（2）工具查看法：
　　当然除了通过流量查看法来定位网络中的真正偷窥者外，我们还可以利用工具更准确的判断。笔者使用的是名为Cain4.7的软件。他是一个内网扫描工具，不过他有一个特色那就是可以通过标志符来判断目的客户端网卡的监听模式。有点经验的读者都知道如果我们安装了sniffer类工具，那么网卡在监听时模式是改变的，实际上网卡是工作在混杂模式下。这样我们就可以通过判断网卡监听模式的办法来判断该机器是否在执行sniffer监听。此方法在笔者实际应用中效果很好，解决了不少实际问题。下面我们来看看具体实现办法。

　　第一步：下载Cain4.7并解压缩，然后是安装该程序，一路下一步很简单，这里就不详细介绍了。（如图1）

　　第二步：接下来驱动Cain扫描网卡后选择要扫描的IP地址段或MAC地址段，设置完毕后点OK按钮。（如图2）

　　第三步：在sniffer标签下我们可以看到扫描到的所有客户端信息，同时在右边能够看到对应的*号字符，有的是B31下有*，有的是B16下有*。（如图3）

　　小提示：
　　各个B数字标签对应的实际上是不同的ARP包应答数据包，通过应答数据包的不同来区分到不同的列中。