Beste Paket-Sniffer und Netzwerk-Analysatoren
Paket-Sniffing ist eine tiefgreifende Art der Netzwerkanalyse, bei der Details des Netzwerkverkehrs zur Analyse dekodiert werden. Dies ist eine der wichtigsten Fähigkeiten zur Fehlerbehebung, über die ein Netzwerkadministrator verfügen sollte. Die Analyse des Netzwerkverkehrs ist eine komplizierte Aufgabe. Um mit unzuverlässigen Netzwerken fertig zu werden, werden Daten nicht in einem kontinuierlichen Strom gesendet. Stattdessen wird es in Fragmente zerlegt, die einzeln gesendet werden. Um den Netzwerkverkehr zu analysieren, müssen diese Datenpakete gesammelt und zu etwas Sinnvollem zusammengesetzt werden können. Dies ist nicht manuell möglich, daher wurden Paket-Sniffer und Netzwerkanalysatoren erstellt. Heute werfen wir einen Blick auf sieben der besten Paket-Sniffer und Netzwerkanalysatoren.
Wir beginnen die heutige Reise mit Hintergrundinformationen darüber, was Paket-Sniffer sind. Wir werden versuchen herauszufinden, was der Unterschied ist - oder ob es einen Unterschied gibt - zwischen einem Paket-Sniffer und einem Netzwerkanalysator. Wir werden dann zum Kern unseres Themas übergehen und nicht nur jede unserer sieben Auswahlmöglichkeiten auflisten, sondern auch kurz überprüfen. Was wir für Sie haben, ist eine Kombination aus GUI-Tools und Befehlszeilenprogrammen, die auf verschiedenen Betriebssystemen ausgeführt werden.
Ein paar Worte zu Packet Sniffern und Netzwerkanalysatoren
Beginnen wir damit, etwas zu regeln. In diesem Artikel wird davon ausgegangen, dass Paket-Sniffer und Netzwerkanalysatoren ein und dasselbe sind. Einige werden argumentieren, dass sie unterschiedlich sind und sie können Recht haben. Aber im Kontext dieses Artikels werden wir sie gemeinsam betrachten, hauptsächlich, weil sie, obwohl sie möglicherweise anders funktionieren - aber wirklich? - denselben Zweck erfüllen.
Packet Sniffer machen normalerweise drei Dinge. Erstens erfassen sie alle Datenpakete beim Betreten oder Verlassen einer Netzwerkschnittstelle. Zweitens wenden sie optional Filter an, um einige der Pakete zu ignorieren und andere auf der Festplatte zu speichern. Anschließend führen sie eine Analyse der erfassten Daten durch. In dieser letzten Funktion von Paket-Sniffern unterscheiden sie sich am meisten.
Für die eigentliche Erfassung der Datenpakete verwenden die meisten Tools ein externes Modul. Am häufigsten sind libpcap unter Unix / Linux-Systemen und Winpcap unter Windows. Sie müssen diese Tools normalerweise nicht installieren, da sie normalerweise von den verschiedenen Tool-Installationsprogrammen installiert werden.
Ein weiterer wichtiger Punkt ist, dass Packet Sniffer - auch die besten - nicht alles für Sie tun. Sie sind nur Werkzeuge. Es ist wie ein Hammer, der keinen Nagel von selbst treibt. Sie müssen also sicherstellen, dass Sie lernen, wie Sie die einzelnen Tools am besten verwenden. Der Paket-Sniffer lässt Sie nur den Datenverkehr sehen, aber es liegt an Ihnen, diese Informationen zu verwenden, um Probleme zu finden. Es gab ganze Bücher über die Verwendung von Paketerfassungstools. Ich selbst habe einmal einen dreitägigen Kurs zu diesem Thema besucht. Ich versuche nicht, dich zu entmutigen. Ich versuche nur, Ihre Erwartungen klar zu stellen.
So verwenden Sie einen Paket-Sniffer
Wie bereits erläutert, erfasst und analysiert ein Paket-Sniffer den Datenverkehr. Wenn Sie also versuchen, ein bestimmtes Problem zu beheben - weshalb Sie normalerweise ein solches Tool verwenden -, müssen Sie zunächst sicherstellen, dass der von Ihnen erfasste Datenverkehr der richtige ist. Stellen Sie sich eine Situation vor, in der sich alle Benutzer beschweren, dass eine bestimmte Anwendung langsam ist. In solchen Situationen ist es wahrscheinlich am besten, den Datenverkehr über die Netzwerkschnittstelle des Anwendungsservers zu erfassen. Möglicherweise stellen Sie dann fest, dass Anforderungen normalerweise beim Server eingehen, der Server jedoch lange braucht, um Antworten zu senden. Das würde auf ein Serverproblem hinweisen.
Wenn Sie andererseits sehen, dass der Server rechtzeitig reagiert, bedeutet dies möglicherweise, dass sich das Problem irgendwo im Netzwerk zwischen dem Client und dem Server befindet. Sie würden dann Ihren Paket-Sniffer einen Sprung näher an den Client heranrücken und prüfen, ob sich die Antworten verzögern. Wenn dies nicht der Fall ist, bewegen Sie sich näher an den Kunden heran und so weiter und so fort. Sie werden schließlich an die Stelle gelangen, an der Verzögerungen auftreten. Sobald Sie den Ort des Problems identifiziert haben, sind Sie der Lösung des Problems einen großen Schritt näher gekommen.
Jetzt fragen Sie sich vielleicht, wie wir es schaffen, Pakete an einem bestimmten Punkt zu erfassen. Es ist ziemlich einfach, wir nutzen die Funktion der meisten Netzwerk-Switches, die als Portspiegelung oder Replikation bezeichnet wird. Dies ist eine Konfigurationsoption, mit der der gesamte Datenverkehr in und aus einem bestimmten Switch-Port auf einen anderen Port auf demselben Switch repliziert wird. Angenommen, Ihr Server ist mit Port 15 eines Switches verbunden und dieser Port 23 desselben Switch ist verfügbar. Sie verbinden Ihren Paket-Sniffer mit Port 23 und konfigurieren den Switch so, dass der gesamte Datenverkehr von Port 15 auf Port 23 repliziert wird. Was Sie als Ergebnis auf Port 23 erhalten, ist ein Spiegelbild - daher der Name der Portspiegelung - dessen, was über Port 15 läuft.
Die besten Paket-Sniffer und Netzwerk-Analysatoren
Nachdem Sie nun besser verstanden haben, was Paket-Sniffer und Netzwerkanalysatoren sind, wollen wir sehen, welche die sieben besten sind, die wir finden können. Wir haben versucht, eine Mischung aus Befehlszeilen- und GUI-Tools sowie Tools aufzunehmen, die auf verschiedenen Betriebssystemen ausgeführt werden. Schließlich führen nicht alle Netzwerkadministratoren Windows aus.
SolarWinds ist bekannt für seine vielen nützlichen kostenlosen Tools und seine hochmoderne Netzwerkverwaltungssoftware. Eines seiner Werkzeuge heißt Deep Packet Inspection and Analysis Tool. Es ist Bestandteil des SolarWinds-Flaggschiffprodukts Network Performance Monitor. Seine Funktionsweise unterscheidet sich erheblich von "herkömmlichen" Paket-Sniffern, obwohl es einem ähnlichen Zweck dient.
Um die Funktionalität des Tools zusammenzufassen: Es hilft Ihnen, die Ursache des Netzwerks zu finden und zu beheben Latenzen, identifizieren Sie betroffene Anwendungen und stellen Sie fest, ob Langsamkeit durch das Netzwerk oder ein Netzwerk verursacht wird Anwendung. Die Software wird auch Deep Packet Inspection-Techniken verwenden, um die Antwortzeit für über zwölfhundert Anwendungen zu berechnen. Außerdem wird der Netzwerkverkehr nach Kategorie, Geschäft vs. Sozial- und Risikostufe, mit deren Hilfe Sie nicht geschäftlichen Datenverkehr identifizieren können, der gefiltert oder auf andere Weise beseitigt werden muss.
Und vergessen Sie nicht, dass das SolarWinds Deep Packet Inspection and Analysis Tool Teil des Network Performace Monitor ist. NPM, wie es oft genannt wird, ist eine beeindruckende Software mit so vielen Komponenten, dass ein ganzer Artikel diesem Thema gewidmet sein könnte. Im Kern handelt es sich um eine vollständige Netzwerküberwachungslösung, die die besten Technologien wie z SNMP und Deep Packet Inspection, um so viele Informationen über den Status Ihres Netzwerks wie möglich bereitzustellen möglich. Das preisgünstige Tool wird mitgeliefert eine 30-tägige kostenlose Testversion So können Sie sicherstellen, dass es wirklich Ihren Anforderungen entspricht, bevor Sie sich zum Kauf verpflichten.
Offizieller Download-Link:https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump ist wahrscheinlich DER Original-Paket-Sniffer. Es wurde im Jahr 1987 erstellt. Seitdem wurde es beibehalten und verbessert, bleibt aber im Wesentlichen unverändert, zumindest so, wie es verwendet wird. Es ist in praktisch jedem Unix-ähnlichen Betriebssystem vorinstalliert und zum De-facto-Standard geworden, wenn ein schnelles Tool zum Erfassen von Paketen benötigt wird. Tcpdump verwendet die libpcap-Bibliothek für die eigentliche Paketerfassung.
Standardmäßig. tcpdump erfasst den gesamten Datenverkehr auf der angegebenen Schnittstelle und "speichert" ihn - daher der Name - auf dem Bildschirm. Der Speicherauszug kann auch an eine Erfassungsdatei weitergeleitet und später mit einem oder mehreren kombinierten Tools analysiert werden. Ein Schlüssel zur Stärke und Nützlichkeit von tcpdump ist die Möglichkeit, alle Arten von Filtern anzuwenden und die Ausgabe zur weiteren Filterung an grep - ein weiteres gängiges Unix-Befehlszeilenprogramm - weiterzuleiten. Jemand mit guten Kenntnissen in tcpdump, grep und der Befehlsshell kann damit genau den richtigen Datenverkehr für jede Debugging-Aufgabe erfassen.
3. Windstoß
Windstoß ist im Wesentlichen nur ein Port von tcpdump zur Windows-Plattform. Als solches verhält es sich ähnlich. Es ist nicht ungewöhnlich, solche Ports erfolgreicher Hilfsprogramme von einer Plattform zur anderen zu sehen. Windump ist eine Windows-Anwendung, erwartet jedoch keine ausgefallene Benutzeroberfläche. Dies ist ein Nur-Befehlszeilen-Dienstprogramm. Die Verwendung von Windump entspricht daher im Wesentlichen der Verwendung des Unix-Gegenstücks. Die Befehlszeilenoptionen sind identisch und die Ergebnisse sind ebenfalls nahezu identisch. Die Ausgabe von Windump kann auch zur späteren Analyse mit einem Drittanbieter-Tool in einer Datei gespeichert werden.
Ein wesentlicher Unterschied zu tcpdump besteht darin, dass Windump nicht in Windows integriert ist. Sie müssen es von der herunterladen Windump-Website. Die Software wird als ausführbare Datei geliefert und erfordert keine Installation. Genau wie tcpdump die libpcap-Bibliothek verwendet, verwendet Windump Winpcap, das wie die meisten Windows-Bibliotheken separat heruntergeladen und installiert werden muss.
4. Wireshark
Wireshark ist die Referenz in Paket-Sniffern. Es ist zum De-facto-Standard geworden, und die meisten anderen Tools emulieren ihn tendenziell. Dieses Tool erfasst nicht nur den Datenverkehr, sondern verfügt auch über leistungsstarke Analysefunktionen. So leistungsfähig, dass viele Administratoren tcpdump oder Windump verwenden, um den Datenverkehr in eine Datei zu erfassen und die Datei dann zur Analyse in Wireshark zu laden. Dies ist eine so übliche Methode zur Verwendung von Wireshark, dass Sie beim Start aufgefordert werden, entweder eine vorhandene PCAP-Datei zu öffnen oder den Datenverkehr zu erfassen. Eine weitere Stärke von Wireshark sind die darin enthaltenen Filter, mit denen Sie genau die Daten ermitteln können, an denen Sie interessiert sind.
Um ganz ehrlich zu sein, hat dieses Tool eine steile Lernkurve, aber es lohnt sich zu lernen. Es wird sich immer wieder als unschätzbar erweisen. Und sobald Sie es gelernt haben, können Sie es überall verwenden, da es auf fast jedes Betriebssystem portiert wurde und kostenlos und Open Source ist.
5. tshark
Tshark ist wie eine Kreuzung zwischen tcpdump und Wireshark. Dies ist eine großartige Sache, da sie einige der besten Paketschnüffler da draußen sind. Tshark ist insofern wie tcpdump, als es nur ein Befehlszeilen-Tool ist. Es ist aber auch wie Wireshark, dass es den Verkehr nicht nur erfasst, sondern auch analysiert. Tshark stammt von denselben Entwicklern wie Wireshark. Es ist mehr oder weniger die Befehlszeilenversion von Wireshark. Es verwendet dieselbe Art der Filterung wie Wireshark und kann daher schnell nur den Datenverkehr isolieren, den Sie analysieren müssen.
Aber warum sollte jemand eine Kommandozeilenversion von Wireshark wollen? Warum nicht einfach Wireshark verwenden? Mit seiner grafischen Oberfläche muss es einfacher zu bedienen und zu lernen sein. Der Hauptgrund ist, dass Sie es auf einem Nicht-GUI-Server verwenden können.
6. Network Miner
Network Miner ist eher ein forensisches Tool als ein echter Paket-Sniffer. Network Miner folgt einem TCP-Stream und rekonstruiert eine gesamte Konversation. Es ist wirklich ein mächtiges Werkzeug. Es kann im Offline-Modus arbeiten, in dem Sie eine Erfassungsdatei importieren, damit Network Miner seine Magie entfalten kann. Dies ist eine nützliche Funktion, da die Software nur unter Windows ausgeführt wird. Sie können tcpdump unter Linux verwenden, um Datenverkehr zu erfassen, und Network Miner unter Windows, um ihn zu analysieren.
Network Miner ist in einer kostenlosen Version verfügbar. Für die erweiterten Funktionen wie IP-basierte Geolokalisierung und Skripterstellung müssen Sie jedoch eine professionelle Lizenz erwerben. Eine weitere erweiterte Funktion der Professional-Version ist die Möglichkeit, VoIP-Anrufe zu dekodieren und wiederzugeben.
7. Geiger (HTTP)
Einige unserer erfahreneren Leser könnten argumentieren, dass Fiddler weder ein Paket-Sniffer noch ein Netzwerk-Analysator ist. Sie haben wahrscheinlich Recht, aber wir waren der Meinung, dass wir dieses Tool in unsere Liste aufnehmen sollten, da es in vielen Situationen sehr nützlich ist. Geiger erfasst tatsächlich Verkehr, aber keinen Verkehr. Es funktioniert nur mit HTTTP-Verkehr. Sie können sich vorstellen, wie wertvoll es trotz seiner Einschränkung sein kann, wenn Sie bedenken, dass so viele Anwendungen heutzutage webbasiert sind oder das HTTP-Protokoll im Hintergrund verwenden. Und da Fiddler nicht nur den Browserverkehr, sondern nahezu jedes HTTP erfasst, ist es sehr nützlich bei der Fehlerbehebung
Der Vorteil eines Tools wie Fiddler gegenüber einem echten Paket-Sniffer wie beispielsweise Wireshark besteht darin, dass Fiddler entwickelt wurde, um den HTTP-Verkehr zu „verstehen“. Es werden beispielsweise Cookies und Zertifikate entdeckt. Außerdem werden aktuelle Daten aus HTTP-basierten Anwendungen gefunden. Fiddler ist kostenlos und nur für Windows verfügbar, obwohl Beta-Builds für OS X und Linux (unter Verwendung des Mono-Frameworks) heruntergeladen werden können.
Fazit
Wenn wir Listen wie diese veröffentlichen, werden wir oft gefragt, welche die beste ist. Wenn mir in dieser besonderen Situation diese Frage gestellt würde, müsste ich "alle" beantworten. Sie sind alle kostenlose Werkzeuge und alle haben ihren Wert. Warum nicht alle zur Hand haben und sich mit jedem vertraut machen? Wenn Sie in eine Situation geraten, in der Sie sie verwenden müssen, ist dies viel einfacher und effizienter. Sogar Befehlszeilentools haben einen enormen Wert. Zum Beispiel können sie per Skript erstellt und geplant werden. Stellen Sie sich vor, Sie haben ein Problem, das täglich um 2:00 Uhr morgens auftritt. Sie können einen Job planen, um tcpdump von Windump zwischen 1:50 und 2:10 auszuführen und die Erfassungsdatei am nächsten Morgen zu analysieren. Sie müssen nicht die ganze Nacht wach bleiben.
Suche
Kürzliche Posts
6 besten Wireshark-Alternativen zum Paketschnüffeln
Wireshark, die früher als bekannt war Ätherisch, gibt es seit 20 Ja...
7 besten Tools und Systeme zur Netzwerkautomatisierung im Jahr 2020
Netzwerkautomatisierung ist die Wissenschaft - oder ist es eine Kun...
Beste DNS-Tools zur Unterstützung von Netzwerkadministratoren
Der Domain Name Service (DNS) ist einer der Eckpfeiler moderner IP-...