Wireshark是非常流行的网卡抓包软件,具有强大的抓包功能。它可以截取各种网络数据包,并显示数据包详细信息。
这也就意味着,它可以查看所有网络的流量发生过什么。它适用的系统很多,而最受网络工程师欢迎的原因是,它是免费的。
Wireshark的确是比较经典的,但它的功能并不是最全面的。所以,如果你使用Wireshark时有些许不满意,那这篇同类工具安利贴(5个),建议你收藏。
01 Savvius omnipeek
来自Savvius的Omnipeek是付费使用的,但该软件有很多值得推荐的地方。
它有30天的免费试用,可以让你试试手感和功能。
与Wireshark一样,Omnipeek实际上并不收集数据包,但Omnipeek的分析能力优于Wireshark。
Omnipeek可以扫描数据包是否有问题或检测传输速度的变化。可以将这些事件设置为触发警报。
Omnipeek是网络管理系统+抓包工具的组合体。
它的流量分析模块可以报告连接的端到端性能以及链路性能而且它还能够按需报告Web服务器的接口。
但是,Omnipeek无法在Linux,Unix或Mac OS上运行,要运行Omnipeek,你需要64位Windows 7,8或10,或Windows Server 2008 R2,2012,2012 R2或2016。
02 Ettercap
Ettercap可以免费使用,侧重系统防御的功能。Ettercap与Wireshark的可移植性相匹配,因为它可以在Windows,Linux,Unix和Mac OS上运行。
Ettercap虽然在黑客实用程序这个名号上更响亮一点,但是这个工具依然可以被我们网工人所用。
Ettercap使用libpcap库来捕获数据包。Ettercap软件本身可以创建许多网络攻击,包括ARP中毒和MAC地址伪装。
Ettercap拥有比Wireshark更多的功能,比如,它可以捕获SSL安全证书,更改传输中的数据包内容,删除连接和捕获密码。
再比如,它可以识别恶意用户并将其与网络隔离,如果你想收集证据,可以跟踪可疑用户的行为并记录他们的行为。所以从某一方面来说,Ettercap比Wireshark更强大。
03 Kismet
Kismet无法拦截有线网络上的数据包,但它非常适合无线数据包嗅探,该软件适用于Linux,Unix和Mac OS。
Kismet的数据收集器和其他工具不同,因此入侵检测系统无法发现Kismet的收集活动。
也就是说,标准网络监控系统虽然会发现运行Kismet的设备的存在,但不会看到程序正在网络上收集数据包。
Kismet的默认模式仅收集数据包标头,但它也可用于获取捕获包括数据有效负载在内的所有数据包的流量转储。它可以对数据包进行分析,排序,过滤并保存到文件中。
04 SmartSniff
SmartSniff适用于Windows环境,而且适用于有线网络,可免费使用。SmartSniff的收集器可以在无线网络上运行,但只能在那些包含承载嗅探器程序的计算机的wifi系统上运行。
但是,这个本机系统不是很有效,更常见的是安装WinPcap来收集数据包。
数据包按需捕获,可以在控制台中打开捕获然后关闭。
控制台的顶部窗格显示计算机之间的连接。单击其中一个记录时,该连接的流量将显示在底部面板中。
纯文本流量按原样显示,可以将加密数据包视为十六进制数据转储,可以过滤数据以仅显示TCP,UDP或ICMP数据包,并根据与之相关的应用程序标记每个数据包。
SmartSniff可以将数据包保存到pcap文件中,以便稍后重新加载到界面中,或者使用其他工具进行分析。
05 EtherApe
EtherApe依然免费,也可在Linux,Unix和Mac OS上运行。它主要是通过收集设备的消息来创建网络地图,网络上的主机在地图上绘制并标有其IP地址。
然后,EtherApe会捕获在这些主机之间传输的所有数据包,并实时显示在地图上。每次转移都用颜色表示,代表其协议或应用。
该工具可以跟踪有线和无线网络,还可以描绘虚拟机及其底层基础架构,该映射可跟踪TCP和UDP流量,并可检测IPv4和IPv6地址。
EtherApe可以切换视图,以查看端到端连接上的链接以及其上显示的流量,还可以过滤所有地图以仅显示特定来源的特定应用程序或流量。
EtherApe仅捕获数据包的标头,这样可以保护网络中传播的数据的隐私。
想了解更多网工知识,获取网工大礼包,可关注公众号:IT运维大本营
