假设恶意主机连接到网络。它不希望向网络上的其他设备表明自己的身份,除非它愿意(例如:进行所需的对话)。据我了解,扫描网络上所有设备的标准方法是通过诸如 WNetWatcher 之类的程序,该程序将向网络子网上的每个 IP 地址发出 ARP 请求,并接收每个设备的 ARP 响应。
恶意主机会不会根本不响应 ARP 请求,从而保持隐藏状态?
主机可以不发送对 ARP 请求的响应以保持隐藏状态吗?
网络工程
ARP
2022-02-21 10:34:16
1个回答
是的当然。潜伏的入侵者可以简单地监听“经过”的流量。它是完全停用其 IP 堆栈还是仅停用 ARP 响应器并不重要。
然而,被动扫描 - 不产生任何流量 - 仅适用于总线类型的网络,最突出的是 Wi-Fi。
有线、交换网络(如以太网)仅根据需要转发帧,因此被动侦听器仅接收广播流量 - 这也会显示广播域内活动主机的 IP 和 MAC 地址,但几乎没有关于服务(和潜在漏洞)的信息。当然,它会通过在没有与端口关联的 MAC 地址的情况下创建“上行”链路来在托管交换机上显示自己。