嗅探检测

Question

有人能告诉我"test ICMP“到底是怎么工作的吗？(在本地网络中检测嗅探的方法之一)

Answer 1

嗅探检测基本上是检测您的网络中是否有嗅探器。用于检测它们的嗅探器的主要功能是，它们将网卡置于混杂模式，侦听所有流量。通常，嗅探器放置在具有将受此模式影响的完整TCP/IP堆栈的计算机上。

ICMP是ping命令背后的协议。要ping机器，需要向其发送ICMP Echo请求数据包并等待ICMP响应数据包。通常，ICMP请求嵌入在要通过网络传送的以太网数据包中。标准以太网数据包将在嵌入的ICMP数据包中包含所寻址网卡的MAC地址以及该机器的IP地址。数据包将被适当的卡检测到，并且该机器将响应ping。这是标准流程。

现在，让我们看看如果我们发送一个带有可疑嗅探器地址的IP地址的ping数据包(ICMP Echo request one)，但在以太网信封中使用一个不同的、有问题的MAC地址，会发生什么情况。

1. 如果嗅探器机器中的网卡未处于混杂模式，则该机器不会接收数据包。当然，机器不会响应。ping尝试将失败。
2. 如果嗅探器机器中的网卡处于混杂模式，则机器将看到网络中的所有数据包。因此，该机器上TCP/IP堆栈将通过识别接收到的分组IP地址来接受ping分组。因此，堆栈将发送响应。ping尝试将会成功。

与其他检测方法类似，这种方法既有假阳性，也有假阴性。可以指示嗅探器机器忽略所有ICMP请求。检测混杂模式并不完全是检测嗅探器，尽管它是一个非常重要的线索。