¿Es necesario que un rastreador de paquetes habilite el modo promiscuo? ¿Pueden los paquetes?
ser olfateado sin que la NIC esté en modo promiscuo?
No, no es una obligación y la inhalación también se puede hacer de forma no promiscua.
También cuando está en modo promiscuo, la NIC acepta todos los paquetes que son
no se dirige a su dirección MAC. También significa que responde
¿A todos los paquetes (que recibe) que requieren una respuesta? E.g: lo hará
responder a todas las solicitudes de ARP (paquetes de difusión) no destinados para su
¿MAC? ¿Responderá a todos los mensajes de eco ICMP?
La inhalación también se puede hacer en modo no promiscuo. Pero realmente depende del tráfico que quieras oler. Si desea oler el tráfico que no está destinado a su dirección de NIC, utilice el modo promiscuo. Por otra parte, en el modo no promiscuo, su NIC eliminará / ignorará el paquete que no estaba destinado a su dirección. Su máquina responderá de manera predeterminada a todas las transmisiones y multicasts (si su máquina está en el mismo grupo de multidifusión). Por cierto, las tramas de difusión en general tienen una dirección MAC de destino de FF:FF:FF:FF:FF:FF . Esa es la razón por la que cada dispositivo recibirá ese paquete.
En el caso de ARP, solo responderá esa máquina en particular que tenga esa dirección IP particular para la cual se está realizando la consulta ARP. Si hago una sonda ARP para 10.0.0.1, entonces mi sonda / paquete ARP contendrá esta información y se emitirá la sonda ARP. Por lo tanto, cada máquina en el mismo dominio de difusión recibe la sonda / paquete ARP, pero la máquina con la IP 10.0.0.1 solo responderá a esta sonda ARP. Otros lo dejarán caer.
Para TCP / IP, recomendaría TCP/IP Illustrated, Volume 1: The Protocols, 2nd Edition By Kevin R. Fall, W. Richard Stevens Lo tenía en mi licenciatura y es un gran libro que borrará todos los conceptos. Me gustaría recomendarlo.