5个适用于小到大型网络的全包捕获和分析工具

数据包捕获和分析对于检查网络交互和识别低效传输以及危险的网络威胁非常有用。

数据包捕获是指在网络连接中拦截和收集数据包。数据包被记录和检查以识别和管理网络问题，如高延迟和故障。从数据包分析中获得的信息用于协助网络故障排除和修复。

数据包分析用于以下一些任务。

• 检测安全风险
• 故障排除DNS问题
• 识别和解决网络连接问题
• 检测网络故障
• 检测和修复数据包泄露
• Malware Detection和预防

可以捕获完整的数据包或特定的数据包段。完整的数据包包括两个部分：有效负载和头部。有效负载段包含数据包的实际内容，而头部段包含诸如数据包的源地址和目标地址之类的信息。

我们总结了几个执行完整数据包捕获和分析的应用程序。

让我们开始吧。

Colasoft Capsa

Capsa是一款实时便携式网络分析仪、监控和诊断工具，适用于有线和无线网络。可以安排数据包检查在指定时间运行，如定期或每月运行。定期扫描确保不会错过任何出现的性能问题。如果您有所遗漏，电子邮件和音频警报会在需要您参与的网络会话发生时通知您。

Capsa帮助用户及时了解可能导致服务中断的漏洞和威胁。使用此工具可以很好地跟踪所有关键的网络指标，如呼叫编解码器类型和事件分布。对于想参与数据包检查并学习如何检测网络问题和改善网络安全的个人来说，这是一个很好的工具。

功能：

• 内置免费工具，用于创建和重放数据包，以及扫描和ping IP addresses。
• 自动诊断网络问题并推荐解决方案。
• 支持VoIP和TCP流量分析，可用于诊断网络问题，如响应时间缓慢和链接（CRM）事务。
• 可以检测到DDoS攻击、ARP攻击和TCP端口扫描，并允许用户发现网络中的技术故障。
• 此工具支持超过1800种协议，使得在网络中检查协议并理解正在发生的情况变得简单。
• 它收集所有数据包并以十六进制和ASCII格式显示完整的数据包序列信息（深度数据包解码）。
• 网络流量和吞吐量信息可以以图形格式显示。

Colasoft还提供其他工具，如网络性能分析系统（nChronos）和统一性能管理解决方案（Colasoft UPM）。它提供30天的免费试用以在购买之前检查功能。

TCPDump

TCPDump是一款开源和强大的命令行数据包分析工具，可以捕获TCP、UDP和ICMP（Internet Control Message Protocol）等协议。此工具在所有类Unix操作系统中预装。TCPDump采用BSD许可发布。您可以使用tcpdump轻松检查TCP/IP数据包的头部。它会为每个数据传输输出信息，并且脚本会一直运行，直到您用Ctrl+C选项终止它。

Tcpdump非常简单易用，如果你学会了该工具的用法、标志和参数，就可以使用该工具来解决连接问题和保护网络。记录的数据包将保存在文件中，以供使用tcpdump进一步分析。它以PCAP扩展格式保存文件，可以使用读取PCAP（数据包捕获的缩写）格式文件的tcpdump或Wireshark轻松检查。

功能：

• 可以按来源、目的地和协议过滤捕获的数据包。
• 免费和开源

这是一篇关于how to Capture and Analyze Network Traffic with tcpdump的文章。

Paessler PRTG

最受欢迎的网络监控和流量分析工具之一是Paessler PRTG网络监控。该工具提供了有关网络基础设施和性能的重要信息。

它与Windows兼容。它包括各种监控选项，包括带宽监控和流量分析。可提供免费版本的PaesslerPRTG。为了报告网络性能指标，它使用了数据包嗅探器、WMI和SNMP的组合。

功能：

• 灵活的报警 – PRTG拥有超过十种设计技术，包括短信、push notifications、电子邮件、触发HTTP请求等。
• 多用户界面 – 基于AJAX构建，具有强大的安全要求，由于单页应用程序（SPA）技术具有高性能。
• 集群故障转移解决方案 – 构成稍微提升的监控解决方案。
• 地图和仪表板 – 使用实时地图显示当前实时信息，以可视化网络。
• 分布式监控 – 使用便携式拦截器，您可以监控多个位置的多个网络和组织内的多个网络。
• 以数字、统计数据和图形形式提供深入的报告

该工具支持多种报警方法，包括短信、电子邮件和与Slack等平台的第三方连接。PRTG提供30天的无限版本。免费期后，它将恢复到免费形式。

Wireshark

Wireshark是一个免费的开源数据包分析器，可以实时检查网络数据传输。该工具使网络管理员能够以微观的方式探测网络，以确定流量问题和错误的来源。这是一个需要对网络概念有很好理解的优秀工具。

功能：

• 它几乎适用于任何操作系统，包括Windows、Linux发行版、Mac OS X等。
• 基于当前统计数据创建报告。
• 可以使用各种选项（如计时器和过滤器）对输出进行过滤。
• 使用IO图表和图表可视化网络数据包。
• 它还可以记录USB流量。
• 它提供了广泛的用途，包括指纹识别未经授权的流量、数据包过滤设置等。
• 可以应用颜色编码规则以识别流量类型。
• 详细的VoIP（互联网语音）研究。

丢失的数据包、network latency问题、应用程序依赖性和低效的窗口大小是Wireshark可以帮助解决的常见故障排除问题。该工具可以监视网络流量，并提供搜索和定位问题来源的机制。

使用Wireshark工具还可以监视未发送到网络MAC地址接口的单播（无连接）流量。

欢迎访问这篇关于故障排除的文章Network Latency with Wireshark。

Arkime

Arkime与现有安全系统合作，以标准PCAP格式收集和索引网络流量和数据传输。

所有记录的数据包都以普通PCAP格式存储和导出，允许您在分析过程中使用喜欢的PCAP摄取工具，如Wireshark或tcpdump。

PCAP保留由传感器磁盘空间的数量决定，而API保留由Elasticsearch集群的大小决定。这两个参数都可以随时更改。

Arkime旨在跨多个系统工作，并可扩展以容纳每秒十几个吉比特的流量。保存在Arkime传感器上的所有PCAP格式文件只能通过Arkime Web界面或API进行安装和访问。PCAP文件可以使用Arkime进行静态加密。

特点：

• 提供一个用户友好的Web界面，用于查看、查找和提取PCAP文件。
• 免费且开源
• 允许其他PCAP摄取工具检查保存的PCAP文件。

PCAP数据和JSON格式的事务数据可以直接通过API检索。查看完整的Arkime API文档 here。

结论

分析数据包捕获数据通常需要高水平的技术专长，可以使用这些工具完成。

希望您发现本文对学习小到大型网络的全包捕获和分析工具非常有用。

您可能还有兴趣了解最佳 Wi-Fi Analyzer Software tools。