网络监听检测

    而一但用户不确定网络中是否存在网络监听，那么就需要对网络进行检测。虽然网络监听的种类很多，但是一般用户只要留意计算机的超正常反映，都可以发现网络中被监听的主机，通常发现方法分下列几种：

    1、发送大量垃圾数据包，根据各个主机回应的情况进行判断，正常的系统回应的时间应该没有太明显的变化，而处于混杂模式的系统由于对大量的垃圾信息照单全收，所以很有可能回应时间会发生较大的变化；

    2、许多的网络监听软件都会尝试进行地址反向解析，在怀疑有网络监听发生时可以在DNS系统上观测有没有明显增多的解析请求；

    3、利用ping模式进行监测，由于监听主机的网卡处于混杂模式，所以它不会去对比IP地址与MAC不匹配的数据包的硬件地址，而是将这个数据包直接传到上层，上层检查数据包的IP地址，符合自己的IP，于是会对对这个Ping的包做出回应。这样，一台处于网络监听模式的主机就被发现了。

    4、利用ARP数据包进行监测，这种模式与上述Ping方式类似，它使用ARP数据包替代了上述的ICMP数据包。向局域网内的主机发送非广播方式的ARP包，如果局域网内的某个主机响应了这个ARP请求，那么就可以判断它很可能就是处于网络监听模式的主机了，这是目前相对来说比较好的监测模式。

只要掌握以上四点，再配以相关的检测工具，做到防止局域网监听也并非难事，系统的安全性决定了信息的良好隐匿。