如何检测Sniffer

　　技术细节　L0pht　公司已经说明了，如下：
Win9x/NT
　　 正常情况下，就是说不在混乱模式，网卡检测是不是广播地址
要比较看收到的目的以太网址是否等于ff.ff.ff.ff.ff.ff
是则认为是广播地址。
　　 在混乱模式时，网卡检测是不是广播地址只看收到包的目的以太
网址的第一个八位组值，是0xff则认为是广播地址。
利用这点细微差别就可以检测出Sniffer.
Linux
　　 以前就提出过，一些版本内核有这种问题：
　　 当混杂模式时，每个包都被传到了操作系统内核以处理。
在处理某些包，只看IP地址而不看以太网头中的源物理地址。
所以：
　　 使用一个不存在的目的MAC，正确的目的IP，受影响
的内核将会由于是混杂模式而处理它，并将之交给相应系统
堆栈处理。从而实现检测Sniffer
　　 总之，只要发一个以太网头中目的地址是ff.00.00.00.00.00
的ARP包(l0pht公司是ff.ff.ff.ff.ff.00)就可以检测出Linux和
Windows网卡处于混乱状态的计算机.
　　 以下是一个Linux下用于检测Linux下Sniffer的程序，很多地方都贴
过了，我只改了一句话，这样也可以检测出Windows机器。:)
/*
gcc -lbsd -O3 -o linuxanti linuxanti.c
*/
/*
Network Promiscuous Ethernet Detector.
Linux 2.0.x / 2.1.x, libc5