由于TCP/IP协议族本身存在许多安全漏洞，使复杂的网络安全难以保障。网络安全一般来说分为网络外部安全和网络内部安全两方面，这两方面出现的安全问题的比例约为3：7，显然，最普遍的安全威胁主要来自内部。内网由大量的终端组成，内网任何一部分的安全问题，都可能导致整个内部网络的瘫痪。内网的安全通常依靠主机防护系统、入侵检测系统(IDS)及漏洞扫描技术等来保证[1]。针对使用入侵检测系统的内网，由于网络传输速率的大大加快，使IDS的负担加重，造成了IDS的高虚警率，且IDS在应对对自身的攻击时，对其他传输的检测也会被抑制。因此本文通过嗅探技术加强对内网的实时监控管理，一定程度上加强了内网安全。
1 嗅探技术及Omni peek
    网络嗅探是指利用计算机的网络接口截获目的地为其他计算机的数据报文的一种手段。网络嗅探技术不主动向网络发送数据包，而是监听、提取和解析网络中正在传输的数据包。网络嗅探技术是一把双刃剑，其正当用途主要是分析网络的流量及性能，以便找出网络中潜在的问题，但不可用于窃取私密信息[2]。如果某时段一个网段运行不畅，造成信息包的发送比较慢，丢包现象严重，而网络管理员又不知道问题所在，此时就可以用嗅探软件作出较准确的判断。
    Omni peek是出自WildPackets的著名抓包软件，其功能与Sniffer Pro有相似之处，是一款网管和应用故障诊断分析软件。针对复杂的网络环境，执行管理、监控、分析、除错及最佳化的工作。Omni peek软件v6.02提供更好的图形用户界面，不管是在有线网络还是在无线网络中，它都能够给予网络管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。
2 实时网络监控
2.1 协议分析
    在共享网络环境下，即由集线器组成的局域网环境，只需将网卡设置成混杂模式，即可监听到所有经过该网卡的数据包。而在交换网络环境，设置网卡接收模式就不可行了。因此，在一个交换式的局域网中，在其任一台主机上安装网络嗅探工具，无论其嗅探功能如何强大，也无能为力。这时，它只能嗅探到从本机进出的数据包。而若把嗅探工具安装在代理服务器上便可解决这一问题。对内网的实时监控，不是为了实时记录网络状态，而是为了发现异常和攻击。本文分析了一些常见的内网安全问题(正常的数据包就不再此阐释)，通过运行Omni peek，捕获数据包，经查看发现内网主机192.168.0.136的数据包可疑，刚开机不久便向IP地址为24.89.201.200发送大量数据包，且这台主机发出的所有数据包协议都基于HTTP，如图1所示。

    通过查看某个捕获的数据包的源码，解码后如表1所示。

    由于HTTP是基于请求/响应范式的，信息交换过程分为4个部分：建立连接、发送请求、发送响应、关闭连接。但捕获到的内网IP为192.168.0.136的主机所发出的数据包却很可疑，ACK确认的数量值全为0。图2是通过Omni peek软件对TCP的解析，发现所有数据包均是SYN包，而SYN包是主机要发起TCP连接时发出的数据包，也就是这台内网主机不断地向外网中的某主机建立HTTP连接，但没有得到任何回应，既未收到ACK确认包，也没有FIN释放连接[3]。

    在30 s内，内网主机192.168.0.136从网络收到的数据包数只有5个，但其向外网发出的数据包却有904个，如图3所示。

    这时用Omni peek节点分析功能，查看192.168.0.136节点的详细资料统计，如图4所示，发现HTTP协议占了整个通信协议的99.386%。