嗅探器的检测方法

11.1.2　嗅探器的检测方法

1.使用AntiSniff检测嗅探器

AntiSniff运行在本地以太网的一个段上。例如，如果在非交换式的C类网络中运行时，AntiSniff能监听整个网络；如果网络被按工作组分组并用交换机隔离，则每个工作组中都需要运行一个AntiSniff。原因是某些特殊的测试使用了无效的以太网地址和某些测试需要进行混杂模式下的统计（如响应时间、包丢失率等）。

2.证明网络有嗅探器

通过两条经验证明网络有嗅探器：

·网络通信丢包率非常高：可以通过一些专业网管软件，查看信息包的传送情况。当然，最简单的是通过Ping命令。Ping命令会返回一些信息告诉用户丢失了百分之多少的包。如果用户网络结构正常，同时又有20%～30%数据包丢失，那么就有被监听的可能了。因为这有可能由于嗅探器拦截数据包导致的。

·网络宽带出现反常：通过一些宽带控制器，我们可以了解当前网络宽带的分布状态。如果有某台计算机长时间占用了较大的带宽，那么这台计算机就有被监听的可能。

3.使用物理设备

如果已经确信有人在你的网络上接了嗅探器，那么就可以去找一些验证工具。这种工具称为时域反射计量器（Time Domain Reflectometer，TDR）。

TDR会对电磁波的传播和变化进行测量。将一个TDR连接到网络上，能够检测到一些未授权的获取网络数据的设备。但是TDR价格十分昂贵，大部分中小公司都没有这种工具。

小知识 TDR（TimeDomainReflectometer）

早在20世纪60年代就产生了时域反射计（TDR）技术。该技术包括产生沿传输线传播的时间阶跃电压。用示波器检测来自阻抗的反射，测量输入电压与反射电压比，从而计算不连续的阻抗。

20世纪70年代，了解到作为频率函数的网络反射系数的傅里叶变换就是作为时间函数的反射系数。可用网络分析仪在频域测量的数据计算和显示网络作为时间函数的网络阶跃和激冲响应。使在反射和传输中传统TDR能力增加了在频带有限网络进行测量的潜力。

在反射模式中网络分析仪测量作为频率函数的反射系数。可把该反射系数看成是入射电压和反射电压的传递函数。反变换将反射系数转换为时间函数（激冲响应）。可用该反射时域反射（TDR）TLP测试的结构示意图系数与输入阶跃或脉冲的卷积计算阶跃和激冲响应。在传输模式中，网络分析仪测量作为频率函数的二端口器件的传递函数。反变换将该传递函数转换为二端口器件的激冲响应。用该激冲响应与输入阶跃或脉冲的卷积计算阶跃和激冲响应。