对于查找网速慢的原因，可首先通过Sniffer查看总体流量，观察TOP10用户流量的分布、占总流量的比例，流量的协议分布，再通过用户连接数等等来继续判断。在一次故障排除中Sniffer观察到个别用户流量过大，对外连接数过多，未知协议流量偏大，而且其流出流量更是偏大，初步判断用户在用BT类软件下载。对这样的用户采取限制流量和连接数的方法基本有效。后来被限速的用户报修网速过慢，到现场发现判断结果基本正确。
    Sniffer部署示意图
    安全是一个整体防护的问题，一次网络中病毒爆发引起网速变慢，通过杀毒软件日志得知有客户机发现Welchia病毒。根据该蠕虫病毒网络传播的特点，利用Sniffer的过滤功能能够从监听到的所有流量中快速分离出病毒发出的信息。具体操作可以利用嗅探软件Windump程序输入如下命令：
    windump -qn icmp and ip[40] = 0xaa
    就可以看到程序输出只有感染Welchia病毒主机发出ping通讯的列表，采取关闭该节点对应交换机端口的做法就可以马上阻止病毒继续传播。
    五、结 论
    利用TAP可以监听被测试链路内的所有通信，包括物理错误，而交换机端口映射功能对坏包一般都会丢弃，它忽略了第一层错误，无法检测物理层问题。TAP可以实时反映所有数据包而对原有链路不会造成任何影响。而交换机端口映射会对网络流量和监视流量造成延时。交换机如果要监测100 Mbps全双工链路，端口映射将需要200 Mbps带宽，此时只有千兆端口才能胜任。利用TAP和网桥只需要2个百兆网卡同时工作。建议保证运行Sniffer的计算机具有足够的资源（CPU、内存、硬盘空间）以便捕获所有的流量，而不会因为电脑的性能问题而遗失数据包。
    将基于网桥的Sniffer串接在主机与交换机之间就可以监听它们之间的流量，检测常见故障。对于关键链路利用TAP与网桥相结合的Sniffer系统采用被动式在线监听，既可以实时反映所有数据包而对原有链路又不会造成任何影响，为网络管理员提供了方便快速的流量监听、故障检测工具。

(责任编辑：adminadmin2008)