围堵局域网中“耳朵”:网络嗅探与监听

修改自己的网卡驱动设置页，改Network Address为“00000e40b4a2”，即去掉分隔符的MAC地址最末位加1

再次ping 192.168.1.4，正常的话应该不会看到任何回应，因为局域网中不会存在任何与“00-00-0e-40-b4-a2”相符的MAC地址。

如果看到返回，则说明192.168.1.4很可能装有嗅探器。

另一种比较“恶毒”的方法是对被怀疑安装了嗅探器的计算机发送大量不存在的MAC地址的数据报，由于监听程序在进行分析和处理大量的数据包需要占用很多的CPU资源，这将导致对方计算机性能下降，这样我们只要比较发送报文前后该机器性能就能加以判断，但是如果对方机器配置比较高，这个方法就不太有效了。

除了主动嗅探的行为，还有一些机器是被入侵者恶意种植了带有嗅探功能的后门程序，那么我们就必须使用本机测试法了，其原理是建立一个原始连接(Raw Socket)打开自己机器的随机端口，然后再建立一个UDP连接到自己机器的任意端口并随意发送一条数据，正常情况下，这个方法建立的原始连接是不可能成功接收数据的，如果原始连接能接收这个数据，则说明机器网卡正处于“混杂”模式——嗅探器经常这么干，接下来的事情就不用我说了吧?

但是基本上没找到现成的工具可以使用，也可能是我的查找能力问题，但是其实这个问题很好解决:因为安装了嗅探器的机器是能接收到任何数据的，那么只要在这个机器上再次安装一个嗅探软件(不是ARP欺骗类型!)就能“共享”捕获的数据，正常情况下我们是只能看到属于自己IP的网络数据的，如果不巧发现嗅探器把其它计算机的数据也顺手牵羊了，并且由于ARP欺骗的存在，我们还可能嗅探到自己的计算机会定期发送一条ARP应答包出去……既然都做得那么明显了，那就不要客气把它灭了……