Коммутаторы
Коммутатор может переслать трафик на оба порта, непредсказуемо распределить трафик между ними, вообще прекратить передачу трафика или сгенерировать ошибку. Все эти методы обнаруживаются и блокируются коммутаторами с более развитой системой управления, которые позволяют указать, какие МАС-адреса допустимы для каждого отдельного порта. Эта функция иногда называется защитой порта (port security). Однако даже если взломщик не станет прибегать к этим методам, он по-прежнему может собирать крупицы сведений, просто переключив сетевой адаптер в «беспорядочный режим». Например, широковещательный трафик DHCP- и ARP-за-просов все так же будет посылаться на все порты коммутатора. Этот трафик не очень легко обнаружить, если только вы не знакомы с инфраструктурой. Одним из средств, помогающих обнаружить сетевые адаптеры, работающие в «беспорядочном режиме» как в коммутируемых, так и в некоммутируемьгх сетях, является sniffdet (http://sniffdet.sourceforge.net). Для средства, которое служит только одной цели, sniffdet является многосторонним, так как может обнаруживать «шпионов» различными способами. Основное отличие sniffdet от средств типа Arpwatch заключается в том, что sniffdet ищет «разведчиков» активно, то есть если предполагается, что на машине запущен анализатор, то можно запустить sniffdet и задать проверку режима адаптера именно на этой машине. Для компоновки и установки sniffdet необходимо иметь библиотеку инжекции пакетов libnet (http://www.packetfactory.net/projects/libnet/). Обязательно загрузите последнюю версию 1.0.x, поскольку libnet версии 1.1 несовместима с программами, написанными для версий 1.0х
Для компиляции libnet распакуйте исходный код и перейдите в каталог, созданный при распаковке. После этого запустите команду $ ./configure && make
После завершения компиляции получите root-полномочия и введите make install. Компоновка sniffdet также обычна. Как и при установке libnet, необходимо распаковать исходный дистрибутив и перейти в созданный каталог, после этого скомпоновать и установить его.