網(wǎng)絡(luò)協(xié)議分析軟件

Wireshark

原名為Ethereal，最初為運行于Linux系統(tǒng)平臺之上的一款免費的數(shù)據(jù)包捕獲與分析工具。2006年更名為Wireshark，目前已發(fā)布可運行于Windows平臺的軟件版本。

可獲得的最新版本為V1.0.2（2008年發(fā)布），能夠識別RTP、IM、802.11以及IPv6等協(xié)議，如微軟MSN、滕訊QQ以及流媒體應(yīng)用。目前，Wireshark還不具備數(shù)據(jù)包重放或流量生成(traffic generator)功能。

在使用方面，Wireshark的過濾器(Filter)設(shè)置不是很方便，統(tǒng)計功能的設(shè)置條件很詳細(xì)，但專家功能(Expert)的顯示結(jié)果不易理解。

在捕獲數(shù)據(jù)包后，存儲方式默認(rèn)為.pcap文件，但可以打開.cap、.pkt等后綴的數(shù)據(jù)文件。

由于Wireshark是免費的開源軟件，可以對其進(jìn)行重新編譯、二次開發(fā)等。如針對P2P協(xié)議Pastry等的plug-in插件。

http://wiki.wireshark.org/

Sniffer

開始?xì)w屬于NAI公司，持續(xù)發(fā)展到版本V4.7.5。2004年從NAI公司分離出來后歸屬于Network General公司。

目前可獲得Sniffer Portable產(chǎn)品的兩個版本V4.8（2005年發(fā)布）和V4.9（2007年發(fā)布）。其中：V4.8相比于V4.7.5增加了RTP、802.11、SNMP v3以及IPv6等協(xié)議的分析功能，軟件操作界面基本沒有變化；v4.9中增強了應(yīng)用協(xié)議的分析功能，如常見數(shù)據(jù)庫應(yīng)用、SAP應(yīng)用等。

Sniffer具備數(shù)據(jù)包重放或流量生成(traffic generator)功能。

在捕獲數(shù)據(jù)包后，存儲方式默認(rèn)為.cap文件。

在安裝使用方面，V4.8版本可以在Vista上安裝成功并能正常運行，可是在Vista上安裝V4.9時卻提示操作系統(tǒng)版本不支持并中止安裝，而且V4.9支持的網(wǎng)卡類型也較少。

http://www.sniffer.net.cn/support/

Omnipeek

為WildPacket公司所屬產(chǎn)品，目前可獲得Omnipeek Personal版本V4.1（2007年發(fā)布）和Omnipeek Enterprise版本V5.1（2007年發(fā)布），均支持IM、RTP、802.11、IPv6等協(xié)議和SQL分析。

Omnipeek具備數(shù)據(jù)包簡單重放和定制重放功能。

在捕獲數(shù)據(jù)包后，存儲方式默認(rèn)為.pkt文件。

http://www.wildpackets.com/products/omnipeek_network_analyzer

其它工具

部分從事網(wǎng)絡(luò)管理和測試設(shè)備研發(fā)的廠商也開發(fā)了具有自主品牌的協(xié)議分析工具，如：

（1）Fluke Optiview Protocol Expert（OPE）

最新可獲得的軟件版本為V9.0（2007年發(fā)布），支持IM、IPv6等協(xié)議。

相比較而言，主要增加了圖形化顯示，功能上增加了響應(yīng)時間、吞吐量等信息顯示。另外，還可以定制過濾器(Filter)的策略模板。

（2）Agilent Network Analyzer（NA）

最新可獲得的軟件版本為V5.50（2006年發(fā)布），其界面和功能與Sniffer類似。系統(tǒng)支持RTP、IPv6等協(xié)議以及常見數(shù)據(jù)庫會話過程解析，但對IM協(xié)議的分析效果不佳；還支持?jǐn)?shù)據(jù)包的簡單回放。

在Agilent J2300E網(wǎng)絡(luò)綜合分析儀中默認(rèn)集成了Agilent Network Analyzer協(xié)議分析工具，但該軟件工具也可安裝在計算機(jī)上獨立使用，其操作界面和方式與在J2300E上完全相同。

（3）科來網(wǎng)絡(luò)分析系統(tǒng)

為國產(chǎn)軟件，最新可獲得的軟件版本為技術(shù)交流版V6.8（2008年發(fā)布），操作界面完全為中文方式，支持RTP、IM、BT、IPv6等協(xié)議以及MSSQL數(shù)據(jù)庫會話過程解析。

主要功能與Sniffer類似，系統(tǒng)可以定制過濾器(filter)的策略模板；另外，系統(tǒng)還內(nèi)置了MAC地址掃描器、數(shù)據(jù)包播放器、數(shù)據(jù)包生成器和ping工具。特別在事件診斷中，按照鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層內(nèi)置了多個網(wǎng)絡(luò)事件庫。

via 山東省軟件評測中心   曾云輝

補充：

wireshark 是一個查看工具不是一個報警工具，她具備的僅僅是一個檢測功能，不能夠進(jìn)行規(guī)則匹配然后發(fā)出警告， 如果進(jìn)行二次開發(fā)則另論。

（這個是我從論壇里看來的）我使用的幾點感受：Wireshark能夠解析的協(xié)議很多，特別是很多應(yīng)用層的開源協(xié)議都能解析；過濾數(shù)據(jù)包的時候比起Sniffer要慢很多；比起Omnipeek沒有很好的界面呈現(xiàn)；但是我還是一直使用Wireshark抓包分析，覺得很容易上手，而且操作起來順手易用。對于想學(xué)習(xí)協(xié)議的可以用Wireshark作為學(xué)習(xí)的工具，而且開源免費，不過近幾天官網(wǎng)www.wireshark.org好像有問題。最好的資料我覺得就是Wireshark自帶的help了，說的都很詳細(xì)而且還有很多Note。

另外微軟的也有抓包分析軟件，但是叫啥名就不知道了，大家自己去找吧哈。