[HACK] sniffing sobre intranet

[Jordi Murgo]

> supongo que hay alguien ejecutando algun sniffer dentro de la red de trabajo, mi pregunta es.. hay
> alguna forma de determinar si es cierto que hay alguien ejecutando ese sniffer y quien?

No con absoluta certeza.

> es software o una tarjeta de red en modo promiscuo?

Las tarjetas no suelen ponerse en modo promiscuo por si solas :)

> cuando ejecuto netstat en windows no logro ver nada diferente.. y en
> http://www.l0pht.com/antisniff/ existe un programa para verificar si el ordenador esta en modo
> promiscuo, lo ejecute y nada..

> esto quiere decir que solo busca tarjetas de red en modo promiscuo y no software sniffer
> ejecutandose???

Exactamente lo que busca son indicios, en tu segmento de red,  de que haya alguna maquina con su
interface de red en modo promiscuo. Pero como te he dicho antes, no puedes estar seguro al 100%, dado
que utilizamos metodos (abuso de promiscuidad), cuyo resultado depende completamente de la version de
stack TCP/IP de la maquina sniffer.

En las páginas que acompañan a antisniff tienes toda la explicación técnica de cómo puede detectarse
una sniffer por abuso de promiscuidad,  por retardo en proceso de paketes  o por culpa de sus
peticiones DNS ...

Salut,        savage at apostols.org