局域网中如何远程检测某台主机是否运行了嗅探程序

发布网友 发布时间：2022-04-25 10:05

我来回答

共2个回答

热心网友 时间：2023-11-13 11:13

1.利用ping模式进行监测：对怀疑使用嗅探器的主机利用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有相应。这是因为正常的机器不接受错误的物理地址，处于监听状态的机器能接收，但这种方法依赖于系统IP stack，对一些系统行不通。
2.观察反应时间：向怀疑有网络监听行为的网络主机发送大量的不存在的物理地址的数据包，由于监听程序会处理这些数据包，因此反应时间会大大延长，而正常的系统主机的回应时间则没有明显变化。
3.搜索进程：适用于UNIX，windowsNT 使用“ps-aun”、“ps-augx”产生一个列表清单，相应的程序就会出现。
4.利用ARP数据包进行监测：这种方法是ping方法的一个变种，适用arp数据包替代上述icmp包。如果局域网内某台主机相应了该icmp包，那么他就可能出于网络监听状态。

感谢发帖的作者，这次作业先帮你们做了追问第三个方法应该不适合远程监控吧？

热心网友 时间：2023-11-13 11:14

很多嗅探程序都属于被动式触发，非常难被检测出来。

根据它的工作原理，有办法。 检察网络中的网卡的工作模式； 对可疑IP可以主动发错误MAC包对比检测；还可以负载检测； 还有专业软件检测。 等等，但难度都比较高。

热心网友 时间：2023-11-13 11:13

1.利用ping模式进行监测：对怀疑使用嗅探器的主机利用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有相应。这是因为正常的机器不接受错误的物理地址，处于监听状态的机器能接收，但这种方法依赖于系统IP stack，对一些系统行不通。
2.观察反应时间：向怀疑有网络监听行为的网络主机发送大量的不存在的物理地址的数据包，由于监听程序会处理这些数据包，因此反应时间会大大延长，而正常的系统主机的回应时间则没有明显变化。
3.搜索进程：适用于UNIX，windowsNT 使用“ps-aun”、“ps-augx”产生一个列表清单，相应的程序就会出现。
4.利用ARP数据包进行监测：这种方法是ping方法的一个变种，适用arp数据包替代上述icmp包。如果局域网内某台主机相应了该icmp包，那么他就可能出于网络监听状态。

感谢发帖的作者，这次作业先帮你们做了追问第三个方法应该不适合远程监控吧？

热心网友 时间：2023-11-13 11:14

很多嗅探程序都属于被动式触发，非常难被检测出来。

根据它的工作原理，有办法。 检察网络中的网卡的工作模式； 对可疑IP可以主动发错误MAC包对比检测；还可以负载检测； 还有专业软件检测。 等等，但难度都比较高。

热心网友 时间：2023-11-13 11:13

1.利用ping模式进行监测：对怀疑使用嗅探器的主机利用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有相应。这是因为正常的机器不接受错误的物理地址，处于监听状态的机器能接收，但这种方法依赖于系统IP stack，对一些系统行不通。
2.观察反应时间：向怀疑有网络监听行为的网络主机发送大量的不存在的物理地址的数据包，由于监听程序会处理这些数据包，因此反应时间会大大延长，而正常的系统主机的回应时间则没有明显变化。
3.搜索进程：适用于UNIX，windowsNT 使用“ps-aun”、“ps-augx”产生一个列表清单，相应的程序就会出现。
4.利用ARP数据包进行监测：这种方法是ping方法的一个变种，适用arp数据包替代上述icmp包。如果局域网内某台主机相应了该icmp包，那么他就可能出于网络监听状态。

感谢发帖的作者，这次作业先帮你们做了追问第三个方法应该不适合远程监控吧？

热心网友 时间：2023-11-13 11:14

很多嗅探程序都属于被动式触发，非常难被检测出来。

根据它的工作原理，有办法。 检察网络中的网卡的工作模式； 对可疑IP可以主动发错误MAC包对比检测；还可以负载检测； 还有专业软件检测。 等等，但难度都比较高。

热心网友 时间：2023-11-13 11:13

1.利用ping模式进行监测：对怀疑使用嗅探器的主机利用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有相应。这是因为正常的机器不接受错误的物理地址，处于监听状态的机器能接收，但这种方法依赖于系统IP stack，对一些系统行不通。
2.观察反应时间：向怀疑有网络监听行为的网络主机发送大量的不存在的物理地址的数据包，由于监听程序会处理这些数据包，因此反应时间会大大延长，而正常的系统主机的回应时间则没有明显变化。
3.搜索进程：适用于UNIX，windowsNT 使用“ps-aun”、“ps-augx”产生一个列表清单，相应的程序就会出现。
4.利用ARP数据包进行监测：这种方法是ping方法的一个变种，适用arp数据包替代上述icmp包。如果局域网内某台主机相应了该icmp包，那么他就可能出于网络监听状态。

感谢发帖的作者，这次作业先帮你们做了追问第三个方法应该不适合远程监控吧？

热心网友 时间：2023-11-13 11:13

1.利用ping模式进行监测：对怀疑使用嗅探器的主机利用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有相应。这是因为正常的机器不接受错误的物理地址，处于监听状态的机器能接收，但这种方法依赖于系统IP stack，对一些系统行不通。
2.观察反应时间：向怀疑有网络监听行为的网络主机发送大量的不存在的物理地址的数据包，由于监听程序会处理这些数据包，因此反应时间会大大延长，而正常的系统主机的回应时间则没有明显变化。
3.搜索进程：适用于UNIX，windowsNT 使用“ps-aun”、“ps-augx”产生一个列表清单，相应的程序就会出现。
4.利用ARP数据包进行监测：这种方法是ping方法的一个变种，适用arp数据包替代上述icmp包。如果局域网内某台主机相应了该icmp包，那么他就可能出于网络监听状态。

感谢发帖的作者，这次作业先帮你们做了追问第三个方法应该不适合远程监控吧？

热心网友 时间：2023-11-13 11:14

很多嗅探程序都属于被动式触发，非常难被检测出来。

根据它的工作原理，有办法。 检察网络中的网卡的工作模式； 对可疑IP可以主动发错误MAC包对比检测；还可以负载检测； 还有专业软件检测。 等等，但难度都比较高。

热心网友 时间：2023-11-13 11:14

很多嗅探程序都属于被动式触发，非常难被检测出来。

根据它的工作原理，有办法。 检察网络中的网卡的工作模式； 对可疑IP可以主动发错误MAC包对比检测；还可以负载检测； 还有专业软件检测。 等等，但难度都比较高。

热心网友 时间：2023-11-13 11:13

1.利用ping模式进行监测：对怀疑使用嗅探器的主机利用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有相应。这是因为正常的机器不接受错误的物理地址，处于监听状态的机器能接收，但这种方法依赖于系统IP stack，对一些系统行不通。
2.观察反应时间：向怀疑有网络监听行为的网络主机发送大量的不存在的物理地址的数据包，由于监听程序会处理这些数据包，因此反应时间会大大延长，而正常的系统主机的回应时间则没有明显变化。
3.搜索进程：适用于UNIX，windowsNT 使用“ps-aun”、“ps-augx”产生一个列表清单，相应的程序就会出现。
4.利用ARP数据包进行监测：这种方法是ping方法的一个变种，适用arp数据包替代上述icmp包。如果局域网内某台主机相应了该icmp包，那么他就可能出于网络监听状态。

感谢发帖的作者，这次作业先帮你们做了追问第三个方法应该不适合远程监控吧？

热心网友 时间：2023-11-13 11:14

很多嗅探程序都属于被动式触发，非常难被检测出来。

根据它的工作原理，有办法。 检察网络中的网卡的工作模式； 对可疑IP可以主动发错误MAC包对比检测；还可以负载检测； 还有专业软件检测。 等等，但难度都比较高。