引用:http://linux.chinaunix.net/techdoc/net/2007/05/23/958486.shtml
网络抓包分析方法大全
经常遇到有些朋友在问,为什么我只能看到我自己的通讯?为什么我没有看到XX的通讯情况?是软件的局限性吗?……其实这类问题,不是软件的局限,而是由于软件的安装部署不当造成的。
我们知道,网络协议分析软件以嗅探方式工作,它必须要采集到网络中的原始数据包,才能准确分析网络故障。但如果安装的位置不当,采集到的数据包将会存在较大的差别,从而会影响分析的结果,并导致上述问题的出现。
鉴于这种情况,我认为对网络协议分析软件的安装部署进行介绍非常有必要,但由于没有过多的时间,于是下面我对其进行简单介绍。
一般情况下,网络协议分析软件的安装部署有以下几种情况:共享式网络使用集线器(Hub)作为网络中心交换设备的网络即为共享式网络,集线器(Hub)以共享模式工作在OSI层次的物理层。如果您局域网的中心交换设备是集线器(Hub),可将网络协议分析软件安装在局域网中任意一台主机上,此时软件可以捕获整个网络中所有的数据通讯,其安装简图如下。
具备镜像功能的交换式网络
使用交换机(Switch)作为网络的中心交换设备的网络即为交换式网络。交换机(Switch)工作在OSI模型的数据链接层,它的各端口之间能有效分隔冲突域,由交换机连接的网络会将整个网络分隔成很多小的网域。
如果您网络中的交换机具备镜像功能时,可在交换机上配置好端口镜像,再将网络协议分析软件安装在连接镜像端口的主机上,此时软件可以捕获整个网络中所有的数据通讯,其安装简图如下。
不具备镜像功能的交换式网络
一些简易的交换机可能并不具备镜像功能,不能通过端口镜像实现网络的监控分析。这时,可采取在交换机与路由器(或防火墙)之间串接一个分路器(Tap)或集线器(Hub)的方法来完成数据捕获,其安装简图如下。
定点分析一个部门或一个网段
在实际情况中,网络的拓扑结构往往非常复杂,在进行网络分析时,我们并不需要分析整个网络,只需要对某些异常工作的部门或网段进行分析。这种情况下,可以将网络协议分析软件安装于移动电脑上,再附加一个分路器(Tap)或集线器(Hub),就可以很方便的实现任意部门或任意网段的数据捕获,其安装简图如下。
代理服务器共享上网
当前的小型网络中,有很大一部分都可能仍然通过代理服务器共享上网,对这种网络的分析,直接将网络分析软件安装在代理服务器上就可以了,其安装简图如下。
注意:这种情况下的分析,需要同时对代理服务器的内网卡和外网卡进行数据捕获。
