网关模式 原理是把本机作为其他电脑的网关,设置被监视电脑的默认网关指向本机,分别可以作为单网卡方式和双网卡甚至多网卡方式,原始的PROXY模式目前基本淘汰了一般不再有人采用,目前常用的是NAT存储转发的方式。简单说有点像个路由器工作的方式,因此控制力极强,但由于存储转发的方式,性能多少有点损失。不过效率已经比较好了;缺陷是假如网关死了,全网就瘫痪了。
网桥模式 原理是双网卡做成透明桥,而桥是工作在第2层的,所以可以简单理解为桥为一条网线,因此性能是最好的几乎没有损失,WINPCAP本身并不支持该模式,该模式可以说是最理想的了。 网络监控拓扑,即使桥坏了,只要简单做个跳线就可以了,因为桥是透明的可以看成网线,即使桥坏了就可以理解为网线坏了换一条而已。支持多VLAN、无线、千M万M、以及VPN、多出口等等几乎所有的网络情况,原因很简单,因为透明桥嘛等于理解为那是网线而已。
旁路模式 原理是使用ARP技术建立虚拟网关,只能适合于小型的网络,并环境中不能有限制旁路模式;路由或火墙的限制或被监视电脑安装了ARP火墙都会导致无法旁路成功,因为你一边在禁止旁路一边却正在旁路,所以自相矛盾。同时,如网内同时多个旁路将会导致混乱而中断网络。但只要条件该方式是最简单的部署以及最方便的安装设置。采用ARP欺骗方式会导致局域网瘫痪,一般不建议使用。
旁听模式 原理是旁路监听,是通过交换机的镜像功能来实现监控,该模式需要采用共享式HUB或交换机镜像。可是如采用老式的共享式HUB将影响网络出口性能,如采用镜像模式,一方面需要投资支持双向的镜像交换机设备,另一方面需要专业的人设置镜像交换机。该模式的优点是部署方便灵活,只要在交换机上面配置镜像端口即可,不需要改变现有的网络结构。而且旁路监控设备一旦停止工作,也不会影响网络的正常运行。缺点在于,旁听模式通过发送RST包只能断开TCP连接,不能控制UDP通讯,如果要禁止UDP方式通讯的软件,需要在路由器上面做相关设置进行配合。