今年是我第一次參加資安大會，在各個展場穿梭的時候，我看到一個我不是很懂要做什麼的設備。當下對方也看我們不是廠商的人員，想要隨意地打發我們，只說他們的產品做的是封包鏡像備份。

封包不是丟出去就好嗎，備份要做什麼

封包的備份不太能說是一種防禦手段，就像監視器一樣，它只能夠紀錄當下發生的事情，並不能阻止事件的發生。但也和監視器一樣，可以透過記錄下來的封包來分析攻擊者的攻擊樣貌，或是做為證據使用。

伺服器不是都有錯誤日誌(Error Log)嗎，應該不用備份吧

有些攻擊是因為程式撰寫過程的邏輯漏洞造成的，這樣的漏洞可能在被攻擊時不會被記錄下來。又或是攻擊者把自己走過的痕跡抹得乾乾淨淨，不留下一點痕跡，這樣就算要抓也抓不到。
而且 Log 有個問題是，它只會記錄下發生的事件，實際封包中的內容不會有任何紀錄，完全無法得知漏洞出現在哪裡，要怎麼修補漏洞。

動手玩玩看吧，可是沒有設備

簡易的封包側錄軟體也是有免費的，我要說的是 Wireshark 這個軟體。它一樣有封包側錄的功能，不過用起來跟廠商提供的設備介面還是有落差，而且在大量封包進出的狀況，Wireshark 是有機會收集不到封包的。不過我們也是實驗性質的玩一下，應該也夠了。

Wireshark 安裝後，可以針對某種網路介面去擷取封包

更方便的是，Wireshark 提供篩選器的功能，可以篩選封包用的協定、封包來源方 ip 或 mac、封包送出目的地 ip 或 mac