一、网络通讯掉包率反常的高

　　通过一些网络软件，可以看到信息包传送情况，向ping这样的命令会告诉你掉了百分几的包。如果网络中有人在Listen，那么信息包传送将无法每次都顺畅的流到目的地。(这是由于sniffer拦截每个包导致的) 。

　　二、网络带宽出现反常

　　通过某些带宽控制器(通常是防火墙所带)，可以实时看到目前网络带宽的分布情况，如果某台机器长时间的占用了较大的带宽，这台机器就有可能在监听。在非高速信道上，如56Kddn等，如果网络中存在sniffer,你应该也可以察觉出网络通讯速度的变化。

　　三、查看计算机上当前正在运行的所有程序。

　　但这通常并不可靠，但可以控制计算机中程序运行。在Unix系统下使用下面的命令：　ps -aux 　或：　ps -augx。 这个命令列出当前的所有进程，启动这些进程的用户，它们占用CPU的时间，占用内存的多少等等。

　　Windows系统下，按下Ctrl+Alt+Del，看一下任务列表。不过，编程技巧高的sniffer即使正在运行，也不会出现在这里的。

　　系统中搜索，查找可疑的文件。但入侵者可能使用自己编写的程序，所以都会给发现sniffer造成相当大的困难。

　　还有许多工具，能用来看看你的系统会不会在杂收模式。从而发现是否有一个sniffer正在运行。

　　防止sniffer 驻入

　　对于嗅探器如此强大的‘灵敏度’，你最关心的可能是传输一些比较敏感的数据，如用户ID或口令等等。有些数据是没有经过处理的，一旦被sniffer，就能获得这些信息，解决这些问题的办法是加密。

　　介绍一下SSH，全名Secure Shell，是一个在应用程序中提供安全通信的协议，建立在客户机/服务器模型上的。SSH服务器的分配的端口是22，连接是通过使用一种来自RSA的算法建立的，在授权完成后，接下来的通信数据是用IDEA技术来加密的。这通常是较强的，适合与任何非秘密和非经典的通讯。

　　SSH后来发展成为F-SSH，提供了高层次的，军方级别的对通信过程的加密。它为通过TCP/IP网络通信提供了通用的最强的加密。如果某个站点使用F-SSH，用户名和口令成为不是很重要的一点。目前，还没有人突破过这种加密方法。即使是sniffer，收集到的信息将不再有价值，当然最关键的是怎样使用它。