嗅探检测

Question

有人能告诉我“测试 ICMP”究竟是如何工作的吗？ （检测本地网络嗅探的方法之一）

Answer 1

嗅探检测基本上是检测网络中是否存在嗅探器。用于检测它们的嗅探器的主要功能是它们将网卡置于混杂模式，侦听所有流量。通常，嗅探器放置在具有完整 TCP/IP 堆栈的计算机上，该计算机将受到此模式的影响。

ICMP 是 ping 命令背后的协议。要 ping 一台计算机，您可以向其发送 ICMP Echo 请求数据包并等待 ICMP 响应数据包。通常，ICMP 请求嵌入在要通过网络传送的以太网数据包中。标准以太网数据包将包含所寻址网卡的 MAC 地址，以及嵌入式 ICMP 数据包中该机器的 IP 地址。该数据包将被适当的卡检测到，并且该机器将响应 ping。这是标准流程。

现在让我们看看，如果我们发送一个 ping 数据包（ICMP Echo 请求一），其中包含可疑嗅探器地址的 IP 地址，但其中包含不同的错误 MAC 地址，会发生什么情况？以太网信封。

1. 如果嗅探器机器中的网卡未处于混杂模式，则该机器不会接收数据包。机器自然不会有反应。 ping 尝试将会失败。

2. 如果嗅探器机器中的网卡处于混杂模式，则机器将看到网络中的所有数据包。因此，该机器上的 TCP/IP 堆栈将通过识别接收到的数据包 IP 地址来接受 ping 数据包。因此堆栈将发送响应。 ping 尝试将成功。

与其他检测方法类似，这种方法也存在误报和漏报的情况。嗅探器可能会被指示忽略所有 ICMP 请求。检测混杂模式并不完全是检测嗅探器，尽管它是一个非常重要的线索。