數據包分析器

偵測（Sniffers）是一種網絡流量數據分析的手段，常見於網絡安全領域使用，也有用於業務分析領域^[1]，一般是指使用偵測器對數據流的數據截獲與封包分析（Packet analysis）。

偵測所使用的工具即為「偵測工具」，正式的叫法為「封包分析器」，還有別稱為「偵測器」、「抓包工具」。

用途

• 分析網絡問題
• 業務分析 ^[2]
• 分析網絡信息流通量
• 網絡大數據金融風險控制^[3]
• 探測企圖入侵網絡的攻擊
• 探測由內部和外部的用戶濫用網絡資源
• 探測網絡入侵後的影響
• 監測連結網際網路寬頻流量
• 監測網絡使用流量（包括內部用戶，外部用戶和系統）
• 監測網際網路和用戶電腦的安全狀態
• 滲透與欺騙

缺陷

• 目前為止的偵測均對加密數據不起作用，需要解密才可以得到需要的機密數據
• 當用戶在執行網絡數據文件下載時，偵測出來的是大量垃圾數據包
• 分析器可能會包含敏感信息，引發隱私擔憂，特別是在企業網絡中。
• 部分複雜的協議或定製協議可能難以解析，導致分析器無法正確識別和解釋。
• 惡意用戶可能通過利用分析器本身的漏洞來規遍安全措施或者阻礙正常的網絡分析。
• 在虛擬化和雲環境中，動態網絡拓撲和流量分析變得更為複雜。
• 數據包分析器可能需要大量計算資源，這可能在一些環境中成為限制因素。
• 對於新型威脅和未知攻擊，數據包分析器可能無法提供足夠的防禦和檢測手段。

知名偵測工具

數據包分析器的比較（英語：Comparison of packet analyzers）

• CommView and CommView for WiFi （頁面存檔備份，存於網際網路檔案館）
• dSniff（英語：dSniff）
• Ettercap（英語：Ettercap）（遵守GNU的開源軟體）
• Javvin Packet Analyzer
• Kismet
• Open Source Packet Sniffer Open Source Packet Sniffer
• Microsoft Network Monitor
• NetStumbler（英語：NetStumbler）
• NetworkActiv PIAFCTM （頁面存檔備份，存於網際網路檔案館）
• Network General（英語：Network General）
• Network Instruments（英語：Network Instruments）
• Snoop (software)（英語：Snoop (software)） (Solaris)
• Tcpdump (man tcpdump)
• WildPackets（已經改名為Savvius）AiroPeek，EtherPeek與OmniPeek
• Wireshark（前稱 Ethereal）^[4]
• Winsock Packet Editor
• Simena Capture&Replay tools （頁面存檔備份，存於網際網路檔案館）
• NetisCrossFlow

參見

• Pcap

參考資料

1. 运用嗅探网络协议用于业务分析的专利应用. [2016-07-23]. （原始內容存檔於2017-03-08）.
2. 银行业务的听诊器. [2016-07-23]. （原始內容存檔於2016-08-14）.
3. 企业系统性风险监控. [2016-07-23]. （原始內容存檔於2018-10-03）.
4. Ethereal changes name to Wireshark. [2016-05-16]. （原始內容存檔於2019-12-17）.