Что такое сниффер? Если он пассивный (без ARP спуфинга) то единственный способ обнаружить его проверить что сетевая карта работает в разнородном режиме (т.е. принимает все пакеты, а не только те которые ей предназначены). Лучше способа нет.
Например можно использовать:
http://www.securitylab.ru/software/233036.php

В догонку к сказанному:

Если речь идёт об обнаружении PROMISC режима на сетевом интерфейсе
(в который его заводит снифер), то для этого можно использовать
ещё один способ. Не знаю, есть ли софт для этого, но технология такая:

С проверяющей машины отсылается  ARP ответ на неbroadcast адрес.
причём ответ содержит правильную информацию (о том что к IP адресу нашей проверяющей
машины привязан такой-то MAC). После этого шлём ping пакет (echo request), на броадкаст адрес сети, но при этом - с левого MAC'а.  Echo reply мы теоретически получим только от интерфейса, который в PROMISC режиме.

Есть ещё технология, которая определяет сниффер по изменениям в характеристиках доступности
хостов (по-моему это делает AntiSniff от l0pht). Суть техники в том, что сниффер
вынужден хотябы частично парсить проходящий трафик. И теоретически - чем больше объём прокачиваемой по сети информации - тем больше ресурсов он кушает и тем более 'медленным' становится хост, на котором он работает. Это проявляется например в увеличении задержек при ответах на пинги. Т.е. замеряются текущие задержки, затем искусственно генерируется большой объём трафика и при этом всё замеряется снова. В этом случае, хост на котором работает снифер, теоретически должен себя выдать (через разницу в задержках до и во время сетевой нагрузки).

Этот метод хорош тем, что он работоспособен и в ситуациях, когда в сети есть сниффер НЕ ВКЛЮЧАЮЩИЙ promisc режим (например, если используется ARP poisoning, при котором promisc вовсе необязателен).

Удачи.

Не откидывает.
если forwarding включён.

to Shaker:
Включить форвардинг - это включить маршрутизацию (это касается *nix'ов).
т.е. включил форвардинг - и сервер стал router'ом. А именно:
если он получает пакет, который ему не предназначен, то отправляет его дальше, в соответствии со своей таблицей маршрутизации. А если в таком же случае форвардинг выключен, то пакет просто дропается.