أفضل المتشممون ومحللو الشبكات

استنشاق الرزم هو نوع عميق من تحليل الشبكة يتم فيه فك تشفير تفاصيل حركة مرور الشبكة ليتم تحليلها. إنها واحدة من أهم مهارات استكشاف الأخطاء وإصلاحها يجب أن يمتلكها مسؤول الشبكة. يعد تحليل حركة مرور الشبكة مهمة معقدة. للتعامل مع الشبكات غير الموثوقة ، لا يتم إرسال البيانات في دفق واحد مستمر. بدلاً من ذلك ، يتم تقطيعه إلى أجزاء مرسلة بشكل فردي. يتضمن تحليل حركة مرور الشبكة القدرة على جمع حزم البيانات هذه وإعادة تجميعها في شيء ذي مغزى. هذا ليس شيئًا يمكنك القيام به يدويًا لذلك تم إنشاء متشمم حزم ومحللات شبكة. اليوم ، نحن نلقي نظرة على سبعة من أفضل المتطفلين ومحللي الشبكات.

نحن نبدأ رحلة اليوم بإعطائك بعض المعلومات الأساسية حول ما هو المتشممون. سنحاول معرفة الاختلاف - أو إذا كان هناك اختلاف - بين الشم الحزم ومحلل الشبكة. سننتقل بعد ذلك إلى جوهر موضوعنا ، وليس فقط القائمة ولكن أيضًا مراجعة لفترة وجيزة لكل من اختياراتنا السبعة. ما نقدمه لك هو مزيج من أدوات واجهة المستخدم الرسومية والأدوات المساعدة لسطر الأوامر التي تعمل على أنظمة تشغيل مختلفة.

بضع كلمات حول استنشاق الحزمة ومحللي الشبكات

لنبدأ بتسوية شيء ما. من أجل هذه المقالة ، سنفترض أن المتشممون ومحللو الشبكات متماثلون. سيجادل البعض أنهم مختلفون وقد يكونون على حق. ولكن في سياق هذه المقالة ، سننظر فيها معًا ، ويرجع ذلك أساسًا إلى أنه على الرغم من أنها قد تعمل بشكل مختلف - ولكن هل هي فعلاً؟ - فهي تخدم نفس الغرض.

عادة ما يقوم المتشممون على الحزم بثلاثة أشياء. أولاً ، يلتقطون جميع حزم البيانات عند دخولهم إلى واجهة الشبكة أو الخروج منها. ثانيًا ، يطبقون المرشحات بشكل اختياري لتجاهل بعض الحزم وحفظ البعض الآخر على القرص. ثم يقومون بإجراء شكل من أشكال تحليل البيانات الملتقطة. في هذه الوظيفة الأخيرة من استنشاق الحزم هم الأكثر اختلافًا.

من أجل الالتقاط الفعلي لحزم البيانات ، تستخدم معظم الأدوات وحدة خارجية. الأكثر شيوعًا هي libpcap على أنظمة Unix / Linux و Winpcap على Windows. لن تضطر عادةً إلى تثبيت هذه الأدوات حيث يتم تثبيتها عادةً بواسطة أدوات تثبيت الأدوات المختلفة.

شيء آخر مهم يجب معرفته هو أن Packet Sniffers - حتى الأفضل - لن يفعل كل شيء من أجلك. إنها مجرد أدوات. إنه مثل المطرقة التي لن تدفع أي مسمار بمفرده. لذلك ، تحتاج إلى التأكد من أنك تتعلم أفضل طريقة لاستخدام كل أداة. سيتيح لك شم الحزم رؤية حركة المرور فقط ، ولكن الأمر متروك لك لاستخدام هذه المعلومات للعثور على المشكلات. كانت هناك كتب كاملة حول استخدام أدوات التقاط الحزم. لقد حضرت ذات مرة دورة لمدة ثلاثة أيام حول هذا الموضوع. أنا لا أحاول تثبيطك. أنا أحاول فقط ضبط توقعاتك بشكل مستقيم.

كيفية استخدام الشم الحزم

كما أوضحنا ، فإن أداة رصد الحزم ستلتقط حركة المرور وتحللها. لذا ، إذا كنت تحاول استكشاف مشكلة معينة وإصلاحها - وهذا هو السبب في استخدامك لهذه الأداة - فأنت بحاجة أولاً إلى التأكد من أن حركة المرور التي تلتقطها هي حركة المرور الصحيحة. تخيل موقفًا يشكو فيه جميع المستخدمين من بطء تطبيق معين. في هذا النوع من المواقف ، ربما يكون أفضل رهان هو التقاط حركة المرور في واجهة شبكة خادم التطبيق. قد تدرك بعد ذلك أن الطلبات تصل إلى الخادم بشكل طبيعي ولكن الخادم يستغرق وقتًا طويلاً لإرسال الردود. من شأنه أن يشير إلى وجود مشكلة في الخادم.

من ناحية أخرى ، إذا رأيت الخادم يستجيب في الوقت المناسب ، فقد يعني هذا أن المشكلة موجودة في مكان ما على الشبكة بين العميل والخادم. ستقوم بعد ذلك بنقل حزمة الشم الخاصة بك أقرب إلى العميل ومعرفة ما إذا تأخرت الاستجابات. إذا لم يكن الأمر كذلك ، فأنت تقترب أكثر من العميل ، وهكذا دواليك. ستصل في النهاية إلى مكان حدوث التأخيرات. وبمجرد تحديد موقع المشكلة ، تكون خطوة واحدة أقرب إلى حلها.

قد تتساءل الآن كيف نتمكن من التقاط الحزم عند نقطة معينة. الأمر بسيط جدًا ، فنحن نستفيد من ميزة لمعظم مفاتيح الشبكة تسمى النسخ المطابق للمنفذ أو النسخ المتماثل. هذا هو خيار تكوين من شأنه أن ينسخ كل حركة المرور داخل وخارج منفذ تبديل معين إلى منفذ آخر على نفس المفتاح. لنفترض أن خادمك متصل بالمنفذ 15 من المحول وأن المنفذ 23 من هذا المحول نفسه متاح. تقوم بتوصيل حزمة الشم الخاصة بك بالمنفذ 23 وتكوين المفتاح لتكرار كل حركة المرور من المنفذ 15 إلى المنفذ 23. ما تحصل عليه نتيجة للمنفذ 23 هو صورة معكوسة - ومن هنا جاء اسم النسخ المتطابق للمنفذ - لما يمر عبر المنفذ 15.

أفضل المتشممون ومحللو الشبكات

الآن بعد أن فهمت بشكل أفضل ماهية شمّام الحزم ومحللي الشبكات ، دعنا نرى ما هي أفضل سبعة برامج يمكن العثور عليها. لقد حاولنا تضمين مزيج من سطر الأوامر وأدوات واجهة المستخدم الرسومية بالإضافة إلى أدوات تعمل على أنظمة تشغيل مختلفة. بعد كل شيء ، لا يقوم جميع مسؤولي الشبكة بتشغيل Windows.

الرياح الشمسية تشتهر بالعديد من الأدوات المجانية المفيدة وبرامجها الحديثة لإدارة الشبكات. واحدة من أدواتها تسمى أداة فحص وتحليل الحزمة العميقة. يأتي كجزء من المنتج الرائد لـ SolarWinds ، مراقب أداء الشبكة. يختلف تشغيله تمامًا عن استنشاق الرزم "التقليدي" على الرغم من أنه يخدم غرضًا مشابهًا.

لتلخيص وظائف الأداة: ستساعدك في العثور على سبب الشبكة وحلها الكمون ، وتحديد التطبيقات المتأثرة ، وتحديد ما إذا كان البطء ناتجًا عن الشبكة أو تطبيق. سيستخدم البرنامج أيضًا تقنيات فحص الحزم العميقة لحساب وقت الاستجابة لأكثر من اثني عشر مائة تطبيق. كما سيتم تصنيف حركة مرور الشبكة حسب الفئة ، والأعمال مقابل الاجتماعية ، ومستوى المخاطر ، مما يساعدك على تحديد حركة المرور غير التجارية التي قد تحتاج إلى تصفيتها أو التخلص منها بطريقة أخرى.

ولا تنس أن أداة فحص وتحليل حزم SolarWinds تأتي كجزء من مراقب أداء الشبكة. NPM ، كما يطلق عليه غالبًا هو برنامج مثير للإعجاب يحتوي على العديد من المكونات التي يمكن تخصيص مقال كامل لها. في جوهره ، هو حل متكامل لرصد الشبكة يجمع بين أفضل التقنيات مثل SNMP والتفتيش العميق على الحزمة لتوفير أكبر قدر من المعلومات حول حالة شبكتك ممكن. الأداة ، التي يتم تسعيرها بشكل معقول تأتي مع تجربة مجانية لمدة 30 يومًا حتى تتأكد من أنها تناسب احتياجاتك حقًا قبل الالتزام بشرائها.

رابط التنزيل الرسمي:https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

Tcpdump ربما يكون العبوة الأصلية. تم إنشاؤه في عام 1987. منذ ذلك الحين ، تمت صيانتها وتحسينها ولكنها لم تتغير بشكل أساسي ، على الأقل بالطريقة التي يتم استخدامها بها. يتم تثبيته مسبقًا في كل نظام تشغيل يشبه Unix تقريبًا وأصبح المعيار الفعلي عندما يحتاج المرء إلى أداة سريعة لالتقاط الحزم. يستخدم Tcpdump مكتبة libpcap لالتقاط الحزمة الفعلية.

بشكل افتراضي. تلتقط tcpdump كل حركة المرور على الواجهة المحددة و "تفريغها" - ومن هنا جاء اسمها - على الشاشة. يمكن أيضًا توصيل التفريغ إلى ملف التقاط وتحليله لاحقًا باستخدام واحد - أو مجموعة - من العديد من الأدوات المتاحة. المفتاح لقوة tcpdump وفائدته هو إمكانية تطبيق جميع أنواع الفلاتر وتوجيه نواتجها إلى grep - أداة أخرى شائعة لسطر أوامر Unix - لمزيد من التصفية. يمكن لشخص لديه معرفة جيدة بـ tcpdump و grep و shell command أن يحصل عليها لالتقاط حركة المرور الصحيحة بدقة لأي مهمة تصحيح.

3. Windump

Windump هو في الأساس مجرد منفذ لـ tcpdump إلى نظام Windows الأساسي. على هذا النحو ، يتصرف بنفس الطريقة. ليس من غير المألوف رؤية هذه المنافذ من برامج المرافق الناجحة من منصة إلى أخرى. Windump هو تطبيق Windows ولكن لا تتوقع واجهة مستخدم رسومية فاخرة. هذه أداة مساعدة لسطر الأوامر فقط. وبالتالي ، فإن استخدام Windump هو في الأساس نفس استخدام نظيره Unix. خيارات سطر الأوامر هي نفسها والنتائج متطابقة تقريبًا. يمكن أيضًا حفظ الإخراج من Windump في ملف لتحليله لاحقًا باستخدام أداة تابعة لجهة خارجية.

أحد الاختلافات الرئيسية مع tcpdump هو أن Windump غير مدمج في Windows. سيكون عليك تنزيله من موقع Windump. يتم تسليم البرنامج كملف قابل للتنفيذ ولا يتطلب أي تثبيت. ومع ذلك ، تمامًا مثلما يستخدم tcpdump مكتبة libpcap ، يستخدم Windump Winpcap الذي يحتاج ، مثل معظم مكتبات Windows ، إلى التنزيل والتثبيت بشكل منفصل.

4. ويريشارك

ويريشارك هو المرجع في استنشاق الرزم. لقد أصبح المعيار الواقعي وتميل معظم الأدوات الأخرى إلى محاكاته. لن تقوم هذه الأداة بالتقاط حركة المرور فحسب ، بل تتمتع أيضًا بقدرات تحليل قوية جدًا. قوية جدًا لدرجة أن العديد من المسؤولين سيستخدمون tcpdump أو Windump لالتقاط حركة المرور إلى ملف ثم تحميل الملف في Wireshark للتحليل. هذه طريقة شائعة لاستخدام Wireshark بحيث عند بدء التشغيل ، تتم مطالبتك إما بفتح ملف PCap موجود أو بدء التقاط حركة المرور. تتمثل القوة الأخرى لـ Wireshark في جميع الفلاتر التي تتضمنها والتي تتيح لك التركيز بدقة على البيانات التي تهتم بها.

لنكون صادقين تمامًا ، تحتوي هذه الأداة على منحنى تعليمي حاد ولكنها تستحق التعلم. سوف تثبت أنها لا تقدر بثمن مرارا وتكرارا. وبمجرد أن تتعلمه ، ستتمكن من استخدامه في كل مكان حيث تم نقله إلى كل نظام تشغيل تقريبًا وهو مجاني ومفتوح المصدر.

5. تشارك

تشارك هو نوع من التقاطع بين tcpdump و Wireshark. هذا شيء رائع لأنها بعض من أفضل المتشممون هناك. Tshark يشبه tcpdump في أنه أداة سطر أوامر فقط. ولكنه أيضًا مثل Wireshark من حيث أنه لا يلتقط حركة المرور فحسب بل يحللها أيضًا. Tshark من نفس المطورين مثل Wireshark. إنها ، إلى حد ما ، إصدار سطر الأوامر من Wireshark. يستخدم نفس نوع التصفية مثل Wireshark وبالتالي يمكن أن يعزل فقط حركة المرور التي تحتاج إلى تحليلها.

ولكن قد تسأل ، لماذا يريد أي شخص إصدارًا من سطر الأوامر من Wireshark؟ لماذا لا تستخدم Wireshark فقط ؛ مع واجهته الرسومية ، يجب أن يكون أبسط في الاستخدام والتعلم؟ السبب الرئيسي هو أنه سيسمح لك باستخدامه على خادم غير واجهة المستخدم الرسومية.

6. شبكة عامل منجم

شبكة عامل منجم هو أكثر من مجرد أداة للطب الشرعي أكثر من الشم الحقيقي. سيتبع Network Miner دفق TCP ويعيد إنشاء محادثة كاملة. إنها أداة قوية حقًا. يمكن أن يعمل في وضع عدم الاتصال حيث يمكنك استيراد بعض ملف الالتقاط للسماح لـ Network Miner بالعمل بسحره. هذه ميزة مفيدة حيث يعمل البرنامج فقط على Windows. يمكنك استخدام tcpdump على Linux لالتقاط بعض حركة المرور و Network Miner على Windows لتحليلها.

Network Miner متاح في إصدار مجاني ، ولكن للحصول على الميزات الأكثر تقدمًا مثل الموقع الجغرافي والبرمجة النصية المستندة إلى IP ، ستحتاج إلى شراء ترخيص مهني. وظيفة أخرى متقدمة من الإصدار الاحترافي هي إمكانية فك تشفير مكالمات VoIP وتشغيلها.

7. عازف الكمان (HTTP)

قد يجادل بعض قرائنا الأكثر دراية بأن Fiddler ليس الشم الشم ولا هو محلل شبكة. ربما يكونون على حق ولكننا شعرنا أنه يجب علينا تضمين هذه الأداة في قائمتنا لأنها مفيدة جدًا في العديد من المواقف. العابث في الواقع سيجذب حركة المرور ولكن ليس أي حركة مرور. يعمل فقط مع حركة مرور HTTTP. يمكنك أن تتخيل مدى قدرتها على الرغم من قيودها عندما تضع في اعتبارك أن العديد من التطبيقات اليوم تعتمد على الويب أو تستخدم بروتوكول HTTP في الخلفية. ونظرًا لأن Fiddler لن يلتقط حركة مرور المتصفح فحسب ، بل وأيًا ما يتعلق بأي HTTP ، فهو مفيد جدًا في استكشاف الأخطاء وإصلاحها

تكمن ميزة أداة مثل Fiddler على الشم الحزم الذكية ، على سبيل المثال ، Wireshark ، في أن Fiddler تم تصميمه "لفهم" حركة مرور HTTP. سيكتشف ، على سبيل المثال ، ملفات تعريف الارتباط والشهادات. سيجد أيضًا البيانات الفعلية الواردة من التطبيقات المستندة إلى HTTP. Fiddler مجاني ومتاح لنظام التشغيل Windows فقط على الرغم من إمكانية تنزيل الإصدارات التجريبية لنظام التشغيل OS X و Linux (باستخدام إطار عمل Mono).

استنتاج

عندما ننشر قوائم مثل هذه ، غالبًا ما يتم سؤالنا عن الأفضل. في هذه الحالة بالذات ، إذا سئلت عن هذا السؤال ، كان عليّ أن أجيب "جميعهم". إنها كلها أدوات مجانية وكلها لها قيمتها. لماذا لا تجعلهم جميعًا في متناول اليد وتعرف على كل واحد. عندما تصل إلى موقف تحتاج فيه إلى استخدامه ، سيكون الأمر أسهل وأكثر كفاءة. حتى أدوات سطر الأوامر لها قيمة هائلة. على سبيل المثال ، يمكن كتابتها وجدولتها. تخيل أن لديك مشكلة تحدث في الساعة 2:00 صباحًا يوميًا. يمكنك جدولة مهمة لتشغيل tcpdump من Windump بين 1:50 و 2:10 وتحليل ملف الالتقاط في صباح اليوم التالي. لا حاجة للبقاء مستيقظين طوال الليل.