今天早上一個朋友問我，說啥工具發現網絡中被嗅探的比較好，我說 ISS的anti-Sniffer不行嗎，他說太慢！后來記起來以前逛網路的時候看到過 這樣的一個程序，也是antisniffer類型的，所以又把其找了出來. 
Sentinel主要是設計思想是portable,arrcurateimplementation,就是說 小巧點，精確實現幾個熟知的雜亂方式探測技術。其中Sentinel支持三種方法的 遠程雜亂探測模式：DNS測試，Etherping測試，和ARP測試，其中還有一種ICMP pingLatency(ICMPPING反應時間）正在開發中。 
此程序需要Libnet和libpcap庫來支持，大家可以到下面的地址去下載： LIbnet1.0:http://www.packetfactory.net/Projects/libnet 
libpcap0.4:ftp://ftp.ee.lbl.gov/libpcap-0.4.tar.Z  
首先說下它其中使用的三種模式： 
ARP測試模式： 
這種方法是采用發送一個ARP請求，其中包含所有正確 信息除了偽造的目標主機MAC硬件地址給我們的目標主機，這樣如果目 標主機沒有處于雜亂模式，它將不會理睬這些信息包，因為這些信息包 其認為不是指定給它們的，所以不會進行響應和回復，但如果此目標機器 處于雜亂模式，ARP請求就會發生并進行內核處理，通過機器的回應信息 我們就可以知道其處于雜亂模式。這種方法結合內核的特性來查看機器 的運作狀態，請看下面的Etherping測試模式。 -
DNS測試模式： 
DNS測試主要是針對網絡數據收集工具能執行IP到名字 反轉解析來提供DNS名字來代替IP地址（TheDNStestsoperateon thepremisethatmanyattackernetworkdata

gatheringtools performIPtonameinverseresolutiontopro

videDNSnamesin placeofIPaddresses）。在執行反轉查詢中，工具會從被動網絡工具 模式轉變為主動網絡工具，而那些沒有監視網絡書記的工具就不會去解析 信息包中的IP地址。利用這種信息，ANTISNIFFER工具可以自身在本地主機 中變為雜亂模式并在我們網絡中發送無數個偽造的主機，這樣，ANTISNIFFER 工具就可以嗅探DNS請求來查看目標是否在請求解析那些不存在主機。 
Etherping測試模式： 
Etherping測試模式依賴于目標主機的內核，也就所謂的內核測試。 在通常情況下，硬件網絡接口卡過濾和丟棄那些MAC地址不同于自己機器 上的MAC地址的信息包或者不是廣播Ethernet地址的地址。就是說信息包 是正確和實際的Ethernet地址或者是廣播Ethernet地址，接口就會把這些 地址COPY和傳遞給內核進行進一步處理。