随着数字化业务的广泛发展,企业网络每天都会产生大量的数据,这些数据被分解成无数的数据包,按照既定的规则在网络上有序传输。当任何一个数据包受到干扰或出现异常时,都会影响整个传输过程。网络嗅探(数据包分析)工具主要用于分析网络传输和交换中的数据包。通过分析这些数据,安全人员可以更好地了解网络运行情况,提前感知安全威胁。本文从实现网络安全管理的角度,介绍了10款最常用的网络嗅探分析工具,以及这些工具的应用特点。1.WiresharkWireshark是一个开源的嗅探分析工具,可以深度分析网络数据包。该产品项目历史悠久,最早可追溯到1998年。Wireshark目前支持数百种网络协议,并兼容各类文件格式,如CatapultDCT2000、MicrosoftNetworkMonitor、CiscoSecureIDSiplog等。它几乎可以在任何平台上运行,例如Linux、Solaris、Windows、macOS或FreeBSD。可以设置不同的检测规则,实现更快的可视化流量扫描,以及动态gzip解压功能。2.SolarWinds网络性能监控工具SolarWinds推出的这款工具提供了广泛的数据包分析功能,是一个多层次的工具,可以显示网络运行的概况。用户可以非常快速地检测、诊断和解决任何网络问题。它可以利用已安装的传感器来帮助深度包检测(DPI)捕获包级数据以管理Windows设备。此外,用户可以使用分步向导工具来部署传感器并选择要监控的自定义应用程序。它具有全面的网络带宽分析功能,包括NetFlow、sFlow、NetStream、JFlow和IPFIX。3、NetworkMinerNetworkMiner是一个网络取证分析工具(FNAT),是一个用于被动网络分析的开源工具,具有优秀的GUI界面。使用此工具,用户可以轻松查看传输的图像和其他文件。NetworkMiner还具有各种检测功能,例如IPv6支持、Pcap-over-IP、操作系统指纹识别、GeoIP本地化以及对命令行脚本的支持。这些功能适用于不同类型的流量,例如HTTP、SMB2、POP3、TFTP、FIP和SMB等流量。4.tcpdumptcpdump是一个经典的Linux实用程序。虽然它没有图形界面和应用环境,但可以通过其应用的便利性来弥补这一不足。Tcpdump的工具命令简单明了,旨在帮助用户解决网络数据包分析中的具体问题。针对不同的检测问题可以使用不同的命令。如果用户需求简单,但需要快速实现扫描,tcpdump会是一个不错的选择。大多数当前的Linux发行版操作系统都带有此工具。5.ManageEngineNetFlowAnalyzer这是一款功能齐全的流量分析软件,它使用流量技术为安全团队提供深入的信息,为最佳流量模式提供带宽性能。这个嗅探器可以在Windows和Linux系统上使用。ManageEngineNetFlowAnalyzer使用DPI引擎监测网络响应时间和应用程序响应时间,并进行分析以找出网络或应用程序是否有问题。NetFlowAnalyzer还允许用户列出受影响的用户,以便企业可以通知用户解决问题的解决方案。它通过流量整形机制提供调节以符合带宽管理技术,同时为高优先级应用程序提供网络性能保证。6.KismetKismet是目前使用最广泛的数据包嗅探工具之一。主要用于分析排除Wi-Fi传输故障,也可用于检测单位内网系统的应用流量。如果要查找非法连接到网络的网络设备,可以使用kismet快速查找并阻止其连接到所有网络基础设施。该工具可以在Windows和Linux等多种操作系统上运行,但它也缺乏图形功能以提供更好的用户体验。这个工具速度很快,并且在被动模式下工作。它拦截数据包而不留下任何数字痕迹。Kismet的独特之处在于它需要作为独立的应用程序运行。它是一个需要客户端支持的工具,需要将抓取的数据包发回服务器进行综合分析。7.Colaso??ftCapsa如果用户只需要在Windows环境下应用,那么Colaso??ftCapsa会是一个不错的选择。它有三个版本:免费版、标准版和企业版。不同的版本可以满足不同层次用户的应用需求。不过即使是免费版也能支持300种协议,具有优秀的流量分析检测功能。标准版更胜一筹,支持1000多种协议,并允许用户自定义分析会话,实现包流重构。8.EtherApeEtherApe是一个强大的可视化和开源网络嗅探分析工具。它有预构建的二进制文件,但只有Linux发行版用户可以使用它。EtherApe的代表功能是多节点流量编码监控,可以“liveoff”方式读取数据,也可以从tcpdump文件中读取数据。它还支持网络数据包的标准名称解析。在最新版本中,EtherApe的GUI界面升级到了GTK3,带来了更好的应用体验。9.FiddlerFiddler是一种在外部网络和内网用户设备之间使用的被动网络嗅探器。为了保证网络的正常运行,用户需要Fiddler。如果用户的主要需求是嗅探HTTP和HTTPS流量,Fiddler被认为是最合适的工具之一。用户可以使用Fiddler进行许多分析操作,例如会话操作、安全分析和网络性能测试。在session操作中,Fiddler使用HTTPheaders,可以根据需要修改session数据;在安全测试中,允许用户模拟中间人攻击,为特定用户解密所有HTTPS流量;在性能测试中,它可以分析页面加载(或API响应)时间,帮助用户发现网络应用中的性能瓶颈。10.WifiExplorerWifiExplorer是macOS的无线网络数据包分析工具,可以帮助用户发现可能干扰网络的信道冲突和信号重叠。WifiExplorer具有完善的功能设计和丰富的检测分析工具,可直接应用于网络核心部分的流量分析。它还可以帮助用户检测非法无线网络信号源,发现是否存在干扰用户正常应用的无线网络信号。
