Protokollanalysatorer, även kända som nätverkssniffers eller paketniffers, fångar alla ramar (eller paket) på ett nätverkssegment genom att använda en teknik som heter
promiskuous läge .
Så här fungerar det:
1. Nätverksgränssnittskort (NIC) Konfiguration: En normal NIC får bara ramar riktade till sin egen MAC -adress. En protokollanalysators NIC sätts i promiskuöst läge. Detta förändrar NIC:s beteende.
2. Promiskuös läge Drift: I promiskuöst läge får NIC * alla * ramar som överförs på nätverkssegmentet, oavsett deras destination MAC -adress. I huvudsak kopierar den varje ram som den ser på tråden.
3. Fånga och filtrering: Protokollanalysatorprogramvaran får sedan dessa fångade ramar från NIC. Medan det fångar allt initialt, möjliggör det ofta filtrering. Denna filtrering låter dig ange kriterier (t.ex. specifika protokoll, IP -adresser, portnummer) för att fokusera på relevant trafik och undvika att överväldiga analysatorn med onödiga data. Den ofiltrerade fångsten lagras ofta i en fil för senare analys.
4. Fysisk skiktåtkomst: Metoden för åtkomst till det fysiska lagret i nätverket skiljer sig ut baserat på anslutningstypen. För trådbundna nätverk (Ethernet) är det vanligtvis via en direkt anslutning till nätverksomkopplaren eller navet. Trådlösa nätverk använder en trådlös adapter i monitorläge.
Viktiga överväganden:
* Etiska och juridiska konsekvenser: Att använda en protokollanalysator kräver noggrant övervägande av etiska och juridiska konsekvenser. Att fånga nätverkstrafik utan tillstånd är olagligt i många jurisdiktioner.
* Prestandapåverkan: Att fånga all nätverkstrafik kan påverka nätverksprestanda avsevärt, särskilt på långsammare nätverk eller de med höga trafikvolymer.
* Nätverkstopologi: Effektiviteten av att fånga alla ramar beror på nätverkstopologin. Till exempel att fånga all trafik på ett växlat nätverk kräver att du placerar analysatorn på en plats där den kan "se" trafiken. Däremot, i ett navbaserat nätverk, skulle analysatorn få all trafik som nav sänder alla ramar till alla anslutna enheter.
Sammanfattningsvis ligger nyckeln till en protokollanalysators förmåga att fånga alla ramar i kombinationen av NIC:s promiskuösa läge och dess programvara förmåga att ta emot och bearbeta de fångade uppgifterna.
