本篇文章將討論通過進入混雜模式下對網(wǎng)絡數(shù)據(jù)包進行監(jiān)聽的工具軟件及采取何種對策以降低其破壞性。為了保證網(wǎng)絡的安全性和防止不必要的恐慌，系統(tǒng)管理人員應該非常熟悉這些探測工具的能力和其局限性，并在遇到此類問題時應能采取正確的措施。

本機監(jiān)控不同操作系統(tǒng)的計算機采用的檢測工具也不盡相同。大多數(shù)UNIX系列操作系統(tǒng)都使用。利用管理人員可以知道網(wǎng)卡是否工作在混雜模式下。但是因為安裝未被授權的sniffer時，特洛伊木馬程序也有可能被同時安裝，因而的輸出結(jié)果就可能完全不可信。系統(tǒng)管理人員還可以選擇其它的主要工具來檢測sniffers(嗅探器)是否存在，例如和等等，但是以上問題仍有可能發(fā)生。

許多流行的特洛伊木馬程序在系統(tǒng)的目錄下都有自己的ASCII文件，該文件中包含該木馬程序的配置信息。在安全系統(tǒng)中，目錄下應該沒有ASCII文件，因而系統(tǒng)管理人員應該定時檢測目錄。如果目錄下存在ASCII文件，則表明系統(tǒng)中已經(jīng)被攻擊者安裝了sniffer(嗅探器)。

特洛伊木馬的ASCII配置文件一般包括sniffers(嗅探器)和與其輸出文件相關的進程信息和相應的文件信息,這些信息一般都對系統(tǒng)管理人員隱藏。大多數(shù)版本的UNIX都可以使用lsof(該命令顯示打開的文件)來檢測sniffer(嗅探器)的存在。lsof的最初的設計目地并非為了防止sniffer(嗅探器)入侵，但因為在sniffer(嗅探器)入侵的系統(tǒng)中，sniffer(嗅探器)會打開其輸出文件，并不斷傳送信息給該文件，這樣該文件的內(nèi)容就會越來越大，因而lsof就有了用武之地。如果利用lsof發(fā)現(xiàn)有文件的內(nèi)容不斷的增大，我們就有理由懷疑系統(tǒng)被人裝了sniffer(嗅探器)。

因為大多數(shù)sniffers(嗅探器)都會把截獲的TCP/IP"數(shù)據(jù)寫入自己的輸出文件中，因而系統(tǒng)管理人員可以把lsof的結(jié)果輸出到來減少系統(tǒng)被破壞的可能性。對于BSD的UNIX，可以使用cpm來檢測sniffer(嗅探器)的存在。

cpm(該命令檢測混雜模式的存在)是由CERT/CC開發(fā)的工具軟件。在1994年，好多網(wǎng)站報告合法用戶名、用戶密碼和關鍵數(shù)據(jù)被惡意偷竊，cpm就在那時應運而生。更多的相關內(nèi)容請參閱如下站點(http://www.cert.org/advisories/CA-1994-01.html)。

cpm使用socket(2)和ioctl(2)來判斷是否有網(wǎng)卡處在混雜模式，并向系統(tǒng)匯報檢測結(jié)果。cpm只列出處在混雜模式的網(wǎng)卡。對于使用SunOS 5.5和5.6的用戶，可以使用ifstatus檢測sniffer(嗅探器)的存在。用戶可以從。

對于NT系統(tǒng)，并沒有太知名的sniffer(嗅探器)檢測工具供使用。就作者所知，NT平臺上并沒有切實可行的工具去測試網(wǎng)卡的混雜模式。出現(xiàn)這種情況的原因在于作為Microsoft系統(tǒng)平臺一部分的工具也可能已經(jīng)被安裝了特洛伊木馬程序。使用機器的NT用戶可以考慮使用(www.rootkit.com)。

Microsoft平臺遠程可以利用的管理員級安全漏洞很少，這可能是Microsoft平臺下sniffer(嗅探器)工具和檢測工具相對較少的一個原因。