網絡嗅探軟體之間的不同之處,主要是依靠一些特性來區分的。例如一些網絡嗅探軟體隻支援以太網擴充卡或無線擴充卡,而有些卻支援多種類型的擴充卡,并且允許使用者定制;還有,盡管許多網絡嗅探軟體可以解碼相同的網絡協定,但是,其中的某些嗅探軟體就有可能比其它的嗅探軟體更适合你的網絡結構。究竟哪一款網絡嗅探軟體才适合你,隻有在你充分了解了自己的需求,以及詳細了解了網絡嗅探軟體的功能特點後,才能夠做出正确的選擇。
<b>一、以太網下常用的網絡嗅探軟體</b>
1、WireShark
WireShark是一個基于開源的免費的具有商業品質的高性能網絡分析軟體,它的前身就是非常著名的網絡分析軟體Ethereal。你可以使用它來解決網絡疑難問題,進行網絡協定分析,以及作為軟體或通信協定的開發參考,同時也可以用來作為學習各種網絡協定的教學工具等等。WireShark支援現已經出現了絕大多數的以太網擴充卡,以及主流的無線擴充卡。
<b>具有的特點</b>:
(1) 、支援多種作業系統平台,可以運作于Windows,Linux,OS X,Solaris,FreeBSD
等作業系統上。
(2) 、支援超過上千種的網絡協定,并且會不斷的增加新的協定支援;
(3) 、支援實時捕捉,然後可在離線狀态下進行分析;
(4) 、支援VOIP分析;
(5) 、在它的圖形界面中,使用标準的三個顯示框來分别顯示實時資訊、高層協定資訊和二進資訊,它還有一個支援字元模式的版本“TShark”;
(6) 、支援對通過IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, and
WPA/WPA2等協定加密了的資料包解密;
(7) 、可以實時擷取來自Ethernet,IEEE 802.11,PPP/HDLC,ATM,Bluetooth,USB,Token Ring,Frame Relay,FDDI等網絡中的資料包;
(8) 、支援讀取和儲存許多其它網絡嗅探軟體儲存的檔案格式。包括Tcpdump,Sniffer pro,EtherPeek,Microsoft Network Monitor,CISCO Secure IDS IPLOG等軟體;
(9) 、支援以各種過濾條件進行捕捉,支援通過設定顯示過濾來顯示指定的内容,并能以不同的顔色來顯示過濾後的封包;
(10) 、具有網絡封包資料統計功能;
(11) 、可以将它捕捉到的資料導出為XML、PostScript、CSV及普通文本檔案的格式。
<b>需求的檔案</b>:
<b> </b> WireShark在Windows和Linux系統下安裝之前,首先你得保證系統上已經安裝了Winpcap或Linpcap。下圖2.1就是WireShark在Windows系統下運作時的主界面。
圖2.1 WireShark在Windows系統下運作時的主界面
2、Tcpdump
Tcpdump是一個老牌的使用最頻繁的網絡協定分析軟體之一,它是一個基于指令行的工具。Tcpdump通過使用基本的指令表達式,來過濾網絡接口卡上要捕捉的流量。它支援現在已經出現了絕大多數的以太網擴充卡。
Tcpdump是一個工作在被動模式下的網絡嗅探器。你可以用它來在Linux系統下捕獲網絡中進出某台主機接口卡中的資料包,或者整個網絡段中的資料包,然後對這些捕獲到的網絡協定(如TCP、ARP)資料包進行分析和輸出,來發現網絡中正在發生的各種狀況。例如當出現網絡連通性故障時,通過對TCP三向交握過程進行分析,可以得出問題出現在哪個步驟。而許多網絡或安全專家,都喜歡用它來發現網絡中是否存在ARP位址欺騙。你也可以将它捕獲到資料包先寫入到一個檔案當中,然後用WireShark等有圖形界面的嗅探器讀取和再分析。
它的指令格式為:
tcpdump [ -adeflnNOpqStvx ] [ -c 數量 ] [ -F 檔案名 ][ -i 網絡接口 ] [ -r 檔案名]
[ -s snaplen] [ -T 類型 ] [ -w 檔案名 ] [表達式 ]
你可以使用-i參數來指定要捕捉的網絡接口卡,用-r來讀取已經存在的捕捉檔案,用-w來将捕捉到的資料寫入到一個檔案中。至于其它的參數,你可以從它的man文檔中得到詳細的說明,或者你可以輸入“tcpdump –-help”來到它的幫助資訊。
Tcpdum有一個非常重要的特點就是可以使用正規表達式來作為過濾網絡封包的條件,這使得它的使用變得非常靈活。你可以通過它内建的各種關鍵字來指定想要過濾的條件,一旦一個網絡資料包滿足表達式的條件,則這個資料包就會被捕獲。如果你沒有給出任何條件,那麼所有通過指定網絡接口卡中的網絡封包都會被捕獲。
Tcpdump使用以下三種類型的關鍵字:
(1)、用于表式類型的關鍵字,主要有Host、Net和Port。它們分别用來指定主機的IP位址、指定網絡位址和指定端口。如果你沒有指定關鍵字,它就會使用預設的Host類型。
(2)、用于表式傳輸方向的關鍵字,主要有Src、Dst。分别用來指定要捕捉的源IP位址是什麼或目的IP位址是什麼的包。
(3)、用來表式捕捉什麼協定的關鍵字,主要有ip,arp,tcp,udp等。
這些關鍵字之間可以使用邏輯運算關鍵字來連接配接,以便于你指定某個範圍或排除某個主機等。這些邏輯運算關鍵字也有三個,分别是取非運算“not”,或者可以用“!”符号表示;與運算“and”,可以用“&&” 符号表示;或運算“or”,可以用“||”符号表示。
Tcpdump的關鍵字還有很多,我就不在此全部列出。你可以通過它的幫助文檔來得到它們的詳細說明。
<b>支援的系統平台</b>:
Tcpdump可以很好地運作在UNIX、Linux和Mac OSX作業系統上,現在還可以運作在Windows作業系統下。
<b>需要的檔案</b>:
3、 Ettercap
Ettercap也是一個進階網絡嗅探軟體。它可以在使用交換機的網絡環境當中使用。Ettercap能夠對大多數的網絡協定資料包進行解碼,不論這個資料包是不是加密過了的。它也支援現在已經出現了的絕大多數以太網擴充卡。它還擁有一些獨特的方法,用來捕獲主機或整個網絡的流量,并對這些流量進行相應的分析。
Ettercap具有如下所示的特點:
(1)、判斷網絡中活動主機的作業系統類型;
(2)、得到網絡中所有活動主機的IP位址和MAC位址;
(3)、可以指定以靜态或被動模式進行工作;
(4)、可以從指定的過濾規則檔案中加入過濾規則;
(5)、具有包過濾功能,在資料流量比較大的情況下讓你便于得到需要的資訊。
(6)、可以用來收集網絡中以明文方式傳輸的使用者名和密碼;
(7)、可以将捕獲到的資料儲存到指定位置的檔案中;
(8)、可以用來檢測網絡中是否還有其它活動的嗅探器;
(9)、支援以插件的方式來擴充功能;
(10)、可以通過一些主動的攻擊,來得到加密了的資料;
(11)、它内建了許多攻擊方法,如ARP位址欺騙,以及字元注入攻擊等。
Ettercap的大部分特性與DSniff相似之處,是以,它也是許多攻擊者非常喜愛的嗅探軟體之一。Ettercap可以工作在字元模式,也可以在使用Ncurses based GUI和GTK2接口的圖形界面上工作。當你安裝完Ettercap以後,你可以用“-T”選項指定它運作在字元模式下,以“-C”選項指定它運作在使用Ncurses based GUI的圖形模式下,還可以“-G”選項指定它運作在使用GTK2接口的圖形模式下。它的指令格式如下:
Ettercap [選項] [host:port] [host:port] [mac] [mac]
它有許多選項,你可以在字元模式下輸入“ettercap –help”指令來得到它們的說明。
<b>支援的系統平台</b>
Ettercap支援Linux2.0及以上、Windows2000及以上、FreeBSD 4.x0及
以上、OpenBSD 2.0及以上、NetBSD 1.5 、Mac OS X 6.0及以上、Sloaris2.0及以上作業系統。
<b>需要的檔案</b>
當你在Linux下使用Ettercap嗅探軟體時,你應當有下列所有的檔案:
(1)、ettercap-NG-0.7.3.tar.gz;
(2)、libpcap >= 0.8.1;
(3)、libnet >= 1.1.2.1;
(4)、libpthread;
(5)、zlib。
如果你還要在圖形界面中使用或者還想得到SSH和SSL加密了的資料。你還應當得到下列的檔案:
(1)、libltdl,它是libtool的一部分;
(2)、libpcre;
(3)、openssl 0.9.7;
(4)、ncurses >= 5.3;
(5)、pkgconfig >= 0.15.0;
(6)、Glib >= 2.4.x、Pango >= 1.4.x。
如果你想要在Windows系統下使用它,你應當擁有以下的檔案:
(1)、Ettercap-NG-0.7.3-win32.exe;
(2)、winpcap4.0及以上版本。
圖2.4 Ettercap在Windows系統下的主界面
在以太網中,還有一些網絡嗅探軟體也是比較常用的。例如Sniffer Pro網絡分析軟體,它可以在多種平台下運作,用來對網絡運作狀況進行實時分析,而且又有豐富的圖示功能。以及Analyzer,它是一個運作在Windows作業系統下的免費的網絡嗅探軟體。另外,還一些商業性質的網絡嗅探軟體,雖然它們需要支付一定的費用,但是,它們的功能也是沒得說的,其中比較著名的代表就是EtherPeek套件。
本文轉自 雪源梅香 51CTO部落格,原文連結:http://blog.51cto.com/liuyuanljy/174182,如需轉載請自行聯系原作者
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)