攻击后

　　对网络的攻击总会发生。问题是您是否知道它，而且通过事后分析，您是否能够了解到究竟发生了什么以及如何修复，从而避免这种攻击再次发生。当发生针对您网络的攻击时，很关键的是要采取一切措施来发现它，并捕获相关通讯从而进行分析。在Secure Computing 2001年3月期中，发表了Lllena Armstrong的一篇名为“计算机论坛——追踪线索”的文章，该文章详细介绍了这个问题的复杂性。

　　“一旦犯罪发生后，分析证据，封堵漏洞，乃至与追究民事或刑事责任都是
　　一个很复杂的过程，它决不是IT管理员匆匆浏览一下就能解决的。”

　　一旦您发现正在遭受攻击，或者曾经遭受过攻击后，就再也不可能返回过去来收集原始网络通讯，去拼凑究竟发生了什么。这时唯一的方法就是访问关键设备在遭受攻击时的记录文件，当然前提是您已经具备足够详细的日志文件了的。即使利用这种信息，您仍会丢失重要数据。这就像是在不知道总片数和究竟丢失了多少片的情况下去玩拼图游戏一样。在这种情况下，您根本就不可能知道这幅图究竟是什么样的。

　　在这样情况下，Sniffer就可以大显身手了。打个比方，它就像银行里隐藏的安全摄像机一样，可以帮助您返回过去来重温以前发生过的事件。Sniffer可以记录或捕获它所连接网络上的所有原始通讯，以供IT人员进行事后分析。Sniffer的优势在于它的专家引擎，它可以允许用户捕获一个巨量追踪文件，并快速剔除不相干数据，来帮助您进行证据收集。根据特定设备或通讯模型来设定过滤器有助于快速识别重要数据，从而能够追踪入侵者的意图和所做的破坏。