网络封包分析工具对比：Wireshark与Sniff Master

Wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。

工具对比

Wireshark特点：

• 支持多种协议分析（TCP/UDP等）
• 强大的过滤功能
• 详细的协议解析
• 跨平台支持

Sniff Master特点：

• 更直观的用户界面
• 实时流量统计功能
• 智能协议识别
• 针对开发者的友好功能

为了安全考虑，这些工具都只能查看封包，而不能修改封包的内容，或者发送封包。

抓包功能对比

Wireshark开始抓包

开始界面

Sniff Master开始界面

• 提供更直观的网卡选择界面
• 内置常用抓包场景预设
• 一键开始/停止抓包

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces… 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包

界面功能对比

Wireshark 窗口介绍

WireShark 主要分为这几个界面

1. Display Filter(显示过滤器)， 用于过滤
2. Packet List Pane(封包列表)， 显示捕获到的封包
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏，杂项)

Sniff Master界面特点

• 更直观的流量统计图表
• 协议分布饼图
• 连接关系图

过滤功能

Wireshark 显示过滤

使用过滤是非常重要的，初学者使用wireshark时，将会得到大量的冗余信息。过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

Sniff Master的过滤优势

• 提供常用过滤模板
• 支持过滤历史记录
• 可视化过滤条件构建

过滤器有两种：

1. 显示过滤器，用来在捕获的记录中找到所需要的记录
2. 捕获过滤器，用来过滤捕获的封包

过滤表达式的规则

1. 协议过滤
   比如TCP，只显示TCP协议。

2. IP 过滤
   比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102

3. 端口过滤
   tcp.port ==80, 端口为80的

4. Http模式过滤
   http.request.method==“GET”, 只显示HTTP GET方法的。

5. 逻辑运算符为 AND/ OR

封包分析

封包列表(Packet List Pane)

封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。你可以看到不同的协议用了不同的颜色显示。

封包详细信息 (Packet Details Pane)

这个面板是我们最重要的，用来查看协议中的每一个字段。

wireshark与对应的OSI七层模型

TCP三次握手分析

看到这，基本上对wireshak有了初步了解，现在我们看一个TCP三次握手的实例

三次握手过程为

打开wireshark, 打开浏览器输入 http://www.cr173.com

在wireshark中输入http过滤，然后选中GET /tankxiao HTTP/1.1的那条记录，右键然后点击"Follow TCP Stream",

这样做的目的是为了得到与浏览器打开网站相关的数据包

Sniff Master的TCP分析特点

• 自动识别和标记三次握手过程
• 提供连接建立时间统计
• 可视化连接状态转换

从下图可以看到wireshark捕获到的TCP包中的每个字段。

无论是Wireshark还是Sniff Master，都是网络分析和故障排查的强大工具。选择哪种工具取决于你的具体需求和使用习惯。对于需要深度协议分析的专业人士，Wireshark可能是更好的选择；而对于需要快速分析和直观展示的用户，Sniff Master可能更加适合。