6 besten Wireshark-Alternativen zum Paketschnüffeln

Wireshark, die früher als bekannt war Ätherisch, gibt es seit 20 Jahren. Wenn nicht das beste, ist es sicherlich das beliebteste Netzwerk-Sniffing-Tool. Wenn eine Paketanalyse erforderlich ist, ist dies häufig das Anlaufpunkt der meisten Administratoren. Jedoch so gut wie Wireshark kann sein, es gibt viele Alternativen da draußen. Einige von Ihnen fragen sich vielleicht, was los ist Wireshark das würde es rechtfertigen, es zu ersetzen. Um ganz ehrlich zu sein, ist daran absolut nichts auszusetzen Wireshark und wenn Sie bereits ein zufriedener Benutzer sind, sehe ich keinen Grund, warum Sie Änderungen vornehmen müssen. Wenn Sie jedoch neu in der Szene sind, ist es möglicherweise eine gute Idee, vor der Auswahl einer Lösung zu prüfen, was verfügbar ist. Um Ihnen zu helfen, haben wir diese Liste der besten zusammengestellt Wireshark Alternativen.

Wir beginnen unsere Erkundung mit einem Blick auf Wireshark. Wenn wir Alternativen vorschlagen wollen, können wir das Produkt zumindest ein wenig kennenlernen. Wir werden dann kurz diskutieren, was Paket-Sniffer - oder Netzwerkanalysatoren, wie sie oft genannt werden - sind. Da Paket-Sniffer relativ komplex sein können, werden wir einige Zeit damit verbringen, ihre Verwendung zu diskutieren. Dies ist keineswegs ein vollständiges Tutorial, aber es sollte Ihnen genügend Hintergrundinformationen geben, um die bevorstehenden Produktbewertungen besser einschätzen zu können. Wenn wir über Produktbewertungen sprechen, werden wir dies als nächstes tun. Wir haben mehrere Produkte unterschiedlichster Typen identifiziert, die eine gute Alternative zu Wireshark darstellen könnten, und wir werden jeweils die besten Funktionen vorstellen.

Über Wireshark

Vor WiresharkDer Markt hatte im Wesentlichen einen Paket-Sniffer, der treffend genannt wurde Schnüffler. Es war ein ausgezeichnetes Produkt, das unter einem großen Nachteil litt, dem Preis. In den späten 90ern kostete das Produkt etwa 1500 US-Dollar, was mehr war, als sich viele leisten konnten. Dies veranlasste die Entwicklung von Ätherisch als kostenloser und Open-Source-Paket-Sniffer von einem UMKC-Absolventen namens Gerald Combs Wer ist immer noch der Hauptbetreuer von Wireshark zwanzig Jahre später. Sprechen Sie über ernsthaftes Engagement.

Heute, Wireshark ist DIE Referenz in Paket-Sniffern geworden. Es ist der De-facto-Standard, und die meisten anderen Tools emulieren ihn tendenziell. Wireshark macht im Wesentlichen zwei Dinge. Erstens erfasst es den gesamten Verkehr, den es auf seiner Schnittstelle sieht. Aber es hört hier nicht auf, das Produkt verfügt auch über ziemlich leistungsstarke Analysefunktionen. Die Analysefunktionen des Tools sind so gut, dass Benutzer nicht selten andere Tools für die Paketerfassung verwenden und die Analyse mit verwenden Wireshark. Dies ist eine so übliche Art der Verwendung Wireshark dass Sie beim Start aufgefordert werden, entweder eine vorhandene Erfassungsdatei zu öffnen oder den Datenverkehr zu erfassen. Eine weitere Stärke von Wireshark enthält alle darin enthaltenen Filter, mit denen Sie genau die Daten ermitteln können, an denen Sie interessiert sind.

Informationen zu Netzwerkanalyse-Tools

Obwohl die Angelegenheit seit einiger Zeit zur Debatte steht, gehen wir für diesen Artikel davon aus, dass die Begriffe "Paket-Sniffer" und "Netzwerkanalysator" ein und dasselbe sind. Einige werden argumentieren, dass es sich um zwei verschiedene Konzepte handelt, und obwohl sie richtig sein mögen, werden wir sie zusammen betrachten, wenn auch nur der Einfachheit halber. Schließlich dienen sie einem ähnlichen Zweck, auch wenn sie möglicherweise anders funktionieren - aber wirklich?

Packet Sniffer machen im Wesentlichen drei Dinge. Erstens erfassen sie alle Datenpakete beim Betreten oder Verlassen einer Netzwerkschnittstelle. Zweitens wenden sie optional Filter an, um einige der Pakete zu ignorieren und andere auf der Festplatte zu speichern. Anschließend führen sie eine Analyse der erfassten Daten durch. In dieser letzten Funktion sind die meisten Unterschiede zwischen den Produkten.

Die meisten Paket-Sniffer verlassen sich auf ein externes Modul, um die Datenpakete tatsächlich zu erfassen. Am häufigsten sind libpcap unter Unix / Linux-Systemen und Winpcap unter Windows. In der Regel müssen Sie diese Tools jedoch nicht installieren, da sie normalerweise von den Installationsprogrammen des Paket-Sniffers installiert werden.

Ein weiterer wichtiger Punkt ist, dass Packet Sniffer so gut und nützlich wie sie sind, nicht alles für Sie tun. Sie sind nur Werkzeuge. Sie können sich diese als einen Hammer vorstellen, der einfach keinen Nagel von selbst treibt. Sie müssen sicherstellen, dass Sie lernen, wie Sie jedes Werkzeug am besten verwenden. Mit dem Paket-Sniffer können Sie den erfassten Datenverkehr analysieren. Sie müssen jedoch sicherstellen, dass die richtigen Daten erfasst werden, und diese zu Ihrem Vorteil nutzen. Es wurden ganze Bücher über die Verwendung von Paketerfassungstools geschrieben. Ich habe einmal einen dreitägigen Kurs zu diesem Thema besucht.

Verwenden eines Paket-Sniffers

Wie bereits erwähnt, erfasst und analysiert ein Paket-Sniffer den Datenverkehr. Wenn Sie versuchen, ein bestimmtes Problem zu beheben - eine typische Verwendung für ein solches Tool -, müssen Sie zunächst sicherstellen, dass der von Ihnen erfasste Datenverkehr der richtige ist. Stellen Sie sich einen Fall vor, in dem sich jeder einzelne Benutzer einer bestimmten Anwendung darüber beschwert, dass sie langsam ist. In einer solchen Situation ist es wahrscheinlich am besten, den Datenverkehr über die Netzwerkschnittstelle des Anwendungsservers zu erfassen, da anscheinend jeder Benutzer betroffen ist. Möglicherweise stellen Sie dann fest, dass Anforderungen normalerweise beim Server eingehen, der Server jedoch lange braucht, um Antworten zu senden. Dies würde eher auf eine Verzögerung auf dem Server als auf ein Netzwerkproblem hinweisen.

Wenn Sie jedoch sehen, dass der Server rechtzeitig auf Anforderungen reagiert, kann dies bedeuten, dass sich das Problem irgendwo im Netzwerk zwischen dem Client und dem Server befindet. Sie würden dann Ihren Paket-Sniffer einen Sprung näher an den Client heranrücken und prüfen, ob sich die Antworten verzögern. Wenn nicht, würden Sie mehr Sprung näher an den Kunden heranrücken und so weiter und so fort. Sie werden schließlich an die Stelle gelangen, an der Verzögerungen auftreten. Sobald Sie den Ort des Problems identifiziert haben, sind Sie der Lösung des Problems einen großen Schritt näher gekommen.

Lassen Sie uns sehen, wie wir es schaffen, Pakete an einem bestimmten Punkt eines Netzwerks zu erfassen. Eine einfache Möglichkeit, dies zu erreichen, besteht darin, die Funktionen der meisten Netzwerk-Switches zu nutzen, die als Portspiegelung oder -replikation bezeichnet werden. Diese Konfigurationsoption repliziert den gesamten Datenverkehr in und aus einem bestimmten Switch-Port auf einen anderen Port auf demselben Switch. Wenn Ihr Server beispielsweise mit Port 15 eines Switches verbunden ist und Port 23 desselben Switches verfügbar ist. Sie verbinden Ihren Paket-Sniffer mit Port 23 und konfigurieren den Switch so, dass der gesamte Datenverkehr von und zu Port 15 zu Port 23 repliziert wird.

Die besten Wireshark-Alternativen

Jetzt wo du besser verstehst was Wireshark und andere Paket-Sniffer und Netzwerk-Analysatoren sind, sehen wir uns an, welche alternativen Produkte es gibt. Unsere Liste enthält eine Mischung aus Befehlszeilen- und GUI-Tools sowie Tools, die auf verschiedenen Betriebssystemen ausgeführt werden.

SolarWinds ist bekannt für seine hochmodernen Netzwerkmanagement-Tools. Das Unternehmen besteht seit ungefähr 20 Jahren und hat uns einige großartige Werkzeuge gebracht. Sein Flaggschiff namens SolarWinds Network Performance Monitor wird von den meisten als eines der besten Tools zur Überwachung der Netzwerkbandbreite anerkannt. SolarWinds ist auch dafür bekannt, eine Handvoll exzellenter kostenloser Tools zu erstellen, die jeweils auf die spezifischen Bedürfnisse von Netzwerkadministratoren zugeschnitten sind. Zwei Beispiele für diese Tools sind die SolarWinds TFTP-Server und der Erweiterter Subnetzrechner.

Als mögliche Alternative zu Wireshark- und vielleicht als beste Alternative, da es sich um ein so anderes Werkzeug handelt -SolarWinds schlägt die vor Deep Packet Inspection and Analysis Tool. Es kommt als Bestandteil der SolarWinds Network Performance Monitor. Seine Funktionsweise unterscheidet sich erheblich von "herkömmlichen" Paket-Sniffern, obwohl es einem ähnlichen Zweck dient.

• Kostenlose Testphase: SolarWinds Network Performance Monitor
• Offizieller Download-Link: https://www.solarwinds.com/network-performance-monitor/registration

Das Deep Packet Inspection and Analysis Tool ist weder ein Paket-Sniffer noch ein Netzwerkanalysator, aber es hilft Ihnen, die Ursache des Netzwerks zu finden und zu beheben Latenzen, identifizieren Sie betroffene Anwendungen und stellen Sie fest, ob Langsamkeit durch das Netzwerk oder ein Netzwerk verursacht wird Anwendung. Da es einem ähnlichen Zweck dient wie Wireshark, hielten wir es für verdient, auf dieser Liste zu stehen. Das Tool verwendet Deep Packet Inspection-Techniken, um die Antwortzeit für über zwölfhundert Anwendungen zu berechnen. Außerdem wird der Netzwerkverkehr nach Kategorien klassifiziert (z. Geschäft vs. sozial) und Risikograd. Dies kann dazu beitragen, nicht geschäftlichen Datenverkehr zu identifizieren, der möglicherweise davon profitiert, gefiltert oder auf irgendeine Weise kontrolliert oder beseitigt zu werden.

Das Deep Packet Inspection and Analysis Tool ist ein integraler Bestandteil der Network Performace Monitor oder NPM wie es oft genannt wird, ist an sich schon eine beeindruckende Software mit so vielen Komponenten, dass ein ganzer Artikel darüber geschrieben werden könnte. Es ist eine vollständige Netzwerküberwachungslösung, die einige der besten Technologien wie SNMP kombiniert und Deep Packet Inspection, um so viele Informationen über den Status Ihres Netzwerks wie möglich bereitzustellen möglich.

Preise für die SolarWinds Network Performance Monitor welches die einschließt Deep Packet Inspection and Analysis Tool Beginnen Sie bei 2 955 USD für bis zu 100 überwachte Elemente und steigen Sie entsprechend der Anzahl der überwachten Elemente. Das Werkzeug Es steht eine kostenlose 30-Tage-Testversion zur Verfügung So können Sie sicherstellen, dass es wirklich Ihren Anforderungen entspricht, bevor Sie sich zum Kauf verpflichten.

2. tcpdump

Tcpdump ist wahrscheinlich DER Original-Paket-Sniffer. Es wurde im Jahr 1987 erstellt. Das ist über zehn Jahre her Wireshark und noch vor Sniffer. Seit seiner ersten Veröffentlichung wurde das Tool gewartet und verbessert, bleibt jedoch im Wesentlichen unverändert. Die Art und Weise, wie das Tool verwendet wird, hat sich im Laufe seiner Entwicklung nicht wesentlich geändert. Es kann auf praktisch jedem Unix-ähnlichen Betriebssystem installiert werden und ist zum De-facto-Standard für ein schnelles Tool zum Erfassen von Paketen geworden. Wie die meisten ähnlichen Produkte auf * nix-Plattformen, tcpdump verwendet die libpcap-Bibliothek für die eigentliche Paketerfassung.

Die Standardoperation von tcpdump ist relativ einfach. Es erfasst den gesamten Datenverkehr auf der angegebenen Schnittstelle und "speichert" ihn - daher der Name - auf dem Bildschirm. Als Standard * nix-Tool können Sie die Ausgabe in eine Erfassungsdatei leiten, um sie später mit dem Analysetool Ihrer Wahl zu analysieren. Tatsächlich ist es nicht ungewöhnlich, dass Benutzer Datenverkehr mit tcpdump für spätere Analysen in Wireshark erfassen. Einer der Schlüssel zu tcpdumpDie Stärke und Nützlichkeit besteht in der Möglichkeit, Filter anzuwenden und / oder die Ausgabe zur weiteren Filterung an grep weiterzuleiten - ein weiteres gängiges * nix-Befehlszeilenprogramm. Jemand, der tcpdump, grep und die Befehlsshell beherrscht, kann damit genau den richtigen Datenverkehr für jede Debugging-Aufgabe erfassen.

3. Windstoß

In einer Nussschale, Windstoß ist ein Port von tcpdump zur Windows-Plattform. Als solches verhält es sich ähnlich. Dies bedeutet, dass Windows-basierte Computer einen Großteil der tcpdump-Funktionalität erhalten. Windump ist möglicherweise eine Windows-Anwendung, erwartet jedoch keine ausgefallene Benutzeroberfläche. Es ist wirklich tcpdump unter Windows und als solches nur ein Befehlszeilenprogramm.

Verwenden von Windstoß ist im Grunde das gleiche wie die Verwendung seines * nix-Gegenstücks. Die Befehlszeilenoptionen sind ungefähr gleich und die Ergebnisse sind ebenfalls nahezu identisch. Genau wie bei tcpdump erfolgt die Ausgabe von Windstoß kann auch zur späteren Analyse mit einem Drittanbieter-Tool in einer Datei gespeichert werden. Auf Windows-Computern ist grep jedoch normalerweise nicht verfügbar, wodurch die Filterfunktionen des Tools eingeschränkt werden.

Ein weiterer wichtiger Unterschied zwischen tcpdump und Windstoß ist, dass es im Paket-Repository des Betriebssystems verfügbar ist. Sie müssen die Software von der Website herunterladen Windstoß Webseite. Es wird als ausführbare Datei geliefert und erfordert keine Installation. Als solches ist es ein tragbares Werkzeug, das von einem USB-Stick gestartet werden kann. Genau wie tcpdump jedoch die libpcap-Bibliothek verwendet, Windstoß verwendet Winpcap, das separat heruntergeladen und installiert werden muss.

4. Tshark

Sie können sich vorstellen Tshark als Kreuzung zwischen tcpdump und Wireshark aber in Wirklichkeit ist es mehr oder weniger die Kommandozeilenversion von Wireshark. Es ist vom selben Entwickler wie Wireshark. Tshark hat Ähnlichkeit mit tcpdump, da es sich nur um ein Befehlszeilen-Tool handelt. Aber es ist auch so Wireshark, dass nicht nur der Verkehr erfasst wird. Es hat auch die gleichen leistungsstarken Analysefunktionen wie Wireshark und verwendet die gleiche Art der Filterung. Es kann daher schnell den genauen Datenverkehr isolieren, den Sie analysieren müssen.

Tshark wirft jedoch eine Frage auf. Warum sollte jemand eine Kommandozeilenversion von wollen Wireshark? Warum nicht einfach benutzen Wireshark? Die meisten Administratoren - in der Tat die meisten Leute - würden zustimmen, dass Tools mit grafischen Benutzeroberflächen im Allgemeinen oft einfacher zu verwenden und zu erlernen sowie intuitiver und benutzerfreundlicher sind. Ist das nicht der Grund, warum grafische Betriebssysteme so beliebt wurden? Der Hauptgrund, warum jemand wählen würde Tshark Über Wireshark Dies ist der Fall, wenn sie nur eine schnelle Erfassung direkt auf einem Server zur Fehlerbehebung durchführen möchten. Wenn Sie ein Leistungsproblem mit dem Server vermuten, möchten Sie möglicherweise lieber ein Nicht-GUI-Tool verwenden, da dies die Ressourcen weniger belasten kann.

5. Network Miner

Network Miner ist eher ein forensisches Tool als ein Paket-Sniffer oder ein Netzwerkanalysator. Dieses Tool folgt einem TCP-Stream und kann eine gesamte Konversation rekonstruieren. Es ist ein wirklich mächtiges Werkzeug für eine eingehende Analyse des Verkehrs, wenn auch eines, das schwer zu beherrschen ist. Das Tool kann in einem Offline-Modus arbeiten, in dem eine Erfassungsdatei - möglicherweise mit einem der anderen getesteten Tools erstellt - importiert und zugelassen wird Network Miner arbeite seine Magie. In Anbetracht der Tatsache, dass die Software nur unter Windows ausgeführt wird, ist die Möglichkeit, mit Erfassungsdateien zu arbeiten, sicherlich ein Plus. Sie können beispielsweise tcpdump unter Linux verwenden, um Datenverkehr zu erfassen, und Network Miner unter Windows, um ihn zu analysieren.

Network Miner ist in einer kostenlosen Version verfügbar. Für die erweiterten Funktionen wie IP-Adress-basierte Geolokalisierung und Skripterstellung müssen Sie jedoch eine Professional-Lizenz erwerben, die 900 US-Dollar kostet. Eine weitere erweiterte Funktion der Professional-Version ist die Möglichkeit, VoIP-Anrufe zu dekodieren und wiederzugeben.

6. Geiger

Einige unserer Leser - insbesondere die sachkundigeren - werden versucht sein, dies zu argumentieren Geiger, unser letzter Eintrag, ist weder ein Paket-Sniffer noch ein Netzwerkanalysator. Um ehrlich zu sein, mögen sie sehr gut richtig sein, aber wir waren dennoch der Meinung, dass wir dieses Tool in unsere Liste aufnehmen sollten, da es in verschiedenen Situationen sehr nützlich sein kann.

Lassen Sie uns in erster Linie die Dinge klarstellen, Geiger wird tatsächlich Verkehr erfassen. Es wird jedoch nicht irgendein Verkehr erfasst. Es funktioniert nur mit HTTP-Verkehr. Trotz dieser Einschränkung ist es leicht zu erkennen, wie wertvoll ein solches Tool sein kann, wenn man bedenkt, dass heutzutage so viele Anwendungen webbasiert sind oder das HTTP-Protokoll im Hintergrund verwenden. Da das Tool nicht nur den Browserverkehr, sondern nahezu jedes HTTP erfasst, kann es bei der Fehlerbehebung bei verschiedenen Anwendungstypen sehr hilfreich sein.

Der Hauptvorteil eines Werkzeugs wie Geiger Über einen "echten" Paket-Sniffer wie Wireshark wurde er erstellt, um den HTTP-Verkehr zu "verstehen". Es werden beispielsweise Cookies und Zertifikate entdeckt. Außerdem werden aktuelle Daten aus HTTP-basierten Anwendungen gefunden. Geiger ist kostenlos und nur für Windows verfügbar. Beta-Builds für OS X und Linux (unter Verwendung des Mono-Frameworks) können jedoch heruntergeladen werden.