「ICMPのテスト」がどのように機能するかを誰かに教えてもらえますか? (ローカルネットワークでの盗聴を検出する方法の 1 つ)
3428 次
1 に答える
5
スニッフィング検出とは、基本的に、ネットワークにスニファーが存在するかどうかを検出することです。それらを検出するために使用されるスニファーの主な機能は、ネットワーク カードを無差別モードにして、すべてのトラフィックをリッスンすることです。通常、スニファは、このモードの影響を受ける完全な TCP/IP スタックを持つマシンに配置されます。
pingICMP はコマンドの背後にあるプロトコルです。マシンに ping を実行するには、ICMP エコー要求パケットをマシンに送信し、ICMP 応答パケットを待ちます。通常、ICMP 要求はイーサネット パケットに埋め込まれ、ネットワーク経由で配信されます。標準のイーサネット パケットには、アドレス指定されたネットワーク カードの MAC アドレスと、埋め込まれた ICMP パケット内のそのマシンの IP アドレスが含まれます。パケットは適切なカードによって検出され、そのマシンはping. これは標準的なプロセスです。
pingここで、疑わしいスニファ アドレスの IP アドレスを持つパケット (ICMP エコー要求 1)を送信した場合に何が起こるかを見てみましょう。
スニファ マシンのネットワーク カードがプロミスキャス モードでない場合、そのマシンはパケットを受信しません。当然、マシンは応答しません。この
ping試みは失敗します。スニファ マシンのネットワーク カードが無差別モードの場合、マシンはネットワーク内のすべてのパケットを認識します。
pingしたがって、そのマシンの TCP/IP スタックは、受信したパケットの IP アドレスを識別することによって、パケットを受け入れます。したがって、スタックは応答を送信します。ping試みは成功するでしょう。
他の検出方法と同様に、これには偽陽性と偽陰性があります。スニファ マシンは、すべての ICMP 要求を無視するように指示される場合があります。プロミスキャス モードの検出は、スニファーの正確な検出ではありませんが、非常に重要な手がかりになります。
于 2010-10-18T23:02:37.910 に答える