1. 以太网工作原理
以太网采用带冲突检测的载波侦听多路访问(CSMA/CD)检测机制。以太网节点都可以收到网络中发送的所有信息,因此,以太网是一种广播网络。数据传输是以广播方式进行的。
当以太网中的一台主机要传输数据时,它将按如下步骤进行:
- 侦听信道上是否有信号在传输。如果有的话,表明信道处于忙状态,就继续帧听,直到信道空闲为止。
- 若没有侦听到任何信号,就传输数据。
- 传输的时候继续帧听,如果发现冲突则执行退避算法,随机等待一段时间后,重新执行步骤1(当冲突发生时,涉及冲突的计算机会发送一个拥塞序列,以警告所有的节点)。
- 若未发现冲突则发送成功,计算机会返回到帧听信道状态。
以太网中的每台主机一次只允许发送一个包,所有计算机在试图再发一次数据之前,必须在最近一次发送后等待9.6微秒(10Mbps)。
2. 网卡工作方式
在以太网络中,所有通讯都是以广播方式工作的,同一个网段内的所有网络接口都可以访问在物理媒体上传输的所有数据,而每一个网络接口都有一个唯一的硬件地址,即MAC地址。在正常的情况下,一个网络接口只可能响应以下两种数据帧:与自己MAC地址相匹配的数据帧和 发向所有机器的广播数据帧。但在实际的系统中,数据的收发一般都是由网卡完成的,而网卡的工作模式有以下4种:
- 广播:这种模式下的网卡能接收发给自己的数据帧和网络中的广播数据帧。(默认)
- 组播:这种模式下的网卡只能够接收组播数据帧。
- 直接:这种模式下的网卡只能接收发给自己的数据帧。
- 混杂:这种模式下的网卡能接收通过网络设备上的所有数据帧。
从上面可知,虽然网卡在默认情况下仅能接收发给自己的数据和网络中的广播数据,但我们可以强制将网卡置于混杂模式工作,那么此时该网卡便会接收所有通过网络设备的数据,而不管该数据的目的地是谁。
3. 网络分析软件的原理
嗅探技术:通过将网卡的工作模式置为混杂模式(promiscuous),并接收通过网卡的所有数据包,从而达到嗅探(监听)的目的,这种技术就是嗅探(监听)技术。
结合以上描述的工作原理,网络分析软件就是遵循以太网工作模式,它基于以太网嗅探技术,以旁路接入的方式进行工作。系统首先将本地机器上的网卡置为混杂模式,使其通过嗅探技术捕获网络中传输的所有数据包,然后将这些数据包传递到系统内部进行分析,再将分析结果以文本,图表等不同的方式实时显示在界面中。…
[ 本帖最后由 菜青虫 于 2006-8-24 19:48 编辑 ] |
发表于 2006-8-24 17:16:29
发表于 2006-8-24 18:15:12
发表于 2006-8-25 14:00:02
