Я никогда не работал в «корпоративной» инфраструктурной группе, но отвечал за небольшие сети. WireShark (В свое время Ethereal) всегда работал у меня в таких ситуациях. Где проходит черта, когда нужно переходить? Либо это?
С точки зрения анализа, в Wireshark нет ничего плохого. Фактически, многие корпоративные продукты используют код Wireshark.
Я думаю, где все меняется, как захватывает делаются в более крупных средах. В то время как в небольших магазинах, если вам нужно запустить захват пакетов, подойдет ноутбук с Wireshark. Однако, как только вы попадаете в более крупные среды с более высокими скоростями передачи данных, стандартное оборудование часто не справляется с задачей захвата на линейной скорости. В этих случаях часто необходимо прибегать к помощи таких поставщиков, как Endace или Никсун для выполнения захватов; эти производители разрабатывают специализированные аппаратные ASIC с очень большими буферами, которые гарантированно не пропускают трафик до того, как он будет успешно записан на диск.
Однако даже при использовании этих устройств для записи я обнаружил, что когда я экспортирую захваченные пакеты на свою рабочую станцию для анализа, я обращаюсь к Wireshark.
Такой интересный вопрос ... поскольку теперь у нас даже есть адаптер TuboCap для вставки и захвата с помощью Wireshark (сделанный CACE Technologies). А с добавлением в Wireshark графических возможностей и отчетов Pilot - зачем тратить большие деньги на коммерческий анализатор?
ИМХО, редко (и, возможно, ошибочная процедура) бросать анализатор в середину инфраструктуры, чтобы в любом случае захватывать лодочные потоки трафика. Если пользователь жалуется - захватите трафик как можно ближе к этому пользователю. Если эта система наводняет сеть и Wireshark не успевает за ней - вы можете (а) обычно определить причину наводнения, просто изучив короткую трассировку трафика - подумайте о Macof, или (б) запустите tshark по команде - строку и сохраните в наборы файлов - затем изучите их в Wireshark.
Лаура Чаппелл, основатель Wireshark University (и бывший пользователь Sniffer, OmniPeek, Fluke, а также бывший менеджер по продукту LANalyzer), основатель Chappell University
Лично я никогда не сталкивался с тем, чтобы для этого требовался коммерческий продукт. Я работаю на поставщика программного обеспечения, и мы несколько раз в день направляем наших клиентов в WireShark для устранения неполадок.