只希望网络另一端的用户能接收到。不幸的是,以太网的机制给未被授权的用户提供了窃听信息的机会。
我们知道,在以太网中,信息会发送到网络中所有的节点,有些节点会接收这些信息,同时有些节点会简单的丢弃这些信息。接收或丢弃信息由网卡来控制。网卡不会接收所有发到局域网的数据包,即使它连在以太网上;相反它会过滤掉一些特定的数据包。在这篇文档里,我们将称这种过滤为网卡的硬件过滤。Sniffer会被网卡设置成特定的模式,这样网卡就可以接收所有到达的数据包了,而不管它是不是这些包指定的目的地址。这种网卡的模式称为混杂模式。
Sniffer接收所有的数据包,而不是发送一些非法包。所以它不会干扰网络的正常运行,因此很难检测到这种恶意行为。虽然如此,网卡的混杂模式显然是不同于正常模式的。一个本来应该被过滤的包在这种模式下会被允许到达系统内核。是不是做出响应取决于系统内核。
