原帖由 artico 于 2006-8-29 08:46 发表
个人觉得,科来软件工作原理最主要还是把网卡工作于混杂模式来接受共享区域内的所有数据,至于提到的旁路侦听的多种方式中,顶多有用到ARP 欺骗方式,所以总的来说,科来包括其它协议分析软件对于目前的交换环境适 ...
你说的是对的,但不完全正确。
科来网络分析系统在抓包的时候,是把抓包的网卡置为混杂模式,从而接收传送到该网卡的所有数据包,而不管该数据包的目的地是不是当前的网卡。
另外,科来肯定是旁路侦听方式接入网络。所谓旁路,是指它不改变网络现有的网络拓扑结构,相当于在现有的网络拓扑情况下,增加一条并联的线路。不论数据包是什么类型,不管它的目的地在哪,不论它是否能够跨网卡,只要借助于旁路侦听和网卡的混杂模式,科来就能将这些数据包抓取下来。
科来包括所有的协议分析软件是适用于交换环境的,不然为何在交换环境下仍然能抓到包呢?只是默认情况下,交换机每个端口之间分隔了冲突域,所以它不像共享网络一样,数据包会转发到除发送端口以外的所有端口,但是借助于交换机镜像功能,就可以将这些数据包转发一份到镜像端口,从而完成数据的捕获。
所有,科来以及所有的协议分析软件,是同时适用于共享式网络和交换式网络的。 |
发表于 2006-8-27 09:09:50
发表于 2006-8-27 11:17:08
