(二)利用Antisniff软件进行检测
这是一款很经典的软件,但是由于出现的比较早,后期又没有更新,因此它的非常好的运行平台是WINNT,在95/98下也能运行,但是据我的实验测试情况,这款软件在98下面运行非常不稳定,而在XP下面会提示找不到网卡而无法使用,因此非常好的平台就是NT,这年头找个NT的安装盘还真不好找,我也是费了好大的劲才把NT的虚拟机建起来,但是检测的效果却是出错的好,只需三步就可以得到结果:
1、定义要进行扫描的主机或网段
依次点选“Network Configuration”—“Host(s) to Scan”,再选择是要扫描“host”(单机)还是“range”(网段范围) ,这样就可以定义出局域内需要扫描的主机。
2、进行扫描
为了加快扫描的时间,我们可以限定要进行扫描的项,因为是要检测ARP地址欺骗,那么在“Scanner Configuration”的“Detection Tests”只选Arp Test即可,然后点击那个倒三角符号即可开始扫描。
3、查看结果
如果扫描到局域网中有某台主机的网卡是处于混杂模式,那么AntiSniff马上会报警,先弹出一个骷髅头的图案,然后再报告具体是哪个IP地址的主机的网卡是处于混杂模式了,随后我们还可以到“Report”项中查看具体的结果,点击“Report On Machine”,再选中具体的某个IP的主机,在ARP Test Res.一栏中,如果出现了“1”则代理了此时网卡处于混杂模式,如果出现了“0”则代表目前网机处于正常模式。为什么一台主机网卡有时会处于混杂模式,有时又会处于正常模式呢(如图4所示),关键就在于这台主机当时有没有开启进行ARP地址欺骗的软件,由此可以看出Antisniff的检测结果还是挺准的。
图