進行高效的數(shù)據(jù)包分析的一個關鍵決策是在哪里放置數(shù)據(jù)包嗅探器，以恰當?shù)牟蹲骄W絡數(shù)據(jù)。

安置嗅探器的挑戰(zhàn)是要考慮到種類繁多的用來連接網絡的硬件設備（集線器、交換機、路由器等）。

1. 混雜模式

你需要一個支持混雜模式驅動的網卡，才可能在網絡上嗅探數(shù)據(jù)包。

他是一種允許網卡能夠查看到所有流經網絡線路數(shù)據(jù)包的驅動模式。

2. 在集線器連接的網絡中進行嗅探

流經集線器的所有網絡數(shù)據(jù)包都會被發(fā)送到每一個集線器連接的端口，因此，要想分析一臺連接到集線器上的電腦的網絡通信，只需將數(shù)據(jù)包嗅探器連接到集線器的任意一個空閑端口上。

令人遺憾的是，集線器網絡已經非常罕見了。

3. 在交換機網絡中

當你將嗅探器連接到交換機的一個端口時，你將只能看到廣播數(shù)據(jù)包，及由你自己電腦傳輸與接收的數(shù)據(jù)包。

在一個交換式網絡中從一個目標設備捕獲網絡流量的基本方法有如下四種：

• 端口鏡像
• 集線器接出
• 使用網絡分流器
• ARP欺騙攻擊

3.1 端口鏡像

強制交換機將一個端口的所有通信都鏡像到另一個端口。

3.2 集線器輸出

將目標設備和分析系統(tǒng)分段到統(tǒng)一網絡段中，然后把它們直接出入到一個集線器上。

** 操作步驟： **

1. 找到目標設備所連接的交換機，并將目標設備連接網線從交換機上拔掉。
2. 將目標設備的網線接入到你的集線器上。
3. 使用另一個網線，將你的嗅探分析器也連接到集線器上。
4. 從你的集線器連接一根網線到交換機上，將集線器連接到網絡上。

3.3 使用網絡分流器

是一個硬件設備，可以放置在網絡布線系統(tǒng)的兩個端點之間，來捕獲這兩個端點之間的數(shù)據(jù)包。

3.4 ARP欺騙

進行網絡線路監(jiān)聽最讓人喜歡的技術，就是ARP欺騙。

• ** ARP查詢過程 **
  網絡上的所有設備相互通信時在第3層上均使用IP地址，由于交換機在OSI模型的第2層工作，它們只認識第2層上的MAC地址，因此網絡設備必須在它們創(chuàng)建的數(shù)據(jù)包中包含這些信息。當這些設備不知道通信對方的MAC地址時，必須要通過已知的第3層IP地址進行查詢，這樣才可能通過交換機將流量傳輸給相應的設備。

這些翻譯過程就是通過第2層上的ARP協(xié)議來進行實施的。連接到以太網的計算機的ARP查詢過程，是從一臺計算機想要與另一臺進行通信時開始的。發(fā)起通信的計算機首先檢查自己的ARP緩存，查看它是否已經有對方IP地址對應的MAC地址。

如果不存在，它將往數(shù)據(jù)鏈路層廣播地址FF:FF:FF:FF:FF發(fā)送一個ARP廣播請求包，作為一個廣播數(shù)據(jù)包，它會被這個特定的以太網廣播域上的每臺計算機接收，這個請求包問道：“某某IP地址的MAC地址是什么？”

不匹配目標IP地址的計算機會簡單的選擇丟棄這個請求包。而目標計算機則選擇答復這個數(shù)據(jù)包，通過ARP應答告知它的MAC地址。此時，發(fā)起通信的計算機就獲取到了數(shù)據(jù)鏈路層的尋址信息，便可以利用它與遠端計算機進行通信，同時將這些信息保存在ARP緩存中，來加速以后的網絡訪問。

• ** ARP欺騙是如何工作的 **
  ARP欺騙，有時也被稱為ARP緩存中毒，是通過發(fā)送包含虛假MAC地址的ARP信息，以劫持其他計算機流量的過程。

ARP欺騙是一種在交換式網絡中進行監(jiān)聽的高級技術。它通常由攻擊者用于向客戶端系統(tǒng)發(fā)送虛假地址的數(shù)據(jù)包，以截獲特定的網絡流量或者對目標進行拒絕服務（Dos）攻擊。然而，它也可以是一種在交換式網絡中捕獲目標系統(tǒng)數(shù)據(jù)包的合法方式。

4. 在路由網絡中進行嗅探

所有在交換式網絡中用來監(jiān)聽網絡線路的技術在路由網絡環(huán)境中都同樣適用。唯一需要重點考慮的問題是：當調試一個設計多個網絡分段的故障時，如何安置嗅探器？

5. 部署嗅探器實踐指南

確定哪種是最合適的網絡監(jiān)聽方法的流程圖.png