由于局域網采用廣播方式傳輸信息，只要進入局域網的特定廣播域，就可以監聽到所有的信息包。黑客通過對信息包進行分析，可以獲取局域網上傳輸的一些敏感內容。很多黑客入侵時都把局域網掃描和偵聽作為其最基本的步驟和手段，希望通過這種手段獲取訪問密碼等關鍵信息。但另一方面，信息安全技術人員對黑客的入侵活動和其他網絡犯罪進行偵測取證時，也可以使用網絡監聽技術來獲取必要的信息。

網絡監聽本來是供網絡安全技術人員使用的管理工具，用來監視網絡的狀態、數據流動情況及網絡上傳輸的信息等。當信息以明文形式在網絡上傳輸時，監聽并不是一件難事，只要將所使用的網絡端口設置成(鏡像)監聽模式，便可以源源不斷地截獲網上傳輸的信息。網絡監聽可以在聯網的任何位置實施。

對局域網之所以能夠實現網絡監聽，是由于普遍應用的以太網協議使用廣播方式工作。以太網在通信時，包含物理地址的數據幀從稱為網卡的網絡適配器發送到物理線路上，進而發送到物理上連接在一起的所有計算機，數據幀中含有應該接收數據包的目標計算機地址。當數據幀到達一臺計算機的網絡接口時，在常規工作模式下，只有與數據幀中目標地址相同的計算機才能接收：網卡讀入數據幀，進行檢查，如果數據幀中的物理地址是本機的或者是廣播地址，則將數據幀交給上層(IP層)協議軟件，否則就將這個幀丟棄；對于每一個到達網絡接口的數據幀，都要重復這個過程。但是，如果將計算機設置為監聽模式工作，無論數據幀中的目標地址是什么，只要能夠到達該計算機的網卡，都會交給上層協議軟件處理，因而可以監聽這些數據包的內容。一臺處于監聽模式工作的計算機，甚至還能接收到發向與自己不在同一個IP子網計算機的數據包，即同一條物理信道上傳輸的所有信息都可以被接收到。如果用戶的賬戶名和口令等信息以明文方式在網上傳輸，黑客或網絡攻擊者就可以容易地通過網絡監聽得到這些感興趣的內容。

網絡監聽是很難被發現的，因為運行網絡監聽的計算機只是被動地接收在局域網上傳輸的信息。為了防范網絡監聽，建議采取以下措施。

1.檢測可能存在的網絡監聽

對于懷疑在進行網絡監聽的計算機，可以通過使用正確的和錯誤的地址測試方法，運行監聽程序的計算機會有響應。因為正常的入網計算機不接收包含錯誤物理地址的數據幀，但是處于監聽狀態的計算機是能夠接收和響應的。還可以運用反監聽工具進行檢測。另外，通過向網上發送大量不存在的物理地址的數據包，然后比較發送前后被懷疑計算機的性能，也是一種判斷方法。這是由于監聽程序在分析和處理大量數據包時會占用很多的CPU資源，將導致計算機性能下降。這種方法難度比較大。

2.采取多種措施防范網絡監聽

防范網絡監聽目前有這樣幾種常用的措施：從邏輯或物理上對網絡分段，以交換式集線器代替共享式集線器，使用加密技術和劃分虛擬局域網。網絡分段通常被認為是控制網絡廣播風暴的一種基本手段，同時也是保證網絡安全的一項措施，通過將非法用戶與敏感的網絡資源隔離開來，從而防止可能的非法網絡監聽。通過中心交換機對局域網進行網絡分段后，如果網絡最終用戶計算機的接入是通過共享式集線器，局域網監聽的危險仍然存在。因為在使用共享式集線器的情況下，兩臺機器之間數據通信的單播數據包(Unicast Packet)仍然能夠被連接到同一臺集線器上的其他計算機監聽到。以交換式集線器代替共享式集線器，使單播包僅在兩個網絡節點之間傳送，可以防止非法監聽。交換式集線器只能控制單播包，無法控制廣播包(Broadcast Packet)和組播包(Multicast Packet)。廣播包和組播包內的敏感信息通常要遠少于單播包。使用加密技術是防范網絡監聽的有效手段。數據經過加密后，通過監聽雖然可以得到傳送的信息，但顯示的內容不可讀。使用加密技術的缺點是影響數據傳輸的速度，如果加密程度不高，一旦被攻破秘密就全部暴露。劃分虛擬局域網，也可以防止大部分基于網絡監聽的入侵。