使用ARP分组检测网络节点.docVIP

使用ARP分组检测处于混杂模式的网络节点 摘要　　本文将阐述PromiScan(一个能够有效地检测网络嗅探器的软件)使用的检测机制。嗅探器为了能够截获网络上所有的分组，必须把网络接口卡(Network Interface Card,NIC)设置为混杂模式(promiscuous mode)。接着，网卡就能够接受网络上所有的分组，并将其送到系统内核。地址解析协议(Address Resolution Protocol,ARP)请求报文用来查询硬件地址到IP地址的解析。我们将使用这类分组来校验网卡是否被设置为混杂模式(promiscuous mode)。之所以会使用ARP请求分组是因为它适用于所有基于以太网的IPV4协议。在混杂模式(promiscuous mode)下，网卡不会阻塞目的地址不是自己的分组，而是照单全收，并将其传送给系统内核。然后，系统内核会返回包含错误信息的报文。基于这种机制，我们可以假造一些ARP请求报文发送到网络上的各个节点，没有处于混杂模式的网卡会阻塞这些报文，但是如果某些节点有回应，就表示这些节点的网卡处于混杂模式下。这些处于混杂模式的节点就可能运行嗅探器程序。这样就可以成功地检测到网络运行的嗅探器程序。(2002-06-24 14:45:15) 摘要 　　在一个局域网中，安全问题应该引起注意。当纯文本数据在网络上传输时，任何网络用户都会很容易地窃取这些信息