wireshark, sniffer and omnipeek三款网络分析工具的比较

Wireshark, Sniffer and Omnipeek三款网络分析工具的比较一、 网络分析软件概述自从网络出现以来，网络故障就没有停止过。如何快速、准确地定位故障和保持网络的稳定运行一直是人们追求的目标。为了分析网络故障的原因，一类专业的网络分析软件便产生了。网络分析软件充当了网络程序错误的检修工具，开发人员使用它发现协议开发中的 BUG，很多人使用它监听网络数据，同时也是检查安全类软件的辅助工具。网络分析软件从产生到现在已经经历了三个阶段：第一阶段是抓包和解码阶段。早期的网络规模比较小、结构比较简单，因此网络分析软件主要是把网络上的数据包抓下来，然后进行解码，以此来帮助协议设计人员分析软件通信的故障。第二阶段是专家系统阶段。网络分析软件通过抓下来的数据包，根据其特征和前后时间戳的关系，判断网络的数据流有没有问题，是哪一层的问题，有多严重。专家系统不仅仅局限于解码，更重要的是帮助维护人员分析网络故障，专家系统会给出建议和解决方案。第三阶段是把网络分析工具发展成网络管理工具。网络分析软件作为网络管理工具，部署在网络中心，能长期监控，能主动管理网络，能排除潜在问题。二、 三款软件的特点1. Wireshark 0.99.4Wireshark 是一款高效免费的网络抓包分析工具。它可以捕获并描述网线当中的数据，如同使用万用表测量电压一样直观地显示出来。在网络分析软件领域，大多数软件要么晦涩难懂要么价格昂贵，Wireshark 改变了这样的局面，它的最大特点就是免费、开源和多平台支持。Wireshark 几乎可以运行于所有流行的操作平台，如 MS Windows、Mac OS、Linux 、 FreeBSD、HP-UX、NetBSD、Solaris/i386 、Solaris/sparc 等等。尽管 Wireshark 可以在很多操作平台使用，但它支持的传输媒介主要是 Ethernet。只有 Linux 平台下 Wireshark 支持 802.11 及 Token Ring、FDDI 和 ATM。Wireshark 能够对大部分局域网协议进行解析，具有界面简单、操作方便、实时显示捕获数据的优点。但 Wireshark 并不具有分析功能，当一个网络发生异常的时候，Wireshark 只会记录数据，它仅仅是一个测量工具，并不能操作网络，不发送数据包或者做其它的主动动作。Wireshark 目前还存在着一个已知的严重 BUG，当 Wireshark 运行时缓冲区出现内存溢出将会终止。此 BUG 是由最初设计的界面和平台所决定，短期内无法解决。2. NAI Sniffer Portable 4.7.5NAI 的网络分析工具 Sniffer 长期以来是网络分析类软件的王牌。Sniffer既有长期积累的经验又存在长期延续旧体系导致的问题。长期的发展使得Sniffer 具有很强的专业分析能力，但是它一直延续 DOS、WIN95 时期的元素和较早期的技术，使得它只能在 Windows 平台下使用。Sniffer 具有简单的往外发包的功能，同时有几个辅助测试小工具如：ping、 finger、trace 、dns lookup 等。Sniffer 具有三大主要功能： 1.协议解析（Decode ） 2.网络活动监视（Monitor）3.专家分析系统（Expert ）Sniffer 和 Wireshark 一样可以用来解析网络协议，而且支持的协议从局域网扩展到了广域网，对无线网络也有了一定的支持。Sniffer 的协议解析非常详尽，对协议的描述很有层次感。尽管 Sniffer 的协议解析能力很强，但是它不能实时显示捕获的数据包，这一点在协议开发人员用来查找问题时可能带来不便。Sniffer 的协议解析功能可以用来学习各种协议，查找网络故障。但实际上很多问题并不象故障那么明显，比如网络慢或者丢包，单靠协议解析是很难发现的。这时候 Sniffer 的网络活动监视功能可以直接看到网络的当前运行状况，一旦网络出现问题就可以很快被发现。Sniffer 用直观的图形实时显示网络的流量、会话、协议、包的大小、错误等信息。Sniffer 的专家功能是它最看重的功能，也是它最为出色功能。Sniffer 的专家系统在后台为我们工作着，一旦有触发条件产生便产生相应的动作，然后通过视听信号通知我们。通过专家系统，Sniffer 能够帮助我们评估网络的性能，比如，网络的使用率，网络性能的趋势，网络中哪一些应用消耗最多带宽，网络上哪一些用户消耗最多带宽，不同协议的流量状况等等通过专家系统，Sniffer 可以帮助我们评估业务运行状态，比如各个应用的响应时间，一个操作需要的时间，应用带宽的消耗，应用的行为特征，应用性能的瓶颈等等。通过专家系统，Sniffer 可以快速地发现异常流量和网络攻击，这就为我们尽早采取措施提供了帮助。Sniffer 能够帮助我们做流量的趋势分析，通过长期监控，可以发现网络流量的发展趋势，为网络何时改造升级提供建议和依据。3. WildPackets OmniPeek 4.0OmniPeek 是网络分析软件的后起之秀，由于它设计时大量采用了Windows XP 及 2000 下的元素和比较流行的软件设计技术，并且更加注重网络软件的要求，面向国际化，支持多语言，所以 OmniPeek 在使用上更为简洁方便和人性化，它支持更多新的技术和应用。由于使用了新技术，OmniPeek 有了很多的 Plugin，能方便地扩展功能。与 Sniffer 一样，OmniPeek 除了能发送一些简单的数据包外，同样具备了三大功能：1.协议解析（Decode）2.网络活动监视（Monitor）3.专家分析系统（Expert ） 。OmniPeek 能很好地支持无线网络，提供丰富的无线网卡混杂抓包模式的驱动程序，是无线协议分析的利器。OmniPeek 对千兆网络也有了很好的支持，无论是协议分析还是网络监视都有很好的表现。与 Sniffer 不同的是 OmniPeek 更重视视觉形象（Visualize） ，它的很多操作都用图形化方式来完成。OmniPeek 侧重于整体现象的分析，以 “流（TCP/UDP 通信对） ”作为对象来研究，使分析结果易于理解，大大提高了效率。OmniPeek 的专家系统就是基于“ 流”来分析的，对会话的整体分析较好，但在具体细节处略有不足。OmniPeek 集成了分布式专家（DNX）系统功能，它提供的 Engine 可以部署在网络的各个部分。分布式专家系统通过一个控制台来控制多个 Engine 获取整个网络的状况，控制台操作界面与普通的网络分析界面是一样的。通过OmniPeek 的分布式专家系统，我们可以将监控拓展到控制台无法直接到达的地方，可以使我们更全面地了解网络的运行情况。三、 三款软件的比较1. 功能比较Wireshark 是典型的网络抓包工具，主要具备第一代网络分析软件的特点。随着软件地不断更新，Wireshark 也具有了一点简单的图形化的监视功能。Wirshark 解析的协议主要是局域网协议，它支持的介质也主要是 Ethernet，功能比较单一，效率比较高。Wireshark 没有网络状态分析功能，对网络问题不能提供参考意见。NAI 的 Sniffer 功能涵盖了协议解析、网络监视和智能管理几个部分。Sniffer 的协议解析很详细，尤其对广域网协议的解析非常全面，但扩展性不是很强，新协议支持更新较慢。Sniffer 的网络状态监视功能也很强大，可以监视流量、带宽、协议、应用响应时间、会话主机等信息,并且以图形的形式显示出来。Sniffer 的专家功能非常细致，严格按照协议进行分层，每个细节都有考虑。另外它对网络异常状况进行了分级，使我们可以容易找到相应的问题。OmniPeek 的功能和 Sniffer 大致相同，也涵盖了协议解析、网络监视和智能管理几个部分。OmniPeek 在协议解析上没有 Sniffer 支持的协议多，但对无线和语音的解析功能要比 Sniffer 强。OmniPeek 专家功能没有 Sniffer 细致，功能没有 Sniffer 强大。2. 使用界面Wireshark 启动后是一个灰色的界面，没有什么提示信息，当捕获操作开始后，界面被水平分割成白色的三栏，这就是 Wireshark 的主要窗口。Wireshark 工具栏上安放了一些常用的按钮。Wireshark 的统计信息和网络状态都是点击相应功能菜单后弹出的小窗口，它们独立于主要窗口，相互不受影响。由于 Wireshark 功能比较简单，所以在主要窗口中能完成大部分功能，使用起来也是比较方便的。Sniffer 启动后保留上次关闭时的窗口状态，也没有什么提示信息。Sniffer的工具栏按钮比较少，它把按钮分布到了不同的界面，使用时可以通过工具栏按钮打开操作界面，在新的界面找到新的按钮，以此类推，总体感觉比较零散。Sniffer 的每一个功能都有一个窗口，这些窗口限制在主窗口内，可以任意排列，通过菜单可以在不同子窗口间切换。Sniffer 的子窗口中又有很多的 tab 可选页。众多的窗口众多的按钮和众多的可选页混杂在一起，使得 Sniffer 看起来没有很好的组织结构，使用不太方便。OmniPeek 启动后首先映入眼帘的是它的 Start Page ，整个界面具有 Windows XP 的风格，图标显然符合统一的色调和风格，与 Sniffer 相比更具吸引力。OmniPeek 的启动窗口中没有保留上次关闭时的窗口，却提供了近期使用OmniPeek 所作任务的快捷链接。OmniPeek 的启动页就像是一个助手，上面有详细的文档链接和任务开始向导按钮，处处体现友善的界面。接下来开始捕获操作，弹出一个窗口，这就是主要工作区。OmniPeek 的设计大量应用了 Flat Button、TreeView、IE View 等元素，这些元素在工作窗口全部体现出来了。窗口的左边是所有捕获操作的树形结构，右侧是类似 IE 窗口的结果栏，中间是某一操作的进一步分类。整个界面和操作显得很有组织性、高效性。3. 操作细节 获取帮助Wireshark 只有一个简单的帮助窗口，在任何情况下通过菜单弹出的都是这一个窗口。它的帮助内容很少，链接到网站上的帮助信息也不多，这是wireshark 经常被抱怨的一点。Sniffer 有一套完整的帮助文档，在任何情况下可以通过菜单或 F1 键打开这个文档。这个帮助文档有自己的组织结构，可以索引和查找，使用效率比较高。文档涉及的内容涵盖了各个功能和操作，并且提供了相关联内容的链接。Sniffer 帮助文档只是一个独立的参考文档，它的内容也不能根据当前操作自动显示给用户。OmniPeek 的帮助信息非常人性化，包括向导、参考文档、资源等信息，我们可以很轻松地获得各种帮助。OmniPeek 还提供了很多的操作实例供参考，这些帮助既可以在 Start Page 中找到，也可以在任何时候通过菜单或 F1 键弹出帮助文档。OmniPeek 的帮助文档与 Sniffer 一样可以查找索引等。 启动捕获数据包操作Wireshark 与 Sniffer 的启动捕获操作与设定捕获参数是独立的，使用时容易出现错误。OmniPeek 将启动捕获操作和设定参数集中在一起，使我们每次捕获之前都可以清楚地了解我们是针对那些设定进行的操作，这样就避免了一些错误。 暂停、继续捕获数据包Wireshark 在捕获操作开始后就不能暂停捕获，只能停止当前捕获，然后开始新地捕获操作。Sniffer 中设置了暂停捕获按钮，我们可以很方便地暂停和继续一个捕获操作。OmniPeek 没有暂停按钮，但我们可以使用 “Shift”按键和“Start Capture”按钮组合操作来实现暂停和继续一个捕获操作。 自动滚动屏幕Wireshark 可以实时看见捕获的数据包，当我们需要看某一个包的具体内容时，只要将自动滚屏按钮取消，点击该数据包就可以查看。需要滚屏时再将自动滚屏按钮按下即可。OmniPeek 也可以实时看见捕获的数据包，当我们需要看一个包的具体内容时，点击该数据包就可以查看，OmniPeek 会自动停止滚屏，需要滚屏时再点击自动滚屏按钮。Sniffer 不能实时查看捕获的数据包，也没有自动滚屏功能。 多捕获窗口Wireshark 的功能比较单一，没有多窗口功能。当一个捕获操作开始后，网卡就被独站，不能进行另一个捕获操作（可以开启多个 Wireshark 程序来实现捕获多个网卡的操作） 。Sniffer 虽然有多窗口功能，但同样不支持多个捕获操作同时进行。不过网络状态监视功能可以同时实现。OmniPeek 在多窗口操作上具有很强的优势，它可以实现多个网卡或一个网卡的多种捕获条件的情况下同时进行捕获数据包的操作，让我们能掌握更多的信息。 数据包的排序Wireshark、Sniffer、OmniPeek 三款软件的协议解析界面设计几乎一样，都分概要信息、详细信息和十六进制信息三个窗口栏，所不一样的就是字体不同和颜色不同而已。Wireshark 的概要信息栏内的记录可以按任意列进行升序或降序排列，操作也很简单，只要点击相应的列头就行了。Sniffer 和 OmniPeek 的解码窗口都没有排序功能，只能按照时间先后顺序排列数据包。 选择显示列在 Wireshark 中要调整概要栏中显示的列的信息比较麻烦，必须从菜单中选择设定“Preferences”后找到“Columns” 项才能修改，并且要保存设置重新启动Wireshark 后才能生效。Sniffer 的概要栏中调整显示列只要右键单击任一列的头部，在弹出的菜单中选择“Display Setup”后进行修改，修改后的结果立即生效。OmniPeek 中要调整概要栏的显示列非常简单，只要右键单击列头就可直接选择。 创建过滤Wireshark 的 Capture Filter 和 Display Filter 是两个独立的单元，需要分别设定，且语法有差别。Wireshark 中创建 Filter 比较麻烦，要使用表达式进行创建，没有图形界面，也不能从已获取的数据包中创建相关联的 Capture Filter。 Sniffer 的 Capture Filter 和 Display Filter 也是独立的，但它们的创建方式是一样的。在 Sniffer 中创建 Filter 比较直观，打开创建对话后可以直接选择匹配项目，能够设定关于地址匹配、数据字节匹配和协议匹配的组合规则。Sniffer 没有提供已设置好的参考 Filter，需要自己根据需要去设定。OmniPeek中创建的 Filter 既可以用作 Display Filter 又可以用作 Capture Filter。OmniPeek创建 Filter 最为方便，它不但可以象 Sniffer 一样用直观的选择来设定与地址匹配、数据字节匹配和协议匹配的组合规则，还可以设定按位匹配的规则。OmniPeek 可以在解码窗口中直接选取相关信息进行 Filter 设置，它还提供了许多已设置好的 Filter 供我们使用，大大地方便了我们使用。 应用过滤器Wireshark 中要使用 Capture Filter 就必须在开始捕获数据包之前在“Options”中进行选择，一旦捕获开始后就不能更改。Wireshark 中不能保存Display Filter，每次使用时必须重新编写表达式，它的 Display Filter 表达式可以从捕获的数据包中选择相关信息来自动生成，比起 Capture Filter 的设定要容易得多，同时 Display Filter 可以随时被应用，无论捕获数据包操作是否停止。Sniffer 中定义的 Capture Filter 的选用必须在开始捕获数据包之前选择，Display Filter 则要在停止捕获后使用。OmniPeek 中定义的 Filter 用于 Display 时要在停止捕获后选用。与 Sniffer不同的是，OmniPeek 在捕获数据包时可以更换 Capture Filter，而 Sniffer 则不可以。 协议的解析Wireshark 可以解析大部分数据包，Sniffer 支持的协议包是最多的，而OmniPeek 也支持很多的协议，同时还能解无线协议的包。三款软件对包的解释各有特点：Wireshark 的描述比较简单，Sniffer 和OmniPeek 的描述比较详细。OmniPeek 对不同的协议还可以弹出窗口进行进一步的描述。另外 Sniffer 和 OmniPeek 可以显示每一个字节在包中的偏移位置，而Wireshark 则没有此项功能。 包的标记Wireshark 可以对选择的包进行标记以提醒我们的注意，它可同时对多个数据包进行标记。Wireshark 也可以将数据包设定为时间参考点，设定参考点后，此参考点以后的数据包的发生时间将会改变，直到下一个时间参考点。Sniffer对选择的包进行标记的同时也将此包设定成了时间参考点，但 Sniffer 只能设定一个参考点，参考点前后数据包的相对时间都会发生改变。OmniPeek 不能标记数据包，可以设定一个时间参考点，参考点前后数据包的相对时间都会发生改变。 包的选择Wireshark 只能选中一个数据包。Sniffer 可以选中任意个数据包，可以一个一个选择也可以选择一定范围的数据包，可以将选择的数据包单独保存。OmniPeek 不但能任意选择数据包，而且能够选择与某个数据包相关联的数据包，能将选择的数据包单独保存。 查找特定数据包三款软件都有很强的查找数据包的功能，都能够在数据包的概述、详细描述和十六进制三栏中查找字符或十六进制数。Wireshark 还能按 Filter 的规则进行查找。Sniffer 则还可以查找专家模式中的异常信息包。OmniPeek 除了能查找字符和十六进制数外还可以查找数据包内任意一个偏移位置的二进制数。 保存、打开文件Wireshark、Sniffer、OmniPeek 三款软件都能对捕获的数据包进行存储，都有共同支持的文件格式（如.cap） 。Sniffer 除了能保存捕获的数据包以外，它还能将网络监视的 History 图形数据保存下来。OmniPeek 除了能保存捕获的数据包以外，还可以保存捕获设置。Wireshark、Sniffer、OmniPeek 三款软件都能打开已保存的数据包文件进行分析。 发送数据包三款软件中 Wireshark 没有发送数据包的功能，其它两款软件具有发包的功能。Sniffer 可以从捕获的数据包中选择包进行发送，也可以对包的十六进制内容修改后发送。在 Sniffer 环境中修改包的内容必须在十六进制代码窗口进行，非常不方便，但是 Sniffer 可以按一定的带宽比例产生较大的流量。OmniPeek在编辑待发送的包时有一个完整协议层的选择窗口，因此可以清楚地知道如何修改包的内容。OmniPeek 的发送操作界面也很友好，容易使用。 设定 triggerSniffer 具有出色的专家分析功能，它可以设定 trigger 来触发捕获数据包。trigger 的设定既可以以时间为条件，也可以以 Sniffer 监视的事件为依据，还可以以设定的 Filter 为条件来触发捕获操作。Sniffer 的 trigger 设置界面很形象，比较容易设置。OmniPeek 也能设定 trigger，它的 trigger 功能触发条件没有 Sniffer 丰富，操作也不复杂。 显示会话主机连接图Sniffer 的 Matrix 功能能以图形的形式显示建立了连接的主机关系，Sniffer的此功能没有可以设定显示主机的数量，导致主机数较多时无法分辨出来。OmniPeek 的 Peer Map 功能与 Matrix 相似，但