[原创PeterHu318] 测试远程主机是否处于混杂模式的程序 -- 人气太差，撤了

peterhu318 · 发表于 2006-7-27 17:03:36

[开发目的]　测试局域网内任意一台机器的网台是否处于混杂模式
[开发环境]　Windows XP + WinPcap 3.1 + VC++ 6.0+ MinGW_GCC
[运行环境]　Windows + WinPcap 3.1
[作　　者]　peterhu318 江湖刀客

[简　　介]　
　　为了检测是否有人在局域网内偷偷的在使用sniffer工具，通常可以向那台机器发一个目的MAC是ff:ff:ff:ff:ff:fe的ARP请求包，如果对方响应了，说明那台机器的网卡处于混杂模式，那它安装sniffer的可能性就很大。
　　该软件的工作原理就如上所述。当然，用户也可以将目的MAC改成广播形式，那就变成一个通过ARP测试主机是否存在的程序了。

具体原理见　本坛　中菜鸟人飞发的一篇关于检测混杂模式的文章，非常经典！！

[使用方法]
　　1) netman -D 显示所有可见的网卡
　　2) netman -? 打印帮助
3) netman -i 3 192.168.1.1 其中：3是通过-D参数看到的要发送接收ARP包的网卡编号,必须和i之间留一个空格隔开　192.168.1.1是要检测的局域网内的设备

强调：１）不能用这个软件测本机，因为网卡是不接收从本网卡发出的包的
　　　２）被测主机必须和运行本软件的机器在一个局域网内，因为他是靠ARP工作的。

　欢　迎　大　家　测　试，　有问题在发贴子，我再改！

改动：修改了帮助和实际参数的不一致，重新做了上传　　　

[ 本帖最后由 peterhu318 于 2006-8-16 20:54 编辑 ]

菜鸟人飞 · 发表于 2006-7-27 17:23:44

有点疑问：
1) netman -D 显示所有可见的网卡
是只能显示本机的网卡吗，要想显示局域网内的网卡怎么办？
我使用netman_.exe -d，netman_ -d 任意ip，但结果都是一样的，不解？

3) netman -i 3 192.168.1.1 其中：3是通过-D参数看到的要发送接收ARP包的网卡编号　192.168.1.1是要检测的局域网内的设备
结果应该怎样显示呢？
我的结果如下
C:\netman>netman_.exe -i 1 192.168.0.90

Error sending the packet:

还望解释下，没有彻底弄懂！

peterhu318 · 发表于 2006-7-27 17:28:28

使用实例：
　　
我的机器有４块网卡:
C:\c\netman\Debug>netman -D
1. \Device\NPF_GenericDialupAdapter (Generic dialup adapter)
2. \Device\NPF_{BC664C61-1581-4E2A-97B3-4C1ADEF0EFBD} (Intel(R) PRO/1000 MT Mobi
le Connection)
3. \Device\NPF_{98407F41-D87F-4989-804A-BA99BFA7EDA4} (VCD VNC Adapter (Microsof
t's Packet Scheduler) )

现在我是通过INTEL的那块网卡联网工作的，它的IP是192.168.1.8 现在我要测试局域网里的192.168.1.1的网卡是否处于混杂模式（处于混杂模式可能是机器正在运行SNIFFER)，于是通过netman -D得到我的网卡的编号是2, 于是通过下列指令进行测试：

  netman -i 2 192.168.1.1

-i 指明这是一个接口指定项，后面要跟接口编号，注意-i是连着的，但2前面必须要有至少一个空格。

192.168.1.1　是指要测试的主机
采用普通版本:
C:\c\netman\Debug>netman -i 2 192.168.1.1
192.168.1.1    promisc

C:\c\netman\Debug>netman -i 2 192.168.1.2
192.168.1.2    Non-promisc

采用开启了DEBUG模式的版本：
C:\c\netman\Debug>netman_dbg -i 2 192.168.1.1
=========================================
NIC name:\Device\NPF_{BC664C61-1581-4E2A-97B3-4C1ADEF0EFBD}

[IP ADDRESS]    192  168  1  8
[MAC    ] 00 0d 60 79 39 bc
[TARGET IP ]    192  168  1  1

ooo1154009308:775108 (60)
00 0d 60 79 39 bc 00 08 5c 03 ca 1e 08 06 00 01
08 00 06 04 00 02 00 08 5c 03 ca 1e c0 a8 01 01
00 0d 60 79 39 bc c0 a8 01 08 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00

192.168.1.1    promisc

再测　１９２．１６８．１．２
C:\c\netman\Debug>netman_dbg -i 2 192.168.1.2
=========================================
NIC name:\Device\NPF_{BC664C61-1581-4E2A-97B3-4C1ADEF0EFBD}

[IP ADDRESS]    192  168  1  8
[MAC    ] 00 0d 60 79 39 bc
[TARGET IP ]    192  168  1  2

ooooo192.168.1.2       Non-promisc

[ 本帖最后由 peterhu318 于 2006-7-27 22:25 编辑 ]

菜鸟人飞 · 发表于 2006-7-27 17:33:35

C:\netman>netman_ -i 4 192.168.0.92
192.168.0.92 Non-promisc
C:\netman>netman_ -i 4 192.168.0.90
192.168.0.90 Non-promisc

这两台机器都在运行科来网络分析系统，应该工作在混杂模式的啊。

ValorZ · 发表于 2006-7-27 17:34:15

有source code吗？

peterhu318 · 发表于 2006-7-27 17:40:48

1.源代码写的有点不太好，等改好了再发给大家吧。毕竟十年了没写程序了。

2.如果对程序的功能存在问题：可以这样做：

在目标机器上，用我提供的一个程序，在目标机器上执行一下，看其网卡是否真的处于混杂模式，

然后，再从另一台机，运行netman进检测。

千万注意：　该程序不能检测当前机器，即：你不能在A 机（网卡处于混杂模式）上运行netman来检测A机是否处于混杂模式，这是做不到的。

peterhu318 · 发表于 2006-7-27 17:44:26

C:\c\netman\Debug>netman -i 2 192.168.1.1
192.168.1.1    promisc
C:\c\netman\Debug>netman -i 2 192.168.1.2
192.168.1.2    Non-promisc
C:\c\netman\Debug>netman -i 2 192.168.1.3
192.168.1.3    Non-promisc
C:\c\netman\Debug>netman -i 2 192.168.1.4
192.168.1.4    Non-promisc

ValorZ · 发表于 2006-7-27 17:44:37

提供一下源代码吧，交流交流,HEHE

789stiff · 发表于 2006-8-9 13:53:19

学习一下,看看,最好提供源码

逍遥一指令 · 发表于 2006-9-14 22:17:52

我怎么没看到有下载啊

阿多 · 发表于 2006-11-20 11:40:32

附件: promiscdetect.rar (2006-7-27 17:40, 12.17 K)

这个不是 netman吧？？
请提供下载。谢谢。

wastebaby · 发表于 2006-12-7 22:48:31

晕，死，下不到了，撤了

天蓝 · 发表于 2006-12-8 00:03:29

还没有看到呢，大家交流哈三

[原创PeterHu318] 测试远程主机是否处于混杂模式的程序 -- 人气太差，撤了

本帖子中包含更多资源

评分

本帖子中包含更多资源

自己的测试结果

浏览过的版块