Los mejores analizadores de red y analizadores de paquetes

El rastreo de paquetes es un tipo profundo de análisis de red en el que los detalles del tráfico de red se decodifican para analizarlos. Es una de las habilidades de resolución de problemas más importantes que debe poseer cualquier administrador de red. Analizar el tráfico de red es una tarea complicada. Para hacer frente a redes poco confiables, los datos no se envían en una secuencia continua. En cambio, se corta en fragmentos enviados individualmente. Analizar el tráfico de red implica ser capaz de recopilar estos paquetes de datos y volver a ensamblarlos en algo significativo. Esto no es algo que pueda hacer manualmente, por lo que se crearon rastreadores de paquetes y analizadores de red. Hoy, echamos un vistazo a siete de los mejores analizadores de redes y rastreadores de paquetes.

Comenzamos el viaje de hoy dándole información básica sobre qué son los rastreadores de paquetes. Intentaremos determinar cuál es la diferencia, o si hay una diferencia, entre un analizador de paquetes y un analizador de red. Luego procederemos al núcleo de nuestro tema y no solo enumeraremos sino que también revisaremos brevemente cada una de nuestras siete selecciones. Lo que tenemos para usted es una combinación de herramientas GUI y utilidades de línea de comandos que se ejecutan en varios sistemas operativos.

Algunas palabras sobre rastreadores de paquetes y analizadores de redes

Comencemos por resolver algo. Por el bien de este artículo, asumiremos que los rastreadores de paquetes y los analizadores de red son lo mismo. Algunos argumentarán que son diferentes y pueden tener razón. Pero en el contexto de este artículo, los analizaremos juntos, principalmente porque, a pesar de que podrían funcionar de manera diferente, ¿pero realmente lo hacen? Sirven para el mismo propósito.

Los detectores de paquetes suelen hacer tres cosas. Primero, capturan todos los paquetes de datos cuando entran o salen de una interfaz de red. En segundo lugar, opcionalmente aplican filtros para ignorar algunos de los paquetes y guardar otros en el disco. Luego realizan algún tipo de análisis de los datos capturados. Es en esa última función de los rastreadores de paquetes que difieren más.

Para la captura real de los paquetes de datos, la mayoría de las herramientas utilizan un módulo externo. Los más comunes son libpcap en sistemas Unix / Linux y Winpcap en Windows. Por lo general, no tendrá que instalar estas herramientas, ya que generalmente las instalan los diferentes instaladores de herramientas.

Otra cosa importante que debes saber es que Packet Sniffers, incluso el mejor, no hará todo por ti. Son solo herramientas. Es como un martillo que no clavará ningún clavo por sí mismo. Por lo tanto, debe asegurarse de aprender cómo utilizar mejor cada herramienta. El rastreador de paquetes solo le permitirá ver el tráfico, pero depende de usted usar esa información para encontrar problemas. Ha habido libros completos sobre el uso de herramientas de captura de paquetes. Yo mismo tomé un curso de tres días sobre el tema. No estoy tratando de desanimarte. Solo estoy tratando de enderezar tus expectativas.

Cómo usar un sniffer de paquetes

Como hemos explicado, un sniffer de paquetes capturará y analizará el tráfico. Por lo tanto, si está tratando de solucionar un problema específico, que generalmente es la razón por la que usaría dicha herramienta, primero debe asegurarse de que el tráfico que está capturando sea el correcto. Imagine una situación en la que todos los usuarios se quejan de que una aplicación en particular es lenta. En ese tipo de situación, su mejor opción probablemente sería capturar el tráfico en la interfaz de red del servidor de aplicaciones. Entonces puede darse cuenta de que las solicitudes llegan al servidor normalmente, pero que el servidor tarda mucho en enviar respuestas. Eso indicaría un problema del servidor.

Si, por otro lado, ve que el servidor responde de manera oportuna, posiblemente significa que el problema está en algún lugar de la red entre el cliente y el servidor. Luego movería su sniffer de paquetes un salto más cerca del cliente y vería si las respuestas se retrasan. Si no es así, te acercas más al cliente, y así sucesivamente. Eventualmente llegarás al lugar donde ocurren los retrasos. Y una vez que haya identificado la ubicación del problema, estará un paso más cerca de resolverlo.

Ahora puede que se pregunte cómo logramos capturar paquetes en un punto específico. Es bastante simple, aprovechamos una característica de la mayoría de los conmutadores de red llamada duplicación de puertos o replicación. Esta es una opción de configuración que replicará todo el tráfico de entrada y salida de un puerto de conmutador específico a otro puerto en el mismo conmutador. Supongamos que su servidor está conectado al puerto 15 de un conmutador y que el puerto 23 de ese mismo conmutador está disponible. Conecta su sniffer de paquetes al puerto 23 y configura el conmutador para replicar todo el tráfico del puerto 15 al puerto 23. Lo que obtienes como resultado en el puerto 23 es una imagen reflejada, de ahí el nombre de reflejo del puerto, de lo que está pasando por el puerto 15.

Los mejores analizadores de red y analizadores de paquetes

Ahora que comprende mejor qué son los rastreadores de paquetes y los analizadores de red, veamos cuáles son los siete mejores que pudimos encontrar. Hemos tratado de incluir una combinación de herramientas de línea de comandos y GUI, así como también herramientas que se ejecutan en varios sistemas operativos. Después de todo, no todos los administradores de red ejecutan Windows.

Vientos solares es conocido por sus numerosas herramientas gratuitas útiles y su software de gestión de redes de última generación. Una de sus herramientas se llama Herramienta de inspección y análisis de paquetes profundos. Viene como un componente del producto estrella de SolarWinds, el Monitor de rendimiento de red. Su funcionamiento es bastante diferente del de los rastreadores de paquetes más "tradicionales", aunque tiene un propósito similar.

Para resumir la funcionalidad de la herramienta: le ayudará a encontrar y resolver la causa de la red. latencias, identificar aplicaciones afectadas y determinar si la red o un solicitud. El software también utilizará técnicas de inspección profunda de paquetes para calcular el tiempo de respuesta para más de mil doscientas aplicaciones. También clasificará el tráfico de red por categoría, negocio vs. nivel social y de riesgo, lo que le ayuda a identificar el tráfico no comercial que puede necesitar ser filtrado o eliminado.

Y no olvide que la herramienta de análisis e inspección profunda de paquetes de SolarWinds viene como parte del Monitor de rendimiento de red. NPM, como se le llama a menudo, es un software impresionante con tantos componentes que podría dedicarle un artículo completo. En esencia, es una solución completa de monitoreo de red que combina las mejores tecnologías como SNMP e inspección profunda de paquetes para proporcionar tanta información sobre el estado de su red como posible. La herramienta, que tiene un precio razonable viene con una prueba gratuita de 30 días para que pueda asegurarse de que realmente se ajuste a sus necesidades antes de comprometerse a comprarlo.

Enlace oficial de descarga:https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

Tcpdump es probablemente EL sniffer de paquetes original. Fue creado en 1987. Desde entonces, se ha mantenido y mejorado, pero permanece esencialmente sin cambios, al menos en la forma en que se usa. Está preinstalado en prácticamente todos los sistemas operativos tipo Unix y se ha convertido en el estándar de facto cuando se necesita una herramienta rápida para capturar paquetes. Tcpdump usa la biblioteca libpcap para la captura de paquetes real.

Por defecto. tcpdump captura todo el tráfico en la interfaz especificada y lo "descarga", de ahí su nombre, en la pantalla. El volcado también puede canalizarse a un archivo de captura y analizarse más tarde utilizando una, o una combinación, de varias herramientas disponibles. Una clave para la fuerza y ​​utilidad de tcpdump es la posibilidad de aplicar todo tipo de filtros y canalizar su salida a grep, otra utilidad común de línea de comandos de Unix, para un mayor filtrado. Alguien con un buen conocimiento de tcpdump, grep y el shell de comandos puede hacer que capture con precisión el tráfico correcto para cualquier tarea de depuración.

3. Windump

Windump es esencialmente solo un puerto de tcpdump para la plataforma Windows. Como tal, se comporta de la misma manera. No es raro ver tales puertos de programas de utilidad exitosos de una plataforma a otra. Windump es una aplicación de Windows, pero no esperes una GUI elegante. Esta es una utilidad de línea de comandos solamente. Usar Windump, por lo tanto, es básicamente lo mismo que usar su contraparte de Unix. Las opciones de la línea de comandos son las mismas y los resultados también son casi idénticos. La salida de Windump también se puede guardar en un archivo para su posterior análisis con una herramienta de terceros.

Una diferencia importante con tcpdump es que Windump no está integrado en Windows. Tendrás que descargarlo desde Sitio web de Windump. El software se entrega como un archivo ejecutable y no requiere instalación. Sin embargo, al igual que tcpdump usa la biblioteca libpcap, Windump usa Winpcap que, como la mayoría de las bibliotecas de Windows, debe descargarse e instalarse por separado.

4. Wireshark

Wireshark es la referencia en los rastreadores de paquetes. Se ha convertido en el estándar de facto y la mayoría de las otras herramientas tienden a emularlo. Esta herramienta no solo capturará tráfico, sino que también tiene capacidades de análisis bastante potentes. Tan poderoso que muchos administradores usarán tcpdump o Windump para capturar el tráfico a un archivo y luego cargar el archivo en Wireshark para su análisis. Esta es una forma tan común de usar Wireshark que, al inicio, se le solicita que abra un archivo pcap existente o comience a capturar tráfico. Otro punto fuerte de Wireshark son todos los filtros que incorpora que le permiten concentrarse con precisión en los datos que le interesan.

Para ser completamente honesto, esta herramienta tiene una curva de aprendizaje pronunciada pero vale la pena aprender. Será de gran valor una y otra vez. Y una vez que lo haya aprendido, podrá usarlo en todas partes, ya que se ha portado a casi todos los sistemas operativos y es gratuito y de código abierto.

5. tshark

Tshark es una especie de cruce entre tcpdump y Wireshark. Esto es una gran cosa, ya que son algunos de los mejores rastreadores de paquetes que existen. Tshark es como tcpdump en que es una herramienta de línea de comandos solamente. Pero también es como Wireshark en que no solo captura sino que también analiza el tráfico. Tshark es de los mismos desarrolladores que Wireshark. Es, más o menos, la versión de línea de comandos de Wireshark. Utiliza el mismo tipo de filtrado que Wireshark y, por lo tanto, puede aislar rápidamente solo el tráfico que necesita analizar.

Pero ¿por qué, se preguntarán, alguien querría una versión de Wireshark en la línea de comandos? ¿Por qué no simplemente usar Wireshark; con su interfaz gráfica, ¿tiene que ser más fácil de usar y aprender? La razón principal es que le permitiría usarlo en un servidor que no sea GUI.

6. Minero de red

Minero de red es más una herramienta forense que un verdadero sniffer de paquetes. Network Miner seguirá una secuencia TCP y reconstruirá una conversación completa. Es realmente una herramienta poderosa. Puede funcionar en modo fuera de línea donde importarías algún archivo de captura para permitir que Network Miner haga su magia. Esta es una característica útil ya que el software solo se ejecuta en Windows. Puede usar tcpdump en Linux para capturar algo de tráfico y Network Miner en Windows para analizarlo.

Network Miner está disponible en una versión gratuita, pero, para las funciones más avanzadas, como la geolocalización basada en IP y las secuencias de comandos, deberá comprar una licencia Profesional. Otra función avanzada de la versión profesional es la posibilidad de decodificar y reproducir llamadas VoIP.

7. Fiddler (HTTP)

Algunos de nuestros lectores más expertos podrían argumentar que Fiddler no es un analizador de paquetes ni un analizador de red. Probablemente tengan razón, pero sentimos que deberíamos incluir esta herramienta en nuestra lista, ya que es muy útil en muchas situaciones. Violinista en realidad capturará tráfico pero no tráfico. Solo funciona con tráfico HTTTP. Puede imaginar lo valioso que puede ser a pesar de su limitación si considera que muchas aplicaciones actuales están basadas en la web o usan el protocolo HTTP en segundo plano. Y dado que Fiddler capturará no solo el tráfico del navegador sino casi cualquier HTTP, es muy útil para solucionar problemas

La ventaja de una herramienta como Fiddler sobre un sniffer de paquetes de buena fe como, por ejemplo, Wireshark, es que Fiddler se creó para "comprender" el tráfico HTTP. Descubrirá, por ejemplo, cookies y certificados. También encontrará datos reales procedentes de aplicaciones basadas en HTTP. Fiddler es gratuito y solo está disponible para Windows, aunque se pueden descargar versiones beta para OS X y Linux (usando el marco Mono).

Conclusión

Cuando publicamos listas como esta, a menudo se nos pregunta cuál es la mejor. En esta situación particular, si me hicieran esa pregunta, tendría que responder "todas". Todas son herramientas gratuitas y todas tienen su valor. ¿Por qué no tenerlos a mano y familiarizarse con cada uno? Cuando llegue a una situación en la que necesite usarlos, será mucho más fácil y eficiente. Incluso las herramientas de línea de comandos tienen un gran valor. Por ejemplo, pueden ser programados y programados. Imagine que tiene un problema que ocurre a las 2:00 a.m. Puede programar un trabajo para ejecutar tcpdump de Windump entre 1:50 y 2:10 y analizar el archivo de captura a la mañana siguiente. No es necesario que te quedes despierto toda la noche.