ویژگی Span در سوئیچ ها معرفی شده است. برخلاف Hub که بسته دریافتی را بصورت broadcast برای تمام پورت ها (به جز پورت دریافت کننده) ارسال می کند؛ Switch ها
دارای جدولی از از اطلاعات شبکه بر اساس Mac آدرس می باشد و بسته ها را به مقصد متناظر با Mac ارسال می کند.
به عنوان مثال اگر ترافیکی را از نقطه A به نقطه B که هر دو به یک hub متصل هستند ارسال نمایید، کافی است یک Sniffer به hub متصل شود تا تمام ترافیک بین A و B را دریافت نماید.
در یک سوئیچ MAC آدرس نود B ذخیره شده است بنابراین ترافیک بصورت unicast تنها به B ارسال میشود و sniffer نمی تواند ترافیک را مشاهده نماید.
بنابراین Sniffer تنها ترافیک هایی که بصورت flood به تمام ئورت ها ارسال می شود را می تواند دریافت نماید مانند:
-
Broadcast traffic
- Multicast traffic with CGMP or Internet Group Management Protocol (IGMP) snooping disabled
- Unknown unicast traffic
Unicast flooding زمانی رخ میدهد که سوئیچ آدرس MAC مقصد را در حافظه محتوا آدرس دهی (CAM) خود ندارد، سوئیچ ترافیک را به تمام ئورت های VLan ارسال می کند.
در نمودارزیر، Sniffer به یک پورت(پیکربندی شده) که برای دریافت یک کپی از هر بسته اطلاعاتی که میزبان می فرستد وصل شده است. این پورت یک پورت SPAN نامیده می شود.
پورت SPAN جهت نظارت بر ترافیک شبکه برای اموری مانند تشخیص نفوذ، بررسی passive شبکه، نظارت کاربر واقعی (RUM) استفاده می شود.
