那些年你用过的工具--网络工具Wireshark经验谈（获奖名单已公布2013-5-6）

ylky_2000

我得先承认我是it行业的屌丝，一般很少购买软件来使用，要使用第一个想到的是开源的软件。于是很自然就知道了wireshark，习惯我叫它鲨鱼。
关于今天要讨论的两点，我根据平时工作的体会简单的谈谈感想，也顺道学习下其他同行的经验。
1、在以前的网络抓包分析工作中，您是用什么工具，使用感觉如何？
   我以前用过的工具有：
  1）sniffer pro记得好像是4.7版本的，感觉相当专业，基本上你能想到的协议都有支持；不过要钱的东西，安装了一个破解版，用起来感觉不踏实，安装过程也很繁琐，尤其是重装系统的时候；
2）tcpdump，这个在linux系统下用的最多，支持windows吗，这个没有研究过。都是利用命令行的方式生成wireshark能读的懂的包，然后在wireshark中打开分析，曾经分析sip语音系统的时候利用tcpdump结合wireshark的时候用过，大体是tcpdump+winscp+wireshark配合进行抓包分析，网上有这样的案例大家可参考；
3）科来协议分析系统，我使用的是50个点限制的交流版，所以功能方面很多有限制，这是咱们中国人自己的分析系统感觉还是很不错，界面友好，适合中国人的使用习惯，他们的商业版没有使用过，具体不是很了解，期待其他使用过的人分享；
4）wireshark就是今天要讲的重点了。感觉很好，我电脑中就安装了两个类似的软件，一个是wireshark（Version 1.4.3 (SVN Rev 35482 from /trunk-1.4)），另外一个是科来分析系统交流版。已经养成习惯了，不过由于我水平有限，有种好刀给到了我却不知道如何充分发挥它的最大用途的感觉。就解决实际问题上我主要使用两个。1个是用来分析sip语音系统拨号问题，由于sip服务器是linux系统，所以先再linux系统中使用tcpdump抓包然后通过winscp传到windows电脑中，再用wireshark分析。这里就体现优势了，wireshark比tcpdump友好多了。。另外一个是当发现内网网络反应很慢的时候，利用wireshark抓包分析下，看是哪些流量占据了带宽，我用这个方法解决过两次问题，迅速定位到了问题主机，在很强势的用户部门面前我拿到了证据让他们心服口服。
其他的一些也有接触过，但是接触时间短，仅仅限于测试，没有很深入的使用，就不发表感想了。

2、Wireshark的哪些功能是你所看重的，和商业的网络封包分析软件相比，Wireshark优缺点如何？
wireshark我所看重的功能：
1)能自定义显示字段；界面默认列出来的就那么几列（如源地址、目的地址），但是我需要的信息不止那些，可以将更多的信息列出来，
2）支持无线，这个随着公司网络的发展未来肯定需要；
与商业软件比较：
1）无成本：开源，用起来放心，；
2）全体使用者都是支持团队：并有专业的支持团队，软件系统不停的在更新升级，支持的协议不断的在增多，商业软件的支持团队可能就是某一个公司，他们有商业方面的逐利考虑，不一定会吧用户的真实需求放在第一位；
3）缺点：图形方面的展示没有sniffer友好，直观；希望加强。

前面已经有不少同行谈过了，暂时谈这些个人的体会吧，，

2013年4月16号补充：最近又接触了一款协议分析工具。iris工具，是网络流量分析监测工具 可以帮助系统管理员轻易地捕获和察看用户的使用情况，可以同时检测到进入和发出的信息流，会自动进行存储和统计偏于察看和管理。暂时先是也弄个它作为分析几个协议看看，目前还没有深入了解，从界面上看，比wireshark要简单，功能也没有那么多。有该工具使用说明：http://wenku.baidu.com/view/f9c62bd449649b6648d74742.html

meiyuhan

我的妈呀，爱死你了

ddd010

1、在以前的网络抓包分析工作中，您是用什么工具，使用感觉如何？
只用过Wireshark，去年因为项目需要用了一个多月的WS。当时主要是http协议，ntp等协议通讯抓取。其它方面了解并不多。但性能的确彪悍。
数据过滤方面相当的牛叉。

2、Wireshark的哪些功能是你所看重的，和商业的网络封包分析软件相比，Wireshark优缺点如何？
数据抓取和分析。这个是醉看重的。

商业软件，不知道有那些。。

chenyx

回复 12# wenhq


    有些专有的图形,wireshark没有,比如sniffer的仪表板

wenhq

回复 24# chenyx

哦，这些啊！理解有点偏差！谢谢指点。


   

wonghoifung

1、在以前的网络抓包分析工作中，您是用什么工具，使用感觉如何？
第一次接触抓包工具是07年还在大学时参加了ccna和ccnp商业培训时用到了sniffer，第一次接触，没有对比，只觉真有意思，讲师教我们用此工具观察tcp/ip及以后学习的路由协议，分析各层包头变化等等等，此后毕业从事协议分析软件开发工作，由于公司都用ethereal，亦即wireshark，所以我就接触了这个工具，因其功能较sniffer少而精，一用就感觉简洁清新，而且我当时也就只用到这些功能，还不用破解，不用白不用啊。

2、Wireshark的哪些功能是你所看重的，和商业的网络封包分析软件相比，Wireshark优缺点如何？
这个问题显示wireshark有好多功能而我只知道抓包分析显得很无知。。。由于我的需求只是抓包分析，或者看看有无流量等等简单的在开发中遇到的问题，所以只要是抓包软件，对我来说区别不大，而wireshark的优点明显就是不用破解，拿来就用，在linux上视觉上比tcpdump讨好。

xiaoyun222

1、在以前的网络抓包分析工作中，您是用什么工具，使用感觉如何？
Windows : sinffer pro, 可来网络分析，在遇到核心交换机CPU，防火墙CPU 使用率过高的情况下很快能找到那种协议与IP 的资源占用，排除过arp, 肉鸡，等等 使用简单很快就能定位到网络问题的原因
linux : wireshark  tcpdump   如果第一次使用，会感觉比较乱。不过抓包 ，实时流量，破解  ，等功能在linux下相当不错。

2、Wireshark的哪些功能是你所看重的，和商业的网络封包分析软件相比，Wireshark优缺点如何？
实施流量抓包，提取破解， 图形显示功能比较差

platinum

wireshark 其实很棒
还支持自定 lua 编程，可以自己写解析脚本，解析特殊数据结构的报文

T-Bagwell

1、在以前的网络抓包分析工作中，您是用什么工具，使用感觉如何？

tcpdump wireshark 还有以前的pro-sniffer, 或者自己写
不过现在一般还是用wireshark了，在PC下用wireshark,在Android下用tcpdump,嵌入式平台也是tcpdump，抓pcap包，然后copy出来用wireshark分析
在PC下也可以用tcpdump，抓包比较全，用wireshark来分析包很帅
尤其是分析一些标准协议，比如RTSP/HTTP或者其他，很方便，过程也会看的很清楚，用来学习，分析问题都可以
抓包的话tcpdump相比wireshark感觉界面友好度差一些，wireshark界面友好度很高，搜索能力也很强大，可以匹配所搜，同样，wireshark抓包也很强大
记得印象很深的一次，看视频网站，懒得装其他的浏览器了，直接用wireshark抓包，找到视频数据，把视频down下来的，呵呵
还有一次，redis本身提供的c库不大好用，存储不了二进制数据，比如图片，那是好久以前的事了，现在不知道行不行，当时就找哥们用php写了个往redis里存图片的测试页面，拿回来后自己搞了个php环境，然后用wireshark抓php运行时的redis通讯包，把过程研究了一下，然后参考了一下redis的interface部分，了解清楚了以后，自己重新封装了一套redis的c库，现在还在使用，这些都是wireshark的好用之处啊，太方便了

2、Wireshark的哪些功能是你所看重的，和商业的网络封包分析软件相比，Wireshark优缺点如何？
wireshark我看重的功能太多了，主要就是汉化版的手册是最关键的，功能强大，非常好用，界面相对来说感觉wireshark更为友好，两款都曾经是被GodBach推荐并亲身指导过，很不错，这个让俺受益匪浅啊
但是更喜欢wireshark，习惯的问题

T-Bagwell

BBS有BUG
排版严重不好看