当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 嗅探的时候,防火墙能发现吗?

安全基础
十大高招教会你摆脱黑客的网络攻击
2007个人计算计安全配置手册---武装到牙齿
【安全防护】网络入侵检测初步探测方法
保护系统 从防范IP泄漏开始!
教你如何防止系统中IE被恶意修改
交换机路由器更加安全三种办法
网络的核心所在 交换机漏洞五宗罪
上网必看,8招让你安全高效上网
提醒 网络玩家成为黑客攻击主要对象
十一种常见流氓软件完全卸载方法
聊天的危险 即时通讯常见安全问题
保护系统从防范IP泄漏开始
动态嵌入式DLL木马简便发现与清除方法
更新换代Vista系统安全新特性全面阐述
不可不留神 病毒损坏硬件有七大损招
注册表探秘 跟踪病毒的映象劫持的危害
追根溯源DLL技术木马进程内幕大揭密
擦亮眼睛小心假冒卡巴斯基的陷阱
简单安全习惯减少电脑资料丢失损坏几率
避免自己的服务器被列入黑名单的小技巧

安全基础 中的 嗅探的时候,防火墙能发现吗?


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 49 ::
收藏到网摘: n/a

这取决与你的嗅探实现方式,比如Win2k通过RawSocket嗅探的话,绿色境界防火墙就可以看到你的嗅探进程创建了一个RawSocket,如果采用底层驱动,比如winpcap、或者其他的嗅探方式,一般的防火墙都无法发现,因为他们关注的是SOCKET层的操作,比如监听端口、连接状态等。不过防火墙或许可以检测出你的网卡处于混杂模式。
探测本机的网卡是否处于混杂模式,很容易实现。但探测网络上其他机器的网卡是否处于混杂模式,似乎很难实现。我在网上看到过一片嗅探与反嗅探技术的文章,提出一种思路:修改帧的目标MAC地址。非混杂模式的网卡是不会接收这种错误的帧,混杂模式的网卡则会接收。而帧的其余部分都是正确的,都能正确解码。则通过检测目标接口是否回应数据包 来判断该接口是否处于混杂模式。
这种想法很有趣,但本人测试了一下,结果却是:无论是否是混杂模式,目标接口对这种修改过目标MAC的数据包都不回应。
看来这种做法行不通了!我想可能是,网卡驱动在对以太网帧解码时,进行了MAC地址核对。
至此,本人也没有什么办法解决:探测网络上的接口是否处于混杂模式 这个问题了。不知道大家还有什么办法。
E-mail:[email protected]
QQ:64213380
to fengzhou8828:
   你指的是用发送伪广播地址(ff:ff:ff:ff:ff:fe)的ARP Request数据报来检测处于混杂模式的网卡吗?可以的,只不过偶有误报
广播地址所有接口都能收到,这样无法判断某个网卡是否是混杂模式!
我说的是把目标MAC改成一个不存在的地址,而其他部分都是正确的。可惜的是这种办法也不管用!
正常的广播地址为(ff:ff:ff:ff:ff:ff),所有的网卡都会响应,但是用(ff:ff:ff:ff:ff:fe),非混杂模式的网卡就不响应了
嗅探中的win2000系统还会对16位伪广播地址(ff:ff:00:00:00:00)做出回应;而嗅探中的win95/98/me会回应8位伪广播地址(ff:00:00:00:00:00),而*NIX系统对各种广播地址所做出的反应有些不同,但基本上对31位(ff:ff:ff:ff:ff:fe)都会回应。