数据包分析器

嗅探（Sniffers）是一种网络流量数据分析的手段，常见于网络安全领域使用，也有用于业务分析领域^[1]，一般是指使用嗅探器对数据流的数据截获与分组分析（Packet analysis）。

嗅探所使用的工具即为“嗅探工具”，正式的叫法为“分组分析器”，还有别称为“嗅探器”、“抓包工具”。

1 sources

用途

• 分析网络问题
• 业务分析 ^[2]
• 分析网络信息流通量
• 网络大数据金融风险控制^[3]
• 探测企图入侵网络的攻击
• 探测由内部和外部的用户滥用网络资源
• 探测网络入侵后的影响
• 监测链接互联网宽频流量
• 监测网络使用流量（包括内部用户，外部用户和系统）
• 监测互联网和用户电脑的安全状态
• 渗透与欺骗

2 sources

缺陷

• 目前为止的嗅探均对加密数据不起作用，需要解密才可以得到需要的机密数据
• 当用户在执行网络数据文件下载时，嗅探出来的是大量垃圾数据包
• 分析器可能会包含敏感信息，引发隐私担忧，特别是在企业网络中。
• 部分复杂的协议或定制协议可能难以解析，导致分析器无法正确识别和解释。
• 恶意用户可能通过利用分析器本身的漏洞来规遍安全措施或者阻碍正常的网络分析。
• 在虚拟化和云环境中，动态网络拓扑和流量分析变得更为复杂。
• 数据包分析器可能需要大量计算资源，这可能在一些环境中成为限制因素。
• 对于新型威胁和未知攻击，数据包分析器可能无法提供足够的防御和检测手段。

知名嗅探工具

数据包分析器的比较（英语：Comparison of packet analyzers）

• CommView and CommView for WiFi （页面存档备份，存于互联网档案馆）
• dSniff（英语：dSniff）
• Ettercap（英语：Ettercap）（遵守GNU的开源软件）
• Javvin Packet Analyzer
• Kismet
• Open Source Packet Sniffer Open Source Packet Sniffer
• Microsoft Network Monitor
• NetStumbler（英语：NetStumbler）
• NetworkActiv PIAFCTM （页面存档备份，存于互联网档案馆）
• Network General（英语：Network General）
• Network Instruments（英语：Network Instruments）
• Snoop (software)（英语：Snoop (software)） (Solaris)
• Tcpdump (man tcpdump)
• WildPackets（已经改名为Savvius）AiroPeek，EtherPeek与OmniPeek
• Wireshark（前称 Ethereal）^[4]
• Winsock Packet Editor
• Simena Capture&Replay tools （页面存档备份，存于互联网档案馆）
• NetisCrossFlow

1 sources

参见

• Pcap

参考资料

1. 运用嗅探网络协议用于业务分析的专利应用. [2016-07-23]. （原始内容存档于2017-03-08）.
2. 银行业务的听诊器. [2016-07-23]. （原始内容存档于2016-08-14）.
3. 企业系统性风险监控. [2016-07-23]. （原始内容存档于2018-10-03）.
4. Ethereal changes name to Wireshark. [2016-05-16]. （原始内容存档于2019-12-17）.