1、2线对负责发送，3、6线对负责接收，而交换机端1、2线对负责接收，3、6线对负责发送。参照下图，如果分别将1、2线对和3、6线对信号复制到端口A（1-3，2-6）、B（3-3，6-6）的3、6线对就构成了一个被动式监听的TAP。利用4个RJ45插座和一小段网线就可以制作一个4口TAP，其中两个端口用于接入测试线路，剩下两个端口A、B分别对应传入、传出数据流量。如将A、B分别与Sniffer系统的网卡相连就可实现接收或发送数据包的捕获，要想完整捕获双向数据需要Sniffer系统安装两块网卡。
    2.利用Windows XP 网桥技术聚集流量
    网桥（Network Bridge）是Windows XP的一个新增特性，可将具有多个网络适配器的计算机设置成网桥，其使用第2层或第3层桥接技术，将多个网段连接在一起形成单个网段。使用网桥，可通过选择相应的网络连接图标并右键单击“桥接”来连接不同的局域网网段。Windows网桥中的第2层桥接在OSI模型的数据链路层工作，执行IEEE 802.1D标准，因其存在和操作对网络主机来说都是不可见的，所以经常被称为透明桥接。在透明桥接中，网桥将网络适配器设置成特殊的监听模式，即混杂模式。
    通过监听网络上的所有流量，网桥被动了解每个区段（端口）上所有节点的MAC地址，并建立数据表。当连接收到帧时，它会检查帧的目的地址，并与它的数据表相比较。如果目的地址与发送帧的端口相同，就不会继续传送帧。如果目的地址是另一个端口，它会只向目的端口发送帧。如果目的地址不在桥接器的数据表，它会向所有端口发送帧，来源端口除外。
    将设置网桥的Windows Xp系统安装上协议分析软件（如商业版Sniffer Portable或免费的Ethereal），直接接入网络就可以监听接入线路的网络流量，实现嵌入接入。此时Sniffer位于数据通道上，网卡和主机的性能是决定其是否成为网络性能瓶颈的主要因素。
    为避免主机对网络的影响，可以利用TAP。TAP的单一线对接入Sniffer系统网卡可以完成单一方向流量的分析。A、B两组线对分别接入网桥的两个网卡，每一线对代表一个方向的流量。此时网桥将两个物理网卡组合成一个逻辑的接口，聚集了来自两个网卡的数据。至此完成了基于网桥技术的被动式网络嗅探方法的实现。
    3.远程嗅探技术
    某些厂商的交换机支持远程端口镜像功能，如Cisco公司的RSPAN。即使没有类似功能的交换机通过配置VLAN也不难实现数据绕行，利用安装Sniffer的Windows XP网桥实现远程嗅探。但是这些方法对交换机会造成一定的流量压力。
    推荐在Sniffer系统中安装三块网卡，两块用于连接TAP，实现被动捕获和监控流量；另一块用于管理，将系统接入网络，使用远程控制软件来远程访问Sniffer系统，捕获并监控远程网络上的流量。
    四、实际应用
    目前一般单位局域网已达到百兆甚至千兆带宽，并划分了VLAN，互联网出口专线往往成了网络的瓶颈。对网络管理员来说最难分析解决的问题是网速很慢，如何方便快速诊断、排除故障成了急待解决的问题。
    下图的部署方式基本可解决这个问题。利用TAP嵌入式接入对外连接，不会对网络造成任何影响。将Sniffer管理端口划分到管理VLAN，与普通用户分开。当网络出现性能问题时，管理员远程登录到Sniffer系统进行监听、分析，使远程操作对网络的影响降到最低。

(责任编辑：adminadmin2008)