网络嗅探教程：为什么要部署使用Sniffer PRO软件

【51CTO.com 独家特稿】作为一个网络管理人员，几乎无时无刻不面对着网络问题。我的朋友有一次打趣道：“我见过一个技艺颇为高深的人，他解决网络问题，别人只需要告诉他有什么现象，他立刻就能指出问题所在！”。我听了哈哈大笑，见他说话的时候一脸粉丝相，便想要挫挫他。回应说：“恩，改天你让他过来解决我网络的问题吧！”

后来，我反复回想这段对话。更觉得不无道理。我们知道，很多有经验的网络管理员在排除网络故障时不需要进行任何分析，就能指出问题的所在。当你告诉他网速慢、业务运行不流畅时，不假思索，他就能立即指问题在那个终端交换机或者路由器出了问题。当你告诉他在一个时段内，财务数据依靠网络不能正常运行，他甚至能立即指出是有台服务器的网卡出现“间歇性罢工”。

实际上，这种近乎神奇的直觉并不是来无踪去无影的神机妙算。相反，它正是建立在对网络环境熟悉、问题积累程度的基础之上。很多网络管理员都具备这种“素质”—这就是经验。

但是，在网络业务日益膨胀的今天，企业对于网络的依赖，无论是业务种类的增加还是业务对网络吸附性都是前所未有的。以往依靠“经验”来分析解决问题，无论从准确性还是效率上都无法适应目前的新形式。依靠经验，你可能可以解决一些问题，但仍然无法在错综复杂的网络中找到问题的解决思路，仅仅是头痛医头脚痛医脚。

解决问题的思路，往往要比问题本身更重要。一个“工具”就是一个解决问题的思路。在这里我们使用Snffer PRO做为检测网络故障的工具。事实上，除了Snffer PRO外，很多朋友还使用例如：网络执法官、P2P终结者、聚生网管等其它网络检测工具，这里简单比较一下它们的区别：

图1

尽管Snffer PRO集众多优秀功能于一身，但对软件部署却有一定的要求。首先Snffer PRO只能嗅探到所在链路上“流经”的数据包，如果Snffer PRO被安装在交换网络中普通PC位置上不做任何设置，那么它仅仅能捕获本机数据。因此，Snffer PRO的部署位置决定它所能嗅探到的数据包。它能嗅探到的数据包，又决定它所能分析的网络环境。

在以往HUB为中心的共享式网络中Snffer PRO的部署非常简单，只需要将它安置在你需要的网段中任意位置即可。但是随着LAN的发展，HUB也在近几年迅速的消声灭迹，网络也由以往共享式演变成以交换机为中心的交换式网络，因此在交换环境下的Snffer 软件部署又有了新的内容。目前大多使用SPAN和TAP。

SPAN（Switch Port Analysis）：我们经常说的端口镜像大多指SPAN。SPAN技术可以把交换机上我们想要监控的端口的数据镜像到被称为MIRROR端口上，MIRROR端口连接安装有Snffer PRO程序或者专用嗅探硬件设备。

TAP：除了SPAN外，我们还可以选择TAP方式来部署Sniffer，在没有专用TAP设备时，HUB是一个不错的TAP折中方案。使用这种方式部署Sniffer，HUB将做为广播设备被放置在需要嗅探的中心接点位置上。这种方式之所以被称为折中“方案”或者“廉价方案”是因为HUB本身属于共享设备从而对现有高速网络的影响。另外，当需要变动嗅探环境时，HUB的部署位置也需要变动，需要中断网络。

总体来讲：SPAN的方式使用简单、灵活，可以监控同一交换机上的多个VLAN环境或者多条链路。而TAP方式由于不需要硬件设备功能支持也倍受喜爱，这就是我们常常见到很多协议分析人员随身携带HUB的原因。
下图为简单的Sniffer PRO部署图例，可以做为参考。

图2

想要更详细了解SPAN和TAP，可以查看《TAP 技术与镜像技术正反两方面的评述》一文。

【51CTO.COM 独家特稿，转载请注明出处及作者！】

【相关文章】

• 网络嗅探教程：使用Sniffer Pro监控网络流量

• 网络嗅探教程：使用Sniffer Pro监控ARP协议欺骗

• 网络嗅探教程：使用Sniffer PRO监控“广播风暴”

• 专题：Sniffer安全技术专题