El monitord

• Com és possible fer aquests inventaris?

  • Inventari de serveis
    • Capturarem les trames amb paquets IP que duguin un segment TCP amb els flags SYN i ACK activats.
    • Això és part del three-way handshake i normalment només ho transmet un servidor quan accepta una connexió.
    • D'una trama així podem extreure:
      • Adreça MAC d'origen, de la capçalera de la trama Ethernet.
      • Adreça IP d'origen, de la capçalera del paquet IP.
      • Protocol, de la capçalera del paquet IP (sempre serà 6, TCP).
      • Port TCP d'origen, de la capçalera del segment TCP.
    • Problema: van dins trames dirigides, no de broadcast. Aquí si que és imprescindible el mode promiscu si volem capturar-ne algun que no estigui relacionat amb la màquina des d'on estam fent la captura.