Комментарии 3
Неразборчивый режим легко детектируется, один узел может четко определить, находится ли другой в неразборчивом режиме или нет.А как он детектируется? Это же пассивное прослушивание.
Я читал, что детектирование возможно произвести, попробовав отправить пинг-запрос, но при этом установить в нем не правильный MAC адрес устройства, оставив IP верным. Тогда интерфейс который находится в неразборчивом режиме ответит на пинг, так как перехватывает все пакеты, минуя фильтрацию по MAC адресу. А если устройство в разборчивом — то не ответит.
В теории, это можно обойти, заблокировав этот пинг. И я думаю, что большинство снифферов используют эту тактику. Но тем не менее, сам по себе, неразборчивый режим можно обнаружить.
В теории, это можно обойти, заблокировав этот пинг. И я думаю, что большинство снифферов используют эту тактику. Но тем не менее, сам по себе, неразборчивый режим можно обнаружить.
Хорошо бы отметить, что pcap обладает низкой производительностью. Индустриальные DPI решения ru.wikipedia.org/wiki/Deep_packet_inspection используют dpdk или что-то аналогичное, полностью забирая интерфейс у ядра операционной системы. Думаю, что их присутствие нельзя обнаружить в принципе.
Про DPDK есть статьи на Хабре, например habrahabr.ru/company/selectel/blog/313150
Про DPDK есть статьи на Хабре, например habrahabr.ru/company/selectel/blog/313150
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Программирование с использованием PCAP