从网络抓包就可以分析出很多东西，其中一项就是用来做排错。首先最常见的是通过抓包数量来判定网络行为的是否正常，比如ARP病毒爆发一定会收到大量ARP数据包；攻击行为也很多时候体现为大量数据包（但是一般判断这种攻击行为抓包不会放在步，只是在确定攻击特征时需要抓包）；当然还有其他很多情况，适用于通过抓包数量来分析的。

  在企业环境中，SNMP工具，如SolarWinds网络性能监视器，HPE的网络节点管理器i(NNMi)或CA Spectrum，都可以监控网络设备和特定接口的运行状况。这些工具还可以设置警报，以便在特定接口或设备关闭时通知网络工程师，这有助于管理员迅速清除网络中断的根本原因。

  协议判断，比如win2008和win2003通信时因为window scale不兼容，导致窗口过小，而程序设计适当时，通信变动极其缓慢。这些判断都是建立在抓包协议分析的基础上的；另外不同厂商SIP通信对接也有可能会用到协议分析。
  协议分析器对于需要调查数据流到数据包级别大有用处，通过这个工具可以查看客户端和服务器之间的特定交互，是拦截和记录数据包的软件，例如，如果特定PC与驻留在服务器上的应用程序的连接缓慢，可以使用协议分析器来识别任何通信、延迟问题或可能是根本原因的其他问题。

  NetFlow是一种数据交换方式，其工作原理是：NetFlow利用标准的交换模式处理数据流的个IP包数据，生成NetFlow缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。
  例如Plixer的Scrutinizer或SevOne的NetFlow工具来钻取数据，以获得多种用途。从网络故障排除的角度来看，NetFlow分析可以快速跟踪诸如应用程序、主机以及网络流动行为的变化等现象，以发现诸如带宽pig之类的问题。

  解密网络设备日志的做法是非常有用的故障排除技术。我们要用到的软件是syslog-ng和php-syslog-ng，安装了syslog-ng和php-syslog-ng(当然还需要apache、php和mysql的支持)的机器作为这个系统的服务端，其它所有的服务器或者网络设备作为客户端，通过udp协议向syslog-ng服务器发送syslog信息。syslog-ng服务器将这些log记录下来，记录为log文件或者insert到mysql数据库中，通过将所有网络设备日志收集并存储到中央存储库中来简化此操作，然后使用分析功能将来自多个设备的日志事件相关联，以识别并快速解决网络问题。
  此外，专业Wi-Fi分析仪，如Netscout AirMagnet或Ekahau频谱分析仪，可以很好的解决企业中需要维持高可靠性和无处不在的Wi-Fi的需求。