全面對比OmniPeek與Sniffer

(一) 概述從DOS版本的Sniffer/EtherPeek開始，這兩個產品就一直是這個領域的一對歡喜冤家。1997年Sniffer當時所擁有的公司NGC(Network General Coporation)收購了Cinco Systems，後者擁有當時最為聞名遐迩的Windows下的分析軟件NetXray。從此Sniffer披上了Windows的外套，在Windows下也實現了Sniffer引以為傲的專家系統。1997年底，NGC和McAfee合並組成Network Associates，從此踏上了大規模商業化的道路。

AG Group早期發展EtherPeek的步伐有些緩慢，在推出了Macintosh版本的分析軟件並且壟斷了相應市場以後，其發展軌跡也變得更為技術化。到2000年以後，WildPackets脫胎於AG Group的傳統建構，並且收購了Net3、Optimal Engineering和PMG等一系列產品、培訓、服務企業，頓時實力大增，WildPackets也進一步把專家系統技術引入到EtherPeek產品線中，出現了EtherPeek NX等新的產品。從DOS/Mac跨越到windows 2000平台，EtherPeek幾乎被從頭進行代碼。到了2003年以後，WildPackets逐漸羽翼豐滿，終於推出了分布式分析產品OmniPeek。這個產品足足晚了Sniffer Distributed 8年。

Wireless LAN進入市場以後，網絡分析產品逐漸發現了一個新的戰場，在Hub時代，網絡分析產品不需要配置就可以使用，而且當時網絡又確實漏洞百出。到了Switch時代，網絡分析產品逐漸變得更難部署，即使部署，成本也很高。到了無線網絡環境，人們發現，又一個新的hub環境駕臨了。

可惜的是從1998年完成合並之後，到2004年NAI分裂之前，NAI始終不能對Sniffer投注於高昂的激情。相對於防病毒市場而言，網絡分析工具無論是從市場總量還是增長趨勢都不能與之相提並論。而且更大的問題是網絡分析通常會被認為比防病毒要高幾個技術level，Sniffer和McAfee在核心價值上遇到了巨大的抵觸。Sniffer停滯了三四年之後，終於獲得了重生的機會。但是在這個不短的時機中，WildPackets已經快速逼近，甚至已經超越。

Network Magazine是網絡產業的風向標之一，在網絡分析領域，Sniffer曾一直榮獲1997, 1998, 1999, 2000, 2001的年度最佳網絡分析類產品，然而之後，2002, 2003年的年度最佳產品桂冠就轉移到了WildPackets手中。工欲善其事，必先利其器。我們在從事網絡分析、優化之前，很重要的一環就是要准備好最佳的工具，之後我們試圖用比較客觀的一下Sniffer和OmniPeek的各類功能以及實現效果。希望通過這些比較，能夠幫助我們更加深入地了解這兩個產品，熟悉各類功能的使用和應用，同時找到最最適合自己的稱手的兵刃。(二) 軟件設計從Sniffer Pro和OmniPeek的設計而言，兩者代表了不同時代的設計理念。

Sniffer Pro從netxray裡獲得了圖形化界面以後，就開始試圖建立新的網絡分析軟件標准。用過Netxray的同志們應該都知道，Matrix、Dashboard其實都是Netxray裡就已經存在的設計。而NGC Sniffer 的最大長處就是Expert System和對各類鏈路的支持。 Expert System顧名思義就是專家系統，自動地根據網絡捕獲的數據進行分析並提供分析結果。

Netxray的界面設計應用了後Win31時代和早Win95時期的界面元素，一直保持到現在，頗有點清澀古風。在底層設計上，現在的Sniffer Pro其實大量地基於COM/OLE編程，到了Sniffer Distributed，分布式產品，Sniffer 又把結構延續到DCOM。當時並不知道後來會有病毒直接利用DCOM，因此整個產品設計非常理想化。 DCOM調用的規范相對較為復雜，這也造成了後期的Sniffer Distributed陷入了很多問題，諸如界面更新速度、數據顯示延遲等等。這也造成了當時的Sniffer人決定把整個產品推向到Web based，事實證明把這樣復雜的分析軟件轉換到Web環境是個徹頭徹尾的錯誤，但是路一旦踏上，就很難有回頭的余地。我不知道有多少人真正使用過Web-based Sniffer UI，從我個人而言，我並不推薦再去嘗試那個已經被停止前進的Java applet Web based的東東。我深深體會到，作為一個分析工具，必須保證自身的快捷、迅速、准確，否則，哪怕功能強大、跨平台，分析人員也絕對無法依賴一個笨拙、不穩定的分析環境。

Sniffer Pro的界面在最近6年沒有發生大的變化，除了因為Wireless LAN的產品引入了一些新的元件之外，整個UI一直保持當初NetXray時代的樣子。這既是缺點，也是優點，一旦熟悉也就可以不用更改任何習慣。

如果來看看OmniPeek，就會發現故事在這裡是完全不一樣。OmniPeek的設計元素裡大量應用了 Flat Button、TreeView、IE View，使得整個產品很適應Windows XP/2000的環境。這一點也是後起之秀的優勢，可以充分運用最新的技術。我特地關注了一下OmniPeek在分布應用時候的通訊協議，很值得一提的是，OmniPeek避免了任何DCOM的應用，采用了自行開發的一個加密通訊協議。很久以來的經驗都告訴我DCOM協議既復雜又不安全，而且不適合Internet應用，因為DCOM采用了動態端口范圍進行通訊，很難從Firewall上簡單過濾。大家可以google一下DCOM Firewall，會有一大堆文章討論如何設置這種情況。

OmniPeek的開發環境迅速從VC 遷移到了VC.net，在OmniPeek的很多設計裡都已經有了一些基本的.NET特性。而相對而言，Sniffer則拘泥於VC 6.0不能自拔。

OmniPeek產品帶來了很多新的氣象，讓我在長期浸淫在Sniffer Pro之後，重新發現了一個更具魅力的世界。

三、安裝文件結構1、 Sniffer Pro 4.75 SP4 (最新是SP5) 安裝好以後，占地面積為60M左右。目錄結構如下C:\PROGRAM FILES\NAI└─SnifferNT├─Driver├─NetMibs└─Program├─AI├─gbic├─HTML│ └─JavaChart│ └─chart├─Local├─Local_2├─Switch├─voiceBU├─Win2K└─WinXPDriver目錄下放置了Sniffer Pro支持的幾乎所有網卡適配器的驅動程序。NetMibs裡放置了部分SNMP mib文件，主要是用來描述Sniffer的Alarm Trap的格式，以及Expert-Event trap的格式。這幾個mib用來和SNMP 平台例如HP OV等系統集成時有點用。令人感到有興趣的是，NetMibs裡還有一個文件叫做art.mib，打開以後可以看到作者是NetScout公司。暫時無法准確揣度放在這裡的目的，但是至少可以看到網絡分析行業裡的幾個大腕還是互相承認的。

Program 目錄裡是主要的Sniffer Pro核心文件。每次創建一個Profile會多一個Local打頭的目錄。比較有用的文件是Sniffer.bet ，可以用來編輯網卡生產廠商的vendor ID，進而影響在Sniffer Pro裡的顯示結果。

我比大家多一個 voiceBU子目錄，大家也可以猜猜是為什麼。

2、OmniPeek 2.0 安裝完畢以後，大致占用70M左右空間。

├─1033│ ├─Alarms│ ├─Documents│ │ └─Peek SDK│ │ ├─Docs│ │ └─Wizards│ ├─Expert│ ├─Filters│ │ └─AppleTalk│ ├─Graphs│ ├─Html│ │ └─QuickTour│ │ └─images│ ├─Names│ ├─PluginRes│ ├─Reports│ │ ├─Auxiliary│ │ ├─Control│ │ └─Templates│ └─Security Audit Template├─2052├─Bin├─Decodes├─Driver├─MIBs├─Plugins│ └─Mibs├─RMONGrabber└─Samples

OmniPeek 目錄下有個名為1033的大目錄，各類模版、文件、HTML的文件都放在該目錄下。為什麼叫做1033呢？因為1033代碼代表美國英語。而2052則代表中文..從文件樹可以看到，OmniPeek的設計直接面向了國際化，多語言支持可以比較好的實現在OmniPeek中。這也是困擾Sniffer Pro的多年未有中文版本的原因之一。

OmniPeek的安裝中已經包含了所有的SDK開發包，而Sniffer 的二次開發需要安裝另外一個額外的被稱為PDK的附加。四、設計理念從兩個軟件的初始界面可以看出非常不同的設計理念。Sniffer啟動完畢以後，出現的是經典的DashBoard界面 點擊查看大圖這個界面也是當初cinco systems的NetXRay的經典起始界面，Sniffer Pro從4.0版本開始在Dashboard裡加入了不少Java特征，從此也引入了很多不穩定性和不兼容性，造成了一系列小麻煩。對不起大家，我平時痛恨Java，因此恨烏及屋。我先來對比一下OmniPeek的起始界面， 點擊查看大圖可以看到同樣也是差不多的儀表盤。發明汽車上的儀表盤的工程師們也許沒有想到在信息科技時代仍然可以在網絡分析領域獲得大力應用。Sniffer Pro的設計目標偏向於“任務”，因此在DashBoard裡還加入了監控的特征，能夠很方便地在初始界面裡觀察短期網絡流量歷史曲線以及Packet尺寸分布等數據。而OmniPeek的設計更加面向於“工作”，他會把歷史上打開過的Trace文件列舉在初始界面裡，包括幫助、引導文件，以及安全審計模板等，都可以在起始界面裡直接引用。另一個面向任務的設計體現在捕獲的設計中，在Sniffer Pro裡，過濾條件、捕獲設置是在登錄到某一個Profile以後可以隨意設置的，例如，默認的過濾器是”default”，如果按三角形的捕獲按鈕，可以直接應用當前的過濾器開始捕獲。而OmniPeek的面向工作的設計就不完全一樣，如果點擊開始新的捕獲，，可以當時選擇所需捕獲的網卡、過濾器、環境設置等一系列選項。在Sniffer Pro裡，如果要更換當前捕獲用的網卡，必須更換Settings，如下圖在Sniffer Pro裡的這種設計更加證明了面向任務的設計，即當前的任務只需要分析一種網絡，如果更換捕獲網絡，前提是更換任務。不同的Settings保持著完全不同的過濾設置以及工作習慣選項。也許Sniffer Pro更加為咨詢人員設計，而OmniPeek更加為網絡管理人員設計。OmniPeek裡的每次捕獲前設置捕獲參數和捕獲網卡的界面：設計理念的第二個環節是打開某一個捕獲的trace 文件後的默認初始界面，在這裡我不抓屏了。大家可以發現，在Sniffer Pro 打開某一個捕獲文件以後，默認初始的界面是Expert，即專家系統。而OmniPeek默認初始的界面是Decode，即解碼。這也體現了這兩個產品的非常大的不同思想，Sniffer Pro試圖證明其包含270余種專家系統的分析模塊是最值得察看也同時是最有價值的功能，可以最大化幫助網絡分析人員的任務。而Omni