网络剖析(又称网络嗅探、网络流量剖析、协议剖析、数据包剖析、网络偷听等)便是经过捕获网络流量并进行深化查看，了解网络中发生了什么情况的进程。从界说来看，网络剖析首要指在网络上，经过某台主机捕获其他主机之间的数据包完成对网络流量的监督、剖析或记载。不过在本书中，还包含了数据包的发送技能。

网络剖析器(network analyzer)一般用于通用协议数据包的解码，并以人可读的格局来显现网络流量的内容。而嗅探器(sniffer)则是监督网络上所传输数据的一种东西。未经授权的嗅探器会对网络安全构成威胁，由于它们具有难被发现而且可刺进在任何地方的特性，使其成为黑客最喜欢运用的一种东西。本书后边不会对网络剖析器与嗅探器做严厉区别，除非有特别阐明。

历史上，网络剖析器从前专心于经过贵重的、并难以运用的硬件设备来完成。而新出现的先进技能使得根据软件的网络剖析器的开发成为可行计划，其为有用进行网络剖析供给了一种更为快捷与廉价的东西，一起具有很强的网络剖析才能。

一个网络剖析器由硬件与软件两部分一起组成。它可所以一个带有特定软件的独自硬件设备，也可所以直接装置在台式电脑或笔记本电脑上的一个软件。虽然每种产品之间具有不同，但根本都是由下列五个根本部分组成的。

?硬件：大都网络剖析器是根据软件的，并作业于规范的操作体系与网卡之上。

不过有一些硬件网络剖析器会供给额定的功用，比方硬件毛病剖析(比方循环冗余纠错(CRC)过错、电压问题、网线问题、颤动(jitter)、逾限(jabber)、洽谈过错等)。除了部分网络剖析器仅支撑以太网或无线网适配器以外，其他的均可支撑多重适配器，并答应用户定制它们的装备。根据实践运用情况来看，网络剖析器或许也需求一个集线器或一个网线探针(cable tap)衔接已有的网线。

?捕获驱动器：这是网络剖析器中担任从网线上捕获原始网络数据包的组件。它会过滤出需求捕获的网络数据，并把所捕获的数据保存在一个缓冲区中。这是网络剖析器的中心，没有它就无法捕获网络数据包。

?缓冲区：该组件用于保存所捕获的数据，直到该缓冲区被填满停止。不过，假如选用循环缓冲区的方法，那么最新的数据将会替换最老的数据。

?实时剖析：该组件可对实时数据包进行剖析，也便是说数据包一脱离网线就可启用此组件。部分网络剖析器还用该组件监测网络功能问题，比方网络侵略检测体系利用它寻觅不合法的侵略活动。

?解码(器)：该组件用于显现网络数据包的内容。它以更便于人们了解的方法来描绘数据包，是可读的。解码特定于每个协议，因而网络剖析器当时支撑的可解码的协议数是改变的，网络剖析器或许需求常常参加新的解码协议。

别的，典型的网络剖析器一般会选用如下格局来显现所捕获网络流量的信息。

?概要：该窗格显现所捕获内容的概要信息，包含时刻、源地址、方针地址、最高层协议的称号、信息等内容。

?概况：该窗格供给捕获数据包所包含的每层内容的细节信息(选用树形结构)

?数据：该窗格用十六进制与文本格局显现捕获数据包的原始数据。

图1-1所示为Wireshark网络剖析器的主窗口。

[图片]图　1-1　Wireshark网络剖析器的主窗口

各种网络剖析器之间的首要不同在于所支撑的解码的协议数量、用户接口、图形化与计算才能等的不同。其他的不同则包含推理才能(比方专家剖析特性)与数据包解码的质量等的不同。虽然不同的网络剖析器或许会针对同一个协议进行解码，

据包解码的质量等的不同。虽然不同的网络剖析器或许会针对同一个协议进行解码，但实践作业质量或许并不相同。