任何一款工具軟件都有豐富的功能，所以在日常的網吧維護中，對于一款軟件，不僅要知道其表面的功能，更要深入了解其工作原理，這樣才能更有效地挖掘軟件更高級的應用及功能，以此來解決網絡中的疑難故障。下面結合一些日常網絡故障實例，介紹一下Sniffer和網絡執法官兩款網絡工具軟件在網吧網絡維護中的綜合應用。
　　Sniffer——提高網絡傳輸質量好幫手
　　Sniffer軟件是NAI公司推出的功能強大的協議分析軟件，具有捕獲網絡流量進行詳細分析、實時監控網絡活動、利用專家分析系統診斷問題、收集網絡利用率和錯誤等功能。Sniffer Pro 4.6可以運行在各種Windows平臺上，只要安裝在網絡中的任何一臺機器上，都可以監控到整個網絡。以下以Sniffer 4.70漢化版本為例，介紹一下Snffer在網吧網絡維護中的具體應用。
　　一、Sniffer軟件的安裝
　　在網上下載Sniffer軟件后，直接運行安裝程序，系統會提示輸入個人信息和軟件注冊碼，安裝結束后，重新啟動，之后再安裝Sniffer漢化補丁。運行Sniffer程序后，系統會自動搜索機器中的網絡適配器，點擊確定進入Sniffer主界面。
　　二、Sniffer軟件的使用
　　打開Sniffer軟件后，會出現主界面（如圖1），顯示一些機器列表和Sniffer軟件目前的運行情況，上面是軟件的菜單，下面有一些快捷工具菜單，左側還有一排快捷菜單按鈕。由于使用的是漢化版軟件，因此部分詞語漢化不是太準確。
　　1、獲取網絡中的機器列表
　　Sniffer軟件運行后，首先要搜索網絡中的機器。在“工具”菜單中找到“地址簿”選項并運行，在“地址簿”中的左側工具菜單中，可以找到一個“放大鏡”的圖標，這是“自動搜索”的按鈕。運行“自動搜索”功能后，在IP地址段中輸入網絡的開始IP地址和結束地址，然后系統會自動搜索。搜索完成后，會出現一個如圖1的機器列表。
　　2、保存機器列表
　　Sniffer搜索網絡中所有的機器列表后，可以在“數據庫”菜單中選擇“保存地址簿”選項，將當前的機器列表保存，以備日后使用。由于Sniffer的地址簿保存了網絡中客戶機的IP地址、網卡的MAC地址等信息，如果網絡中的客戶機更換了網卡，則必須重新搜索機器列表并重新保存地址簿。如果網絡中沒有新機器增加，就無需更新此地址簿。
　　三、Sniffer菜單及功能簡介
　　Sniffer進入時，需要設置當前機器的網卡信息。進入Sniffer軟件后，會出現如圖2的界面，可以看到Sniffer軟件的中文菜單，下面是一些常用的工具按鈕。在日常的網絡維護中，使用這些工具按鈕就可以解決問題了。
　　1、主機列表按鈕：保存機器列表后，點擊此鈕，Sniffer會顯示網絡中所有機器的信息（如圖1），其中，Hw地址一欄是網絡中的客戶機信息。網絡中的客戶機一般都有惟一的名字，因此在Hw地址欄中，可以看到客戶機的名字。對于安裝Sniffer的機器，在Hw地址欄中用“本地”來標識；對于網絡中的交換機、路由器等網絡設備，Sniffer只能顯示這些網絡設備的MAC地址。
　　入埠數據包和出埠數據包，指的是該客戶機發送和接收的數據包數量，后面還有客戶機發送和接收的字節大小。可以據此查看網絡中的數據流量大小。
　　2、矩陣按鈕：矩陣功能通過圓形圖例說明客戶機的數據走向，可以看出與客戶機有數據交換的機器。使用此功能時，先選擇客戶機，然后點擊此鈕就可以了。
　　3、請求響應時間按鈕：請求響應時間功能，可以查看客戶機訪問網站的詳細情況。當客戶機訪問某站點時，可以通過此功能查看從客戶機發出請求到服務器響應的時間等信息。
　　4、警報日志按鈕：當Sniffer監控到網絡的不正常情況時，會自動記錄到警報日志中。所以打開Sniffer軟件后，首先要查看一下警報日志，看網絡運行是否正常。
　　四、Sniffer在網絡維護中的應用——解決網絡傳輸質量問題
　　Sniffer在網吧網絡中的應用，主要是利用其流量分析和查看功能，解決網吧中出現的網絡傳輸質量問題。
　　1、廣播風暴：廣播風暴是網吧網絡最常見的一個網絡故障。網絡廣播風暴的產生，一般是由于客戶機被病毒攻擊、網絡設備損壞等故障引起的。可以使用Sniffer中的主機列表功能，查看網絡中哪些機器的流量最大，結合矩陣就可以看出哪臺機器數據流量異常。從而，可以在最短的時間內，判斷網絡的具體故障點。
　　2、網絡攻擊：隨著網絡的不斷發展，黑客技術吸引了不少網絡愛好者。于是，一些初級黑客們，開始拿網吧來做實驗，DDoS攻擊成為一些黑客炫耀自己技術的一種手段，由于網吧本身的數據流量比較大，加上外部DDoS攻擊，網吧的網絡可能會出現短時間的中斷現象。對于類似的攻擊，使用Sniffer軟件，可以有效判斷網絡是受廣播風暴影響，還是來自外部的攻擊。
　　3、檢測網絡硬件故障：在網絡中工作的硬件設備，只要有所損壞，數據流量就會異常，使用Sniffer可以輕松判斷出物理損壞的網絡硬件設備。
　　網絡執法官——智能監控高手
　　網絡執法官是一款網管軟件，可用于管理局域網，能禁止局域網任意機器連接網絡。對網管來說，這個功能很實用，可是，現在這一優秀的管理工具軟件，卻成為許多搗亂分子的“兇器”，他們經常利用這一功能禁止一些機器正常上網。不過，只要充分了解網絡執法官的具體功能，就可以輕松對付這些惡意的搗亂了。
　　一、網絡執法官簡介
　　在局域網中任意一臺機器上運行網絡執法官的主程序NetRobocop.exe ，都可以穿透防火墻、實時監控、記錄整個局域網用戶上線情況，限制各用戶上線時所用的IP、時段，并可將非法用戶踢下局域網。該軟件適用范圍為局域網內部，不能對網關或路由器外的機器進行監視或管理，適合局域網管理員使用。
　　在網絡執法官中，如想限制某臺機器上網，只要點擊“網卡”菜單中的“權限”，選擇指定的網卡號或在用戶列表中點擊該網卡所在行，從右鍵菜單中選擇“權限”即可限制該用戶的權限。對于未登記網卡，可以這樣限定其上線：設定好所有已知用戶（登記），將網卡的默認權限改為禁止上線即可阻止所有未知的網卡上線。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC，使其找不到網關真正的MAC地址，這樣就可以禁止其上網。
　　二、網絡執法官的功能
　　1、查看機器流量：對于在網絡執法官監控范圍內的客戶機，在主界面中，點一下客戶機的網卡，然后查看“本機狀態”就可以看到這臺機器的流量了。網絡執法官與Sniffer軟件一樣，都可以查看網絡中客戶機的數據流量，但網絡執法官不如Sniffer的流量顯示方便直觀。
　　2、智能監控：運行網絡執法官軟件后，可以通過“網卡”菜單中的“權限”限制一部分機器上網，這個功能很容易被搗亂分子利用來搞破壞。機器上安裝并運行網絡執法官軟件后，機器圖標在網絡執法官軟件中是紅色的，其他正常運行的機器是淡綠色（如圖3）。紅色代表機器處于網絡混雜模式，利用這點可以輕松找到運行網絡執法官軟件的機器，從而就可以找到搞破壞者所在的機器了。但是，在手工監控時一定要注意，我們本機也是安裝了網絡執法官軟件的，機器也處于網絡混雜模式，千萬不要把自己清除出去了。
　　如果發現網絡中有搗亂者，網絡執法官的監控功能會自動發出警報的。可以在網絡執法官“設置”菜單中找到“安全”選項，設置管理機器的IP，當網絡中有破壞者搗亂時，機器就會自動發出聲音提示。這一智能監控功能，大大方便了對一些利用網絡執法官搗亂者的監控。
　　三、典型應用——封殺“傳奇殺手木馬程序”
　　傳奇殺手病毒，是專門為了盜竊傳奇帳號和密碼而開發的一種木馬軟件，通過對局域網進行ARP欺騙，虛擬網吧網關地址以收集局域網中傳奇游戲登陸信息并進行分析，從而得到用戶信息的破壞性木馬軟件。
　　傳奇殺手木馬程序的出現，使很多網吧用戶受到了攻擊，有一些用戶在安裝有傳奇多面手木馬程序的網吧運行傳奇程序，結果帳號和密碼被盜，網吧老板為此不得不賠償用戶的經濟損失。盛大密保雖然可以解決帳號和密碼被盜的難題，但一些用戶不愿意增加成本來保護自己帳號和密碼的安全。因此，傳奇殺手木馬程序成為令網吧維護人員頭疼的一大技術難題。
　　想要監控傳奇殺手木馬程序，必須先搞清楚它的工作流程。首先，它將安裝了傳奇殺手機器的MAC通過ARP欺騙廣播至局域網，使局域網中的工作站誤認為本機是網絡的網關。該流程會造成局域網與Internet連接中斷，使游戲與服務器斷開連接。當用戶重新啟動游戲并進行帳號登陸時，帳戶信息并不會直接通過網關傳遞到代理服務器，而是把信息傳送到正在進行ARP欺騙的傳奇殺手軟件中。傳奇殺手自身有對傳奇帳號的解密手段，從而可以輕松獲得該帳戶的真實用戶名及密碼，達到竊取玩家帳號的目的。由此可以看出，使用網絡執法官并配合ARP命令，對傳奇木馬有一定的預防作用。
　　在沒有網絡執法官的情況下，可以使用ARP命令檢查網絡中是否有人使用傳奇殺手木馬程序。根據傳奇殺手木馬的原理，傳奇殺手是制造虛假的網關IP地址和MAC地址，因此在客戶機上使用ARP -a命令查看，如果有重復的MAC地址，則可以斷定網絡中有人使用傳奇殺手木馬程序。要想查到在哪一臺機器上安裝了傳奇殺手木馬，可以使用Ipbook類似的工具，查看當前網絡中所有機器的MAC地址，并加以對比。由于運行傳奇殺手木馬程序的機器IP地址被更改，只能通過查詢機器的MAC地址找到該機器，找到該機器后，將機器重新啟動，再查找傳奇殺手程序并刪除就可以了。
　　如果用網絡執法官就容易多了，其預防封殺傳奇殺手方案如下：
　　1、傳奇殺手與網絡執法官的工作原理比較
　　細心的網管不難發現，網絡執法官的工作原理與傳奇殺手的工作原理相比，在某些方面是極為相似的。網絡執法官在對網絡中的機器進行管理時，運行網絡執法的機器，通過ARP欺騙發給被管理的電腦一個假的網關IP地址及對應的MAC，使其找不到網關真正的MAC地址，這樣就可以禁止機器上網。對于傳奇殺手木馬程序，當此程序工作時，也是通過安裝此程序的機器發ARP欺騙給網絡中的機器，ARP的欺騙信息也是一個虛假的網關IP及對應的MAC地址。
　　由此可以發現，網絡執法官與傳奇殺手木馬程序的工作原理是基本相同的。如果在同一個網絡中，分別在兩臺機器上安裝了網絡執法官程序，由于網絡執法官的工作在混雜模式下，同時啟動后，通過任何一臺機器的網絡執法官程序都可以看到，網絡中有兩臺機器處于混雜模式下工作。這樣，可以通過網絡執法官程序看到另外一臺安裝有網絡執法官程序機器的MAC地址，從而輕松找到另外一臺安裝有網絡執法官程序的機器。
　　2、徹底封殺傳奇殺手木馬程序
　　根據傳奇殺手木馬程序工作原理，傳奇殺手也是向網絡廣播虛假的網關地址及MAC地址消息，這是否意味著，當在有傳奇殺手程序工作的網絡中安裝網絡執法官程序后，可以看到有兩臺機器也是處在網絡混雜模式下？經過小片的實驗證實，傳奇殺手木馬程序與網絡執法官程序的工作原理是一致的。只要網絡中有傳奇殺手程序在運行，就可以通過網絡執法官程序來監控。
　　為徹底封殺傳奇殺手木馬程序，有效保證用戶傳奇帳號和密碼的安全。可以在網吧收銀機端安裝網絡執法官程序，并且按照上文的敘述設置智能監控。當網絡執法官監控程序發現網絡中有傳奇殺手木馬程序工作時，會自動發生聲音警報，以此來警告來上網的用戶。這樣技術人員就可以在第一時間內發現傳奇殺手木馬程序，然后用最快的時間關閉傳奇殺手程序。