那些年你用过的工具--网络工具Wireshark经验谈（获奖名单已公布2013-5-6）

wg2013

俺是新手，来学习学习！

jieforest

回复 52# ylky_2000

是啊。


   

javasuncom_cu

工作至今用过几款抓包软件，最早接触的是sniffer4.7，当时还好一顿搜索范伟导的sniffer课程资料，本身底子薄，资源甚少，外加软件界面参数太多， 放弃使用。
第二个接触的软件是iris，用起来感觉也一般般。
第三个就是wireshark的前身ethereal，后改名为wireshark，感觉还是比较简单的，指定一个接口start就可以抓包，filter可以设置各种过滤规则，可以让你方便的找到你想要找的数据包。 使用抓包软件可以很好的理解网络的运行机制，如telnet的明文传输，展开抓包的应用层部分，就可以看到敲的字母;tcp的三次握手;dhcp协议的四个步骤等等。
linux下的tcpdump只用过命令行的，参数太多，不如wireshark界面操作来的实惠。
有一点感觉挺不爽的就是wireshark64位版本与 32版本界面差不少，由32转过来的时候，适应了一阵子。
商业软件没用过正版的，暂无发言权。

action08

markup一直玩不起的说

quxiaosong

大约10年前用sniffer，用于学习目的，看看帧格式什么的。那时候这个软件有个极品的问题，就是想分析以前的抓包文件，此时网卡必须是up的。我就想了两个办法来解决：1.做一个环路水晶头插到网卡上；2.或者安装一个系统自带的ms loopbak网卡驱动，这个虚拟的网卡永远up。

后来用过etherpeek，由于也仅仅是看看帧格式，所以感觉差别不大。

clearsight的还原呈现最牛，网页、邮件什么的直接还原，抓到的视频聊天最high，直接就现场直播了。

etherreal (wireshark)最近一直在用，定位个应用层故障什么的。遗憾的是，仅仅会使用decode功能，所以面对海量的包，有些力不从心。

现在开始用科来，分析功能挺好用的。

lintingda

1、在以前的网络抓包分析工作中，您是用什么工具，使用感觉如何？
目前主要使用wireshark；我感觉wireshark很强大，现在支持的协议也多，对我来说最实用的是移动通信相关的协议。通过抓取特定网卡的数据包，可以帮助分析问题根源。
对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。但可通过分析Wireshark抓取的封包能够帮助使用者对于网络行为有更清楚的了解。

2、Wireshark的哪些功能是你所看重的，和商业的网络封包分析软件相比，Wireshark优缺点如何？
A、我看重的WireShark功能主要有：1、抓取特定网络数据的功能比如特定网卡、端口和协议等等，排除无关数据针对性的分析。2、SS7 协议的支持，工作需要。3、过滤功能，针对一个事件过滤，分析是否消息正常，判断链路是否正常。4、数据包时间解析功能，主要帮助定位数据是否存在时间乱序或者跳变。

B、和商业的网络封包分析软件相比，Wireshark优缺点：
优点：免费开源、更新较快、支持的协议不断得到扩展,支持定制插件完成特定包头的解析。
缺点：由于不是商业软件，得不到技术支持。功能很多，很多都没怎么用过或者说个人钻研不够，汗！

lintingda

回复 32# fengjihu

谢谢，分析文档！

platinum

quxiaosong 发表于 2013-04-13 12:07
大约10年前用sniffer，用于学习目的，看看帧格式什么的。那时候这个软件有个极品的问题，就是想分析以前的抓 ...

很好的经验分享，好 geek 的做法：）

platinum

hiterator 发表于 2013-04-08 17:54
菜鸟凑个热闹

1、在以前的网络抓包分析工作中，您是用什么工具，使用感觉如何？

的确，lua 是 wireshark 的一个大亮点

xike2002

1、在以前的网络抓包分析工作中，您是用什么工具，使用感觉如何？
答：从一开始接触网络使用的抓包工具就是wireshark，也不是说有什么特殊的喜好的原因。
原因很简单，就是因为刚开始参加工作的时候带我的师傅告诉我在分析网络问题的时候经常需要抓包来分析，
起初他给我推荐的是tcpdump，但是因为我那时候才刚刚接触linux时间不长，只会使用一些简单的命令，
对于像tcpdump这样带很多参数的命令想等不敢想，于是师傅就给我推荐了wireshark工具，因为它是windows
下的工具，使用起来相对而言简单一点。
    wireshark刚开始使用的时候可能不了解其中的很多小工具和技巧，这都不要紧，关键是你要在实际的环境中
来使用wireshark，而且环境越复杂越好，这样子越能抓到各种各样的数据包，对于你分析和使用各种小工具和技巧
很有帮助。我印象最深的是filter工具，它里面包含了很多命令，我很难记住那些命令，后来发现有个expression工具，
它可以帮助你选择那些难以记住的命令和规则，后来在使用的过程中由于经常选择一些规则，也就慢慢的记住了这些
常用的表达式，这也就是所谓的熟能生巧，其实我刚开始刻意的去记忆这些命令，虽然看似记住了，但是过一段时间
不用就忘记了。后来发现经常使用的那些命令，根本就不用记。
    现在wireshark已经伴我走过来这些多年，有过欢喜，有过悲伤，但是wireshark始终是我的最爱。

2、Wireshark的哪些功能是你所看重的，和商业的网络封包分析软件相比，Wireshark优缺点如何？
答：wireshak对于网络初学者或者中级学习者来说一款非常好的工具，因为它的操作非常简单，而且有好多工具可以帮助
我们更快更好的了解网络环境和一些网络术语。
    wireshark的优缺点：
    优点：1.使用操作非常简单，对于初级和中级网络学习者来说是一款完美的抓包软件。
          2.有很多小工具和小技巧可以帮助我们更快更好的了解网络，例如filter，expression，statistics等等。
          3.界面设计很简洁，给使用者一种非常清新的感觉。
    缺点：1.和其他商业封包软件相比，对于抓包结果的图形化展示稍微欠缺一点，例如柱状图等等。
          2.可以像科来一样，把数据包回放等功能加入进来。