Analisadores de protocolo, também conhecidos como sniffers de rede ou faróis de pacotes, capturam todos os quadros (ou pacotes) em um segmento de rede, utilizando uma técnica chamada
modo promíscuo .
Aqui está como funciona:
1.
Card de interface de rede (NIC) Configuração: Uma NIC normal recebe apenas quadros endereçados ao seu próprio endereço MAC. O NIC de um analisador de protocolo é colocado no modo promíscuo. Isso muda o comportamento da NIC.
2.
operação de modo promíscuo: No modo promíscuo, o NIC recebe * todos os quadros * transmitidos no segmento de rede, independentemente do endereço MAC de destino. Essencialmente, ele copia todos os quadros que vê no fio.
3.
Captura e filtragem: O software Protocol Analyzer recebe esses quadros capturados da NIC. Enquanto captura tudo inicialmente, geralmente permite a filtragem. Essa filtragem permite especificar critérios (por exemplo, protocolos específicos, endereços IP, números de porta) para se concentrar no tráfego relevante e evitar sobrecarregar o analisador com dados desnecessários. A captura não filtrada é frequentemente armazenada em um arquivo para análise posterior.
4.
Acesso à camada física: O método para acessar a camada física da rede difere com base no tipo de conexão. Para redes com fio (Ethernet), normalmente é através de uma conexão direta com o comutador de rede ou hub. As redes sem fio usam um adaptador sem fio no modo monitor.
Considerações importantes: *
implicações éticas e legais: O uso de um analisador de protocolo requer consideração cuidadosa de implicações éticas e legais. A captura de tráfego de rede sem permissão é ilegal em muitas jurisdições.
*
Impacto de desempenho: A captura de todo o tráfego de rede pode afetar significativamente o desempenho da rede, especialmente em redes mais lentas ou com volumes de tráfego alto.
*
Topologia de rede: A eficácia da captura de todos os quadros depende da topologia da rede. Por exemplo, a captura de todo o tráfego em uma rede comutada exige a colocação do analisador em um local onde ele pode "ver" o tráfego. Por outro lado, em uma rede baseada em hub, o analisador receberia todo o tráfego como um hub transmite todos os quadros para todos os dispositivos conectados.
Em resumo, a chave para a capacidade de um analisador de protocolo de capturar todos os quadros está na combinação do modo promíscuo da NIC e na capacidade de seu software de receber e processar os dados capturados.