笨驴信息(IMFirewall)博客

网络监控的正规办法是通过交换机的“端口镜像”功能，端口镜像可以把其他端口的网络通讯数据包都拷贝到某一个指定的端口，从而实现监控。 但是现在有些网管软件，采用ARP欺骗的方式来欺骗其他机器把数据包发送到监控机。这样来实现监控，虽然省略了配置交换机这个步骤，但是却带来了一些问题： 1). ARP广播风暴 ARP欺骗需要发送大量的ARP Reply数据包来欺骗被监控机，同时发送大量的ARP广播包。会给局域网带来广播风暴，从而导致网络缓慢。 2). 导致局域网不稳定 由于数据包都需要从监控主机转发，一旦监控主机出现不稳定、掉电、断线等情况，会导致局域网瘫痪。另外，如果局域网中有多个人同时进行ARP欺骗，将直接导致局域网瘫痪。 3). 不能监控安装了ARP防火墙的电脑 正是因为ARP欺骗的危害性，现在很多杀毒软件和防火墙厂商都提供ARP防火墙功能。用户只要安装了此类防火墙，就不受ARP欺骗的影响，从而绕开监控。 如上所述，使用ARP欺骗方式实现网络监控，弊端很多。要实现局域网的长治久安，必须使用正规的监控手段。 更多的安装信息，请参见： 超级嗅探狗安装指南, 超级嗅探狗部署用例。