当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 嗅探的时候,防火墙能发现吗?

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 嗅探的时候,防火墙能发现吗?


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 42 ::
收藏到网摘: n/a

这取决与你的嗅探实现方式,比如Win2k通过RawSocket嗅探的话,绿色境界防火墙就可以看到你的嗅探进程创建了一个RawSocket,如果采用底层驱动,比如winpcap、或者其他的嗅探方式,一般的防火墙都无法发现,因为他们关注的是SOCKET层的操作,比如监听端口、连接状态等。不过防火墙或许可以检测出你的网卡处于混杂模式。
探测本机的网卡是否处于混杂模式,很容易实现。但探测网络上其他机器的网卡是否处于混杂模式,似乎很难实现。我在网上看到过一片嗅探与反嗅探技术的文章,提出一种思路:修改帧的目标MAC地址。非混杂模式的网卡是不会接收这种错误的帧,混杂模式的网卡则会接收。而帧的其余部分都是正确的,都能正确解码。则通过检测目标接口是否回应数据包 来判断该接口是否处于混杂模式。
这种想法很有趣,但本人测试了一下,结果却是:无论是否是混杂模式,目标接口对这种修改过目标MAC的数据包都不回应。
看来这种做法行不通了!我想可能是,网卡驱动在对以太网帧解码时,进行了MAC地址核对。
至此,本人也没有什么办法解决:探测网络上的接口是否处于混杂模式 这个问题了。不知道大家还有什么办法。
E-mail:[email protected]
QQ:64213380
to fengzhou8828:
   你指的是用发送伪广播地址(ff:ff:ff:ff:ff:fe)的ARP Request数据报来检测处于混杂模式的网卡吗?可以的,只不过偶有误报
广播地址所有接口都能收到,这样无法判断某个网卡是否是混杂模式!
我说的是把目标MAC改成一个不存在的地址,而其他部分都是正确的。可惜的是这种办法也不管用!
正常的广播地址为(ff:ff:ff:ff:ff:ff),所有的网卡都会响应,但是用(ff:ff:ff:ff:ff:fe),非混杂模式的网卡就不响应了
嗅探中的win2000系统还会对16位伪广播地址(ff:ff:00:00:00:00)做出回应;而嗅探中的win95/98/me会回应8位伪广播地址(ff:00:00:00:00:00),而*NIX系统对各种广播地址所做出的反应有些不同,但基本上对31位(ff:ff:ff:ff:ff:fe)都会回应。