¿Me gustaría saber si hay un producto o software que pueda detectar si hay un rastreador actualmente en la red?
En otras palabras, ¿es posible detectar si hay una tarjeta de red en la red que se encuentra actualmente en modo promiscuo?
Es posible detectar paquetes en Ethernet o wifi sin conmutación de forma completamente pasiva. Herramientas como el Throwing Star Lan Tap hacen que esto sea aún más fácil. En este caso pasivo, no hay nada que puedas hacer realmente al respecto.
Sin embargo, si se encuentra en una LAN conmutada, cualquier rastreador tendría que iniciar el envenenamiento de las cachés ARP, aunque solo sea en el interruptor. Esto es algo que puedes detectar mucho más fácilmente y es una buena advertencia temprana de que alguien está planeando algo malo.
Se ha realizado algún trabajo que he escuchado, como anti-sniff , que parece para detectar máquinas en modo promiscuo usando información de tiempo.
La idea es que las máquinas en modo promiscuo tendrán que procesar todos los paquetes que ven, por lo que si hay una gran cantidad de tráfico que necesita procesarse, el sistema estará ocupado y será más lento en responder al tráfico dirigido.
Este tipo de enfoque, si aún es práctico, no funcionaría en todos los escenarios. Por ejemplo, si un host no tiene una dirección IP, todavía puede potencialmente detectar tráfico y no sería posible detectarla utilizando este enfoque.
Sin embargo, es un posible enfoque que podría explorarse.
Si el sistema ejecuta el sniffer, su interfaz estará en modo promiscuo. La prueba funciona así: envíe un ping con la dirección IP correcta a la red pero con una dirección mac incorrecta. El host de sniffing responderá al paquete de ping, ya que recibirá cada paquete en modo promiscuo. Hay un script listo para usar en nmap para admitir esta detección.
SIN EMBARGO: este método solo funciona si,
Fuente: enlace