寻找Sniffer窃取者的致命弱点

　　我们把检测混杂模式的方法用一个现实世界的例子来模拟。假设会议室里正在开会。一个窃听者用他的一只耳朵靠着会议室的墙壁。当他正在窃听的时候，他会屏住呼吸，静静的听着会议室的所有对话。但是如果有人在会议里喊他的名字，“MR. **?”窃听者有时候会应声“YES!”这种类比看起来有些荒谬，但确实是应用在检测网络的SNIFFING上了。因为SINFFER接收所有的数据包，包括那些本来不是发给它的，所以它可能会对那些本来应该被网卡过滤的包错误地做出响应。所以，我们对混杂模式的检测建立在以下的基础上：向网络上所有的节点发送ARP请求包，检查是不是有ARP响应包。

　　为了解释这个原理，首先，我们从网卡的混杂模式和普通模式的区别开始。所有以太网卡都有6字节的硬件地址。厂商分配这些地址，而且每个地址都是唯一的。从理论上说，不存在两块硬件地址一样的网卡。以太网上信息的交流是建立在硬件地址的基础上的。但是网卡为了接收不同类型的数据包，可以建立不同的过滤机制。现对网卡的各种过滤机制说明如下：

　　单播(UNICAST)

　　接收所有目标地址和网卡的硬件地址一样的包。

　　广播(Broadcast)

　　接收所有的广播包。广播包的目的地址是FFFFFFFFFFFF。这种模式是为了能收到那些希望能到达网络所有节点的包。

　　组播(Multicast)

　　接收所有预先注册好的特定组的包。只有那些预先注册的组才会被网卡接收。

　　所有的组播(All Multicast)

　　接收所有的组播。这种模式和上层的协议有关联，这种模式会接收所有组播位设为1的包。

　　混杂(Promiscuous)

　　接收所有的数据包而不管它的目的地址是什么。

　　上图示意了在正常模式和混杂模式下硬件过滤的操作方式。通常情况下，网卡的硬件过滤会设置成单播，广播和组播1模式。网卡只接收目的地址和它的硬件地址一样，广播地址(FF:FF:FF:FF:FF:FF)和组播地址1(01:00:5E:00:00:01)。