sniffer

Sniffer軟件是NAI公司推出的一款一流的便攜式網管和應用故障診斷分析軟件，不管是在有線網絡還是在無線網絡中，它都能夠給予網管管理人員實時的網絡監視、數據包捕獲以及故障診斷分析能力。對於在現場運行快速的網絡和應用問題故障診斷，基於便攜式軟件的解決方案具備最高的性價比，卻能夠讓用户獲得強大的網管和應用故障診斷功能。 ^[1] 

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

int main(intargc,char**argv) {intsock,n;charbuffer[2048];unsignedchar*iphead,*ethhead;structifreqethreq;intno=0;//

設置原始套接字方式為接收所有的數據包if((sock=socket(PF_PACKET,SOCK_RAW,htons(ETH_P_IP)))<0){perror(“\n原始套接字建立失敗\n”);exit(1);}//設置網卡工作方式為混雜模式，

SIOCGIFFLAGS請求表示需要獲取接口標誌strncpy(ethreq.ifr_name,”eth0”,IFNAMSIZ);//InterfaceNamesizeif(ioctl(sock,SIOCGIFFLAGS,ðreq)==-1){perror(“\n設置混雜工作模式失敗\n”)；close(sock);exit(1);}//開始捕獲數據並進行簡單分析While(1){n=recvfrom(sock,buffer,2048,0,NULL,NULL);no++;printf(“\n************%dpacket%dbytes************\n”,no,n);//檢查包是否包含了至少完整的以太幀（14），IP（20）和TCP/UDP（8）包頭if(n<42){perror(“recvfrom():”);exit(0);}ethhead=buffer;printf(“DestMACaddress:%02x:%02x:%02x:%02x:%02x:%02x\n”,ethhead[0],ethhead[1],ethhead[2],ethhead[3],ethhead[4],ethhead[5]);printf(“SourceMACaddress:%02x:%02x:%02x:%02x:%02x:%02x\n”,ethhead[6],ethhead[7],ethhead[8],ethhead[9],ethhead[10],ethhead[11]);iphead=buffer+14;/*跳過Ethernetheader*/if(*iphead==0x45){/*DoublecheckforIPv4*andnooptionspresent*/printf(“Sourcehost:%d.%d.%d.%d,”,iphead[12],iphead[13],iphead[14],iphead[15]);printf(“Desthost:%d.%d.%d.%d\n”,iphead[16],iphead[17],iphead[18],iphead[19]);printf(“Sourceport:%d,Destport:%d”,(iphead[20]<<8)+iphead[21],(iphead[22]<<8)+iphead[23]);if(iphead[9]==6)printf(“TCP\n”);elseif(iphead[9]==17)printf(“UDP\n”);elseprintf(“protocolid:%d\n”,iphead[9]);}}} ^[2] 

在講述Sniffer的概念之前，首先需要講述局域網設備的一些基本概念。

數據在網絡上是以很小的稱為幀（Frame）的單位傳輸的，幀由幾部分組成，不同的部分執行不同的功能。幀通過特定的稱為網絡驅動程序的軟件進行成型，然後通過網卡發送到網線上，通過網線到達它們的目的機器，在目的機器的一端執行相反的過程。接收端機器的以太網卡捕獲到這些幀，並告訴操作系統幀已到達，然後對其進行存儲。就是在這個傳輸和接收的過程中，嗅探器會帶來安全方面的問題。

每一個在局域網（LAN）上的工作站都有其硬件地址(MAC地址)，這些地址惟一地表示了網絡上的機器（這一點與Internet地址系統比較相似）。當用户發送一個數據包時，這些數據包就會發送到LAN上所有可用的機器。

如果使用Hub/即基於共享網絡的情況下，網絡上所有的機器都可以“聽”到通過的流量，但對不屬於自己的數據包則不予響應（換句話説，工作站A不會捕獲屬於工作站B的數據，而是簡單地忽略這些數據）。如果某個工作站的網絡接口處於混雜模式（關於混雜模式的概念會在後面解釋），那麼它就可以捕獲網絡上所有的數據包和幀。

但是現代網絡常常採用交換機作為網絡連接設備樞紐，在通常情況下，交換機不會讓網絡中每一台主機偵聽到其他主機的通訊，因此Sniffer技術在這時必須結合網絡端口鏡像技術進行配合。而衍生的安全技術則通過ARP欺騙來變相達到交換網絡中的偵聽。

Sniffer程序是一種利用以太網的特性把網絡適配卡（NIC，一般為以太網卡）置為雜亂（promiscuous）模式狀態的工具，一旦網卡設置為這種模式，它就能接收傳輸在網絡上的每一個信息包。

普通的情況下，網卡只接收和自己的地址有關的信息包，即傳輸到本地主機的信息包。要使Sniffer能接收並處理這種方式的信息，系統需要支持BPF，Linux下需要支持SOCKET一PACKET。但一般情況下，網絡硬件和TCP/IP堆棧不支持接收或者發送與本地計算機無關的數據包，所以，為了繞過標準的TCP/IP堆棧，網卡就必須設置為我們剛開始講的混雜模式。一般情況下，要激活這種方式，內核必須支持這種偽設備Bpfilter，而且需要root權限來運行這種程序，所以sniffer需要root身份安裝，如果只是以本地用户的身份進入了系統，那麼不可能嗅探到root的密碼，因此不能運行Sniffer。

也有基於無線網絡、廣域網絡(DDN, FR)甚至光網絡(POS、Fiber Channel)的監聽技術，這時候略微不同於以太網絡上的捕獲概念，其中通常會引入TAP (測試介入點)這類的硬件設備來進行數據採集 ^[3]  。

Sniffer分為軟件和硬件兩種，軟件的Sniffer有 Sniffer Pro、Network Monitor、PacketBone等，其優點是易於安裝部署，易於學習使用，同時也易於交流；缺點是無法抓取網絡上所有的傳輸，某些情況下也就無法真正瞭解網絡的故障和運行情況。硬件的Sniffer通常稱為協議分析儀，一般都是商業性的，價格也比較昂貴，但會具備支持各類擴展的鏈路捕獲能力以及高性能的數據實時捕獲分析的功能。

基於以太網絡嗅探的Sniffer只能抓取一個物理網段內的包，就是説，你和監聽的目標中間不能有路由或其他屏蔽廣播包的設備，這一點很重要。所以，對一般撥號上網的用户來説，是不可能利用Sniffer來竊聽到其他人的通信內容的。

當一個黑客成功地攻陷了一台主機，並拿到了root權限，而且還想利用這台主機去攻擊同一（物理）網段上的其他主機時，他就會在這台主機上安裝Sniffer軟件，對以太網設備上傳送的數據包進行偵聽，從而發現感興趣的包。如果發現符合條件的包，就把它存到一個Log文件中去。通常設置的這些條件是包含字“username”或“password”的包，這樣的包裏面通常有黑客感興趣的密碼之類的東西。一旦黑客截獲得了某台主機的密碼，他就會立刻進入這台主機。

如果Sniffer運行在路由器上或有路由功能的主機上，就能對大量的數據進行監控，因為所有進出網絡的數據包都要經過路由器。

Sniffer屬於第M層次的攻擊。就是説，只有在攻擊者已經進入了目標系統的情況下，才能使用Sniffer這種攻擊手段，以便得到更多的信息。

Sniffer除了能得到口令或用户名外，還能得到更多的其他信息，比如一個重要的信息、在網上傳送的金融信息等等。Sniffer幾乎能得到任何在以太網上傳送的數據包 ^[4]  。

網絡的安全性和高可用性是建立在有效的網絡管理基礎之上的,網絡管理包括配置管理、故障管理、性能管理、安全管理和計費管理五大部分。對於企業計算機網絡來説，網絡故障管理主要側重於實時的監控，而網絡性能管理更看中歷史分析。

Sniffer網絡分析儀是一個網絡故障、性能和安全管理的有力工具，它能夠自動地幫助網絡專業人員維護網絡，查找故障，極大地簡化了發現和解決網絡問題的過程，廣泛適用於Ethernet、Fast Ethernet、Token Ring、Switched LANs、FDDI、X.25、DDN、Frame Relay、ISDN、ATM和Gigabits等網絡。

1. 對異常的網絡攻擊的實時發現與告警；

2. 對高速網絡的捕獲與偵聽；

3. 全面分析與解碼網絡傳輸的內容；

1. 各種網絡鏈路的運行情況；

2. 各種網絡鏈路的流量及阻塞情況；

3. 網上各種協議的使用情況；

4. 網絡協議自動發現；

5. 網絡故障監測；

1. 任意網段應用流量、流向；

2. 任意服務器應用流量、流向；

3. 任意工作站應用流量、流向；

4. 典型應用程序響應時間；

5. 不同網絡協議所佔帶寬比例；

6. 不同應用流量、流向的分佈情況及拓撲結構；

1. 對各種現有網絡協議進行解碼；

2. 對各種應用層協議進行解碼；

3. Sniffer協議開發包（PDK）可以讓用户簡單方便地增加用户自定義的協議；

運用強大的專家分析系統幫助維護人員在最短時間內排除網絡故障；

根據用户習慣，Sniffer可提供實時數據或圖表方式顯示統計結果，統計內容包括：

網絡統計：如當前和平均網絡利用率、總的和當前的幀數及字節數、總站數和激活的站數、協議類型、當前和總的平均幀長等。

協議統計：如協議的網絡利用率、協議的數、協議的字節數以及每種協議中各種不同類型的幀的統計等。

差錯統計：如錯誤的CRC校驗數、發生的碰撞數、錯誤幀數等。

站統計：如接收和發送的幀數、開始時間、停止時間、消耗時間、站狀態等。最多可統計1024個站。

幀長統計：如某一幀長的幀所佔百分比，某一幀長的幀數等。

當某些指標超過規定的閾值時，Sniffer可以自動顯示或採用有聲形式的告警。

Sniffer可根據網絡管理者的要求，自動將統計結果生成多種統計報告格式，並可存盤或打印輸出。

高度複雜的網絡協議分析工具能夠監視並捕獲所有網絡上的信息數據包，並同時建立一個特有網絡環境下的目標知識庫。智能的專家技術掃描這些信息以檢測網絡異常現象，並自動對每種異常現象進行歸類。所有異常現象被歸為兩類：一類是symptom（故障徵兆提示，非關鍵事件例如單一文件的再傳送），另一類是diagnosis（已發現故障的診斷，重複出現的事件或要求立刻採取行動的致命錯誤）。經過問題分離、分析且歸類後，Sniffer將實時地，自動發出一份警告、對問題進行解釋並提出相應的建議解決方案。

Sniffer與其他網絡協議分析儀最大的差別在於它的人工智能專家系統(Expert System)。簡單地説，Sniffer能自動實時監視網絡，捕捉數據，識別網絡配置，自動發現網絡故障並進行告警，它能指出：

網絡故障發生的位置，以及出現在OSI第幾層。

網絡故障的性質，產生故障的可能的原因以及為解決故障建議採取的行動。

Sniffer 還提供了專家配製功能，用户可以自已設定專家系統判斷故障發生的觸發條件。

有了專家系統，您無需知道那些數據包構成網絡問題，也不必熟悉網絡協議，更不用去了解這些數據包的內容，便能輕鬆解決問題。

Sniffer的軟件非常豐富，可以對在各種網絡上運行的400多種協議進行解碼，如TCP/IP、Novell Netware、DECnet、SunNFS、X-Windows、HTTP、TNS SLQ*Net v2(Oracle)、Banyan v5.0和v6.0、TDS/SQL(Sybase)、X.25、Frame Realy、PPP、Rip/Rip v2、EIGRP、APPN、SMTP等。還廣泛支持專用的網絡互聯橋/路由器的幀格式。

Sniffer可以在全部七層OSI協議上進行解碼，目前沒有任何一個系統可以做到對協議有如此透徹的分析；它採用分層方式，從最低層開始，一直到第七層，甚至對Oracle數據庫、SYBASE數據庫都可以進行協議分析；每一層用不同的顏色加以區別。

Sniffer對每一層都提供了Summary(解碼主要規程要素)、Detail(解碼全部規程要素)、Hex(十六進制碼)等幾種解碼窗口。在同一時間，最多可以打開六個觀察窗口。

Sniffer還可以進行強制解碼功能(Protocl Forcing)，如果網絡上運行的是非標準協議，可以使用一個現有標準協議樣板去嘗試解釋捕獲的數據。

Sniffer提供了在線實時解碼分析和在線捕捉，將捕捉的數據存盤後進行解碼分析二種功能。

當信息以明文的形式在網絡上傳輸時，便可以使用網絡監聽的方式來進行攻擊。將網絡接口設置在監聽模式，便可以將網上傳輸的源源不斷的信息截獲。Sniffer技術常常用於網絡故障診斷、協議分析、應用性能分析和網絡安全保障等各個領域。

Sniffer被 Network General公司註冊為商標，這家公司以出品Sniffer Pro系列產品而知名。目前最新版本為Sniffer Portable 4.9，這類產品通過網絡嗅探這一技術方式，對數據協議進行捕獲和解析，能夠大大幫助故障診斷和網絡應用性能的分析鑑別。

Network General 已經被NetScout公司收購。

1、專用領域的Sniffer

Sniffer被廣泛應用到各種專業領域，例如FIX (金融信息交換協議)、MultiCast(組播協議)、3G (第三代移動通訊技術)的分析系統。其可以解析這些專用協議數據，獲得完整的解碼分析。

2、長期存儲的Sniffer應用

由於現代網絡數據量驚人，帶寬越來越大。採用傳統方式的Sniffer產品很難適應這類環境，因此誕生了伴隨有大量硬盤存儲空間的長期記錄設備。例如nGenius Infinistream等。

3、易於使用的Sniffer輔助系統

由於協議解碼這類的應用曲高和寡，很少有人能夠很好的理解各類協議。但捕獲下來的數據卻非常有價值。因此在現代意義上非常流行如何把協議數據採用最好的方式進行展示，包括產生了可以把Sniffer數據轉換成Excel的BoneLight類型的應用和把Sniffer分析數據進行圖形化的開源系統PacketMap等。這類應用使用户能夠更簡明地理解Sniffer數據。

4、無線網絡的Sniffer

傳統Sniffer是針對有線網絡中的局域網而言，所有的捕獲原理也是基於CSMA/CD的技術實現。隨着WLAN的廣泛使用，Sniffer進一步擴展到802.11A/B/G/N的無線網絡分析能力。無線網絡相比傳統網絡無論從捕獲的原理和接入的方式都發生了較大改變。這也是Sniffer技術發展趨勢中非常重要的部分.

隨着互聯網多層次性、多樣性的發展，網吧已由過去即時通信、瀏覽網頁、電子郵件等簡單的應用，擴展成為運行大量在線遊戲、在線視頻音頻、互動教學、P2P等技術應用。應用特點也呈現出多樣性和複雜性，因此，這些應用對我們的網絡服務質量要求更為嚴格和苛刻。

目前，大多數網吧的網絡設備不具備高端網絡設備的智能性、交互性等擴展性能，當網吧出現掉線、網絡卡、遭受內部病毒攻擊、流量超限等情況時，很多網絡管理員顯得心有餘而力不足。畢竟，靠網絡管理員的經驗和一些簡單傳統的排查方法：無論從時間上面還是準確性上面都存在很大的誤差，同時也影響了工作效率和正常業務的運行。

Sniffer Pro 著名網絡協議分析軟件。本文利用其強大的流量圖文系統Host Table來實時監控網絡流量。在監控軟件上，我們選擇了較為常用的NAI公司的sniffer pro，事實上，很多網吧管理員都有過相關監控網絡經驗：在網絡出現問題、或者探查網絡情況時，使用P2P終結者、網絡執法官等網絡監控軟件。這樣的軟件有一個很大優點：不要配置端口鏡像就可以進行流量查詢（其實sniffer pro也可以變通的工作在這樣的環境下）。這種看起來很快捷的方法，仍然存在很多弊端：由於其工作原理利用ARP地址表，對地址表進行欺騙，因此可能會衍生出很多節外生枝的問題，如掉線、網絡變慢、ARP廣播巨增等。這對於要求正常的網絡來説，是不可思議的。

在這裏，我們將通過軟件解決方案來完成以往只有通過更換高級設備才能解決的網絡解決方案，這對於很多管理員來説，將是個夢寐以求的時刻。

硬件環境（網吧）：

100M網絡環境下，92台終端數量，主交換採用D-LINK（友訊）DES-3226S二層交換機(支持端口鏡像功能)，級聯普通傻瓜型交換機。光纖10M接入，華為2620做為接入網關。

軟件環境：

操作系統Windows2003 Server企業標準版（Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003）、NAI協議分析軟件-Sniffer Portable 4.75（本文選用網絡上較容易下載到的版本做為測試）

環境要求：

1、如果需要監控全網流量，安裝有Sniffer Portable 4.7.5(以下簡稱Sniffer Pro)的終端計算機，網卡接入端需要位於主交換鏡像端口位置。（監控所有流經此網卡的數據）

2、Snffier pro 475僅支持10M、100M、10/100M網卡，對於千M網卡，請安裝SP5補丁，或4.8及更高的版本

監控目的：通過Sniffer Pro實時監控，及時發現網絡環境中的故障（例如病毒、攻擊、流量超限等非正常行為）。對於很多企業、網吧網絡環境中，網關（路由、代理等）自身不具備流量監控、查詢功能，本文將是一個很好的解決方案。Sniffer Pro強大的實用功能還包括：網內任意終端流量實時查詢、網內終端與終端之間流量實時查詢、終端流量TOP排行、異常告警等。同時，我們將數據包捕獲後，通過Sniffer Pro的專家分析系統幫助我們更進一步分析數據包，以助更好的分析、解決網絡異常問題。

步驟一：配置交換機端口鏡像（Mirroring Configurations）

以DES-3226S二層交換機為例，我們來通過WEB方式配置端口鏡像（也可用CLI命令行模式配置）。如果您的設備不支持WEB方式配置，請參考相關用户手冊。

1.DES-3226S默認登陸IP為：10.90.90.90 因此，需要您配置本機IP為相同網段才可通過瀏覽器訪問WEB界面。

2.使用鼠標點擊上方紅色字體：“Login”,如果您是第一次配置，輸入默認用户名稱、密碼:admin 自動登陸管理主界面。

3.如圖所示，主界面上方以圖形方式模擬交換機界面，其中綠色燈亮起表示此端口正在使用。下方文字列出交換機的一些基本信息。

5.將Mirror Status 選擇為Enable（默認為關閉狀態，開啓），本例中將Port-1端口設置為監聽端口:Target Port=Port-1，其餘端口選擇為Both，既：監聽雙向數據（Rx接收 Tx發送），選擇完畢後，點擊Apply應用設置。4.如圖（3）：鼠標點擊左下方菜單中的advanced setup->Mirroring Configurations （高級配置—鏡像配置）

此時所有的端口數據都將複製一份到Port-1。

步驟二：Sniffer Pro 安裝、啓動、配置接下來，我們就可以在Port-1端口，接入計算機並安裝配置Sniffer Pro。

Sniffer Pro 安裝過程與其它應用軟件沒有什麼太大的區別，在安裝過程中需要注意的是：

①Sniffer Pro 安裝大約佔用70M左右的硬盤空間。

②安裝完畢Sniffer Pro後，會自動在網卡上加載Sniffer Pro 特殊的驅動程序。

③安裝的最後將提示填入相關信息及序列號，正確填寫完畢，安裝程序需要重新啓動計算機。

④對於英文不好的管理員可以下載網上的漢化補丁。

我們來啓動Sniffer Pro。第一次啓動Sniffer Pro時,需要選擇程序從那一個網絡適配器接收數據，我們指定位於端口鏡像所在位置的網卡。

具體位於：File->Select Settings->New

名稱自定義、選擇所在網卡下拉菜單，點擊確定即可。

步驟三：新手上路，查詢網關流量這樣我們就進入了Sniffer Pro的主界面。

下面以圖文的方式介紹，如何查詢網關（路由、代理：219.*.238.65）流量，這也是最為常用、重要的查詢之一。

1． 掃描IP-MAC對應關係。這樣做是為了在查詢流量時，方便判斷具體流量終端的位置，MAC地址不如IP地址方便。

選擇菜單欄中Tools->Address Book 點擊左邊的放大鏡（autodiscovery 掃描）在彈出的窗口中輸入您所要掃描的IP地址段，本例輸入：219.*.238.64-219.*.238.159點擊OK，系統會自動掃描IP-MAC對應關係。掃描完畢後，點擊DataBase->Save Address Book 系統會自動保存對應關係，以備以後使用。

2.查看網關流量。點擊Monitor->Host Table，選擇Host table界面左下角的MAC-IP-IPX中的MAC。（為什麼選擇MAC？在網絡中，所有終端的對外數據，例如使用QQ、瀏覽網站、上傳、下載等行為，都是各終端與網關在數據鏈路層中進行的）

如圖所示：3.找到網關的IP地址->選擇single station->bar (本例中網關IP為219.*.238.65)

219.*.238.65（網關）流量TOP-10 此圖為實時流量圖。在此之前如果我們沒有做掃描IP（Address Book）的工作，右邊將會以網卡物理地址-MAC地址的方式顯示，現在轉換為IP地址形式（或計算機名），現在很容易定位終端所在位置。流量以3D柱形圖的方式動態顯示，其中最左邊綠色柱形圖與網關流量最大，其它依次減小。本圖中219.*.238.93與網關流量最大，且與其它終端流量差距懸殊，如果這個時候網絡出現問題，可以重點檢查此IP是否有大流量相關的操作。

如果要查看219.*.238.65（網關）與內部所有流量通信圖，我們可以點擊左邊菜單中，排列第一位的->MAP按鈕

如圖所示,網關與內網間的所有流量都在這裏動態的顯示。

綠色線條狀態為：正在通訊中需要注意的是：

暗藍色線條狀態為：通信中斷

線條的粗細與流量的大小成正比

圖2(15張)

如果將鼠標移動至線條處,程序顯示出流量雙方位置、通訊流量的大小（包括接收、發送）、並自動計算流量佔當前網絡的百分比。

其它主要功能：

PIE：餅圖的方式顯示TOP 10的流量佔用百分比。

Detail：將Protocol(協議類型)、From Host（原主機）、in/out packets/bytes(接收、發送字節數、包數)等字段信息以二維表格的方式顯示。

第四步：基於IP層流量

1.為了進一步分析219.*.238.93的異常情況，我們切換至基於IP層的流量統計圖中看看。

點擊菜單欄中的Monitor->Host Table，選擇Host Table界面左下角的MAC-IP-IPX中的IP。

2.找到IP：219.*.238.93地址（可以用鼠標點擊IP Addr排序，以方便查找）->選擇single station->bar （如圖11所示）

3.我們切換至Traffic Map來看看它與所有IP的通信流量圖。

為了進一步的證明我們的猜測，我們去看看219.*.228.93的流量協議分佈情況。我們可以從219.*.238.93的通信圖中看到，與它建立IP連接的情況。圖中IP連接數目非常大，這對於普通應用終端來講，顯然不是一種正常的業務連接。我們猜測，該終端可能正在進行有關P2P類的操作，比如正在使用P2P類軟件進行BT下載、或者正在觀看P2P類在線視頻等。

4.如圖所示：Protocol類型絕大部分為Othen.我們知道在Sniffer Pro中Othen表示未能識別出來協議，如果提前定義了協議類型，這裏將會直接顯現出來。

如圖通過菜單欄下的Tools->Options->Protocols,在第19欄中定義14405（bitcomet的默認監聽端口），取名為bitcom。

現在我們再次查看219.*.238.93協議分佈情況.

現在，協議類型大部分都轉換為bitcom，這樣我們就可以斷定，此終端正在用bitcomet做大量上傳、下載行為。

注意：很多P2P類軟件並沒有固定的使用端口，且端口也可以自定義，因此使用本方法雖然不失為一種檢測P2P流量的好方法，但並不能完全保證其準確性。

好了，使用Sniffer Pro監控網關流量，就到這裏結束了。實際上我們可以用同樣的方法監控網絡內的任何一台終端。後續，我們將繼續連載使用Sniffer Pro監控網絡的其它新手教程，例如：利用Sniffer pro做網絡的預警機制、利用Sniffer pro分析病毒、通過包分析結合專家系統發現網絡內存在的“未知問題”，以後我們將陸續做更深一步的探討和分析。

概念解釋：

1.什麼是端口鏡像?

把交換機一個或多個端口（VLAN）的數據鏡像到一個或多個端口的方法。

2.為什麼需要端口鏡像 ?

交換機的工作原理與HUB有很大的不同，HUB組建的網絡數據交換都是通過廣播方式進行的，而交換機組建的網絡是根據交換機內部CAM表（通常也稱IP-MAC表）進行數據轉發，因此需要通過配置交換機來把一個或多個端口（VLAN）的數據轉發到某一個端口來實現對網絡的監聽。

3.端口鏡像通常有以下幾種別名：

①Port Mirroring 通常指允許把一個端口的流量複製到另外一個端口，同時這個端口不能再傳輸數據。

②Monitoring Port 監控端口

③panning Port 通常指允許把所有端口的流量複製到另外一個端口，同時這個端口不能再傳輸數據。

④PAN Port 在 Cisco 產品中，SPAN 通常指 Switch Port ANalyzer。某些交換機的 SPAN 端口不支持傳輸數據。