网卡工作在混杂模式是怎么回事

chirontan · 发表于 2007-10-13 12:55:11

我们公司有八十台电脑，最近我用一个ARP DETECT的软件来检测哪些网卡处于混杂模式
因为听说处于混杂模式的电脑可以有SNIFFER，结果发现宽带路由和我自己在电脑是混杂模式，这是正常的
不过还有两台也工作混杂模式，我就奇了怪了，那两台电脑没什么相关SNIFFER之类的软件呀，用科来对那两台抓包也没发现异常
有了解的兄弟，帮我研究一下

luotao251 · 发表于 2007-10-13 15:01:00

混杂模式就是接收所有经过网卡的数据包，包括不是发给本机的包。默认情况下网卡只把发给本机的包（包括广播包）传递给上层程序，其它的包一律丢弃。
所有的sniffer就工作在这种模式。
另外Windows 自带的网络监视器大概也会在混杂模式下工作。
可以检查一下那两台电脑是否打开了Windows 自带的网络监视器。

chirontan · 发表于 2007-10-13 16:49:09

我检查过了，上面没什么自带的网络监视器呀，就是一般的办公电脑，诺盾也没提示过病毒，还有什么其它原因吗，为了确认我又用了PROMISCAN3.0.9.1扫描过了，还是显示那两台工作在混杂模式，可又看不出什么异常，开放的端口也只是一般的那些

xwy3260 · 发表于 2007-10-15 09:35:30

楼主可以这样试一下，在确定没有与这两台机器通讯的情况在，在cmd下输入arp -a。如果显示出这两台机器的ip与mac，那这两台机器确实有问题。楼主可以检测一下机器是否自运行了什么程序之类的东东。

Vurtne123 · 发表于 2007-10-15 09:53:03

原帖由 xwy3260 于 2007-10-15 09:35 发表
楼主可以这样试一下，在确定没有与这两台机器通讯的情况在，在cmd下输入arp -a。如果显示出这两台机器的ip与mac，那这两台机器确实有问题。楼主可以检测一下机器是否自运行了什么程序之类的东东。

混杂模式下只是监听不会发ARP数据包而且其他机器也不关心混杂模式的网卡接收还是丢弃数据包

robur · 发表于 2007-10-16 01:00:02

不能一概而论，也许是驱动的问题。
网卡的驱动，我算是服了……
标准的接口做一个中间层驱动都费劲啊……

chirontan · 发表于 2007-10-18 09:18:10

所以我觉的说，有些不要太迷信什么，工作在混杂模式的网卡都是SUFFER,那是不一定的