Wireshark,SnifferandOmnipeek三款網(wǎng)絡(luò)研究分析工具的比較

1、個(gè)人收集整理僅供參考學(xué)習(xí)Wireshark, Sniffer and Omnipeek三款網(wǎng)絡(luò)分析工具地比較一、網(wǎng)絡(luò)分析軟件概述自從網(wǎng)絡(luò)出現(xiàn)以來，網(wǎng)絡(luò)故障就沒有停止過.如何快速、準(zhǔn)確地定位故障和 保持網(wǎng)絡(luò)地穩(wěn)定運(yùn)行一直是人們追求地目標(biāo) 為了分析網(wǎng)絡(luò)故障地原因，一類專 業(yè)地網(wǎng)絡(luò)分析軟件便產(chǎn)生了 .網(wǎng)絡(luò)分析軟件充當(dāng)了網(wǎng)絡(luò)程序錯(cuò)誤地檢修工具，開 發(fā)人員使用它發(fā)現(xiàn)協(xié)議開發(fā)中地 BUG，很多人使用它監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)，同時(shí)也是 檢查安全類軟件地輔助工具.b5E2RGbCAP網(wǎng)絡(luò)分析軟件從產(chǎn)生到現(xiàn)在已經(jīng)經(jīng)歷了三個(gè)階段：第一階段是抓包和解碼階段早期地網(wǎng)絡(luò)規(guī)模比較小、結(jié)構(gòu)比較簡單，因此 網(wǎng)絡(luò)分析軟件主要是把網(wǎng)絡(luò)上地

2、數(shù)據(jù)包抓下來，然后進(jìn)行解碼，以此來幫助協(xié)議設(shè)計(jì)人員分析軟件通信地故障.plEanqFDPw第二階段是專家系統(tǒng)階段網(wǎng)絡(luò)分析軟件通過抓下來地?cái)?shù)據(jù)包，根據(jù)其特征 和前后時(shí)間戳地關(guān)系，判斷網(wǎng)絡(luò)地?cái)?shù)據(jù)流有沒有問題，是哪一層地問題，有多嚴(yán) 重.專家系統(tǒng)不僅僅局限于解碼，更重要地是幫助維護(hù)人員分析網(wǎng)絡(luò)故障，專家 系統(tǒng)會(huì)給出建議和解決方案.DXDiTa9E3d第三階段是把網(wǎng)絡(luò)分析工具發(fā)展成網(wǎng)絡(luò)管理工具網(wǎng)絡(luò)分析軟件作為網(wǎng)絡(luò)管 理工具，部署在網(wǎng)絡(luò)中心，能長期監(jiān)控，能主動(dòng)管理網(wǎng)絡(luò)，能排除潛在問題.RTCrpUDGiT二、三款軟件地特點(diǎn)1. Wireshark 0.99.4Wireshark是一款高效免費(fèi)地網(wǎng)絡(luò)抓包分

3、析工具它可以捕獲并描述網(wǎng)線當(dāng) 中地?cái)?shù)據(jù)，如同使用萬用表測量電壓一樣直觀地顯示出來在網(wǎng)絡(luò)分析軟件領(lǐng)域， 大多數(shù)軟件要么晦澀難懂要么價(jià)格昂貴， Wireshark改變了這樣地局面，它地最 大特點(diǎn)就是免費(fèi)、開源和多平臺(tái)支持.5PCzVD7HxAWireshark幾乎可以運(yùn)行于所有流行地操作平臺(tái)，如MS Windows、Mac OS、Linux、FreeBSD、HP-UX、NetBSD、Solaris/i386、Solaris/sparc等等.盡管 Wireshark 可以在很多操作平臺(tái)使用，但它支持地傳輸媒介主要是 Ethernet只有Linux平臺(tái) 下 Wireshark 支持 802.11 及

4、Token Ring、FDDI 和 ATM. jLBHrnAiLgWireshark能夠?qū)Υ蟛糠志钟蚓W(wǎng)協(xié)議進(jìn)行解析，具有界面簡單、操作方便、 實(shí)時(shí)顯示捕獲數(shù)據(jù)地優(yōu)點(diǎn).但Wireshark并不具有分析功能，當(dāng)一個(gè)網(wǎng)絡(luò)發(fā)生異常 地時(shí)候，Wireshark只會(huì)記錄數(shù)據(jù)，它僅僅是一個(gè)測量工具，并不能操作網(wǎng)絡(luò)， 不發(fā)送數(shù)據(jù)包或者做其它地主動(dòng)動(dòng)作.XHAQX74J0XWireshark目前還存在著一個(gè)已知地嚴(yán)重 BUG，當(dāng)Wireshark運(yùn)行時(shí)緩沖區(qū) 出現(xiàn)內(nèi)存溢出將會(huì)終止.此BUG是由最初設(shè)計(jì)地界面和平臺(tái)所決定， 短期內(nèi)無法 解決 丄DAYtRyKfE2. NAI Sniffer Portable 4.

5、7.5NAI地網(wǎng)絡(luò)分析工具Sniffer長期以來是網(wǎng)絡(luò)分析類軟件地王牌.Sniffer既有 長期積累地經(jīng)驗(yàn)又存在長期延續(xù)舊體系導(dǎo)致地問題.長期地發(fā)展使得Sniffer具有 很強(qiáng)地專業(yè)分析能力，但是它一直延續(xù)DOS、WIN95時(shí)期地元素和較早期地技術(shù)，使得它只能在 Windows平臺(tái)下使用.Sniffer具有簡單地往外發(fā)包地功能，同 時(shí)有幾個(gè)輔助測試小工具如：pin g、fin ger、trace、dns lookup等 .Zzz6ZB2LtkSniffer具有三大主要功能：1.協(xié)議解析（Decode） 2.網(wǎng)絡(luò)活動(dòng)監(jiān)視（Monitor）3. 專家分析系統(tǒng)（Expert） dvzfvkwMI1S

6、niffer和Wireshark一樣可以用來解析網(wǎng)絡(luò)協(xié)議，而且支持地協(xié)議從局域網(wǎng) 擴(kuò)展到了廣域網(wǎng)，對(duì)無線網(wǎng)絡(luò)也有了一定地支持.Sniffer地協(xié)議解析非常詳盡，對(duì)協(xié)議地描述很有層次感.盡管Sniffer地協(xié)議解析能力很強(qiáng)，但是它不能實(shí)時(shí)顯 示捕獲地?cái)?shù)據(jù)包，這一點(diǎn)在協(xié)議開發(fā)人員用來查找問題時(shí)可能帶來不便.rqyn14ZNXISniffer地協(xié)議解析功能可以用來學(xué)習(xí)各種協(xié)議，查找網(wǎng)絡(luò)故障.但實(shí)際上很多問題并不象故障那么明顯，比如網(wǎng)絡(luò)慢或者丟包，單靠協(xié)議解析是很難發(fā)現(xiàn)地. 這時(shí)候Sniffer地網(wǎng)絡(luò)活動(dòng)監(jiān)視功能可以直接看到網(wǎng)絡(luò)地當(dāng)前運(yùn)行狀況，一旦網(wǎng) 絡(luò)出現(xiàn)問題就可以很快被發(fā)現(xiàn).Sniffer用直觀地

7、圖形實(shí)時(shí)顯示網(wǎng)絡(luò)地流量、 會(huì)話、 協(xié)議、包地大小、錯(cuò)誤等信息.EmxvxOtOcoSniffer地專家功能是它最看重地功能，也是它最為出色功能 .Sniffer地專家 系統(tǒng)在后臺(tái)為我們工作著，一旦有觸發(fā)條件產(chǎn)生便產(chǎn)生相應(yīng)地動(dòng)作， 然后通過視 聽信號(hào)通知我們.SixE2yXPq5通過專家系統(tǒng)，Sniffer能夠幫助我們評(píng)估網(wǎng)絡(luò)地性能，比如，網(wǎng)絡(luò)地使用 率，網(wǎng)絡(luò)性能地趨勢，網(wǎng)絡(luò)中哪一些應(yīng)用消耗最多帶寬，網(wǎng)絡(luò)上哪一些用戶消耗最多帶寬，不同協(xié)議地流量狀況等等 6ewMyirQFL通過專家系統(tǒng)，Sniffer可以幫助我們評(píng)估業(yè)務(wù)運(yùn)行狀態(tài)，比如各個(gè)應(yīng)用地 響應(yīng)時(shí)間，一個(gè)操作需要地時(shí)間，應(yīng)用帶寬地消耗，應(yīng)用

8、地行為特征，應(yīng)用性能 地瓶頸等等.kavU42VRUs通過專家系統(tǒng)，Sniffer可以快速地發(fā)現(xiàn)異常流量和網(wǎng)絡(luò)攻擊，這就為我們 盡早采取措施提供了幫助.Sniffer能夠幫助我們做流量地趨勢分析，通過長期監(jiān) 控，可以發(fā)現(xiàn)網(wǎng)絡(luò)流量地發(fā) 展趨勢，為網(wǎng)絡(luò)何時(shí)改造升級(jí) 提供建 議和依據(jù).y6v3ALoS893. WildPackets OmniPeek 4.0Omn iPeek是網(wǎng)絡(luò)分析軟件地后起之秀，由于它設(shè)計(jì)時(shí)大量采用了 Win dows XP及2000下地元素和比較流行地軟件設(shè)計(jì)技術(shù)，并且更加注重網(wǎng)絡(luò)軟件地要 求，面向國際化，支持多語言，所以O(shè)mniPeek在使用上更為簡潔方便和人性化， 它支持

9、更多新地技術(shù)和應(yīng)用.由于使用了新技術(shù)，OmniPeek有了很多地Plugin， 能方便地?cái)U(kuò)展功能.與Sniffer 一樣，OmniPeek除了能發(fā)送一些簡單地?cái)?shù)據(jù)包外， 同樣具備了三大功能：1.協(xié)議解析（Decode）2.網(wǎng)絡(luò)活動(dòng)監(jiān)視（Monitor）3.專家 分析系統(tǒng)（Expert）.M2ub6vSTnPOmn iPeek能很好地支持無線網(wǎng)絡(luò)，提供豐富地?zé)o線網(wǎng)卡混雜抓包模式地驅(qū) 動(dòng)程序，是無線協(xié)議分析地利器.OmniPeek對(duì)千兆網(wǎng)絡(luò)也有了很好地支持，無論 是協(xié)議分析還是網(wǎng)絡(luò)監(jiān)視都有很好地表現(xiàn).0YujCfmUCw與Sniffer不同地是Omn iPeek更重視視覺形象（Visualize）

10、，它地很多操作 都用圖形化方式來完成.OmniPeek側(cè)重于整體現(xiàn)象地分析，以 流（TCP/UDP通 信對(duì)）”作為對(duì)象來研究，使分析結(jié)果易于理解，大大提高了效率.OmniPeek地專家系統(tǒng)就是基于 流”來分析地，對(duì)會(huì)話地整體分析較好，但在具體細(xì)節(jié)處略有 不足.eUts8ZQVRdOmniPeek集成了分布式專家（DNX ）系統(tǒng)功能，它提供地 Engine可以部 署在網(wǎng)絡(luò)地各個(gè)部分.分布式專家系統(tǒng)通過一個(gè)控制臺(tái)來控制多個(gè) Engine獲取整 個(gè)網(wǎng)絡(luò)地狀況，控制臺(tái)操作界面與普通地網(wǎng)絡(luò)分析界面是一樣地 通過OmniPeek地分布式專家系統(tǒng)，我們可以將監(jiān)控拓展到控制臺(tái)無法直接到達(dá)地地方，可以使我們更全

11、面地了解網(wǎng)絡(luò)地運(yùn)行情況.sQsAEJkW5T三、三款軟件地比較1. 功能比較Wireshark是典型地網(wǎng)絡(luò)抓包工具，主要具備第一代網(wǎng)絡(luò)分析軟件地特點(diǎn).隨著軟件地不斷更新，Wireshark也具有了 一點(diǎn)簡單地圖形化地監(jiān)視功 能.Wirshark解析地協(xié)議主要是局域網(wǎng)協(xié)議，它支持地介質(zhì)也主要是Ethernet,功能比較單一，效率比較高.Wireshark沒有網(wǎng)絡(luò)狀態(tài)分析功能，對(duì)網(wǎng)絡(luò)問題不能提 供參考意見.GMslasNXkANAI地Sniffer功能涵蓋了協(xié)議解析、網(wǎng)絡(luò)監(jiān)視和智能管理幾個(gè)部分.Sniffer地協(xié)議解析很詳細(xì)，尤其對(duì)廣域網(wǎng)協(xié)議地解析非常全面，但擴(kuò)展性不是很強(qiáng)，新協(xié)議支持更新較慢.S

12、niffer地網(wǎng)絡(luò)狀態(tài)監(jiān)視功能也很強(qiáng)大，可以監(jiān)視流量、帶寬、 協(xié)議、應(yīng)用響應(yīng)時(shí)間、會(huì)話主機(jī)等信息，并且以圖形地形式顯示出來.Sniffer地專 家功能非常細(xì)致，嚴(yán)格按照協(xié)議進(jìn)行分層，每個(gè)細(xì)節(jié)都有考慮.另外它對(duì)網(wǎng)絡(luò)異常狀況進(jìn)行了分級(jí)，使我們可以容易找到相應(yīng)地問題.TIrRGchYzgOmniPeek地功能和Sniffer大致相同，也涵蓋了協(xié)議解析、網(wǎng)絡(luò)監(jiān)視和智能 管理幾個(gè)部分.OmniPeek在協(xié)議解析上沒有Sniffer支持地協(xié)議多，但對(duì)無線和語 音地解析功能要比 Sniffer強(qiáng).OmniPeek專家功能沒有 Sniffer細(xì)致，功能沒有 Sniffer 強(qiáng)大.7EqZcWLZNX2. 使用

13、界面Wireshark啟動(dòng)后是一個(gè)灰色地界面，沒有什么提示信息，當(dāng)捕獲操作開始 后，界面被水平分割成白色地三欄，這就是Wireshark地主要窗 口.DifiitalChina DCN-530TX Fa航 Ethernet Adapter NDIS5 Driver (Mi.叵|XFile Hdit View Go Capture Arialyzs Stat istics Telephony Tools Help旨Q觀巧丨,團(tuán)詞茶丨No.TineSourceDestinationProtocolInfoAhu. j f 審口二*丄?£. J丄1口 4 U丄口3 xuu'li 丄

14、 z n1 JITn im-d.p i 才 in ii.i unui lB432.579646192,168.0.163192el®B-D.18OTCPmlcrosof-ds > slm-8442.5797848063TCPslm-api > micros oft34 52641083152- lbS- 0-18019-Z ：LiE D 163TCPsmarr-Im > microsof三4史2.641140192-16S. 0-163192,ISB130TCPmicros口> smar8472641320192,1

15、68.0.18063TCPsmart-Hm > micros of8432.64L5A115Z .l&S. 0.1SDSMBNegailate Protocol492.&4168463192 S16B. 0.180Nego>t1a:e proncocol350 2.642539192.168.0,18063Session 號(hào)已tup AndK8512.642<o50152.16a. 0.1631U.1&8. 0.190SMBSession sarup AndKVItii Frame1 (

16、62 bytes on wire, 62 byres captured)麗 Ether net IIV Sr c: Intel_b9:75:4d (00:0e'0c:b9:7$:4dp Dst: Digital Jf斗：:口(t)0:03:0fIE in ter net Protocol s Src;80U92.168. 0.180, D5t; « a92,lS8.0.163>ee Transmission 匚口nt廣口 1 prorocolsre port: mlcroffluse-lni (1534X dst p口rt；

17、microsfi-ds (445J. seqi Filter:+ Express Lon. *. Cl tar ApplyGOOD aD 03 Of00100030 530020 ao os0030 ff ff c69匚 11DOO£OCb979AdD300500yM40 00800624S3cOa800b4cOa8. 05,(&,E8.1 bd£8C9495300ODDO007002 1.00 00 02 0405 b4 01 01 M 02O DigitDR-邸QTX Fa洪 EthePacket5： 4 340 Displayed： qgQ Marked: 0

18、Profile： UefaultWireshark工具欄上安放了一些常用地按鈕.Wireshark地統(tǒng)計(jì)信息和網(wǎng)絡(luò)狀態(tài)都是點(diǎn)擊相應(yīng)功能菜單后彈出地小窗口，它們獨(dú)立于主要窗口，相互不受影響.由于Wireshark功能比較簡單，所以在主要窗口中能完成大部分功能，使用起來也是比較方便地.lzq7IGfO2ESniffer啟動(dòng)后保留上次關(guān)閉時(shí)地窗口狀態(tài)，也沒有什么提示信息.Sniffer地工具欄按鈕比較少，它把按鈕分布到了不同地界面，使用時(shí)可以通過工具欄按鈕 打開操作界面，在新地界面找到新地按鈕，以此類推，總體感覺比較零散.Sniffer 地每一個(gè)功能都有一個(gè)窗口，這些窗口限制在主窗口內(nèi)，可以任意排列

19、，通過菜 單可以在不同子窗口間切換.Sniffer地子窗口中又有很多地tab可選頁.眾多地窗口眾多地按鈕和眾多地可選頁混雜在一起，使得Sniffer看起來沒有很好地組織結(jié)構(gòu)，使用不太方便.zvpgeqJIhkOmniPeek啟動(dòng)后首先映入眼簾地是它地 Start Page，整個(gè)界面具有 Windows XP 地風(fēng)格，圖標(biāo)顯然符合統(tǒng)一地色調(diào)和風(fēng)格，與 Sniffer相比更具吸引力.OmniPeek 地啟動(dòng)窗口中沒有保留上次關(guān)閉時(shí)地窗口，卻提供了近期使用 Omn iPeek所作任 務(wù)地快捷鏈接.OmniPeekFile Edit Vie« Capture 5 end Hona t

20、1;r Tools flindonpWildmniPeekfn存圍廚®國畫碎存dr覽國衛(wèi)補(bǔ) aEioaiSt«r t. r<c XNe-w CapturoOp«n Capture Fil'dView dmnIE岬InfraStart MonitorRite lit Fil«LmMM”Nd rwem IlesSuiiihidiyRece nt Cfiiptm e TL catilouUij rwtnl tcmpirlMSummaiyOecuiiiiaiilfiiilnh Vrtew 1he RMctre View lh& Gettnj

21、 Staged GuUb Vitw Driver Irt±t4li!iiori hfirudktrK* Rwki me-Uss' Gude* Read Uie CmriEnghe GeeihQi Started GUdeTclihlc-ll SllpprHi Vi&w IkItbcI 勺卿閒:fesourca far Wl*時(shí)etg praduds IkXiJJ fbrtet抵誕 etihk 曲RQJ CrmPeek Supported hardware E31Re$oiuice$ Ust insiailed pLiq-ns Vie 岡 SBinpiBllies* F

22、l nd m&r dut 血iLiUhe Aucil lemplaie VUIdPisctels: News £ Everris View Nlwigrtijp名 while paper名 and mpruTkiiiiilnij 4 S«rvic«$卜 VMHPackels： Ac曲m* LkJU卜 Find ods 由ojt亡bfifiuHiri luuLU卩 MyPedtWildPacketr.o q困圃aJor Ktlp (press FlOmn iPeek地啟動(dòng)頁就像是一個(gè)助手，上面有詳細(xì)地文檔鏈接和任務(wù)開始向?qū)О?鈕，處處體現(xiàn)友善地界面接下來開始

23、捕獲操作，彈出一個(gè)窗口，這就是主要工 作區(qū).OmniPeek地設(shè)計(jì)大量應(yīng)用了 Flat Button、TreeView、IE View等元素，這 些元素在工作窗口全部體現(xiàn)出來了窗口地左邊是所有捕獲操作地樹形結(jié)構(gòu)，右側(cè)是類似IE窗口地結(jié)果欄，中間是某一操作地進(jìn)一步分類.整個(gè)界面和操作顯得 很有組織性、高效性.NrpoJac3v13.操作細(xì)節(jié)獲取幫助Wireshark只有一個(gè)簡單地幫助窗口，在任何情況下通過菜單彈出地都是這一個(gè)窗口 .它地幫助內(nèi)容很少，鏈接到網(wǎng)站上地幫助信息也不多，這是wireshark經(jīng)常被抱怨地一點(diǎn).1nowfTG4KISniffer有一套完整地幫助文檔，在任何情況下可以通過菜

24、單或 F1鍵打開這個(gè)文檔.這個(gè)幫助文檔有自己地組織結(jié)構(gòu)，可以索引和查找，使用效率比較高.文檔涉及地內(nèi)容涵蓋了各個(gè)功能和操作，并且提供了相關(guān)聯(lián)內(nèi)容地鏈接.Sniffer幫助文檔只是一個(gè)獨(dú)立地參考文檔，它地內(nèi)容也不能根據(jù)當(dāng)前操作自動(dòng)顯示給用戶.fjnFLDa5ZoOmn iPeek地幫助信息非常人性化，包括向?qū)?、參考文檔、資源等信息，我 們可以很輕松地獲得各種幫助.Omn iPeek還提供了很多地操作實(shí)例供參考，這些 幫助既可以在Start Page中找到，也可以在任何時(shí)候通過菜單或F1鍵彈出幫助文檔.OmniPeek地幫助文檔與Sniffer 樣可以查找索引等.tfnNhnE6e5啟動(dòng)捕獲數(shù)據(jù)包

25、操作Wireshark與Sniffer地啟動(dòng)捕獲操作與設(shè)定捕獲參數(shù)是獨(dú)立地，使用時(shí)容易出現(xiàn)錯(cuò)誤.OmniPeek將啟動(dòng)捕獲操作和設(shè)定參數(shù)集中在一起，使我們每次捕獲之 前都可以清楚地了解我們是針對(duì)那些設(shè)定進(jìn)行地操作，這樣就避免了一些錯(cuò) 誤.HbmVN777sL暫停、繼續(xù)捕獲數(shù)據(jù)包Wireshark在捕獲操作開始后就不能暫停捕獲，只能停止當(dāng)前捕獲，然后開 始新地捕獲操作.Sniffer中設(shè)置了暫停捕獲按鈕，我們可以很方便地暫停和繼續(xù) 一個(gè)捕獲操作.OmniPeek沒有暫停按鈕，但我們可以使用“Shift按鍵和“StartCapture按鈕組合操作來實(shí)現(xiàn)暫停和繼續(xù)一個(gè)捕獲操作.V7l4jRB8Hs自

26、動(dòng)滾動(dòng)屏幕Wireshark可以實(shí)時(shí)看見捕獲地?cái)?shù)據(jù)包，當(dāng)我們需要看某一個(gè)包地具體內(nèi)容 時(shí)，只要將自動(dòng)滾屏按鈕取消，點(diǎn)擊該數(shù)據(jù)包就可以查看.需要滾屏?xí)r再將自動(dòng)滾屏按鈕按下即可.OmniPeek也可以實(shí)時(shí)看見捕獲地?cái)?shù)據(jù)包，當(dāng)我們需要看一個(gè) 包地具體內(nèi)容時(shí)，點(diǎn)擊該數(shù)據(jù)包就可以查看，Om niPeek會(huì)自動(dòng)停止?jié)L屏，需要滾屏?xí)r再點(diǎn)擊自動(dòng)滾屏按鈕.Sniffer不能實(shí)時(shí)查看捕獲地?cái)?shù)據(jù)包，也沒有自動(dòng)滾 屏功能.83ICPA59W9多捕獲窗口Wireshark地功能比較單一，沒有多窗口功能.當(dāng)一個(gè)捕獲操作開始后，網(wǎng)卡 就被獨(dú)站，不能進(jìn)行另一個(gè)捕獲操作（可以開啟多個(gè)Wireshark程序來實(shí)現(xiàn)捕獲多個(gè)網(wǎng)卡地操

27、作）.Sniffer雖然有多窗口功能，但同樣不支持多個(gè)捕獲操作同時(shí) 進(jìn)行.不過網(wǎng)絡(luò)狀態(tài)監(jiān)視功能可以同時(shí)實(shí)現(xiàn).OmniPeek在多窗口操作上具有很強(qiáng) 地優(yōu)勢，它可以實(shí)現(xiàn)多個(gè)網(wǎng)卡或一個(gè)網(wǎng)卡地多種捕獲條件地情況下同時(shí)進(jìn)行捕獲 數(shù)據(jù)包地操作，讓我們能掌握更多地信息.mZkkkzaaP數(shù)據(jù)包地排序Wireshark、Sniffer、OmniPeek三款軟件地協(xié)議解析界面設(shè)計(jì)幾乎一樣，都 分概要信息、詳細(xì)信息和十六進(jìn)制信息三個(gè)窗口欄， 所不一樣地就是字體不同和 顏色不同而已.AVktR43bpwWireshark地概要信息欄內(nèi)地記錄可以按任意列進(jìn)行升序或降序排列，操作也很簡單，只要點(diǎn)擊相應(yīng)地列頭就行了 .

28、Sniffer和OmniPeek地解碼窗口都沒有排 序功能，只能按照時(shí)間先后順序排列數(shù)據(jù)包.ORjBnOwcEd選擇顯示列在Wireshark中要調(diào)整概要欄中顯示地列地信息比較麻煩，必須從菜單中選 擇設(shè)定“Preferenee后找到“Columns項(xiàng)才能修改，并且要保存設(shè)置重新啟動(dòng) Wireshark后才能生效.Sniffer地概要欄中調(diào)整顯示列只要右鍵單擊任一列地頭 部，在彈出地菜單中選擇“ DisplaySetup ”后進(jìn)行修改，修改后地結(jié)果立即生效.Om niPeek中要調(diào)整概要欄地顯示列非常簡單，只要右鍵單擊列頭就可直接選 擇.2MiJTy0dTT 創(chuàng)建過濾Wireshark地Capt

29、ure Filter和Display Filter是兩個(gè)獨(dú)立地單元，需要分別設(shè)定，且語法有差別.Wireshark中創(chuàng)建Filter比較麻煩，要使用表達(dá)式進(jìn)行創(chuàng)建， 沒有圖形界面，也不能從已獲取地?cái)?shù)據(jù)包中創(chuàng)建相關(guān)聯(lián)地Cap ture Filter.S niffer地Capture Filter和Display Filter也是獨(dú)立地，但它們地創(chuàng)建方式是一樣地.在Sniffer中創(chuàng)建Filter比較直觀，打開創(chuàng)建對(duì)話后可以直接選擇匹配項(xiàng)目，能夠設(shè) 定關(guān)于地址匹配、數(shù)據(jù)字節(jié)匹配和協(xié)議匹配地組合規(guī)則.Sniffer沒有提供已設(shè)置好地參考Filter，需要自己根據(jù)需要去設(shè)定.OmniPeek中創(chuàng)建地F

30、ilter既可以用作 Display Filter又可以用作Capture Filter.OmniPeek創(chuàng)建Filter最為方便，它不但可 以象Sniffer 樣用直觀地選擇來設(shè)定與地址匹配、數(shù)據(jù)字節(jié)匹配和協(xié)議匹配地 組合規(guī)則，還可以設(shè)定按位匹配地規(guī)則.Om niPeek可以在解碼窗口中直接選取相 關(guān)信息進(jìn)行Filter設(shè)置，它還提供了許多已設(shè)置好地Filter供我們使用，大大地方便了我們使用.gliSpiue7A應(yīng)用過濾器Wireshark中要使用Capture Filter就必須在開始捕獲數(shù)據(jù)包之前在“Options ”中進(jìn)行選擇，一旦捕獲開始后就不能更改.Wireshark中不能保存D

31、isplay Filter, 每次使用時(shí)必須重新編寫表達(dá)式，它地Display Filter表達(dá)式可以從捕獲地?cái)?shù)據(jù)包 中選擇相關(guān)信息來自動(dòng)生成，比起Capture Filter地設(shè)定要容易得多，同時(shí)Display Filter可以隨時(shí)被應(yīng)用，無論捕獲數(shù)據(jù)包操作是否停止.uEh0U1YfmhSniffer中定義地Capture Filter地選用必須在開始捕獲數(shù)據(jù)包之前選擇， Display Filter則要在停止捕獲后使用.IAg9qLsgBxOmniPeek中定義地Filter用于Display時(shí)要在停止捕獲后選用.與Sniffer不 同地是，OmniPeek在捕獲數(shù)據(jù)包時(shí)可以更換 Capt

32、ure Filter，而Sniffer則不可 以.WwghWvVhPE協(xié)議地解析Wireshark可以解析大部分?jǐn)?shù)據(jù)包，Sniffer支持地協(xié)議包是最多地，而Omn iPeek也支持很多地協(xié)議，同時(shí)還能解無線協(xié)議地包.asfpsfpi4k三款軟件對(duì)包地解釋各有特點(diǎn)：Wireshark地描述比較簡單，Sniffer和OmniPeek地描述比較詳細(xì).OmniPeek對(duì)不同地協(xié)議還可以彈出窗口進(jìn)行進(jìn)一步 地描述.ooeyYZTjj1另外Sniffer和OmniPeek可以顯示每一個(gè)字節(jié)在包中地偏移位置，而 Wireshark則沒有此項(xiàng)功能.BkeGuInkxI包地標(biāo)記Wireshark可以對(duì)選擇地包

33、進(jìn)行標(biāo)記以提醒我們地注意，它可同時(shí)對(duì)多個(gè)數(shù) 據(jù)包進(jìn)行標(biāo)記.Wireshark也可以將數(shù)據(jù)包設(shè)定為時(shí)間參考點(diǎn)，設(shè)定參考點(diǎn)后，此 參考點(diǎn)以后地?cái)?shù)據(jù)包地發(fā)生時(shí)間將會(huì)改變，直到下一個(gè)時(shí)間參考點(diǎn).Sniffer對(duì)選擇地包進(jìn)行標(biāo)記地同時(shí)也將此包設(shè)定成了時(shí)間參考點(diǎn)，但Sniffer只能設(shè)定一個(gè)參考點(diǎn)，參考點(diǎn)前后數(shù)據(jù)包地相對(duì)時(shí)間都會(huì)發(fā)生改變.OmniPeek不能標(biāo)記數(shù)據(jù)包， 可以設(shè)定一個(gè)時(shí)間參考點(diǎn)，參考點(diǎn)前后數(shù)據(jù)包地相對(duì)時(shí)間都會(huì)發(fā)生改 變.PgdOOsRlMo包地選擇Wireshark只能選中一個(gè)數(shù)據(jù)包.Sniffer可以選中任意個(gè)數(shù)據(jù)包，可以一個(gè)一 個(gè)選擇也可以選擇一定范圍地?cái)?shù)據(jù)包，可以將選擇地?cái)?shù)據(jù)包單獨(dú)保

34、存.Omn iPeek不但能任意選擇數(shù)據(jù)包，而且能夠選擇與某個(gè)數(shù)據(jù)包相關(guān)聯(lián)地?cái)?shù)據(jù)包， 能將選擇地?cái)?shù)據(jù)包單獨(dú)保存.3cdXwckm15查找特定數(shù)據(jù)包三款軟件都有很強(qiáng)地查找數(shù)據(jù)包地功能，都能夠在數(shù)據(jù)包地概述、詳細(xì)描 述和十六進(jìn)制三欄中查找字符或十六進(jìn)制數(shù).Wireshark還能按Filter地規(guī)則進(jìn)行 查找.Sniffer則還可以查找專家模式中地異常信息包.OmniPeek除了能查找字符 和十六進(jìn)制數(shù)外還可以查找數(shù)據(jù)包內(nèi)任意一個(gè)偏移位置地二進(jìn)制數(shù).h8c52WOngM保存、打開文件Wireshark、Sniffer、OmniPeek三款軟件都能對(duì)捕獲地?cái)?shù)據(jù)包進(jìn)行存儲(chǔ)，都 有共同支持地文件格式（如.

35、cap）.Sniffer除了能保存捕獲地?cái)?shù)據(jù)包以外，它還能 將網(wǎng)絡(luò)監(jiān)視地History圖形數(shù)據(jù)保存下來.OmniPeek除了能保存捕獲地?cái)?shù)據(jù)包以 外，還可以保存捕獲設(shè)置.v4bdyGiousWireshark、Sniffer、OmniPeek三款軟件都能打開已保存地?cái)?shù)據(jù)包文件進(jìn)行 分析.發(fā)送數(shù)據(jù)包三款軟件中Wireshark沒有發(fā)送數(shù)據(jù)包地功能，其它兩款軟件具有發(fā)包地功 能.Sniffer可以從捕獲地?cái)?shù)據(jù)包中選擇包進(jìn)行發(fā)送，也可以對(duì)包地十六進(jìn)制內(nèi)容 修改后發(fā)送.在Sniffer環(huán)境中修改包地內(nèi)容必須在十六進(jìn)制代碼窗口進(jìn)行，非常 不方便，但是Sniffer可以按一定地帶寬比例產(chǎn)生較大地流量.Om

36、niPeek在編輯待 發(fā)送地包時(shí)有一個(gè)完整協(xié)議層地選擇窗口，因此可以清楚地知道如何修改包地內(nèi)容.Om niPeek地發(fā)送操作界面也很友好，容易使用.J0bm4qMpj9設(shè)定 triggerSniffer具有出色地專家分析功能，它可以設(shè)定trigger來觸發(fā)捕獲數(shù)據(jù)包.trigger地設(shè)定既可以以時(shí)間為條件，也可以以Sniffer監(jiān)視地事件為依據(jù)，還可以以設(shè)定地Filter為條件來觸發(fā)捕獲操作.Sniffer地trigger設(shè)置界面很形象，比 較容易設(shè)置.XVauA9grYPOmniPeek也能設(shè)定trigger，它地trigger功能觸發(fā)條件沒有 Sniffer豐富， 操作也不復(fù)雜.bR9C6

37、TJscw顯示會(huì)話主機(jī)連接圖Sn ifferSniffer地Matrix功能能以圖形地形式顯示建立了連接地主機(jī)關(guān)系， 地此功能沒有可以 設(shè)定顯示主機(jī)地?cái)?shù)量，導(dǎo)致主 機(jī)數(shù)較多時(shí)無法分 辨出 來.OmniPeek地Peer Map功能與Matrix相似，但 OmniPeek有很多地設(shè)定選項(xiàng)， 可以以不同地形式顯示會(huì)話主機(jī)，界面比較清晰 .pN9LBDdtrdSniffer和OmniPeek地會(huì)話主機(jī)圖中都可以選擇單個(gè)主機(jī)進(jìn)行分析，也可以 在此選擇設(shè)定Filter地條件.DJ8T7nHuGT 顯示History圖形信息Sniffer和OmniPeek都有以圖形方式顯示 History數(shù)據(jù)地功能.Sn

38、iffer能顯示 網(wǎng)絡(luò)利用率、包地速率、錯(cuò)誤率、包地大小分布率等實(shí)時(shí)圖形信息.Omn iPeek地History功能沒有Sniffer豐富，不能顯示誤碼等圖形信息.這兩款軟件都可以將 History數(shù)據(jù)導(dǎo)出到文件中保存下來.QF81D7bvUA生成報(bào)告Sniffer和OmniPeek都具有網(wǎng)絡(luò)專家功能，它們地分析結(jié)果對(duì)網(wǎng)絡(luò)管理都是 有幫助地，因此保存分析結(jié)果就很重要.Sniffer地分析功能較強(qiáng)，它地 Report生 成模塊是需要單獨(dú)購買地，由此推測其功能應(yīng)該比較強(qiáng)大.Omn iPeek可以將捕獲結(jié)果生成html或txt、csv等格式地文件保存下來，這些文件內(nèi)容都經(jīng)過了分類、 統(tǒng)計(jì)和總結(jié)，為我

39、們分析網(wǎng)絡(luò)提供了依據(jù).4B7a9QFw9h四、總結(jié)Wireshark是一款小巧、開源且能在幾乎所有流行操作系統(tǒng)下使用地抓包工 具軟件，很適合一般人員學(xué)習(xí)網(wǎng)絡(luò)協(xié)議使用，也是協(xié)議開發(fā)人員驗(yàn)證協(xié)議地好工具.由于Wireshark存在緩存溢出地BUG，建議不要將它用于分析流量很大地百 兆網(wǎng)絡(luò)，也不要用于千兆網(wǎng)絡(luò)分析.ix6iFA8xoXSniffer Portable具有超強(qiáng)地專家分析能力，并且價(jià)格昂貴，使用它來抓包分 析協(xié)議實(shí)在是浪費(fèi).對(duì)于大型地安全性穩(wěn)定性要求很高地網(wǎng)絡(luò)，使用 Sniffer地專 家分析和預(yù)告功能是個(gè)不錯(cuò)地選擇.另外Sniffer還有一些Report選件和分布式硬 件可供選擇，配合使用可以組成一個(gè)完善地安全監(jiān)視系統(tǒng)， 這樣地花費(fèi)還是值得 地.wt6qbkCyDEOmniPeek代表一股新生力量，它對(duì)無線網(wǎng)絡(luò)、語音等技術(shù)都有很好地支持.OmniPeek可以使用很多地 Plugin，使得它能很快適應(yīng)新出現(xiàn)地業(yè)務(wù)和應(yīng)用.所以O(shè)mn