五大可替代Wireshark的抓包工具

來源：網(wǎng)絡(luò)工程師阿龍

Wireshark是非常流行的網(wǎng)卡抓包軟件，具有強(qiáng)大的抓包功能。它可以截取各種網(wǎng)絡(luò)數(shù)據(jù)包，并顯示數(shù)據(jù)包詳細(xì)信息。

這也就意味著，它可以查看所有網(wǎng)絡(luò)的流量發(fā)生過什么。它適用的系統(tǒng)很多，而最受網(wǎng)絡(luò)工程師歡迎的原因是，它是免費(fèi)的。

Wireshark的確是比較經(jīng)典的，但它的功能并不是最全面的。所以，如果你使用Wireshark時(shí)有些許不滿意，那這篇同類工具安利貼(5個(gè))，建議你收藏。

01 Savvius omnipee

來自Savvius的Omnipeek是付費(fèi)使用的，但該軟件有很多值得推薦的地方。

它有30天的免費(fèi)試用，可以讓你試試手感和功能。

與Wireshark一樣，Omnipeek實(shí)際上并不收集數(shù)據(jù)包，但Omnipeek的分析能力優(yōu)于Wireshark。

Omnipeek可以掃描數(shù)據(jù)包是否有問題或檢測傳輸速度的變化?？梢詫⑦@些事件設(shè)置為觸發(fā)警報(bào)。

Omnipeek是網(wǎng)絡(luò)管理系統(tǒng)+抓包工具的組合體。

它的流量分析模塊可以報(bào)告連接的端到端性能以及鏈路性能而且它還能夠按需報(bào)告Web服務(wù)器的接口。

但是，Omnipeek無法在Linux，Unix或Mac OS上運(yùn)行，要運(yùn)行Omnipeek，你需要64位Windows 7,8或10，或Windows Server 2008 R2,2012,2012 R2或2016。

02 Ettercap

Ettercap可以免費(fèi)使用，側(cè)重系統(tǒng)防御的功能。Ettercap與Wireshark的可移植性相匹配，因?yàn)樗梢栽赪indows，Linux，Unix和Mac OS上運(yùn)行。

Ettercap雖然在黑客實(shí)用程序這個(gè)名號(hào)上更響亮一點(diǎn)，但是這個(gè)工具依然可以被我們網(wǎng)工人所用。

Ettercap使用libpcap庫來捕獲數(shù)據(jù)包。Ettercap軟件本身可以創(chuàng)建許多網(wǎng)絡(luò)攻擊，包括ARP中毒和MAC地址偽裝。

Ettercap擁有比Wireshark更多的功能，比如，它可以捕獲SSL安全證書，更改傳輸中的數(shù)據(jù)包內(nèi)容，刪除連接和捕獲密碼。

再比如，它可以識(shí)別惡意用戶并將其與網(wǎng)絡(luò)隔離，如果你想收集證據(jù)，可以跟蹤可疑用戶的行為并記錄他們的行為。所以從某一方面來說，Ettercap比Wireshark更強(qiáng)大。

03 Kismet

Kismet無法攔截有線網(wǎng)絡(luò)上的數(shù)據(jù)包，但它非常適合無線數(shù)據(jù)包嗅探，該軟件適用于Linux，Unix和Mac OS。

Kismet的數(shù)據(jù)收集器和其他工具不同，因此入侵檢測系統(tǒng)無法發(fā)現(xiàn)Kismet的收集活動(dòng)。

也就是說，標(biāo)準(zhǔn)網(wǎng)絡(luò)監(jiān)控系統(tǒng)雖然會(huì)發(fā)現(xiàn)運(yùn)行Kismet的設(shè)備的存在，但不會(huì)看到程序正在網(wǎng)絡(luò)上收集數(shù)據(jù)包。

Kismet的默認(rèn)模式僅收集數(shù)據(jù)包標(biāo)頭，但它也可用于獲取捕獲包括數(shù)據(jù)有效負(fù)載在內(nèi)的所有數(shù)據(jù)包的流量轉(zhuǎn)儲(chǔ)。它可以對(duì)數(shù)據(jù)包進(jìn)行分析，排序，過濾并保存到文件中。

04 SmartSniff

SmartSniff適用于Windows環(huán)境，而且適用于有線網(wǎng)絡(luò)，可免費(fèi)使用。SmartSniff的收集器可以在無線網(wǎng)絡(luò)上運(yùn)行，但只能在那些包含承載嗅探器程序的計(jì)算機(jī)的wifi系統(tǒng)上運(yùn)行。

但是，這個(gè)本機(jī)系統(tǒng)不是很有效，更常見的是安裝WinPcap來收集數(shù)據(jù)包。

數(shù)據(jù)包按需捕獲，可以在控制臺(tái)中打開捕獲然后關(guān)閉。

控制臺(tái)的頂部窗格顯示計(jì)算機(jī)之間的連接。單擊其中一個(gè)記錄時(shí)，該連接的流量將顯示在底部面板中。

純文本流量按原樣顯示，可以將加密數(shù)據(jù)包視為十六進(jìn)制數(shù)據(jù)轉(zhuǎn)儲(chǔ)，可以過濾數(shù)據(jù)以僅顯示TCP，UDP或ICMP數(shù)據(jù)包，并根據(jù)與之相關(guān)的應(yīng)用程序標(biāo)記每個(gè)數(shù)據(jù)包。

SmartSniff可以將數(shù)據(jù)包保存到pcap文件中，以便稍后重新加載到界面中，或者使用其他工具進(jìn)行分析。

05 EtherApe

EtherApe依然免費(fèi)，也可在Linux，Unix和Mac OS上運(yùn)行。它主要是通過收集設(shè)備的消息來創(chuàng)建網(wǎng)絡(luò)地圖，網(wǎng)絡(luò)上的主機(jī)在地圖上繪制并標(biāo)有其IP地址。

然后，EtherApe會(huì)捕獲在這些主機(jī)之間傳輸?shù)乃袛?shù)據(jù)包，并實(shí)時(shí)顯示在地圖上。每次轉(zhuǎn)移都用顏色表示，代表其協(xié)議或應(yīng)用。

該工具可以跟蹤有線和無線網(wǎng)絡(luò)，還可以描繪虛擬機(jī)及其底層基礎(chǔ)架構(gòu)，該映射可跟蹤TCP和UDP流量，并可檢測IPv4和IPv6地址。

EtherApe可以切換視圖，以查看端到端連接上的鏈接以及其上顯示的流量，還可以過濾所有地圖以僅顯示特定來源的特定應(yīng)用程序或流量。

EtherApe僅捕獲數(shù)據(jù)包的標(biāo)頭，這樣可以保護(hù)網(wǎng)絡(luò)中傳播的數(shù)據(jù)的隱私。

審核編輯：湯梓紅