1. Packet sniffers （包嗅探器 14个）

十多年来，Nmap项目一直在编目网络安全社区最喜爱的工具。 2011年，该网站变得更加动态，提供打分，评论，搜索，排序和新工具建议表单。 本网站除了我们维护的那些工具（如Nmap安全扫描器，Ncat网络连接器和Nping包操纵器），允许任何平台上的开源和商业工具。

我们对安全社区的集体智慧印象深刻，我们强烈建议您阅读整个列表并研究您不熟悉的任何工具。 单击任何工具名称以获取有关该特定应用程序的更多详细信息，包括阅读（和撰写）评论的机会。 如果您将鼠标悬停在工具小图标上，则会通过它解释许多网站元素。 请享用！

www.wireshark.org
Wireshark（被称为Ethereal而出名，直到2006年夏天的商标争议问题，改名为wireshark）是一款非常棒的开源多平台网络协议分析器。 它允许您查看实时网络或磁盘上捕获文件的数据。 您可以交互式地去浏览捕获数据，深入了解仅仅是你所需要的包详细程度。 Wireshark有几个强大的功能，包括丰富的显示过滤器器语法和查看TCP会话的重建流的能力。 它还支持数百种协议和媒体类型。 还包含叫做tshark的类似于tcpdump命令行控制台版本。 值得注意的是，Wireshark已经遭受了数十个可远程利用的安全漏洞，因此保持最新版本并且谨防在不受信任的或有风险的网络（例如安全会议）上运行它。 阅读38评论。

www.oxid.it/cain.html
UNIX用户经常自豪地断言，最好的免费安全工具首先支持他们的平台，Windows接口往往事后想起。 他们通常是正确的，但Cain＆Abel明显是例外。 这种仅Windows的密码恢复工具可处理各种各样的任务。 它可以通过嗅探网络来恢复密码，使用字典、暴力和密码分析的攻击去破解加密密码，记录VoIP对话，破译加密密码，显示密码框，发现缓存密码和分析路由协议， 它也有丰富的文档。

www.tcpdump.org
Tcpdump是我们在此之前（如Wireshark）使用过的网络嗅探器，在那时我们很多人都频繁地使用它。 Wireshark有，而它可能没有华而不实的东西（如数百种应用协议的漂亮GUI和解析逻辑），但它的工作效果好，安全风险较低。 它还需要较少的系统资源。 虽然Tcpdump经常没有收到新功能，但它是积极维护来修复错误和可移植性问题。 利于跟踪网络问题或监控活动。 有一个名为WinDump的单独的Windows版本。 tcpdump是Libpcap / WinPcap数据包捕获库的源码，由Nmap和许多其他工具使用。

www.kismetwireless.net
Kismet是一个基于二层802.11的无线网络检测器，嗅探器和入侵检测系统的控制台（ncurses 伪图形终端）。 它通过被动嗅探来识别网络（它反对更加主动的工具，例如NetStumble），甚至有隐藏网络正在使用中也可以取消隐蔽的隐藏网络（没有信标）。 它可以通过嗅探TCP，UDP，ARP和DHCP数据包来自动检测网络IP块，以Wireshark / tcpdump兼容格式记录流量，甚至可以在下载的地图上绘制检测到的网络和估计的范围。 正如你所期望的，这个工具通常用于战争驾驶。 哦，还有战争行走，战争飞行，战争滑行等。

ettercap.sourceforge.net
Ettercap是一个局域网中间人攻击套件。 它具有在线连接嗅探，在运行中的内容过滤和许多其他有趣的技巧。 它支持主动和被动解析许多协议（甚至加密的协议），并且包括许多网络和主机分析的功能。

www.stumbler.net
Netstumbler是用于查找开放式无线接入点（战争驾驶）的最着名的Windows工具。 他们还为PDA和叫作MiniStumbler分发WinCE版本。 该工具目前是免费的，但仅提供Windows，并且不提供源代码。 它采用比Kismet或KisMAC的被动嗅探器更积极地方式去寻找WAP。

Dug Song的流行和精心设计的套件包括许多工具：dsniff，filesnarf，mailsnarf，msgsnarf，urlsnarf和webspy 被动地监视网络以获取有兴趣的数据（密码，电子邮件，文件等）; arpspoof，dnsspoof和macof 便于拦截通常对攻击者无法获得的网络流量（例如，第2层交换）; sshmitm和webmitm 通过利用ad-hoc PKI中的弱绑定依靠重定向的ssh和https会话来实施主动中间人攻击。 单独维护的部分Windows可获得。 该套件在过去十年缺乏任何更新，但它仍然是处理您的密码嗅探需求的一个很好的工具集。

www.ntop.org
Ntop以类似于为进程的top命令方式显示网络使用情况。 在交互模式下，显示用户终端的网络状态。 在Web模式下，它作为Web服务器，创建网络状态的HTML转储。 它运行NetFlow / sFlow发射器/接收器，一个用于创建以ntop中心的监控应用程序的基于HTTP的客户端界面，以及用于持久存储流量统计信息的RRD数据库。

ngrep.sourceforge.net
ngrep致力于提供GNU grep的大部分常见功能，并将其应用于网络层。 ngrep是一个支持pcap的工具，它允许您指定扩展的正则表达式或十六进制表达式，以匹配数据包的有效载荷。 它目前通过以太网，PPP，SLIP，FDDI，令牌环和空接口识别TCP，UDP和ICMP，并以与更常见的数据包嗅探工具（如tcpdump和snoop）相同的方式了解bpf过滤器逻辑。 查看此工具。

etherape.sourceforge.net
EtherApe
具有链路层，IP和TCP模块，EtherApe以彩色编码协议图形化的显示网络活动。 主机和链接的多少随流量而变化。 它支持以太网，WLAN，FDDI，令牌环，ISDN，PPP和SLIP设备。 它可以过滤要显示的流量，并且可以从文件读取流量，也可以从网络中经过的。

networkminer.sourceforge.net
NetworkMiner是Windows的网络取证分析工具。 NetworkMiner可以用作被动网络嗅探器/数据包捕获工具，以便检测操作系统，会话，主机名，开放端口等，而不会在网络上造成任何流量。 NetworkMiner还可以离线分析pcap文件，并从pcap文件重新生成/重组传输的文件和证书。 与其他像Wireshark的嗅探器相反，NetworkMiner的显示器主要关注主机及其属性，而不是原始数据包。

lcamtuf.coredump.cx/p0f.shtml
P0f能够通过检查捕获的数据包来识别目标主机的操作系统，即使所涉及的设备在过度的包过滤防火墙之后。 P0f不产生任何额外的网络流量，直接或间接。 没有名称解析，没有神秘的探测器，也没有ARIN查询，什么也没有。 在高级用户手中，P0f可以检测到防火墙存在，NAT使用，负载均衡的存在等等！

www.metageek.net/products/inssider
inSSIDer是Windows，OS X和Android的无线网络扫描仪。 它旨在克服NetStumbler的限制，即在64位Windows和Windows Vista上无法正常工作。 inSSIDer可以找到开放的无线接入点，随时间跟踪信号强度，并使用GPS记录保存日志。

kismac-ng.org
这是为Mac OS X的流行的无线stumbler提供了其同名Kismet的许多功能，尽管代码库完全不同。 与基于控制台的Kismet不同，KisMAC提供了一个漂亮的GUI，并且在Kismet被移植到OS X之前就有。它还提供映射，Pcap格式导入和日志记录，甚至一些解密和解除身份认证攻击。