Обнаружение перехвата в основном обнаруживает, есть ли в вашей сети перехватчики. Главная особенность анализаторов, которая используется для их обнаружения, заключается в том, что они переводят сетевую карту в беспорядочный режим, прослушивая весь трафик. Как правило, сниффер помещается на компьютер с полным стеком TCP / IP, на который влияет этот режим.
ICMP - это протокол, стоящий за командой ping. Чтобы проверить связь с машиной, вы отправляете пакет эхо-запроса ICMP и ожидаете ответ ICMP. Обычно запрос ICMP встроен в пакет Ethernet для доставки по сети. Стандартный пакет Ethernet будет включать в себя MAC-адрес адресуемой сетевой карты, а также IP-адрес этой машины во встроенном пакете ICMP. Пакет будет обнаружен соответствующей картой, и этот компьютер ответит на ping. Это стандартный процесс.
Теперь давайте посмотрим, что произойдет, если мы отправим пакет ping (один запрос ICMP Echo) с IP-адресом подозрительного адреса анализатора, но с другим , ошибочным MAC-адресом в конверте Ethernet.
Если сетевая карта на анализаторе имеет , а не в случайном режиме, то пакет не будет получен этой машиной. Естественно, машина не отвечала. Попытка ping потерпит неудачу.
Если сетевая карта в анализаторе находится в случайном режиме, то устройство увидит всех пакетов в сети. Таким образом, стек TCP / IP на этом компьютере будет принимать пакет ping, идентифицируя полученный IP-адрес пакета. Таким образом, стек отправит ответ. ping попытка будет успешной .
Подобно другим методам обнаружения, здесь есть как ложные срабатывания, так и ложные отрицания. С помощью анализатора может быть дано указание игнорировать все запросы ICMP. Обнаружение беспорядочного режима - это не совсем обнаружение анализаторов, хотя это очень важный ключ.