He leído que podemos detectar si un sistema está ejecutando el modo promiscuo enviando una solicitud ARP con una dirección de difusión falsa, por ejemplo, FF: FF: FF: FF: FF: FE. Esto será bloqueado por todas las NIC que operan modo normal, pero NIC lo permitirá y operará en modo promiscuo, por lo que responderá al mensaje. Pero estoy un poco confundido:
1.No responderá el sistema en modo promiscuo a la solicitud ARP si su IP coincide con la IP en el campo de destino (destino) del paquete de solicitud ARP.
2. Si tuviéramos que seguir la lógica anterior, todos los sistemas responderán a un paquete de solicitud ARP (difusión) ya que pasaría a través del filtro de hardware (NIC).
3. Supongamos que solo el sistema en modo promiscuo responde al paquete ARP falso de difusión que tiene la misma IP que en el campo de destino del paquete ARP (solicitud), luego, ¿cómo encontramos todos los sistemas (en esa subred) operando en modo promiscuo, sin apuntar a una IP particular.
Gracias