6 parasta vaihtoehtoa Wireshark-pakettien nuhkomiseen

Wireshark, joka tunnettiin aiemmin nimellä eteerinen, on ollut olemassa jo 20 vuotta. Jos ei paras, se on varmasti suosituin verkonhaukaisuväline. Aina, kun paketti-analyysin tarve syntyy, tämä on usein useimpien järjestelmänvalvojien työkalu. Kuitenkin niin hyvä kuin Wireshark voi olla, siellä on monia vaihtoehtoja. Jotkut teistä saattavat ihmetellä, mikä on vialla Wireshark se oikeuttaisi korvaamaan sen. Ollakseni täysin rehellinen, siinä ei ole mitään vikaa Wireshark ja jos olet jo onnellinen käyttäjä, en näe syytä, miksi sinun olisi muutettava. Toisaalta, jos olet uusi kohtaus, voi olla hyvä idea tarkastella käytettävissä olevaa tietoa ennen ratkaisun valitsemista. Autamme sinua, olemme koonneet tämän luettelon parhaista Wireshark vaihtoehtoja.

Aloitamme tutkimuksemme tarkastelemalla sitä Wireshark. Loppujen lopuksi, jos haluamme ehdottaa vaihtoehtoja, saatamme myös tutustua tuotteeseen ainakin vähän. Keskustelemme sitten lyhyesti siitä, millaiset paketinhaastajat - tai verkkoanalysaattorit, kuten niitä usein kutsutaan - ovat. Koska pakettien haastattajat voivat olla suhteellisen monimutkaisia, vietetään sitten aikaa keskustelemaan niiden käytöstä. Tämä ei suinkaan ole täydellinen opetusohjelma, mutta sen pitäisi antaa sinulle tarpeeksi taustatietoa arvioidaksesi paremmin tulevia tuotearvioita. Tuotearvosteluista puhutaan seuraavasta. Olemme tunnistaneet useita erilaisia ​​tuotteita, jotka voivat olla hyvä vaihtoehto Wiresharkille, ja esittelemme niiden parhaat ominaisuudet.

Tietoja Wiresharkista

Ennen Wireshark, markkinoilla oli käytännössä yksi paketinhaku, jota kutsuttiin osuvasti Narkomaani. Se oli erinomainen tuote, jolla oli yksi merkittävä haittapuoli, sen hinta. 90-luvun lopulla tuote oli noin 1500 dollaria, mikä oli enemmän kuin monilla oli varaa. Tämä sai aikaan eteerinen UMKC: n tutkinnon suorittaneen ilmaisena ja avoimen lähdekoodin paketinhakijana Gerald Combs kuka on edelleen Wireshark kaksikymmentä vuotta myöhemmin. Puhu vakavasta sitoutumisesta.

Tänään, Wireshark on tullut VIITE pakettien haastajissa. Se on tosiasiallinen standardi, ja useimmilla muilla työkaluilla on taipumus jäljitellä sitä. Wireshark pohjimmiltaan tekee kaksi asiaa. Ensinnäkin se kaappaa kaiken liikenteen, jota se näkee rajapinnallaan. Mutta se ei lopu tähän, tuotteella on myös melko tehokkaat analysointiominaisuudet. Työkalun analysointimahdollisuudet ovat niin hyvät, että ei ole harvinaista, että käyttäjät käyttävät muita työkaluja pakettien sieppaamiseen ja tekevät analyysin käyttämällä Wireshark. Tämä on niin yleinen käyttötapa Wireshark että käynnistyksen yhteydessä sinua kehotetaan joko avaamaan olemassa oleva sieppaustiedosto tai aloittamaan liikenteen sieppaaminen. Toinen vahvuus Wireshark ovat kaikki sen sisältämät suodattimet, joiden avulla voit nollata tarkasti haluamasi tiedot.

Tietoja verkkoanalyysityökaluista

Vaikka asia on ollut avoinna keskustelulle jo jonkin aikaa, tämän artikkelin vuoksi oletamme, että termit ”pakettien haastaja” ja “verkkoanalysaattori” ovat samat. Jotkut väittävät, että ne ovat kaksi erilaista käsitettä, ja vaikka ne saattavat olla oikeassa, tarkastelemme niitä yhdessä, jos vain yksinkertaisuuden vuoksi. Loppujen lopuksi, vaikka ne voivat toimia eri tavalla - mutta ovatko ne todella? -, he palvelevat samanlaista tarkoitusta.

Packet Sniffers tekevät olennaisesti kolme asiaa. Ensinnäkin ne kaappaavat kaikki datapaketit saapuessaan tai poistuessaan verkkorajapinnasta. Toiseksi, ne käyttävät valinnaisesti suodattimia joidenkin pakettien ohittamiseksi ja muiden tallentamiseksi levylle. Sitten he suorittavat jonkinlaisen analyysin kaapatusta tiedosta. Juuri viimeisessä tehtävässä suurin osa tuotteiden välisistä eroista on.

Useimmat pakettien haastattajat luottavat ulkoiseen moduuliin datapakettien varsinaiseen sieppaamiseen. Yleisimmät ovat libpcap Unix / Linux-järjestelmissä ja Winpcap Windowsissa. Sinun ei yleensä tarvitse asentaa näitä työkaluja, koska ne yleensä asentaa pakettien hävittäjän asentajat.

Toinen tärkeä asia on tietää, että niin hyvät ja hyödylliset kuin ne ovat, Packet Sniffers ei tee kaikkea puolestasi. Ne ovat vain työkaluja. Voit ajatella niitä vasaralla, joka yksinkertaisesti ei aja naulaa itsestään. Sinun on varmistettava, että opit käyttämään kutakin työkalua parhaiten. Pakettihavaitsija antaa sinun analysoida sieppaamansa liikenteen, mutta sinun on varmistettava, että se kaappaa oikeat tiedot ja käyttää sitä etuna. Pakettien sieppaustyökaluista on kirjoitettu kokonaisia ​​kirjoja. Otin kerran kolmen päivän kurssin aiheesta.

Packet Sniffer -sovelluksen käyttö

Kuten juuri totesimme, paketinhakija tallentaa ja analysoi liikennettä. Siksi, jos yrität tehdä vianmääritystä tietystä ongelmasta - joka on tyypillinen käyttö tällaiseen työkaluun, sinun on ensin tehtävä se, että varmistat, että vangitsemasi liikenne on oikeaa liikennettä. Kuvittele tapaus, jossa jokainen tietyn sovelluksen käyttäjä valittaa sen hitaudesta. Tällaisessa tilanteessa sinun kannattaa todennäköisesti olla liikenteen sieppaaminen sovelluspalvelimen verkkoliitännällä, koska vaikutus vaikuttaa jokaiseen käyttäjään. Saatat silloin ymmärtää, että pyynnöt saapuvat palvelimelle normaalisti, mutta palvelimen vie vastausten lähettäminen kauan. Tämä tarkoittaisi palvelimen viivettä kuin verkkoyhteysongelmaa.

Toisaalta, jos näet palvelimen vastaavan pyyntöihin ajoissa, se voi tarkoittaa, että ongelma on jossain asiakkaan ja palvelimen välisessä verkossa. Siirtäisit sitten paketinhakijasi yhden hypyn lähemmäksi asiakasta ja katsotko vastaukset viivästyvät. Jos ei, siirryt enemmän hyppyä lähemmäksi asiakasta ja niin edelleen ja niin edelleen. Lopulta pääset kohtaan, jossa viivästyksiä tapahtuu. Ja kun olet tunnistanut ongelman sijainnin, olet yksi iso askel lähempänä sen ratkaisua.

Katsotaanpa kuinka pystymme kaapaamaan paketteja tietyssä verkon pisteessä. Yksi yksinkertainen tapa suorittaa tämä on hyödyntää useimpien verkkokytkinten ominaisuutta, nimeltään portin peilaus tai replikaatio. Tämä kokoonpanovaihtoehto kopioi kaiken tietyn kytkinportin sisään- ja ulos suuntautuvan liikenteen toiseen saman kytkimen porttiin. Esimerkiksi, jos palvelimesi on kytketty kytkimen porttiin 15 ja saman kytkimen portti 23 on käytettävissä. Yhdistät pakettihahmon porttiin 23 ja määrität kytkimen replikoimaan kaiken liikenteen porttiin 15 ja porttiin 23.

Parhaat Wireshark-vaihtoehdot

Nyt ymmärrät paremmin mitä Wireshark ja muut paketinhaastajat ja verkkoanalysaattorit ovat, katsotaan, mitä vaihtoehtoisia tuotteita siellä on. Luettelomme sisältää sekoituksen komentorivi- ja GUI-työkaluja sekä eri käyttöjärjestelmissä toimivia työkaluja.

SolarWinds on tunnettu huipputeknisistä verkonhallintatyökaluista. Yhtiö on toiminut noin 20 vuotta ja tuonut meille useita hienoja työkaluja. Sen lippulaivatuote nimeltään SolarWinds-verkon suorituskyvyn näyttö on useimpien tunnustettu yhdeksi parhaimmista verkon kaistanleveyden valvontatyökaluista. SolarWinds on myös kuuluisa tekemällä kourallisen erinomaisia ​​ilmaisia ​​työkaluja, joista jokainen vastaa verkonvalvojien erityistarpeisiin. Kaksi esimerkkiä näistä välineistä ovat SolarWinds TFTP-palvelin ja Advanced Subnet Laskin.

Mahdollisena vaihtoehtona Wireshark- ja ehkä parhaana vaihtoehtona, koska se on niin erilainen työkalu -SolarWinds ehdottaa Syvä pakettivalvonta- ja analysointityökalu. Se tulee osana SolarWinds-verkon suorituskyvyn näyttö. Sen toiminta on aivan erilainen kuin "perinteisempiä" pakettien hauskaajia, vaikka se palvelee samanlaista tarkoitusta.

• Ilmainen kokeilu: SolarWinds-verkon suorituskyvyn näyttö
• Virallinen latauslinkki: https://www.solarwinds.com/network-performance-monitor/registration

Syvä pakettivalvonta- ja analysointityökalu ei ole pakettien haastaja tai verkkoanalysaattori, mutta se auttaa sinua löytämään ja selvittämään verkon syyn viiveet, tunnistaa vaikutuksen saaneet sovellukset ja määrittää, johtuuko verkon hitaus sovellus. Koska sillä on samanlainen tarkoitus kuin Wiresharkilla, tunsimme ansaitsevan olla tässä luettelossa. Työkalu käyttää syvän paketin tarkastustekniikoita vasteajan laskemiseen yli kaksitoista sataa sovellusta. Se luokittelee myös verkkoliikenteen luokittain (esim. liiketoiminta vs. sosiaalinen) ja riskitaso. Tämä voi auttaa tunnistamaan muun kuin liikeyrityksen liikenteen, josta voi olla hyötyä suodattamisesta tai jollakin tavalla hallinnasta tai eliminoinnista.

Syvä pakettivalvonta- ja analysointityökalu on olennainen osa Verkon suorituskyvyn näyttö tai NPM kuten sitä usein kutsutaan, joka on sinänsä vaikuttava ohjelmistopaketti, jossa on niin monia komponentteja, että siitä voidaan kirjoittaa kokonainen artikkeli. Se on täydellinen verkonvalvontaratkaisu, jossa yhdistyvät parhaat tekniikat, kuten SNMP ja syvä pakettivalvonta antamaan yhtä paljon tietoa verkon tilasta kuin mahdollista.

Hinnat SolarWinds-verkon suorituskyvyn näyttö joka sisältää Syvä pakettivalvonta- ja analysointityökalu alkaa 2 955 dollarista jopa 100 valvotulle elementille ja nousee valvottujen elementtien määrän mukaan. Työkalu on saatavilla 30 päivän ilmainen kokeilu joten voit varmistaa, että se todella vastaa tarpeitasi, ennen kuin sitoudut ostamaan sen.

2. tcpdump

tcpdump on todennäköisesti alkuperäinen paketinhaku. Se luotiin vuonna 1987. Se on yli kymmenen vuotta aikaisemmin Wireshark ja jopa ennen Snifferiä. Alkuperäisen julkaisunsa jälkeen työkalua on ylläpidetty ja parannettu, mutta se pysyy olennaisesti muuttumattomana. Työkalun käyttötapa ei ole muuttunut paljon sen kehityksen myötä. Se on asennettavissa käytännöllisesti katsoen jokaiseen Unixin kaltaiseen käyttöjärjestelmään, ja siitä on tullut tosiasiallinen standardi nopeaan työkaluun pakettien sieppaamiseksi. Kuten useimmat samanlaiset tuotteet * nix-alustoilla, tcpdump käyttää libpcap-kirjastoa todelliseen paketin sieppaukseen.

Verkkotunnuksen oletustoiminto tcpdump on suhteellisen yksinkertainen. Se kaappaa kaiken määritellyn käyttöliittymän liikenteen ja "upottaa" sen - tästä johtuen sen nimen - näytölle. Koska olet vakio * nix-työkalu, voit liittää tulosteen sieppaustiedostoon analysoitavaksi myöhemmin valitsemallasi analyysityökalulla. Itse asiassa ei ole harvinaista, että käyttäjät kaappaavat liikennettä tcpdumpilla myöhempää analysointia varten Wiresharkissa. Yksi avaimista tcpdumpVahvuutena ja hyödyllisyytenä on mahdollisuus soveltaa suodattimia ja / tai viedä sen lähtö grepiin - toiseen yleiseen * nix-komentoriviohjelmaan - lisäsuodattamista varten. Joku tcpdump, grep ja komentokuori hallitsevat voivat saada sen kaappaamaan tarkalleen oikean liikenteen mihin tahansa virheenkorjaustehtäviin.

3. Windump

Pähkinänkuoressa, Windump on tcpdump-portti Windows-käyttöympäristöön. Sellaisena se käyttäytyy suurin piirtein samalla tavalla. Tämä tarkoittaa, että se tuo suuren osan tcpdump-toiminnoista Windows-pohjaisiin tietokoneisiin. Windump voi olla Windows-sovellus, mutta älä odota hienoa käyttöliittymää. Se on tcpdump Windowsissa ja sellaisenaan se on vain komentoriviohjelma.

käyttämällä Windump on periaatteessa sama kuin sen * nix-vastineen käyttö. Komentorivivalinnat ovat melkein samat ja tulokset ovat myös melkein samat. Aivan kuten tcpdump, tulosteet Windump voidaan myös tallentaa tiedostoon myöhempää analysointia varten kolmannen osapuolen työkalulla. Grepiä ei kuitenkaan yleensä ole saatavana Windows-tietokoneella, mikä rajoittaa työkalun suodatusmahdollisuuksia.

Toinen tärkeä ero tcpdump ja Windump on se niin helposti saatavissa käyttöjärjestelmän pakettivarastosta. Ohjelmisto on ladattava Windump verkkosivusto. Se toimitetaan suoritettuna tiedostona, eikä se vaadi asennusta. Sellaisena se on kannettava työkalu, joka voidaan käynnistää USB-avaimesta. Kuitenkin, kuten tcpdump käyttää libpcap-kirjastoa, Windump käyttää Winpcapia, joka on ladattava ja asennettava erikseen.

4. Tshark

Voit ajatella Tshark ristinä tcpdump ja Wireshark mutta todellisuudessa se on enemmän tai vähemmän komentoriviversio Wireshark. Se on samalta kehittäjältä kuin Wireshark. Tshark karhut muistuttavat tcpdumpia siinä mielessä, että se on vain komentorivityökalu. Mutta se on myös Wireshark siinä, että se ei vain kaappaa liikennettä. Sillä on myös samat tehokkaat analyysiominaisuudet kuin Wireshark ja käyttää samantyyppistä suodatusta. Siksi se voi eristää nopeasti tarkan analysoitavan liikenteen.

Tshark herättää kuitenkin yhden kysymyksen. Miksi kukaan haluaisi komentoriviversion Wireshark? Miksi et vain käytä Wireshark? Useimmat järjestelmänvalvojat - itse asiassa useimmat ihmiset - ovat yhtä mieltä siitä, että yleensä graafisten käyttöliittymien avulla työkaluja on usein helpompi käyttää ja oppia sekä intuitiivisempia ja käyttäjäystävällisempiä. Loppujen lopuksi, eikö niin, miksi graafisista käyttöjärjestelmistä tuli niin suosittuja? Tärkein syy siihen, miksi kuka tahansa valitsee Tshark yli Wireshark on, kun he vain haluavat tehdä nopean sieppauksen suoraan palvelimella vianetsintää varten. Ja jos epäilet palvelimen suorituskykyongelmaa, kannattaa ehkä käyttää muuta kuin GUI-työkalua, koska se voi verottaa resursseja vähemmän.

5. Network Miner

Network Miner on enemmän oikeuslääketieteellinen työkalu kuin paketinhakija tai verkkoanalysaattori. Tämä työkalu seuraa TCP-virtaa ja voi rekonstruoida koko keskustelun. Se on todella tehokas työkalu liikenteen syvälliseen analysointiin, vaikkakin se voi olla vaikea hallita. Työkalu voi toimia offline-tilassa, jossa tuodaan sieppaustiedosto - mahdollisesti luotu jollain muilla tarkistetuilla työkaluilla - ja annetaan Network Miner toimimaan sen taikuutta. Koska ohjelmisto toimii vain Windowsissa, mahdollisuus työskennellä sieppaustiedostoista on varmasti plus. Voit esimerkiksi käyttää Linuxissa tcpdump-sovellusta liikenteen sieppaamiseen ja Windowsin Network Miner -sovellusta sen analysointiin.

Network Miner on saatavana ilmaisena versiona, mutta edistyneemmille ominaisuuksille, kuten IP-osoitteeseen perustuva paikannus ja komentosarjojen tekeminen, sinun on ostettava Professional-lisenssi, joka maksaa sinulle 900 dollaria. Toinen ammattimaisen version edistynyt toiminto on mahdollisuus purkaa ja toistaa VoIP-puhelut.

6. Pelimanni

Jotkut lukijoistamme - erityisesti tietoisempia - houkuttelevat väittämään tämän Pelimanni, viimeinen merkintömme, ei ole pakettien haastaja tai verkkoanalysaattori. Ollakseni rehellinen, he saattavat hyvinkin olla oikeassa, mutta silti tunsimme, että meidän pitäisi sisällyttää tämä työkalu luetteloomme, koska se voi olla erittäin hyödyllinen monissa eri tilanteissa.

Ensinnäkin, asetetaan asiat suoraan, Pelimanni todella tallentaa liikennettä. Se ei kuitenkaan kaappaa vain liikennettä. Se toimii vain HTTP-liikenteen kanssa. Tästä rajoituksesta huolimatta, kun ajatellaan, että niin monet sovellukset ovat nykyään verkkopohjaisia ​​tai käyttävät HTTP-protokollaa taustalla, on helppo nähdä, kuinka arvokkaita, kuten työkalu, voi olla. Ja koska työkalu ei kaappaa selainliikennettä, vaan melkein mitä tahansa HTTP: tä, se voi olla erittäin hyödyllinen vianmäärityksessä erityyppisissä sovelluksissa.

Tärkein etu työkalusta kuten Pelimanni Wiresharkin kaltaisen "totta" paketinhakuohjelman yli on se, että se on rakennettu ymmärtämään HTTP-liikennettä. Se löytää esimerkiksi evästeet ja sertifikaatit. Se löytää myös HTTP-pohjaisista sovelluksista tulevat todelliset tiedot. Pelimanni on ilmainen ja se on saatavana vain Windowsille. Beta-versiot OS X: lle ja Linuxille (käyttäen Mono-kehystä) voidaan kuitenkin ladata.