Wireshark,SnifferandOmnipeek三款網(wǎng)絡研究分析工具的比較

1、個人收集整理僅供參考學習Wireshark, Sniffer and Omnipeek三款網(wǎng)絡分析工具地比較一、網(wǎng)絡分析軟件概述自從網(wǎng)絡出現(xiàn)以來，網(wǎng)絡故障就沒有停止過.如何快速、準確地定位故障和 保持網(wǎng)絡地穩(wěn)定運行一直是人們追求地目標 為了分析網(wǎng)絡故障地原因，一類專 業(yè)地網(wǎng)絡分析軟件便產(chǎn)生了 .網(wǎng)絡分析軟件充當了網(wǎng)絡程序錯誤地檢修工具，開 發(fā)人員使用它發(fā)現(xiàn)協(xié)議開發(fā)中地 BUG，很多人使用它監(jiān)聽網(wǎng)絡數(shù)據(jù)，同時也是 檢查安全類軟件地輔助工具.b5E2RGbCAP網(wǎng)絡分析軟件從產(chǎn)生到現(xiàn)在已經(jīng)經(jīng)歷了三個階段：第一階段是抓包和解碼階段早期地網(wǎng)絡規(guī)模比較小、結構比較簡單，因此 網(wǎng)絡分析軟件主要是把網(wǎng)絡上地

2、數(shù)據(jù)包抓下來，然后進行解碼，以此來幫助協(xié)議設計人員分析軟件通信地故障.plEanqFDPw第二階段是專家系統(tǒng)階段網(wǎng)絡分析軟件通過抓下來地數(shù)據(jù)包，根據(jù)其特征 和前后時間戳地關系，判斷網(wǎng)絡地數(shù)據(jù)流有沒有問題，是哪一層地問題，有多嚴 重.專家系統(tǒng)不僅僅局限于解碼，更重要地是幫助維護人員分析網(wǎng)絡故障，專家 系統(tǒng)會給出建議和解決方案.DXDiTa9E3d第三階段是把網(wǎng)絡分析工具發(fā)展成網(wǎng)絡管理工具網(wǎng)絡分析軟件作為網(wǎng)絡管 理工具，部署在網(wǎng)絡中心，能長期監(jiān)控，能主動管理網(wǎng)絡，能排除潛在問題.RTCrpUDGiT二、三款軟件地特點1. Wireshark 0.99.4Wireshark是一款高效免費地網(wǎng)絡抓包分

3、析工具它可以捕獲并描述網(wǎng)線當 中地數(shù)據(jù)，如同使用萬用表測量電壓一樣直觀地顯示出來在網(wǎng)絡分析軟件領域， 大多數(shù)軟件要么晦澀難懂要么價格昂貴， Wireshark改變了這樣地局面，它地最 大特點就是免費、開源和多平臺支持.5PCzVD7HxAWireshark幾乎可以運行于所有流行地操作平臺，如MS Windows、Mac OS、Linux、FreeBSD、HP-UX、NetBSD、Solaris/i386、Solaris/sparc等等.盡管 Wireshark 可以在很多操作平臺使用，但它支持地傳輸媒介主要是 Ethernet只有Linux平臺 下 Wireshark 支持 802.11 及

4、Token Ring、FDDI 和 ATM. jLBHrnAiLgWireshark能夠?qū)Υ蟛糠志钟蚓W(wǎng)協(xié)議進行解析，具有界面簡單、操作方便、 實時顯示捕獲數(shù)據(jù)地優(yōu)點.但Wireshark并不具有分析功能，當一個網(wǎng)絡發(fā)生異常 地時候，Wireshark只會記錄數(shù)據(jù)，它僅僅是一個測量工具，并不能操作網(wǎng)絡， 不發(fā)送數(shù)據(jù)包或者做其它地主動動作.XHAQX74J0XWireshark目前還存在著一個已知地嚴重 BUG，當Wireshark運行時緩沖區(qū) 出現(xiàn)內(nèi)存溢出將會終止.此BUG是由最初設計地界面和平臺所決定， 短期內(nèi)無法 解決 丄DAYtRyKfE2. NAI Sniffer Portable 4.

5、7.5NAI地網(wǎng)絡分析工具Sniffer長期以來是網(wǎng)絡分析類軟件地王牌.Sniffer既有 長期積累地經(jīng)驗又存在長期延續(xù)舊體系導致地問題.長期地發(fā)展使得Sniffer具有 很強地專業(yè)分析能力，但是它一直延續(xù)DOS、WIN95時期地元素和較早期地技術，使得它只能在 Windows平臺下使用.Sniffer具有簡單地往外發(fā)包地功能，同 時有幾個輔助測試小工具如：pin g、fin ger、trace、dns lookup等 .Zzz6ZB2LtkSniffer具有三大主要功能：1.協(xié)議解析（Decode） 2.網(wǎng)絡活動監(jiān)視（Monitor）3. 專家分析系統(tǒng)（Expert） dvzfvkwMI1S

6、niffer和Wireshark一樣可以用來解析網(wǎng)絡協(xié)議，而且支持地協(xié)議從局域網(wǎng) 擴展到了廣域網(wǎng)，對無線網(wǎng)絡也有了一定地支持.Sniffer地協(xié)議解析非常詳盡，對協(xié)議地描述很有層次感.盡管Sniffer地協(xié)議解析能力很強，但是它不能實時顯 示捕獲地數(shù)據(jù)包，這一點在協(xié)議開發(fā)人員用來查找問題時可能帶來不便.rqyn14ZNXISniffer地協(xié)議解析功能可以用來學習各種協(xié)議，查找網(wǎng)絡故障.但實際上很多問題并不象故障那么明顯，比如網(wǎng)絡慢或者丟包，單靠協(xié)議解析是很難發(fā)現(xiàn)地. 這時候Sniffer地網(wǎng)絡活動監(jiān)視功能可以直接看到網(wǎng)絡地當前運行狀況，一旦網(wǎng) 絡出現(xiàn)問題就可以很快被發(fā)現(xiàn).Sniffer用直觀地

7、圖形實時顯示網(wǎng)絡地流量、 會話、 協(xié)議、包地大小、錯誤等信息.EmxvxOtOcoSniffer地專家功能是它最看重地功能，也是它最為出色功能 .Sniffer地專家 系統(tǒng)在后臺為我們工作著，一旦有觸發(fā)條件產(chǎn)生便產(chǎn)生相應地動作， 然后通過視 聽信號通知我們.SixE2yXPq5通過專家系統(tǒng)，Sniffer能夠幫助我們評估網(wǎng)絡地性能，比如，網(wǎng)絡地使用 率，網(wǎng)絡性能地趨勢，網(wǎng)絡中哪一些應用消耗最多帶寬，網(wǎng)絡上哪一些用戶消耗最多帶寬，不同協(xié)議地流量狀況等等 6ewMyirQFL通過專家系統(tǒng)，Sniffer可以幫助我們評估業(yè)務運行狀態(tài)，比如各個應用地 響應時間，一個操作需要地時間，應用帶寬地消耗，應用

8、地行為特征，應用性能 地瓶頸等等.kavU42VRUs通過專家系統(tǒng)，Sniffer可以快速地發(fā)現(xiàn)異常流量和網(wǎng)絡攻擊，這就為我們 盡早采取措施提供了幫助.Sniffer能夠幫助我們做流量地趨勢分析，通過長期監(jiān) 控，可以發(fā)現(xiàn)網(wǎng)絡流量地發(fā) 展趨勢，為網(wǎng)絡何時改造升級 提供建 議和依據(jù).y6v3ALoS893. WildPackets OmniPeek 4.0Omn iPeek是網(wǎng)絡分析軟件地后起之秀，由于它設計時大量采用了 Win dows XP及2000下地元素和比較流行地軟件設計技術，并且更加注重網(wǎng)絡軟件地要 求，面向國際化，支持多語言，所以OmniPeek在使用上更為簡潔方便和人性化， 它支持

9、更多新地技術和應用.由于使用了新技術，OmniPeek有了很多地Plugin， 能方便地擴展功能.與Sniffer 一樣，OmniPeek除了能發(fā)送一些簡單地數(shù)據(jù)包外， 同樣具備了三大功能：1.協(xié)議解析（Decode）2.網(wǎng)絡活動監(jiān)視（Monitor）3.專家 分析系統(tǒng)（Expert）.M2ub6vSTnPOmn iPeek能很好地支持無線網(wǎng)絡，提供豐富地無線網(wǎng)卡混雜抓包模式地驅(qū) 動程序，是無線協(xié)議分析地利器.OmniPeek對千兆網(wǎng)絡也有了很好地支持，無論 是協(xié)議分析還是網(wǎng)絡監(jiān)視都有很好地表現(xiàn).0YujCfmUCw與Sniffer不同地是Omn iPeek更重視視覺形象（Visualize）

10、，它地很多操作 都用圖形化方式來完成.OmniPeek側重于整體現(xiàn)象地分析，以 流（TCP/UDP通 信對）”作為對象來研究，使分析結果易于理解，大大提高了效率.OmniPeek地專家系統(tǒng)就是基于 流”來分析地，對會話地整體分析較好，但在具體細節(jié)處略有 不足.eUts8ZQVRdOmniPeek集成了分布式專家（DNX ）系統(tǒng)功能，它提供地 Engine可以部 署在網(wǎng)絡地各個部分.分布式專家系統(tǒng)通過一個控制臺來控制多個 Engine獲取整 個網(wǎng)絡地狀況，控制臺操作界面與普通地網(wǎng)絡分析界面是一樣地 通過OmniPeek地分布式專家系統(tǒng)，我們可以將監(jiān)控拓展到控制臺無法直接到達地地方，可以使我們更全

11、面地了解網(wǎng)絡地運行情況.sQsAEJkW5T三、三款軟件地比較1. 功能比較Wireshark是典型地網(wǎng)絡抓包工具，主要具備第一代網(wǎng)絡分析軟件地特點.隨著軟件地不斷更新，Wireshark也具有了 一點簡單地圖形化地監(jiān)視功 能.Wirshark解析地協(xié)議主要是局域網(wǎng)協(xié)議，它支持地介質(zhì)也主要是Ethernet,功能比較單一，效率比較高.Wireshark沒有網(wǎng)絡狀態(tài)分析功能，對網(wǎng)絡問題不能提 供參考意見.GMslasNXkANAI地Sniffer功能涵蓋了協(xié)議解析、網(wǎng)絡監(jiān)視和智能管理幾個部分.Sniffer地協(xié)議解析很詳細，尤其對廣域網(wǎng)協(xié)議地解析非常全面，但擴展性不是很強，新協(xié)議支持更新較慢.S

12、niffer地網(wǎng)絡狀態(tài)監(jiān)視功能也很強大，可以監(jiān)視流量、帶寬、 協(xié)議、應用響應時間、會話主機等信息，并且以圖形地形式顯示出來.Sniffer地專 家功能非常細致，嚴格按照協(xié)議進行分層，每個細節(jié)都有考慮.另外它對網(wǎng)絡異常狀況進行了分級，使我們可以容易找到相應地問題.TIrRGchYzgOmniPeek地功能和Sniffer大致相同，也涵蓋了協(xié)議解析、網(wǎng)絡監(jiān)視和智能 管理幾個部分.OmniPeek在協(xié)議解析上沒有Sniffer支持地協(xié)議多，但對無線和語 音地解析功能要比 Sniffer強.OmniPeek專家功能沒有 Sniffer細致，功能沒有 Sniffer 強大.7EqZcWLZNX2. 使用

13、界面Wireshark啟動后是一個灰色地界面，沒有什么提示信息，當捕獲操作開始 后，界面被水平分割成白色地三欄，這就是Wireshark地主要窗 口.DifiitalChina DCN-530TX Fa航 Ethernet Adapter NDIS5 Driver (Mi.叵|XFile Hdit View Go Capture Arialyzs Stat istics Telephony Tools Help旨Q觀巧丨,團詞茶丨No.TineSourceDestinationProtocolInfoAhu. j f 審口二*丄?£. J丄1口 4 U丄口3 xuu'li 丄

14、 z n1 JITn im-d.p i 才 in ii.i unui lB432.579646192,168.0.163192el®B-D.18OTCPmlcrosof-ds > slm-8442.5797848063TCPslm-api > micros oft34 52641083152- lbS- 0-18019-Z ：LiE D 163TCPsmarr-Im > microsof三4史2.641140192-16S. 0-163192,ISB130TCPmicros口> smar8472641320192,1

15、68.0.18063TCPsmart-Hm > micros of8432.64L5A115Z .l&S. 0.1SDSMBNegailate Protocol492.&4168463192 S16B. 0.180Nego>t1a:e proncocol350 2.642539192.168.0,18063Session 號已tup AndK8512.642<o50152.16a. 0.1631U.1&8. 0.190SMBSession sarup AndKVItii Frame1 (

16、62 bytes on wire, 62 byres captured)麗 Ether net IIV Sr c: Intel_b9:75:4d (00:0e'0c:b9:7$:4dp Dst: Digital Jf斗：:口(t)0:03:0fIE in ter net Protocol s Src;80U92.168. 0.180, D5t; « a92,lS8.0.163>ee Transmission 匚口nt廣口 1 prorocolsre port: mlcroffluse-lni (1534X dst p口rt；

17、microsfi-ds (445J. seqi Filter:+ Express Lon. *. Cl tar ApplyGOOD aD 03 Of00100030 530020 ao os0030 ff ff c69匚 11DOO£OCb979AdD300500yM40 00800624S3cOa800b4cOa8. 05,(&,E8.1 bd£8C9495300ODDO007002 1.00 00 02 0405 b4 01 01 M 02O DigitDR-邸QTX Fa洪 EthePacket5： 4 340 Displayed： qgQ Marked: 0

18、Profile： UefaultWireshark工具欄上安放了一些常用地按鈕.Wireshark地統(tǒng)計信息和網(wǎng)絡狀態(tài)都是點擊相應功能菜單后彈出地小窗口，它們獨立于主要窗口，相互不受影響.由于Wireshark功能比較簡單，所以在主要窗口中能完成大部分功能，使用起來也是比較方便地.lzq7IGfO2ESniffer啟動后保留上次關閉時地窗口狀態(tài)，也沒有什么提示信息.Sniffer地工具欄按鈕比較少，它把按鈕分布到了不同地界面，使用時可以通過工具欄按鈕 打開操作界面，在新地界面找到新地按鈕，以此類推，總體感覺比較零散.Sniffer 地每一個功能都有一個窗口，這些窗口限制在主窗口內(nèi)，可以任意排列

19、，通過菜 單可以在不同子窗口間切換.Sniffer地子窗口中又有很多地tab可選頁.眾多地窗口眾多地按鈕和眾多地可選頁混雜在一起，使得Sniffer看起來沒有很好地組織結構，使用不太方便.zvpgeqJIhkOmniPeek啟動后首先映入眼簾地是它地 Start Page，整個界面具有 Windows XP 地風格，圖標顯然符合統(tǒng)一地色調(diào)和風格，與 Sniffer相比更具吸引力.OmniPeek 地啟動窗口中沒有保留上次關閉時地窗口，卻提供了近期使用 Omn iPeek所作任 務地快捷鏈接.OmniPeekFile Edit Vie« Capture 5 end Hona t

20、1;r Tools flindonpWildmniPeekfn存圍廚®國畫碎存dr覽國衛(wèi)補 aEioaiSt«r t. r<c XNe-w CapturoOp«n Capture Fil'dView dmnIE岬InfraStart MonitorRite lit Fil«LmMM”Nd rwem IlesSuiiihidiyRece nt Cfiiptm e TL catilouUij rwtnl tcmpirlMSummaiyOecuiiiiaiilfiiilnh Vrtew 1he RMctre View lh& Gettnj

21、 Staged GuUb Vitw Driver Irt±t4li!iiori hfirudktrK* Rwki me-Uss' Gude* Read Uie CmriEnghe GeeihQi Started GUdeTclihlc-ll SllpprHi Vi&w IkItbcI 勺卿閒:fesourca far Wl*時etg praduds IkXiJJ fbrtet抵誕 etihk 曲RQJ CrmPeek Supported hardware E31Re$oiuice$ Ust insiailed pLiq-ns Vie 岡 SBinpiBllies* F

22、l nd m&r dut 血iLiUhe Aucil lemplaie VUIdPisctels: News £ Everris View Nlwigrtijp名 while paper名 and mpruTkiiiiilnij 4 S«rvic«$卜 VMHPackels： Ac曲m* LkJU卜 Find ods 由ojt亡bfifiuHiri luuLU卩 MyPedtWildPacketr.o q困圃aJor Ktlp (press FlOmn iPeek地啟動頁就像是一個助手，上面有詳細地文檔鏈接和任務開始向?qū)О?鈕，處處體現(xiàn)友善地界面接下來開始

23、捕獲操作，彈出一個窗口，這就是主要工 作區(qū).OmniPeek地設計大量應用了 Flat Button、TreeView、IE View等元素，這 些元素在工作窗口全部體現(xiàn)出來了窗口地左邊是所有捕獲操作地樹形結構，右側是類似IE窗口地結果欄，中間是某一操作地進一步分類.整個界面和操作顯得 很有組織性、高效性.NrpoJac3v13.操作細節(jié)獲取幫助Wireshark只有一個簡單地幫助窗口，在任何情況下通過菜單彈出地都是這一個窗口 .它地幫助內(nèi)容很少，鏈接到網(wǎng)站上地幫助信息也不多，這是wireshark經(jīng)常被抱怨地一點.1nowfTG4KISniffer有一套完整地幫助文檔，在任何情況下可以通過菜

24、單或 F1鍵打開這個文檔.這個幫助文檔有自己地組織結構，可以索引和查找，使用效率比較高.文檔涉及地內(nèi)容涵蓋了各個功能和操作，并且提供了相關聯(lián)內(nèi)容地鏈接.Sniffer幫助文檔只是一個獨立地參考文檔，它地內(nèi)容也不能根據(jù)當前操作自動顯示給用戶.fjnFLDa5ZoOmn iPeek地幫助信息非常人性化，包括向?qū)?、參考文檔、資源等信息，我 們可以很輕松地獲得各種幫助.Omn iPeek還提供了很多地操作實例供參考，這些 幫助既可以在Start Page中找到，也可以在任何時候通過菜單或F1鍵彈出幫助文檔.OmniPeek地幫助文檔與Sniffer 樣可以查找索引等.tfnNhnE6e5啟動捕獲數(shù)據(jù)包

25、操作Wireshark與Sniffer地啟動捕獲操作與設定捕獲參數(shù)是獨立地，使用時容易出現(xiàn)錯誤.OmniPeek將啟動捕獲操作和設定參數(shù)集中在一起，使我們每次捕獲之 前都可以清楚地了解我們是針對那些設定進行地操作，這樣就避免了一些錯 誤.HbmVN777sL暫停、繼續(xù)捕獲數(shù)據(jù)包Wireshark在捕獲操作開始后就不能暫停捕獲，只能停止當前捕獲，然后開 始新地捕獲操作.Sniffer中設置了暫停捕獲按鈕，我們可以很方便地暫停和繼續(xù) 一個捕獲操作.OmniPeek沒有暫停按鈕，但我們可以使用“Shift按鍵和“StartCapture按鈕組合操作來實現(xiàn)暫停和繼續(xù)一個捕獲操作.V7l4jRB8Hs自

26、動滾動屏幕Wireshark可以實時看見捕獲地數(shù)據(jù)包，當我們需要看某一個包地具體內(nèi)容 時，只要將自動滾屏按鈕取消，點擊該數(shù)據(jù)包就可以查看.需要滾屏時再將自動滾屏按鈕按下即可.OmniPeek也可以實時看見捕獲地數(shù)據(jù)包，當我們需要看一個 包地具體內(nèi)容時，點擊該數(shù)據(jù)包就可以查看，Om niPeek會自動停止?jié)L屏，需要滾屏時再點擊自動滾屏按鈕.Sniffer不能實時查看捕獲地數(shù)據(jù)包，也沒有自動滾 屏功能.83ICPA59W9多捕獲窗口Wireshark地功能比較單一，沒有多窗口功能.當一個捕獲操作開始后，網(wǎng)卡 就被獨站，不能進行另一個捕獲操作（可以開啟多個Wireshark程序來實現(xiàn)捕獲多個網(wǎng)卡地操

27、作）.Sniffer雖然有多窗口功能，但同樣不支持多個捕獲操作同時 進行.不過網(wǎng)絡狀態(tài)監(jiān)視功能可以同時實現(xiàn).OmniPeek在多窗口操作上具有很強 地優(yōu)勢，它可以實現(xiàn)多個網(wǎng)卡或一個網(wǎng)卡地多種捕獲條件地情況下同時進行捕獲 數(shù)據(jù)包地操作，讓我們能掌握更多地信息.mZkkkzaaP數(shù)據(jù)包地排序Wireshark、Sniffer、OmniPeek三款軟件地協(xié)議解析界面設計幾乎一樣，都 分概要信息、詳細信息和十六進制信息三個窗口欄， 所不一樣地就是字體不同和 顏色不同而已.AVktR43bpwWireshark地概要信息欄內(nèi)地記錄可以按任意列進行升序或降序排列，操作也很簡單，只要點擊相應地列頭就行了 .

28、Sniffer和OmniPeek地解碼窗口都沒有排 序功能，只能按照時間先后順序排列數(shù)據(jù)包.ORjBnOwcEd選擇顯示列在Wireshark中要調(diào)整概要欄中顯示地列地信息比較麻煩，必須從菜單中選 擇設定“Preferenee后找到“Columns項才能修改，并且要保存設置重新啟動 Wireshark后才能生效.Sniffer地概要欄中調(diào)整顯示列只要右鍵單擊任一列地頭 部，在彈出地菜單中選擇“ DisplaySetup ”后進行修改，修改后地結果立即生效.Om niPeek中要調(diào)整概要欄地顯示列非常簡單，只要右鍵單擊列頭就可直接選 擇.2MiJTy0dTT 創(chuàng)建過濾Wireshark地Capt

29、ure Filter和Display Filter是兩個獨立地單元，需要分別設定，且語法有差別.Wireshark中創(chuàng)建Filter比較麻煩，要使用表達式進行創(chuàng)建， 沒有圖形界面，也不能從已獲取地數(shù)據(jù)包中創(chuàng)建相關聯(lián)地Cap ture Filter.S niffer地Capture Filter和Display Filter也是獨立地，但它們地創(chuàng)建方式是一樣地.在Sniffer中創(chuàng)建Filter比較直觀，打開創(chuàng)建對話后可以直接選擇匹配項目，能夠設 定關于地址匹配、數(shù)據(jù)字節(jié)匹配和協(xié)議匹配地組合規(guī)則.Sniffer沒有提供已設置好地參考Filter，需要自己根據(jù)需要去設定.OmniPeek中創(chuàng)建地F

30、ilter既可以用作 Display Filter又可以用作Capture Filter.OmniPeek創(chuàng)建Filter最為方便，它不但可 以象Sniffer 樣用直觀地選擇來設定與地址匹配、數(shù)據(jù)字節(jié)匹配和協(xié)議匹配地 組合規(guī)則，還可以設定按位匹配地規(guī)則.Om niPeek可以在解碼窗口中直接選取相 關信息進行Filter設置，它還提供了許多已設置好地Filter供我們使用，大大地方便了我們使用.gliSpiue7A應用過濾器Wireshark中要使用Capture Filter就必須在開始捕獲數(shù)據(jù)包之前在“Options ”中進行選擇，一旦捕獲開始后就不能更改.Wireshark中不能保存D

31、isplay Filter, 每次使用時必須重新編寫表達式，它地Display Filter表達式可以從捕獲地數(shù)據(jù)包 中選擇相關信息來自動生成，比起Capture Filter地設定要容易得多，同時Display Filter可以隨時被應用，無論捕獲數(shù)據(jù)包操作是否停止.uEh0U1YfmhSniffer中定義地Capture Filter地選用必須在開始捕獲數(shù)據(jù)包之前選擇， Display Filter則要在停止捕獲后使用.IAg9qLsgBxOmniPeek中定義地Filter用于Display時要在停止捕獲后選用.與Sniffer不 同地是，OmniPeek在捕獲數(shù)據(jù)包時可以更換 Capt

32、ure Filter，而Sniffer則不可 以.WwghWvVhPE協(xié)議地解析Wireshark可以解析大部分數(shù)據(jù)包，Sniffer支持地協(xié)議包是最多地，而Omn iPeek也支持很多地協(xié)議，同時還能解無線協(xié)議地包.asfpsfpi4k三款軟件對包地解釋各有特點：Wireshark地描述比較簡單，Sniffer和OmniPeek地描述比較詳細.OmniPeek對不同地協(xié)議還可以彈出窗口進行進一步 地描述.ooeyYZTjj1另外Sniffer和OmniPeek可以顯示每一個字節(jié)在包中地偏移位置，而 Wireshark則沒有此項功能.BkeGuInkxI包地標記Wireshark可以對選擇地包

33、進行標記以提醒我們地注意，它可同時對多個數(shù) 據(jù)包進行標記.Wireshark也可以將數(shù)據(jù)包設定為時間參考點，設定參考點后，此 參考點以后地數(shù)據(jù)包地發(fā)生時間將會改變，直到下一個時間參考點.Sniffer對選擇地包進行標記地同時也將此包設定成了時間參考點，但Sniffer只能設定一個參考點，參考點前后數(shù)據(jù)包地相對時間都會發(fā)生改變.OmniPeek不能標記數(shù)據(jù)包， 可以設定一個時間參考點，參考點前后數(shù)據(jù)包地相對時間都會發(fā)生改 變.PgdOOsRlMo包地選擇Wireshark只能選中一個數(shù)據(jù)包.Sniffer可以選中任意個數(shù)據(jù)包，可以一個一 個選擇也可以選擇一定范圍地數(shù)據(jù)包，可以將選擇地數(shù)據(jù)包單獨保

34、存.Omn iPeek不但能任意選擇數(shù)據(jù)包，而且能夠選擇與某個數(shù)據(jù)包相關聯(lián)地數(shù)據(jù)包， 能將選擇地數(shù)據(jù)包單獨保存.3cdXwckm15查找特定數(shù)據(jù)包三款軟件都有很強地查找數(shù)據(jù)包地功能，都能夠在數(shù)據(jù)包地概述、詳細描 述和十六進制三欄中查找字符或十六進制數(shù).Wireshark還能按Filter地規(guī)則進行 查找.Sniffer則還可以查找專家模式中地異常信息包.OmniPeek除了能查找字符 和十六進制數(shù)外還可以查找數(shù)據(jù)包內(nèi)任意一個偏移位置地二進制數(shù).h8c52WOngM保存、打開文件Wireshark、Sniffer、OmniPeek三款軟件都能對捕獲地數(shù)據(jù)包進行存儲，都 有共同支持地文件格式（如.

35、cap）.Sniffer除了能保存捕獲地數(shù)據(jù)包以外，它還能 將網(wǎng)絡監(jiān)視地History圖形數(shù)據(jù)保存下來.OmniPeek除了能保存捕獲地數(shù)據(jù)包以 外，還可以保存捕獲設置.v4bdyGiousWireshark、Sniffer、OmniPeek三款軟件都能打開已保存地數(shù)據(jù)包文件進行 分析.發(fā)送數(shù)據(jù)包三款軟件中Wireshark沒有發(fā)送數(shù)據(jù)包地功能，其它兩款軟件具有發(fā)包地功 能.Sniffer可以從捕獲地數(shù)據(jù)包中選擇包進行發(fā)送，也可以對包地十六進制內(nèi)容 修改后發(fā)送.在Sniffer環(huán)境中修改包地內(nèi)容必須在十六進制代碼窗口進行，非常 不方便，但是Sniffer可以按一定地帶寬比例產(chǎn)生較大地流量.Om

36、niPeek在編輯待 發(fā)送地包時有一個完整協(xié)議層地選擇窗口，因此可以清楚地知道如何修改包地內(nèi)容.Om niPeek地發(fā)送操作界面也很友好，容易使用.J0bm4qMpj9設定 triggerSniffer具有出色地專家分析功能，它可以設定trigger來觸發(fā)捕獲數(shù)據(jù)包.trigger地設定既可以以時間為條件，也可以以Sniffer監(jiān)視地事件為依據(jù)，還可以以設定地Filter為條件來觸發(fā)捕獲操作.Sniffer地trigger設置界面很形象，比 較容易設置.XVauA9grYPOmniPeek也能設定trigger，它地trigger功能觸發(fā)條件沒有 Sniffer豐富， 操作也不復雜.bR9C6

37、TJscw顯示會話主機連接圖Sn ifferSniffer地Matrix功能能以圖形地形式顯示建立了連接地主機關系， 地此功能沒有可以 設定顯示主機地數(shù)量，導致主 機數(shù)較多時無法分 辨出 來.OmniPeek地Peer Map功能與Matrix相似，但 OmniPeek有很多地設定選項， 可以以不同地形式顯示會話主機，界面比較清晰 .pN9LBDdtrdSniffer和OmniPeek地會話主機圖中都可以選擇單個主機進行分析，也可以 在此選擇設定Filter地條件.DJ8T7nHuGT 顯示History圖形信息Sniffer和OmniPeek都有以圖形方式顯示 History數(shù)據(jù)地功能.Sn

38、iffer能顯示 網(wǎng)絡利用率、包地速率、錯誤率、包地大小分布率等實時圖形信息.Omn iPeek地History功能沒有Sniffer豐富，不能顯示誤碼等圖形信息.這兩款軟件都可以將 History數(shù)據(jù)導出到文件中保存下來.QF81D7bvUA生成報告Sniffer和OmniPeek都具有網(wǎng)絡專家功能，它們地分析結果對網(wǎng)絡管理都是 有幫助地，因此保存分析結果就很重要.Sniffer地分析功能較強，它地 Report生 成模塊是需要單獨購買地，由此推測其功能應該比較強大.Omn iPeek可以將捕獲結果生成html或txt、csv等格式地文件保存下來，這些文件內(nèi)容都經(jīng)過了分類、 統(tǒng)計和總結，為我

39、們分析網(wǎng)絡提供了依據(jù).4B7a9QFw9h四、總結Wireshark是一款小巧、開源且能在幾乎所有流行操作系統(tǒng)下使用地抓包工 具軟件，很適合一般人員學習網(wǎng)絡協(xié)議使用，也是協(xié)議開發(fā)人員驗證協(xié)議地好工具.由于Wireshark存在緩存溢出地BUG，建議不要將它用于分析流量很大地百 兆網(wǎng)絡，也不要用于千兆網(wǎng)絡分析.ix6iFA8xoXSniffer Portable具有超強地專家分析能力，并且價格昂貴，使用它來抓包分 析協(xié)議實在是浪費.對于大型地安全性穩(wěn)定性要求很高地網(wǎng)絡，使用 Sniffer地專 家分析和預告功能是個不錯地選擇.另外Sniffer還有一些Report選件和分布式硬 件可供選擇，配合使用可以組成一個完善地安全監(jiān)視系統(tǒng)， 這樣地花費還是值得 地.wt6qbkCyDEOmniPeek代表一股新生力量，它對無線網(wǎng)絡、語音等技術都有很好地支持.OmniPeek可以使用很多地 Plugin，使得它能很快適應新出現(xiàn)地業(yè)務和應用.所以Omn