我从未在“企业”基础设施部门工作过,但一直负责小型网络。 WireShark(以前 Ethereal 就是这样的)在那些情况下对我来说总是管用。什么时候该交叉?界限在哪里?
答案1
从分析的角度来说,Wireshark 没什么问题,很多企业产品都用到了 Wireshark 的代码。
我认为事情发生改变的是捕获在较大的环境中完成。而在较小的商店中,如果您需要运行数据包捕获,则运行 Wireshark 的笔记本电脑就可以了。但是,一旦您进入具有更高数据速率的较大环境,商品硬件通常无法胜任以线速捕获的任务。在这些情况下,通常需要求助于以下供应商恩代斯或者尼克松为了执行捕获;这些供应商设计了具有非常大的缓冲区的定制硬件 ASIC,保证在成功写入磁盘之前不会丢弃流量。
然而,即使使用这些设备进行记录,我发现,当我将数据包捕获导出到我的工作站进行分析时,我所使用到的工具是 Wireshark。
答案2
这个问题很有趣……我们现在甚至有了 TuboCap 适配器,可以使用 Wireshark(由 CACE Technologies 制造)进行内联和捕获。而且,Wireshark 还添加了 Pilot 的图形/报告功能 - 为什么您要花大价钱购买商用分析仪。
恕我直言,将分析器放到基础设施中间来捕获大量流量的做法很少见(而且可能是错误的程序)。如果用户抱怨 - 尽可能靠近该用户捕获流量。如果该系统正在淹没网络并且 Wireshark 无法跟上 - 您可以 (a) 通常通过检查流量的短暂踪迹来判断洪水是由什么引起的 - 想想 Macof,或者 (b) 在命令行运行 tshark 并保存到文件集 - 然后在 Wireshark 中检查它们。
Laura Chappell Wireshark University 创始人(曾使用过 Sniffer、OmniPeek、Fluke,曾担任 LANalyzer 产品经理)Chappell University 创始人
答案3
就我个人而言,我从未遇到过需要商业产品的情况。我为一家软件供应商工作,我们每天都会让客户使用 WireShark 进行几次故障排除。