quote:

    首先要說明 用網絡特工之類的軟件網卡一定會開啟混雜模式 但是網卡處在混雜模式不一定是在用網絡特工 不過 處在混雜模式的網卡一定沒干好事

    好了廢話不說了

    方法很簡單

    首先確定你沒有跟你網段內的電腦有通信

    然后 打開cmd

    先 arp -d 刪除掉你的arp列表

    然后 ping 你的網管 或者 ping 你自己

    再 arp -a 顯示 你的arp表

    這時 你的arp表 就會顯示 你ping的 ip地址和mac地址的對應關系

    如果還有其他條 ip和mac 對應的話 呵呵 就是他了 ：0

    這里再說明一下為什么可以這樣判斷

    當網卡處在混雜模式的時候 會接收并響應 網絡上任何的數據報

    所以 當我向網關發送一個icmp包時 被那臺.179的電腦截獲了數據報 并產生了回應

    然而我ping的是.129的電腦 所以我的主機只會對129主機發送的echo產生回應 而對179發過來的數據包我的主機進行了丟棄

    然而 由于179的主機同我的主機產生了通信 所以就在我的主機arp表上產生了一條arp項

    sniffer，中文可以翻譯為嗅探器，是一種威脅性極大的被動攻擊工具。使用這種工具，可以監視網絡的狀態、數據流動情況以及網絡上傳輸的信息。當信息以明文的形式在網絡上傳輸時，便可以使用網絡監聽的方式來進行攻擊。將網絡接口設置在監聽模式，便可以將網上傳輸的源源不斷的信息截獲。黑客們常常用它來截獲用戶的口令。據說某個骨干網絡的路由器曾經被黑客攻人，并嗅探到大量的用戶口令。本文將詳細介紹sniffer的原理和應用。

    一、sniffer 原理

    1．網絡技術與設備簡介

    在講述sni計er的概念之前，首先需要講述局域網設備的一些基本概念。

    數據在網絡上是以很小的稱為幀（frame）的單位傳輸的，幀由幾部分組成，不同的部分執行不同的功能。幀通過特定的稱為網絡驅動程序的軟件進行成型，然后通過網卡發送到網線上，通過網線到達它們的目的機器，在目的機器的一端執行相反的過程。接收端機器的以太網卡捕獲到這些幀，并告訴操作系統幀已到達，然后對其進行存儲。就是在這個傳輸和接收的過程中，嗅探器會帶來安全方面的問題。

    每一個在局域網（lan）上的工作站都有其硬件地址，這些地址惟一地表示了網絡上的機器（這一點與internet地址系統比較相似）。當用戶發送一個數據包時，這些數據包就會發送到lan上所有可用的機器。

    在一般情況下，網絡上所有的機器都可以“聽”到通過的流量，但對不屬于自己的數據包則不予響應（換句話說，工作站a不會捕獲屬于工作站b的數據，而是簡單地忽略這些數據）。如果某個工作站的網絡接口處于混雜模式（關于混雜模式的概念會在后面解釋），那么它就可以捕獲網絡上所有的數據包和幀。

    2．網絡監聽原理

    sniffer程序是一種利用以太網的特性把網絡適配卡（nic，一般為以太網卡）置為雜亂（promiscuous）模式狀態的工具，一旦網卡設置為這種模式，它就能接收傳輸在網絡上的每一個信息包。

    普通的情況下，網卡只接收和自己的地址有關的信息包，即傳輸到本地主機的信息包。要使sniffer能接收并處理這種方式的信息，系統需要支持bpf，linux下需要支持socket一packet。但一般情況下，網絡硬件和tcp／ip堆棧不支持接收或者發送與本地計算機無關的數據包，所以，為了繞過標準的tcp／ip堆棧，網卡就必須設置為我們剛開始講的混雜模式。一般情況下，要激活這種方式，內核必須支持這種偽設備bpfilter，而且需要root權限來運行這種程序，所以sniffer需要root身份安裝，如果只是以本地用戶的身份進人了系統，那么不可能喚探到root的密碼，因為不能運行sniffer。

    基于sniffer這樣的模式，可以分析各種信息包并描述出網絡的結構和使用的機器，由于它接收任何一個在同一網段上傳輸的數據包，所以也就存在著捕獲密碼、各種信息、秘密文檔等一些沒有加密的信息的可能性。這成為黑客們常用的擴大戰果的方法，用來奪取其他主機的控制權

    3 snifffer的分類

    sniffer分為軟件和硬件兩種，軟件