SNIFFER在图中位置部署的疑问 [自己假设]

artico

如下图
SNIFFER部署到上面的HUB中
此情况下，SNIFFER能捕获到局域网内所以的数据吗？
比如，从SWITHC 4到SWITCH 5的数据交换能捕获到吗？

http://www.csna.cn/forum.php?mod=viewthread&tid=355&extra=page%3D1好象没明确提到是不是可以全局捕获数据！！

菜青虫

若像LZ部署在图中HUB位置嗅探的话

1.  从SWITHC 4和SWITCH 5内部主机之间通讯的详细信息是不能嗅探到的，但是可以捕获到网能所有主机与外界的通讯情况（前提HUB不丢包的情况，想LZ的这个网络环境用HUB，真是小气啊，）

2.  要嗅探从SWITHC 4和SWITCH 5之间的详细通讯，就必须部署在SWITH2那个地方（局部嗅探）

artico

这么 说来。。。文章 网络协议分析软件安装部署简介!

里面的部署都只能是局部捕获喽，里面没特别提到这一点的～～～～

如果根据我上面的图，，有什么方法可以捕获到网内的所有数据，不管是移动位置还是添加设备？

immark

原帖由 菜青虫 于 2006-8-24 12:06 发表
若像LZ部署在图中HUB位置嗅探的话

1.  从SWITHC 4和SWITCH 5内部主机之间通讯的详细信息是不能嗅探到的，但是可以捕获到网能所有主机与外界的通讯情况（前提HUB不丢包的情况，想LZ的这个网络环境用HUB，真是小 ...

估计不是小气而使用HUB，而是交换机没有镜像功能吧，我们公司也是如此 ，所以只能通过HUB串连来捕获数据包了！

菜青虫

RE：artico
在理论上我们也是捕获了所有的数据包撒，这是交换环境，根据交换原理，交换机分割冲突域，划分了网段，他们之间常规是不能访问的啊！

HUB在比较打的环境中，或者说有大量数据传输的中，可能出现瓶颈啊等等情况，（嘿，我说小气都是开玩笑的话勒）

Roy

其实作为专业网络分析人士，应该常备HUB，现在100MB的共享式HUB很难找啦
虽然性能和功能上缺陷，但是在很多时候会起大作用。
不少公司上网出口带宽也不是很大，用HUB监控进出口也是很经济实惠的做法。

artico

谢谢大大们的回复。。。。
其实，我提起这个话题是想到得这个答案：  

如何在部署才能捕获到局域网内的所以数据？

因为对因特网来说，毕竟带宽小，而且出口少，所以对外网的捕获就容易很多。但是在局域网内就完全不同，多节点、大流量、超分散交换的环境，这样对所有数据的捕获目前还没看到有完美的方案。

希望大大们继续关注一下。。。

这里我找到一些分光器的设备
http://www.netis.com.cn/productdetail.asp?IDTree=.0.14.42.
不知道有朋友用过没，不知道能不能用这样东西实现上面的要求呢？

菜青虫

原帖由 artico 于 2006-8-26 16:24 发表
谢谢大大们的回复。。。。
其实，我提起这个话题是想到得这个答案：  

如何在部署才能捕获到局域网内的所以数据？


分路器（TAP），将通过它网络口的数据复制一份给监听口，不同档次的设备有不同的接入方式，有时和HUB同样用于非管理交换机的交换式网络中，但是比HUB有一定的优势，但是TAP价格有点贵！

还有个一个有趣的，在断电情况下：
若接的HUB，网络立即断掉；如果接的是TAP，网络正常通讯，只不过不再从网络口复制数据到监听口。

因为对因特网来说，毕竟带宽小，而且出口少，所以对外网的捕获就容易很多。但是在局域网内 ...

我觉得LZ要结合网络环境中一些设备的工作原理啊。网络分析软件是帮助我们查找网络问题，他需要部署与网络环境中抓包（注意从属关系哦，呵呵）

就比如说在LZ的环境吧，如果我们要抓取所有主机的通讯情况，最下一级的交换机如果是普通交换机，他下面所接的主机之间的详细通讯是不能捕获到的，因为交换机的工作原理决定了撒，他又是普通的交换机，如果你把这个交换机换成是一个HUB，其下面所接主机之间的通讯就 能捕捉到！这也是根据HUB的工作原理所决定的，

所以我们所说的捕捉网络中的所有数据，一定要结合实际情况！并不是完美状态！

[ 本帖最后由 菜青虫 于 2006-8-28 14:42 编辑 ]

artico

Sniffer Infinistream这个东西不知道行不行，，是个硬件来的。。。图片看起来还很好看的，跟服务器一个样。。牛

也许这个问题目前还有点不实际，，至少对我们来说还是有点遥远的，，这里大家就当是聊天，，随意发表个人意见吧。。