所有的流量分析软件都必须要严格控制接入点吗

gaoqun2

镜像端口、共享集线器、网络分路器

抓包

简单的接入网络就不可以对流量进行分析吗?

iejtqy

是的,你说的简单接入网络是指就接普通交换机和路由器接口(没有镜像功能)吧!
这种入方式是可以抓到流量的,不过只能抓到本机的流量和广播数据包.如果要说为什么只能抓到本机的数据包的话,这就要讲到交换机的工作原理了.可以参考一下,
菜青虫的:[分享]网络分析前置知识（二）
http://www.csna.cn/forum.php?mod ... &extra=page%3D2
菜版的:网络协议分析软件安装部署简介!
http://www.csna.cn/forum.php?mod ... &extra=page%3D1
看了这些你就知道为什么了.

[ 本帖最后由 iejtqy 于 2008-10-27 17:10 编辑 ]

pctemplar

看来论坛最近的热心人不少啊，哈哈！

oldjiang

端口镜像，简单的说，就是所有流经源端口的包，都被转发到目标端口，目标端口上接的是分析软件比如科来、sniffer等
当网络出现故障的时候，比如慢、丢包、掉线，抓到尽可能多的包，才能更好的分析原因，分析才是有意义的
所以镜像的源端口一般是网络的出口
有些协议是基于广播的比如ARP，抓ARP扫描、环路等就可以不做端口镜像
参考http://www.csna.cn/forum.php?mod ... amp;page=1#pid52288