嗅探器(Sniffer)一直以来都是一种让人恼火的黑客工具，因为它是一种静态的攻击软件，它的存在不会留下任何痕迹，因此人们很难将它揪出来。可是，它的危害性却又是相当大的(它就像一个监视器，你的“一举一动”都在它的监视之下，你说危害大不大)。所以，我们不能不要想个办法出来检查网络中是否存在Sniffer，这是非常必要的。

　　1. Sniffer原理

　　所谓知己知彼方能百战不殆，要了解探测Sniffer的方法，就先得了解Sniffer的原理。首先，让我们来看一看局域网中是怎样传输数据的。当一个数据包的目的地是局域网内的某台计算机时，此数据包将以广播的形式被发送到网内每一台计算机上。而每台计算机的网卡将分析数据包中的目的Mac地址(即以太网地址)，如果此地址为本计算机Mac地址或为广播地址(FF-FF-FF-FF-FF-FF)，那么，数据包将被接收，而如果不是，网卡将直接将其丢弃。但是，这里有一个前提，就是接收端计算机的网卡是在正常模式下工作的。而如果网卡被设置为混杂模式，那么它就可以接收所有经过的数据包了(当然也包括目的地不是本机的数据包)。就是说，只要是发送到局域网内的数据包，都会被设置成混杂模式的网卡所接收!这也就是Sniffer的基本原理了。至于Sniffer的具体实现和一些细节，这里就不多讲了，大家有兴趣可以参考相关资料。

　　2. 以太网中传输的ARP数据报

　　知道了Sniffer的基本原理，现在，我们就要想想怎么才能将局域网中隐藏的Sniffer揪出来，这才是本篇文章的主题。这里，我们需要自己构造ARP数据包，所以，就先简单介绍一下ARP请求和应答数据报的结构：

　　typedef struct _et_header //以太网头部

    

{ 　　unsigned char eh_dst[6]; 　　unsigned char eh_src[6]; 　　unsigned short eh_type; 　　}ET_HEADER;

    
   

{ 　　unsigned short arp_hdr; 　　unsigned short arp_pro; 　　unsigned char arp_hln; 　　unsigned char arp_pln; 　　unsigned short arp_opt; 　　unsigned char arp_sha[6]; 　　unsigned long arp_spa; 　　unsigned char arp_tha[6]; 　　unsigned long arp_tpa; 　　}ARP_HEADER;

    
    以上就是网络中传输的ARP数据包的结构了。至于结构中每个字段所表示的具体含义以及如何初始化，超出了本文章的讨论范围，大家有兴趣可以参看《TCP-IP详解》一书。

[1]    

--------------------next---------------------