quote:

    首先要说明 用网络特工之类的软件网卡一定会开启混杂模式 但是网卡处在混杂模式不一定是在用网络特工 不过 处在混杂模式的网卡一定没干好事

    好了废话不说了

    方法很简单

    首先确定你没有跟你网段内的电脑有通信

    然后 打开cmd

    先 arp -d 删除掉你的arp列表

    然后 ping 你的网管 或者 ping 你自己

    再 arp -a 显示 你的arp表

    这时 你的arp表 就会显示 你ping的 ip地址和mac地址的对应关系

    如果还有其他条 ip和mac 对应的话 呵呵 就是他了 ：0

    这里再说明一下为什么可以这样判断

    当网卡处在混杂模式的时候 会接收并响应 网络上任何的数据报

    所以 当我向网关发送一个icmp包时 被那台.179的电脑截获了数据报 并产生了回应

    然而我ping的是.129的电脑 所以我的主机只会对129主机发送的echo产生回应 而对179发过来的数据包我的主机进行了丢弃

    然而 由于179的主机同我的主机产生了通信 所以就在我的主机arp表上产生了一条arp项

    sniffer，中文可以翻译为嗅探器，是一种威胁性极大的被动攻击工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。黑客们常常用它来截获用户的口令。据说某个骨干网络的路由器曾经被黑客攻人，并嗅探到大量的用户口令。本文将详细介绍sniffer的原理和应用。

    一、sniffer 原理

    1．网络技术与设备简介

    在讲述sni计er的概念之前，首先需要讲述局域网设备的一些基本概念。

    数据在网络上是以很小的称为帧（frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会带来安全方面的问题。

    每一个在局域网（lan）上的工作站都有其硬件地址，这些地址惟一地表示了网络上的机器（这一点与internet地址系统比较相似）。当用户发送一个数据包时，这些数据包就会发送到lan上所有可用的机器。

    在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应（换句话说，工作站a不会捕获属于工作站b的数据，而是简单地忽略这些数据）。如果某个工作站的网络接口处于混杂模式（关于混杂模式的概念会在后面解释），那么它就可以捕获网络上所有的数据包和帧。

    2．网络监听原理

    sniffer程序是一种利用以太网的特性把网络适配卡（nic，一般为以太网卡）置为杂乱（promiscuous）模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包。

    普通的情况下，网卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包。要使sniffer能接收并处理这种方式的信息，系统需要支持bpf，linux下需要支持socket一packet。但一般情况下，网络硬件和tcp／ip堆栈不支持接收或者发送与本地计算机无关的数据包，所以，为了绕过标准的tcp／ip堆栈，网卡就必须设置为我们刚开始讲的混杂模式。一般情况下，要激活这种方式，内核必须支持这种伪设备bpfilter，而且需要root权限来运行这种程序，所以sniffer需要root身份安装，如果只是以本地用户的身份进人了系统，那么不可能唤探到root的密码，因为不能运行sniffer。

    基于sniffer这样的模式，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权

    3 snifffer的分类

    sniffer分为软件和硬件两种，软件