..."En general, las técnicas utilizadas para la detección de sniffers parten de que, para olfatear tráfico en red, una computadora debe poner su interfaz de red en modo promiscuo -- Deshabilitar un filtro en hardware diseñado para ahorrar carga al sistema operativo, que descarta todos los paquetes que no estén dirigidos a esa tarjeta en particular o a la dirección MAC de broadcast (00:00:00:00:00:00).

Al recibir el sistema operativo un paquete no destinado a él, antes de entregarlo a libpcap para que lo procese y reporte al sniffer (o el proceso equivalente), lo pasa por su propia pila para ser procesado. Por lo tanto, si enviamos un ping a una dirección IP con la dirección MAC equivocada o si hacemos una solicitud ARP para una dirección IP sin que vaya en un paquete broadcast y recibimos respuesta, es clara indicación de que esa computadora está corriendo un sniffer.

Claro está, esto no siempre es fidedigno -- Hay varios métodos más, hay varios programas que nos ayudan a hacer estas búsquedas, y hay varias herramientas para ayudarnos a esconder la presencia de un sniffer (inclusive herramientas físicas -- un cable de red con los cables de recepción correctos pero los cables de transmisión cortados es indetectable por definición) el buscar sniffers poco softisticados en nuestra red es también una muy importante obligación de los administradores de sistemas. "...