适用于小型到大型网络的 5 个完整的数据包捕获和分析工具

数据包捕获和分析对于检查网络交互和识别低效传输和危险的网络威胁非常有用。

数据包捕获是指在数据包通过网络连接传输时拦截和收集数据包。数据包被记录和检查，以识别和管理网络问题，例如高延迟和故障。通过数据包分析获得的信息可帮助网络管理员在短时间内排除和修复网络故障。

数据包分析用于以下一些任务：

• 安全风险检测
• DNS 问题故障排除
• 识别并解决网络连接问题
• 网络故障检测
• 数据包泄漏检测和修复
• 恶意软件检测和预防

可以捕获整个数据包或数据包的特定片段。一个完整的数据包由两部分组成：有效负载和标头。有效负载段包含数据包的实际内容，标头段包含数据包的源地址和目标地址等信息。

我们编制了一系列用于执行完整数据包捕获和分析的应用程序。

让我们开始吧。

可乐软胶囊

Capsa是一款适用于有线和无线网络的实时便携式网络分析仪、监控和诊断工具。数据包检查可以安排在指定时间运行，例如定期或每月。定期扫描可确保您不会错过任何出现的性能问题。如果您忘记了什么，每当您需要参加网络会议时，您都会收到电子邮件和语音警报。

Capsa 帮助用户及时了解可能导致服务中断的漏洞和威胁。使用此工具，可以正确跟踪所有重要的 VoIP（互联网协议语音）指标，例如呼叫编解码器类型和事件分布。对于想要学习如何进行数据包检查和检测网络问题以提高网络安全性的个人来说，这是一个很好的工具。

特征：

• 免费的内置实用程序可用于创建和播放数据包、扫描和 ping IP 地址。
• 诊断网络问题并自动推荐解决方案。
• 它支持 VoIP 和 TCP 流量分析，可用于诊断网络问题，例如响应时间慢和客户关系管理 (CRM) 事务。
• 它可以检测 DDoS 攻击、ARP 攻击、TCP 端口扫描，还允许用户识别网络内的技术问题。
• 该工具支持 1,800 多种协议，因此您可以轻松检查网络中的协议并了解正在发生的情况。
• 收集所有数据包并以十六进制和 ASCII 格式显示完整的数据包序列信息。 （详细数据包解码）
• 网络流量和吞吐量信息可以以图形格式显示。

Colaso​​ft 还提供其他工具，例如网络性能分析系统 (nChronos) 和统一性能管理解决方案 (Colaso​​ft UPM)。我们提供 30 天免费试用，以便在购买前检查功能。

TCP转储

TCPDump是一个功能强大的开源命令行数据包分析器工具，可以捕获 TCP、UDP 和 Internet 控制消息协议 (ICMP) 等协议。该工具预装在所有类 Unix 操作系统上。 TCPDump 在 BSD 许可证下发布。 tcpdump 允许您轻松检查 TCP/IP 数据包的标头。每次数据传输都会打印信息，并且脚本会一直运行，直到使用 Ctrl+C 选项终止。

设置 Tcpdump 非常简单，一旦您了解了该工具的用法、标志和参数，您就可以使用它来解决连接问题并保护您的网络。记录的数据包保存到文件中，以便使用 tcpdump 进行进一步分析。该文件以 PCAP 扩展格式保存，可以使用 tcpdump 或 Wireshark 轻松检查，它们读取 PCAP（数据包捕获的缩写）格式文件。

特征：

• 捕获的数据包可以按源、目的地和协议进行过滤。
• 免费和开源

以下是有关如何使用 tcpdump 捕获和分析网络流量的文章。

佩斯勒PRTG

Paessler PRTG Network Monitor 是最流行的网络监控和流量分析工具之一。该工具提供有关网络基础设施及其性能的重要信息。

与Windows兼容。它包括各种监控选项，例如带宽监控和流量分析。 Paessler PRTG 提供免费版本。结合使用数据包嗅探器、WMI 和 SNMP 来报告网络性能指标。

特征：

• 灵活的警报– PRTG 拥有 10 多种设计技术，包括短信、推送通知、电子邮件、HTTP 请求触发器等。
• 多个用户界面– 基于 AJAX 构建，具有强大的安全性要求和高性能，采用单页应用程序 (SPA) 技术。
• 集群故障转移解决方案– 配置稍高级别的监控解决方案。
• 地图和仪表板– 使用包含当前实时信息的实时地图可视化您的网络。
• 分布式监控– 便携式拦截器允许您监控不同位置的许多网络或组织内的多个网络。
• 以数字、统计数据和图表形式提供详细报告

该工具支持多种警报方法，包括短信、电子邮件以及与 Slack 等平台的第三方连接。 PRTG 提供 30 天无限制版本。免费期结束后，将恢复为免费格式。

钢丝鲨

Wireshark是一款免费的开源数据包分析器，可让您实时检查网络数据传输。该工具允许网络管理员在微观层面检查网络，以查明流量问题和错误的根源。这是一个很棒的工具，需要对网络概念有深入的了解。

特征：

• 事实上，它适用于任何操作系统，包括 Windows、Linux 发行版和 Mac OS X。
• 根据当前统计数据创建报告。
• 可以使用计时器和过滤器等各种选项来过滤输出。
• 使用 IO 图和图表可视化网络数据包。
• 您还可以记录 USB 流量。
• 它可用于多种用途，包括对恶意流量进行指纹识别和配置数据包过滤。
• 您可以应用颜色编码规则来识别流量类型。
• 深入研究 VoIP（互联网协议语音）。

数据包丢失、网络延迟问题、应用程序依赖性、低效窗口大小等都是 Wireshark 可以帮助解决的常见故障排除挑战。该工具允许您监控网络流量并提供搜索和识别问题原因的机制。

还可以使用 Wireshark 工具监控未发送到网络 MAC 地址接口的单播（无连接）流量。

请参阅这篇有关使用 Wireshark 排除网络延迟故障的文章。

阿基姆

Arkime与您现有的安全系统结合使用，以标准 PCAP 格式收集和索引网络流量和数据传输。

所有记录的数据包都以常规 PCAP 格式保存和导出，允许您在分析过程中使用您最喜欢的 PCAP 摄取工具，例如 Wireshark 或 tcpdump。

PCAP 保留由可用传感器磁盘空间决定，而 API 保留由 Elasticsearch 集群的大小决定。您可以随时更改这些参数。

Arkime 旨在跨多个系统工作，并可扩展到每秒数十吉比特的流量。 Arkime 传感器上存储的所有 PCAP 格式文件只能通过 Arkime Web 界面或 API 进行安装和访问。 PCAP 文件可以使用 Arkime 进行静态加密。

特征：

• 提供易于使用的 Web 界面来检查、搜索和提取 PCAP 文件。
• 免费和开源
• 允许其他 PCAP 捕获工具检查保存的 PCAP 文件。

通过API可以直接获取JSON格式的PCAP数据和交易数据。请参阅此处Arkime 的完整 API 文档。

结论

分析数据包捕获数据通常需要高度的技术专业知识，但这些工具使之成为可能。

我们希望本文对学习适用于小型到大型网络的完整数据包捕获和分析工具非常有帮助。

您可能还有兴趣了解最好的 Wi-Fi 分析仪软件工具。