编者按：很多人都知道通过Sniffer可以查看异常数据，但实际工作中，我们并不知道什么时候有异常流量，也不可能总是盯着交换机，我们该怎么办？

 
     【IT168 专稿】Sniffer pro是一款功能强大的网络分析工具，可以用于发现漏洞、病毒、等异常数据，也可以生成网络基准线，提供网络质量趋势分析数据，还可以用于故障快速定位，我在工作中经常用到，在此把使用中的体会写出来，希望对其他使用者能有一点用处。
     
    
用过滤器过滤出我们关心的数据

　　因为我们捕获数据时并不知道异常数据是那一种，所以我们在捕获是用的过滤器（filter）必须是默认的any<->any，也就是说把所有经过的数据全部捕获，建议捕获用PC内存要大，最少256M，将filter的buffer定义为32M。（因为捕获点多为社区机房上行端口的镜象，数据较大，为保证捕获数据量，建议将buffer定义大些较好，）
　　
　　定义完成后开始捕获，当buffer满后停止捕获，进入分析窗口，我们进入decode窗口看看：
　　
　　在这里我们可以看到很多的数据，为了快速分析，我们就要用到另一种过滤器（display filter）,选取display->selete filter,可以看到下图：

　　
　　
　　我这里已经定义了一些过滤器，定义方法后面再进行演示，这里先看用法，选择一个过滤器，如ARP，将把这个数据包里所有的ARP协议数据包过滤出来， 
　　
　　相映的用其他的过滤器可以过滤出我们关心的数据，提高我们的分析效率。过滤出来的数据就相对较少且较为一致，便于我们分析。
　　
　　下面介绍一下过滤器的定义方法，选择display->define filter:
1、 按地址过滤：又分为叁种，很简单，看看就明白了:
2、 数据过滤：这个是比较高级的，主要功能是对数据包按特征码过滤，使用的前提是对某种数据的特征码很清楚，目前自定义还比较难，有兴趣的同志可以研究看看。
3、 高级过滤：其实就是用协议过滤，看看就明白了