二，发现sniffer嗅探：

　　那么我们如何才能够发现网络中是否存在sniffer监控者呢?就笔者个人经验来说我们可以通过以下几个方法来排查并在第一时间发现不对劲的地方。

　　(1)网络通讯数据包掉包率突然增加：

　　众所周知正常情况下TCP/IP协议的数据通讯是比较有保障的，所以平时ping或者两点之间通讯掉包情况并不多见，不过当网络中存在使用sniffer类软件人员的话网络通讯掉包率将反常，丢包现象比平时要高出很多，我们可以通过大包ping的方法来检测，具体指令是ping IP地址 -l 10000，后面的10000代表着使用10000bit的数据包ping目的地址，ping这样的命令会告诉你掉了百分几的包。当然我们也可以通过一些网络软件看到信息包传送情况。如果网络中有人在Listen监听，那么信息包将无法每次都顺畅的传送到目的地，这主要是由于sniffer拦截每个包所导致。

　　(2)网络带宽及流量出现异常。

　　由于sniffer会监控网络中的所有数据包，所以无形中网络数据包总量成倍的增长，因此当网络内部有人在使用sniffer时我们通过某些带宽控制器(通常是防火墙所带)，可以实时看到目前网络带宽的分布情况，如果某台机器长时间的占用了较大的带宽，这台机器就有可能在监听。在非高速带宽应用上，比如1M带宽以下的网络出口，那么当网络中存在sniffer,你应该也可以察觉出网络通讯速度的变化。

　　那么当我们发现企业内网存在有人使用sniffer监听数据包的话该如何应对呢?除了人为的阻止外是否可以通过其他软件硬件的方式让监听行为失去效果呢?下面我们就从多个角度来讲解下反sniffer技术在企业中的应用。