Hola gente! Buff... hacía siglos que no me pasaba por aquí, hasta me había olvidado de la contraseña para registrarme :-D
Pues eso, ahí dejo la pregunta. Releyendo unos documentos sobre redes se me ha venido esto a la cabeza, y la verdad es que no se me acaba de ocurrir cómo se podría detectar desde un ordenata de una lan a otro que tenga la tarjeta escuchando en modo promiscuo. Pero seguro que alguno me lo va a decir enseguida 8-)
Salu2.
Si usas un switch en tu red olvídate de problemas porque no podrán escuchar el tráfico de tu red.
En caso de que uses un hub (no entiendo porqué aún lo usas costando prácticamente igual, unos 20€ uno de 5 puestos), entonces hay métodos para detectarlos a través de diversos trucos (el más famoso es el método del ARP).
packetstormsecurity.nl/sniffers/antisniff/
En esa web hay algunas aplicaciones que te serán de utilidad.
Lo del método ARP me resulta más útil. Gracias por el enlace, pero no se trataba de comprobarlo yo en mi red, sino de entender el por qué se puede detectar mediante ARP.
He echado un vistazo a este documento, y lo explica bastante en detalle.
www.securityfriday.com/promiscuous_detection_01.pdf
Ahora soy un poquito más sabio ;-)
Salu2.
Editado: Aunque en esta otra se explican algunos métodos más, usando la caché ARP en lugar de direcciones multicast, por ejemplo, o la latencia...
si que se puede sniffear una red con switch, aunque es mas dificil coger toda la informacion que pasa por él, lo menciopna mainframe en su post, se llama ARP poisoning y lo soporta cain & abel, cain era para snifear y cain & abel para switchs, lo he provado y saca bastante informacion, contraseñas smb, de ftp, de windows (aunque no directamente, tienes que crakearla) incluso puedes coger un certificado de internet.
Lo malo es que tienes que infectar una conexion entre dos puntos, por ejemplo entre un ordenador y un router, si tienes claro el objetivo es muy util. Un saludo
Así es, se puede escuchar toda una red que esté «switcheada», otro programa más que lo hace: «ettercap», muy bueno por cierto, si se sabe usar (aquí el menda no tiene ni idea).
Es curioso cuanto menos lanzarlo con una conexión de cable (donde el medio es compartido, como si fuera una red ethernet con switch) y ver la gente que hay conectada (sin pensar en hacer nada más, que se podría).
EDITADO:
Por cierto, en cuanto al tema principal del post, la detección de un sniffer, puede llegar a ser realmente complicada, en la documentación del snort (conocido NIDS) comentaban más o menos: "Corte los hilos de transmisión del cable de red de la máquina dedicada a controlar la red", con lo que es imposible que ésta responda a cualquier petición, siendo (en principio :P) indetectable.
