Sniffer窃企业机密 ARP检测抓内鬼

    编者按：Sniffer是网络故障的有效检测工具，但同时也是企业网络的极大威胁，必要的时候也要抓出Sniffer内鬼。
　　
　　网卡混杂模式：为Sniffer窃取信息开后门
　　寻找Sniffer窃取者的致命弱点
　　ARP检测包找出混杂模式节点
　　软件过滤破获Sniffer窃取者
　　结论：不同系统采用不同的措施
　　
　　
　　【IT168 专稿】在局域网中，Sniffer是一个很大的威胁。恶意用户可以籍此看到一些机密文件和及一些个人的隐私。Sniffer对安全有如此的威胁，但它可以方便的在因特网上下免费下栽并安装在PC上。但是，目前为止，还没有很好的方法来检测谁的PC安装了Sniffer软件。这篇文档将讨论利用ARP包来检测那些在公司和学校局域网内Sniffing的恶意用户。
　　
　　网卡混杂模式：为Sniffer窃取信息开后门
　　
　　局域网通常是以太网组成的。在以太网上用的是IPV4协议，数据是明文传输的，除非用了加密软件。当用户发信息到网络上时，他只希望网络另一端的用户能接收到。不幸的是，以太网的机制给未被授权的用户提供了窃听信息的机会。
　　
　　我们知道，在以太网中，信息会发送到网络中所有的节点，有些节点会接收这些信息，同时有些节点会简单的丢弃这些信息。接收或丢弃信息由网卡来控制。网卡不会接收所有发到局域网的数据包，即使它连在以太网上；相反它会过滤掉一些特定的数据包。在这篇文档里，我们将称这种过滤为网卡的硬件过滤。Sniffer会被网卡设置成特定的模式，这样网卡就可以接收所有到达的数据包了，而不管它是不是这些包指定的目的地址。这种网卡的模式称为混杂模式。
　　
　　Sniffer接收所有的数据包，而不是发送一些非法包。所以它不会干扰网络的正常运行，因此很难检测到这种恶意行为。虽然如此，网卡的混杂模式显然是不同于正常模式的。一个本来应该被过滤的包在这种模式下会被允许到达系统内核。是不是做出响应取决于系统内核。