本篇文章將討論通過(guò)進(jìn)入混雜模式下對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行監(jiān)聽(tīng)的工具軟件及采取何種對(duì)策以降低其破壞性。為了保證網(wǎng)絡(luò)的安全性和防止不必要的恐慌，系統(tǒng)管理人員應(yīng)該非常熟悉這些探測(cè)工具的能力和其局限性，并在遇到此類(lèi)問(wèn)題時(shí)應(yīng)能采取正確的措施。

本機(jī)監(jiān)控不同操作系統(tǒng)的計(jì)算機(jī)采用的檢測(cè)工具也不盡相同。大多數(shù)UNIX系列操作系統(tǒng)都使用。利用管理人員可以知道網(wǎng)卡是否工作在混雜模式下。但是因?yàn)榘惭b未被授權(quán)的sniffer時(shí)，特洛伊木馬程序也有可能被同時(shí)安裝，因而的輸出結(jié)果就可能完全不可信。系統(tǒng)管理人員還可以選擇其它的主要工具來(lái)檢測(cè)sniffers(嗅探器)是否存在，例如和等等，但是以上問(wèn)題仍有可能發(fā)生。

許多流行的特洛伊木馬程序在系統(tǒng)的目錄下都有自己的ASCII文件，該文件中包含該木馬程序的配置信息。在安全系統(tǒng)中，目錄下應(yīng)該沒(méi)有ASCII文件，因而系統(tǒng)管理人員應(yīng)該定時(shí)檢測(cè)目錄。如果目錄下存在ASCII文件，則表明系統(tǒng)中已經(jīng)被攻擊者安裝了sniffer(嗅探器)。

特洛伊木馬的ASCII配置文件一般包括sniffers(嗅探器)和與其輸出文件相關(guān)的進(jìn)程信息和相應(yīng)的文件信息,這些信息一般都對(duì)系統(tǒng)管理人員隱藏。大多數(shù)版本的UNIX都可以使用lsof(該命令顯示打開(kāi)的文件)來(lái)檢測(cè)sniffer(嗅探器)的存在。lsof的最初的設(shè)計(jì)目地并非為了防止sniffer(嗅探器)入侵，但因?yàn)樵趕niffer(嗅探器)入侵的系統(tǒng)中，sniffer(嗅探器)會(huì)打開(kāi)其輸出文件，并不斷傳送信息給該文件，這樣該文件的內(nèi)容就會(huì)越來(lái)越大，因而lsof就有了用武之地。如果利用lsof發(fā)現(xiàn)有文件的內(nèi)容不斷的增大，我們就有理由懷疑系統(tǒng)被人裝了sniffer(嗅探器)。

因?yàn)榇蠖鄶?shù)sniffers(嗅探器)都會(huì)把截獲的TCP/IP"數(shù)據(jù)寫(xiě)入自己的輸出文件中，因而系統(tǒng)管理人員可以把lsof的結(jié)果輸出到來(lái)減少系統(tǒng)被破壞的可能性。對(duì)于BSD的UNIX，可以使用cpm來(lái)檢測(cè)sniffer(嗅探器)的存在。

cpm(該命令檢測(cè)混雜模式的存在)是由CERT/CC開(kāi)發(fā)的工具軟件。在1994年，好多網(wǎng)站報(bào)告合法用戶(hù)名、用戶(hù)密碼和關(guān)鍵數(shù)據(jù)被惡意偷竊，cpm就在那時(shí)應(yīng)運(yùn)而生。更多的相關(guān)內(nèi)容請(qǐng)參閱如下站點(diǎn)(http://www.cert.org/advisories/CA-1994-01.html)。

cpm使用socket(2)和ioctl(2)來(lái)判斷是否有網(wǎng)卡處在混雜模式，并向系統(tǒng)匯報(bào)檢測(cè)結(jié)果。cpm只列出處在混雜模式的網(wǎng)卡。對(duì)于使用SunOS 5.5和5.6的用戶(hù)，可以使用ifstatus檢測(cè)sniffer(嗅探器)的存在。用戶(hù)可以從。

對(duì)于NT系統(tǒng)，并沒(méi)有太知名的sniffer(嗅探器)檢測(cè)工具供使用。就作者所知，NT平臺(tái)上并沒(méi)有切實(shí)可行的工具去測(cè)試網(wǎng)卡的混雜模式。出現(xiàn)這種情況的原因在于作為Microsoft系統(tǒng)平臺(tái)一部分的工具也可能已經(jīng)被安裝了特洛伊木馬程序。使用機(jī)器的NT用戶(hù)可以考慮使用(www.rootkit.com)。

Microsoft平臺(tái)遠(yuǎn)程可以利用的管理員級(jí)安全漏洞很少，這可能是Microsoft平臺(tái)下sniffer(嗅探器)工具和檢測(cè)工具相對(duì)較少的一個(gè)原因。