Wireshark是非常受歡迎的數(shù)據(jù)包嗅探器。它可以安裝在Windows，Linux，Unix和Mac OS上，最重要的是，它是免費(fèi)的。Wireshark將你的網(wǎng)卡置于混搭模式，以便你的計(jì)算機(jī)獲取所有網(wǎng)絡(luò)數(shù)據(jù)包，而不僅僅是用于計(jì)算機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包。Wireshark經(jīng)常被黑客使用，因此許多網(wǎng)絡(luò)管理員都對此持謹(jǐn)慎的態(tài)度。

[[248699]]

Wireshark系統(tǒng)能夠捕獲來自有線網(wǎng)絡(luò)，無線系統(tǒng)和藍(lán)牙的數(shù)據(jù)包。Wireshark實(shí)際上并不收集數(shù)據(jù)包。WinPcap程序在Windows設(shè)備上收集數(shù)據(jù)包。在Linux和Unix上，需要dumpcap。盡管Wireshark并不直接負(fù)責(zé)IT運(yùn)維中最強(qiáng)大的部分，但Wireshark的界面使其成為贏家。系統(tǒng)的命令行版本稱為Tshark。

Wireshark將數(shù)據(jù)保存在遵循pcap格式的文件中。Wireshark界面可以顯示捕獲的數(shù)據(jù)包，對它們進(jìn)行排序，對它們進(jìn)行分類并對其進(jìn)行過濾。可以將存儲的數(shù)據(jù)包加載到接口中進(jìn)行分析。 Wireshark的分析引擎并不是很好，許多用戶選擇其他工具來更好地了解他們的數(shù)據(jù)。

如果你對Wireshark不滿意并且想要找到一個不同的工具來替換它，那么網(wǎng)絡(luò)管理員不妨試試以下替代工具：

• 1.Savvius Omnipeek
• 2.Ettercap
• 3.Kismet
• 4.SmartSniff
• 5.EtherApe

1.Savvius Omnipeek

來自Savvius的Omnipeek不能像Wireshark一樣免費(fèi)使用。但是，該軟件有很多值得推薦的地方，你可以在30天免費(fèi)試用版中測試它是否會取代你的工具包中的Wireshark。與Wireshark一樣，Omnipeek實(shí)際上并不收集數(shù)據(jù)包。一個名為Capture Engine的附加組件攔截有線網(wǎng)絡(luò)上的數(shù)據(jù)包，并且有一個單獨(dú)的無線網(wǎng)絡(luò)Wifi適配器。Omnipeek不與Wireshark競爭的一個屬性是它可以運(yùn)行的操作系統(tǒng)。它無法在Linux，Unix或Mac OS上運(yùn)行。要運(yùn)行Omnipeek，你需要64位Windows 7,8或10，或Windows Server 2008 R2,2012,2012 R2或2016。

Omnipeek的分析能力優(yōu)于Wireshark。Omnipeek可以掃描數(shù)據(jù)包是否有問題或檢測傳輸速度的變化。可以將這些事件設(shè)置為觸發(fā)警報。因此，Omnipeek是一個網(wǎng)絡(luò)管理系統(tǒng)，也是一個數(shù)據(jù)包嗅探器。流量分析模塊可以報告連接的端到端性能以及鏈路性能。該工具還能夠按需報告Web服務(wù)器的接口。

2. Ettercap

Ettercap的網(wǎng)站毫不掩飾其旨在促進(jìn)黑客攻擊的事實(shí)。由于Wireshark是一個著名的黑客工具，因此Ettercap聲稱它屬于同一類別，并且它們都可以免費(fèi)使用。Ettercap與Wireshark的可移植性相匹配，因?yàn)樗梢栽赪indows，Linux，Unix和Mac OS上運(yùn)行。盡管被設(shè)計(jì)為黑客實(shí)用程序，該工具對網(wǎng)絡(luò)管理員也很有用。Ettercap能夠檢測其他黑客活動和入侵，因此它對系統(tǒng)防御非常有用。

Ettercap使用libpcap庫來捕獲數(shù)據(jù)包。Ettercap軟件本身可以創(chuàng)建許多網(wǎng)絡(luò)攻擊，包括ARP中毒和MAC地址偽裝。Ettercap是一個強(qiáng)大的黑客工具，擁有比Wireshark更多的功能。它可以捕獲SSL安全證書，更改傳輸中的數(shù)據(jù)包內(nèi)容，刪除連接和捕獲密碼。系統(tǒng)防御者也可以在Ettercap中獲得有用的功能。它可以識別惡意用戶并將其與網(wǎng)絡(luò)隔離。如果想收集證據(jù)，可以跟蹤可疑用戶的行為并記錄他們的行為，而不是禁止他們。Ettercap比Wireshark更強(qiáng)大。

3.Kismet

Kismet無法攔截有線網(wǎng)絡(luò)上的數(shù)據(jù)包，但它非常適合無線數(shù)據(jù)包嗅探。標(biāo)準(zhǔn)的Kismet跟蹤wifi系統(tǒng)，但它也可以擴(kuò)展到檢測藍(lán)牙網(wǎng)絡(luò)。wifi標(biāo)準(zhǔn)有幾個版本。Kismet可以使用802.11a，802.11b，802.11g，802.11n。該軟件適用于Linux，Unix和Mac OS。

Kismet的數(shù)據(jù)收集器不會以與其他數(shù)據(jù)包嗅探器相同的方式探測網(wǎng)絡(luò)，因此入侵檢測系統(tǒng)無法發(fā)現(xiàn)其活動。這使其成為可以訪問連接到網(wǎng)絡(luò)的計(jì)算機(jī)的黑客的理想工具。標(biāo)準(zhǔn)網(wǎng)絡(luò)監(jiān)控系統(tǒng)將發(fā)現(xiàn)運(yùn)行Kismet的設(shè)備的存在，但不會看到程序正在網(wǎng)絡(luò)上收集數(shù)據(jù)包。Kismet的默認(rèn)模式僅收集數(shù)據(jù)包標(biāo)頭，但它也可用于獲取捕獲包括數(shù)據(jù)有效負(fù)載在內(nèi)的所有數(shù)據(jù)包的流量轉(zhuǎn)儲。可以對數(shù)據(jù)包進(jìn)行分析，排序，過濾并保存到文件中。如果你不喜歡Kismet的前端，則可以在其他工具中打開保存的文件進(jìn)行分析。

4.SmartSniff

SmartSniff適用于Windows環(huán)境。數(shù)據(jù)包嗅探器適用于有線網(wǎng)絡(luò)，可以免費(fèi)使用。收集器可以在無線網(wǎng)絡(luò)上運(yùn)行，但只能在那些包含承載嗅探器程序的計(jì)算機(jī)的wifi系統(tǒng)上運(yùn)行。

但是，這個本機(jī)系統(tǒng)不是很有效，更常見的是安裝WinPcap來收集數(shù)據(jù)包。數(shù)據(jù)包按需捕獲，可以在控制臺中打開捕獲然后關(guān)閉?？刂婆_的頂部窗格顯示計(jì)算機(jī)之間的連接。單擊其中一個記錄時，該連接的流量將顯示在底部面板中。純文本流量按原樣顯示，可以將加密數(shù)據(jù)包視為十六進(jìn)制數(shù)據(jù)轉(zhuǎn)儲?？梢赃^濾數(shù)據(jù)以僅顯示TCP，UDP或ICMP數(shù)據(jù)包，并根據(jù)與之相關(guān)的應(yīng)用程序標(biāo)記每個數(shù)據(jù)包?？梢詫?shù)據(jù)包保存到pcap文件中，以便稍后重新加載到界面中，或者使用其他工具進(jìn)行分析。

5.EtherApe

EtherApe是一個免費(fèi)的實(shí)用工具，可在Linux，Unix和Mac OS上運(yùn)行。它通過收集設(shè)備的消息來創(chuàng)建網(wǎng)絡(luò)地圖。網(wǎng)絡(luò)上的主機(jī)在地圖上繪制并標(biāo)有其IP地址。然后，EtherApe會捕獲在這些主機(jī)之間傳輸?shù)乃袛?shù)據(jù)包，并實(shí)時顯示在地圖上。每次轉(zhuǎn)移都用顏色表示，代表其協(xié)議或應(yīng)用。

該工具可以跟蹤有線和無線網(wǎng)絡(luò)，還可以描繪虛擬機(jī)及其底層基礎(chǔ)架構(gòu)。該映射可跟蹤TCP和UDP流量，并可檢測IPv4和IPv6地址。

網(wǎng)絡(luò)圖中的每個節(jié)點(diǎn)都是一個圖標(biāo)，可以訪問該設(shè)備的性能詳細(xì)信息?？梢郧袚Q視圖以查看端到端連接上的鏈接以及其上顯示的流量?？梢赃^濾所有地圖以僅顯示特定來源的特定應(yīng)用程序或流量，還可以切換數(shù)據(jù)表示以識別端口號而不是應(yīng)用程序。端口號流量跟蹤僅顯示TCP流量。

EtherApe僅捕獲數(shù)據(jù)包的標(biāo)頭，這樣可以保護(hù)網(wǎng)絡(luò)中傳播的數(shù)據(jù)的隱私。這種限制可能會使你公司的CIO放心，并允許你使用此數(shù)據(jù)包嗅探器，而不必?fù)?dān)心會損害企業(yè)對數(shù)據(jù)的和合規(guī)。

從Wireshark切換

即使你對Wireshark非常滿意，也請查看此列表中的備選方案，因?yàn)榭赡軙l(fā)現(xiàn)其中一個具有你需要的功能，而不是Wireshark中的功能。探索替代方案總是好的，而不僅僅是使用聽到的第一個工具。 Wireshark很棒，但它不是市場上最全面的工具。根據(jù)你希望使用數(shù)據(jù)包嗅探器進(jìn)行的工作，以及公司對你的限制，這些工具之一可能比Wireshark更適合。