隨著數(shù)字化業(yè)務(wù)的廣泛開展，企業(yè)網(wǎng)絡(luò)每天都在產(chǎn)生大量的數(shù)據(jù)，這些數(shù)據(jù)被分解成無數(shù)個(gè)數(shù)據(jù)包，按照既定規(guī)則在網(wǎng)絡(luò)上有序傳輸。當(dāng)其中任何一個(gè)數(shù)據(jù)包受到干擾，出現(xiàn)異常時(shí)，整個(gè)傳輸過程都會(huì)受到影響。網(wǎng)絡(luò)嗅探（數(shù)據(jù)包分析）工具主要用于分析網(wǎng)絡(luò)傳輸交換中的數(shù)據(jù)包。通過分析這些數(shù)據(jù)，安全人員可以更好了解網(wǎng)絡(luò)運(yùn)行情況并提前感知安全威脅。

本文從實(shí)現(xiàn)網(wǎng)絡(luò)安全管理的角度出發(fā)，為大家介紹目前最常用的10款網(wǎng)絡(luò)嗅探分析工具，以及這些工具的應(yīng)用特點(diǎn)。

1、Wireshark

Wireshark是一款可深入分析網(wǎng)絡(luò)數(shù)據(jù)包的開源嗅探分析工具，這個(gè)產(chǎn)品項(xiàng)目歷史悠久，可追溯至1998年。Wireshark目前可以支持?jǐn)?shù)百種網(wǎng)絡(luò)協(xié)議，兼容各種類型的文件格式，比如Catapult DCT2000、Microsoft Network Monitor和Cisco Secure IDS iplog等。

它可以在Linux、Solaris、Windows、macOS或FreeBSD等幾乎所有平臺(tái)上運(yùn)行。它可以設(shè)置有不同的檢測(cè)規(guī)則，以實(shí)現(xiàn)更快速的可視化流量掃描，還有動(dòng)態(tài)gzip解壓功能。

2、SolarWinds網(wǎng)絡(luò)性能監(jiān)控工具

SolarWinds推出的這款工具提供了廣泛的數(shù)據(jù)包分析功能，是一款能夠顯示網(wǎng)絡(luò)運(yùn)行概況的多層次工具。用戶可以非?？焖俚貦z測(cè)、診斷和解決任何網(wǎng)絡(luò)問題。它可以利用已安裝的傳感器幫助深度數(shù)據(jù)包檢測(cè)（DPI）捕獲數(shù)據(jù)包級(jí)數(shù)據(jù)，以管理Windows設(shè)備。此外，用戶還可以使用逐步向?qū)Чぞ邅聿渴饌鞲衅鳎⑦x擇需要監(jiān)控的自定義應(yīng)用程序。它擁有完善的網(wǎng)絡(luò)帶寬分析功能，包括NetFlow、sFlow、NetStream、JFlow和IPFIX。

3、NetworkMiner

NetworkMiner是一款網(wǎng)絡(luò)取證分析工具（FNAT），也是一款被動(dòng)網(wǎng)絡(luò)分析的開源工具，具備出色的GUI界面。借助該工具，用戶就可以輕松查看已傳輸?shù)膱D像及其他文件。

NetworkMiner還具有IPv6支持、Pcap-over-IP、操作系統(tǒng)指紋識(shí)別、Geo IP本地化、支持命令行腳本等多種檢測(cè)功能，這些功能適用于不同類型的流量，比如HTTP、SMB2、POP3、TFTP、FIP和SMB等流量。

4、tcpdump

tcpdump是一個(gè)經(jīng)典的Linux實(shí)用程序，盡管它沒有圖形化的界面和應(yīng)用環(huán)境，但可以通過其應(yīng)用的便捷性來彌補(bǔ)這個(gè)不足。Tcpdump的工具命令簡(jiǎn)單明了，旨在幫助用戶解決網(wǎng)絡(luò)數(shù)據(jù)包分析中的特定問題。針對(duì)不同的檢測(cè)問題，有不同的命令可用。如果用戶需求簡(jiǎn)單，但需要快速實(shí)現(xiàn)掃描，tcpdump會(huì)是不錯(cuò)的選擇。目前大多數(shù)Linux發(fā)行版操作系統(tǒng)都會(huì)附帶這款工具。

5、ManageEngine NetFlow Analyzer

這是一款功能完整的流量分析軟件，使用流量技術(shù)，為安全團(tuán)隊(duì)提供深入的信息，以提供最佳流量模式的帶寬性能。這款嗅探器在Windows和Linux系統(tǒng)上都可以被使用。

ManageEngine NetFlow Analyzer使用DPI引擎，可監(jiān)控網(wǎng)絡(luò)響應(yīng)時(shí)間和應(yīng)用程序響應(yīng)時(shí)間，并執(zhí)行分析，以查明某個(gè)網(wǎng)絡(luò)或應(yīng)用程序是否出現(xiàn)差錯(cuò)。NetFlow Analyzer 還允許用戶列出受影響用戶列表，以便企業(yè)向用戶告知修復(fù)問題的解決方案。它通過流量整形機(jī)制提供調(diào)節(jié)功能，以遵循帶寬管理技術(shù)，同時(shí)可為高優(yōu)先級(jí)的應(yīng)用程序提供網(wǎng)絡(luò)性能保障。

6、Kismet

Kismet是目前應(yīng)用最廣泛的數(shù)據(jù)包嗅探工具之一。它主要用于Wi-Fi傳輸故障的分析與排除，也可用于檢測(cè)組織內(nèi)網(wǎng)系統(tǒng)上的應(yīng)用流量。

如果您想查找非法連接到網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備，可以通過kismet來快速發(fā)現(xiàn)，并阻止它連接所有網(wǎng)絡(luò)基礎(chǔ)設(shè)施。這個(gè)工具可以在Windows和Linux等多個(gè)操作系統(tǒng)上運(yùn)行，但也缺少用戶體驗(yàn)更好的圖形化功能。

這款工具運(yùn)行速度很快，可在被動(dòng)模式下運(yùn)行。它在攔截?cái)?shù)據(jù)包的同時(shí)不會(huì)留下任何數(shù)字痕跡。Kismet的獨(dú)特之處在于，它需要作為一個(gè)獨(dú)立應(yīng)用程序來運(yùn)行。它是一個(gè)需要客戶端支持的工具，需要將捕獲的數(shù)據(jù)包發(fā)回到服務(wù)器端進(jìn)行綜合分析。

7、Colasoft Capsa

如果用戶只需要在Windows環(huán)境中應(yīng)用，那么Colasoft Capsa將是一個(gè)不錯(cuò)的選擇，它有免費(fèi)版、標(biāo)準(zhǔn)版和企業(yè)版三個(gè)版本，不同版本可滿足用戶不同層面的應(yīng)用需求。不過，即便是免費(fèi)版，也可以支持300種協(xié)議，擁有較為出色的流量分析檢測(cè)功能，標(biāo)準(zhǔn)版則更勝一籌，支持1000多種協(xié)議，還允許用戶自定義分析會(huì)話，實(shí)現(xiàn)數(shù)據(jù)包流量的重建。

8、EtherApe

EtherApe是一款功能強(qiáng)大的可視化和開源版網(wǎng)絡(luò)嗅探分析工具，它有預(yù)構(gòu)建的二進(jìn)制文件，但只有Linux發(fā)行版用戶才可享用。EtherApe的代表功能是多節(jié)點(diǎn)流量編碼監(jiān)控，可以在“l(fā)ive off”模式下讀取數(shù)據(jù)，也可以從tcpdump文件讀取數(shù)據(jù)。它還支持網(wǎng)絡(luò)數(shù)據(jù)包的標(biāo)準(zhǔn)名稱解析。在最新版本中，EtherApe的GUI界面已升級(jí)為GTK3，這帶來了更出色的應(yīng)用體驗(yàn)。

9、Fiddler

Fiddler是應(yīng)用于外部網(wǎng)絡(luò)與內(nèi)網(wǎng)用戶設(shè)備之間的被動(dòng)網(wǎng)絡(luò)嗅探器，為了確保網(wǎng)絡(luò)運(yùn)行正常，用戶需要Fiddler。如果用戶主要需求是用來嗅探HTTP和HTTPS流量，F(xiàn)iddler被認(rèn)為是最合適的工具之一。用戶可以用Fiddler執(zhí)行許多分析操作，比如會(huì)話操縱、安全分析和網(wǎng)絡(luò)性能測(cè)試。在會(huì)話操縱中，F(xiàn)iddler使用HTTP標(biāo)頭，可以根據(jù)需要修改會(huì)話數(shù)據(jù)；在安全測(cè)試中，它允許用戶模擬中間人攻擊，并為特定用戶解密所有HTTPS流量；在性能測(cè)試中，它可以分析頁面加載（或API響應(yīng)）時(shí)間，幫助用戶查找網(wǎng)絡(luò)應(yīng)用的性能瓶頸。

10、Wifi Explorer

Wifi Explorer是一款面向macOS的無線網(wǎng)絡(luò)數(shù)據(jù)包分析工具，可幫助用戶發(fā)現(xiàn)可能干擾網(wǎng)絡(luò)的信道沖突和信號(hào)重疊。Wifi Explorer功能設(shè)計(jì)完善，擁有較豐富的檢測(cè)和分析工具，可以直接應(yīng)用于網(wǎng)絡(luò)核心部分的流量分析。它還可以幫助用戶檢測(cè)非法無線網(wǎng)絡(luò)信號(hào)源，查明是否有干擾用戶正常應(yīng)用的無線網(wǎng)絡(luò)信號(hào)。