1.sniffer pro
  Sniffer软件是NAI公司推出的功能强大的协议分析软件。本文针对用Sniffer Pro网络分析器进行故障解决。利用Sniffer Pro 网络分析器的强大功能和特征,解决网络问题,将介绍一套合理的故障解决方法。
  与Netxray比较,Sniffer支持的协议更丰富,例如PPPOE协议等在Netxray并不支持,在Sniffer上能够进行快速解码分析。Netxray不能在Windows 2000和Windows XP上正常运行,Sniffer Pro 4.6可以运行在各种Windows平台上。
  Sniffer软件比较大,运行时需要的计算机内存比较大,否则运行比较慢,这也是它与Netxray相比的一个缺点。
  Sniffer Pro - 功能
  下面列出了Sniffer软件的一些功能介绍,其功能的详细介绍可以参考Sniffer的在线帮助。
  捕获网络流量进行详细分析
  利用专家分析系统诊断问题
  实时监控网络活动
  收集网络利用率和错误等
  在进行流量捕获之前首先选择网络适配器,确定从计算机的哪个网络适配器上接收数据。位置:File->select settings
  选择网络适配器后才能正常工作。该软件安装在Windows 98操作系统上,Sniffer可以选择拨号适配器对窄带拨号进行操作。如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE网卡。对于安装在Windows 2000/XP上则无上述功能,这和操作系统有关。
 当然也有坏的消息:新版本不再是使用序列号注册的方式,而是采用跟收集硬件信息和Grand No的方式来授权使用,必须在安装Sniffer的机器上生成一个请求授权文件,然后把该文件电邮给NG公司,由它们授权返回一个文件再导入才能正常使用,要不,只能试用15天。
2.科来网络分析系统
网络管理系统中的专业网络分析产品,是一个集网络检测、错误诊断、性能优化、安全分析为一体的网络综合分析系统。产品侧重于网络的故障诊断和网络安全的加强,并整合了行业领先的专家分析技术,对当前复杂的网络提供精确分析,快速诊断用户的网络故障问题,并针对问题提出建议,极大地简化发现及解决网络问题的过程。它好比是一个网络体检仪,安装在局域网中,可以让你迅速检查出网络内部运行的各种问题和故障。
主要功能分为:
一. 检测功能
1. 实时捕获本机和局域网内的数据包,并实时解码分析,支持数据包过滤。
2. 支持两级过滤设置,支持三种过滤状态,包含四种过滤类型;支持过滤器复制,过滤器采样生成,过滤器即时生效。
3. 检测内网以及对外的邮件,支持POP3和SMTP协议,支持专用的电子邮件过滤器。
4. 检测内网以及对外的Web访问,记录所有的Web访问日志,支持专用的Web访问过滤器。
5. 检测内网以及对外的网络事务,记录所有网络事务日志,支持SMTP、POP3、HTTP、TELNET、FTP协议,支持专用的网络事务过滤器。
6. 实时检测所有主机的流量。
二. 分析功能
1. 支持数据包解码与协议分析,集中于应用层协议 (如 POP3、SMTP、HTTP、TELNET、FTP 等) ,以 HEX 视图和 ASCII 视图同时对照显示分析结果,结果数据实时更新。
2. 重组TCP数据流,显示TCP数据连接情况
3. 对电子邮件全面分析,支持POP3和 SMTP协议,对电子邮件进行数据还原,显示邮件内容及其附件信息。
4. 分析并显示局域网内Web访问详细信息,可打开查看所访问的URL。
5. 分析并显示局域网的网络事务详细信息,包括登录状态,服务器响应,登录帐号等,支持SMTP、POP3、HTTP、TELNET、FTP协议。
三. 统计功能
1. 实时统计局域网内每台主机之间的流量及网络速度。
2. 实时统计外网主机与内网主机之间的流量及网络速度。
3. 实时统计本地,内部网,因特网使用的流量及网络速度。
四. 审计功能
将捕捉到的电子邮件副本存档;记录Web访问的情况,生成日志文件;记录网络事务处理的情况,生成日志文件。
注:目前最新科来6.9技术交流版本,提供免费注册,仅限50个节点。本人目前就使用该软件用来学习,界面比较友好,全中文界面,适合初学者使用,推荐。
官网地址: http://www.colasoft.com.cn
科来网络分析系统基本部署和设置方法(flash): 如何安装部署科来网络分析系统.rar
  Ethereal是免费的网络协议检测程序,支持Unix,Windows。让您经由程序抓取运行的网站的相关资讯,包括每一封包流向及其内容、资讯可依操作系统语系看出,方便查看、监控TCP session动态等等.
Ethereal是一个开放源码的网络分析系统,也是是目前最好的开放源码的网络协议分析器,支持Linux和windows平台。Ethereal起初由Gerald Combs开发,随后由一个松散的etheral团队组织进行维护开发。它目前所提供的强大的协议分析功能完全可以媲美商业的网络分析系统,自从1998年发布最早的0.2版本至今,大量的志愿者为ethereal添加新的协议解析器,如今ethereal已经支持五百多种协议解析。很难想象如此多的人开发的代码可以很好的融入系统中;并且在系统中加入一个新的协议解析器很简单,一个不了解系统的结构的新手也可以根据留出的接口进行自己的协议开发。这都归功于ehereal良好的设计结构。事实上由于网络上各种协议种类繁多,各种新的协议层出不穷。一个好的协议分析器必需有很好的可扩展性和结构。这样才能适应网络发展的需要不断加入新的协议解析器。 Ethereal的捕包平台
网络分析系统首先依赖于一套捕捉网络数据包的函数库。这套函数库工作在在网络分析系统模块的最底层。作用是从网卡取得数据包或者根据过滤规则取出数据包的子集,再转交给上层分析模块。从协议上说,这套函数库将一个数据包从链路层接收,至少将其还原至传输层以上,以供上层分析。
在Linux系统中, 1992年Lawrence Berkeley Lab的Steven McCanne和Van Jacobson提出了包过滤器的一种的实现,BPF(BSD Packet Filter)。Libpcap是一个基于BPF的开放源码的捕包函数库。现有的大部分Linux捕包系统都是基于这套函数库或者是在它基础上做一些针对性的改进
在window系统中,意大利人Fulvio Risso和Loris Degioanni提出并实现了Winpcap函数库,作者称之为NPF。由于NPF的主要思想就是来源于BPF,它的设计目标就是为windows
系统提供一个功能强大的开发式数据包捕获平台,希望在Linux系统中的网络分析工具经过简单编译以后也可以移植到windows中,因此这两种捕包架构是非常现实的。就实现来说提供的函数调用接口也是一致的。
ethereal网络分析系统也需要一个底层的抓包平台,在Linux中是采用Libpcap函数库抓包,在windows系统中采用winpcap函数库抓包
层次化的数据包协议分析方法
取得捕包函数捕回的数据包后就需要进行协议分析和协议还原工作了。由于OSI的7层协议模型,协议数据是从上到下封装后发送的。对于协议分析需要从下至上进行。首先对网络层的协议识别后进行组包还原然后脱去网络层协议头。将里面的数据交给传输层分析,这样一直进行下去直到应用层
    Ip
    |   \
Tcp   udp
| \
   HTTP TFTP
由于网络协议种类很多,就ethereal所识别的500多种协议来说,为了使协议和协议间层次关系明显。从而对数据流里的各个层次的协议能够逐层处理。Ethereal系统采用了协议树的方式。上图就是一个简单的协议树。如果协议A的所有数据都是封装在协议B里的,那么这个协议A就是协议B是另外一个协议的儿子节点。我们将最低层的无结构数据流作为根接点。那么具有相同父节点的协议成为兄弟节点。那么这些拥有同样父协议兄弟节点协议如何互相区分了?ethereal系统采用协议的特征字来识别。每个协议会注册自己的特征字。这些特征字给自己的子节点协议提供可以互相区分开来的标识。比如tcp协议的port字段注册后。 Tcp.port=21就可以认为是ftp协议,特征字可以是协议规范定义的任何一个字段。比如ip协议就可以定义proto字段为一个特征字。
在ethereal中注册一个协议解析器首先要指出它的父协议是什么。另外还要指出自己区别于父节点下的兄弟接点协议的特征。比如ftp协议。在ethereal中他的父接点是tcp协议,它的特征就是tcp协议的port字段为21。
这样当一个端口为21的tcp数据流来到时。首先由tcp协议注册的解析模块处理,处理完之后通过查找协议树找到自己协议下面的子协议,判断应该由那个子协议来执行,找到正确的子协议后,就转交给ftp注册的解析模块处理。这样由根节点开始一层层解析下去。
由于采用了协议树加特征字的设计,这个系统在协议解析上由了很强的扩展性,增加一个协议解析器只需要将解析函数挂到协议树的相应节点上即可。
 
官方网站: http://www.ethereal.com/
 
附:Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。
与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。
Wireshark的优势:
- 安装方便。
- 简单易用的界面。
- 提供丰富的功能。
Wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。
4.OmniPeek
    OmniPeek 提供统一分析除错网络之管理介面,OmniPeek 让网络之管理者能透过统一之介面同时分析多个网段之网络状况,更进而分析底层之网络状况,以快速辨识问题的功能。基于WildPackets屡获殊荣的EtherPeek NX技术,Omni3 包含了OmniPeek控制台、分布式Peek DNX引擎。这些组件无缝的结合工作可以透视复杂的分布式网络。 OmniPeek OmniPeek将WildPackets的EtherPeek NX产品的本地分析能力扩展到远程网段。OmniPeek拥有EtherPeek NX所有受欢迎的特点功能,包括: • 基于信息包流的专家分析系统和应用分析 •交互式节点图 • 完整的七层协议解码 • 应用响应时间(ART)分析 • 安全功能 • 监控与报表 • RMON分布式分析
OmniPeek同样有能力连接到远程运行多种应用的引擎。运行在Omni3 引擎上的首要应用是Peek DNX(Distributed Network eXpert分布式网络专家)。为了显示远程网段信息,OmniPeek从Peek DNX收集统计数据并进行相关分析。OmniPeek控制台的界面与操作方式都与EtherPeek NX相同:非常易于使用,诸如"选择相关数据包”等内嵌功能以及可客户化的界面。OmniPeek也用来配置远程引擎,包括过滤、报告、和专家系统等设置。只有在用户需要解码、分析或者本地保存数据包内容时,数据包文件才会被传送到OmniPeek。