展开
ARP detect是一款帮助用户进行网卡检测的工具,主要用来检测网络混战模式,所以我们可以称它做网卡混杂模式检测工具。ARP detect专门检查哪些电脑装了包嗅探软件,用来检测网络嗅探行为,保护你的隐私文档不被他人窥视,欢迎下载使用!
1.简介
通过网络嗅探,一些恶意用户能够很容易地窃取到绝密的文档和任何人的隐私。要实现上述目的非常容易,恶意用户只要从网络上下载嗅探器并安全到自己的计算机就可以了。然而,却没有一个很好的方法来检测网络上的嗅探器程序。本文将讨论使用地址解析协议(Address Resolution Protocol)报文来有效地检测办公网络和校园网上的嗅探器程序。
2.网络嗅探的原理
局域网通常使用以太网进行连接。在以太网线缆上使用IP(IPV4)协议传输的传递的信息是明文传输的,除非使用了加密程序进行了加密。当一个人把信息发送到网络上,他会希望只有特定的用户才能收到这些信息。但是,非常不幸,以太网的工作机制为非验证用户提供了窃取这些数据的机会。以太网在进行信息传输时,会把分组送到各个网络节点,目的地址匹配的节点会接收这些分组,其它的网络节点只做简单的丢弃操作。而接收还是丢弃这些分组由以太网卡控制。在接收分组时,网卡会过滤出目的地址是自己的分组接收,而不是照单全收。在本文以后的部分我们将把网卡的这种过滤称为硬件过滤(Hardware Filter)。但是这只是在正常情况下,嗅探器使用另一种工作方式,它把自己的网卡设置为接收所有的网络分组,而不管分组的目的地址是否是自己。这种网卡模式叫作混杂模式(Promiscuous Mode)。
3.检测混杂模式的基本概念
在网络中,嗅探器接收所有的分组,而不发送任何非法分组。它不会妨碍网络数据的流动,因此很难对其进行检测。不过,处于混杂模式(promiscuous mode)网卡的状态很显然和处于普通模式下不同。在混杂模式下,应该被硬件过滤掉的分组文会进入到系统的内核。是否回应这种分组完全依赖与内核。
4.基础
1).硬件过滤器
首先,我们从处于混杂模式(promiscuous mode)下和普通模式下有何不同开始。以太网的地址是6个字节,制造商为每块网卡分配的地址在全世界是唯一的,因此理论上没有相同地址的网卡。在以太网上的所有通讯都是基于这种硬件地址。不过,网卡可以被设置为不同的过滤模式以接收不同种类的分组。下面就是以太网卡的过滤模式:
unicast
网卡接收所有目的地址是自己的分组
broadcast
接收所有广播分组,以太网广播分组的目的地址是FFFFFFFFFFFF。这种广播分组能够到达网络上的所有节点。
multicast
接收目的地址为指定多投点递交(multicast)组地址的分组。网卡只接收其地址已经预先在多投点列表中注册的分组。
all multicast
接收所有多投点递交广播分组。
promiscuous
根本不检查目的地址,接收网络上所有的分组。
5.检测处于混杂模式的节点
上面讲到,报文的过滤状态是处于混杂模式状态和正常的网络节点的区别。当网卡被设置为混杂模式,本该被过滤掉的报文就会进入系统的内核。通过这种机制,我们可以检测到网络上处于混杂模式的节点:我们构造一个ARP查询包,其目的地址不是广播地址,然后向网络上的各个节点发送这个ARP查询包,最后通过各个节点的回应来判断是否处于混杂模式。
6.软件过滤器
软件过滤器依赖于操作系统的内核,因此有必要理解系统内核软件过滤器是如何工作的。Linux是开放源玛系统,因此我们能够获得其软件过滤机制。
加载全部内容
Fvd Downloader插件942M14277人在玩用于谷歌浏览器上所使用的FvdDownl...
下载Ubuntu18.04iso镜像1G7712人在玩很多使用linux系统的朋友应该是比较需...
下载Logitech G HUB(罗技hub驱动)31M6380人在玩LogitechGHUB是罗技推出的外设...
下载UOS纯净版2G6203人在玩系统是电脑和手机都不可或缺的,要正常运行...
下载杏雨梨云启动维护系统(官网pe)719M5288人在玩杏雨梨云启动维护系统(官网pe)是一款老...
下载modscan32激活汉化版2M4945人在玩如果您需要一款功能强大的串口调试工具的话...
下载系统总裁USB3.1驱动注入工具33M4944人在玩最近很多人在找系统总裁USB31驱动注入...
下载Wraith Prism免费版33M4756人在玩如果您使用的是幽灵系列的风扇的话可以来试...
下载一键ghost工具win10版19M4666人在玩一键ghost工具有很多,想用win10...
下载创意笔手写系统50.80M3730人在玩本款创意笔手写系统是由香港创意科技公司打...
下载