前言

今天浩道跟大家分享網(wǎng)絡工程師常用的10款抓包工具，讓你即使是網(wǎng)絡小白，也能夠?qū)W(wǎng)絡抓包略知一二！

本文從實現(xiàn)網(wǎng)絡安全管理的角度出發(fā)，為大家介紹目前最常用的10款網(wǎng)絡嗅探分析工具，以及這些工具的應用特點。

01

Wireshark

Wireshark是一款可深入分析網(wǎng)絡數(shù)據(jù)包的開源嗅探分析工具，這個產(chǎn)品項目歷史悠久，可追溯至1998年。Wireshark目前可以支持數(shù)百種網(wǎng)絡協(xié)議，兼容各種類型的文件格式，比如Catapult DCT2000、Microsoft Network Monitor和Cisco Secure IDS iplog等。

它可以在Linux、Solaris、Windows、macOS或FreeBSD等幾乎所有平臺上運行。它可以設置有不同的檢測規(guī)則，以實現(xiàn)更快速的可視化流量掃描，還有動態(tài)gzip解壓功能。

02

SolarWinds網(wǎng)絡性能監(jiān)控工具

SolarWinds推出的這款工具提供了廣泛的數(shù)據(jù)包分析功能，是一款能夠顯示網(wǎng)絡運行概況的多層次工具。用戶可以非?？焖俚貦z測、診斷和解決任何網(wǎng)絡問題。

它可以利用已安裝的傳感器幫助深度數(shù)據(jù)包檢測（DPI）捕獲數(shù)據(jù)包級數(shù)據(jù)，以管理Windows設備。

此外，用戶還可以使用逐步向?qū)Чぞ邅聿渴饌鞲衅鳎⑦x擇需要監(jiān)控的自定義應用程序。它擁有完善的網(wǎng)絡帶寬分析功能，包括NetFlow、sFlow、NetStream、JFlow和IPFIX。

03

NetworkMiner

NetworkMiner是一款網(wǎng)絡取證分析工具（FNAT），也是一款被動網(wǎng)絡分析的開源工具，具備出色的GUI界面。借助該工具，用戶就可以輕松查看已傳輸?shù)膱D像及其他文件。

NetworkMiner還具有IPv6支持、Pcap-over-IP、操作系統(tǒng)指紋識別、Geo IP本地化、支持命令行腳本等多種檢測功能，這些功能適用于不同類型的流量，比如HTTP、SMB2、POP3、TFTP、FIP和SMB等流量。

04

tcpdump

tcpdump是一個經(jīng)典的Linux實用程序，盡管它沒有圖形化的界面和應用環(huán)境，但可以通過其應用的便捷性來彌補這個不足。

Tcpdump的工具命令簡單明了，旨在幫助用戶解決網(wǎng)絡數(shù)據(jù)包分析中的特定問題。針對不同的檢測問題，有不同的命令可用。

如果用戶需求簡單，但需要快速實現(xiàn)掃描，tcpdump會是不錯的選擇。

目前大多數(shù)Linux發(fā)行版操作系統(tǒng)都會附帶這款工具。

05

ManageEngine NetFlow Analyzer

這是一款功能完整的流量分析軟件，使用流量技術，為安全團隊提供深入的信息，以提供最佳流量模式的帶寬性能。

這款嗅探器在Windows和Linux系統(tǒng)上都可以被使用。

ManageEngine NetFlow Analyzer使用DPI引擎，可監(jiān)控網(wǎng)絡響應時間和應用程序響應時間，并執(zhí)行分析，以查明某個網(wǎng)絡或應用程序是否出現(xiàn)差錯。

NetFlow Analyzer 還允許用戶列出受影響用戶列表，以便企業(yè)向用戶告知修復問題的解決方案。

它通過流量整形機制提供調(diào)節(jié)功能，以遵循帶寬管理技術，同時可為高優(yōu)先級的應用程序提供網(wǎng)絡性能保障。

06

Kismet

Kismet是目前應用最廣泛的數(shù)據(jù)包嗅探工具之一。它主要用于Wi-Fi傳輸故障的分析與排除，也可用于檢測組織內(nèi)網(wǎng)系統(tǒng)上的應用流量。

如果您想查找非法連接到網(wǎng)絡中的網(wǎng)絡設備，可以通過kismet來快速發(fā)現(xiàn)，并阻止它連接所有網(wǎng)絡基礎設施。這個工具可以在Windows和Linux等多個操作系統(tǒng)上運行，但也缺少用戶體驗更好的圖形化功能。

這款工具運行速度很快，可在被動模式下運行。它在攔截數(shù)據(jù)包的同時不會留下任何數(shù)字痕跡。Kismet的獨特之處在于，它需要作為一個獨立應用程序來運行。它是一個需要客戶端支持的工具，需要將捕獲的數(shù)據(jù)包發(fā)回到服務器端進行綜合分析。

07

Colasoft Capsa

如果用戶只需要在Windows環(huán)境中應用，那么Colasoft Capsa將是一個不錯的選擇，它有免費版、標準版和企業(yè)版三個版本，不同版本可滿足用戶不同層面的應用需求。

不過，即便是免費版，也可以支持300種協(xié)議，擁有較為出色的流量分析檢測功能，標準版則更勝一籌，支持1000多種協(xié)議，還允許用戶自定義分析會話，實現(xiàn)數(shù)據(jù)包流量的重建。

08

EtherApe

EtherApe是一款功能強大的可視化和開源版網(wǎng)絡嗅探分析工具，它有預構建的二進制文件，但只有Linux發(fā)行版用戶才可享用。

EtherApe的代表功能是多節(jié)點流量編碼監(jiān)控，可以在“l(fā)ive off”模式下讀取數(shù)據(jù)，也可以從tcpdump文件讀取數(shù)據(jù)。它還支持網(wǎng)絡數(shù)據(jù)包的標準名稱解析。

在最新版本中，EtherApe的GUI界面已升級為GTK3，這帶來了更出色的應用體驗。

09

Fiddler

Fiddler是應用于外部網(wǎng)絡與內(nèi)網(wǎng)用戶設備之間的被動網(wǎng)絡嗅探器，為了確保網(wǎng)絡運行正常，用戶需要Fiddler。

如果用戶主要需求是用來嗅探HTTP和HTTPS流量，F(xiàn)iddler被認為是最合適的工具之一。

用戶可以用Fiddler執(zhí)行許多分析操作，比如會話操縱、安全分析和網(wǎng)絡性能測試。

在會話操縱中，F(xiàn)iddler使用HTTP標頭，可以根據(jù)需要修改會話數(shù)據(jù)；在安全測試中，它允許用戶模擬中間人攻擊，并為特定用戶解密所有HTTPS流量；在性能測試中，它可以分析頁面加載（或API響應）時間，幫助用戶查找網(wǎng)絡應用的性能瓶頸。

10

Wifi Explorer

Wifi Explorer是一款面向macOS的無線網(wǎng)絡數(shù)據(jù)包分析工具，可幫助用戶發(fā)現(xiàn)可能干擾網(wǎng)絡的信道沖突和信號重疊。

Wifi Explorer功能設計完善，擁有較豐富的檢測和分析工具，可以直接應用于網(wǎng)絡核心部分的流量分析。

它還可以幫助用戶檢測非法無線網(wǎng)絡信號源，查明是否有干擾用戶正常應用的無線網(wǎng)絡信號。

審核編輯 ：李倩