今天早上一个朋友问我，说啥工具发现网络中被嗅探的比较好，我说 ISS的anti-Sniffer不行吗，他说太慢！后来记起来以前逛网路的时候看到过 这样的一个程序，也是antisniffer类型的，所以又把其找了出来. 
Sentinel主要是设计思想是portable,arrcurateimplementation,就是说 小巧点，精确实现几个熟知的杂乱方式探测技术。其中Sentinel支持三种方法的 远程杂乱探测模式：DNS测试，Etherping测试，和ARP测试，其中还有一种ICMP pingLatency(ICMPPING反应时间）正在开发中。 
此程序需要Libnet和libpcap库来支持，大家可以到下面的地址去下载： LIbnet1.0:http://www.packetfactory.net/Projects/libnet 
libpcap0.4:ftp://ftp.ee.lbl.gov/libpcap-0.4.tar.Z  
首先说下它其中使用的三种模式： 
ARP测试模式： 
这种方法是采用发送一个ARP请求，其中包含所有正确 信息除了伪造的目标主机MAC硬件地址给我们的目标主机，这样如果目 标主机没有处于杂乱模式，它将不会理睬这些信息包，因为这些信息包 其认为不是指定给它们的，所以不会进行响应和回复，但如果此目标机器 处于杂乱模式，ARP请求就会发生并进行内核处理，通过机器的回应信息 我们就可以知道其处于杂乱模式。这种方法结合内核的特性来查看机器 的运作状态，请看下面的Etherping测试模式。 -
DNS测试模式： 
DNS测试主要是针对网络数据收集工具能执行IP到名字 反转解析来提供DNS名字来代替IP地址（TheDNStestsoperateon thepremisethatmanyattackernetworkdata

gatheringtools performIPtonameinverseresolutiontopro

videDNSnamesin placeofIPaddresses）。在执行反转查询中，工具会从被动网络工具 模式转变为主动网络工具，而那些没有监视网络书记的工具就不会去解析 信息包中的IP地址。利用这种信息，ANTISNIFFER工具可以自身在本地主机 中变为杂乱模式并在我们网络中发送无数个伪造的主机，这样，ANTISNIFFER 工具就可以嗅探DNS请求来查看目标是否在请求解析那些不存在主机。 
Etherping测试模式： 
Etherping测试模式依赖于目标主机的内核，也就所谓的内核测试。 在通常情况下，硬件网络接口卡过滤和丢弃那些MAC地址不同于自己机器 上的MAC地址的信息包或者不是广播Ethernet地址的地址。就是说信息包 是正确和实际的Ethernet地址或者是广播Ethernet地址，接口就会把这些 地址COPY和传递给内核进行进一步处理。