Hasta donde yo sé un sniffer se queda escuchando en modo pasivo por un interface y yo creo que no se puede detectar. Pero si además de quedarse escuchando captura y contesta todas las peticiones ARP (haciendo una especie de proxy ARP) y hace que todo el tráfico vaya hacia él, entonces el método que comenta el compañero es válido.
hay un tool de los amigos de l0pth, llamando antisniff que permite detectar este tipo de actividades en nuestra red. [1] ahora dependiendo del esquema de tu red, puede ser mas o menos vulnerable a un sniffing por ejm. si usas switch tienes mas dificil el trabajo de los sniffers ya que la forma de trabajar de estos es algo mas "confiable" que si usaramos un hub, el cual hace broadcast de la informacion recibida a todas los puertos que tiene, ademas de que los primeros tienen opciones de configuracion para ayudar a contrarrestar este tipo de actividades. saludos 1- http://www.securiteam.com/tools/AntiSniff_-_find_sniffers_on_your_local_network.html -- ______________________________________________ http://www.linuxmail.org/ Now with POP3/IMAP access for only US$19.95/yr Powered by Outblaze
