2)WINDOWS

　　WINDOWS非源代码开放的操作系统，我们不能通过查看它的源码来分析它的软件过滤。相反，我们只能通过实验的方式来测试它的软件过滤。以下7种地址会被WINDOWS利用：

　　FF-FF-FF-FF-FF-FF BROADCAST ADDRESS：

　　所有接点将会收到这种类型的包，并作出响应。正常的ARP请求包用的就是这种地址。

　　FF-FF-FF-FF-FF-FE FAKE BROADCAST ADDRESS：

　　这是最后一位置0假冒的广播地址。用来检测软件过滤是否会检查所有的地址位，进而是否会对这种包作出响应。

　　FF-FF-00-00-00-00 FAKE BROADCAST 16 BITS：

　　这是只有前16位置1的假冒的广播地址。它可能会被认为是广播地址，而且在过滤机制只检查前16位的情况下会得到响应。

　　FF-00-00-00-00-00 FAKE BROADCAST 16 BITS：

　　这是只有前8位置1的假冒的广播地址。它可能会被认为是广播地址，而且在过滤机制只检查前8位的情况下会得到响应。

　　01-00-00-00-00-00

　　GROUP BIT ADDRESS：

　　组标识位置1的地址，用来检查是否会被认为是组播地址。

　　01-00-5E-00-00-00 MULTICAST ADDRESS 0

　　MULTICAST ADDRESS 0通常是未被使用的。所以我们把这种类型的地址当作未在注册过的组列表中的地址。硬件过滤会拒绝这种种包。但是，软件过滤会把这种包误认为是组播包，因为它不检查所有的位。所以，当网卡处在混杂模式时，系统内核会对这种包做出响应。

　　01-00-5E-00-00-01 MULTICAST ADDRESS 1

　　MULTICAST ADDRESS 1代表了局域网某一子网的所有HOSTS。换名话说，硬件过滤在默认情况下将通过这种类型的包。但是存在这样的可能：如果网卡不支持组播模式，那么它将不会对这种包作出响应。所以这种包可以用来检测主机是否支持组播地址。

　　这些实验结果分别是在WINDOWS 95，98，ME，2000和LINUX下得出的。正如我们前面所述的，网卡处于正常模式时，所有的系统内核都会对BROADCAST ADDRESS和MULTICAST ADDRESS 1做出响应。

　　但是，当网卡处于混杂模式时，根据操作系统的不同，结果也会不同。WINDOWS 95，98和ME将会对FAKE BROADCAST 31，16，和8BITS做出响应。所以，我们可以认为WINDOWS 9x的软件过滤至多只检查前8位来判别是否是广播地址。

　　在WINDOWS 2000下，它会对FAKE BROADCAST 31和16BITS作出响应。所以我们可以认为WINDOWS 2000的软件过滤至多只检查前16位来判别是否是广播地址。

　　在LINUX下，会对这七种地址的包都做出响应。换句话说，当网卡处于混杂模式时，LINUX会对这七种包做出响应。

　　以下的结果说明我们可以根据ARP包来判别是否有处于混杂模式的节点，而不管操作系统是WINDOWS或LINUX。从而，可以通过这样一种简单的方法用来在局域网中的检测。