Сниффер в локалке (Реально ли засечь?)

[boombick]

Реально ли засечь работу сниффера в локальной сети?

[Warderer]

Пассивного? Нет.

[Shura]

Засечь сам факт можно, но кто сделал - нет

[hudbrog]

Реально ли засечь работу сниффера в локальной сети?

когда-то давно заморачивался на эту тему слегка...
в целом, есть два метода, ни один из готорых не дает нормального результата:
а) можно попробовать сгенерировать _очень_ большой объем траффика. такой, чтобы под максимум сеть забить. причем траффик должен быть пустой, не направленный ни на одну из существующих машин. либо на кого-то заранее неподозреваемого. а потом начать всех пинговать по-очереди. вот по идее, если машина не снифит, то ей на этот трафик пофигу, и на пинг ответит быстро. а та, которая пытается через себя этот траффик прогнать, загнеца, и будет отвечать медленно. сомнительный результат, но хоть что-то.
б) есть более интересный вариант, который я так и не проверил на практике, ибо лень было софт писать. Формируешь пакетик у которого source mac/ip - твои, destination ip - проверяемой машины, а destination mac - левый. вот если интерфейс в промискус моде, то он несмотря на mac примет пакет(в отличии обычного интерфейса), а дальше пакет попадет в ядро, а ядро на него ответит. Честно говоря, сильно зависит от ОС, которая стоит...
в) ну, еще такой кривоватый метод. некоторые сниферы пытаются reverse resolve делать на все ip пакетов, которые словят. типа, чтобы какиру было приятнее логи читать ) Вот генеришь левые пакетики, у которых легко-заметный ip (55.55.55.55 например), а потом снифаешь сам на тему запросов к днс'у с такими вот тупыми вопросами %)

но ни один метод не дает стопроцентной уверености или гарантированого результата