全面對比OmniPeek與Sniffer　　

(一) 概述

從DOS版本的Sniffer/EtherPeek開始，這兩個產品就一直是這個領域的一對歡喜冤家。
1997年Sniffer當時所擁有的公司NGC(Network General Coporation)收購了
Cinco Systems，后者擁有當時最為聞名遐邇的Windows下的分析軟件NetXray。
從此Sniffer披上了Windows的外套，在Windows下也實現了Sniffer引以為傲的專
家系統。1997年底，NGC和McAfee合并組成Network Associates，從此踏上了
大規模商業化的道路。

AG Group早期發展EtherPeek的步伐有些緩慢，在推出了Macintosh版本的分析軟件并且壟斷了相應市場以后，其發展軌跡也變得更為技術化。
到2000年以后，WildPackets脫胎于AG Group的傳統建構，并且收購了Net3、Optimal Engineering和PMG等一系列產品、培訓、服務企業，頓時實力大增，WildPackets也進一步把專家系統技術引入到EtherPeek產品線中，出現了
EtherPeek NX等新的產品。從DOS/Mac跨越到windows 2000平臺，EtherPeek
幾乎被從頭進行代碼。
到了2003年以后，WildPackets逐漸羽翼豐滿，終于推出了分布式分析產品
OmniPeek。這個產品足足晚了Sniffer Distributed 8年。

Wireless LAN進入市場以后，網絡分析產品逐漸發現了一個新的戰場，在Hub時代，網絡分析產品不需要配置就可以使用，而且當時網絡又確實漏洞百出。到了 Switch時代，網絡分析產品逐漸變得更難部署，即使部署，成本也很高。到了無線網絡環境，人們發現，又一個新的hub環境駕臨了。

可惜的是從1998年完成合并之后，到2004年NAI分裂之前，NAI始終不能對
Sniffer投注于高昂的激情。相對于防病毒市場而言，網絡分析工具無論是從市場
總量還是增長趨勢都不能與之相提并論。而且更大的問題是網絡分析通常會被認
為比防病毒要高幾個技術level，Sniffer和McAfee在核心價值上遇到了巨大的抵
觸。
Sniffer停滯了三四年之后，終于獲得了重生的機會。但是在這個不短的時機中，WildPackets已經快速逼近，甚至已經超越。

Network Magazine是網絡產業的風向標之一，在網絡分析領域，Sniffer曾一直榮獲1997, 1998, 1999, 2000, 2001的年度最佳網絡分析類產品，然而之后，
2002, 2003年的年度最佳產品桂冠就轉移到了WildPackets手中。工欲善其事，
必先利其器。我們在從事網絡分析、優化之前，很重要的一環就是要準備好最佳
的工具，之后我們試圖用比較客觀的一下Sniffer和OmniPeek的各類功能以及實現效果。希望通過這些比較，能夠幫助我們更加深入地了解這兩個產品，熟悉各類功能的使用和應用，同時找到最最適合自己的稱手的兵刃。

（二）軟件設計

　　從Sniffer Pro和OmniPeek的設計而言，兩者代表了不同時代的設計理念。

Sniffer Pro從netxray里獲得了圖形化界面以后，就開始試圖建立新的網絡分析軟件標準。用過Netxray的同志們應該都知道，Matrix、Dashboard其實都是Netxray里就已經存在的設計。而NGC Sniffer 的最大長處就是Expert System和對各類鏈路的支持。 Expert System顧名思義就是專家系統，自動地根據網絡捕獲的數據進行分析并提供分析結果。

Netxray的界面設計應用了后Win31時代和早Win95時期的界面元素，一直保持到現在，頗有點清澀古風。在底層設計上，現在的Sniffer Pro其實大量地基于
COM/OLE編程，到了Sniffer Distributed，分布式產品，Sniffer 又把結構延續到
DCOM。當時并不知道后來會有病毒直接利用DCOM，因此整個產品設計非常理
想化。 DCOM調用的規范相對較為復雜，這也造成了后期的Sniffer Distributed陷
入了很多問題，諸如界面更新速度、數據顯示延遲等等。這也造成了當時的
Sniffer人決定把整個產品推向到Web based，事實證明把這樣復雜的分析軟
件轉換到Web環境是個徹頭徹尾的錯誤，但是路一旦踏上，就很難有回頭的余地。
我不知道有多少人真正使用過Web-based Sniffer UI，從我個人而言，我并不推薦再去嘗試那個已經被停止前進的Java applet+Web based的東東。
我深深體會到，作為一個分析工具，必須保證自身的快捷、迅速、準確，否則，
哪怕功能強大、跨平臺，分析人員也絕對無法依賴一個笨拙、不穩定的分析環
境。

Sniffer Pro的界面在最近6年沒有發生大的變化，除了因為Wireless LAN的產品引入了一些新的元件之外，整個UI一直保持當初NetXray時代的樣子。這既是缺點，也是優點，一旦熟悉也就可以不用更改任何習慣。

如果來看看OmniPeek，就會發現故事在這里是完全不一樣。OmniPeek的設計元素里大量應用了 Flat Button、TreeView、IE View，使得整個產品很適應
Windows XP/2000的環境。這一點也是后起之秀的優勢，可以充分運用最新的技
術。我特地關注了一下OmniPeek在分布應用時候的通訊協議，很值得一提的
是，OmniPeek避免了任何DCOM的應用，采用了自行開發的一個加密通訊協議。
很久以來的經驗都告訴我DCOM協議既復雜又不安全，而且不適合Internet應
用，因為DCOM采用了動態端口范圍進行通訊，很難從Firewall上簡單過濾。大家
可以google一下DCOM + Firewall，會有一大堆文章討論如何設置這種情況。

OmniPeek的開發環境迅速從VC++遷移到了VC.net，在OmniPeek的很多設計里都已經有了一些基本的.NET特性。而相對而言，Sniffer則拘泥于VC 6.0不能自拔。

OmniPeek產品帶來了很多新的氣象，讓我在長期浸淫在Sniffer Pro之后，重新發現了一個更具魅力的世界。

三、安裝文件結構

1、 Sniffer Pro 4.75 SP4 (最新是4.8) 安裝好以后，占地面積為60M左右。
目錄結構如下
C:\PROGRAM FILES\NAI
└─SnifferNT
├─Driver
├─NetMibs
└─Program
├─AI
├─gbic
├─HTML
│ └─JavaChart
│ └─chart
├─Local
├─Local_2
├─Switch
├─voiceBU
├─Win2K
└─WinXP
Driver目錄下放置了Sniffer Pro支持的幾乎所有網卡適配器的驅動程序。
NetMibs里放置了部分SNMP mib文件，主要是用來描述Sniffer的Alarm Trap的格式，以及Expert-Event trap的格式。這幾個mib用來和SNMP 平臺例如HP OV等系統集成時有點用。令人感到有興趣的是，NetMibs里還有一個文件叫做art.mib，打開以后可以看到作者是NetScout公司。暫時無法準確揣度放在這里的目的，但是至少可以看到網絡分析行業里的幾個大腕還是互相承認的。

Program 目錄里是主要的Sniffer Pro核心文件。每次創建一個Profile會多一個Local打頭的目錄。
比較有用的文件是Sniffer.bet ，可以用來編輯網卡生產廠商的vendor ID，進而影響在Sniffer Pro里的顯示結果。

我比大家多一個 voiceBU子目錄，大家也可以猜猜是為什么。

2、OmniPeek 2.0 安裝完畢以后，大致占用70M左右空間。

├─1033
│ ├─Alarms
│ ├─Documents
│ │ └─Peek SDK
│ │ ├─Docs
│ │ └─Wizards
│ ├─Expert
│ ├─Filters
│ │ └─AppleTalk
│ ├─Graphs
│ ├─Html
│ │ └─QuickTour
│ │ └─p_w_picpaths
│ ├─Names
│ ├─PluginRes
│ ├─Reports
│ │ ├─Auxiliary
│ │ ├─Control
│ │ └─Templates
│ └─Security Audit Template
├─2052
├─Bin
├─Decodes
├─Driver
├─MIBs
├─Plugins
│ └─Mibs
├─RMONGrabber
└─Samples

OmniPeek 目錄下有個名為1033的大目錄，各類模版、文件、HTML的文件都放在該目錄下。
為什么叫做1033呢？因為1033代碼代表美國英語。而2052則代表中文..
從文件樹可以看到，OmniPeek的設計直接面向了國際化，多語言支持可以比較好的實現在OmniPeek中。這也是困擾Sniffer Pro的多年未有中文版本的原因之一。

OmniPeek的安裝中已經包含了所有的SDK開發包，而Sniffer 的二次開發需要安裝另外一個額外的被稱為PDK的附加。

四、設計理念

　　從兩個軟件的初始界面可以看出非常不同的設計理念。
Sniffer啟動完畢以后，出現的是經典的DashBoard界面

這個界面也是當初cinco systems的NetXRay的經典起始界面，Sniffer Pro從4.0版本開始在Dashboard里加入了不少Java特征，從此也引入了很多不穩定性和不兼容性，造成了一系列小麻煩。對不起大家，我平時痛恨Java，因此恨烏及屋。 ? ? ? ? ? ?我先來對比一下OmniPeek的起始界面，

可以看到同樣也是差不多的儀表盤。發明汽車上的儀表盤的工程師們也許沒有想到在信息科技時代仍然可以在網絡分析領域獲得大力應用。 ? ? ? ? ? ?Sniffer Pro的設計目標偏向于“任務”，因此在DashBoard里還加入了監控的特征，能夠很方便地在初始界面里觀察短期網絡流量歷史曲線以及Packet尺 寸分布等數據。而OmniPeek的設計更加面向于“工作”，他會把歷史上打開過的Trace文件列舉在初始界面里，包括幫助、引導文件，以及安全審計模 板等，都可以在起始界面里直接引用。 ? ? ? ? ? ?另一個面向任務的設計體現在捕獲的設計中，在Sniffer Pro里，過濾條件、捕獲設置是在登錄到某一個Profile以后可以隨意設置的，例如，默認的過濾器是”default”，如果按三角形的捕獲按鈕，可 以直接應用當前的過濾器開始捕獲。而OmniPeek的面向工作的設計就不完全一樣，如果點擊開始新的捕獲，可以當時選擇所需捕獲的網卡、過濾器、環境設 置等一系列選項。在Sniffer Pro里，如果要更換當前捕獲用的網卡，必須更換Settings，如下圖

在Sniffer Pro里的這種設計更加證明了面向任務的設計，即當前的任務只需要分析一種網絡，如果更換捕獲網絡，前提是更換任務。不同的Settings保持著完全不同的過濾設置以及工作習慣選項。也許Sniffer Pro更加為咨詢人員設計，而OmniPeek更加為網絡管理人員設計。 ? ? ? ? ? ?OmniPeek里的每次捕獲前設置捕獲參數和捕獲網卡的界面：

設計理念的第二個環節是打開某一個捕獲的trace 文件后的默認初始界面，在這里我不抓屏了。 ? ? ? ? ? ?大家可以發現，在Sniffer Pro 打開某一個捕獲文件以后，默認初始的界面是Expert，即專家系統。而OmniPeek默認初始的界面是Decode，即解碼。這也體現了這兩個產品的 非常大的不同思想，Sniffer Pro試圖證明其包含270余種專家系統的分析模塊是最值得察看也同時是最有價值的功能，可以最大化幫助網絡分析人員的任務。而OmniPeek到目前為 止仍然堅持Decode/解碼是最有效、最核心的策略，盡管OmniPeek也提供90余種專家系統。專家系統到底有沒有用，如何去用？這個問題我們暫且 擱置一下，以后我會專門來對比討論。至少我們可以從這些初始的界面中，對兩者的不同設計理念大致可見一斑。

五、按鍵習慣

嗯？按鍵習慣也能獨立成章嗎？這恰恰是網絡分析軟件的歷史問題的集中表現。大家誰能夠記得Sniffer Pro按什么快捷鍵啟動捕獲嗎？
F10
那么OmniPeek呢？
Ctrl-Y
有點摸不清頭腦了吧？事實上，這只是一個開始。
如果大家打開Sniffer Pro，打開一個以前保存的捕獲文件，或立即捕獲幾個包，然后Stop Display。選擇Decode Tab，展示著名的三欄解碼界面。按鍵盤F4按鍵，嗯？！，當前的欄位被擴展成全屏；再按F4，恢復原有狀態。如果按F6，則當前活動狀態在三個欄位之間*換，*作鍵盤上下鍵可以非常快速地在解碼域、包列表里上下瀏覽。
如果當前切換到解碼欄中，按F4，當前包的解完碼的信息被擴展到全屏。這時候如果我們想切換到下一個包怎么辦？是不是要F4切換回來然后再用鼠標？不必的，直接在解碼全屏情況下按F8就往下瀏覽一個包，而按F7則往前瀏覽一個包。
Sniffer Pro思路里的網絡分析人員和編程人員一樣，要達到如臻化境的狀態，必須能以極快的速度進行快速解析分析，如果分析的時候還需要依賴到鼠標移來移去，或者在菜單里選來選去，那么很難及時在有限的時間里比別人更快地處理復雜的問題。
如果更進一步挖掘鍵盤功能，就會發現，如果要在解碼內容里搜索一些關鍵字，可以用Alt+F3來打開一個搜索框…(我經常不小心按成Alt+F4….)，為什么快捷鍵會設置成這樣？似乎和平是的習慣相差很遠。熟悉Sniffer Pro的同志們就會明白，這些按鍵都是從DOS時代繼承下來的。從前的Network General的DOS
Sniffer就用這些按鍵進行快速使用，當時也沒有鼠標，所以這些按鍵成為了分析
的必須。DOS Sniffer還有很多更多的快速按鍵，很多當初的Sniffer專家直到現在
還在堅持使用DOS Sniffer，用異乎尋常的快速速度沉浸在包與包的切換之中。當
人們向他們展示Windows Sniffer，他們目瞪口呆，居然Sniffer已經成為現在的樣
子。
OmniPeek的快速按鍵同樣也是為了大力提高分析人員的速度，但是更加具備現代氣息，和很多Windows程序一樣，是Ctrl+一系列其他的按鍵。如果能夠熟悉使用，同樣可以很大地提高效率。

盡管微軟曾經提出過Windows程序界面設計指南，要求所有鼠標可以完成的工作必須用鍵盤也能操作。可能至今仍然如此矜持的，除了MS Office之外，網絡分析軟件們也算是個異數。不過大多數網絡分析人員可能并不領這個情，這些按鍵逐漸成為歷史，成為塵封的記憶…

轉載于:https://blog.51cto.com/1841cisco/1228746

總結

以上是生活随笔為你收集整理的OmniPeek与Sniffer比较区别的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。