Bedste pakkesniffere og netværksanalysatorer
Pakkesniffing er en dyb type netværksanalyse, hvor detaljer om netværkstrafikken dekodes til at blive analyseret. Det er en af de vigtigste evner til fejlfinding, som enhver netværksadministrator skal have. Det er en kompliceret opgave at analysere netværkstrafik. For at håndtere upålidelige netværk sendes data ikke i en kontinuerlig strøm. I stedet hakkes det op i fragmenter, der sendes individuelt. Analyse af netværkstrafik involverer at være i stand til at indsamle disse pakker med data og samle dem til noget meningsfuldt. Dette er ikke noget, du kan gøre manuelt, så pakkesniffere og netværksanalysatorer blev oprettet. I dag ser vi på syv af de bedste pakkesniffere og netværksanalysatorer.
Vi begynder dagens rejse med at give dig nogle baggrundsoplysninger om, hvad pakkesniffere er. Vi prøver at finde ud af, hvad forskellen er - eller hvis der er forskel - mellem en pakkesniffer og en netværksanalysator. Vi fortsætter derefter med kernen i vores emne og ikke kun en liste, men også kort gennemgå hver af vores syv valg. Hvad vi har til dig er en kombination af GUI-værktøjer og kommandolinjeværktøjer, der kører på forskellige operativsystemer.
Et par ord om pakkesniffere og netværksanalysatorer
Lad os begynde med at ordne noget. Af hensyn til denne artikel antager vi, at pakkesniffere og netværksanalysatorer er den samme. Nogle vil hævde, at de er forskellige, og de kan have ret. Men i sammenhæng med denne artikel skal vi se på dem sammen, hovedsageligt fordi selv om de måske fungerer anderledes - men fungerer de virkelig? - tjener de samme formål.
Packet Sniffers gør normalt tre ting. Først fanger de alle datapakker, når de går ind eller afslutter en netværksgrænseflade. For det andet anvender de eventuelt filtre for at ignorere nogle af pakkerne og gemme andre på disk. De udfører derefter en form for analyse af de indfangne data. Det er i den sidste funktion af pakkesniffere, at de er mest forskellige.
Til de faktiske indfangning af datapakkerne bruger de fleste værktøjer et eksternt modul. De mest almindelige er libpcap på Unix / Linux-systemer og Winpcap på Windows. Du behøver typisk ikke at installere disse værktøjer, da de normalt installeres af de forskellige værktøjsinstallatører.
En anden vigtig ting at vide er, at Packet Sniffers - selv den bedste - ikke vil gøre alt for dig. De er bare værktøjer. Det er ligesom en hammer, der ikke driver nogen søm i sig selv. Så skal du sørge for at lære, hvordan du bedst bruger hvert værktøj. Pakkesnifferen lader dig bare se trafikken, men det er op til dig at bruge disse oplysninger til at finde problemer. Der har været hele bøger om brug af pakkeoptagelsesværktøjer. Jeg selv tog engang et tredages kursus om emnet. Jeg prøver ikke at afskrække dig. Jeg prøver kun at rette dine forventninger lige.
Sådan bruges en pakkesniffer
Som vi har forklaret, vil en pakkesniffer fange og analysere trafik. Så hvis du prøver at fejlfinde et specifikt problem - hvilket typisk er grunden til, at du ville bruge et sådant værktøj - skal du først sikre dig, at den trafik, du fanger, er den rigtige trafik. Forestil dig en situation, hvor alle brugere klager over, at en bestemt applikation er langsom. I den type situation ville dit bedste bud sandsynligvis være at fange trafik på applikationsserverens netværksgrænseflade. Du er måske så klar over, at anmodninger ankommer til serveren normalt, men at serveren tager lang tid på at sende svar. Det ville indikere et serverproblem.
Hvis du på den anden side ser serveren reagere rettidigt, betyder det muligvis, at problemet er et sted på netværket mellem klienten og serveren. Du vil derefter flytte din pakkesniffer et hop tættere på klienten og se, om svarene er forsinket. Hvis det ikke er, flytter du mere hop nærmere klienten, og så videre og så videre. Du kommer til sidst til det sted, hvor der opstår forsinkelser. Og når du først har identificeret placeringen af problemet, er du et stort skridt tættere på at løse det.
Nu undrer du dig måske over, hvordan vi formår at fange pakker på et specifikt tidspunkt. Det er temmelig enkelt, vi drager fordel af en funktion i de fleste netværks switches kaldet port spejling eller replikation. Dette er en konfigurationsindstilling, der replikerer al trafik ind og ud af en bestemt switchport til en anden port på den samme switch. Lad os sige, at din server er tilsluttet port 15 i en switch, og at port 23 i den samme switch er tilgængelig. Du forbinder din pakkesniffer til port 23 og konfigurerer omskifteren til at replikere al trafik fra port 15 til port 23. Det, du får som resultat på port 23, er et spejlbillede - deraf navnet på portens spejling - af, hvad der går gennem port 15.
De bedste pakkesniffere og netværksanalysatorer
Nu hvor du bedre forstår, hvad pakkesniffere og netværksanalysatorer er, så lad os se, hvad er de syv bedste, vi kunne finde. Vi har forsøgt at inkludere en blanding af kommandolinje- og GUI-værktøjer samt inkludere værktøjer, der kører på forskellige operativsystemer. Når alt kommer til alt kører ikke alle netværksadministratorer Windows.
SolarWinds er kendt for sine mange nyttige gratis værktøjer og dens avancerede netværksadministrationssoftware. Et af dets værktøjer kaldes Deep Packet Inspection and Analysis Tool. Det kommer som en komponent i SolarWinds 'flagskibsprodukt, Network Performance Monitor. Dens funktion er meget forskellig fra mere "traditionelle" pakkesniffere, selvom det tjener et lignende formål.
For at opsummere værktøjets funktionalitet: det hjælper dig med at finde og løse årsagen til netværket forsinkelser, identificere påvirkede applikationer og bestemme, om langsomhed er forårsaget af netværket eller et Ansøgning. Softwaren bruger også dyb pakkeinspektionsteknikker til at beregne responstid for over 12 hundrede applikationer. Det klassificerer også netværkstrafik efter kategori, forretning vs. socialt og risikoniveau, der hjælper dig med at identificere ikke-erhvervstrafik, der muligvis skal filtreres eller på anden måde fjernes.
Og glem ikke, at SolarWinds Deep Packet Inspection and Analysis Tool kommer som en del af Network Performace Monitor. NPM, som det ofte kaldes, er et imponerende stykke software med så mange komponenter, at en hel artikel kunne være dedikeret til det. I sin kerne er det en komplet netværksovervågningsløsning, der kombinerer de bedste teknologier som f.eks SNMP og dyb pakkeinspektion for at give så mange oplysninger om tilstanden på dit netværk som muligt. Værktøjet, som er rimeligt prissat, kommer med en 30-dages gratis prøveperiode så du kan sikre dig, at det virkelig passer til dine behov, før du forpligter dig til at købe det.
Officielt downloadlink:https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
tcpdump er sandsynligvis DEN originale pakkesniffer. Det blev oprettet i 1987. Siden da er det blevet vedligeholdt og forbedret, men forbliver i det væsentlige uændret, i det mindste det som det bruges. Det er forinstalleret i stort set ethvert Unix-lignende operativsystem og er blevet de-facto-standarden, når man har brug for et hurtigt værktøj til at fange pakker. Tcpdump bruger libpcap-biblioteket til den faktiske pakkeoptagelse.
Som standard. tcpdump fanger al trafik på den specificerede grænseflade og "dumper" den - deraf dens navn - på skærmen. Dumpen kan også ledes til en indfangningsfil og analyseres senere ved hjælp af et - eller en kombination - af flere tilgængelige værktøjer. En nøgle til tcpdumps styrke og anvendelighed er muligheden for at anvende alle mulige filtre og røre dens output til grep - et andet almindeligt Unix-kommandolinjeværktøj - til yderligere filtrering. En person med et godt kendskab til tcpdump, grep og kommandoskallen kan få det til at fange nøjagtigt den rigtige trafik til enhver fejlsøgningsopgave.
3. Windump
Windump er egentlig kun en port af tcpdump til Windows-platformen. Som sådan opfører den sig på meget samme måde. Det er ikke ualmindeligt at se sådanne porte af vellykkede hjælpeprogrammer fra en platform til en anden. Windump er en Windows-applikation, men forvent ikke et fancy GUI. Dette er kun et kommandolinjeprogram. Brug af Windump er derfor grundlæggende det samme som at bruge dens Unix-modstykke. Kommandolinjemulighederne er de samme, og resultaterne er også næsten identiske. Outputet fra Windump kan også gemmes i en fil til senere analyse med et tredjepartsværktøj.
En vigtig forskel med tcpdump er, at Windump ikke er indbygget i Windows. Du bliver nødt til at downloade det fra Windumps websted. Softwaren leveres som en eksekverbar fil og kræver ingen installation. Men ligesom tcpdump bruger libpcap-biblioteket, bruger Windump Winpcap, som ligesom de fleste Windows-biblioteker skal downloades og installeres separat.
4. Wireshark
Wireshark er referencen i pakkesniffere. Det er blevet de-facto-standarden, og de fleste andre værktøjer har en tendens til at efterligne den. Dette værktøj vil ikke kun fange trafik, det har også ganske kraftige analysefunktioner. Så kraftig, at mange administratorer vil bruge tcpdump eller Windump til at fange trafik til en fil og derefter indlæse filen i Wireshark til analyse. Dette er en så almindelig måde at bruge Wireshark på, at du ved opstart bliver bedt om enten at åbne en eksisterende pcap-fil eller begynde at fange trafik. En anden styrke ved Wireshark er alle filtre, det indeholder, som giver dig mulighed for at nulstille præcist de data, du er interesseret i.
For at være helt ærlig har dette værktøj en stejl indlæringskurve, men det er værd at lære. Det vil vise sig at være uvurderlig gang på gang. Og når du først har lært det, vil du kunne bruge det overalt, da det er blevet portet til næsten ethvert operativsystem, og det er gratis og open source.
5. tshark
Tshark ligner en krydsning mellem tcpdump og Wireshark. Dette er en god ting, da de er nogle af de bedste pakkesniffere derude. Tshark er som tcpdump, idet det er et værktøj, der kun er kommandolinjen. Men det er også som Wireshark, idet det ikke kun fanger, men også analyserer trafik. Tshark er fra de samme udviklere som Wireshark. Det er mere eller mindre kommandolinjeversionen af Wireshark. Den bruger den samme type filtrering som Wireshark og kan derfor hurtigt isolere bare den trafik, du har brug for at analysere.
Men hvorfor ønsker du måske nogen, der ønsker en kommandolinjeversion af Wireshark? Hvorfor ikke bare bruge Wireshark; med sin grafiske interface skal det være enklere at bruge og at lære? Hovedårsagen er, at det giver dig mulighed for at bruge den på en ikke-GUI-server.
6. Network Miner
Network Miner er mere et retsmedicinsk værktøj mere end en ægte pakkesniffer. Network Miner vil følge en TCP-strøm og rekonstruere en hel samtale. Det er virkelig et kraftfuldt værktøj. Det kan arbejde i offline-tilstand, hvor du vil importere en vis capture-fil for at lade Network Miner arbejde sin magi. Dette er en nyttig funktion, da softwaren kun kører på Windows. Du kan bruge tcpdump på Linux til at fange noget trafik og Network Miner på Windows til at analysere det.
Network Miner er tilgængelig i en gratis version, men for de mere avancerede funktioner, såsom IP-baseret geolocation og scripting, skal du købe en Profesional-licens. En anden avanceret funktion af den professionelle version er muligheden for at afkode og afspille VoIP-opkald.
7. Fiddler (HTTP)
Nogle af vores mere kyndige læsere kan muligvis hævde, at Fiddler ikke er en pakkesniffer og heller ikke en netværksanalysator. De har sandsynligvis ret, men vi følte, at vi skulle inkludere dette værktøj på vores liste, da det er meget nyttigt i mange situationer. Violinist vil faktisk fange trafik, men ikke nogen trafik. Det fungerer kun med HTTTP-trafik. Du kan forestille dig, hvor værdifuld det kan være på trods af dets begrænsning, når du overvejer, at så mange applikationer i dag er webbaserede eller bruger HTTP-protokollen i baggrunden. Og da Fiddler ikke kun fanger browsertrafik, men næsten enhver HTTP, er det meget nyttigt i fejlfinding
Fordelen ved et værktøj som Fiddler i forhold til en bona fide-pakkesniffer som for eksempel Wireshark, er, at Fiddler blev bygget til at ”forstå” HTTP-trafik. Det vil fx opdage cookies og certifikater. Den finder også faktiske data, der kommer fra HTTP-baserede applikationer. Fiddler er gratis, og det er kun tilgængeligt for Windows, selvom beta-build til OS X og Linux (ved hjælp af Mono-rammen) kan downloades.
Konklusion
Når vi offentliggør lister som denne, bliver vi ofte spurgt, hvilken der er bedst. I denne særlige situation, hvis jeg blev stillet det spørgsmål, skulle jeg svare “alle dem”. De er alle gratis værktøjer og har alle deres værdi. Hvorfor ikke have dem alle ved hånden og gøre dig bekendt med hver enkelt? Når du kommer til en situation, hvor du har brug for dem, vil det være meget lettere og effektivt. Selv kommandolinjeværktøjer har en enorm værdi. For eksempel kan de scriptes og planlægges. Forestil dig, at du har et problem, der sker klokken 02:00 dagligt. Du kan planlægge et job for at køre tcpdump af Windump mellem 1:50 og 2:10 og analysere fangstfilen næste morgen. Ingen grund til at være ope hele natten.
Søge
Seneste Indlæg
Sådan måles netværkets ydeevne korrekt
Ydeevne er et af de vigtigste aspekter af netværk. Faktisk er det e...
5 bedste værktøjer til planlægning af netværkskapacitet (gennemgang)
Min første computer havde en 30 MB (nej, dette er ikke en skrivefej...
Gratis geografisk placering af besøgende på besøgende med ipstack API (gennemgang)
Siden dens ydmyge begyndelse for mere end 25 år siden har weben udv...