在网络安全领域网络，嗅探技术也是一把双刃剑，一方面它是黑客手中的入侵手段之一，另一方面它是网络安全管理人员手中的利器。因此存在大量的基于网络嗅探技术的工具，既有免费的，也有商用软件，有直接可以运用的工具，也有开发工具包。这些工具有的可以直接作为些也被广泛用于调试网络故障的网络监控工具，有的是网络安全监控技术的基础。下面就其中具有代表性的几种进行介绍。

1．Windows

（1）Ethereal  Ethereal是一个基于UNIX的程序，它也能运行在Windows上。这可能是在Windows窗口上用于监听的最好的程序。可以在站点http://www.ethereal.com/distribution/上找到该软件，在那里可以下载在Windows上安装运行的版本。

（2）WinDump  WinDump是用于Windows操作系统的tcpdump。tcpdump这个Sniffer很有名，linux，FREEBSD还把它搭带在系统上，这是一个被很多UNIX高手认为是一个专业的网络管理工具，记得以前TsutomuShimomura（应该叫下村侵吧）就是使用他自己修改过的TCPDUMP版本来记录了KEVINMITNICK攻击他系统的记录，后来就配合FBI抓住了KEVINMITNICK，后来他写了一文：使用这些LOG记录描述了那次的攻击，How Mitnick hacked Tsutomu Shimomura with an IP sequence attack可在站点：http://www.attrition.org/security/newbie/security/sniffer/shimomur.txt找到原文。在站点http://windump.polito.it/install/default.htm上可找到能在Windows操作系统上安装使用的Windump。

（3）Network Associates Sniffer (for Windows)  可到NAI的Web站点http://www.nai.com/mktg/survey.asp?type=d&code=2483下载一个Sniffer的网络分析器。

（4）WinNT Server  Microsoft’s WinNT服务器构建了一种叫做“Network Monitor”的程序。在网络控制面版中，选“服务”，点击“加入……”并且选择“网络监视工具和代理”。一旦安装，你可以从在“管理工具”的程序菜单中启动。对于某些商业站点，可能同时需要运行多种协议——NetBEUI、IPX/SPX、TCP/IP、802.3和SNA等。这时很难找到一种Sniffer帮助解决网络问题，因为许多Sniffer往往将某些正确的协议数据包当成了错误数据包。Microsoft的Net Monitor（以前叫Bloodhound）可以解决这个难题。它能够正确区分诸如Netware控制数据包、NTNetBios名字服务广播等独特的数据包。（etherfind只会将这些数据包标识为类型0000的广播数据包。）这个工具运行在MS Windows平台上。它甚至能够按MAC地址（或主机名）进行网络统计和会话信息监视。只需简单地单击某个会话即可获得tcpdump标准的输出。过滤器设置也是最为简单的，只要在一个对话框中单击需要监视的主机即可。

（5）BlackICE Pro  BlackICE是一个入侵检测系统，它能将一些现象文件以其他的协议分析器可以读取的格式写到硬盘上。因此在运用到一个安全的环境的时候，这种用法比一般的Sniffer程序更加有用。然而，它是非混杂模式的，因此，仅仅监听进出计算机的数据包。可在站点http://www.networkice.com/ 找到该软件的有用信息。

（6）CiAll  这个程序仅仅是用来进行解包的。这对于“BlackICE”这种仅仅能记录数据包的程序而言是十分适用的。可在站点http://www.freedownloadscenter.com/Network_and_Internet/Network_Management_Tools/CiAll.html找到该软件。

（7）EtherPeek  可在http://www.wildpackets.com/products/etherpeek下载一个试用版本。目前的EtherPeek NX能实现对于千兆数据的分析处理（对于安装该软件的硬件设备有一定的要求，例处理器要求是1G以上，64位的PCI总线，网络适配器要支持千兆的数据的流量等）。

（8）Intellimax LanExplorer  其试用版本可从站点http://www.sunrisetelecom.com/lansoftware/index.shtml上下载，同时可以在该网页上看到其他监控产品。

（9）Triticom的LANdecoder32  该软件于1989年起到目前版本已经是3.3，详细的信息可以在站点http://www.triticom.com/TRITICOM/LANdecoder32/上找到。

复杂的网络需要十分灵活工具，对于监控和管理软件产品而言，适应多种的网络接口选择是十分关键的。

LANdecoder32采用两种不同的方式来监控通信和协议：远程和本地的。而且LANdecoder32支持多种的本地接口。

LANdecoder32涵盖了OSI的全部7层协议，该软件目前已经解析的协议如表7-1所示。

表7-1  LANdecoder32已经解析的协议

续表 

（10）SpyNet/PeepNet  这个软件不对于数据帧进行解码，但它将会话进行了重组。可在站点http://www.programfiles.com/index.asp?ID=7715上找到该软件。

（11）Analyzer：一个公共范围协议分析器，这是一个进行各种协议分析的工具包。可在站点http://analyzer.polito.it/找到最新版的Analyzer。

（12）Other Windows...存在大量的基于Windows的窃听程序，这些程序中有许多能被下载并且如其他应用软件一样使用。

 PS：http://www.amoisoft.com/ ,AnyView（网络警）网络监控软件是一款国内目前最专业的企业级的网络监控软件产品。包含局域网上网监控、邮件监控、Webmail发送监视、聊天监控、BT禁止、流量监视、上下行分离流量带宽限制、并发连接数限制、禁止聊天工具文件传输、屏幕监视和录象、USB等硬件禁止、应用软件限制、窗口和文件监控、打印监控、ARP火墙、消息发布、日志报警、FTP命令监视、TELNET命令监视、网络行为审计、操作员审计、文件自动备份功能、支持MSN/MSN shell/新浪UC/ICQ/AOL/SKYPE/E话通/YAHOO通/贸易通/google talk/淘宝旺旺/TM/QQ聊天记录等功能；软件专业版包含用于上网监控的AnyView（网络警）标准版和用于本网监控的INTRAVIEW（内网监控）标准版;默认5用户15天专业版测试；
   Webmail发送监视支持：yahoo.com.cn、yahoo.cn、163.com、126.com、qq.com、foxmail.com、hotmail.com、sina.com、sohu.com、tom.com、263、yeah.net、china.com、vip.sina.com、2008.sina.com、live.cn 、188.com 、21cn、sogou.com

2．Macintosh

EtherPeek已经在Macintosh的平台上运行了多年，且它们的软件已可以运用在Windows操作系统上。可在站点 http://www.wildpackets.com/products/etherpeek 上找到该软件。

3．UNIX

UNIX的方法一般是基于libpcap和/或BPF（Berkeley Packet Filters），经常使用tcpdump和Ethereal。

（1）Tcpdump  这是最老的也是最通用的窃听程序。在最简单的模式，它将在命令行的方式下堆积单行的解码，一行一个包。这个程序是UNIX下捕获数据包的标准。维护的最好的版本是http://www.tcpdump.org/。最原始的版本是来自LBL的，你可以在ftp://ftp.ee.lbl.gov/找到。Windows版本的是http://windump.polito.it/install/default.htm。

（2）Ethereal  这是当前用于UNIX的最好的基于图形界面的窃听程序。这个软件一直都被维护得十分好。可以在http://www.ethereal.com/distribution/上找到该软件。

（3）Network General  Network General开发了多种产品。最重要的是Expert Sniffer，它不仅仅可以sniff，还能够通过高性能的专门系统发送/接收数据包，帮助诊断故障。还有一个增强产品“Distrbuted SnifferSystem”可以将UNIX工作站作为Sniffer控制台，而将sniffer agents分布到远程主机上。

（4）snoop  snoop是用于Sun Solaris计算机的窃听软件。和tcpdump比起来它的功能相对弱一些，但是在Sun特有的一些协议，例如，在NFS/RPC上它却工作得很好。Snoop记录的文件在RFC1761中已被详细地说明了。这些文件可以通过一些工具转换为tcpdumop/libcap的格式，其中包括“tcptrace”。

（5）sniffit  sniffit在分析应用层数据的时候是十分有用的。它由Lawrence Berkeley 实验室开发，运行于Solaris、SGI和Linux等平台。可以选择源、目标地址或地址集合，还可以选择监听的端口、协议和网络接口等。这个Sniffer在默认状态下只接受最先的400个字节的信息包，这对于一次登录会话进程刚刚好。可以站点http://reptile.rug.ac.be/~coder/sniffit/sniffit.html上找到。

（6）snort  snort是一个基于libpcap的包监听/日志软件，它具有由内而外的过滤系统。这个Sniffer有很多选项供你使用且可移植性强，可以记录一些连接信息，用来跟踪一些网络活动。可在站点http://www.snort.org上找到相关的信息。

（7）trinux  trinux包含有tcpdump和snifft，在众多的其他安全工具之中，它是用软盘作为引导盘来启动的。可在站点http://www.trinux.org/上找到相关的信息。

（8）karpski  karpski是一个包含有GTK接口的图形化Linux数据包监听软件。可在站点http://rpmfind.net/linux/rpm2html/search.php?query=karpsk上找到相关的信息。

（9）SuperSniffer v1.3  SuperSniffer v1.3通过做一切修改来加强了基于libpcap的数据监听器的功能，这些修改包括对于log文件进行DES加密；流量能被用规格化的表达式的方式进行匹配来记录；POP和FTP被记录在一行：Telnet协商的垃圾被抛弃掉；重复的连接被抛弃掉：TCP数据包被重新装配；记录下并行的TCP连接；重复的POP/FTP连接不被记录；可以在大多数的操作系统下被编译。可以在站点http://dhp.com/~ajax/projects/上找到该软件。

（10）esniff  esniff是一个小软件，它有助于获取口令和用户名。这个软件仅仅能运行在SunOS的平台上，因此今天它基本已经很少被用了。

（11）exdump  对于Linux而言exdump可说是一个轻量级的软件，可在站点http://software.linux.com/projects/exdump/上找到。

4．DOS

由于DOS不是真正的操作系统，因此在运行像窃听这样的程序的时候它似乎比操作系统更加灵活。

（1）Sniffer(r) Network Analyzer  这是一个古老但是确实是很好的一个监听软件，这个Sniffer定义这一类中的所有产品。它包括有3MB的可执行码。这是一个商业产品，它被其Windows版本的Sniffer所取代，但笔者认为它仍旧是可用的，因为在很多的时候，用它比用图形界面的版本更好。可在站点http://www.nai.com/上找到相关信息。

（2）Gobbler和Beholder  Gobbler是一个基于DOS的数据包监听软件，它具有高级的数据包过滤功能。它十分古老，但仍在使用。它是来源于Netherlands的Delft University。Beholder是基于同样的技术的RMON的探针。在http://nmrc.org/files/msdos/gobbler.zip可下载之。

（3）Klos PacketView  这是一个低端的DOS的产品。在http://www.klos.com/可下载之。

5．其他

这有一些在上面没有分类的工具，如：snmpsniff，这是一个致力于SNMP的监听程序。可在站点http://www.idt.ipp.pt/~rff-ribe/snmpsniff/上找到。