六款最主流的免费网络嗅探软件全接触

六款最主流的免费网络嗅探软件全接触

ZDNET安全频道时间：2009-01-12作者：刘源| 比特网

本文关键词：网络监听嗅探

要如何才能找到网络传输的性能瓶颈?要如何才能快速定位已经失效了的网络设备?以及要如何才能迅速找到网络病毒传播或拒绝服务攻击的源头?一些专业的网络分析设备可

以用来解决这些问题，但是它们的价格也是相当昂贵的，这对于一对成本控制比较敏感的中小企业和普通用户来说，是不能承受的。很幸运的是，网络嗅探器软件的出现，就为我们提供了一种即方便，又便宜的可视化和专业的网络分析解决方案。在本文中，我将给大家介绍六款主流的免费网络嗅探软件，希望给一些对此有兴趣的朋友提供一个选择参考。

1、WireShark

WireShark是一个开源免费的高性能网络协议分析软件，它的前身就是非常著名的网络分析软件Ethereal。你可以使用它来解决网络疑难问题，进行网络协议分析，以及作为软件或通信协议的开发参考，同时也可以用来作为学习各种网络协议的教学工具等等。WireShark支持现在已经出现了绝大多数的以太网网卡，以及主流的无线网卡。

WireShark具有如下所示的特点：

(1) 支持多种操作系统平台，可以运行于Windows、Linux、Mac OS X10.5.5、Solaris 和FreeBSD等操作系统上;

(2) 支持超过上千种的网络协议，并且还会不断的增加对新协议的支持;

(3) 支持实时捕捉，然后可在离线状态下进行分析;

(4) 支持对VOIP数据包进行分析;

(5) 支持对通过IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP和

WPA/WPA2等协议加密了的数据包解密;

(6) 可以实时获取来自以太网、IEEE 802.11、PPP/HDLC、ATM、蓝牙、令牌环和FDDI(光纤)等网络中的数据包;

(7) 支持读取和分析许多其它网络嗅探软件保存的文件格式，包括Tcpdump、Sniffer pro、EtherPeek、Microsoft Network Monitor和CISCO Secure IDS 等软件;

(8) 支持以各种过滤条件进行捕捉，支持通过设置显示过滤来显示指定的内容，并能以不同的颜色来显示过滤后的报文;

(9) 具有网络报文数据统计功能;

(10) 可以将它捕捉到的数据导出为XML、PostScript、CSV及普通文本文件的格式。

运行WireShark所需的文件：

现在WireShark的最终版本是1.0.5，我们可以到/download/上下载它。如果WireShark要在Windows系统下运行时，还需要一个名为Winpcap的驱动库，现在它的稳定版本是WinPcap 4.0.2，最新的测试版本是WinPcap 4.1 beta3，我们可以从

上下载。如果是在Linux系统下使用时，就应当使用Libpcap驱动库，它现在的版本是Libpcap1.0.0，我们可以从上下载。

WireShark在Windows和Linux系统下安装之前，首先你得保证系统上已经安装了Winpcap或Linpcap。下图1.1就是WireShark在Windows系统下运行时的主界面。

图1.1WireShark在Windows系统下运行时的主界面

2、Tcpdump和Windump

Tcpdump是一个老牌的使用最频繁的网络协议分析软件之一，它是一个基于命令行的工具。Tcpdump通过使用基本的命令表达式，来过滤网络接口卡上要捕捉的流量。它支持现在已经出现了绝大多数的以太网适配器。

Tcpdump是一个工作在被动模式下的网络嗅探器。我们可以用它来在Linux系统下捕获网络中进出某台主机接口卡中的数据包，或者整个网络段中的数据包，然后对这些捕获到的网络协议(如TCP、ARP)数据包进行分析和输出，来发现网络中正在发生的各种状况。例如当出现网络连通性故障时，通过对TCP三次握手过程进行分析，可以得出问题出现在哪个步骤。而许多网络或安全专家，都喜欢用它来发现网络中是否存在ARP地址欺骗。我们也可以将它捕获到的数据包先写入到一个文件当中，然后用WireShark等有图形界面的嗅探器读取和分析。

它的命令格式为：

tcpdump [ -adeflnNOpqStvx ] [ -c 数量] [ -F 文件名][ -i 网络接口] [ -r 文件名]

[ -s snaplen] [ -T 类型] [ -w 文件名] [表达式]

我们可以使用-i参数来指定要捕捉的网络接口卡，用-r来读取已经存在的捕捉文件，用-w来将捕捉到的数据写入到一个文件中。至于其它的参数，我们可以从它的man文档中得到详细的说明，或者通过输入“tcpdump –-help”来到它的帮助信息。

Tcpdum有一个非常重要的特点就是可以使用正则表达式来作为过滤网络报文的条件，这使得它的使用变得非常灵活。我们可以通过它内建的各种关键字来指定想要过滤的条件，

一旦一个网络数据包满足表达式的条件，则这个数据包就会被捕获。如果我们没有给出任何条件，那么所有通过指定网络接口卡中的网络报文都会被捕获。

Tcpdump使用以下三种类型的关键字：

(1)、用于表式类型的关键字，主要有Host、Net和Port。它们分别用来指定主机的IP 地址、指定网络地址和指定端口。如果你没有指定关键字，它就会使用缺省的Host类型。

(2)、用于表式传输方向的关键字，主要有Src、Dst。分别用来指定要捕捉的源IP地址是什么或目的IP地址是什么的包。

(3)、用来表式捕捉什么协议的关键字，主要有ip，arp，tcp，udp等。

这些关键字之间可以使用逻辑运算关键字来连接，以便于我们指定某个范围或排除某个主机等。这些逻辑运算关键字也有三个，分别是取非运算“not”，或者可以用“!”符号表示;与运算“and”，可以用“&&” 符号表示;或运算“or”，可以用“||”符号表示。

Tcpdump的关键字还有很多，我就不在此全部列出。其它的可以通过它的帮助文档来得到它们的详细说明。

运行Tcpdump需要的文件：

Tcpdump可以很好地运行在UNIX、Linux和Mac OSX操作系统上，它现在的最新版本是TCPDUMP 4.0.0，我们可以从上下载它的二进制包。同时，要运行它，也需要系统中安装有Libpcap1.0.0这个驱动库。

Tcpdump在Windows系统下的版本就是Windump，它也是一个免费的基于命令行方式的网络分析软件。当然，我们在使用Windump之前，同样要确保系统中已经安装有WinPcap 4.0.2驱动库。下图2.1就是Tcpdump在Linux系统控制台下运行时的界面。

图2.1Tcpdump在Linux控制台中运行时的界面

3、DSniff

DSniff是一个非常强大的网络嗅探软件套件，它是最先将传统的被动嗅探方式向主动方式改进的网络嗅探软件之一。DSniff软件套件中包含了许多具有特殊功能的网络嗅探软件，这些特殊的网络嗅探软件可以使用一系列的主动攻击方法，将网络流量重新定向到网络嗅探