科来是否能分析：局域网内别人也在使用软件监控我？

leesawin

比如别人也使用监控软件来达到监控自己的目的，而我是否能了解到别人正在这么做呢？

oldjiang

你可以查看交换机端口流量

icexplorer

这个嘛能是能，但是根据对方的水平查出的难度不小，


   最简单的就是如果他一直在监视你的操作，你可以在科来里的矩阵中明显的看出，（他一直和你有通讯）
  如果不是的话，这个……情况太多了用网络分析就麻烦了，不过你用防火墙可以很明显的看出来。

abitggmm

又学一招,但如何防止网内其他人也用这样的方法来监控呢

oldjiang

如果他用科来、sniffer，你就看不出来
不过网卡处于混杂模式，有办法找出来，在论坛搜索看看吧

snowhite

你指的监控是协议分析软件还是单独的网络管理监控软件。别人用协议分析软件的话，应该发现不了，主动发送数据的时候很少，主要是被动接收数据。如果是专门的管理软件的话，那是肯定会发现的，因为你与他的机器存在大量的会话。

leesawin

原帖由 oldjiang 于 2008-12-23 16:42 发表
你可以查看交换机端口流量

谢谢版主及楼上的朋友们回答，我也是想通过矩阵看链接会话情况，但不怎么明晰。至于说查看交换机端口流量，我不懂怎么看，请版主指点一下

bingxuelin

有点疑问:
1.如果是相互监控,要么用ARP机制进行欺骗,截取数据包来达到监控目的,我想如果是用这个方法的话会很容易察觉的,简单的arp -a就可以看出来
2.如果不是用ARP机制,而是采用数据监听,然而如果在交换机上不做端口镜象,仅启用混杂模式,根据交换机的工作原理,他所处的端口是不会接收到你电脑所处的端口的数据包的.除非你们两个处于同一端口,(当然你想抓网内数据包定当会给你所在的交换机端口做镜象),而且你们两个电脑连接采用共享模式的HUB,他才可以监听到你的数据包.另外还一种情况就是他和你同样管理这些网络设备,在交换机上为他所在的端口做你的端口镜象来监听,这种情况你可以查看下镜象情况就能知道.

不知道我猜想的对不对,希望高手帮忙指点下,因为混杂模式我了解不是很多,在我现在认为,即使起用混杂模式,也只能收到些广播\组播及自己的数据包,应该不能跨交换机端口监听吧?

[ 本帖最后由 bingxuelin 于 2008-12-24 17:24 编辑 ]

oldjiang

我觉得科来等嗅探软件是“监而不控”

leesawin

原帖由 bingxuelin 于 2008-12-24 17:22 发表
有点疑问:
1.如果是相互监控,要么用ARP机制进行欺骗,截取数据包来达到监控目的,我想如果是用这个方法的话会很容易察觉的,简单的arp -a就可以看出来
2.如果不是用ARP机制,而是采用数据监听,然而如果在交换机上不做端 ...

不知道监听网内的数据包，交换机做端口镜像能同时开启两个端口不？

oldjiang

思科2960系列支持（好象是）两个monitor session
一个session支持多个源端口、多个目标端口
You can use the monitor session session_number source
command multiple times to configure multiple source ports.

You can use monitor session session_number destination
command multiple times to configure multiple destination
ports.

You cannot have two SPAN sessions using the same destination port.

流水潺潺

科来又不时监控软件，可以根据协议看你在做什么，例如可以知道你是否使用QQ，至于聊得什么就不知道了。