如何監(jiān)測主機(jī)正在竊聽（sniffed）

要監(jiān)測只采集數(shù)據(jù)而不對任何信息進(jìn)行響應(yīng)的竊聽設(shè)備，需要逐個(gè)仔細(xì)檢查以太網(wǎng)上所有物理連接。

不可能通過遠(yuǎn)程發(fā)送數(shù)據(jù)包或ping就可以檢查計(jì)算機(jī)是否正在竊聽。

一個(gè)主機(jī)上的sniffer會將網(wǎng)絡(luò)接口置為混雜模式以接收所有數(shù)據(jù)包。對于某些UNIX系統(tǒng)，通過監(jiān)測到混雜模式的網(wǎng)絡(luò)接口。雖然可以在非混雜模式下運(yùn)行sniffer，但這樣將只能捕捉本機(jī)會話。入侵者也可能通過在諸如sh、telnet、login、in.telnetd等

程序中捕捉會話，并將用戶操作記錄到其它文件中。這些都可能通過監(jiān)視tty和kmem等設(shè)備輕易發(fā)現(xiàn)。只有混雜模式下的sniffing才能捕捉以太網(wǎng)中的所有會話，其它模式只能捕捉本機(jī)會話。

對于SunOS、NetBSD和其它BSD Unix系統(tǒng)，如下命令：

"ifconfig -a"

會顯示所有網(wǎng)絡(luò)接口信息和是否在混雜模式。DEC OSF/1和IRIX等系統(tǒng)需要指定設(shè)備。要找到系統(tǒng)中有什么網(wǎng)絡(luò)接口，可以運(yùn)行如下命令：

# netstat -rRouting tablesInternet:Destination Gateway Flags Refs Use Interfacedefault iss.net UG 1 24949 le0localhost localhost UH 2 83 lo0

#ifconfig le0le0: flags=8863inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1