嗅探的时候，防火墙能发现吗？

这取决与你的嗅探实现方式，比如Win2k通过RawSocket嗅探的话，绿色境界防火墙就可以看到你的嗅探进程创建了一个RawSocket，如果采用底层驱动，比如winpcap、或者其他的嗅探方式，一般的防火墙都无法发现，因为他们关注的是SOCKET层的操作，比如监听端口、连接状态等。不过防火墙或许可以检测出你的网卡处于混杂模式。
探测本机的网卡是否处于混杂模式，很容易实现。但探测网络上其他机器的网卡是否处于混杂模式，似乎很难实现。我在网上看到过一片嗅探与反嗅探技术的文章，提出一种思路：修改帧的目标MAC地址。非混杂模式的网卡是不会接收这种错误的帧，混杂模式的网卡则会接收。而帧的其余部分都是正确的，都能正确解码。则通过检测目标接口是否回应数据包 来判断该接口是否处于混杂模式。
这种想法很有趣，但本人测试了一下，结果却是：无论是否是混杂模式，目标接口对这种修改过目标MAC的数据包都不回应。
看来这种做法行不通了！我想可能是，网卡驱动在对以太网帧解码时，进行了MAC地址核对。
至此，本人也没有什么办法解决：探测网络上的接口是否处于混杂模式 这个问题了。不知道大家还有什么办法。
E-mail:fengzhou8828@sina.com
QQ:64213380
to fengzhou8828:
   你指的是用发送伪广播地址(ff:ff:ff:ff:ff:fe)的ARP Request数据报来检测处于混杂模式的网卡吗？可以的，只不过偶有误报
广播地址所有接口都能收到，这样无法判断某个网卡是否是混杂模式！
我说的是把目标MAC改成一个不存在的地址，而其他部分都是正确的。可惜的是这种办法也不管用！
正常的广播地址为(ff:ff:ff:ff:ff:ff)，所有的网卡都会响应，但是用(ff:ff:ff:ff:ff:fe)，非混杂模式的网卡就不响应了
嗅探中的win2000系统还会对16位伪广播地址(ff:ff:00:00:00:00)做出回应；而嗅探中的win95/98/me会回应8位伪广播地址(ff:00:00:00:00:00)，而*NIX系统对各种广播地址所做出的反应有些不同，但基本上对31位(ff:ff:ff:ff:ff:fe)都会回应。