六款最主流的免络嗅探软件全接触.doc

六款最主流的免费网络嗅探软件全接触 ZDNET安全频道时间：2009-01-12作者：刘源 | 比特网本文关键词：网络监听?嗅探　　要如何才能找到网络传输的性能瓶颈?要如何才能快速定位已经失效了的网络设备?以及要如何才能迅速找到网络病毒传播或拒绝服务攻击的源头?一些专业的网络分析设备可以用来解决这些问题，但是它们的价格也是相当昂贵的，这对于一对成本控制比较敏感的中小企业和普通用户来说，是不能承受的。很幸运的是，网络嗅探器软件的出现，就为我们提供了一种即方便，又便宜的可视化和专业的网络分析解决方案。在本文中，我将给大家介绍六款主流的免费网络嗅探软件，希望给一些对此有兴趣的朋友提供一个选择参考。 　　1、WireShark 　　WireShark是一个开源免费的高性能网络协议分析软件，它的前身就是非常著名的网络分析软件Ethereal。你可以使用它来解决网络疑难问题，进行网络协议分析，以及作为软件或通信协议的开发参考，同时也可以用来作为学习各种网络协议的教学工具等等。WireShark支持现在已经出现了绝大多数的以太网网卡，以及主流的无线网卡。 　　WireShark具有如下所示的特点： 　　(1) 支持多种操作系统平台，可以运行于Windows、Linux、Mac OS X10.5.5、Solaris和FreeBSD等操作系统上; 　　(2) 支持超过上千种的网络协议，并且还会不断的增加对新协议的支持; 　　(3) 支持实时捕捉，然后可在离线状态下进行分析; 　　(4) 支持对VOIP数据包进行分析; 　　(5) 支持对通过IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP和 　　WPA/WPA2等协议加密了的数据包解密; 　　(6) 可以实时获取来自以太网、IEEE 802.11、PPP/HDLC、ATM、蓝牙、令牌环和FDDI(光纤)等网络中的数据包; 　　(7) 支持读取和分析许多其它网络嗅探软件保存的文件格式，包括Tcpdump、Sniffer pro、EtherPeek、Microsoft Network Monitor和CISCO Secure IDS 等软件; 　　(8) 支持以各种过滤条件进行捕捉，支持通过设置显示过滤来显示指定的内容，并能以不同的颜色来显示过滤后的报文; 　　(9) 具有网络报文数据统计功能; 　　(10) 可以将它捕捉到的数据导出为XML、PostScript、CSV及普通文本文件的格式。 　　运行WireShark所需的文件： 　　现在WireShark的最终版本是1.0.5，我们可以到/download/上下载它。如果WireShark要在Windows系统下运行时，还需要一个名为Winpcap的驱动库，现在它的稳定版本是WinPcap 4.0.2，最新的测试版本是WinPcap 4.1 beta3，我们可以从上下载。如果是在Linux系统下使用时，就应当使用Libpcap驱动库，它现在的版本是Libpcap1.0.0，我们可以从上下载。 　　WireShark在Windows和Linux系统下安装之前，首先你得保证系统上已经安装了Winpcap或Linpcap。下图1.1就是WireShark在Windows系统下运行时的主界面。 　　 　　图1.1　WireShark在Windows系统下运行时的主界面 　　2、Tcpdump和Windump 　　Tcpdump是一个老牌的使用最频繁的网络协议分析软件之一，它是一个基于命令行的工具。Tcpdump通过使用基本的命令表达式，来过滤网络接口卡上要捕捉的流量。它支持现在已经出现了绝大多数的以太网适配器。 　　Tcpdump是一个工作在被动模式下的网络嗅探器。我们可以用它来在Linux系统下捕获网络中进出某台主机接口卡中的数据包，或者整个网络段中的数据包，然后对这些捕获到的网络协议(如TCP、ARP)数据包进行分析和输出，来发现网络中正在发生的各种状况。例如当出现网络连通性故障时，通过对TCP三次握手过程进行分析，可以得出问题出现在哪个步骤。而许多网络或安全专家，都喜欢用它来发现网络中是否存在ARP地址欺骗。我们也可以将它捕获到的数据包先写入到一个文件当中，然后用WireShark等有图形界面的嗅探器读取和分析。 　　它的命令格式为： 　　tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名] 　　[ -s snaplen] [ -T 类型 ] [ -w 文件名 ] [表达式 ] 　　我们可以使用-i参数来指定要捕捉的网络接口卡，用-r来读取已经存在的捕捉文件，用-w来将捕捉到的数据写入到一个文件中。至于其它的参数，我们可以从它的