2020年最佳数据包嗅探器（已审核11个数据包分析器）

数据包嗅探是一个通俗的术语，指的是网络流量分析的技术。与常识相反，诸如电子邮件和网页之类的内容不会一次穿越互联网。它们被分解为数千个小数据包，并以这种方式通过Internet发送.

有很多工具可以收集网络流量，其中大多数工具都以pcap（类似于Unix的系统）或libcap（Windows系统）为核心来进行实际收集。存在另一套工具来帮助分析该数据，因为即使少量数据也可能导致成千上万个难以导航的数据包。几乎所有这些工具的收集方式都相同。是使他们与众不同的分析.

这篇文章详细介绍了实现此功能的每种工具，但是如果您时间有限，请在此处列出 最好的数据包嗅探器和网络分析器：

1. SolarWinds深度数据包检查和分析工具（免费试用） 一种高质量的网络流量分析工具，可在Windows Server上运行，并且是
2. Paessler数据包捕获工具（免费试用） Paessler PRTG内置的数据包嗅探器，NetFlow传感器，sFlow传感器和J-Flow传感器.
3. ManageEngine NetFlow分析仪（免费试用） 与NetFlow，J-Flow，sFlow Netstream，IPFIX和AppFlow一起使用的流量分析工具
4. Omnipeek网络协议分析器 可以扩展以捕获数据包的网络监视器.
5. tcpdump 每个网络管理员在其工具包中都需要的基本免费的数据包捕获工具.
6. 温德姆 为Windows系统编写的tcpdump的免费克隆.
7. Wireshark 著名的免费数据包捕获和数据分析工具.
8. 扎克 对那些想要Wireshark功能但tcpdump苗条的人的轻量级答案.
9. 网络矿工 基于Windows的网络分析仪，具有免费版本.
10. 提琴手 专注于HTTP流量的数据包捕获工具.
11. 卡普萨 为Windows编写的免费数据包捕获工具可以升级以进行付款以添加分析功能.

数据包嗅探的优点

数据包嗅探器是使您能够实施公司的网络容量策略的有用工具。它们的主要好处是：

• 识别拥塞的链接
• 确定产生最多流量的应用程序
• 收集数据以进行预测分析
• 突出网络需求的高峰和低谷

您采取的行动取决于您的可用预算。如果您有足够的资源来扩展网络容量，则数据包嗅探器将使您能够更有效地定位新资源。如果您没有预算，数据包嗅探将通过确定应用程序流量的优先级，调整子网大小，重新安排繁忙的事件，限制特定应用程序的带宽或用更有效的替代方法替换应用程序来帮助调整流量.

混杂模式

安装包嗅探软件时，了解计算机上网卡的工作方式非常重要。从您的计算机到网络的接口称为“网络接口控制器,”或NIC。您的NIC将仅接收寻址到其MAC地址的互联网流量.

要捕获一般流量，您需要将NIC放入“混杂模式.”这将消除NIC上的侦听限制。在混杂模式下，您的NIC将接收所有网络流量。大多数数据包嗅探器在用户界面中都有一个实用程序，可为您管理模式切换.

网络流量类型

网络流量分析需要了解网络的工作方式。没有工具能够神奇地消除分析人员了解网络基础知识的要求，例如用于启动两个设备之间的连接的TCP三向握手。分析人员还应该对正常运行的网络上存在的网络流量类型（例如ARP和DHCP流量）有所了解。这些知识是必不可少的，因为分析工具只会向您显示您的要求-取决于您要查询的内容。如果不确定网络的外观如何，可能很难确保您在收集到的大量数据包中进行挖掘.

企业工具

让我们从顶部开始，逐步深入了解基本内容。如果您要处理的是企业级网络，则需要强大的工具。虽然几乎所有内容都以tcpdump为核心（稍后会详细介绍），但企业级工具可以提供其他分析功能，例如关联来自许多服务器的流量，提供智能查询工具以发现问题，对异常情况发出警报并生成精美的图表，管理要求.

企业级工具倾向于将重点放在网络流量上，而不是判断数据包内容。通过这种方式，我的意思是企业中大多数系统管理员的重点是保持网络畅通无阻，而不会出现性能瓶颈。当出现瓶颈时，通常的目标是确定问题是网络还是网络上的应用程序。另一方面，这些企业级工具通常能够看到大量流量，因此可以帮助预测网络段何时饱和，这是容量管理的关键要素.

黑客工具

数据包嗅探器也被黑客使用。请注意，这些工具可用于攻击您的网络以及解决问题。数据包嗅探器可以用作 窃听者 帮助窃取传输中的数据，它们还可以有助于“中间的人会更改传输中的数据并转移流量以欺骗网络上的用户的攻击。投资入侵检测系统以保护您的网络免遭这些未经授权的访问

数据包嗅探器和网络分析器如何工作?

的 数据包嗅探器的主要功能是，它会在数据通过网络传播时复制数据并使之可供查看. 嗅探设备仅复制它看到的通过网络传递的所有数据。当在交换机上实现时，设备的设置允许将传递的数据包发送到第二个端口以及预期的目的地，从而复制流量。通常，将从网络中获取的数据包复制到文件中。一些工具还将在仪表板上显示该数据。然而, 数据包嗅探器可以收集很多数据，其中包括已编码的管理员信息. 您将需要 查找可以帮助您取消引用信息的分析工具 数据包在摘录中的行程以及其他信息，例如数据包之间的端口号的相关性.

简单的数据包嗅探器将复制网络上传输的所有数据包. 这可能是个问题. 如果未对数据包有效载荷进行加密，那么您将使IT部门人员可以在网络上传输敏感的业务信息。因此，可以限制许多数据包嗅探器，以便仅复制标头信息。在大多数情况下，网络性能分析不需要数据包的内容。如果要在24小时内或几天内跟踪网络使用情况，则存储每个数据包将占用非常大的磁盘空间-即使您仅接收数据包头。在这些情况下，建议对数据包进行采样，这意味着每10或20个数据包复制一次，而不是对每个数据包进行复制.

最好的数据包嗅探器和网络分析仪

我们根据以下一般考虑因素对以下工具进行了排名：有用的功能，可靠性，易于安装，集成和使用，所提供的帮助和支持的数量，软件的更新和维护程度以及开发人员的信誉行业.

1. SolarWinds深度数据包检查和分析工具（免费试用）

SolarWinds是一套非常广泛的IT管理工具。与本文更相关的工具是深度包检查和分析工具。收集网络流量非常容易。使用WireShark之​​类的工具，基本关卡分析也不会成为障碍。但并非所有情况都是如此。在非常繁忙的网络中，可能甚至很难确定一些非常基本的事情，例如：

• 网络上的哪个应用程序正在创建此流量?
• 如果该应用程序是已知的（例如，Web浏览器），人们将大部分时间花在哪里？?
• 哪些连接耗时最长，并且使网络瘫痪?

大多数网络设备仅使用每个数据包的元数据来确保数据包到达目的地。数据包的内容对于网络设备是未知的。深度数据包检查是不同的；这意味着将检查数据包的实际内容，以了解更多信息。可以通过这种方式发现无法从元数据中收集的关键网络信息。 SolarWinds提供的工具可以提供比简单的交通流更有意义的数据.

用于管理大容量网络的其他技术包括NetFlow和sFlow。每种方法都有其优点和缺点，您可以在此处阅读有关NetFlow和sFlow技术的更多信息。.

通常，网络分析是一个高级主题，既有经验，又有一半培训。可以训练某人来了解有关网络数据包的每一个细节，但是除非该人也了解目标网络，并且具有识别异常的经验，否则他们不会走得太远。我已经在本文中列出的工具可供经验丰富的网络管理员使用，他们已经知道他们在寻找什么，但是不确定哪种工具是最好的。其他初级系统管理员也可以使用它们来获得有关网络在日常操作中的外观的经验，这将有助于以后识别问题。.

编辑的选择

SolarWinds网络性能监视器可深入了解导致网络缓慢的原因，并允许您使用深度数据包检查快速解决根本原因。通过按应用程序，类别（业务与社会）和风险级别识别流量，您可以消除和过滤问题流量并衡量应用程序响应时间。凭借出色的用户界面，这是数据包嗅探和网络分析的绝佳选择.

下载： 在SolarWinds.com上提供功能齐全的30天免费试用

官方网站： www.solarwinds.com/topics/deep-packet-inspection/

作业系统： Windows服务器

2. Paessler数据包捕获工具（免费试用）

Paessler数据包捕获工具PRTG：“多合一监控”是一个统一的基础架构监控工具。它可以帮助您管理网络和服务器。该实用程序的网络监视部分涵盖两种任务。它们是一个网络性能监视器，它检查网络设备的状态，还有一个网络带宽分析器，它覆盖网络中链路上的通信流.

PRTG的带宽分析部分是通过使用四个不同的数据包捕获工具来实现的。这些是：

•         数据包嗅探器
•         NetFlow传感器
•         sFlow传感器
•         J流量传感器

PRTG数据包嗅探器仅捕获跨网络传输的数据包的标头。这使分析仪具有速度优势，并且还减少了保存捕获文件所需的存储空间量。数据包嗅探器的仪表板按应用程序类型对流量进行分类。这些包括电子邮件流量，Web数据包，聊天应用程序流量数据和文件传输数据包量.

NetFlow是一个非常广泛使用的数据流消息传递系统。它由Cisco Systems创建，但也用于其他制造商生产的设备。 PRTG NetFlow传感器还拾取IPFIX消息-此消息传递标准是IETF赞助的NetFlow的后继者。 J-Flow方法是瞻博网络为其设备使用的类似消息系统。 sFlow标准对流量进行采样，因此它将收集第n个数据包。 NetFlow和J-Flow都捕获连续的数据包流.

Paessler根据实现激活的“传感器”的数量为其PRTG软件定价。传感器是系统状况或硬件组件。例如，Paessler提供的四个数据包嗅探器中的每一个都算作一个PRTG传感器。如果您激活了100个或更少的传感器，则可以免费使用该系统，因此，如果仅将此软件包用于其数据包嗅探接口，则无需向Paessler支付任何费用.

Paessler系统包括许多其他网络和服务器监视功能，包括虚拟化监视器和应用程序监视器。 PRTG可以在本地安装，也可以作为云服务访问。该软件可在Windows环境中运行，您可以免费试用30天.

Paessler数据包捕获工具PRTG下载30天免费试用版

3. ManageEngine NetFlow分析仪（免费试用）

的 ManageEngine NetFlow分析仪 从您的网络设备获取流量信息。您可以使用此工具选择对流量进行采样，捕获整个流或收集有关流量模式的统计信息.

网络设备的制造商并非都使用相同的协议来传输流量数据。因此，NetFlow Analyzer能够使用不同的语言来收集信息。这些包括 思科NetFlow, 瞻博网络J-Flow, 和 华为网流. 它也能够与 流, IPFIX, 和 应用流 标准.

该监视器能够跟踪数据流的一致性以及每个网络设备上的负载。流量分析功能让您 看包 当它们通过设备并捕获到文件时。这种可见性使您能够查看哪些应用程序占用了大部分带宽，并通过流量整形措施（例如优先级排队或节流）做出决定。.

系统的仪表板具有颜色编码的图形，这使您发现问题的任务变得更加容易。控制台与其他ManageEngine基础架构监视工具的迷人外观联系在一起，因为它们都构建在一个通用平台上。这使其与多种ManageEngine产品集成在一起。例如，网络管理员通常会同时购买 运营经理 和来自Manage Engine的NetFlow Analyzer.

OpManager通过以下方式监视设备的状态 SNMP协议 流程，NetFlow Analyzer将重点放在流量级别和数据包流模式上.

ManageEngine NetFlow Analyzer安装在 视窗, Windows服务器, 和 RHEL, CentOS的, 软呢帽, 德比安, SUSE, 和 Ubuntu Linux. 该系统提供两个版本.

基本版为您提供标准的网络流量监视功能以及报告和计费模块。较高的计划称为企业版。它具有Essential Edition的所有功能以及 NBAR & 服务质量 监控，高级安全分析模块，容量计划实用程序和深度数据包检查功能。此版本还包括 IP SLA 和 WLC 监控.

您可以免费试用30天的NetFlow Analyzer版本.

ManageEngine NetFlow Analyzer下载30天免费试用版

4. Omnipeek网络协议分析器

LiveAction Omnipeek，以前是 Savvius, 是一种网络协议分析器，可用于捕获数据包以及对网络流量进行协议分析.

Omnipeek可以通过插件扩展。 Omipeek核心系统无法捕获网络数据包。但是，除了 捕获引擎 插件获得数据包捕获功能。捕获引擎系统在有线网络上拾取数据包；另一个扩展名为 无线适配器 增加无线功能，并通过Omnipeek捕获Wifi数据包.

基本的Omnipeek网络协议分析器的功能扩展到网络性能监视。除了按协议列出流量外，该软件还将测量流量的传输速度和规律性, 发出警报 如果流量减慢或旅行超出了网络管理员设置的边界条件.

流量分析器可以跟踪 端到端 在整个网络上转移性能，或仅监视每个网络 链接. 其他功能监视接口，包括从网络外部到达Web服务器的传入流量。该软件对流量吞吐量和每个协议的流量显示特别感兴趣。可以将数据视为协议及其吞吐量的列表，也可以视为实时图形和图表。使用捕获引擎捕获的数据包可以是 储存以供分析 或通过网络重播 容量测试.

Omnipeek安装在Windows和Windows Server上。该系统不能免费使用。但是，有可能获得Omnipeek的30天免费试用.

5. tcpdump

几乎所有网络流量收集的基本工具是tcpdump。它是一个开源应用程序，几乎安装在所有类似Unix的操作系统上。 Tcpdump是一个出色的收集工具，并带有非常复杂的过滤语言。重要的是要知道如何在收集时过滤数据，以便最终得到可管理的大块数据进行分析。即使是在繁忙的网络中，从网络设备捕获所有数据也可能会创建太多数据，以至于无法轻松分析.

在极少数情况下，允许tcpdump直接将其捕获内容输出到屏幕上可能足以找到所需的内容。例如，在撰写本文时，我捕获了一些流量，并注意到我的机器正在将流量发送到我无法识别的IP。原来，我的机器正在将数据发送到Google IP地址172.217.11.142。由于我没有运行任何Google产品，也没有打开Gmail，所以我不知道为什么会这样。我检查了系统，发现了这一点：

[〜] $ ps -ef | grep Google
用户1985 1881 0 10:16 00:00:00 / opt / google / chrome / chrome –type = service

看来，即使Chrome不在前台运行，它仍然可以作为服务运行。如果没有数据包分析来提示我，我不一定会注意到这一点。我重新捕获了更多的tcpdump数据，但是这次告诉tcpdump将数据写到我在Wireshark中打开的文件中（稍后会详细介绍）。这是该条目：

Tcpdump是系统管理员中最喜欢的工具，因为它是命令行工具。这意味着它不需要完整的桌面即可运行。由于要占用资源，生产服务器通常不提供桌面，因此首选命令行工具。与许多高级工具一样，tcpdump具有非常丰富而神秘的语言，需要花费一些时间来掌握。一些非常基本的命令涉及选择要从中收集数据的网络接口，并将该数据写入文件，以便可以将其导出以在其他地方进行分析。 -i和-w开关用于此目的.

＃tcpdump -i eth0 -w tcpdump_packets
tcpdump：在eth0上侦听，链接类型为EN10MB（以太网），捕获大小为262144字节
捕获的^ C51个数据包

这将生成一个捕获文件：

文件tcpdump_packets
tcpdump_packets：tcpdump捕获文件（little-endian）-版本2.4（以太网，捕获长度262144）

标准的TCP捕获文件是pcap文件。它不是文本，因此只能由知道如何读取pcap文件的分析程序读取.

6. WinDump

最终，最有用的开源工具被克隆到其他操作系统。发生这种情况时，据说该应用程序已被移植。 WinDump是tcpdump的端口，其行为方式非常相似.

WinDump和tcpdump之间的主要区别是Windump需要先安装WinpCap库，然后才能运行WinDump。尽管WinDump和WinpCap由同一个维护者提供，但它们是单独的下载.

WinpCap是需要安装的实际库。但是，一旦安装完毕，WinDump就是一个无需安装即可以运行的.exe文件。如果您运行的是Windows网络，则可能要记住这一点。您不一定需要在每台计算机上都安装WinDump，因为您可以根据需要进行复制，但是您需要安装WinpCap才能支持WinDump.

与tcpdump一样，WinDump可以将网络数据输出到屏幕上进行分析，以相同的方式进行过滤，还可以将数据写入pcap文件进行异地分析。.

7. Wireshark

Wireshark可能是所有系统管理员工具包中下一个最知名的工具。它不仅可以捕获数据，而且还提供了一些高级分析工具。 Wireshark是开放源代码，并且已移植到几乎所有现有的服务器操作系统上，这进一步增加了它的吸引力。 Wireshark始于以太坊（Etheral），如今已在任何地方运行，包括作为独立的便携式应用.

如果您要分析安装了台式机的服务器上的流量，Wireshark可以为您完成所有工作。它可以收集数据，然后一站式分析所有数据。但是，台式机在服务器上并不常见，因此在许多情况下，您将需要远程捕获网络数据，然后将生成的pcap文件拖入Wireshark.

首次启动时，Wireshark允许您加载现有的pcap文件或开始捕获。如果选择捕获网络流量，则可以选择指定过滤器以减少Wireshark收集的数据量。由于其分析工具非常出色，因此确保您在使用Wireshark时通过外科手术识别数据的重要性就不那么重要了。如果您未指定过滤器，则Wireshark只会收集您所选接口观察到的所有网络数据.

Wireshark提供的最有用的工具之一是跟踪信息流的能力。将流视为整个对话可能是最有用的。在下面的屏幕截图中，我们可以看到捕获了很多数据，但是我最感兴趣的是Google IP。我可以右键单击它，然后按照“ TCP流”查看整个对话.

如果您在其他地方捕获了流量，则可以使用Wireshark的文件导入pcap文件 -> 公开对话。可用于本地捕获的网络数据的相同筛选器和工具可用于导入的文件.

8.鲨鱼

TShark是tcpdump和Wireshark之​​间非常有用的一个十字架。 Tcpdump擅长收集数据，并且可以非常外科地仅提取您想要的数据，但是它在分析方面的帮助有限。 Wireshark在收集和分析方面都做得很好，但是由于它具有繁重的用户界面，因此无法在无头服务器上使用。输入TShark；它捕获并分析，但后者在命令行上执行.

TShark使用与Wireshark相同的过滤约定，这并不奇怪，因为它们本质上是同一产品。该命令告诉TShark仅从数据包的HTTP部分获取目标IP地址以及其他一些有趣的字段.

＃tshark -i eth0 -Y http.request -T字段-e ip.dst -e http.user_agent -e http.request.uri

172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /favicon.ico
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /favicon.ico

如果要捕获到文件，可以使用-w开关将其写入，然后使用TShark的-r（读取模式）开关来读取它.

首先捕获：

＃tshark -i eth0 -w tshark_packets
捕捉“ eth0”
102 ^ C

在同一服务器上读取它，或将其传输到其他分析服务器.

＃tshark -r tshark_packets -Y http.request -T字段-e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 / contact
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 / reservations /
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /reservations/styles/styles.css
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /res/images/title.png

9.网络矿工

Network Miner是一个非常有趣的工具，它更多地属于取证工具类别，而不是直截了当的数据包嗅探器。取证领域通常处理证据的调查和收集，Network Miner可以很好地处理网络流量。就像WireShark可以遵循TCP流以恢复整个TCP对话一样，Network Miner可以遵循流以重建通过网络发送的文件.

为了捕获实时流量，Network Miner应该策略性地放置在网络上，以便能够观察和收集您感兴趣的流量。它不会将任何自己的流量引入网络，因此它的运行非常隐秘.

Network Miner也可以在离线模式下运行。您可以使用久经考验的tcpdump工具在网络上的某个兴趣点整理数据包，然后将pcap文件导入Network Miner。然后它将尝试重建在捕获文件中找到的任何文件或证书。.

Network Miner是为Windows构建的，但是通过使用Mono，它可以在具有Mono框架的任何OS（例如Linux和macOS）上运行.

有一个免费的版本可以帮助您入门，它具有一系列不错的功能。如果您想要更多高级功能，例如GeoIP位置和自定义脚本，则需要购买专业许可证.

10.提琴手（HTTP）

从技术上讲，Fiddler并不是网络数据包捕获工具，但它是如此有用，以至于它列出了清单。与此处列出的旨在从任何来源捕获网络上的临时流量的其他工具不同，Fiddler更像是桌面调试工具。它捕获HTTP流量，尽管许多浏览器在其开发人员工具中已经具有此功能，但Fiddler不仅限于浏览器流量。 Fiddler可以捕获桌面上的任何HTTP通信，包括非Web应用程序的HTTP通信.

许多桌面应用程序使用HTTP连接到Web服务，而没有Fiddler之类的工具，捕获流量进行分析的唯一方法是使用tcpdump或WireShark之​​类的工具。但是，这些工具在数据包级别运行，因此分析包括将这些数据包重构为HTTP流。为了执行一些简单的HTTP调查，可能需要做很多工作，Fiddler急忙解决。 Fiddler可以帮助发现进出这些应用程序的Cookie，证书和有效载荷数据.

它有助于Fiddler是免费的，并且与Network Miner一样，它可以在具有Mono框架的任何其他操作系统上的Mono中运行.

11. Capsa

Capsa Network Analyzer具有多个版本，每个版本具有不同的功能。在第一阶段，Capsa是免费的，该软件实际上只是捕获数据包，并允许对它们进行一些非常图形化的分析。仪表板非常独特，即使没有实际的数据包知识，也可以帮助新手系统管理员快速查明网络问题。免费级别面向希望了解更多有关数据包并将其技能培养为成熟的分析师的人员.

免费版本知道如何监视300多种协议，它可以监视电子邮件，还可以保存电子邮件内容，还支持触发器。触发器可用于为特定情况设置警报，这意味着Capsa还可在一定程度上用于支持能力.

Capsa仅适用于Windows 2008 / Vista / 7/8和10.

最后的话

使用我已经提到的工具，了解系统管理员如何构建按需网络监视基础结构并不是一个很大的飞跃。 Tcpdump或Windump可以安装在所有服务器上。诸如cron或Windows调度程序之类的调度程序可以在感兴趣的某个时间启动数据包收集会话，并将这些收集写入pcap文件。稍后，系统管理员可以将这些数据包传输到中央计算机，然后使用Wireshark对其进行分析。如果网络太大而行不通，那么诸如SolarWinds套件之类的企业级工具可以帮助将所有网络数据整理成可管理的数据集.