绝处逢生：受指点获Snifer大法

　　“老哥给我个软件和文档吧!”孙钰感到这些实在废话一堆，于是不耐烦的请求。在得到了一份Sinffer软件和相关文档后，他基本上可以使用Sniffer监听内网信息了。其实这很简单，通过在网管机安装软件之后就可以将网卡设置成混杂模式的，在HUB组网的情况下，Sniffer工作非常正常。但随着交换机的成本和价格的大幅度降低，这家公司外包项目，实现了交换网络，孙钰发现自己的Sniffer表盘中指针不再出现摆动，有的时候就像一滴水掉进沙漠里，不见了。

　　打开QQ，老好人不在?留言2天仍不见其踪影，听着“我在佛前苦苦等了你一千年”的歌声，老好人终于上线。这次，孙钰耐性的请教了人家，并做好了笔记，内容总结如下：

　　监听模式普遍用于内部网络的监控管理，监听模式部署遇到的最大问题是部署与安装问题。早期以太网中，很多网络都通过共享式HUB(集线器)组建，这个模式是一个比较通用的方法，但由于HUB基本都是10M的，因此在网络性能上将很大限制，也意味丢包的危险。目前HUB几乎到了淘汰的命运，不适合大型网络环境，通过交换机接口镜像功能部署是最理想的方法。

　　陷困境：交换机网络如何部署Sniffer?

　　Sniffer就是这样一款经典工具，它在总线型网络，或者会所共享网络中的工作是顺畅的，你可能都不用搞懂HUB和网卡的工作原理就可以开始配置Sniffer，但在交换式网络中实现还是那么简单吗?

　　在交换以太网的环境下，两台工作站之间的通讯是不会被第三者侦听到的。因此，当部署一般的Sniffer工具后，就没有办法监听网络流量了，这该怎么办?小孙再次陷入困境。

　　在上述情况下，可能会需要进行这样的侦听，如：协议分析、流量分析、入侵检测。以孙钰公司购买的Cisco交换机为例，可以设置智能地捕获网络流量的交换接口分析工具(SPAN)和远程交换接口分析工具(RSPAN)，有效地分析通过接口或VLAN的网络流量。

　　借助SPAN或RSPAN，可以将一个交换机的接口映像至另一个交换机接口，即发送流量的备份到该交换机或者其他交换机的另一个接口，这样，只需将分析或侦听设备连接至监控接口，即可实现对被监听接口的分析和侦听。由于SPAN采用复制(或镜像)源接口或源VLAN上的接收或发送(或两者都有的)流量到目的接口，因此，SPAN不影响源接口或VLAN的网络交换。事实上，除了SPAN或RSPAN会话所需的流量之外，目的接口不会接收或转发流量。

　　Cisco交换机的SPAN (Switched Port Analyzer交换接口分析器)特性，其它厂商称为“接口镜像”、“监控接口”功能。侦听的对象可以是一个或多个交换机接口，或者整个VLAN。如果要侦听的接口(源接口)或VLAN和连接监控工作站的接口(目标接口)在同一台交换机上，只需配置SPAN，如图2所示。

图2 同一台交换机上的SPAN