以前在工作中，有时会碰到网络风暴或病毒导致的网络瘫痪，这个时候，我们通常会将所有交换机的电源全部关掉，稍候从启交换机。

但是当交换机重启后，我们发现问题并没有解决，因为很快网络又瘫痪了，这时我们考虑到应该是网络中的某一台交换机或某一台电脑有问题，我们通常会通过分段断网的方式来解决，这样通常经过很长时间，我们逐个打开交换机，并且同时开启ping命令，ping电信的测试DNS，深圳的测试DNS是202.96.134.134，我们就用命令ping 202.96.134.134 -t来查看和电信的测试DNS是否连接， -t 参数的意思是不断连接，不然ping命令会在连接四次后停止。

我们每开一个交换机，就查看和测试DNS的边接是否正常，一直到连接中断，我们就判断出是哪个交换机出了问题，这个时候，我们再把那个交换机上的网络全部拔掉，然后一根一根接上去，同时观察连接是否正常，一直到连接中断，就可以判断出是哪根网线有问题，再通过网线找到有问题的主机。进行查看。通过查杀病毒，一般都能解决。

但我们看出，这个工作量是非常大的，如果交换机够多，而且出问题的电脑不止一台的时候，我们要花很长时间，才能完全将网络问题解决。

但是我们有一种工具，叫抓包工具，也叫网络嗅探，sniffer pro是国外一款业界很有名的专业嗅探软件，国内的有科来网络分析软件，也比较有名。这个时候，我们可以通过这样的嗅探软件，对网络状况进行旁路监听，也就是监听网络中所有的数据包，然后对这些数据包进行分析，我们就可以很快找到网络故障的原因及故障点。

嗅探原理：

网络中的一台电脑，与另一台电脑进行通讯，它会把数据包发到网络上，这包括：

源地址：意思是这个数据是从哪台电脑发过来的，

目标地址：这个包要发给谁。

数据包：具体发送的数据。

[其实网络数据包的参数很多，不止这些，但我们了解这些，后面的就可以看懂了。]

这个数据包会发送到网络中的每一台电脑,意思就是网络中的任何一台电脑都会收到这个数据包，当电脑接收到数据包后，会检查目标地址，如果发现目标地址是自已，就接收这个数据包。否则，就将这个数据包丢弃。

那如果我们在某一台电脑上，将网卡设置成混杂模式，那这个电脑将会接收网络上所有的数据包，而不丢弃。

这就是嗅探的原理。

具体分析：

一般网络故障有2方面：

一是由于网络是传送大量垃圾数据包，导至网络阻塞，如：网络中的某台主机中毒后，发送大量广播包，就是目标地址为192.168.0.255 [我们假设网络网段为192.168.0.0/24]。这时我们可以查看抓到的数据包，看哪台电脑发送的数据包最多，一般很容易就能找到故障源头。

二是由于网络中的某台电脑中毒后发送ARP欺骗包，那什么又是ARP欺骗包呢？

我们来看看ARP的概念：

网络中有两种地址，一种是我们都知道的IP地址，形式如：192.168.0.1这个大家都知道，还有一种是物理地址，形式如：00-e0-4c-8c-25-69 就是MAC地址，这是网卡在出厂的时候就被厂家设定好的，全球唯一的地址。数据在网络中传输时的源地址和目的地址，都不是使用的IP地址，而是MAC地址，我们再来看看数据是如何在网络中传输的。