Je voudrais savoir s'il existe un produit ou un logiciel qui peut détecter s'il y a un renifleur actuellement sur le réseau?
En d'autres termes, est-il possible de détecter s'il y a une carte réseau sur le réseau qui est actuellement en mode promiscuité?
Il y a eu du travail fait dont j'ai entendu parler comme anti-sniff , qui cherche à détecter les machines en mode promiscuous en utilisant les informations de synchronisation.
L'idée étant que les machines en mode promiscuité devront traiter tous les paquets qu'elles voient, donc s'il y a de grandes quantités de trafic à traiter, le système sera occupé et plus lent à répondre au trafic dirigé.
Ce type d'approche, s'il est toujours pratique, ne fonctionnerait pas dans tous les scénarios. Par exemple, si un hôte n'a pas d'adresse IP, il peut toujours potentiellement renifler du trafic et il ne serait pas possible de le détecter en utilisant cette approche.
Cependant, c'est une approche possible qui pourrait être explorée.
Il est possible de renifler les paquets sur Ethernet ou wifi non commutés de manière complètement passive. Des outils comme Throwing Star Lan Tap rendent cela encore plus facile. Dans ce cas passif, vous ne pouvez rien y faire.
Cependant, si vous êtes sur un réseau commuté, tout renifleur devrait commencer à empoisonner les caches ARP, même si ce n'est que sur le commutateur. C'est quelque chose que vous pouvez détecter beaucoup plus facilement et c'est un bon avertissement précoce que quelqu'un planifie quelque chose de mal.
Si le système exécute le renifleur, son interface sera en mode promiscuous. Le test fonctionne comme ceci: Envoyez un ping avec la bonne adresse IP dans le réseau mais avec une mauvaise adresse mac. L'hôte renifleur répondra au paquet ping, car il recevra chaque paquet en mode promiscuité. Il existe un script prêt à l'emploi dans nmap pour prendre en charge cette détection.
http://nmap.org/nsedoc/scripts/sniffer-detect.html
CEPENDANT: Cette méthode ne fonctionne que si,
Source: http://ask.wireshark.org/questions/14351/detectprevent-wireshark