Wireshark, Sniffer and Omnipeek
三款網絡分析工具的比較
一、網絡分析軟件概述
自從網絡出現以來,網絡故障就沒有停止過。如何快速、準確地定位故障和保持網絡的穩定運行一直是人們追求的目標。爲了分析網絡故障的原因,一類專業的網絡分析軟件便產生了。網絡分析軟件充當了網絡程序錯誤的檢修工具,開發人員使用它發現協議開發中的BUG,很多人使用它監聽網絡數據,同時也是檢查安全類軟件的輔助工具。
網絡分析軟件從產生到現在已經經歷了三個階段:
第一階段是抓包和解碼階段。早期的網絡規模比較小、結構比較簡單,因此網絡分析軟件主要是把網絡上的數據包抓下來,然後進行解碼,以此來幫助協議設計人員分析軟件通信的故障。
第二階段是專家系統階段。網絡分析軟件通過抓下來的數據包,根據其特徵和前後時間戳的關係,判斷網絡的數據流有沒有問題,是哪一層的問題,有多嚴重。專家系統不僅僅侷限於解碼,更重要的是幫助維護人員分析網絡故障,專家系統會給出建議和解決方案。
第三階段是把網絡分析工具發展成網絡管理工具。網絡分析軟件作爲網絡管理工具,部署在網絡中心,能長期監控,能主動管理網絡,能排除潛在問題。
二、3款軟件的特點
1. Wireshark 0.99.4
Wireshark是一款高效免費的網絡抓包分析工具。它可以捕獲並描述網線當中的數據,如同使用萬用表測量電壓一樣直觀地顯示出來。在網絡分析軟件領域,大多數軟件要麼晦澀難懂要麼價格昂貴,Wireshark改變了這樣的局面,它的最大特點就是免費、開源和多平臺支持。
Wireshark幾乎可以運行於所有流行的操作平臺,如MS Windows、Mac OS、Linux、FreeBSD、HP-UX、NetBSD、Solaris/i386、Solaris/sparc等等。儘管Wireshark可以在很多操作平臺使用,但它支持的傳輸媒介主要是Ethernet。只有Linux平臺下Wireshark支持802.11及Token Ring、FDDI和ATM。
Wireshark能夠對大部分局域網協議進行解析,具有界面簡單、操作方便、實時顯示捕獲數據的優點。但Wireshark並不具有分析功能,當一個網絡發生異常的時候,Wireshark只會記錄數據,它僅僅是一個測量工具,並不能操作網絡,不發送數據包或者做其它的主動動作。
Wireshark目前還存在着一個已知的嚴重BUG,當Wireshark運行時緩衝區出現內存溢出將會終止。此BUG是由最初設計的界面和平臺所決定,短期內無法解決。
2. NAI Sniffer Portable4.7.5
NAI的網絡分析工具Sniffer長期以來是網絡分析類軟件的王牌。Sniffer既有長期積累的經驗又存在長期延續舊體系導致的問題。長期的發展使得Sniffer具有很強的專業分析能力,但是它一直延續DOS、WIN95時期的元素和較早期的技術,使得它只能在Windows平臺下使用。Sniffer具有簡單的往外發包的功能,同時有幾個輔助測試小工具如:ping、finger、trace、dns lookup等。
Sniffer具有三大主要功能:1.協議解析(Decode)2.網絡活動監視(Monitor)3.專家分析系統(Expert)
Sniffer和Wireshark一樣可以用來解析網絡協議,而且支持的協議從局域網擴展到了廣域網,對無線網絡也有了一定的支持。Sniffer的協議解析非常詳盡,對協議的描述很有層次感。儘管Sniffer的協議解析能力很強,但是它不能實時顯示捕獲的數據包,這一點在協議開發人員用來查找問題時可能帶來不便。
Sniffer的協議解析功能可以用來學習各種協議,查找網絡故障。但實際上很多問題並不象故障那麼明顯,比如網絡慢或者丟包,單靠協議解析是很難發現的。這時候Sniffer的網絡活動監視功能可以直接看到網絡的當前運行狀況,一旦網絡出現問題就可以很快被發現。Sniffer用直觀的圖形實時顯示網絡的流量、會話、協議、包的大小、錯誤等信息。
Sniffer的專家功能是它最看重的功能,也是它最爲出色功能。Sniffer的專家系統在後臺爲我們工作着,一旦有觸發條件產生便產生相應的動作,然後通過視聽信號通知我們。
通過專家系統,Sniffer能夠幫助我們評估網絡的性能,比如,網絡的使用率,網絡性能的趨勢,網絡中哪一些應用消耗最多帶寬,網絡上哪一些用戶消耗最多帶寬,不同協議的流量狀況等等
通過專家系統,Sniffer可以幫助我們評估業務運行狀態,比如各個應用的響應時間,一個操作需要的時間,應用帶寬的消耗,應用的行爲特徵,應用性能的瓶頸等等。
通過專家系統,Sniffer可以快速地發現異常流量和網絡***,這就爲我們儘早採取措施提供了幫助。Sniffer能夠幫助我們做流量的趨勢分析,通過長期監控,可以發現網絡流量的發展趨勢,爲網絡何時改造升級提供建議和依據。
3. WildPackets OmniPeek4.0
OmniPeek是網絡分析軟件的後起之秀,由於它設計時大量採用了Windows XP及2000下的元素和比較流行的軟件設計技術,並且更加註重網絡軟件的要求,面向國際化,支持多語言,所以OmniPeek在使用上更爲簡潔方便和人性化,它支持更多新的技術和應用。由於使用了新技術,OmniPeek有了很多的Plugin,能方便地擴展功能。與Sniffer一樣,OmniPeek除了能發送一些簡單的數據包外,同樣具備了三大功能:1.協議解析(Decode)2.網絡活動監視(Monitor)3.專家分析系統(Expert)。
OmniPeek能很好地支持無線網絡,提供豐富的無線網卡混雜抓包模式的驅動程序,是無線協議分析的利器。OmniPeek對千兆網絡也有了很好的支持,無論是協議分析還是網絡監視都有很好的表現。
與Sniffer不同的是OmniPeek更重視視覺形象(Visualize),它的很多操作都用圖形化方式來完成。OmniPeek側重於整體現象的分析,以“流(TCP/UDP通信對)”作爲對象來研究,使分析結果易於理解,大大提高了效率。OmniPeek的專家系統就是基於“流”來分析的,對會話的整體分析較好,但在具體細節處略有不足。
OmniPeek集成了分佈式專家(DNX)系統功能,它提供的Engine可以部署在網絡的各個部分。分佈式專家系統通過一個控制檯來控制多個Engine獲取整個網絡的狀況,控制檯操作界面與普通的網絡分析界面是一樣的。通過OmniPeek的分佈式專家系統,我們可以將監控拓展到控制檯無法直接到達的地方,可以使我們更全面地瞭解網絡的運行情況。
三、3款軟件的比較
Wireshark是典型的網絡抓包工具,主要具備第一代網絡分析軟件的特點。隨着軟件地不斷更新,Wireshark也具有了一點簡單的圖形化的監視功能。Wirshark解析的協議主要是局域網協議,它支持的介質也主要是Ethernet,功能比較單一,效率比較高。Wireshark沒有網絡狀態分析功能,對網絡問題不能提供參考意見。
NAI的Sniffer功能涵蓋了協議解析、網絡監視和智能管理幾個部分。Sniffer的協議解析很詳細,尤其對廣域網協議的解析非常全面,但擴展性不是很強,新協議支持更新較慢。Sniffer的網絡狀態監視功能也很強大,可以監視流量、帶寬、協議、應用響應時間、會話主機等信息,並且以圖形的形式顯示出來。Sniffer的專家功能非常細緻,嚴格按照協議進行分層,每個細節都有考慮。另外它對網絡異常狀況進行了分級,使我們可以容易找到相應的問題。
OmniPeek的功能和Sniffer大致相同,也涵蓋了協議解析、網絡監視和智能管理幾個部分。OmniPeek在協議解析上沒有Sniffer支持的協議多,但對無線和語音的解析功能要比Sniffer強。OmniPeek專家功能沒有Sniffer細緻,功能沒有Sniffer強大。
四、總結
Wireshark是一款小巧、開源且能在幾乎所有流行操作系統下使用的抓包工具軟件,很適合一般人員學習網絡協議使用,也是協議開發人員驗證協議的好工具。由於Wireshark存在緩存溢出的BUG,建議不要將它用於分析流量很大的百兆網絡,也不要用於千兆網絡分析。
Sniffer Portable具有超強的專家分析能力,並且價格昂貴,使用它來抓包分析協議實在是浪費。對於大型的安全性穩定性要求很高的網絡,使用Sniffer的專家分析和預告功能是個不錯的選擇。另外Sniffer還有一些Report選件和分佈式硬件可供選擇,配合使用可以組成一個完善的安全監視系統,這樣的花費還是值得的。
OmniPeek代表一股新生力量,它對無線網絡、語音等技術都有很好的支持。OmniPeek可以使用很多的Plugin,使得它能很快適應新出現的業務和應用。所以OmniPeek很適用於網絡不是很大,應用經常更新的環境。無線環境和千兆環境也可以選擇OmniPeek 。