分享三款網(wǎng)絡(luò)抓包工具

正文部分

大家都知道在進(jìn)行稍微大一點(diǎn)的系統(tǒng)軟件項(xiàng)目開(kāi)發(fā)中，一般都會(huì)分為上、下位機(jī)軟件開(kāi)發(fā)，而使用以太網(wǎng)進(jìn)行系統(tǒng)通信集成是一種比較常規(guī)的處理辦法，協(xié)議上會(huì)相對(duì)會(huì)復(fù)雜一點(diǎn)，一旦協(xié)議雙方確定以后剩下的就是編碼和聯(lián)調(diào)工作。

然而在前期設(shè)備運(yùn)行過(guò)程中難免會(huì)發(fā)生通信問(wèn)題，“到底是上位機(jī)沒(méi)發(fā)數(shù)據(jù)包，還是下位機(jī)解析出了問(wèn)題”，兩波人老是扯不清楚。

對(duì)于研發(fā)態(tài)度不太好的同事，總是想著讓另外一方去分析定位問(wèn)題，導(dǎo)致一個(gè)問(wèn)題拖沓很長(zhǎng)時(shí)間，那么使用第三方抓包工具進(jìn)行數(shù)據(jù)分析，并定位問(wèn)題成為了終結(jié)這種通信“扯皮”的好方式！

而抓包工具目前來(lái)說(shuō)也是種類繁多，收費(fèi)工具一般需求不高的也不會(huì)去購(gòu)買，個(gè)人開(kāi)源的軟件難免會(huì)有些bug，所以有時(shí)候即使你確定了是對(duì)方的問(wèn)題定位了，而對(duì)方以你所使用的抓包工具不夠權(quán)威、靠譜為借口，而再陷入瞎扯中，所以bug菌這里跟大家介紹三款比較靠譜且穩(wěn)定的網(wǎng)絡(luò)抓包工具！

No1、Wirshark

1

介紹

Wireshark算是目前網(wǎng)絡(luò)分析非常廣泛的專業(yè)分析工具，如果你沒(méi)有聽(tīng)說(shuō)過(guò)，那你應(yīng)該不是一個(gè)專業(yè)的網(wǎng)絡(luò)分析人員，后者算是剛?cè)胄邪伞?/p>

其中一個(gè)非常重要的理由是Wireshark是免費(fèi)的，是開(kāi)源的，是根據(jù)GNU通用公共許可證（GPL）發(fā)布的。

你可以在你喜歡的任何數(shù)量的計(jì)算機(jī)上自由使用Wireshark，而不必?fù)?dān)心許可證密鑰或費(fèi)用之類的問(wèn)題。此外，所有源代碼都可以在GPL下免費(fèi)獲得。

而且很容易向Wireshark添加新的協(xié)議，要么作為插件，要么內(nèi)置到源代碼中！可以說(shuō)是目前最好的網(wǎng)絡(luò)數(shù)據(jù)包分析工具，如果你足夠感興趣可以嘗試編譯源碼進(jìn)行軟件的優(yōu)化和定制自身項(xiàng)目需求的插件。

2

特點(diǎn)

適用于UNIX和Windows等系統(tǒng)。

從網(wǎng)絡(luò)接口捕獲實(shí)時(shí)數(shù)據(jù)包數(shù)據(jù)。

打開(kāi)包含用tcpdump/WinDump、Wireshark和許多其他包捕獲程序捕獲的包數(shù)據(jù)的文件。

從包含數(shù)據(jù)包數(shù)據(jù)十六進(jìn)制轉(zhuǎn)儲(chǔ)的文本文件導(dǎo)入數(shù)據(jù)包。

顯示包含非常詳細(xì)的協(xié)議信息的數(shù)據(jù)包。

保存捕獲的數(shù)據(jù)包。

捕獲或?qū)С鲆恍┪募袷降臄?shù)據(jù)包。

根據(jù)許多條件篩選、過(guò)濾、搜索、統(tǒng)計(jì)數(shù)據(jù)包。

3

體驗(yàn)

1、在上面的官方路勁中下載安裝包，然后一路next到最后安裝完成，最后顯示如下圖標(biāo)。

2、雙擊打開(kāi)顯示過(guò)濾器和所要監(jiān)控的網(wǎng)口，加入數(shù)據(jù)獲取界面。

3、如下就到了該軟件的詳細(xì)監(jiān)控?cái)?shù)據(jù)界面，這樣就可以通過(guò)網(wǎng)絡(luò)上的數(shù)據(jù)分析數(shù)據(jù)包內(nèi)容，同時(shí)還可以根據(jù)該工具規(guī)定的協(xié)議包過(guò)濾功能編寫過(guò)濾規(guī)則，過(guò)濾掉我們不太關(guān)心的部分，比如只需要查看Udp或者只需要某端口的數(shù)據(jù)等等。

No2、Microsoft Network Monitor

1

介紹

Microsoft Network Monitor是一個(gè)款免費(fèi)網(wǎng)絡(luò)數(shù)據(jù)包分析器，其為微軟開(kāi)開(kāi)發(fā)用來(lái)進(jìn)行協(xié)議分析的工具，可想而知，其對(duì)微軟的私有協(xié)議的識(shí)別和解解碼無(wú)疑是最完善的，所以在win上對(duì)于協(xié)議比較敏感的項(xiàng)目可以優(yōu)先使用。

它可以撲捉和查看300多個(gè)公共和微軟專有網(wǎng)絡(luò)協(xié)議，包括無(wú)線網(wǎng)絡(luò)數(shù)據(jù)包。

2

特點(diǎn)

解析器配置管理：解析器現(xiàn)在安裝了配置文件，允許您使用解析器配置文件工具欄按鈕在解析器配置之間輕松切換。

“實(shí)時(shí)”專家：專家現(xiàn)在可以在實(shí)時(shí)捕獲過(guò)程中運(yùn)行。另外，最近安裝的專家現(xiàn)在會(huì)自動(dòng)出現(xiàn)在“專家”菜單中，而不需要您打開(kāi)另一個(gè)選項(xiàng)卡。

高性能篩選：當(dāng)您使用UI或nmcap中的某些字段（例如。Frame.Ethernet.IPv4.TCP.端口==8080）。

UTC時(shí)間戳：網(wǎng)絡(luò)監(jiān)視器現(xiàn)在將在跟蹤中捕獲和保存時(shí)區(qū)相關(guān)的信息。默認(rèn)情況下，使用時(shí)區(qū)信息打開(kāi)的跟蹤將自動(dòng)將時(shí)間調(diào)整為本地時(shí)區(qū)?？梢酝ㄟ^(guò)添加“時(shí)間和日期”列或查看“文件”菜單下的屬性來(lái)查看原始時(shí)間或時(shí)區(qū)。

高精度時(shí)間戳：網(wǎng)絡(luò)監(jiān)視器現(xiàn)在可以在Windows Vista和更高版本以及Windows Server 2008和更高版本上以微秒精度捕獲。

802.11n和原始IP幀支持：網(wǎng)絡(luò)監(jiān)視器現(xiàn)在支持Microsoft Windows Vista SP1和更高版本操作系統(tǒng)上的802.11n網(wǎng)絡(luò)上的監(jiān)視模式，以及Microsoft Windows 7上的原始IP幀。

NMCap中的進(jìn)程跟蹤：現(xiàn)在可以在NMCap命令行工具中捕獲進(jìn)程跟蹤信息?？梢允褂脤?shí)時(shí)捕獲上的“/CaptureProcesses”標(biāo)志啟用它。

3

體驗(yàn)

1、同樣在上面的官方路勁中下載安裝包，然后一路next到最后安裝完成，最后顯示如下圖標(biāo)，雙擊打開(kāi)。

2、微軟是通過(guò)加載不同的解析文檔parsers來(lái)進(jìn)行網(wǎng)絡(luò)協(xié)議包的解析，否則capture出來(lái)的都是一些字節(jié)流數(shù)據(jù)，比較難分析，微軟把這一塊進(jìn)行了分離。

3、所以在使用的時(shí)候優(yōu)先選擇windows解析器。

4、新建一個(gè)捕捉窗口，然后點(diǎn)擊start開(kāi)始捕獲。

5、下圖是所捕捉的解析以后數(shù)據(jù)。

No3、IPTool

IPTool又叫網(wǎng)路崗抓包工具，是一款局域網(wǎng)抓包工具。該軟件是一款非常小型的免安裝軟件，所以對(duì)于分析比較常規(guī)的通信協(xié)議包是非常便捷的。

直接點(diǎn)擊即可運(yùn)行使用,如下圖所示,通過(guò)選擇包過(guò)濾，可以過(guò)濾掉不同的網(wǎng)卡，不同的協(xié)議，不同的端口等等，完全可以滿足一般的協(xié)議分析和應(yīng)用。

設(shè)置好上面的圖形過(guò)濾等配置后，直接通過(guò)點(diǎn)擊啟動(dòng)，實(shí)時(shí)捕獲協(xié)議包，捕獲結(jié)果如下圖所示，通過(guò)點(diǎn)擊list列表中的選項(xiàng)，下方即可顯示更為詳細(xì)的包信息，方便網(wǎng)絡(luò)監(jiān)控和分析。

審核編輯：劉清