对几款网络抓包工具的评测

最近在学习安全测试，这当然少不了抓包工具的使用。如何在众多抓包工具中挑选最适合自己的，首先要了解常见抓包工具的优劣。以下是网上的一篇文章，转载一下:

MiniSinffer

---

优点：1 单文件绿色版可以监控到所有流量信息
      2 可以在 对测试体 运行前 开启抓包工具
      3 用skype给同事 传个几G的文件 照样抓出一堆包
      
缺点：1 不能只对指定进程（太多包的话 不易分析）
      2 抓WEB包时显示为UDP(就是网交提交 POST GET那些)
        在测试中 停止监听 在重新运行后 WEB包就抓不到了


WSExplorer 1.3.exe

---

优点: 1 单文件绿色版 带着方便 也不用安装

       2 不用Wincap支持
       3 可以只抓指定进程 ((渗透)比如上传文件 (破解)看软件执行某个操作后向外发了什么)
       4 兼容性也不错 支持 WIN7 2008等系统

缺点: 1 对于大量数据的包 软件就崩溃卡死
        (用skype给同事 传个几G的文件 立马白屏)
        2 只能先运行 测试体后 刷新列表进程 才能进行抓包
        3 有时抓包时 好像突然会卡住
     

测试体运行前后 再抓包区别很大

WSockExpert_Cn(捉包)

---

优点: 1 绿色版 不用安装 解压就可以使用

      2 不用Wincap支持
      3 可以只抓指定进程 ((渗透)比如上传文件 (破解)看软件执行某个操作后向外发了什么)

缺点: 1 只能先运行 测试体后 刷新列表进程 才能进行抓包
       2 兼容性不太好 不支持vista或WIN7等以上系统

iris  eeye组织的作品 呵呵10还是以09年那时因为鬼影的MBR

---

我找了些资料 发现在05年之前他们发布了相关bookit研究资料(MBR其中之一)

优点：1 可对网卡进行抓包 有过滤机制
      2 可先抓包 再运行 测试体
      3 功能也很多 eeye组织的作品不会差到哪去
        (只是今天刚好在我虚拟机里没法运行 没能得对功能红看 只是凭之前曾经使用过的一点因像)   

缺点：1 要Wincap支持 有些管理员做了限制 没法安装Wincap


iptool网络抓包分析工具

---

优点:1 可以对网卡进行捕获 可以通过多种规则进行过滤 比如说 IP 协议(只抓ARP 还是SMTP 还是其它一起)
     2 同时显示包的几个形式 查看和分析包也比较方便
     3 可先抓包 再运行 测试体
     4 还可以根据指定内容 查找包
     5 兼容性也不错 支持win7 2008等
     6 不用安装wincap

缺点: 1 不能只抓指定进程
      2 要Wincap支持 有些管理员做了限制 没法安装Wincap

sniffer pro(网络抓包工具)

---

没用过 可能以前曾经安装过  见软件太大了 最重要是安装后 还缺啥环境运行不了
所以一直以为基本上都没用这个

总结 1 国产的Iptool 综合性能不错
     2 IRIS也不错 国外EEYE组织的 不过我很少用
       不过并不是因为软件是英文的 而是因为可能之前抓包
       大部分用于WEB抓包 或指定操作抓包 基本上都选了支持抓指定进程的工具

     3 上面两款可以说是 大炮  WSockExpert WSockExpert 等这些就是小米加步枪了
       但他们也有不能忽略的优点 就是均支持 指定进程抓包 这对于渗透 或者抓取指定工具
       操作时 向外提交了什么包很方便分析 比如说 阿D注入工具 扫描时 提交了什么SQL语句等

     4 上面的抓包工具 各有优缺点  请根据自己的实际应用情况 来选择使用哪款 提高工作效力

【转载自】http://www.2cto.com/Article/201212/180183.html