组织的网络非常庞大，包含服务器、交换机、路由器和接入点等众多节点，由于许多资源和流量不断通过这些节点，因此很难确定大量流量是真实的还是安全攻击的迹象，了解和了解组织的网络流量至关重要，一个有用的资源是网络数据包嗅探器软件。

网络数据包嗅探器是一种工具，可以嗅探或捕获通过网络的每个链路，为管理员提供有关顶级会话者的信息，可以避免与网络或安全相关的问题，因为该工具将嗅探数据包、记录标头部分、帮助管理员验证流量并诊断性能问题，无论是路由器、应用程序还是网络。

为什么需要数据包嗅探器

随着组织越来越依赖应用程序进行基本文件传输，越来越多的流量通过网络，即使性能出现小挫折，明智的做法是查看问题的根本原因，以确定它是由于应用程序的可用性、低带宽还是服务器的高利用率造成的。由于需要关注的方面如此之多，要确定问题的根源可能具有挑战性。

在这些情况下进行故障排除可能需要花费大量时间和精力。如果无法了解数据包的来源和路径，就很难找到问题所在。但是使用数据包嗅探器，网络管理员可以发现并解决问题，确保保持高性能。

• 检查带宽使用情况
• 检查安全漏洞
• 检查流量和带宽以监控网络的性能和维护
• 确保数据、VoIP、视频和广域网流量性能得到优化
• 找到任何带宽相关问题的根源

检查带宽使用情况

网络性能下降的原因有很多，常见的原因包括员工在社交媒体网站上使用大量可用带宽，以及网络软件更新期间出现的性能下降。

非业务流量的使用通常会为业务关键型应用程序留下较少的带宽以保证其顺利运行，但是，通过使用网络嗅探器来评估带宽使用情况，可以过滤或消除大部分这种非业务类型的流量。

检查安全漏洞

软件数据包嗅探器利用深度数据包检测（DPI）机制，在粒度级别分析每个数据包，管理员可以评估了解数据的来源或目标，并阻止或控制对特定 IP 地址的访问以维护安全性。

检查流量和带宽以监控网络的性能和维护

网络流量监控中的一些问题可能会让管理员感到困惑：哪些应用程序或端口和协议正在使用带宽？为什么几次升级后网络带宽仍然不够？如何限制那些占用带宽的应用程序的使用，以便业务关键型应用程序有足够的带宽?

要解决这些问题，管理员需要了解每个设备和接口的流量，并能够检查特定实体使用了多少可用带宽。通过深入了解每个节点的带宽使用情况，可以找到导致速度缓慢的位置和原因，然后决定是否需要升级或优化。

确保数据、VoIP、视频和广域网流量性能得到优化

只有当富媒体应用程序的质量达到预期时，带宽的好处才会显现出来，企业的带宽应该没有抖动、延迟等问题，并且应该有较短的往返时间，这样就不会影响工作效率。

监视VolP、WAN和视频通信是必要的，这不仅可以确保网络的健康，还可以帮助管理员了解组织的网络如何处理媒体通信。

找到带宽相关问题的根源

当数据包可能无法到达目的地时，原因有很多，例如带宽不足或应用程序的服务器停机或设备配置错误，使用数据包嗅探器工具的 DPI，管理员可以知道问题出在应用程序端还是网络端，并缩短平均知道时间（MTTK）。

网络数据包嗅探工具

网络数据包嗅探需要一个工具，NetFlow Analyzer 带宽监控和流量分析工具，可帮助管理员了解网络的性能，包括通过网络的流量和网络异常，可以指定哪些应用程序应使用您的带宽，并限制对其他链接的访问。借助 DPI，此工具有助于保护网络并解决网络拥塞问题。

解决一些重要指标

利用 NetFlow Analyzer 等工具，监控可以广泛而有效，但是，在执行数据包嗅探以实现更好的安全性和带宽管理时，需要考虑一些重要指标。

• 带宽监控
• 应用流量分析
• NBAR监控
• QoS 监控
• 无线设备流量监控
• 异常检测

带宽监控

• 基于应用、用户和设备的带宽利用率实时洞察。
• 整体报告生成选项，用于了解自定义时间的企业带宽使用情况。
• 按来源、目的地和对话了解网络中的热门谈话者。
• 使用 NetFlow Generator 了解所有网络设备的流量，即使是那些不导出流量的设备。

应用流量分析

• 映射组织的自定义应用程序并查找单个流量。
• 查找包含应用程序、端口和协议流量数据的带宽占用者。
• 对应用程序进行分组，并一目了然地了解累积流量数据。

NBAR监控

• 深入了解采用思科 NBAR 技术的第 7 层应用的应用流量。
• 识别使用动态端口的各种应用程序消耗的带宽。
• 查看排名靠前的应用程序，并决定过滤或阻止流量以实现高生产力。

QoS 监控

• 通过使用 QoS 策略确定流量的优先级来优化网络的带宽使用情况。
• 通过使用 DSCP 代码管理 QoS 设置来消除网络拥塞。
• 使用 CBQoS 流量图验证应用的 QoS 策略，并使其具有影响力。

无线设备流量监控

• 深入了解所有无线局域网控制器（WLC）的流量类型，包括数量、速度和利用率等类型。
• 了解关联接入点、SSID、客户端 IP 和客户端 MAC 地址的流量。
• 全面了解排名靠前的 SSID、接入点、WLC 运行状况图等。

异常检测

• 使用安全模块事先识别内部和外部安全攻击，例如 DoS、DDoS、闪存和探测攻击。
• 通过可疑的源或目标 IP 地址检测网络异常，并阻止特定流量。
• 利用基于机器学习的流量模式分析，无论流量有多大，都能动态检测异常并发出警报。