最佳數據包嗅探器和網絡分析器 - 2021 年審查前 7 名

數據包嗅探是一種深度類型的網絡分析，其中對網絡流量的詳細信息進行解碼以進行分析。這是任何網絡管理員都應具備的最重要的故障排除技能之一。分析網絡流量是一項複雜的任務。為了應對不可靠的網絡，數據不是在一個連續的流中發送。相反，它被分成單獨發送的片段。分析網絡流量涉及能夠收集這些數據包並將它們重新組合成有意義的東西。這不是您可以手動完成的，因此創建了數據包嗅探器和網絡分析器。今天，我們來看看七款最好的數據包嗅探器和網絡分析器。

我們將通過向您提供有關數據包嗅探器是什麼的一些背景信息開始今天的旅程。我們將嘗試找出數據包嗅探器和網絡分析器之間的區別——或者是否存在區別。然後我們將進入我們主題的核心，不僅列出而且簡要回顧我們的七個選擇中的每一個。我們為您提供的是在各種操作系統上運行的 GUI 工具和命令行實用程序的組合。

關於數據包嗅探器和網絡分析器的幾句話

讓我們先解決一些問題。在本文中，我們假設數據包嗅探器和網絡分析器是一回事。有些人會爭辯說他們是不同的，他們可能是對的。但是在本文的上下文中，我們將一起查看它們，主要是因為即使它們的運行方式可能不同——但它們真的是這樣嗎？——它們服務於相同的目的。

數據包嗅探器通常會做三件事。首先，它們在進入或退出網絡接口時捕獲所有數據包。其次，他們可以選擇應用過濾器來忽略一些數據包並將其他數據包保存到磁盤。然後，他們對捕獲的數據進行某種形式的分析。它們最大的區別在於數據包嗅探器的最後一個功能。

對於數據包的實際捕獲，大多數工具使用外部模塊。最常見的是 Unix/Linux 系統上的 libpcap 和 Windows 上的 Winpcap。您通常不必安裝這些工具，因為它們通常由不同的工具安裝程序安裝。

要知道的另一件重要的事情是數據包嗅探器——即使是最好的——不會為你做所有的事情。它們只是工具。它就像一把錘子，自己不會釘任何釘子。因此，您需要確保學習如何最好地使用每個工具。數據包嗅探器只會讓您看到流量，但您可以使用該信息來查找問題。已經有整本關於使用數據包捕獲工具的書籍。我自己曾經參加過為期三天的關於這個主題的課程。我不是要讓你氣餒。我只是想直截了當地設定您的期望。

如何使用數據包嗅探器

正如我們所解釋的，數據包嗅探器將捕獲和分析流量。因此，如果您正在嘗試解決特定問題（這通常是您使用此類工具的原因），您首先需要確保您捕獲的流量是正確的流量。想像一下所有用戶都抱怨特定應用程序運行緩慢的情況。在這種情況下，最好的辦法可能是在應用程序服務器的網絡接口上捕獲流量。然後您可能會意識到請求正常到達服務器，但服務器需要很長時間才能發出響應。這將表明服務器問題。

另一方面，如果您看到服務器及時響應，則可能意味著問題出在客戶端和服務器之間的網絡上。然後，您將您的數據包嗅探器移近客戶端一跳，看看響應是否延遲。如果不是，則您將更多的躍點移近客戶端，依此類推。您最終會到達發生延誤的地點。一旦確定了問題的位置，就離解決問題又近了一大步。

現在您可能想知道我們如何在特定點捕獲數據包。這很簡單，我們利用了大多數網絡交換機的一個特性，稱為端口鏡像或複制。這是一個配置選項，可將進出特定交換機端口的所有流量複製到同一交換機上的另一個端口。假設您的服務器連接到交換機的端口 15，並且同一交換機的端口 23 可用。您將數據包嗅探器連接到端口 23，並將交換機配置為將所有流量從端口 15 複製到端口 23。您在端口 23 上得到的結果是通過端口 15 的鏡像（因此稱為端口鏡像名稱）。

最好的數據包嗅探器和網絡分析器

現在您已經更好地了解了數據包嗅探器和網絡分析器是什麼，讓我們看看我們能找到的七個最佳工具是什麼。我們嘗試包含命令行和 GUI 工具的混合，以及包含在各種操作系統上運行的工具。畢竟，並非所有網絡管理員都在運行 Windows。

1. SolarWinds 深度包檢測和分析工具（免費試用）

SolarWinds以其許多有用的免費工具和最先進的網絡管理軟件而聞名。它的工具之一稱為深度數據包檢查和分析工具。它是 SolarWinds 的旗艦產品 Network Performance Monitor 的一個組件。它的操作與更“傳統”的數據包嗅探器有很大不同，儘管它具有類似的目的。

總結該工具的功能：它將幫助您查找和解決網絡延遲的原因，識別受影響的應用程序，並確定緩慢是由網絡還是應用程序引起的。該軟件還將使用深度數據包檢測技術來計算 1200 多個應用程序的響應時間。它還將按類別、業務與社交以及風險級別對網絡流量進行分類，幫助您識別可能需要過濾或以其他方式消除的非業務流量。

並且不要忘記 SolarWinds 深度數據包檢查和分析工具作為網絡性能監視器的一部分提供。NPM，正如人們常說的那樣，是一款令人印象深刻的軟件，它的組件如此之多，以至於整篇文章都可以專門介紹它。從本質上講，它是一個完整的網絡監控解決方案，結合了 SNMP 和深度數據包檢測等最佳技術，以提供盡可能多的網絡狀態信息。該工具價格合理，附帶30 天免費試用期，因此您可以在購買之前確保它確實符合您的需求。

官方下載鏈接： https : //www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

Tcpdump可能是原始的數據包嗅探器。它創建於 1987 年。從那時起，它一直在維護和改進，但基本上保持不變，至少它的使用方式是這樣。它幾乎預裝在每一個類 Unix 操作系統中，並且在需要一個快速工具來捕獲數據包時已成為事實上的標準。Tcpdump 使用 libpcap 庫進行實際的數據包捕獲。

默認情況下。tcpdump 捕獲指定接口上的所有流量，並將其“轉儲”到屏幕上——因此得名。轉儲也可以通過管道傳輸到捕獲文件，並在以後使用一個或多個可用工具的組合進行分析。tcpdump 的優勢和實用性的一個關鍵是可以應用各種過濾器並將其輸出通過管道傳送到 grep（另一個常見的 Unix 命令行實用程序）以進行進一步過濾。熟悉 tcpdump、grep 和命令 shell 的人可以讓它準確地捕獲任何調試任務的正確流量。

3.Windump

Windump本質上只是 tcpdump 到 Windows 平台的一個端口。因此，它的行為方式大致相同。看到從一個平台到另一個平台的成功實用程序的此類移植並不少見。Windump 是一個 Windows 應用程序，但不要指望有一個花哨的 GUI。這是一個僅限命令行的實用程序。因此，使用 Windump 與使用其對應的 Unix 基本相同。命令行選項相同，結果也幾乎相同。Windump 的輸出也可以保存到文件中，以便以後使用第三方工具進行分析。

與 tcpdump 的主要區別之一是 Windump 未內置於 Windows。您必須從Windump 網站下載它。該軟件以可執行文件的形式交付，無需安裝。但是，就像 tcpdump 使用 libpcap 庫一樣，Windump 使用 Winpcap，與大多數 Windows 庫一樣，需要單獨下載和安裝。

4. 線鯊

Wireshark是數據包嗅探器中的參考。它已成為事實上的標準，大多數其他工具都傾向於模仿它。該工具不僅可以捕獲流量，還具有非常強大的分析功能。如此強大以至於許多管理員會使用 tcpdump 或 Windump 將流量捕獲到文件中，然後將文件加載到 Wireshark 中進行分析。這是使用 Wireshark 的一種常見方式，在啟動時，系統會提示您打開現有的 pcap 文件或開始捕獲流量。Wireshark 的另一個優勢是它包含的所有過濾器，可讓您準確地將感興趣的數據歸零。

老實說，這個工具的學習曲線很陡峭，但非常值得學習。它將一次又一次地證明是無價的。一旦你學會了它，你就可以在任何地方使用它，因為它已經被移植到幾乎所有的操作系​​統上，而且它是免費和開源的。

5. 鯊魚

Tshark有點像 tcpdump 和 Wireshark 之間的交叉。這是一件很棒的事情，因為它們是一些最好的數據包嗅探器。Tshark 與 tcpdump 的相似之處在於它是一個僅限命令行的工具。但它也像 Wireshark 一樣，不僅可以捕獲流量，還可以分析流量。Tshark 與 Wireshark 來自同一開發人員。它或多或少是 Wireshark 的命令行版本。它使用與 Wireshark 相同類型的過濾，因此可以快速隔離您需要分析的流量。

但是，您可能會問，為什麼有人想要 Wireshark 的命令行版本？為什麼不直接使用 Wireshark；憑藉其圖形界面，它必須更易於使用和學習嗎？主要原因是它允許您在非 GUI 服務器上使用它。

6.網絡礦工

Network Miner更像是一種取證工具，而不是真正的數據包嗅探器。Network Miner 將遵循 TCP 流並重建整個對話。它確實是一種強大的工具。它可以在離線模式下工作，您可以在其中導入一些捕獲文件，讓 Network Miner 發揮其魔力。這是一個有用的功能，因為該軟件只能在 Windows 上運行。你可以在 Linux 上使用 tcpdump 來捕獲一些流量，在 Windows 上使用 Network Miner 來分析它。

Network Miner 提供免費版本，但對於更高級的功能，例如基於 IP 的地理定位和腳本，您需要購買專業許可證。專業版的另一個高級功能是解碼和回放 VoIP 呼叫的可能性。

7.提琴手（HTTP）

一些知識淵博的讀者可能會爭辯說，Fiddler 既不是數據包嗅探器，也不是網絡分析器。他們可能是對的，但我們認為我們應該將此工具包括在我們的列表中，因為它在許多情況下都非常有用。Fiddler實際上會捕獲流量，但不會捕獲任何流量。它僅適用於 HTTPS 流量。當您考慮到當今如此多的應用程序是基於 Web 的或在後台使用 HTTP 協議時，您可以想像它有多麼寶貴，儘管它有其局限性。由於 Fiddler 不僅會捕獲瀏覽器流量，還會捕獲幾乎任何 HTTP，因此它在故障排除方面非常有用

像 Fiddler 這樣的工具比像 Wireshark 這樣的真正的數據包嗅探器的優勢在於，Fiddler 是為了“理解”HTTP 流量而構建的。例如，它將發現 cookie 和證書。它還可以找到來自基於 HTTP 的應用程序的實際數據。Fiddler 是免費的，僅適用於 Windows，但可以下載適用於 OS X 和 Linux（使用 Mono 框架）的 beta 版本。

結論

當我們發布這樣的列表時，我們經常被問到哪個是最好的。在這種特殊情況下，如果有人問我這個問題，我必須回答“所有這些”。它們都是免費工具，都有其價值。為什麼不把它們都放在手邊並熟悉每一個。當您遇到需要使用它們的情況時，它將變得更加容易和高效。即使是命令行工具也具有巨大的價值。例如，它們可以被編寫和調度。假設您有一個每天凌晨 2:00 發生的問題。您可以安排作業在 1:50 到 2:10 之間運行 Windump 的 tcpdump，並在第二天早上分析捕獲文件。沒有必要熬夜。