第四步:如果网卡不是工作在混杂模式下(未sniffer监控)的话将显示B16下有*,如果网卡工作在混杂模式下进行监听的话,那么在B31下将出现*。这样我们就能够判断出到底哪台机器在通过sniffer扫描监听内网。例如图三中的192.168.1.135那台设备就在进行监听。
实际上这个工具实现此功能的原理就是对于那些没有处于sniffer监听状态的主机在回答数据包时会使用16位ARP广播测试B16数据包,相反处于监听的话,网卡处于混杂模式,他们将回答32位ARP测试B31类型的数据包。
总结——本文通过两个方法介绍了如何快速定位内网中在进行sniffer非法监听的客户端信息,就个人感觉而言第二种工具法判断起来更加准确,第一种方法存在一定的误报可能,不过该方法不需要借助相关的软件来实现,操作上更灵活些。希望通过本文的方法可以帮助这位读者解决实际问题,让内网速度恢复正常。
