A snifferek általában arról ismerhetők fel legkönnyebben, hogy a hálózati interfészt promiscuous módba kapcsolják. Persze ez még nem jelenti, hogy azon a gépen, ahol az interface promiscuous módban van, ott sniffel valaki, mert néhány más program (pl. portscan detektor vagy hálózati forgalom mérő program) is átkapcsolja az interface-t. Arról pedig nem is beszélve, hogy sniffer futtatásával a hálózati forgalom biztonsági ellenőrzése is lehet a cél, tehát nem lehet egyértelműen a támadó szándék jeleként értelmezni.