如何监测主机正在窃听（sniffed）

要监测只采集数据而不对任何信息进行响应的窃听设备，需要逐个仔细检查以太网上所有物理连接。

不可能通过远程发送数据包或ping就可以检查计算机是否正在窃听。

一个主机上的sniffer会将网络接口置为混杂模式以接收所有数据包。对于某些UNIX系统，通过监测到混杂模式的网络接口。虽然可以在非混杂模式下运行sniffer，但这样将只能捕获本机会话。入侵者也可能通过在诸如sh、telnet、login、in.telnetd等

程序中捕获会话，并将用户操作记录到其它文件中。这些都可能通过监视tty和kmem等设备轻易发现。只有混杂模式下的sniffing才能捕获以太网中的所有会话，其它模式只能捕获本机会话。

对于SunOS、NetBSD和其它BSD Unix系统，如下命令：

"ifconfig -a"

会显示所有网络接口信息和是否在混杂模式。DEC OSF/1和IRIX等系统需要指定设备。要找到系统中有什么网络接口，可以运行如下命令：

# netstat -rRouting tablesInternet:Destination Gateway Flags Refs Use Interfacedefault iss.net UG 1 24949 le0localhost localhost UH 2 83 lo0