西西軟件園多重安全檢測(cè)下載網(wǎng)站、值得信賴的軟件下載站!
西西首頁(yè) 電腦軟件 安卓軟件 電腦游戲 安卓游戲 排行榜 專題合集

檢測(cè)內(nèi)網(wǎng)網(wǎng)卡混雜模式

  • 檢測(cè)內(nèi)網(wǎng)網(wǎng)卡混雜模式
  • 軟件大小:145KB
  • 更新時(shí)間:2013-07-07 14:14
  • 軟件語(yǔ)言:中文
  • 軟件廠商:
  • 軟件類別:國(guó)產(chǎn)軟件 / 免費(fèi)軟件 / 系統(tǒng)其它
  • 軟件等級(jí):4級(jí)
  • 應(yīng)用平臺(tái):WinAll, WinXP
  • 官方網(wǎng)站:http://m.elephantinaurance.com
  • 應(yīng)用備案:
好評(píng):50%
壞評(píng):50%

軟件介紹

廣大游戲玩家,系統(tǒng)管理員,深受sniff 科萊等網(wǎng)絡(luò)分析軟件,包捕捉,泄露密碼信息的危險(xiǎn),無(wú)意找到的網(wǎng)絡(luò)混戰(zhàn)模式檢查工具,專門檢查哪些電腦裝了包嗅探軟件!

網(wǎng)卡混雜模式的檢測(cè)

1.簡(jiǎn)介

在局域網(wǎng)中,嗅探行為已經(jīng)成為網(wǎng)絡(luò)安全的一個(gè)巨大威脅。通過(guò)網(wǎng)絡(luò)嗅探,一些惡意用戶能夠很容易地竊取到絕密的文檔和任何人的隱私。要實(shí)現(xiàn)上述目的非常容易,惡意用戶只要從網(wǎng)絡(luò)上下載嗅探器并安全到自己的計(jì)算機(jī)就可以了。然而,卻沒有一個(gè)很好的方法來(lái)檢測(cè)網(wǎng)絡(luò)上的嗅探器程序。本文將討論使用地址解析協(xié)議(Address Resolution Protocol)報(bào)文來(lái)有效地檢測(cè)辦公網(wǎng)絡(luò)和校園網(wǎng)上的嗅探器程序。

2.網(wǎng)絡(luò)嗅探的原理

局域網(wǎng)通常使用以太網(wǎng)進(jìn)行連接。在以太網(wǎng)線纜上使用IP(IPV4)協(xié)議傳輸?shù)膫鬟f的信息是明文傳輸?shù),除非使用了加密程序進(jìn)行了加密。當(dāng)一個(gè)人把信息發(fā)送到網(wǎng)絡(luò)上,他會(huì)希望只有特定的用戶才能收到這些信息。但是,非常不幸,以太網(wǎng)的工作機(jī)制為非驗(yàn)證用戶提供了竊取這些數(shù)據(jù)的機(jī)會(huì)。以太網(wǎng)在進(jìn)行信息傳輸時(shí),會(huì)把分組送到各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn),目的地址匹配的節(jié)點(diǎn)會(huì)接收這些分組,其它的網(wǎng)絡(luò)節(jié)點(diǎn)只做簡(jiǎn)單的丟棄操作。而接收還是丟棄這些分組由以太網(wǎng)卡控制。在接收分組時(shí),網(wǎng)卡會(huì)過(guò)濾出目的地址是自己的分組接收,而不是照單全收。在本文以后的部分我們將把網(wǎng)卡的這種過(guò)濾稱為硬件過(guò)濾(Hardware Filter)。但是這只是在正常情況下,嗅探器使用另一種工作方式,它把自己的網(wǎng)卡設(shè)置為接收所有的網(wǎng)絡(luò)分組,而不管分組的目的地址是否是自己。這種網(wǎng)卡模式叫作混雜模式(Promiscuous Mode)。

3.檢測(cè)混雜模式的基本概念

在網(wǎng)絡(luò)中,嗅探器接收所有的分組,而不發(fā)送任何非法分組。它不會(huì)妨礙網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng),因此很難對(duì)其進(jìn)行檢測(cè)。不過(guò),處于混雜模式(promiscuous mode)網(wǎng)卡的狀態(tài)很顯然和處于普通模式下不同。在混雜模式下,應(yīng)該被硬件過(guò)濾掉的分組文會(huì)進(jìn)入到系統(tǒng)的內(nèi)核。是否回應(yīng)這種分組完全依賴與內(nèi)核。

下面我們舉一個(gè)現(xiàn)實(shí)世界中的例子,說(shuō)明我們檢測(cè)處于混雜模式網(wǎng)絡(luò)節(jié)點(diǎn)的方法。設(shè)想一下,在一個(gè)會(huì)議室中正在舉行一個(gè)會(huì)議。某個(gè)人把耳朵放在會(huì)議室就可以進(jìn)行竊聽(嗅探^_^)。當(dāng)她(還是個(gè)女的,原文如此:P)進(jìn)行竊聽(嗅探)時(shí),會(huì)屏住呼吸,安靜地聆聽會(huì)議室內(nèi)所有的發(fā)言。然而,如果此時(shí)會(huì)議室內(nèi)有人忽然叫竊聽者的名字:“XX太太”,她就可能答應(yīng)“唉”。這聽起來(lái)有點(diǎn)好笑,但是完全可以用于網(wǎng)絡(luò)嗅探行為的檢測(cè)。網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)嗅探的節(jié)點(diǎn)會(huì)接收網(wǎng)絡(luò)的所有報(bào)文,因此其內(nèi)核可能對(duì)某些本該被硬件過(guò)濾的分組作出錯(cuò)誤回應(yīng)。根據(jù)這個(gè)原理,我們可以通過(guò)檢查節(jié)點(diǎn)對(duì)ARP報(bào)文的響應(yīng)來(lái)檢測(cè)網(wǎng)絡(luò)的嗅探行為。

4.基礎(chǔ)

1).硬件過(guò)濾器
首先,我們從處于混雜模式(promiscuous mode)下和普通模式下有何不同開始。以太網(wǎng)的地址是6個(gè)字節(jié),制造商為每塊網(wǎng)卡分配的地址在全世界是唯一的,因此理論上沒有相同地址的網(wǎng)卡。在以太網(wǎng)上的所有通訊都是基于這種硬件地址。不過(guò),網(wǎng)卡可以被設(shè)置為不同的過(guò)濾模式以接收不同種類的分組。下面就是以太網(wǎng)卡的過(guò)濾模式:
unicast 
網(wǎng)卡接收所有目的地址是自己的分組
broadcast
接收所有廣播分組,以太網(wǎng)廣播分組的目的地址是FFFFFFFFFFFF。這種廣播分組能夠到達(dá)網(wǎng)絡(luò)上的所有節(jié)點(diǎn)。
multicast
接收目的地址為指定多投點(diǎn)遞交(multicast)組地址的分組。網(wǎng)卡只接收其地址已經(jīng)預(yù)先在多投點(diǎn)列表中注冊(cè)的分組。
all multicast
接收所有多投點(diǎn)遞交廣播分組。
promiscuous
根本不檢查目的地址,接收網(wǎng)絡(luò)上所有的分組。


圖-1描述了硬件過(guò)濾器處于在正常情況下和在混雜模式下的區(qū)別。通常,網(wǎng)卡的硬件過(guò)濾器被設(shè)置為接收目為單投點(diǎn)遞交(unicast)、廣播(broadcast)和多投點(diǎn)遞交(multicast)地址1的分組。過(guò)濾器只接收目的地址為自己的地址、廣播地址(FF FF FF FF FF FF)和多投點(diǎn)地址1(01 00 5E 00 00 01)的分組。2).ARP機(jī)制
使用以太網(wǎng)連接的IP網(wǎng)絡(luò)需要依靠以太網(wǎng)進(jìn)行傳輸。只使用IP地址,報(bào)文是無(wú)法發(fā)送的。因此,在以太網(wǎng)上需要一種機(jī)制來(lái)提供IP地址和硬件地址之間的轉(zhuǎn)換。這種機(jī)制就是地址解析協(xié)議(Address Resolution Protocol)。ARP屬于網(wǎng)絡(luò)層,和IP處于OSI模型的同一層。在IP網(wǎng)絡(luò)上地址解析是不斷進(jìn)行的,所以ARP報(bào)文比較適合用來(lái)檢測(cè)處于混雜模式(promiscuous mode)的網(wǎng)絡(luò)節(jié)點(diǎn)。
在下面的例子中,我們將講述使用ARP報(bào)文是怎樣解析IP地址的:
例如:網(wǎng)絡(luò)上一臺(tái)IP地址為192.168.1.1的PC(X)以太網(wǎng)地址是00-00-00-00-00-01,這臺(tái)PC(X)需要向網(wǎng)絡(luò)上另外一臺(tái)IP地址為192.168.1.10的PC(Y)發(fā)送消息。在發(fā)送之前,X首先發(fā)出一個(gè)ARP請(qǐng)求包查詢192.168.1.10對(duì)應(yīng)的以太網(wǎng)地址。查詢包的目的地址被設(shè)置為FF-FF-FF-FF-FF-FF(廣播),從而本地網(wǎng)絡(luò)上的所有節(jié)點(diǎn)都可以收到這個(gè)包。收到之后,每個(gè)節(jié)點(diǎn)會(huì)檢查這個(gè)ARP包查詢的IP地址和本機(jī)的IP地址是否匹配。如果不同,就忽略這個(gè)ARP包;如果匹配(Y)就向X發(fā)出應(yīng)答。X收到應(yīng)答之后就緩存Y的IP/硬件地址。然后,X就可以向Y發(fā)送實(shí)際的數(shù)據(jù)。

5.檢測(cè)處于混雜模式的節(jié)點(diǎn)
上面講到,報(bào)文的過(guò)濾狀態(tài)是處于混雜模式狀態(tài)和正常的網(wǎng)絡(luò)節(jié)點(diǎn)的區(qū)別。當(dāng)網(wǎng)卡被設(shè)置為混雜模式,本該被過(guò)濾掉的報(bào)文就會(huì)進(jìn)入系統(tǒng)的內(nèi)核。通過(guò)這種機(jī)制,我們可以檢測(cè)到網(wǎng)絡(luò)上處于混雜模式的節(jié)點(diǎn):我們構(gòu)造一個(gè)ARP查詢包,其目的地址不是廣播地址,然后向網(wǎng)絡(luò)上的各個(gè)節(jié)點(diǎn)發(fā)送這個(gè)ARP查詢包,最后通過(guò)各個(gè)節(jié)點(diǎn)的回應(yīng)來(lái)判斷是否處于混雜模式。
下面我們討論一下整個(gè)ARP請(qǐng)求/響應(yīng)的操作過(guò)程。首先,產(chǎn)生一個(gè)ARP查詢包來(lái)解析192.168.1.10的硬件地址。為了使網(wǎng)絡(luò)上的所有節(jié)點(diǎn)都能夠收到這個(gè)查詢包,把這個(gè)包的目的地址設(shè)置為廣播地址。理論上,只有IP地址為192.168.1.10的網(wǎng)卡才能對(duì)這個(gè)查詢包進(jìn)行響應(yīng)。
進(jìn)一步設(shè)想,如果我們把這個(gè)查詢包的目的地址(以太網(wǎng)地址)設(shè)置為另外的地址,而不是原來(lái)的廣播地址又將如何?例如:我們把查詢包的目的地址設(shè)置為00-00-00-00-00-01會(huì)發(fā)生什么?處于正常模式下網(wǎng)絡(luò)節(jié)點(diǎn)的以太網(wǎng)卡會(huì)認(rèn)為這個(gè)查詢包是發(fā)往其它主機(jī)的,其硬件過(guò)濾器會(huì)拒絕接收這個(gè)包;然而,如果這個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)(192.168.1.10)的以太網(wǎng)卡處于混雜模式(promiscuous mode)下,那么即使以太網(wǎng)地址不匹配,其硬件過(guò)濾器也不進(jìn)行任何過(guò)濾,從而使這個(gè)查詢包能夠進(jìn)入到系統(tǒng)的內(nèi)核。因?yàn)檫@個(gè)節(jié)點(diǎn)的IP地址和查詢包的要查詢IP地址相同,其內(nèi)核就會(huì)認(rèn)為ARP查詢包到達(dá),應(yīng)該作出應(yīng)答。但是,另我們吃驚的是,這個(gè)處于混雜模式節(jié)點(diǎn)的內(nèi)核不會(huì)應(yīng)答ARPR查詢包。這種出人意料的結(jié)果說(shuō)明這個(gè)包被系統(tǒng)內(nèi)核過(guò)濾掉了。在這里我們把這叫作軟件過(guò)濾器。


再進(jìn)一步,我們可以通過(guò)區(qū)別硬件過(guò)濾器和軟件過(guò)濾器的不同特征來(lái)檢測(cè)處于混雜模式的網(wǎng)絡(luò)節(jié)點(diǎn)。硬件過(guò)濾器一般會(huì)阻塞所有無(wú)效的分組(這些分組顯然不會(huì)進(jìn)入系統(tǒng)內(nèi)核),因此能夠通過(guò)硬件過(guò)濾器一般也能夠通過(guò)軟件過(guò)濾器,這種情況我們不多做討論。現(xiàn)在我們需要構(gòu)造應(yīng)該被被硬件過(guò)濾器阻塞,但是卻能夠通過(guò)軟件過(guò)濾器的報(bào)文。如果把這種報(bào)文送到各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn),那么處于普通模式下的網(wǎng)絡(luò)節(jié)點(diǎn)將不做應(yīng)答;而處于混雜模式的節(jié)點(diǎn)會(huì)進(jìn)行應(yīng)答。

6.軟件過(guò)濾器

軟件過(guò)濾器依賴于操作系統(tǒng)的內(nèi)核,因此有必要理解系統(tǒng)內(nèi)核軟件過(guò)濾器是如何工作的。Linux是開放源瑪系統(tǒng),因此我們能夠獲得其軟件過(guò)濾機(jī)制。但是對(duì)于Micro$oft Windows我們只有憑經(jīng)驗(yàn)猜測(cè)了:(。

1).Linux 
在Linux的以太網(wǎng)驅(qū)動(dòng)模塊中,分組是以硬件地址分類的。


廣播包

FF FF FF FF FF FF


多投點(diǎn)分組

所有的分組都有一個(gè)組標(biāo)志位集合,不包括廣播分組。


TO_US分組

目的地址和本機(jī)網(wǎng)卡相同的分組。


OTHERHOST分組

所有目的地址和本機(jī)網(wǎng)卡不同的分組。

現(xiàn)在,我們假設(shè)具有組標(biāo)志位的所有分組都是廣播分組。IP網(wǎng)絡(luò)對(duì)應(yīng)的以太網(wǎng)多投點(diǎn)分組的目的地址是01-00-5e-xx-xx-xx,而且,通過(guò)校驗(yàn)組標(biāo)志位本來(lái)就不能對(duì)多投點(diǎn)分組進(jìn)行分類。這個(gè)假設(shè)并不錯(cuò)誤,因?yàn)?1-00-5e-xx-xx-xx是一個(gè)基于IP的多投點(diǎn)地址,但是網(wǎng)卡硬件地址還用于其它高層協(xié)議。

下面,我們看一下ARP模塊的代碼。


if (in_dev == NULL    
arp->ar_hln != dev->addr_len ' ' 
dev->flags & IFF_NOARP    
skb->pkt_type == PACKET_OTHERHOST    
skb->pkt_type == PACKET_LOOPBACK    
arp->ar_pln != 4) 
goto out;


Linux內(nèi)核的ARP模塊拒絕所有OTHERHOST類型的分組。接著,ARP模塊將處理廣播、多投點(diǎn)和TO_US類型的分組。表1綜合了硬件過(guò)濾器和軟件過(guò)濾器對(duì)各種ARP分組的過(guò)濾處理,1說(shuō)明:hw(hardware)、sw(software)、res.(response)、gr(group)。


下面,后我們將對(duì)這六硬件地址的分組進(jìn)行詳細(xì)描述:

TO_US 
網(wǎng)卡在正常模式下,所有地址為TO_US的分組都能夠通過(guò)精簡(jiǎn)過(guò)濾器和軟件過(guò)濾器。因此,不管網(wǎng)卡是否處于混雜模式(promiscuous mode)下,ARP模塊都會(huì)對(duì)其進(jìn)行響應(yīng)。


OTHERHOST 
當(dāng)網(wǎng)卡處于正常模式下,會(huì)拒絕所有地址為OTHERHOST的分組。即使網(wǎng)卡處于混雜模式(promiscuous mode),這種分組也無(wú)法通過(guò)軟件過(guò)濾器,因此這種ARP請(qǐng)求不會(huì)收到響應(yīng)。


BROARDCAST 
在正常模式下,BROARDCAST分組能夠也能夠通過(guò)硬件和軟件過(guò)濾器,因此不能用于網(wǎng)絡(luò)節(jié)點(diǎn)混雜模式的檢測(cè)。


MULTICAST 
在正常模式下,如果分組的硬件地址沒有在多投點(diǎn)地址列表中注冊(cè),網(wǎng)卡將拒絕接收;但是,如果網(wǎng)卡處于混雜模式,這種分組將暢通無(wú)阻地穿過(guò)硬件過(guò)濾器和軟件過(guò)濾器。因此,可以使用這種類型的分組來(lái)檢測(cè)處于混雜模式的網(wǎng)絡(luò)節(jié)點(diǎn)。


group bit 
這種類型的分組既不屬于BRODCAST類型也不屬于MULTICAST類型,但是其硬件地址的組位(以太網(wǎng)地址的首字節(jié)低序第一位)置位即:01-00-00-00-00-00。在正常模式下,網(wǎng)卡會(huì)拒絕接收此類分組;但是在混雜模式下,這種類型的分組能夠通過(guò)硬件過(guò)濾器。而在Linux內(nèi)核中,這種類型的分組被歸類為多投點(diǎn)分組進(jìn)行處理,能夠穿過(guò)軟件過(guò)濾器。因此,這種類型的分組也能夠用于混雜模式檢測(cè)。


2).Micro$oft Windows 
Windows系統(tǒng)不是開放源碼系統(tǒng),因此不能從源代碼分析其軟件過(guò)濾行為。只好由實(shí)驗(yàn)來(lái)測(cè)試。在實(shí)驗(yàn)中,我們使用了以下的硬件地址:

FF-FF-FF-FF-FF-FF 廣播地址
所有的網(wǎng)絡(luò)節(jié)點(diǎn)都會(huì)接收這種分組。通常的ARP查詢包使用這個(gè)地址。


FF-FF-FF-FF-FF-FE 偽廣播地址
FF-FF-FF-FF-FF-FE是一種偽廣播地址,它的最后一位丟失。這個(gè)地址被用來(lái)檢查軟件過(guò)濾器是否檢查所有的地址位,是否應(yīng)答。


FF-FF-00-00-00-00-00 16位偽廣播地址 
FF-FF-00-00-00-00-00只有前16位和真正的廣播地址相同。如果過(guò)濾器函數(shù)只測(cè)試廣播地址的第一個(gè)字,這個(gè)地址就可以歸入廣播地址。


FF-00-00-00-00-00 8位偽廣播地址
這個(gè)地址只有前8位和廣播地址相同,如果過(guò)濾器函數(shù)只檢查廣播地址的首字節(jié),它也可以歸入廣播地址類。


01-00-00-00-00-00 多投點(diǎn)標(biāo)記置位地址 
這個(gè)地址只有多投點(diǎn)標(biāo)記位(以太網(wǎng)地址的首字節(jié)低序位)被置位,用來(lái)檢查過(guò)濾器函數(shù)是否也象Linux一樣把它作為多投點(diǎn)地址處理。


01-00-5E-00-00-00 多投點(diǎn)地址0 
多投點(diǎn)地址0并不常用,因此我們使用這個(gè)地址作為沒有在網(wǎng)卡多投點(diǎn)地址列表中注冊(cè)的多投點(diǎn)地址。正常情況下,硬件過(guò)濾器應(yīng)該拒絕接收這種分組。但是,如果軟件過(guò)濾器不能檢查所有的地址位,這類分組就可能被歸類到多投點(diǎn)地址。因此,如果網(wǎng)卡處于混雜模式(promiscuous mode),內(nèi)核就會(huì)進(jìn)行應(yīng)答。


01-00-5E-00-00-01 多投點(diǎn)地址1 
局域網(wǎng)上的所有網(wǎng)絡(luò)節(jié)點(diǎn)都應(yīng)該接收多投點(diǎn)地址1類型的分組。換句話說(shuō),默認(rèn)情況下硬件過(guò)濾器允許這類分組通過(guò)。但是可以由于網(wǎng)卡不支持多投點(diǎn)模式而不應(yīng)答。因此,這類分組可以用于檢查主機(jī)是否支持多投點(diǎn)地址。


即使結(jié)果:
對(duì)于這7種類型地址的測(cè)試結(jié)果如表2所示。測(cè)試是針對(duì)Windows85/98/ME/2000和Linux。不出所料,網(wǎng)卡處于正常模式下,內(nèi)核會(huì)對(duì)所有地址為廣播地址和多投點(diǎn)地址1的分組進(jìn)行回應(yīng)。
然而,當(dāng)網(wǎng)卡處于混雜模式下時(shí),每種操作系統(tǒng)的測(cè)試結(jié)果不盡相同。Windows95/98/ME會(huì)響應(yīng)31、16、8位偽廣播地址的分組。因此,我們可以認(rèn)為Window9x系列操作系統(tǒng)的軟件過(guò)濾器只通過(guò)檢測(cè)一位來(lái)判斷分組地址是否是廣播地址。
Windows2000對(duì)地址為31、16位偽廣播地址的分組進(jìn)行響應(yīng)。因此,我們可以認(rèn)為WindowsY2K檢查地址的8位來(lái)判斷分組地址是否為廣播地址。
Linux內(nèi)核對(duì)所有七種地址的分組都會(huì)進(jìn)行響應(yīng)。

7.混雜模式檢測(cè)

我們可以把這個(gè)測(cè)試結(jié)果用于局域網(wǎng)處于混雜模式節(jié)點(diǎn)的檢測(cè)。下面是具體檢測(cè)過(guò)程:
1).我們需要檢測(cè)IP地址A的主機(jī)是否處于混雜模式。我們首先需要構(gòu)造如下格式的ARP分組和以太網(wǎng)幀:

ARP分組:
目的以太網(wǎng)地址 00 00 00 00 00 00(說(shuō)明1) 
發(fā)送方以太網(wǎng)地址 00 11 22 33 44 55(說(shuō)明2) 
高層協(xié)議類型 08 00(IP) 
硬件類型 00 01(以太網(wǎng)) 
硬件地址長(zhǎng)度 06(以太網(wǎng)地址長(zhǎng)度) 
IP地址長(zhǎng)度 04 
發(fā)送方的IP地址 本機(jī)IP地址 
目標(biāo)的IP地址 被檢測(cè)主機(jī)的IP地址 
ARP操作碼 00 01(ARP請(qǐng)求01、ARP應(yīng)答02)

以太網(wǎng)幀: 
協(xié)議類型 08 06(ARP) 
發(fā)送方的硬件地址 本機(jī)以太網(wǎng)卡地址 
目標(biāo)硬件地址 FF FF FF FF FF FE

說(shuō)明1:這時(shí)ARP要查詢的以太網(wǎng)地址,全部填0或者1都可以。
說(shuō)明2:用自己的以太網(wǎng)地址代替。

2).分組構(gòu)造完成后,我們可以把它發(fā)送到網(wǎng)絡(luò)上。

3).現(xiàn)在我們需要等待目標(biāo)主機(jī)的反應(yīng)。如果目標(biāo)主機(jī)處于正常狀態(tài),這個(gè)分組就會(huì)被阻塞;但是如果處于混雜模式(promiscuous mode)下,我們就會(huì)收到應(yīng)答。

8.檢查所有網(wǎng)絡(luò)節(jié)點(diǎn)

只要順序使用第七節(jié)敘述的檢測(cè)方法,我們就可能檢測(cè)出所有處于混雜模式下的網(wǎng)絡(luò)節(jié)點(diǎn)。但是,某些情況下,會(huì)使這種檢測(cè)方法失效。

9.異常情況

上面講到有一些情況不能使用這種方式進(jìn)行混雜模式檢測(cè)。這些異常情況包括:

1).舊網(wǎng)卡
有些舊網(wǎng)卡不支持多投點(diǎn)列表,例如:3COM EtherlinkIII。分組不經(jīng)過(guò)硬件過(guò)濾器的檢查就進(jìn)入軟件過(guò)濾器,

2).3COM網(wǎng)卡
安裝在LInux主機(jī)的3COM 3c905網(wǎng)卡,默認(rèn)情況下被設(shè)置為接收所有的多投點(diǎn)分組。因此,我們無(wú)法區(qū)別混雜模式和多投點(diǎn)模式。造成這種異常的原因是這種網(wǎng)卡的Linux驅(qū)動(dòng)模塊不支持多投點(diǎn)列表,網(wǎng)卡就會(huì)接收所有多投點(diǎn)分組。注意:Linux安裝程序使用3c59x.o作為這種網(wǎng)卡的驅(qū)動(dòng)模塊。如果把驅(qū)動(dòng)模塊改為3c905x.o可以解決這個(gè)問題。

3).Windows Y2K分組捕獲驅(qū)動(dòng)模塊
當(dāng)WindowsY2K分組捕獲驅(qū)動(dòng)模塊是動(dòng)態(tài)加載的,也會(huì)產(chǎn)生異常情況。WinPcap2.1(2.01不同)和SMS是用于WindowsY2K的兩種動(dòng)態(tài)加載分組捕獲驅(qū)動(dòng)模塊。當(dāng)它們安裝到WindowsY2K系統(tǒng)中,會(huì)有一些特別的反應(yīng)。即使網(wǎng)卡不處于混雜模式下,也會(huì)對(duì)地址為16為偽廣播地址的分組進(jìn)行響應(yīng)(使用這兩種驅(qū)動(dòng)模塊的嗅探器也將無(wú)法準(zhǔn)確操作)。也就是說(shuō),即使嗅探器沒有運(yùn)行也照樣可以檢測(cè)到?赡苁荕icro$oft為了方便混雜模式的檢測(cè)有意為之。

軟件標(biāo)簽: 網(wǎng)卡

其他版本下載

發(fā)表評(píng)論

昵稱:
表情: 高興 可 汗 我不要 害羞 好 下下下 送花 屎 親親
查看所有(0)條評(píng)論 > 字?jǐn)?shù): 0/500

TOP
軟件下載