网络尖兵查路由器的原理是什么？在什么情况下失效？我是在搞科学研究，不要删帖

网络尖兵原理：

网络尖兵的技术实现主要依赖于“被动扫描原理（Passive Network Scan）”、 “网络指纹技术（ Network TCP Finger Printing ）” 、 “旁路TCP通讯阻止技术”的使用，综合其它计算机技术开发而成

被动扫描原理（Passive Network Scan）：
一般的扫描技术，如比较常用的ICMP扫描和TCP扫描都是使用主动技术（Active Network Scan）。主动技术的特征是由测试计算机向目标计算机发出一组特定的扫描控制包（Packet），捕捉相应的应答，然后分析相应的结果。与主动扫描技术不同，被动扫描技术并不向目标计算机发送特定的扫描控制包，而是对自己所得到的目标计算机发出的IP包直接进行分析。使用这一技术的特点是不用向目标计算机发送扫描控制包，利用网络检测技术进行IP包的分析。

网络指纹技术（ Network TCP Finger Printing ）：
经过研究发现，每台计算机都有自己的一些独特特征，就好像人的指纹（fingerprinting）一样。运行特定操作系统的计算机，有自己特定的操作系统指纹；运行特定的应用程序的计算机，有自己特定的应用程序指纹；使用不同传输特征的软件，又会产生不同的TCP指纹。所有这些信息可以统称为网络指纹技术。这里描述的网络指纹（Finger Printing）是指每台计算机向网络发送数据时包含的特定信息：这些特定信息包含了一些可以识别主机身份的特定参数。
就地址转换设备(NAT)或Proxy Server而言，这些设备实际只是修改了需要转换或代理计算机的源IP地址和源端口号（Port），对包的其它信息并没有作任何修改。因此，这些包在离开地址转换设备(NAT) 或Proxy Server进入公共网络以后，依然携带着可以辨别出它们身份的网络指纹。
通过端口镜像或者分光的办法，在上行端口侦听用户发出的数据包，根据数据包所含的网络指纹的特定参数来识别是否有多台终端发出的数据包经过了NAT/Proxy Server进行了地址和端口的转换。
目前采用的监测设备所利用的网络指纹主要包括IP指纹和TCP指纹。IP指纹包含Version、Time to Li