1.6　网络分析器的工作原理

本节将简要介绍一下网络分析器工作的背景知识，并给出相关的网络与协议的背景信息。如果还需了解更多的信息，可参阅其他优秀的资源，如Richard Stevens的《TCP/IP详解》1～3卷就是其中之一。

1.6.1　以太网简介

以太网是计算机之间通信的最常用的协议标准。它是基于共享介质构建的，所以在局域网同一网段内所有的计算机会共享相同的网络流量。事实上，它就是众所周知的一种广播传输方式，也就是说，同一数据将会传送给同一网段中的所有其他的计算机。

信息一般会被分解成易管理的数据块，这些数据块称为数据包。每个数据包有一个头，包含目的计算机地址与源计算机地址。即使该信息会发送给一个网段上所有的计算机，也只有与目标地址匹配的计算机才会产生回应。虽然网络上的其他所有计算机仍然可收到该数据包，但是如果该数据包不是它们想接收的就会被丢弃，除非某台计算机上正运行着一个嗅探器。

通常计算机运行在非混杂模式下，只能监听派发给自己的信息。当运行一个嗅探器时，数据包捕获驱动器会把计算机网络接口卡（Network Interface Card，NIC）设置为混杂模式。这意味着，嗅探的计算机能在该网段上见到所有的网络流量，而不管数据包是发送给谁的。在这种情况下，它就能见到全部邻居的会话。

因为许多计算机可能会共享一个以太网段，所以每台计算机一定要有唯一的一个标识符且要硬件编码到NIC上。以太网网址，也就是传输介质访问控制协议（MAC）的地址，就是这样一个标识符。在Windows NT、Windows 2000、Windows XP与Windows 2003操作系统中都可在命令行下输入ipconfig/all查看MAC地址，MAC地址将会列在"Physical Address"字段后。