5 个适用于小型到大型网络的完整数据包捕获和分析工具

作者
Tweet
Share
Share
Pin
0 Shares

网络数据包的捕获与分析对于监测网络互动、识别低效传输以及防范潜在的网络威胁至关重要。

数据包捕获指的是在数据包通过网络连接时进行拦截和收集。通过记录和分析数据包,我们可以定位并解决网络问题,如高延迟和连接故障。数据包分析所提供的信息能帮助网络管理员更快速地诊断并修复网络故障。

数据包分析在以下几个方面发挥着重要作用:

  • 检测安全漏洞
  • 解决DNS问题
  • 识别并修复网络连接问题
  • 检测网络故障
  • 检测并修复数据包泄露
  • 恶意软件的检测和预防

我们可以选择捕获完整的数据包或其特定片段。一个完整的数据包由两部分组成:载荷(payload)和报头(header)。载荷部分包含数据包的实际内容,而报头部分则包含数据包的源地址和目标地址等信息。

接下来,我们将介绍一些可以执行完整数据包捕获和分析的应用程序。

让我们开始吧。

可乐软 Capsa

Capsa 是一款针对有线和无线网络的实时便携式网络分析、监控和诊断工具。它可以按计划执行数据包检查,例如定期或每月。这种定期扫描确保您不会错过任何可能出现的性能问题。如果出现遗漏,该工具会通过电子邮件和音频警报及时通知您。

Capsa帮助用户及时发现可能导致服务中断的漏洞和威胁。此工具能够有效追踪所有关键的VoIP(互联网协议语音)指标,如呼叫编解码器类型和事件分布。对于那些希望进行数据包检查并学习如何检测网络问题和提高网络安全性的个人来说,这是一个非常实用的工具。

功能特点:

  • 内置免费实用程序,用于创建和重放数据包,以及扫描和ping IP地址。
  • 自动诊断网络问题并提出解决方案建议。
  • 支持VoIP和TCP流量分析,有助于诊断网络问题,如响应速度慢和CRM(客户关系管理)事务。
  • 能够检测DDoS攻击、ARP攻击和TCP端口扫描,并帮助用户发现网络中的技术故障。
  • 该工具支持超过1800种协议,方便检查网络中的协议并了解网络活动。
  • 收集所有数据包,并以十六进制和ASCII格式显示完整的数据包排序信息(深度包解码)。
  • 网络流量和吞吐量信息可以通过图表形式展现。

Colasoft还提供其他工具,如网络性能分析系统 (nChronos) 和统一性能管理解决方案 (Colasoft UPM)。它提供30天的免费试用期,以便在购买前评估其功能。

TCPDump

TCPDump 是一款开源且强大的命令行数据包分析工具,可以捕获TCP、UDP和ICMP(Internet控制消息协议)等协议的数据包。该工具预装在所有类Unix操作系统上。TCPDump基于BSD许可发布。您可以利用tcpdump轻松检查TCP/IP数据包的报头。它会输出每次数据传输的信息,并且脚本会持续运行,直到您使用Ctrl+C选项终止它。

Tcpdump的设置非常简单,如果了解该工具的用法、标志和参数,您就可以用它来解决连接问题并保护网络。记录的数据包会保存到一个文件中,以便使用tcpdump进行进一步分析。它以PCAP扩展格式保存文件,这些文件可以使用tcpdump或Wireshark轻松检查,它们都可以读取PCAP(数据包捕获的缩写)格式文件。

功能特点:

  • 可以按照源、目标和协议过滤捕获的数据包。
  • 免费且开源。

您可以参考这篇关于如何使用tcpdump捕获和分析网络流量的文章。

帕斯勒 PRTG

Paessler PRTG Network Monitor 是一个广受欢迎的网络监控和流量分析工具。该工具可以提供有关您的网络基础设施及其性能的关键信息。

它兼容Windows系统。它包含多种监控选项,包括带宽监控和流量分析。Paessler PRTG提供免费版本。为了报告网络性能指标,它结合了数据包嗅探器、WMI和SNMP。

功能特点:

  • 灵活的警报——PRTG拥有十多种告警技术,包括短信、推送通知、电子邮件、触发HTTP请求等。
  • 多用户界面——基于AJAX构建,具有强大的安全要求,归因于单页应用程序 (SPA) 技术的高性能。
  • 集群故障转移解决方案——构成一个稍微增强的监控方案。
  • 地图和仪表板——使用具有实时信息的实时地图来可视化网络。
  • 分布式监控——使用便携式拦截器,您可以监控不同位置的多个网络以及组织内的多个网络。
  • 以数字、统计数据和图表的形式提供深入的报告。

该工具支持多种告警方式,包括短信、电子邮件以及与Slack等第三方平台的连接。PRTG提供30天的无限制版本。免费试用期结束后,它将恢复为免费版。

Wireshark

Wireshark 是一款免费的开源数据包分析器,可让您实时检查网络数据传输。该工具使网络管理员能够在微观层面探测网络,以查明流量问题和错误的根源。这是一个优秀的工具,但是需要对网络概念有深入的理解。

功能特点:

  • 它可在几乎任何操作系统上运行,包括Windows、Linux发行版、macOS等。
  • 可以根据实时统计数据生成报告。
  • 可以使用各种选项(如计时器和过滤器)对输出进行过滤。
  • 使用IO图形和图表可视化网络数据包。
  • 它还可以记录USB流量。
  • 它提供了广泛的用途,包括对未授权流量进行指纹识别、数据包过滤设置等。
  • 可以应用颜色编码规则来识别流量类型。
  • 支持详细的VoIP(互联网协议语音)分析。

数据包丢失、网络延迟问题、应用依赖性以及低效的窗口大小是Wireshark可以帮助解决的常见故障排除挑战。该工具允许您监控网络流量并提供搜索和查明问题根源的机制。

未使用单播(无连接)发送到网络MAC地址接口的流量也可以使用Wireshark工具进行监控。

您可以参阅这篇关于使用Wireshark解决网络延迟问题的文章。

Arkime

Arkime 可以与现有安全系统协同工作,以标准的PCAP格式收集和索引网络流量和数据传输。

所有记录的数据包都以标准的PCAP格式存储和导出,这允许您在分析过程中使用您喜欢的PCAP摄取工具,例如Wireshark或tcpdump。

PCAP文件的保留时间取决于可用的传感器磁盘空间,而API的保留时间则取决于Elasticsearch集群的大小。这两个参数都可以随时更改。

Arkime旨在跨多个系统和规模工作,以适应每秒数十千兆位的流量。所有保存在Arkime传感器上的PCAP格式文件都可以挂载,并且只能通过Arkime Web界面或API访问。PCAP文件可以使用Arkime进行静态加密。

功能特点:

  • 提供用户友好的Web界面,用于检查、查找和提取PCAP文件。
  • 免费且开源。
  • 允许其他PCAP摄取工具检查保存的PCAP文件。

可以通过API直接检索PCAP数据和JSON格式的交易数据。您可以查看Arkime完整的API文档 这里

结论

数据包捕获数据的分析通常需要高水平的技术专业知识,而这些工具可以帮助您完成这项任务。

希望这篇文章对您学习适用于小型到大型网络的完整数据包捕获和分析工具有所帮助。

您可能对了解最佳Wi-Fi分析软件工具也感兴趣。