数据包分析器又名嗅探(Sniffers),是一种网络流量数据分析的手段,常见于
网络安全领域使用,也有用于业务分析领域,一般是指使用嗅探器对
数据流的数据截获与
分组分析(Packet analysis)。
数据包分析器是一种
计算机程序或片的
计算机硬件可以拦截和日志经过交通数字
网络或网络的一部分。当
数据流通过网络时,嗅探器捕获每个
数据包并且如果需要的话,解码分组的原始数据,显示分组中各个字段的值,并根据适当的
RFC或其他规范分析其内容。
在有线
广播局域网(如
以太网,
令牌环网和
FDDI网络)中,根据网络结构(
集线器或
交换机)可以从网络上的单台计算机捕获全部或部分网络上的流量。但是,有些方法可以避免交换机通过流量缩小来访问网络中其他系统的流量(如
ARP欺骗)。出于网络监控的目的,还可能希望通过使用具有所谓的监控端口的
网络交换机来监控LAN中的所有数据分组当系统连接到交换机端口时,镜像所有通过交换机所有端口的数据包。使用
网络分流器是比使用监测端口更可靠的解决方案,因为在高流量负载期间分流器不太可能丢弃分组。
在有线广播和
无线局域网上,捕获
单播流量之外的流量到运行嗅探器的机器,
多播流量到机器正在监视的多播组,或者
广播流量 -捕获流量的
网络适配器必须处于
混杂模式。一些嗅探器支持这个,但不是全部。在无线局域网中,即使适配器处于混杂模式,通常也会忽略不适合配置适配器服务集的数据包。要查看这些数据包,适配器必须处于监视模式。
在捕获流量时,要么记录整个数据包内容,要么记录
头部,而不记录数据包的总内容。这可以减少存储需求,避免法律问题,但提供足够的信息来诊断问题。
捕获的信息从原始数字形式解码为人类可读的格式,使用户可以轻松查看交换的信息。
协议分析器在多个视图中显示数据的能力各不相同,能够自动检测错误,确定错误的根本原因,生成时序图,重建TCP和UDP数据流等。
一些
协议分析仪也可以生成流量,从而作为参考设备。这些可以作为协议测试者。这些测试人员为功能测试生成协议正确的流量,并且还可以有意识地引入错误来测试DUT处理错误的能力。
协议分析仪也可以是基于硬件的,不管是探测格式,还是越来越常见,与磁盘阵列相结合。这些设备将数据包(或数据包的一部分)记录到磁盘阵列。这允许对数据包进行历史取证分析,而无需用户重新创建任何故障。