Те сниферы, которые ТОЛЬКО слушают для локалки, построенной на свитчах не пойдют: без arp-спуфинга ну никак.

Любой снифер для прослушивания трафика не только который предназначен твоему компу, но и пакетов, изначально предназначавшиеся другим, должен перевести карточку в режим promiscous.
Поэтому суждение о невозможности обнаружить, не верно, т.к. режим promiscous вполне обнаруживаемый

А локалка падала из-за того, что весь трафик 300-400 компов шёл через тебя, создавая очень неслабую нагрузку на канал.
Чтоб этого не было - просто не прослушивай всё и вся: не стоит сразу хватать огромный кусок пирога.

Безопасно для себя, чтоб никто не заметил, перехватывать пакеты пакеты можно только обчным снифером, то есть без arp-спуфинга. Правдо перехватывать ты сможешь только свои пакеты,  так как на хабах щас мало кто сидит. Короче правильно тебе сказали не надо перехватывать пакеты сразу со всех копмьютеров, в програме icqsnif насколько я помню есть такая возможность, перехватывать пакеты только с избраных хостов.

я слышал что есть специальный софт, который ищет сниферы в сети. так же при использовании снифера пинг на определенном участке сети повышается т.е.  впринципе вычислить на какой машине сниферят можно, или я не прав?

Покрайней мере админ на работе меня вычислить несмог, Outpost атаку фиксировал, но показывал какие то левые ip и mac адреса. Узнал о том что именно я снифингом занимаюсь, только тогда когда я сам пришол и ему сказал что это я.

Ну почему же. Можно настроить mirrow порт на коммутаторе, на который будет идти весь трафик. или там к SPAN порту подключиться. Никакой спуфинг для этого не требуется.

Т.е. ломать и перенастраивать коммутатор - я правильно понял? А если там свитч не управляемый?

Сетевуха такой машинки, на которой снифер запущен, для приёма пакетов, которые ей не предназначены, должна перевестись в режим promiscous. Этот режим легко вычислить - достаточно послать на этот комп пакет с левым MAC, но настоящим IP того компа, на котором функционирует снифер. Если комп ответит - значит, он принял пакет (а не отфильтровал, как должен был) и его карточка действительно в режиме promiscous. Если комп с карточкой с таким режимом не является каким-нибудь маршрутизатором,можно выдвигать серьёзные подозрения о снифере.
Конечно, можно запретить компьютеру-сниферу отвечать на пакеты. Тогда мы не сможем определить снифер посылая кривые пакеты. Но это не единственный способ обнаружения.

Схема та же. Просто добавится ещё периодический arp-спуфинг.

Возможно, такая ситуация была из-за того, что в пакете от снифера поля "источник" и "получатель" отличались в заголовках ethernet и в заголовках самого IP-пакета. Outpost "ведётся" на такие штучки.

Если у админа есть соответствия реальных MAC/IP то вычислить просто, увидев arp-запросы/ответы, которые не отвечают таблице соответствий.

грамотный админ поставит управляемый свитч с port-security. Тогда злоумышленник не сможет работать, если подменит MAC/IP.

А так... Тогда определяется сегмент нарушителя и потом уже вычисляется сам компьютер. Особенно если у админа есть список компов с их IP/MAC для разных сегментов (т.е. "карта" с расположением компьютеров и их настройками) - тогда это вообще не проблема

Матвей Егорович,
смотри тут: http://www.securitylab.ru/software/1239/