Wireshark,SnifferandOmnipeek三款网络分析工具的比较

Wireshark,SnifferandOmnipeek三款网络分析工具的比较一、网络分析软件概述自从网络出现以来，网络故障就没有停止过。如何快速、准确地定位故障和保持网络的稳定运行一直是人们追求的目标。为了分析网络故障的原因，一类专业的网络分析软件便产生了。网络分析软件充当了网络程序错误的检修工具，开发人员使用它发现协议开发中的BUG，很多人使用它监听网络数据，同时也是检查安全类软件的辅助工具。网络分析软件从产生到现在已经经历了三个阶段：第一阶段是抓包和解码阶段。早期的网络规模比较小、结构比较简单，因此网络分析软件主要是把网络上的数据包抓下来，然后进行解码，以此来帮助协议设计人员分析软件通信的故障。第二阶段是专家系统阶段。网络分析软件通过抓下来的数据包，根据其特征和前后时间戳的关系，判断网络的数据流有没有问题，是哪一层的问题，有多严重。专家系统不仅仅局限于解码，更重要的是帮助维护人员分析网络故障，专家系统会给出建议和解决方案。第三阶段是把网络分析工具发展成网络管理工具。网络分析软件作为网络管理工具，部署在网络中心，能长期监控，能主动管理网络，能排除潜在问题。二、三款软件的特点1.Wireshark0.99.4Wireshark是一款高效免费的网络抓包分析工具。它可以捕获并描述网线当中的数据，如同使用万用表测量电压一样直观地显示出来。在网络分析软件领域，大多数软件要么晦涩难懂要么价格昂贵，Wireshark改变了这样的局面，它的最大特点就是免费、开源和多平台支持。Wireshark几乎可以运行于所有流行的操作平台，如MSWindows、MacOS、Linux、FreeBSD、HP-UX、NetBSD、Solaris/i386、Solaris/sparc等等。尽管Wireshark可以在很多操作平台使用，但它支持的传输媒介主要是Ethernet。只有Linux平台下Wireshark支持802.11及TokenRing、FDDI和ATM。Wireshark能够对大部分局域网协议进行解析，具有界面简单、操作方便、实时显示捕获数据的优点。但Wireshark并不具有分析功能，当一个网络发生异常的时候，Wireshark只会记录数据，它仅仅是一个测量工具，并不能操作网络，不发送数据包或者做其它的主动动作。Wireshark目前还存在着一个已知的严重BUG，当Wireshark运行时缓冲区出现内存溢出将会终止。此BUG是由最初设计的界面和平台所决定，短期内无法解决。2.NAISnifferPortable4.7.5NAI的网络分析工具Sniffer长期以来是网络分析类软件的王牌。Sniffer既有长期积累的经验又存在长期延续旧体系导致的问题。长期的发展使得Sniffer具有很强的专业分析能力，但是它一直延续DOS、WIN95时期的元素和较早期的技术，使得它只能在Windows平台下使用。Sniffer具有简单的往外发包的功能，同时有几个辅助测试小工具如：ping、finger、trace、dnslookup等。Sniffer具有三大主要功能：1.协议解析（Decode）2.网络活动监视（Monitor）3.专家分析系统（Expert）Sniffer和Wireshark一样可以用来解析网络协议，而且支持的协议从局域网扩展到了广域网，对无线网络也有了一定的支持。Sniffer的协议解析非常详尽，对协议的描述很有层次感。尽管Sniffer的协议解析能力很强，但是它不能实时显示捕获的数据包，这一点在协议开发人员用来查找问题时可能带来不便。Sniffer的协议解析功能可以用来学习各种协议，查找网络故障。但实际上很多问题并不象故障那么明显，比如网络慢或者丢包，单靠协议解析是很难发现的。这时候Sniffer的网络活动监视功能可以直接看到网络的当前运行状况，一旦网络出现问题就可以很快被发现。Sniffer用直观的图形实时显示网络的流量、会话、协议、包的大小、错误等信息。Sniffer的专家功能是它最看重的功能，也是它最为出色功能。Sniffer的专家系统在后台为我们工作着，一旦有触发条件产生便产生相应的动作，然后通过视听信号通知我们。通过专家系统，Sniffer能够帮助我们评估网络的性能，比如，网络的使用率，网络性能的趋势，网络中哪一些应用消耗最多带宽，网络上哪一些用户消耗最多带宽，不同协议的流量状况等等通过专家系统，Sniffer可以帮助我们评估业务运行状态，比如各个应用的响应时间，一个操作需要的时间，应用带宽的消耗，应用的行为特征，应用性能的瓶颈等等。通过专家系统，Sniffer可以快速地发现异常流量和网络攻击，这就为我们尽早采取措施提供了帮助。Sniffer能够帮助我们做流量的趋势分析，通过长期监控，可以发现网络流量的发展趋势，为网络何时改造升级提供建议和依据。3.WildPacketsOmniPeek4.0OmniPeek是网络分析软件的后起之秀，由于它设计时大量采用了WindowsXP及2000下的元素和比较流行的软件设计技术，并且更加注重网络软件的要求，面向国际化，支持多语言，所以OmniPeek在使用上更为简洁方便和人性化，它支持更多新的技术和应用。由于使用了新技术，OmniPeek有了很多的Plugin，能方便地扩展功能。与Sniffer一样，OmniPeek除了能发送一些简单的数据包外，同样具备了三大功能：1.协议解析（Decode）2.网络活动监视（Monitor）3.专家分析系统（Expert）。OmniPeek能很好地支持无线网络，提供丰富的无线网卡混杂抓包模式的驱动程序，是无线协议分析的利器。OmniPeek对千兆网络也有了很好的支持，无论是协议分析还是网络监视都有很好的表现。与Sniffer不同的是OmniPeek更重视视觉形象（Visualize），它的很多操作都用图形化方式来完成。OmniPeek侧重于整体现象的分析，以“流（TCP/UDP通信对）”作为对象来研究，使分析结果易于理解，大大提高了效率。OmniPeek的专家系统就是基于“流”来分析的，对会话的整体分析较好，但在具体细节处略有不足。OmniPeek集成了分布式专家（DNX）系统功能，它提供的Engine可以部署在网络的各个部分。分布式专家系统通过一个控制台来控制多个Engine获取整个网络的状况，控制台操作界面与普通的网络分析界面是一样的。通过OmniPeek的分布式专家系统，我们可以将监控拓展到控制台无法直接到达的地方，可以使我们更全面地了解网络的运行情况。三、三款软件的比较1.功能比较Wireshark是典型的网络抓包工具，主要具备第一代网络分析软件的特点。随着软件地不断更新，Wireshark也具有了一点简单的图形化的监视功能。Wirshark解析的协议主要是局域网协议，它支持的介质也主要是Ethernet，功能比较单一，效率比较高。Wireshark没有网络状态分析功能，对网络问题不能提供参考意见。NAI的Sniffer功能涵盖了协议解析、网络监视和智能管理几个部分。Sniffer的协议解析很详细，尤其对广域网协议的解析非常全面，但扩展性不是很强，新协议支持更新较慢。Sniffer的网络状态监视功能也很强大，可以监视流量、带宽、协议、应用响应时间、会话主机等信息,并且以图形的形式显示出来。Sniffer的专家功能非常细致，严格按照协议进行分层，每个细节都有考虑。另外它对网络异常状况进行了分级，使我们可以容易找到相应的问题。OmniPeek的功能和Sniffer大致相同，也涵盖了协议解析、网络监视和智能管理几个部分。OmniPeek在协议解析上没有Sniffer支持的协议多，但对无线和语音的解析功能要比Sniffer强。OmniPeek专家功能没有Sniffer细致，功能没有Sniffer强大。2.使用界面Wireshark启动后是一个灰色的界面，没有什么提示信息，当捕获操作开始后，界面被水平分割成白色的三栏，这就是Wireshark的主要窗口。Wireshark工具栏上安放了一些常用的按钮。Wireshark的统计信息和网络状态都是点击相应功能菜单后弹出的小窗口，它们独立于主要窗口，相互不受影响。由于Wireshark功能比较简单，所以在主要窗口中能完成大部分功能，使用起来也是比较方便的。Sniffer启动后保留上次关闭时的窗口状态，也没有什么提示信息。Sniffer的工具栏按钮比较少，它把按钮分布到了不同的界面，使用时可以通过工具栏按钮打开操作界面，在新的界面找到新的按钮，以此类推，总体感觉比较零散。Sniffer的每一个功能都有一个窗口，这些窗口限制在主窗口内，可以任意排列，通过菜单可以在不同子窗口间切换。Sniffer的子窗口中又有很多的tab可选页。众多的窗口众多的按钮和众多的可选页混杂在一起，使得Sniffer看起来没有很好的组织结构，使用不太方便。OmniPeek启动后首先映入眼帘的是它的StartPage，整个界面具有WindowsXP的风格，图标显然符合统一的色调和风格，与Sniffer相比更具吸引力。OmniPeek的启动窗口中没有保留上次关闭时的窗口，却提供了近期使用OmniPeek所作任务的快捷链接。OmniPeek的启动页就像是一个助手，上面有详细的文档链接和任务开始向导按钮，处处体现友善的界面。接下来开始捕获操作，弹出一个窗口，这就是主要工作区。OmniPeek的设计大量应用了FlatButton、TreeView、IEView等元素，这些元素在工作窗口全部体现出来了。窗口的左边是所有捕获操作的树形结构，右侧是类似IE窗口的结果栏，中间是某一操作的进一步分类。整个界面和操作显得很有组织性、高效性。3.操作细节▲获取帮助Wireshark只有一个简单的帮助窗口，在任何情况下通过菜单弹出的都是这一个窗口。它的帮助内容很少，链接到网站上的帮助信息也不多，这是wireshark经常被抱怨的一点。Sniffer有一套完整的帮助文档，在任何情况下可以通过菜单或F1键打开这个文档。这个帮助文档有自己的组织结构，可以索引和查找，使用效率比较高。文档涉及的内容涵盖了各个功能和操作，并且提供了相关联内容的链接。Sniffer帮助文档只是一个独立的参考文档，它的内容也不能根据当前操作自动显示给用户。OmniPeek的帮助信息非常人性化，包括向导、参考文档、资源等信息，我们可以很轻松地获得各种帮助。OmniPeek还提供了很多的操作实例供参考，这些帮助既可以在StartPage中找到，也可以在任何时候通过菜单或F1键弹出帮助文档。OmniPeek的帮助文档与Sniffer一样可以查找索引等。▲启动捕获数据包操作Wireshark与Sniffer的启动捕获操作与设定捕获参数是独立的，使用时容易出现错误。OmniPeek将启动捕获操作和设定参数集中在一起，使我们每次捕获之前都可以清楚地了解我们是针对那些设定进行的操作，这样就避免了一些错误。▲暂停、继续捕获数据包Wireshark在捕获操作开始后就不能暂停捕获，只能停止当前捕获，然后开始新地捕获操作。Sniffer中设置了暂停捕获按钮，我们可以很方便地暂停和继续一个捕获操作。OmniPeek没有暂停按钮，但我们可以使用“Shift”按键和“StartCapture”按钮组合操作来实现暂停和继续一个捕获操作。▲自动滚动屏幕Wireshark可以实时看见捕获的数据包，当我们需要看某一个包的具体内容时，只要将自动滚屏按钮取消，点击该数据包就可以查看。需要滚屏时再将自动滚屏按钮按下即可。OmniPeek也可以实时看见捕获的数据包，当我们需要看一个包的具体内容时，点击该数据包就可以查看，OmniPeek会自动停止滚屏，需要滚屏时再点击自动滚屏按钮。Sniffer不能实时查看捕获的数据包，也没有自动滚屏功能。▲多捕获窗口Wireshark的功能比较单一，没有多窗口功能。当一个捕获操作开始后，网卡就被独站，不能进行另一个捕获操作（可以开启多个Wireshark程序来实现捕获多个网卡的操作）。Snif