我听说有一些工作已经完成，比如anti-sniff，它看起来使用时间信息来检测处于混杂模式的机器。

这个想法是混杂模式下的机器必须处理它们看到的所有数据包，因此如果有大量流量需要处理，系统将很忙并且响应定向流量的速度较慢。

这种方法，如果它仍然可行的话，不会在所有情况下都有效。例如，如果主机没有 IP 地址，它仍然可以潜在地嗅探流量，并且无法使用这种方法检测到它。

然而，这是一种可以探索的可能方法。

可以完全被动地嗅探非交换以太网或 wifi 上的数据包。像Throwing Star Lan Tap这样的工具使这变得更加容易。在这种被动情况下，您实际上无能为力。

但是，如果您在交换局域网上，任何嗅探器都必须开始毒化 ARP 缓存，即使仅在交换机上也是如此。这是你可以更容易检测到的东西，并且是一个很好的早期警告，表明有人正在策划一些邪恶的事情。

如果系统运行嗅探器，其界面将处于混杂模式。测试是这样进行的：向网络发送一个带有正确 IP 地址但 MAC 地址错误的 ping。嗅探主机将响应 ping 数据包，因为它将以混杂模式接收每个数据包。nmap 中有一个现成的脚本来支持这种检测。

http://nmap.org/nsedoc/scripts/sniffer-detect.html

但是：此方法仅在以下情况下有效，

1. 嗅探主机在同一个 Layer2 网络上
2. 嗅探主机没有阻止传入 icmp 数据包的防火墙
3. 嗅探主机使用启用了 TCP/IP 的接口进行嗅探，因此能够回答 ICMP 数据包。

资料来源：http ://ask.wireshark.org/questions/14351/detectprevent-wireshark