6 mejores alternativas de Wireshark para olfatear paquetes

Wireshark, que anteriormente se conocía como Etéreo, ha existido por 20 años. Si no es el mejor, sin duda es la herramienta de detección de redes más popular. Cada vez que surge una necesidad de análisis de paquetes, esta suele ser la herramienta de acceso de la mayoría de los administradores. Sin embargo, tan bueno como Wireshark puede ser, hay muchas alternativas disponibles por ahí. Algunos de ustedes se estarán preguntando qué tiene de malo Wireshark eso justificaría reemplazarlo. Para ser totalmente honesto, no hay absolutamente nada de malo en Wireshark y si ya eres un usuario feliz, no veo ninguna razón por la que debas cambiar. Por otro lado, si eres nuevo en la escena, puede ser una buena idea mirar lo que está disponible antes de elegir una solución. Para ayudarlo, hemos reunido esta lista de algunos de los mejores Wireshark alternativas.

Comenzaremos nuestra exploración echando un vistazo a Wireshark. Después de todo, si queremos sugerir alternativas, también podríamos conocer el producto al menos un poco. Luego discutiremos brevemente qué son los rastreadores de paquetes, o los analizadores de red, como se les suele llamar. Dado que los rastreadores de paquetes pueden ser relativamente complejos, pasaremos un tiempo discutiendo cómo usarlos. Esto de ninguna manera es un tutorial completo, pero debería brindarle suficiente información de fondo para apreciar mejor las próximas revisiones de productos. Hablando de reseñas de productos, esto es lo que tendremos a continuación. Hemos identificado varios productos de diferentes tipos que podrían ser una buena alternativa a Wireshark y presentaremos las mejores características de cada uno.

Sobre Wireshark

antes de Wireshark, el mercado tenía esencialmente un sniffer de paquetes que se llamaba acertadamente Oledor. Fue un excelente producto que sufrió un gran inconveniente, su precio. A fines de los años 90, el producto costaba alrededor de $ 1500, que era más de lo que muchos podían pagar. Esto provocó el desarrollo de Etéreo como un rastreador de paquetes gratuito y de código abierto por un graduado de la UMKC llamado Gerald Peines quien sigue siendo el principal responsable de Wireshark Veinte años después. Habla sobre un compromiso serio.

Hoy, Wireshark se ha convertido en LA referencia en rastreadores de paquetes. Es el estándar de facto y la mayoría de las otras herramientas tienden a emularlo. Wireshark esencialmente hace dos cosas. Primero, captura todo el tráfico que ve en su interfaz. Pero no se detiene allí, el producto también tiene capacidades de análisis bastante potentes. Las capacidades de análisis de la herramienta son tan buenas que no es raro que los usuarios utilicen otras herramientas para la captura de paquetes y realicen el análisis utilizando Wireshark. Esta es una forma tan común de usar Wireshark que, al iniciar, se le solicita que abra un archivo de captura existente o que comience a capturar el tráfico. Otra fuerza de Wireshark son todos los filtros que incorpora que le permiten concentrarse con precisión en los datos que le interesan.

Acerca de las herramientas de análisis de red

Aunque el tema ha estado abierto a debate durante un tiempo, por el bien de este artículo, asumiremos que los términos "analizador de paquetes" y "analizador de red" son lo mismo. Algunos argumentarán que son dos conceptos diferentes y, aunque pueden ser correctos, los veremos juntos, aunque sea por simplicidad. Después de todo, a pesar de que pueden operar de manera diferente, ¿pero realmente lo hacen? Sirven para un propósito similar.

Los Sniffers de paquetes esencialmente hacen tres cosas. Primero, capturan todos los paquetes de datos cuando entran o salen de una interfaz de red. En segundo lugar, opcionalmente aplican filtros para ignorar algunos de los paquetes y guardar otros en el disco. Luego realizan algún tipo de análisis de los datos capturados. Es en esa última función que se encuentran la mayoría de las diferencias entre productos.

La mayoría de los rastreadores de paquetes dependen de un módulo externo para la captura real de los paquetes de datos. Los más comunes son libpcap en sistemas Unix / Linux y Winpcap en Windows. Sin embargo, normalmente no tendrá que instalar estas herramientas, ya que generalmente las instalan los instaladores del sniffer de paquetes.

Otra cosa importante que debes saber es que, a pesar de lo buenos y útiles que sean, Packet Sniffers no hará todo por ti. Son solo herramientas. Puedes pensar en ellos como un martillo que simplemente no clavará un clavo por sí mismo. Debe asegurarse de aprender cómo utilizar mejor cada herramienta. El rastreador de paquetes le permitirá analizar el tráfico que captura, pero depende de usted asegurarse de que captura los datos correctos y de utilizarlos en su beneficio. Se han escrito libros completos sobre el uso de herramientas de captura de paquetes. Una vez tomé un curso de tres días sobre el tema.

Usando un succionador de paquetes

Como acabamos de decir, un rastreador de paquetes capturará y analizará el tráfico. Por lo tanto, si está intentando solucionar un problema específico, un uso típico de dicha herramienta, lo primero que debe hacer es asegurarse de que el tráfico que está capturando sea el correcto. Imagine un caso en el que cada usuario de una aplicación determinada se queja de que es lento. En tal situación, su mejor opción probablemente sería capturar el tráfico en la interfaz de red del servidor de aplicaciones, ya que cada usuario parece verse afectado. Entonces puede darse cuenta de que las solicitudes llegan al servidor normalmente, pero que el servidor tarda mucho en enviar respuestas. Eso indicaría un retraso en el servidor en lugar de un problema de red.

Por otro lado, si ve que el servidor responde a las solicitudes de manera oportuna, podría significar que el problema está en algún lugar de la red entre el cliente y el servidor. Luego movería su sniffer de paquetes un salto más cerca del cliente y vería si las respuestas se retrasan. Si no, te acercarías más al cliente, y así sucesivamente. Eventualmente llegarás al lugar donde ocurren los retrasos. Y una vez que haya identificado la ubicación del problema, estará un paso más cerca de resolverlo.

Veamos cómo podemos capturar paquetes en un punto específico de una red. Una forma sencilla de lograrlo es aprovechar una característica de la mayoría de los conmutadores de red llamada duplicación de puertos o replicación. Esta opción de configuración replicará todo el tráfico de entrada y salida de un puerto de conmutador específico a otro puerto en el mismo conmutador. Por ejemplo, si su servidor está conectado al puerto 15 de un conmutador y el puerto 23 de ese mismo conmutador está disponible. Conecta su sniffer de paquetes al puerto 23 y configura el conmutador para replicar todo el tráfico hacia y desde el puerto 15 al puerto 23.

Las mejores alternativas de Wireshark

Ahora que entiendes mejor qué Wireshark y otros rastreadores de paquetes y analizadores de red son, veamos qué productos alternativos hay. Nuestra lista incluye una combinación de herramientas de línea de comandos y GUI, así como herramientas que se ejecutan en varios sistemas operativos.

Vientos solares es bien conocido por sus herramientas de gestión de red de última generación. La compañía ha existido durante aproximadamente 20 años y nos ha traído varias herramientas excelentes. Su producto estrella llamado Monitor de rendimiento de red de SolarWinds es reconocido por la mayoría como una de las mejores herramientas de monitoreo de ancho de banda de red. Vientos solares También es famoso por hacer un puñado de excelentes herramientas gratuitas, cada una de las cuales aborda una necesidad específica de los administradores de red. Dos ejemplos de esas herramientas son las Servidor TFTP SolarWinds y el Calculadora de subred avanzada.

Como una alternativa potencial a Wireshark—Y tal vez como la mejor alternativa ya que es una herramienta tan diferente—Vientos solares propone el Herramienta de inspección y análisis de paquetes profundos. Viene como un componente de la Monitor de rendimiento de red de SolarWinds. Su funcionamiento es bastante diferente del de los rastreadores de paquetes más "tradicionales", aunque tiene un propósito similar.

• Prueba gratis: Monitor de rendimiento de red de SolarWinds
• Enlace oficial de descarga: https://www.solarwinds.com/network-performance-monitor/registration

los Herramienta de inspección y análisis de paquetes profundos no es un analizador de paquetes ni un analizador de red, pero lo ayudará a encontrar y resolver la causa de la red latencias, identificar aplicaciones afectadas y determinar si la red o un solicitud. Como tiene un propósito similar al de Wireshark, sentimos que merecía estar en esta lista. La herramienta utilizará técnicas de inspección profunda de paquetes para calcular el tiempo de respuesta para más de mil doscientas aplicaciones. También clasificará el tráfico de red por categoría (p. Ej. negocio vs. social) y nivel de riesgo. Esto puede ayudar a identificar el tráfico no comercial que podría beneficiarse de ser filtrado o controlado o eliminado de alguna manera.

los Herramienta de inspección y análisis de paquetes profundos es un componente integral de la Monitor de rendimiento de red o NPM como a menudo se le llama, que es en sí mismo un software impresionante con tantos componentes que se podría escribir un artículo completo sobre él. Es una solución de monitoreo de red completa que combina algunas de las mejores tecnologías como SNMP e inspección profunda de paquetes para proporcionar tanta información sobre el estado de su red como posible.

Precios para el Monitor de rendimiento de red de SolarWinds que incluye el Herramienta de inspección y análisis de paquetes profundos comienza en $ 2 955 por hasta 100 elementos monitoreados y aumenta según el número de elementos monitoreados. La herramienta tiene una prueba gratuita de 30 días disponible para que pueda asegurarse de que realmente se ajuste a sus necesidades antes de comprometerse a comprarlo.

2. tcpdump

Tcpdump es probablemente EL sniffer de paquetes original. Fue creado en 1987. Eso es más de diez años antes Wireshark e incluso antes de Sniffer. Desde su lanzamiento inicial, la herramienta se ha mantenido y mejorado, pero permanece esencialmente sin cambios. La forma en que se utiliza la herramienta no ha cambiado mucho a lo largo de su evolución. Está disponible para instalar en prácticamente todos los sistemas operativos tipo Unix y se ha convertido en el estándar de facto para una herramienta rápida para capturar paquetes. Como la mayoría de los productos similares en plataformas * nix, tcpdump usa la biblioteca libpcap para la captura de paquetes real.

La operación predeterminada de tcpdump Es relativamente simple. Captura todo el tráfico en la interfaz especificada y lo "descarga", de ahí su nombre, en la pantalla. Al ser una herramienta estándar * nix, puede canalizar la salida a un archivo de captura para analizarla más tarde utilizando la herramienta de análisis que elija. De hecho, no es raro que los usuarios capturen el tráfico con tcpdump para su posterior análisis en Wireshark. Una de las claves para tcpdumpLa fuerza y ​​la utilidad de la aplicación es la posibilidad de aplicar filtros y / o canalizar su salida a grep, otra utilidad común de línea de comandos * nix, para un mayor filtrado. Alguien que domine tcpdump, grep y el shell de comandos puede hacer que capture con precisión el tráfico correcto para cualquier tarea de depuración.

3. Windump

En una palabra, Windump es un puerto de tcpdump para la plataforma Windows. Como tal, se comporta de la misma manera. Lo que esto significa es que aporta gran parte de la funcionalidad tcpdump a las computadoras basadas en Windows. Windump puede ser una aplicación de Windows, pero no esperes una GUI elegante. Realmente es tcpdump en Windows y, como tal, es una utilidad de línea de comandos solamente.

Utilizando Windump es básicamente lo mismo que usar su contraparte * nix. Las opciones de la línea de comandos son casi las mismas y los resultados también son casi idénticos. Al igual que tcpdump, la salida de Windump También se puede guardar en un archivo para su posterior análisis con una herramienta de terceros. Sin embargo, grep no suele estar disponible en una computadora con Windows, lo que limita las capacidades de filtrado de la herramienta.

Otra diferencia importante entre tcpdump y Windump es tan fácilmente disponible desde el repositorio de paquetes del sistema operativo. Tendrá que descargar el software desde Windump sitio web. Se entrega como un archivo ejecutable y no requiere instalación. Como tal, es una herramienta portátil que se puede iniciar desde una llave USB. Sin embargo, al igual que tcpdump usa la biblioteca libpcap, Windump usa Winpcap que debe descargarse e instalarse por separado.

4. Tshark

Tu puedes pensar en Tshark como un cruce entre tcpdump y Wireshark pero en realidad, es, más o menos, la versión de línea de comandos de Wireshark. Es del mismo desarrollador que Wireshark. Tshark se parece a tcpdump en que es una herramienta de línea de comandos solamente. Pero también es como Wireshark en eso no solo capturará el tráfico. También tiene las mismas potentes capacidades de análisis que Wireshark y usa el mismo tipo de filtrado. Por lo tanto, puede aislar rápidamente el tráfico exacto que necesita analizar.

Tshark plantea una pregunta, sin embargo. ¿Por qué alguien querría una versión de línea de comandos de Wireshark? ¿Por qué no solo usar Wireshark? La mayoría de los administradores —de hecho, la mayoría de las personas— estarían de acuerdo en que, en términos generales, las herramientas con interfaces gráficas de usuario son a menudo más fáciles de usar y aprender, y más intuitivas y fáciles de usar. Después de todo, ¿no es por eso que los sistemas operativos gráficos se hicieron tan populares? La razón principal por la que cualquiera elegiría Tshark terminado Wireshark es cuando solo quieren hacer una captura rápida directamente en un servidor para solucionar problemas. Y si sospecha que hay un problema de rendimiento con el servidor, es posible que prefiera usar una herramienta que no sea GUI, ya que puede ser menos exigente para los recursos.

5. Minero de red

Minero de red es más una herramienta forense que un analizador de red o un analizador de paquetes. Esta herramienta seguirá una secuencia TCP y puede reconstruir una conversación completa. Es una herramienta realmente poderosa para el análisis en profundidad del tráfico, aunque puede ser difícil de dominar. La herramienta puede funcionar en un modo fuera de línea donde uno importaría un archivo de captura, quizás creado usando una de las otras herramientas revisadas, y dejaría Minero de red trabaja su magia. Teniendo en cuenta que el software solo se ejecuta en Windows, la posibilidad de trabajar desde archivos de captura es ciertamente una ventaja. Podría, por ejemplo, usar tcpdump en Linux para capturar algo de tráfico y Network Miner en Windows para analizarlo.

Minero de red está disponible en una versión gratuita pero, para las funciones más avanzadas, como la geolocalización basada en direcciones IP y las secuencias de comandos, deberá comprar una licencia profesional que le costará $ 900. Otra función avanzada de la versión profesional es la posibilidad de decodificar y reproducir llamadas VoIP.

6. Violinista

Algunos de nuestros lectores, específicamente los más conocedores, se verán tentados a argumentar que Violinista, nuestra última entrada, no es un analizador de paquetes ni un analizador de red. Para ser sincero, es muy posible que tengan razón, pero aún así, sentimos que deberíamos incluir esta herramienta en nuestra lista, ya que puede ser muy útil en varias situaciones diferentes.

En primer lugar, aclaremos las cosas, Violinista capturará realmente el tráfico. Sin embargo, no capturará cualquier tráfico. Solo funcionará con tráfico HTTP. A pesar de esta limitación, si considera que muchas aplicaciones actuales están basadas en la web o usan el protocolo HTTP en segundo plano, es fácil ver cuán valiosa puede ser una herramienta. Y dado que la herramienta capturará no solo el tráfico del navegador, sino casi cualquier HTTP, puede ser muy útil para solucionar diferentes tipos de aplicaciones.

La principal ventaja de una herramienta como Violinista sobre un sniffer de paquetes "verdadero" como Wireshark, es que fue construido para "comprender" el tráfico HTTP. Descubrirá, por ejemplo, cookies y certificados. También encontrará datos reales procedentes de aplicaciones basadas en HTTP. Violinista es gratuito y está disponible solo para Windows. Sin embargo, se pueden descargar versiones beta para OS X y Linux (usando el marco Mono).