1. Internal
2. Scripts
3. Wrappers封装器
4. External Links
	4.1 Dedicated capture tools 专用捕获工具
	4.2 Monitoring/tracing tools 监控/追踪工具
	4.3 Traffic generators 流量生成器
	4.4 Capture file editors and/or anonymizers 编辑器和/或匿名器
	4.5 Capture file repair 修复
	4.6 Capture file tools 工具
	4.7 Capture file conversion 转换
	4.8 Collections 集合
	4.9 USB capture
	4.a Intrusion Analysis / SQL Database Support 入侵分析/SQL支持
5. 数据包分析器比较

 Wireshark Tools
这里汇集了用户可能喜欢分享的 Wireshark / TShark 相关脚本和工具,以及相关 NetworkTroubleshooting 工具的链接。
您可以在“开发”页面找到更多与开发相关的工具。
下文是单纯的Google翻译, 相关链接, 可打开上面原文, 注: 已是5年前的文章(2020-08-11).

1. Internal

  • Wireshark 附带一些命令行工具。这些工具对于处理捕获文件非常有用。
  • capinfos 是一个程序,它读取已保存的捕获文件并返回有关该文件的部分或全部统计信息。
  • dumpcap 是一个小程序,其唯一目的是捕获网络流量,同时保留了诸如捕获到多个文件等高级功能(自 0.99.0 版本起)。Dumpcap 是 Wireshark/tshark 引擎。对于长期捕获,这是您需要的工具。
  • editcap 编辑和/或转换捕获文件的格式
  • mergecap 将多个捕获文件合并为一个
  • randpkt 随机数据包生成器
  • rawshark 转储并分析原始 libpcap 数据
  • reordercap 将输入文件按时间戳重新排序到输出文件中
  • text2pcap 从数据包的 ASCII 十六进制转储中生成捕获文件
  • tshark 是 Wireshark 的命令行等效工具,在很多方面与 tcpdump/WinDump 相似,但功能更多。学习它,使用它,爱上它。

2. Scripts

  • dumpcap.bat dumpcap.exe 的批处理文件前端。它允许您保存 dumpcap.exe 设置、接收捕获事件通知或在捕获事件发生后触发 dumpcap.exe 捕获。它还提供钩子,用于通过用户定义的批处理文件执行自定义操作等。为了充分利用此批处理文件,建议您同时下载 Handle.exe 和 mailsend1.17b14.exe,并确保将其重命名为 mailsend.exe。这些可执行文件应保存在您的 PATH 目录中,或与 dumpcap.bat 本身位于同一目录中。(GPL,Windows)
  • maxfiles.bat 是一个批处理文件,用于限制目录中的文件数量或这些文件占用的总磁盘空间,或两者兼而有之。
  • menushark,一个 Bourne Shell 菜单脚本,允许用户通过回答一些菜单问题来使用 tshark。该脚本还会提供菜单系统生成的命令,以尝试教您如何在命令行中使用 tshark。
  • mpeg_dump 是一个 Lua 脚本,它添加了 Wireshark 扩展,用于将网络捕获的 MPEG-2 传输流数据包(ISO/IEC 13818-1)转储到文件中,例如,提取通过 UDP 单播或多播传输的一个或多个 mpeg PID。
  • osXextraction,一个 macOS Bash 脚本,用于从捕获文件中提取特定数据包类型(注意:它并非 macOS 专用 - 一些小改动应该可以使其在其他 UN*X 上运行,并且可能也可以在装有 Cygwin 的 Windows 上运行。)
  • pdetipv4.py:检测二进制转储中的 IPv4 数据包头,Perl3,代码开发 https://github.com/gr8drag1/pdetipv4,讨论 https://www.linkedin.com/posts/vadim-zakharine-bb55922_wireshark-ip-capture-activity-6601113583017439232-pCGo
  • RtpDumpScript,一个用于转储 RTP 音频数据的 Perl 脚本
  • RtpH263DumpScript,一个用于转储 H.263 视频数据的 Perl 脚本
  • tektronix2pcap,一个用于转换 Tektronix rf5 文件的脚本转换为可加载到 Wireshark 的 pcap 格式。请注意,当前版本的 Wireshark 可以直接读取 rf5 二进制捕获文件。
  • update-ws-profiles 和 update-ws-profiles.bat 自动更改 Wireshark 配置文件集合中的字符串,例如将“gui.filter_expressions.expr: eth.addr==11:22:33:44:55:66”更改为“gui.filter_expressions.expr: eth.addr==66:55:44:33:22:11”。
  • update_geoip.bat 批处理文件,灵感来自 Jasper Bongertz 的 UpdateGeoIPDB.cmd 文件,可更轻松地更新 MaxMind GeoIP 数据库文件。 (GPL,Windows)

3. Wrappers封装器

  • dumpcapui - dumpcap.exe 的 GUI 前端,可帮助您设置 dumpcap.exe 捕获,并允许稍后存储和检索这些设置。(Windows)
  • Net::Sharktools - 使用 Wireshark 的 Perl 数据包解析引擎(博客文章:1 2)。
  • Packet Dump Decode (pdd) 是一个简单便捷的 Wireshark 工具 GUI 包装器,用于将数据包十六进制转储转换为格式良好的 XML(例如 text2pcap 和 tshark)。使用 pdd,您只需将十六进制转储文件复制粘贴到 pdd 中,然后点击“解码”按钮即可(GPL,Linux/Win32)。
  • 数据包十六进制转储解码器 (phd) 是一款基于 Web 的实用程序,它使用 Wireshark 工具在线解码数据包十六进制转储文件。
  • Sharktools - 使用 Wireshark 的 Matlab 和 Python 数据包解析引擎(公告)。
  • Webshark.io - 使用 sharkd 作为后端的 Web 界面。Git 代码库
  • Termshark - tshark 的终端用户界面。使用 Go 语言编写,支持 Linux/macOS/FreeBSD/Windows。Git 代码库

4. External Links

与网络故障排除等相关的工具。

4.1 Dedicated capture tools 专用捕获工具

  • dumpcap 随 Wireshark 提供,已在上文“内部”部分提及
  • Microsoft Message Analyzer 微软最新的工具,用于捕获、显示和分析协议消息流量,以及跟踪和评估来自 Windows 组件的系统事件和其他消息
  • Microsoft Network Monitor 3.4 Microsoft 的网络流量捕获和协议分析工具,现已被 Message Analyzer  大量取代,但仍具有潜在用途,尤其适用于不符合 Message Analyzer 系统要求的系统。
  • Microsoft Packet Monitor 工具:数据包监控是一项新功能,可让您通过捕获网络堆栈中的网络流量并将其显示在经过筛选、整理且易于跟踪和操作的日志中来诊断服务器。(pktmon.exe) 非 Microsoft 编写。 (如有 Microsoft 文档更新)
  • multicap(Linux 数据包捕获工具)
  • netsniff-ng(Linux 数据包捕获工具)
  • netsh trace Windows 原生命令行跟踪工具
  • PacketCache 在 RAM 中捕获数据包(仅限 Windows)
  • Packet Sniffer 面向连接的 TCP/IP 数据包嗅探器和协议分析器
  • RawCap(Windows 原始套接字嗅探器)
  • snoop SunOS/Solaris 捕获工具
  • SPAN Port Configurator(Windows 思科 SPAN 端口配置工具)
  • TcpDump / WinDump 经典捕获工具
  • UML Sniffing 一个补丁,用于在用户模式 ​​Linux 中启用嗅探(类似于 netkit 中的使用)
  • Colaso​​ft Capsa 免费网络分析仪是一款用于以太网监控、故障排除和分析的免费网络分析仪软件。 (Windows 免费软件)

4.2 Monitoring/tracing tools 监控/追踪工具

以下工具可以处理 Wireshark 和 TShark 生成的 libpcap 格式文件,或执行与 Wireshark 和 TShark 互补的网络流量捕获和分析功能。括号中列出了程序许可证和支持的操作系统。
  • A-packets 允许读取 pcap 文件并分析 IPv4/IPv6、HTTP、Telnet、FTP、DNS、SSDP、WPA 协议,构建网络结构图和节点活动图,嗅探和分析网络流量及其他 pcap 数据。分析 pcap 文件以查看 HTTP 标头和数据,提取传输的二进制文件、文件、办公文档和图片。
  • Arkime Arkime(原名 Moloch)是一款大型开源索引式数据包捕获 (PCAP) 和搜索工具。
  • Cap'r Mak'r 为各种协议生成新的 pcap
  • Chaosreader 从 TCP 连接中提取数据流并将每个流写入文件(GPL、Windows 和各种 UN*X 操作系统)
  • CloudShark 能够在浏览器中查看和分析捕获的数据,对其进行注释和标记,并通过 URL 共享。
  • Cookie Cadger 帮助识别使用不安全 HTTP GET 请求的应用程序的信息泄露。
  • Driftnet 是一个监听网络流量并从其观察到的 TCP 流中挑选出图像的程序(GPL、Linux)。
  • Dshell 是一个可扩展的网络取证分析框架,可以快速开发插件来支持对网络数据包捕获的解析。 (MIT,Linux)
  • EtherApe 图形化网络监视器(GPL,仅限 Linux)
  • Ettercap 允许嗅探交换网络局域网中的设备(GPL,BSD/Linux/Solaris)
  • ExtShark 是 tshark 的 Web 界面,可将数据转储到云端。
  • Homer SIP 捕获服务器和代理
  • HPD 在线十六进制消息和 pcap 文件解析器,具有数据包可视化功能。
  • HUNT 允许嗅探交换网络局域网中的设备,并提供一个非常易于使用的 API,用于在转发拦截的帧之前对其进行修改。拦截和修改。(GPL,Linux)
  • Impacket 是一个 Python 类集合,专注于提供对网络数据包的访问(Apache,Linux)。
  • ipsumdump 将 TCP/IP 转储文件汇总为易于人类和程序读取的自描述 ASCII 格式(使用 Click 模块化路由器)。
  • joincap 优雅地合并多个 pcap 文件(MIT,Linux/MacOS/Windows)
  • junkie 实时数据包嗅探器和分析器(AGPLv3,Linux)
  • justsniffer 是一款 TCP 数据包嗅探器。(GPL,BSD/Linux/Win32)
  • Mojo Packets Mojo Packets™ 是一款基于 Web 的工具,旨在简化 Wi-Fi (IEEE 802.11) 环境中观察到的连接问题跟踪分析和故障排除。
  • Mu DoS 可将任何数据包转换为 DoS 生成器
  • NetSleuth 是一款免费的网络取证和 pcap 文件分析器。它提供离线事件响应分析和实时“静默端口扫描”功能。(GPL,Windows)
  • netsniff-ng 是一款免费的 Linux 网络分析器和网络工具包。
  • NetworkMiner 一款网络取证分析工具(GPL,Windows)
  • Ntop Network Top - 用于分析网络流量统计数据的工具(GPL,FreeBSD/Linux/Unix)
  • 在线消息解析器 一款在线单十六进制消息解析器,支持无线/PSTN/VoIP 协议(​​免费软件,Web)
  • 在线 PCAP 转 MSC 图表生成器 可从 PCAP 文件生成 MSC 箭头图。
  • p0f 提供多功能被动操作系统指纹识别和许多其他技巧(免费软件,BSD/Linux/Win32/...)。点击此处 查看使用 p0f 生成的一些统计数据和一些脚本。
  • packet-o-matic 是一款数据包嗅探器,支持相当通用的数据包处理,主要用于网络取证。(GPL,BSD/Linux/macOS/Solaris)
  • PacketShark™ 一款手持式硬件分路器,可现场以线速捕获 100% 以太网数据包;使用外部存储设备(SD 存储卡)存储捕获的数据,并使用 wireshark 进行分析。
  • pcap_diff 比较 pcap 文件中接收、丢失或更改的数据包。
  • pcapdatacopy 一款基于 Windows 的应用程序,具有多种功能:将 TCP/UDP 有效载荷数据从一个或多个 .pcap 文件复制到单个文件。将多个 .pcap 文件合并为一个文件,检测一个或多个文件中的 RTP 流并将其导出为原始格式和 wav 格式文件。(Win32)
  • Prelude 另一款网络入侵检测系统(GPL,BSD/Linux/Unix)
  • RRDtool 是一个“用于存储和显示时间序列数据(例如网络带宽、机房温度、服务器平均负载)的系统”。(GPL,各种 UN*X) 许多基于 RRDtool 的应用程序列在 RRD World 页面上。
  • Show Traffic 显示 TCP/UDP 流量的连续摘要列表(BSD、Win32)
  • Snort 网络入侵检测系统(GPL、BSD/Linux/Unix/Win32)
  • SplitCap pcap 文件拆分器。
  • Suricata 是一款免费开源、成熟、快速且强大的网络威胁检测引擎。(GPLv2、Windows 和各种 UN*X 操作系统)
  • tcpflow 从 TCP 连接中提取数据流并将每个流写入文件(GPL、UN*X/Windows)
  • tcpick tcpick 是一个基于 libpcap 的文本模式嗅探器,可以跟踪、重组和重新排序 TCP 流(GPL、BSD/Linux/Unix)
  • TcpShark 是一款专门用于 TCP 分析的数据包分析器,是 TShark 的前端。 (GPL,Linux/Solaris/macOS/Windows)
  • tcpstat 用于报告 TCP 连接统计信息的工具(BSD 风格,BSD/Linux/Unix)
  • tcptrace 用于分析 TCP 连接的工具(GPL,BSD/Linux/Unix)
  • TcpView 将 TCP/UDP 端点映射到正在运行的程序(免费软件,Win32)
  • tcpxtract 一款基于文件签名从网络流量中提取文件的工具(GPL,各种 UN*X)
  • Tele Traffic Tapper 图形化流量监控工具;还可以读取已保存的捕获文件(BSD 风格?,BSD/Linux)
  • TPCAT 将分析两次数据包捕获(以防火墙两侧为例),并报告在源捕获中看到但未到达目标的任何数据包(GPLv2,任何安装 Python 和 pcapy 的操作系统)
  • tracesplit 将跟踪拆分为多个较小的跟踪文件(GPLv3)
  • Tranalyzer 是一款轻量级流量生成器和数据包分析应用程序(GPL,Linux)
  • TrimPCAP 修剪 PCAP 文件
  • Tstat 一款被动嗅探器,能够提供网络和传输层流量模式的多种洞察(GPL,各种 UN*X)
  • VisualEther 协议分析器 从 Wireshark PDML 输出生成序列图(Win32)
  • VoIP 分析工具 合并、拆分、审计或匿名化 Wireshark 捕获数据。 (Windows/Linux/macOS)
  • WebScarab WebScarab 是一个用于分析使用 HTTP 和 HTTPS 协议通信的应用程序的框架。
  • Xplico 一款网络取证分析工具(GPL,仅限 Linux)
  • xtractr 一款协作式云应用,使用 tshark 对大型 pcap 数据进行索引、搜索、报告和提取。
  • Expert Network Analysis 一款在线工具,您可以上传在被认为存在问题的网络点捕获的 pcap 流量轨迹,并接收个性化报告。
  • Zeek(原名 Bro) 一款开源网络安全监控工具(BSD 许可证,Linux、FreeBSD、macOS,可能还有其他各种 UN*X 操作系统)

4.3 Traffic generators 流量生成器

这些工具可以生成并传输流量,也可以从捕获文件中重新传输流量(可能包含更改),或者允许您编辑捕获文件中的流量并重新传输。
  • Bit-Twist 包含 bittwist(用于从捕获文件重新传输流量)和 bittwiste(用于编辑捕获文件并将结果写入另一个文件)(GPL,BSD/Linux/OSX/Windows)。
  • Cat Karat - 简单的数据包生成工具,允许构建用于防火墙或目标测试的自定义数据包,并集成了用于自动化测试的脚本功能。(Windows)
  • D-ITG -(分布式互联网流量生成器)是一个能够在数据包级别生成流量的平台,能够精确复制 IDT(出发间隔时间)和 PS(数据包大小)随机变量(指数、均匀、柯西、正态、帕累托等)的适当随机过程。
  • epb - 以太网软件包 bombardier  一个简单的 CLI 工具,用于从纯文本/pcap/netmon/snoop 文件生成/转换以太网数据包。 (类似 BSD,Linux/Unix)
  • HexInject 是一款功能强大的数据包注入器和嗅探器,它提供了一个用于原始网络访问的命令行框架。(BSD 许可证 (2011),*nix)
  • Mausezahn Mausezahn 是一款用 C 语言编写的免费快速流量生成器,允许您发送几乎所有可能和不可能的数据包。它现在是 netsniff-ng 工具包的一部分。
  • Nemesis 是一款命令行网络数据包制作和注入实用程序。Nemesis 可以原生制作和注入 ARP、DNS、ETHERNET、ICMP、IGMP、IP、OSPF、RIP、TCP 和 UDP 数据包。(GPL,BSD/Linux/Solaris/Mac OSX/Win32)
  • Network Expect 是一个框架,允许轻松构建与网络流量交互的工具。按照脚本,流量可以注入网络,并根据接收到的网络流量做出决策并采取行动。它是一种解释型语言,提供分支和高级控制结构来指导与网络的交互。Network Expect 使用 libwireshark 执行所有数据包解析任务。(GPL,BSD/Linux/OSX)
  • 网络流量生成器 基于客户端/服务器的 TCP/UDP 流量生成器 (GPL,BSD/Linux/Win32)
  • Ostinato 是一款具有友好图形用户界面的网络数据包和流量生成器及分析器。它的目标是成为“Wireshark 的逆向版本”,从而与 Wireshark 形成互补。它支持自定义数据包生成,可编辑多种协议的任意字段:以太网、802.3、LLC SNAP、VLAN(带 Q-in-Q)、ARP、IPv4、IPv6、IP-in-IP(又称 IP 隧道)、TCP、UDP、ICMP、IGMP、MLD、HTTP、SIP、RTSP、NNTP 等。它对于功能测试和性能测试都非常有用。(GPL,Linux/BSD/OSX/Win32)
  • packETH GUI/CLI 以太网数据包生成器 (GPL,Linux/OSX/Windows)
  • Packet Sender 是一款开源实用程序,用于发送和接收 TCP、UDP 和 SSL(加密 TCP)数据包 (GPL,Linux/OSX/Windows)。
  • PlayCap 是一款用于回放 pcap/Wireshark 捕获数据的 GUI 工具 (GPL,Linux/Windows)。
  • Scapy Scapy 是一款功能强大的交互式数据包处理程序(Python 编写)。它能够伪造或解码多种协议的数据包,将其发送到网络,捕获数据包,匹配请求和回复等等。(GPL,BSD/Linux/OSX)
  • tcpreplay 与 tcpdump 相反,它通过网络接口发送 pcap 文件(BSD,BSD/Linux/Unix)
  • Colaso​​ft Packet Player 是一款数据包重放器,允许用户打开捕获的数据包跟踪文件并在网络中回放。(Windows 系统,请参阅最终用户许可协议)
这是另一个流量生成器集合:http://www.grid.unina.it/software/ITG/link.php

4.4 Capture file editors and/or anonymizers 编辑器和/或匿名器

这些工具可用于“匿名化”捕获文件,将 IP 地址等字段替换为随机值。
  • 来自 CRAWDAD 无线流量档案库的 AnonTool。
  • 来自 Bit-Twist 的 bittwiste 工具。
  • Crypto-PAn 工具。
  • Network Expect 工具,可用于匿名化数据包。
  • 来自卡尔斯鲁厄理工学院远程信息处理研究所的 pktanon 工具。
  • 来自 Omnipacket 的 SafePCAP 工具。
  • SCRUB-tcpdump 工具。
  • 来自互联网流量档案库的 tcpdpriv 工具。
  • 来自 tcpreplay 的 tcprewrite 工具。
  • TraceWrangler 工具。
  • VoIP 匿名化工具。可匿名化 Wireshark 捕获的数据。任何协议、任何参数、任何 pcap。(Windows/Linux/macOS)
  • 来自 Omnipacket 的 WireEdit 工具。
  • Colaso​​ft Packet Builder 支持创建自定义网络数据包;用户可以使用此工具检查其网络是否受到攻击和入侵。Colaso​​ft Packet Builder 包含非常强大的编辑功能。除了常见的十六进制编辑原始数据外,它还具有解码编辑器,使用户能够更轻松地编辑特定协议字段的值。(Windows 系统,请参阅最终用户许可协议 (EULA))
  • CAIDA 网站上有一个分类的匿名化工具列表。

4.5 Capture file repair 修复

这些工具会尽可能地修复损坏的捕获文件。
pcapfix 可以修复损坏或截断的捕获文件。

4.6 Capture file tools 工具

  • bpfexam 此工具阐述了 Berkeley Packet Filter 编译的理论及其在 libpcap 中的参考实现的实践。它也可用于故障排除和调试。
  • Brim 浏览、存储和归档日志的新方法(Windows、macOS、Linux,BSD 三条款许可证)
  • Brute Shark 一款网络取证分析工具 (NFAT),可对网络流量(主要是 PCAP 文件)进行深度处理和检查。(Windows、Linux,GPLv3)
  • large-pcap-analyzer 旨在高速对大型 PCAP 文件执行一些常见操作。
  • sctpunbunlde 将 SCTP 数据块拆分为单独的帧。Git 仓库

4.7 Capture file conversion 转换

这些工具可在不同的捕获文件格式之间进行转换。
  • etl2pcapng 此工具可让您通过将 etl 文件转换为 pcapng 文件,使用 Wireshark 查看 ndiscap 数据包捕获。 (Windows,MIT 许可证)
  • PcapNG.com 免费在线服务,可将 pcapng 文件转换为纯 libpcap (pcap) 格式。
  • ProConvert 可在不同格式之间转换捕获文件 - 部分格式目前不支持 Wireshark(闭源免费软件,供应商不支持且指出存在 bug,需要注册并签订 WildPackets 维护合同,仅限 Win32)

4.8 Collections 集合

工具列表 各种网络工具链接的网页
  • dsniff 是一套用于网络审计和渗透测试的工具(BSD 风格?,BSD/Linux/Solaris/...)。
  • 网络安全工具包 (NST 36-13232) 基于 Fedora (F36) 的可启动 Linux 发行版,包含一流的开源网络安全工具。它为 dumpcap 网络数据包捕获引擎提供基于 Web 的前端,并支持转储文件格式:pcapng。支持每个 Multi-Tap 会话同时在最多 4 个网络接口上进行网络数据包捕获。此外,它还提供 IPv4 地址对话地理位置信息,以及通过 PDML 和 PSML 数据包解码生成丰富的 HTML 报告的功能。有关教程和使用示例,请参阅文章:Multi-Tap 网络数据包捕获。捕获开始时间可以延迟一段时间或绝对日期。捕获的数据可以从 NST 上传到“CloudShark.org”或“CloudShark Appliance”,以便在 Web 浏览器中查看、共享和分析(更多信息请参阅:如何使用 NST CloudShark 上传管理器)。Tshark 特定的统计信息对话可以以表格形式生成,然后使用 NST WUI 的“网络工具小部件”进行进一步分析。
  • Packetfactory 项目 各种与网络相关的工具和库
  • nmap 用户投票评选出的 75 大安全工具

4.9 USB capture

目前,Wireshark 只能在 Linux、macOS 和 Windows 下捕获原始 USB 流量;请参阅 CaptureSetup/USB。如果是以太网(或任何其他网络相关的)USB 适配器,Wireshark 可以捕获来自该 USB 设备的以太网流量(前提是平台支持该设备)(通常情况下支持)。在 Win32 上,您可以尝试:
  • SniffUSB 的“小”更新和 usbsnoop 1.8 的移植(v2.0.0006,2007 年 2 月)
  • SnoopyPro 基于 usbsnoopy,最新更新版本 (v0.22) 于 2002 年(GPL,Win32)
  • usbsnoop 似乎也是由同一开发者开发的,但在 2001 年至 2003 年期间进行了更新(最新 v1.8)
  • usbsnoopy 最新更新版本 (v0.13) 于 2001 年(无许可证,包含源代码,Win32)

4.a Intrusion Analysis / SQL Database Support 入侵分析/SQL支持

  • Command Five Pty Ltd 的 C5 SIGMA 使用自动加载工具,使 TShark (Wireshark) 能够将大量数据包捕获数据加载到 SQL 数据库中生成的模式。C5 SIGMA 将 Wireshark 协议树展平为关系表结构,可用于入侵分析和与其他系统的数据关联。它还通过智能生成人类可读的名称,支持对 Wireshark 协议树中可见的未命名文本字段进行 SQL 查询。C5 SIGMA 是一款免费软件,遵循 GPL 许可证发布。
  • pcap2xml/sqlite 此工具将 802.11 数据包跟踪(PCAP 格式)转换为 XML 和 SQLITE 等效格式,因此您现在可以对数据包运行 XPATH/XQUERY/SQL 查询。

5. 数据包分析器比较

name Creator UI License Cost Latest release Win mac Lin BSD Solaris Other
Wireshark 
(原Ethereal)		 The Wireshark team Both GNU GPL Free 2025-06-04 v4.4.7 Yes Yes Yes Yes Yes AIX, HP-UX, IRIX, Tru64 UNIX
tcpdump
WinDump		 The Tcpdump team CLI GNU GPL Free 2024-08-30 v4.99.5 Yes Yes Yes Yes Yes AIX, HP-UX, IRIX, Tru64 UNIX
ngrep Jordan Ritter CLI BSD-style Free 2017-09-07 v1.47 Yes Yes Yes Yes Yes AIX, HP-UX, IRIX, Tru64 UNIX, BeOS
Ettercap ALoR and NaGA Both GNU GPL Free 2020-08-01 v0.8.3.1 Yes Yes Yes Yes Yes ?
Kismet Mike Kershaw (dragorn) CLI GNU GPL Free 2020-05-02 v2020-04 Yes Yes Yes Yes ? ?
EtherApe Juan Toledo GUI GNU GPL Free 2018-06-03 v0.9.18 No Yes Yes Yes Yes ?
justniffer The Justniffer team CLI GNU GPL Free 2016-03-21 v0.5.15 No Yes Yes Yes Yes ?
Xplico The Xplico team Both GNU GPL Free 2019-05-02 v1.2.2 No No Yes No No No
netsniff-ng Daniel Borkmann CLI GNU GPL Free 2016-11-07 v0.6.2 No No Yes No No No
Cain and Abel Massimiliano Montoro GUI Freeware Free 2014-04-07 v4.9.56 Yes No No No No No
Fiddler Eric Lawrence / Telerik GUI Freeware Free 2019-10-03 v5.0            
Allegro Network Multimeter Allegro Packets web Proprietary Non-free 2023-07-20 v4.0.4            
Microsoft Message Analyzer Microsoft GUI Proprietary Free 2016-10-28 v1.4            
Microsoft Network Monitor Microsoft GUI Proprietary Free 2010-06-24 v3.4 Yes No No No No No
Capsa, Capsa Free Edition Colasoft GUI Proprietary $0–$995 2018-04-24 v11.1 Yes No No No No No
Charles Web Debugging Proxy Karl van Randow GUI ? $30–$50 2017-07-10 v4.1.4 Yes Yes Yes ? ? ?
CommView TamoSoft GUI Proprietary $299–$599 2017-11-30 v6.5 Yes No No No No No
OmniPeek 
(原 AiroPeek, EtherPeek)		 LiveAction
(原Savvius, WildPackets)		 GUI Proprietary $1194-5994 2017-11-01 v11.1 Yes No No No No No
dSniff Dug Song CLI BSD License Free 2000-12-17 v2.3 ? Yes Yes Yes Yes ?
snoop Sun Microsystems CLI CDDL Free 2006-12-11 Solaris10 No No No No Yes No