windivert

fl0p：一个被动的L7流指纹打印机，它检查TCP/UDP/ICMP包序列，可以窥视加密隧道，可以区分人和机器人，并执行一些其他与信息安全相关的技巧。
networkminer：一种用于高级网络流量分析、嗅探器和包分析器的网络法医分析工具。
geoip：非DNS IP到国家/地区冲突解决程序C库和实用程序
argus-clients：Argus的网络监视客户端。
spiped：用于在套接字地址之间创建对称加密和身份验证管道的实用程序。
pkt2flow：将数据包分类为流的简单实用程序。
zarp：以开发本地网络为中心的网络攻击工具。
tftp-proxy：此工具接受tftp上的连接，并从上游tftp服务器重新加载请求的内容。同时，可以通过可插拔模块对内容进行修改。如果你的MITM有一些嵌入式设备的话，这个很好。