那些年你用过的工具--网络工具Wireshark经验谈

http://bbs.chinaunix.net/thread-4075391-1-1.html



自从网络出现以来,网络故障就没有停止过。如何快速、准确地定位网络故障和维持网络的稳定运行一直是人们追求的目标。为了分析网络故障的原因,专业的网络 分析软件便产生了。网络分析软件充当了网络程序错误的检修工具, 开发人员使用它发现协议开发中的 BUG,很多人使用它监听网络数据,同时也可以作为检查安全类软件的辅助工具。

网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。在这个软件大类中,大家都知道Wireshark(前称 Ethereal)是一个好用的开源抓包工具, 用来获取网络数据封包,包括http,TCP,UDP,等网络协议包。Wireshark的用途很广,网络管理员会使用wireshark来检查网络问 题;测试工程师可以使用wireshark抓包,来分析自己测试软件的网络行为。从事socket编程的系统/网络软件工程师会用wireshark来调 试他们的程序。

网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上,并将电线替换成网络线。在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件,比如sniffer Pro、Omnipeek等。Ethereal的出现改变了这一切。在GNU GPL协议的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网 络封包分析软件之一。

2006年6月,因为商标的问题,Ethereal更名为Wireshark。

【讨论话题】
1、在以前的网络抓包分析工作中,您是用什么工具,使用感觉如何?
2、Wireshark的哪些功能是你所看重的,和商业的网络封包分析软件相比,Wireshark优缺点如何?


++++++++++++++++++++++++++++++++++++++++++++++++++

我得先承认我是it行业的屌丝,一般很少购买软件来使用,要使用第一个想到的是开源的软件。于是很自然就知道了wireshark,习惯我叫它鲨鱼。
关于今天要讨论的两点,我根据平时工作的体会简单的谈谈感想,也顺道学习下其他同行的经验。
1、在以前的网络抓包分析工作中,您是用什么工具,使用感觉如何?
   我以前用过的工具有:
  1)sniffer pro记得好像是4.7版本的,感觉相当专业,基本上你能想到的协议都有支持;不过要钱的东西,安装了一个破解版,用起来感觉不踏实,安装过程也很繁琐,尤其是重装系统的时候;
2)tcpdump,这个在linux系统下用的最多,支持windows吗,这个没有研究过。都是利用命令行的方式生成wireshark能读的懂的 包,然后在wireshark中打开分析,曾经分析sip语音系统的时候利用tcpdump结合wireshark的时候用过,大体是 tcpdump+winscp+wireshark配合进行抓包分析,网上有这样的案例大家可参考;
3)科来协议分析系统,我使用的是50个点限制的交流版,所以功能方面很多有限制,这是咱们中国人自己的分析系统感觉还是很不错,界面友好,适合中国人的使用习惯,他们的商业版没有使用过,具体不是很了解,期待其他使用过的人分享;
4)wireshark就是今天要讲的重点了。感觉很好,我电脑中就安装了两个类似的软件,一个是wireshark(Version 1.4.3 (SVN Rev 35482 from /trunk-1.4)),另外一个是科来分析系统交流版。已经养成习惯了,不过由于我水平有限,有种好刀给到了我却不知道如何充分发挥它的最大用途的感 觉。就解决实际问题上我主要使用两个。1个是用来分析sip语音系统拨号问题,由于sip服务器是linux系统,所以先再linux系统中使用 tcpdump抓包然后通过winscp传到windows电脑中,再用wireshark分析。这里就体现优势了,wireshark比tcpdump 友好多了。。另外一个是当发现内网网络反应很慢的时候,利用wireshark抓包分析下,看是哪些流量占据了带宽,我用这个方法解决过两次问题,迅速定 位到了问题主机,在很强势的用户部门面前我拿到了证据让他们心服口服。
其他的一些也有接触过,但是接触时间短,仅仅限于测试,没有很深入的使用,就不发表感想了。

2、Wireshark的哪些功能是你所看重的,和商业的网络封包分析软件相比,Wireshark优缺点如何?
wireshark我所看重的功能:
1)能自定义显示字段;界面默认列出来的就那么几列(如源地址、目的地址),但是我需要的信息不止那些,可以将更多的信息列出来,
2)支持无线,这个随着公司网络的发展未来肯定需要;
与商业软件比较:
1)无成本:开源,用起来放心,;
2)全体使用者都是支持团队:并有专业的支持团队,软件系统不停的在更新升级,支持的协议不断的在增多,商业软件的支持团队可能就是某一个公司,他们有商业方面的逐利考虑,不一定会吧用户的真实需求放在第一位;
3)缺点:图形方面的展示没有sniffer友好,直观;希望加强。

前面已经有不少同行谈过了,暂时谈这些个人的体会吧,,

2013年4月16号补充:最近又接触了一款协议分析工具。iris工具,是网络流量分析监测工具 可以帮助系统管理员轻易地捕获和察看用户的使用情况,可以同时检测到进入和发出的信息流,会自动进行存储和统计偏于察看和管理。暂时先是也弄个它作为分析 几个协议看看,目前还没有深入了解,从界面上看,比wireshark要简单,功能也没有那么多。有该工具使用说明: http://wenku.baidu.com/view/f9c62bd449649b6648d74742.html

++++++++++++++++++++++++++++++++++++++++++++++++++

1、在以前的网络抓包分析工作中,您是用什么工具,使用感觉如何?
Windows : sinffer pro, 可来网络分析,在遇到核心交换机CPU,防火墙CPU 使用率过高的情况下很快能找到那种协议与IP 的资源占用,排除过arp, 肉鸡,等等 使用简单很快就能定位到网络问题的原因
linux : wireshark  tcpdump   如果第一次使用,会感觉比较乱。不过抓包 ,实时流量,破解  ,等功能在linux下相当不错。

2、Wireshark的哪些功能是你所看重的,和商业的网络封包分析软件相比,Wireshark优缺点如何?
实施流量抓包,提取破解, 图形显示功能比较差



++++++++++++++++++++++++++++++++++++++++++++++++++

1、在以前的网络抓包分析工作中,您是用什么工具,使用感觉如何?

tcpdump wireshark 还有以前的pro-sniffer, 或者自己写
不过现在一般还是用wireshark了,在PC下用wireshark,在Android下用tcpdump,嵌入式平台也是tcpdump,抓pcap包,然后copy出来用wireshark分析
在PC下也可以用tcpdump,抓包比较全,用wireshark来分析包很帅
尤其是分析一些标准协议,比如RTSP/HTTP或者其他,很方便,过程也会看的很清楚,用来学习,分析问题都可以
抓包的话tcpdump相比wireshark感觉界面友好度差一些,wireshark界面友好度很高,搜索能力也很强大,可以匹配所搜,同样,wireshark抓包也很强大
记得印象很深的一次,看视频网站,懒得装其他的浏览器了,直接用wireshark抓包,找到视频数据,把视频down下来的,呵呵
还有一次,redis本身提供的c库不大好用,存储不了二进制数据,比如图片,那是好久以前的事了,现在不知道行不行,当时就找哥们用php写了个往 redis里存图片的测试页面,拿回来后自己搞了个php环境,然后用wireshark抓php运行时的redis通讯包,把过程研究了一下,然后参考 了一下redis的interface部分,了解清楚了以后,自己重新封装了一套redis的c库,现在还在使用,这些都是wireshark的好用之处 啊,太方便了

2、Wireshark的哪些功能是你所看重的,和商业的网络封包分析软件相比,Wireshark优缺点如何?
wireshark我看重的功能太多了,主要就是汉化版的手册是最关键的,功能强大,非常好用,界面相对来说感觉wireshark更为友好,两款都曾经是被GodBach推荐并亲身指导过,很不错,这个让俺受益匪浅啊
但是更喜欢wireshark,习惯的问题


++++++++++++++++++++++++++++++++++++++++++++++++++


工作至今用过几款抓包软件,最早接触的是sniffer4.7,当时还好一顿搜索范伟导的sniffer课程资料,本身底子薄,资源甚少,外加软件界面参数太多, 放弃使用。
第二个接触的软件是iris,用起来感觉也一般般。
第三个就是wireshark的前身ethereal,后改名为wireshark,感觉还是比较简单的,指定一个接口start就可以抓 包,filter可以设置各种过滤规则,可以让你方便的找到你想要找的数据包。 使用抓包软件可以很好的理解网络的运行机制,如telnet的明文传输,展开抓包的应用层部分,就可以看到敲的字母;tcp的三次握手;dhcp协议的四 个步骤等等。
linux下的tcpdump只用过命令行的,参数太多,不如wireshark界面操作来的实惠。
有一点感觉挺不爽的就是wireshark64位版本与 32版本界面差不少,由32转过来的时候,适应了一阵子。
商业软件没用过正版的,暂无发言权。

++++++++++++++++++++++++++++++++++++++++++++++++++

1、在以前的网络抓包分析工作中,您是用什么工具,使用感觉如何?
答:从一开始接触网络使用的抓包工具就是wireshark,也不是说有什么特殊的喜好的原因。
原因很简单,就是因为刚开始参加工作的时候带我的师傅告诉我在分析网络问题的时候经常需要抓包来分析,
起初他给我推荐的是tcpdump,但是因为我那时候才刚刚接触linux时间不长,只会使用一些简单的命令,
对于像tcpdump这样带很多参数的命令想等不敢想,于是师傅就给我推荐了wireshark工具,因为它是windows
下的工具,使用起来相对而言简单一点。
    wireshark刚开始使用的时候可能不了解其中的很多小工具和技巧,这都不要紧,关键是你要在实际的环境中
来使用wireshark,而且环境越复杂越好,这样子越能抓到各种各样的数据包,对于你分析和使用各种小工具和技巧
很有帮助。我印象最深的是filter工具,它里面包含了很多命令,我很难记住那些命令,后来发现有个expression工具,
它可以帮助你选择那些难以记住的命令和规则,后来在使用的过程中由于经常选择一些规则,也就慢慢的记住了这些
常用的表达式,这也就是所谓的熟能生巧,其实我刚开始刻意的去记忆这些命令,虽然看似记住了,但是过一段时间
不用就忘记了。后来发现经常使用的那些命令,根本就不用记。
    现在wireshark已经伴我走过来这些多年,有过欢喜,有过悲伤,但是wireshark始终是我的最爱。

2、Wireshark的哪些功能是你所看重的,和商业的网络封包分析软件相比,Wireshark优缺点如何?
答:wireshak对于网络初学者或者中级学习者来说一款非常好的工具,因为它的操作非常简单,而且有好多工具可以帮助
我们更快更好的了解网络环境和一些网络术语。
    wireshark的优缺点:
    优点:1.使用操作非常简单,对于初级和中级网络学习者来说是一款完美的抓包软件。
          2.有很多小工具和小技巧可以帮助我们更快更好的了解网络,例如filter,expression,statistics等等。
          3.界面设计很简洁,给使用者一种非常清新的感觉。
    缺点:1.和其他商业封包软件相比,对于抓包结果的图形化展示稍微欠缺一点,例如柱状图等等。
          2.可以像科来一样,把数据包回放等功能加入进来。



++++++++++++++++++++++++++++++++++++++++++++++++++
<script>window._bd_share_config={"common":{"bdSnsKey":{},"bdText":"","bdMini":"2","bdMiniList":false,"bdPic":"","bdStyle":"0","bdSize":"16"},"share":{}};with(document)0[(getElementsByTagName('head')[0]||body).appendChild(createElement('script')).src='http://bdimg.share.baidu.com/static/api/js/share.js?v=89860593.js?cdnversion='+~(-new Date()/36e5)];</script>
阅读(7499) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~
评论热议
已标记关键词 清除标记
相关推荐
©️2020 CSDN 皮肤主题: 深蓝海洋 设计师:CSDN官方博客 返回首页