Linux下如何使用Arp-Scan在局域网中精准识别处于监听状态的嗅探设备?
- 内容介绍
- 文章标签
- 相关推荐
本文共计958个文字,预计阅读时间需要4分钟。
arp-scan自身无法直接识别。在监听模式下的探测节点仅捕获不发包的被动探测器。由于这类设备在数据链路层通常不响应ARP请求——它不参与ARP交互,也不会向arp-scan的广播请求回复MAC地址。因此,被动探测器对arp-scan是不可见的。
为什么 arp-scan 扫不到纯监听型嗅探节点
arp-scan 的原理是主动发送 ARP 请求帧(Ethernet type 0x0806),并等待目标返回 ARP 应答。而真正的监听模式(promiscuous mode)设备:
- 不修改自身网络栈行为,不拦截或响应非发给自己的 ARP 包;
- 不主动发送任何数据帧(包括 ARP Reply);
- 即使网卡设为混杂模式,也不会改变其 MAC 层的“静默”状态。
所以,arp-scan 只能发现已上线、已配置 IP、且正常参与二层通信的设备——哪怕它同时也在嗅探,只要它响应了 ARP,就只是“普通在线主机”,无法标记其是否开启混杂模式。
本文共计958个文字,预计阅读时间需要4分钟。
arp-scan自身无法直接识别。在监听模式下的探测节点仅捕获不发包的被动探测器。由于这类设备在数据链路层通常不响应ARP请求——它不参与ARP交互,也不会向arp-scan的广播请求回复MAC地址。因此,被动探测器对arp-scan是不可见的。
为什么 arp-scan 扫不到纯监听型嗅探节点
arp-scan 的原理是主动发送 ARP 请求帧(Ethernet type 0x0806),并等待目标返回 ARP 应答。而真正的监听模式(promiscuous mode)设备:
- 不修改自身网络栈行为,不拦截或响应非发给自己的 ARP 包;
- 不主动发送任何数据帧(包括 ARP Reply);
- 即使网卡设为混杂模式,也不会改变其 MAC 层的“静默”状态。
所以,arp-scan 只能发现已上线、已配置 IP、且正常参与二层通信的设备——哪怕它同时也在嗅探,只要它响应了 ARP,就只是“普通在线主机”,无法标记其是否开启混杂模式。