Ada cara sederhana untuk mendeteksi sebagian besar penghirup. Letakkan dua kotak di jaringan yang tidak ada dalam DNS dan tidak digunakan untuk hal lain. Mintalah mereka secara berkala melakukan ping atau berkomunikasi satu sama lain.
Sekarang, monitor jaringan Anda untuk mencari DNS dan / atau permintaan ARP untuk IP mereka. Banyak sniffer secara default akan mencari alamat yang mereka temukan, dan karenanya pencarian pada perangkat ini akan menjadi peringatan yang kuat.
Seorang peretas yang pintar bisa mematikan pencarian ini, tetapi banyak yang tidak berpikir, dan itu pasti akan memperlambatnya.
Sekarang, jika dia cukup pintar untuk tidak mengaktifkan pencarian DNS, dan mencegah ARP untuk perangkat ini, tugas Anda jauh lebih sulit. Pada titik ini, Anda harus bekerja di bawah filosofi bahwa jaringan selalu terendus, dan memberlakukan prosedur proaktif untuk mencegah kerentanan apa pun yang akan timbul berdasarkan asumsi ini. Beberapa di antaranya:
- Gunakan jaringan yang sepenuhnya beralih
- Bind beralih port ke alamat MAC
- Larang mode promiscuous yang diaktifkan pada NIC (jika mungkin di lingkungan Anda)
- Gunakan protokol aman