在 LAN 上查找嗅探器

*nix 和 Windows 可以使用哪些工具或技術來幫助查找 LAN 上的其他人是否正在使用嗅探器？

話雖如此，並強烈考慮到有工具可以發現這種“現象”，不被嗅探的解決方法是什麼？

檢測嗅探器非常困難，因為它們是被動工作的。一些嗅探器確實會產生少量流量，因此有一些技術可以檢測它們。

• 機器記憶體 ARP（地址解析協議）。發送非廣播 ARP，處於混雜模式的機器（使網卡通過所有流量的網卡）將記憶體您的 ARP 地址。然後，使用我們的 IP 發送廣播 ping 數據包，但 MAC 地址不同。只有從嗅探的 ARP 幀中具有我們正確 MAC 地址的機器才能響應我們的廣播 ping 請求。所以，如果機器有響應，它一定是在嗅探。
• 大多數嗅探器都會進行一些解析。在數據氾濫之前和期間發送大量數據並 ping 可疑機器。如果可疑機器的網卡處於混雜模式，它會解析數據並增加其負載。這樣，響應 ping 需要一些額外的時間。這個小小的延遲可以用作機器是否在嗅探的指標。如果由於高流量而在網路上出現一些“正常”延遲，它可能會引發一些誤報。
• 以下方法已經過時且不再可靠：使用可疑機器的 IP 地址而不是其 MAC 地址發送 ping 請求。理想情況下，沒有人會看到這個數據包，因為每個網卡都會拒絕 ping，因為它與其 MAC 地址不匹配。如果可疑機器正在嗅探，它將響應，因為它不會拒絕拒絕具有不同目標 MAC 地址的數據包。

有一些工具可以實現這些技術，例如開源工具，如Neped和ARP Watch或用於 Windows 的AntiSniff，這是一種商業工具。

如果您想防止嗅探，最好的方法是對任何網路活動（SSH、https 等）使用加密。通過這種方式，嗅探器可以讀取流量，但數據對他們來說毫無意義。

引用自：https://serverfault.com/questions/8090