¿Cómo funciona la detección del modo promiscuo utilizando una prueba ARP?

4

He leído que podemos detectar si un sistema está ejecutando el modo promiscuo enviando una solicitud ARP con una dirección de difusión falsa, por ejemplo, FF: FF: FF: FF: FF: FE. Esto será bloqueado por todas las NIC que operan modo normal, pero NIC lo permitirá y operará en modo promiscuo, por lo que responderá al mensaje. Pero estoy un poco confundido:

1.No responderá el sistema en modo promiscuo a la solicitud ARP si su IP coincide con la IP en el campo de destino (destino) del paquete de solicitud ARP.

2. Si tuviéramos que seguir la lógica anterior, todos los sistemas responderán a un paquete de solicitud ARP (difusión) ya que pasaría a través del filtro de hardware (NIC).

3. Supongamos que solo el sistema en modo promiscuo responde al paquete ARP falso de difusión que tiene la misma IP que en el campo de destino del paquete ARP (solicitud), luego, ¿cómo encontramos todos los sistemas (en esa subred) operando en modo promiscuo, sin apuntar a una IP particular.

Gracias

    
pregunta faraz khan 04.06.2015 - 08:26
fuente

1 respuesta

1

Al principio es un poco contraintuitivo, ya que la dirección de Ethernet es una dirección de difusión falsa, pero la prueba en sí no es una prueba de difusión. Está dirigido únicamente a la dirección IP de destino. Deberá apuntar a cada IP individual en su subred, es decir, hacer un escaneo.

Sin embargo, tenga en cuenta que es relativamente fácil no ser detectable mediante el uso de un Lan Tap. Conecta efectivamente el sniffer en paralelo a otro dispositivo, pero tiene el cable de transmisión desconectado (es decir, no es posible que el dispositivo de monitoreo responda a nada).

Para leer más: enlace

    
respondido por el pflodin 03.08.2015 - 13:02
fuente

Lea otras preguntas en las etiquetas