ARP detect(網卡混雜模式檢測工具) 免費版

ARP detect是一款幫助用戶進行網卡檢測的工具，主要用來檢測網絡混戰模式，所以我們可以稱它做網卡混雜模式檢測工具。ARP detect專門檢查哪些電腦裝了包嗅探軟件，用來檢測網絡嗅探行為，保護你的隱私文檔不被他人窺視，歡迎下載使用！

【ARP detect相關說明】：

1.簡介
通過網絡嗅探，一些惡意用戶能夠很容易地竊取到絕密的文檔和任何人的隱私。要實現上述目的非常容易，惡意用戶隻要從網絡上下載嗅探器並安全到自己的計算機就可以了。然而，卻沒有一個很好的方法來檢測網絡上的嗅探器程序。本文將討論使用地址解析協議(Address Resolution Protocol)報文來有效地檢測辦公網絡和校園網上的嗅探器程序。
2.網絡嗅探的原理
局域網通常使用以太網進行連接。在以太網線纜上使用IP(IPV4)協議傳輸的傳遞的信息是明文傳輸的，除非使用了加密程序進行了加密。當一個人把信息發送到網絡上，他會希望隻有特定的用戶才能收到這些信息。但是，非常不幸，以太網的工作機製為非驗證用戶提供了竊取這些數據的機會。以太網在進行信息傳輸時，會把分組送到各個網絡節點，目的地址匹配的節點會接收這些分組，其它的網絡節點隻做簡單的丟棄操作。而接收還是丟棄這些分組由以太網卡控製。在接收分組時，網卡會過濾出目的地址是自己的分組接收，而不是照單全收。在本文以後的部分我們將把網卡的這種過濾稱為硬件過濾(Hardware Filter)。但是這隻是在正常情況下，嗅探器使用另一種工作方式，它把自己的網卡設置為接收所有的網絡分組，而不管分組的目的地址是否是自己。這種網卡模式叫作混雜模式(Promiscuous Mode)。
3.檢測混雜模式的基本概念
在網絡中，嗅探器接收所有的分組，而不發送任何非法分組。它不會妨礙網絡數據的流動，因此很難對其進行檢測。不過，處於混雜模式(promiscuous mode)網卡的狀態很顯然和處於普通模式下不同。在混雜模式下，應該被硬件過濾掉的分組文會進入到係統的內核。是否回應這種分組完全依賴與內核。
4.基礎
1).硬件過濾器
首先，我們從處於混雜模式(promiscuous mode)下和普通模式下有何不同開始。以太網的地址是6個字節，製造商為每塊網卡分配的地址在全世界是唯一的，因此理論上沒有相同地址的網卡。在以太網上的所有通訊都是基於這種硬件地址。不過，網卡可以被設置為不同的過濾模式以接收不同種類的分組。下麵就是以太網卡的過濾模式：
unicast
網卡接收所有目的地址是自己的分組
broadcast
接收所有廣播分組，以太網廣播分組的目的地址是FFFFFFFFFFFF。這種廣播分組能夠到達網絡上的所有節點。
multicast
接收目的地址為指定多投點遞交(multicast)組地址的分組。網卡隻接收其地址已經預先在多投點列表中注冊的分組。
all multicast
接收所有多投點遞交廣播分組。
promiscuous
根本不檢查目的地址，接收網絡上所有的分組。
5.檢測處於混雜模式的節點
上麵講到，報文的過濾狀態是處於混雜模式狀態和正常的網絡節點的區別。當網卡被設置為混雜模式，本該被過濾掉的報文就會進入係統的內核。通過這種機製，我們可以檢測到網絡上處於混雜模式的節點：我們構造一個ARP查詢包，其目的地址不是廣播地址，然後向網絡上的各個節點發送這個ARP查詢包，最後通過各個節點的回應來判斷是否處於混雜模式。
6.軟件過濾器
軟件過濾器依賴於操作係統的內核，因此有必要理解係統內核軟件過濾器是如何工作的。Linux是開放源瑪係統，因此我們能夠獲得其軟件過濾機製。