ARP检测包找出混杂模式节点

　　正如前面所陈述的，网卡设置成普通模式和混杂模式对包的过滤是不同的。当网卡被设成混杂模式后，本来被过滤的包会允许到达系统内核。利用这种机制，我们建立一种新的机制来检测混杂模式节点：如果构造一个目的地址不是广播地址的ARP包，把它发送到网络的每个节点，如果发现有些节点有响应，那么这些节点工作在混杂模式。

　　我们简单地看一下正常的ARP请求和响应的操作方式。首先，为解析192.168.1.10产生一个ARP请求包。它的目的地址为广播地址，使网络上所有的节点能够收到。理论上，只有IP地址符合的节点才会响应。

　　但是，如果把ARP包的目的地址设成非广播地址呢?比如，如果把目标地址设成00-00-00-00-00-01?当网卡处于正常模式，这个包将被认为“TO OTHERHOST”包，因此将被网卡的硬件过滤拒绝。但是，如果网卡处于混杂模式，那么网卡不会执行过滤操作。所以包将被允许到达系统内核。系统内核会认为ARP请求包到达了，因为它包含了与PC相同的IP地址，这样，它应该会对请求包作出响应。但让人奇怪的是，内核事实上没有对包做出响应(如下图)。这令人意外的结果说明系统内核存在着其它的过滤机制，因为事实上包被系统内核过滤了。我们把这种过滤称之为软件过滤。

　　进一步说，对混杂模式的检测可以从对比硬件过滤和软件过滤的区别来达到。硬件过滤通常会屏蔽一些非法的包。如果一个包能够通过硬件过滤，它通常也能通过软件过滤。我们设想构建被硬件过滤拒绝而同时能够通过软件过滤的包。通过发送这样的包，正常模式的网卡不会作出响应，而混杂模式的网卡会作出响应。