被动嗅探的问题在于，除非您由于网络拓扑（例如您正在嗅探中继端口）或正在进行网络欺骗（例如 ARP欺骗）导致数据包被发送到您的设备。

如果他们在做后者，你只需要注意 ARP 欺骗攻击。许多 IDS 解决方案具有可以检测 ARP 欺骗的功能。捕获恶意设备的一种非常低质量的廉价方法是仅查找来自您不认识的 MAC 地址的数据包。更好的解决方案将已知的 MAC 地址与物理端口和设备相匹配，以便快速发现异常路由。

我想不出任何方法来检测完全被动的嗅探本身，但肯定可以通过 ARP 扫描、DHCP 探测或应用层广播（例如在 192.168.x. 255）并寻找来自您不认识的设备的响应。

撇开电缆拼接和窃听等物理攻击不谈，有几种方法可以找到流量嗅探器。正如@Polynomial 已经提到的，一种方法是检测将有用的（即其他人的）流量引导到嗅探器所需的流量篡改。执行此操作的示例程序是arpwatch.

另一种检测机制是使用探针来确定主机接口是否处于混杂模式。Nmap 有一个脚本sniffer-detect可以做到这一点，但也有其他程序。

总是有可能在本地机器上部署嗅探器来嗅探网络，它将流量缩小到仅本地主机，但如果正在进行有针对性的攻击以监视特定的人和/或主机，则它是有效的出于兴趣。

在某些情况下，这可能有点难以检测到，因为这种类型的嗅探本质上是被动的，甚至可能被 root-kits 等隐藏起来。

我想更详细地研究一下，但我记得我的一个网络朋友曾经告诉我一个先进的“ Fluke Tool”，它可以检测电缆的距离和电线上的任何物理距离。这不是使用网络流量，而是物理层中的某些东西，等等。我想如果您知道之前的状态，您可以定期扫描物理连接（在有线网络上）的任何变化，这可能会显示流氓连接。在大型网络上，这听起来有点不切实际。

解决此问题的更好方法可能是假设您在物理级别被窃听并使用 IPSec、VPN 等，以便未经授权的连接仅捕获加密数据。对于恶意内部人员，如果它是公司拥有的设备，希望您拥有系统管理工具、策略等来锁定软件并防止混杂模式（我相信在 Windows 上您需要管理员级别才能进入混杂模式）。