其它……

协议分析仪通常是软硬件的结合，通常使用专用硬件或设置为专用方式的网卡实施对网络中的数据扑捉。捕获在网络中传输的数据信息方法称为sniffing（嗅探）。

以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的主机会接受这个数据包。如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为“混杂”模式(P 模式)。这是协议分析仪扑捉数据的基础，它的产生是由共享网络的方式而来的。

对于今天的以太网交换机，答案开始变成“视情况而定”。根据设计，大多数交换机不允许用户查看从服务器到工作站的流量状况（用户正在使用的那台工作站除外）。事实上，这种情况通过端口映射技术可能解决。具体来讲，就是将传送到交换机上某个端口的传输流复制到另一个端口。但需要注意的是，目前的交换机又分为可管理的交换机和不可管理的交换机，不可管理的交换机价格比可管理的交换机要便宜，但通常缺少进行端口映射的能力。有些交换机虽然自称是可管理的，但实际上可能不过是支持SNMP，也许仍不具有端口映射功能。在用户为网络购买新交换机时，这是一个需要搞清楚的重要问题。

如果用户的交换机不支持端口映射，也有方法来解决。这些方法对于在交换环境下的协议分析工作来说更加常用：

廉价和方便的方法：可以在被测试的工作站与网络之间安装一台集线器。将协议分析仪连接到这台集线器上，观察两个方向的传输流。昂贵和专业的方法：使用专业的以太网测试接口盒（TAP）联机安装在被测网络上，无需在使用的分析仪内执行额外的过滤就可查看一个方向的会话情况。这意味着用户不能同时看到全部的会话，因此也许需要进行一些额外的数据包捕获，来掌握全部情况。

协议分析仪原本是网络工程师的常用工具，不过被人利用来做其他的目的也是非常常见的。现今的黑客们都熟练地使用着功能强大的协议分析仪，这本来就是一个工具的两面性。

对于能使用协议分析仪的人员来说，本身他的权利就是很大的，如果他用这东西来干些什么，很难阻止的。这个工具用在安全角度，即有用又有害。就象刀子一样，看它拿在谁的手中了。……

以上内容整理自《安恒网络维护论坛》

协议分析仪 protocol analyser 的工作从原理上要分为两个部分：数据采集数据扑捉、协议分析。对这两部分的工作从实现的形式上来说有以下常见的几种形式：

纯软件的协议分析系统，如：Fluke的OptiView-PE。大多数的纯软件协议分析仪是可以使用普通的网卡来完成进行简单的数据采集工作的，这就是使用率最多的协议分析软件+PC网卡。这种方式的协议分析仪通常有两种原因存在的。①简单廉价的软件，或自由软件，小巧实用，功能较弱②运行在PC或报价本电脑上的协议分析仪的软件部分，本来协议分析工作就是基于软件分析的工作。所以再高端的协议分析仪其软件部分也是要由计算机平台实现的。 基于笔记本+数据采集箱的便携式协议分析仪这种方式与上述采用协议分析软件+PC网卡的主要区别就是专用的数据采集系统，在对复杂和高速的网络链路上要想全线速地扑捉或更有效地进行实时数据过滤采用专用的数据采集方式是必须的。 手持式综合协议分析仪从协议分析仪发展的角度来说，网络维护人员越来越需要使用功能强大并能将多种网络测试手段集于一身的综合式测试分析手段，典型的协议分析仪上的功能延展就是加入网管功能、自动网络信息搜集功能、智能的专家故障诊断功能， 并且移动性能要有效。这种综合的协议分析仪或者说是综合的网络分析仪成为了当今网络维护和测试仪的主要发展趋势，象Fluke 的OptiView INA自上市来在网络现场分析、故障诊断、网络维护方法得到了相当广泛的应用和发展。分布式协议分析仪随着网络维护规模的加大，网络技术的变化，网络关键数据的采集也越来越困难。有时为了分析和采集数据，必须能在异地同时第进行采集，于是将协议分析仪的数据采集系统独立开来，能安置在网络的不同地方，由能控制多个采集器的协议分析仪平台进行管理和数据处理，这种应用模式就诞生了分布式协议分析仪。通常这种方式的造价会非常高的。

线路上的数据，即数据电路终接设备（DCE）和数据终端设备（DTE）之间的通信数据经过输入接口单元进入协议分析仪。输入接口单元是一个具有高阻接口的电平转换器。在执行监视功能时，协议分析仪从高阻接口上接收数据，能够尽可能地减少对线路的影响。在执行模拟功能时，输入接口单元能够提供与被测设备接口相同的电气条件和物理条件。数据以串行方式透明地通过切换器直接进入串-并变换器。数据在串-并变换器中建立同步，且由串行变换为并行，同时还进行差错检验。由此进入捕获存储器、触发器和收发信分析器。捕获存储器将输入的数据收录下来，进行再生显示、详细检验和其他的脱线处理。触发器则根据设定的比特序列、差错计数、调制解调器的控制信号和外部输入等各种触发因素，迅速地进行数据分析和故障切离。收发信分析器以协议（通常有BSC、HDLC、SDLC、X．25和X．75等）为基准来分析和检验数据，且以“助记符”的形式由示波器显示出来。模拟器在执行模拟功能时使用。大容量存储器用于保存监视器和模拟器的设定条件清单、模拟过程的程序和捕获存储器收录的数据等，主控制器用于控制协议分析仪各个组成部分的动作，并且进行实时调节和协调，对各部分进行初始化。

协议分析仪的基本功能有：①监视功能：将协议分析仪连接在数据通信系统上，在不影响系统运行的情况下，从线路上取出所发送的数据和接收的数据，进行数据的存储、显示和分析。②模拟功能，将协议分析仪直接与被测设备（数据终端设备或主计算机）连接，按照预先设置的程序，同被测设备通信，进行数据的发送、接收数据的判断和应答数据的判断，检验被测设备协议实现的正确性。

协议分析仪的标准框图如图1所示，由输入接口单元、切换器、串-并变换器、捕获存储器、触发器、收发信分析器、显示器、模拟器、大容量存储器和主控制器等部分组成。

协议分析仪大致有小型、中型和大型三种产品。小型协议分析仪一般是便携式的低档机，主要用于数据终端设备（包括主计算机）的维护和故障分析。具有液晶显示和RS-232接口，速度可达19．2kbit/s，可以支持HDLC、BSC等协议。中型协议分析仪主要用于数据通信设备的技术开发和现场故障诊断分析，以监视功能为主，具有单色显示器和V．24、V．28接口，速度可达50～100kbit/s，可支持BSC、HDLC、SDLC、DDCMP，X．25、X．75和SNA等协议，一般配有13．3cm（5．25英寸）软盘和500KB～2MB的磁带。大型协议分析仪一般是能够提供丰富软件的高档机种。它侧重于软件开发，具有高速监视器和较强的模拟功能。其特点是速度可达64kbit/s至1．6Mbit/s，具有键盘和CRT彩色显示等用户接口，提供BASIC等语言和专用语言以及诸如X．25、HDLC、SNA等各种协议的软件包，一般配有硬盘。

展望协议分析仪已成为数据通信系统设计、建设和管理维护所不可缺少的工具。随着数据通信技术的不断发展，协议分析仪将向三个方向发展。

①增强功能。开发、测试和分析高层协议将是协议分析仪发展的必然趋势。同时，协议分析仪还将逐渐增加协议一致性测试功能，向开放系统互连（OSI）一致性测试方向发展。

②扩大应用范围。协议分析仪除用于各种数据通信系统和广域数据通信网外，有效地应用到局域网（LAN）和综合业务数字网（ISDN）等领域也是一个必然的趋势。

③提高操作的方便程度。采用将模拟功能与编程功能分开；增加显示屏幕的尺寸和提高显示屏幕的清晰度；增加翻译显示等措施，以提高操作的方便程度。