前言

今天浩道跟大家分享網(wǎng)絡(luò)工程師常用的10款抓包工具，讓你即使是網(wǎng)絡(luò)小白，也能夠?qū)W(wǎng)絡(luò)抓包略知一二！

本文從實(shí)現(xiàn)網(wǎng)絡(luò)安全管理的角度出發(fā)，為大家介紹目前最常用的10款網(wǎng)絡(luò)嗅探分析工具，以及這些工具的應(yīng)用特點(diǎn)。

01

Wireshark

Wireshark是一款可深入分析網(wǎng)絡(luò)數(shù)據(jù)包的開源嗅探分析工具，這個(gè)產(chǎn)品項(xiàng)目歷史悠久，可追溯至1998年。Wireshark目前可以支持?jǐn)?shù)百種網(wǎng)絡(luò)協(xié)議，兼容各種類型的文件格式，比如Catapult DCT2000、Microsoft Network Monitor和Cisco Secure IDS iplog等。

它可以在Linux、Solaris、Windows、macOS或FreeBSD等幾乎所有平臺(tái)上運(yùn)行。它可以設(shè)置有不同的檢測規(guī)則，以實(shí)現(xiàn)更快速的可視化流量掃描，還有動(dòng)態(tài)gzip解壓功能。

02

SolarWinds網(wǎng)絡(luò)性能監(jiān)控工具

SolarWinds推出的這款工具提供了廣泛的數(shù)據(jù)包分析功能，是一款能夠顯示網(wǎng)絡(luò)運(yùn)行概況的多層次工具。用戶可以非?？焖俚貦z測、診斷和解決任何網(wǎng)絡(luò)問題。

它可以利用已安裝的傳感器幫助深度數(shù)據(jù)包檢測（DPI）捕獲數(shù)據(jù)包級(jí)數(shù)據(jù)，以管理Windows設(shè)備。

此外，用戶還可以使用逐步向?qū)Чぞ邅聿渴饌鞲衅?，并選擇需要監(jiān)控的自定義應(yīng)用程序。它擁有完善的網(wǎng)絡(luò)帶寬分析功能，包括NetFlow、sFlow、NetStream、JFlow和IPFIX。

03

NetworkMiner

NetworkMiner是一款網(wǎng)絡(luò)取證分析工具（FNAT），也是一款被動(dòng)網(wǎng)絡(luò)分析的開源工具，具備出色的GUI界面。借助該工具，用戶就可以輕松查看已傳輸?shù)膱D像及其他文件。

NetworkMiner還具有IPv6支持、Pcap-over-IP、操作系統(tǒng)指紋識(shí)別、Geo IP本地化、支持命令行腳本等多種檢測功能，這些功能適用于不同類型的流量，比如HTTP、SMB2、POP3、TFTP、FIP和SMB等流量。

04

tcpdump

tcpdump是一個(gè)經(jīng)典的Linux實(shí)用程序，盡管它沒有圖形化的界面和應(yīng)用環(huán)境，但可以通過其應(yīng)用的便捷性來彌補(bǔ)這個(gè)不足。

Tcpdump的工具命令簡單明了，旨在幫助用戶解決網(wǎng)絡(luò)數(shù)據(jù)包分析中的特定問題。針對不同的檢測問題，有不同的命令可用。

如果用戶需求簡單，但需要快速實(shí)現(xiàn)掃描，tcpdump會(huì)是不錯(cuò)的選擇。

目前大多數(shù)Linux發(fā)行版操作系統(tǒng)都會(huì)附帶這款工具。

05

ManageEngine NetFlow Analyzer

這是一款功能完整的流量分析軟件，使用流量技術(shù)，為安全團(tuán)隊(duì)提供深入的信息，以提供最佳流量模式的帶寬性能。

這款嗅探器在Windows和Linux系統(tǒng)上都可以被使用。

ManageEngine NetFlow Analyzer使用DPI引擎，可監(jiān)控網(wǎng)絡(luò)響應(yīng)時(shí)間和應(yīng)用程序響應(yīng)時(shí)間，并執(zhí)行分析，以查明某個(gè)網(wǎng)絡(luò)或應(yīng)用程序是否出現(xiàn)差錯(cuò)。

NetFlow Analyzer 還允許用戶列出受影響用戶列表，以便企業(yè)向用戶告知修復(fù)問題的解決方案。

它通過流量整形機(jī)制提供調(diào)節(jié)功能，以遵循帶寬管理技術(shù)，同時(shí)可為高優(yōu)先級(jí)的應(yīng)用程序提供網(wǎng)絡(luò)性能保障。

06

Kismet

Kismet是目前應(yīng)用最廣泛的數(shù)據(jù)包嗅探工具之一。它主要用于Wi-Fi傳輸故障的分析與排除，也可用于檢測組織內(nèi)網(wǎng)系統(tǒng)上的應(yīng)用流量。

如果您想查找非法連接到網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備，可以通過kismet來快速發(fā)現(xiàn)，并阻止它連接所有網(wǎng)絡(luò)基礎(chǔ)設(shè)施。這個(gè)工具可以在Windows和Linux等多個(gè)操作系統(tǒng)上運(yùn)行，但也缺少用戶體驗(yàn)更好的圖形化功能。

這款工具運(yùn)行速度很快，可在被動(dòng)模式下運(yùn)行。它在攔截?cái)?shù)據(jù)包的同時(shí)不會(huì)留下任何數(shù)字痕跡。Kismet的獨(dú)特之處在于，它需要作為一個(gè)獨(dú)立應(yīng)用程序來運(yùn)行。它是一個(gè)需要客戶端支持的工具，需要將捕獲的數(shù)據(jù)包發(fā)回到服務(wù)器端進(jìn)行綜合分析。

07

Colasoft Capsa

如果用戶只需要在Windows環(huán)境中應(yīng)用，那么Colasoft Capsa將是一個(gè)不錯(cuò)的選擇，它有免費(fèi)版、標(biāo)準(zhǔn)版和企業(yè)版三個(gè)版本，不同版本可滿足用戶不同層面的應(yīng)用需求。

不過，即便是免費(fèi)版，也可以支持300種協(xié)議，擁有較為出色的流量分析檢測功能，標(biāo)準(zhǔn)版則更勝一籌，支持1000多種協(xié)議，還允許用戶自定義分析會(huì)話，實(shí)現(xiàn)數(shù)據(jù)包流量的重建。

08

EtherApe

EtherApe是一款功能強(qiáng)大的可視化和開源版網(wǎng)絡(luò)嗅探分析工具，它有預(yù)構(gòu)建的二進(jìn)制文件，但只有Linux發(fā)行版用戶才可享用。

EtherApe的代表功能是多節(jié)點(diǎn)流量編碼監(jiān)控，可以在“l(fā)ive off”模式下讀取數(shù)據(jù)，也可以從tcpdump文件讀取數(shù)據(jù)。它還支持網(wǎng)絡(luò)數(shù)據(jù)包的標(biāo)準(zhǔn)名稱解析。

在最新版本中，EtherApe的GUI界面已升級(jí)為GTK3，這帶來了更出色的應(yīng)用體驗(yàn)。

09

Fiddler

Fiddler是應(yīng)用于外部網(wǎng)絡(luò)與內(nèi)網(wǎng)用戶設(shè)備之間的被動(dòng)網(wǎng)絡(luò)嗅探器，為了確保網(wǎng)絡(luò)運(yùn)行正常，用戶需要Fiddler。

如果用戶主要需求是用來嗅探HTTP和HTTPS流量，F(xiàn)iddler被認(rèn)為是最合適的工具之一。

用戶可以用Fiddler執(zhí)行許多分析操作，比如會(huì)話操縱、安全分析和網(wǎng)絡(luò)性能測試。

在會(huì)話操縱中，F(xiàn)iddler使用HTTP標(biāo)頭，可以根據(jù)需要修改會(huì)話數(shù)據(jù)；在安全測試中，它允許用戶模擬中間人攻擊，并為特定用戶解密所有HTTPS流量；在性能測試中，它可以分析頁面加載（或API響應(yīng)）時(shí)間，幫助用戶查找網(wǎng)絡(luò)應(yīng)用的性能瓶頸。

10

Wifi Explorer

Wifi Explorer是一款面向macOS的無線網(wǎng)絡(luò)數(shù)據(jù)包分析工具，可幫助用戶發(fā)現(xiàn)可能干擾網(wǎng)絡(luò)的信道沖突和信號(hào)重疊。

Wifi Explorer功能設(shè)計(jì)完善，擁有較豐富的檢測和分析工具，可以直接應(yīng)用于網(wǎng)絡(luò)核心部分的流量分析。

它還可以幫助用戶檢測非法無線網(wǎng)絡(luò)信號(hào)源，查明是否有干擾用戶正常應(yīng)用的無線網(wǎng)絡(luò)信號(hào)。

審核編輯 ：李倩