[科普中国]-数据包分析器

数据包分析器又名嗅探（Sniffers），是一种网络流量数据分析的手段，常见于网络安全领域使用，也有用于业务分析领域，一般是指使用嗅探器对数据流的数据截获与分组分析（Packet analysis）。

简介数据包分析器是一种计算机程序或片的计算机硬件可以拦截和日志经过交通数字网络或网络的一部分。当数据流通过网络时，嗅探器捕获每个数据包并且如果需要的话，解码分组的原始数据，显示分组中各个字段的值，并根据适当的RFC或其他规范分析其内容。

数据包捕获是拦截和记录流量的过程。1

功能在有线广播局域网（如以太网，令牌环网和FDDI网络）中，根据网络结构（集线器或交换机）可以从网络上的单台计算机捕获全部或部分网络上的流量。但是，有些方法可以避免交换机通过流量缩小来访问网络中其他系统的流量（如ARP欺骗）。出于网络监控的目的，还可能希望通过使用具有所谓的监控端口的网络交换机来监控LAN中的所有数据分组当系统连接到交换机端口时，镜像所有通过交换机所有端口的数据包。使用网络分流器是比使用监测端口更可靠的解决方案，因为在高流量负载期间分流器不太可能丢弃分组。

在无线局域网上，可以捕获特定通道上的流量，或使用多个适配器在多个通道上捕获流量。

在有线广播和无线局域网上，捕获单播流量之外的流量到运行嗅探器的机器，多播流量到机器正在监视的多播组，或者广播流量 -捕获流量的网络适配器必须处于混杂模式。一些嗅探器支持这个，但不是全部。在无线局域网中，即使适配器处于混杂模式，通常也会忽略不适合配置适配器服务集的数据包。要查看这些数据包，适配器必须处于监视模式。

在捕获流量时，要么记录整个数据包内容，要么记录头部，而不记录数据包的总内容。这可以减少存储需求，避免法律问题，但提供足够的信息来诊断问题。

捕获的信息从原始数字形式解码为人类可读的格式，使用户可以轻松查看交换的信息。协议分析器在多个视图中显示数据的能力各不相同，能够自动检测错误，确定错误的根本原因，生成时序图，重建TCP和UDP数据流等。

一些协议分析仪也可以生成流量，从而作为参考设备。这些可以作为协议测试者。这些测试人员为功能测试生成协议正确的流量，并且还可以有意识地引入错误来测试DUT处理错误的能力。

协议分析仪也可以是基于硬件的，不管是探测格式，还是越来越常见，与磁盘阵列相结合。这些设备将数据包（或数据包的一部分）记录到磁盘阵列。这允许对数据包进行历史取证分析，而无需用户重新创建任何故障。1

用途分析网络问题

业务分析

分析网络信息流通量

网络大数据金融风险控制

探测企图入侵网络的攻击

探测由内部和外部的用户滥用网络资源

探测网络入侵后的影响

监测链接互联网宽频流量

监测网络使用流量（包括内部用户，外部用户和系统）

监测互联网和用户电脑的安全状态

渗透与欺骗2

缺陷目前为止的嗅探均对加密数据不起作用，需要解密才可以得到需要的机密数据；

当用户在执行网络数据文件下载时，嗅探出来的是大量垃圾数据包。2

本词条内容贡献者为:

陈红 - 副教授 - 西南大学