Сниффер пакетов Windows

Я все время использую Wireshark в Windows - с сеансом SPAN или аналогичным, плюс хитроумное использование фильтров захвата / отображения, вы можете заставить его сказать вам практически все, что вам нужно. И вы можете делать красивые графики для своего начальника. Что вы имели в виду под «историей безопасности»?

Я ни с чем не сталкивался свободно так лучше. Моя работа слишком дешевая, чтобы платить за сниффер, когда Wireshark так хорош в своем деле. Да, похоже, что у Wireshark каждые два дня появляется новая уязвимость против декодера, но такое случается, когда вы, безусловно, лучший пакет в подобной области. Да, хотелось бы, чтобы они обновлялись почаще. Но сама полезность Wireshark заставляет меня продолжать его использовать.

(Раскрытие информации: мое имя находится в верхней части списка авторов Wireshark.)

Сведения о безопасности Wireshark - один из немногих аспектов проекта, которым я недоволен. Хорошая новость в том, что у нас есть талантливая команда разработчиков и солидная архитектура. Одна из причин, по которой вы слышите о безопасности Wireshark, заключается в том, что мы активно ищем недостатки и сообщаем о них. Обычно мы первыми их обнаруживаем, и я стараюсь как можно быстрее публиковать обновления и рекомендации, когда они обнаруживаются. Плохая новость заключается в том, что устранение всех недостатков в 1,7 миллиона строк кода действительно чертовски сложно.

О чем следует помнить, если вы смотрите на коммерческий анализатор: многие из них используют старые версии Wireshark (или Ethereal) в качестве серверной части для декодирования.

Я не использую эти вещи почти так часто, как раньше, но мне всегда нравился Microsoft Network Monitor, когда мне требовался бесплатный анализатор протокола для отслеживания проблемы. http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=983b941d-06cb-4658-b7f6-3088333d062f

получить версию для Windows tcpdump и анализировать следы позже с чем угодно [включая wirehark] на отдельном настольном компьютере.

или используйте сетевой коммутатор с зеркалированием портов и подключите linux [или - в худшем случае - виртуальную машину с linux и мостом для отдельного интерфейса Ethernet] и выполните все сниффинг на нем.

Я использую Wireshark и все равно рекомендую то же самое, но в качестве альтернативы предложению pQd о двухэтапном захвате фактического пакета (предположительно Windump) и анализ (Wireshark) будет использовать обновленные собственные Монитор сети Microsoft или проверяя массив «Инструменты и программы на основе WinPcap» на сайте WinPcap (основная поддержка многих анализаторов пакетов, включая WinDump и Wireshark). Раньше я пользовался «Анализатором».

Если вы знаете питон, чешуйчатый отлично. Вот это как установить его на одно окно. Вы можете использовать его для прослушивания трафика и даже создания пакетов. Концептуально он разбивает все на уровни OSI.

Netmon 3.3 определенно ваш лучший выбор. Лучшая новая функция - эксперты функциональность

Я бы согласился с RainyRat (это потрясающее имя пользователя, кстати, чувак) и выразил свое недоверие к вашим настроениям против проводников. (Я также не знаю о каких-либо уязвимостях безопасности в нем, и я использую его довольно часто.) При этом я хотел бы знать, есть ли они.

Тем временем всегда есть LanHound

Если у вас есть деньги, попробуйте OmniPeek Wildpacket. Он имеет огромные функции анализа и декодеры, представления на основе сеансов / потоков, простые в создании фильтры и отличную поддержку реальных сетевых адаптеров с аппаратной фильтрацией.

Я часто использую его в своей повседневной работе для анализа проблем в сетях болтливых клиентов - вы можете сбросить несколько небольших Linux-боксов с помощью tcpdump и использовать их как удаленную сетевую карту для более крупных установок.

Вы можете скачать пробную версию и попробовать.

Устройство Netmon от netmon.com (не связанное с программным обеспечением Windows) хорошо справляется с захватом пакетов. Это также полнофункциональный инструмент для мониторинга сети.