Você pode tentar executar lsof (1) e verificar todos os processos que têm sockets abertos como SOCK_RAW . Isso provavelmente lhe dará pelo menos um falso positivo, caso você esteja executando algum tipo de cliente DHCP, mas também revelará processos executando uma interface de rede no modo promíscuo.
Tente algo assim:
sudo lsof -Pnl | grep SOCK_RAW