常见的抓包工具（Packet Capture Tools）一览

文章目录

[常见的抓包工具（Packet Capture Tools）一览](#常见的抓包工具（Packet Capture Tools）一览)
- [1. Wireshark](#1. Wireshark)
- [2. Fiddler](#2. Fiddler)
- [3. Charles](#3. Charles)
- [4. tcpdump](#4. tcpdump)
- [5. Burp Suite](#5. Burp Suite)
- [6. 浏览器开发者工具（Chrome DevTools / Firefox Developer Tools）](#6. 浏览器开发者工具（Chrome DevTools / Firefox Developer Tools）)
- [7. mitmproxy](#7. mitmproxy)
- [8. 其他工具](#8. 其他工具)
- 总结对比

抓包工具（Packet Capture Tools） 是用于截获、分析网络数据包，帮助开发者、网络管理员和安全研究人员诊断网络问题、调试协议、分析流量、检测安全漏洞的软件。根据工作层次和用途，常见的抓包工具可分为三类：网络层嗅探工具 （如 Wireshark、tcpdump）、代理调试工具 （如 Fiddler、Charles、Burp Suite）、浏览器内置工具（Chrome DevTools）等。下面详细介绍几款主流工具。

1. Wireshark

类型：网络协议分析器
平台：Windows、macOS、Linux
核心功能：

捕获所有经过网卡的原始数据包，支持众多协议的解码。
提供强大的过滤语法（显示过滤器和捕获过滤器），可精确筛选目标流量。
支持统计、流追踪（Follow TCP Stream）、专家信息等功能。
可读取/保存多种格式的捕获文件（pcap、pcapng 等）。

适用场景：

网络故障排查（如延迟、丢包分析）。
协议学习与逆向工程。
安全分析（检测异常流量、恶意软件通信）。

优点：开源免费、跨平台、功能全面、社区活跃。
缺点：界面复杂，新手门槛较高；对加密流量（如 HTTPS）仅能看到握手过程，无法解密内容（除非配置 SSLKEYLOGFILE 或中间人攻击）。

工作原理：利用 libpcap/WinPcap/Npcap 驱动捕获链路层数据帧，通过解析引擎还原各层协议。

2. Fiddler

类型：HTTP/HTTPS 调试代理
平台：Windows（.NET）、macOS/Linux（可通过 Mono 运行）
核心功能：

作为系统代理，拦截所有 HTTP/HTTPS 流量，并提供详细的请求/响应查看（Headers、Cookies、Body）。
支持断点调试、修改请求/响应数据（AutoResponder）。
可模拟慢速网络、过滤会话、构建 HTTP 请求（Composer）。
扩展性强（支持插件，如 FiddlerScript）。

适用场景：

Web 开发调试（前后端接口联调）。
性能测试（查看请求耗时）。
安全测试（修改请求参数绕过前端校验）。

优点：界面友好，功能针对 HTTP/HTTPS 设计完善，能解密 HTTPS（需安装根证书）。
缺点：主要针对 Web 流量，无法捕获非 HTTP 协议（如数据库协议、UDP 流量）；Windows 版本体验最佳，跨平台版本功能略受限。

工作原理：注册为系统代理，客户端通过代理发送请求，Fiddler 转发并记录。

3. Charles

类型：HTTP/HTTPS 代理调试工具
平台：Windows、macOS、Linux（Java 开发）
核心功能：

截获 HTTP/HTTPS 流量，支持树状结构展示请求/响应。
提供断点、重发、修改请求、Map Local/Remote 等功能。
支持限速模拟（Throttle）、SSL 代理配置。
支持反向代理、端口转发等高级功能。

适用场景：

移动 App 调试（可通过 Wi-Fi 设置代理，捕获手机流量）。
接口 Mock（Map Local 可将线上请求映射到本地文件）。
性能分析。

优点：跨平台稳定，界面简洁，专为开发调试优化；支持 iOS/Android 代理抓包方便。
缺点：商业软件（可试用），功能与 Fiddler 类似，但价格较高。

工作原理：同 Fiddler，通过中间人代理解密 TLS。

4. tcpdump

类型：命令行网络数据包捕获工具
平台：Unix/Linux、macOS（Windows 有 WinDump）
核心功能：

轻量级，基于 libpcap，通过命令行捕获网络流量。
支持 BPF 过滤语法，可精确抓取指定主机、端口、协议的包。
输出可重定向到文件（.pcap），供 Wireshark 等工具分析。

适用场景：

服务器环境（无图形界面）下的网络诊断。
自动化脚本、性能监控集成。
快速抓取特定条件的数据包。

优点：轻量、高效、几乎无处不在（Unix-like 系统内置）。
缺点：纯命令行，分析复杂流量需配合其他工具；对 HTTPS 无法解密。

常用命令示例：

bash 复制代码

tcpdump -i eth0 -w capture.pcap host 192.168.1.1 and port 80

5. Burp Suite

类型：Web 安全测试工具（包含代理抓包功能）
平台：Windows、macOS、Linux（Java）
核心功能：

集成的代理（Proxy）模块可拦截 HTTP/HTTPS 流量，支持手动修改、重放（Repeater）。
提供扫描器（Scanner）、入侵工具（Intruder）、解码器（Decoder）等高级安全测试功能。
支持扩展插件（BApp Store）。

适用场景：

Web 应用渗透测试（如 SQL 注入、XSS 检测）。
手动修改请求绕过客户端限制。

优点：安全测试功能强大，社区版免费（基础功能）；专业版功能丰富。
缺点：主要面向安全人员，学习曲线陡峭；非安全场景下可能过于庞大。

工作原理：代理拦截流量，配合各种攻击模块进行测试。

6. 浏览器开发者工具（Chrome DevTools / Firefox Developer Tools）

类型：浏览器内置调试工具
平台：所有支持 Chrome/Firefox 的操作系统
核心功能：

Network 面板：记录所有网络请求，包括请求头、响应、时间线、 Initiator 等。
支持筛选请求类型（XHR、CSS、图片等）、搜索、重放（Copy as fetch/cURL）。
可模拟网络条件（Offline、3G）。
查看 WebSocket 帧、Service Worker 通信。

适用场景：

前端开发调试（查看接口返回、资源加载性能）。
快速分析网页行为，无需额外安装工具。

优点：集成在浏览器中，零配置，直观易用。
缺点：仅捕获当前浏览器标签页的流量，无法捕获其他进程或非 HTTP 流量；无法修改请求（需插件或 Overrides 功能）。

7. mitmproxy

类型：交互式 HTTPS 中间人代理
平台：Windows、macOS、Linux（Python）
核心功能：

命令行界面（支持 TUI 操作）和 Web 界面（mitmweb）。
支持拦截、查看、修改 HTTP/HTTPS 流量，可编写 Python 脚本定制处理逻辑。
提供反向代理模式、透明代理模式。

适用场景：

自动化测试、流量录制回放。
需要灵活定制拦截规则的开发/测试场景。
移动应用安全测试（配合模拟器或真机）。

优点：开源免费，可编程扩展，轻量级。
缺点：命令行操作对新手不够友好；功能不如 Fiddler/Charles 丰富（但可脚本弥补）。

8. 其他工具

TcpView (Windows)：微软 Sysinternals 工具，查看 TCP/UDP 连接和进程对应关系，适合快速查看哪些进程在通信。
Netcat / socat：网络调试工具，可建立原始连接，但不属于传统抓包工具。
Sniffer（如 Snort）：主要用于入侵检测，可抓包分析。
SmartSniff：Windows 下的轻量抓包工具，界面简单。
Ettercap：支持 ARP 欺骗的中间人攻击工具，用于局域网流量嗅探。

总结对比

工具	主要用途	支持的协议	平台	收费情况	特点
Wireshark	全协议网络分析	全协议	跨平台	免费	功能最全，适合深入分析
Fiddler	HTTP/HTTPS 调试	HTTP/HTTPS	Windows为主	免费	界面友好，适合 Web 开发
Charles	HTTP/HTTPS 调试	HTTP/HTTPS	跨平台	商业	跨平台稳定，移动调试方便
tcpdump	命令行抓包	全协议	Unix/Linux	免费	轻量，服务器必备
Burp Suite	Web 安全测试	HTTP/HTTPS	跨平台	商业/社区	安全测试功能强大
Chrome DevTools	前端调试	HTTP/HTTPS/WebSocket	浏览器内	免费	集成方便
mitmproxy	可编程中间人代理	HTTP/HTTPS	跨平台	免费	可脚本定制

选择抓包工具时，应根据实际需求决定：若需全面分析网络底层问题，首选 Wireshark；若开发调试 HTTP 接口，Fiddler 或 Charles 更高效；若在服务器环境，tcpdump 必不可少；若做安全测试，Burp Suite 是行业标准。通常，多个工具配合使用能达到最佳效果。