[TbMA]

На эти темы на самом деле много статей написано. Все началось со статейки l0pht-ов и их-же программы Anti-Sniff.

Все "универсальные" программы действуют по предложенным ими-же методам. А основной метод простой - если сетевая карта находится в promiscous режиме - то она обрабатывает намного больше пакетов, чем все остальные. Т.е. такой компьютер будет тормозить. Если послать ему много информации - то он будет больше тормозить.
Т.е. если пинговать несущесвующие хосты (или виртуальные машины) - то тормозить будет реальная машина.

Однако это все в идеале. Компьютер ведь может и тормозить по другим причинам? Может он что-то свое делает. Т.е. разлет в торможении будет большой, и у нас могут быть и ложные срабатывания.

Все остальные методы зависят от установленных программ и операционных систем. Т.е. например если "сниффер" делает ресолв каждого IP в имя - мы посылаем в сеть много трафика для несуществующих хостов и (своим сниффером) смотрим кто будет ресолвить их в имена. И т.д. Но он-же может их и не ресолвить.