抓包工具对比总结

什么是抓包？

抓包就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作，也用来检查网络安全。抓包也经常被用来进行数据截取等。黑客常常会用抓包软件获取你非加密的上网数据，然后通过分析，结合社会工程学进行攻击。所以，学会抓包，对于学好网络安全技术十分重要。

抓包工具的对比

一、httpwatch

1、httpwatch与IE和firefox浏览器集成，但不支持chrome；httpwatch界面清晰直观，发送请求后可以快速简单的查看Cookies, Headers, Query Strings and POST data，能够通过页面分组处理多页面场景。
2、实时分级时间展示图能够展示一个http/https请求的处理过程；通过不同的颜色展示网络请求计时，如DNS查询，tcp连接；以瀑布形式展示浏览器事件，例如从浏览器渲染和页面加载计时就开始了，可以自动检查性能问题。
优点：

• 安装简单，不需要设置代理和证书；提供接口API可以被大部分编程语言自动化调用、录制、保存结果。
  只需要选择相应的网站，软件就可以对网站与IE之间的需求回复的通讯情况进行分析并在同一界面显示其相应日志记录。
• 每一个HTTP记录都可以详细的分析其 Cookies、消息头、字符查询等信息。支持HTTPS及分析报告输出为XML、CSV等格式。
  缺点：
• 只能看不能修改

二、Fiddler

1、Fiddler是一个独立的应用，可以调试PC、Mac或Linux系统和移动设备的之间的通信，支持大部分框架如java、.net、java、Ruby，需要设置代理。
2、能够暂停Http通讯，并且允许修改请求和响应方便进行安全测试，也可以设置检查点做功能测试。
3、通过暴露HTTP头，用户可以看见哪些页面被允许在客户端或者是代理端进行缓存。如果要是一个响应没有包含Cache-Control头，那么他就不会被缓存在客户端。
4、可以通过Composer进行接口测试。
优点:

• 功能强大并齐全
• Fiddler 是开源免费的，所有的电脑只要安装就可以直接使用所有的功能

缺点：

• 只能在 windows 下安装使用

三、科来网络分析系统

1、科来网络分析系统是一款专业的通过抓取网络数据包进行网络检测，网络协议分析工具，可实时监测网络传输数据，全面透视整个网络的动态信息。除了能实时检测每台电脑的上网情况，邮件收发情况，网络登录情况，网络流量外，还具有强大的数据包解码分析功能，可诊断网络故障，定位网络瓶颈，检测网络安全隐患，支持多种协议。
2、一般用于抓取其他协议包
优点：

• 可以帮助企业把网络故障和安全风险会降到最低，网络性能会逐步得到提升。
• 科来网络分析系统是一个让网络管理者，能够在各种网络问题中，对症下药的网络管理方案，它对网络中所有传输的数据进行检测、分析、诊断，帮助用户排除网络事故，规避安全风险，提高网络性能，增大网络可用性价值。

四、firebug

1、Firebug是firefox下的一个扩展，它除了能进行网络分析还能够调试所有网站语言，如js、Html、Css等，支持各种浏览器如IE、Firefox、Opera,、Safari。
2、Firebug是开源工具，能够将页面中的CSS、javascript以及网页中引用的图片载入所消耗的时间以矩状图呈现出来，方便我们对网页进行调优。
3、Firebug也是一个除错工具。用户可以利用它除错、编辑、甚至删改任何网站的 CSS、HTML、DOM以及JavaScript代码，可以通过小箭头定位页面元素。
优点：对于网页开发人员来说，Firebug是Firefox浏览器中最好的插件之一。
缺点：开启速度缓慢

五、wireshark

1、是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。
2、Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换，是目前全世界最广泛的网络封包分析软件。
3、是通过网络抓取数据包用来分析问题的软件，也可以用wireshark去学习一些网络协议，这样对协议的理解上会更直观
优点：

• 可以选择特定的网卡进行流量的捕获，那么就只会抓取关心的网卡经过的数据，针对性很强；
• 可以抓取所有协议的报文，并且抓取的报文可以完整的以 OSI 七层网络模型的格式显示，可以清晰的看到客户端和服务器之间每一个交互报文，以及每一个数据包的网络各层级的详细内容显示。所以，这个工具抓包非常适合学习和分析网络协议。
• 提供了非常强大的过滤规则。Wireshark 可以提供捕获前过滤，也可以捕获后过滤，并且过滤规则非常详细，可以实现精度和细粒度非常高的包过滤；
• 可以结合 TCPdump 使用，分析线上服务器（Linux 系统）下抓取的数据报文，定位线上问题。
• 支持很多操作系统（比如windows XP/7/8/10、MAC、Linux）
• 是免费的，然后也有中文版，方便英文不好的人操作

缺点：

• 如果要灵活的使用它需要具备一定的网络基础，对于初学者有一定的难度；
• 无法分析 https 数据包，由于 wireshark 是在链路层获取的数据包信息，所以获取到的 https 包是加密后的数据，因此无法分析包内容。当然，我们可以对 https 数据包进行解密， 但是操作具有一定的复杂度，可能要消耗很多时间。

与fiddler区别
Fiddler是在windows上运行的程序，专门用来捕获HTTP，HTTPS的。wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容。
总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark。

六、Charles

1、工具别名“花瓶”，它是通过代理来实现的抓包，也就是我们在访问网页时配置代理指向 Charles 监听的端口，之后所有的请求 Charles 会帮我们转发并记录。
2、Charles 的使用非常简单，配置好代理后，Charles 就开始抓包了。我们可以直接通过它的 GUI 查看包的内容，其实功能和使用跟 Fiddler 非常的雷同，同样可以提供电脑及手机端的抓包分析、设置断点、弱网环境模拟等，那么它跟 fiddler 的区别在哪里呢？
优点：

• Charles 基于 Java 开发的，跨平台性好。所以不仅支持 Windows 系统，还支持 MacOS，以及 Linux 操作系统；所以基本非 windows 电脑都会选择 Charles 工具。
• 要抓取 https 协议的配置也很简单，只要安装下 charles 的证书就可以了

缺点：

• Charles 工具是不免费的。它需要购买 license，如果不购买使用的话就会每 30 分钟断一次，使用体验非常不好！

七、BurpSuite

1、Burpsuite 工具也是基于 Java 语言开发的，所以它也可以跨各平台使用，包括 Windows，MacOS 及 Linux 等系统平台。
2、Burpsuite 可以提供抓包功能，它的工作方式同样也是在浏览器和网站之间做了代理从而实现报文截取的；也能够修改数据内容并转发的功能；甚至还可以选择使用爬虫爬下网站相关的数据…
3、但是，它绝对不仅仅是一款抓包工具，它集成了很多实用的小工具可以完成更加强大的功能，比如 http 请求的转发、修改、扫描等。同时这些小工具之间还可以互相协作，在 BurpSuite 这个框架下进行订制的攻击和扫描方案。
4、所以这个工具很多功能测试的人员会使用它进行报文抓取和篡改数据，很多安全测试人员会借用它进行半自动的网络安全审计，开发人员也可以使用它的扫描工具进行网站压力测试与攻击测试，功能作用范围更加广泛。
优点：集成了很多实用的小工具可以完成更加强大的功能
缺点：就是不免费！每个用户一年的费用为 299$，使用成本相对来说有点高。