当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 嗅探的时候,防火墙能发现吗?

安全基础
黑客攻击行为的特征分析及反攻击技术
Windows 2000中隐患重重的十大“服务”
网页脚本攻击防范全攻略
防患于未然 轻松做好Windows 2000安全策略
用注册表为操作系统砌九堵安全墙
完善网站程序 脚本攻击防范策略完全篇
两步修改XP远程管理默认端口可防止入侵
消除Windows XP自身的安全隐患
保护Windows不受恶意代码攻击
如何关闭和限制电脑不用的端口
修改Windows 2000远程终端默认端口
操作系统被入侵后的修复过程
利用微软基准安全分析器打造你安全的系统
数字签名技术简介
检测和删除系统中的木马
QQ密码破解程序
P2P中保障Windows网络安全
在代码中查找安全性缺陷的专家提示
QQ安全的三大纪律八项注意
如何保证文件夹的绝对安全

安全基础 中的 嗅探的时候,防火墙能发现吗?


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 112 ::
收藏到网摘: n/a

这取决与你的嗅探实现方式,比如Win2k通过RawSocket嗅探的话,绿色境界防火墙就可以看到你的嗅探进程创建了一个RawSocket,如果采用底层驱动,比如winpcap、或者其他的嗅探方式,一般的防火墙都无法发现,因为他们关注的是SOCKET层的操作,比如监听端口、连接状态等。不过防火墙或许可以检测出你的网卡处于混杂模式。
探测本机的网卡是否处于混杂模式,很容易实现。但探测网络上其他机器的网卡是否处于混杂模式,似乎很难实现。我在网上看到过一片嗅探与反嗅探技术的文章,提出一种思路:修改帧的目标MAC地址。非混杂模式的网卡是不会接收这种错误的帧,混杂模式的网卡则会接收。而帧的其余部分都是正确的,都能正确解码。则通过检测目标接口是否回应数据包 来判断该接口是否处于混杂模式。
这种想法很有趣,但本人测试了一下,结果却是:无论是否是混杂模式,目标接口对这种修改过目标MAC的数据包都不回应。
看来这种做法行不通了!我想可能是,网卡驱动在对以太网帧解码时,进行了MAC地址核对。
至此,本人也没有什么办法解决:探测网络上的接口是否处于混杂模式 这个问题了。不知道大家还有什么办法。
E-mail:[email protected]
QQ:64213380
to fengzhou8828:
   你指的是用发送伪广播地址(ff:ff:ff:ff:ff:fe)的ARP Request数据报来检测处于混杂模式的网卡吗?可以的,只不过偶有误报
广播地址所有接口都能收到,这样无法判断某个网卡是否是混杂模式!
我说的是把目标MAC改成一个不存在的地址,而其他部分都是正确的。可惜的是这种办法也不管用!
正常的广播地址为(ff:ff:ff:ff:ff:ff),所有的网卡都会响应,但是用(ff:ff:ff:ff:ff:fe),非混杂模式的网卡就不响应了
嗅探中的win2000系统还会对16位伪广播地址(ff:ff:00:00:00:00)做出回应;而嗅探中的win95/98/me会回应8位伪广播地址(ff:00:00:00:00:00),而*NIX系统对各种广播地址所做出的反应有些不同,但基本上对31位(ff:ff:ff:ff:ff:fe)都会回应。