6 najboljih opcija za žice za njuškanje

Wireshark, koja je ranije bila poznata kao eteričan, postoji već 20 godina. Ako ne i najbolji, svakako je najpopularniji alat za njuškanje mreže. Kad god se pojavi potreba za analizom paketa, to je često alat za pristup većini administratora. Međutim, kao dobar Wireshark mogu biti, postoji mnogo alternativa vani. Neki od vas se mogu pitati što nije u redu Wireshark to bi opravdalo njegovu zamjenu. Da budem potpuno iskren, tu nema apsolutno ništa loše Wireshark a ako ste već sretan korisnik, ne vidim razloga zašto biste se trebali mijenjati. S druge strane, ako ste novi na sceni, možda bi bilo dobro pogledati što je dostupno prije nego što odaberete rješenje. Da bismo vam pomogli, sastavili smo ovaj popis nekih najboljih Wireshark alternative.

Započet ćemo istraživanje pregledom Wireshark. Uostalom, ako želimo predložiti alternative, možda bismo barem malo upoznali proizvod. Zatim ćemo ukratko razmotriti što su sniffers paketi - ili mrežni analizatori, kako ih se često naziva -. Budući da paketni njušci mogu biti relativno složeni, tada ćemo provesti neko vrijeme raspravljajući o tome kako ih koristiti. Ovo nikako nije potpuni vodič, ali treba vam dati dovoljno pozadinskih informacija kako biste bolje shvatili nadolazeće recenzije proizvoda. Govoreći o recenzijama proizvoda, ovo ćemo imati u nastavku. Identificirali smo nekoliko proizvoda vrlo različitih vrsta koji bi mogli biti dobra alternativa Wiresharku i predstavit ćemo najbolje značajke svakog od njih.

O Wiresharku

Prije Wireshark, tržište je imalo u osnovi jedan paketski snajfer koji je prikladno nazvan Njuškalo. Bio je to izvrstan proizvod koji je pretrpio jednu veliku manu, njegovu cijenu. Krajem 90-ih proizvod je iznosio oko 1500 USD, što je više nego što su mnogi mogli priuštiti. To je potaknulo razvoj eteričan kao besplatni i otvoreni izvorni snaffer paketa od strane diplomiranog UMKC-a Gerald Combs koji je i dalje primarni održavač Wireshark dvadeset godina kasnije. Razgovarajte o ozbiljnoj predanosti.

Danas, Wireshark je postala referenca u paketima sniffers. To je de-facto standard i većina drugih alata ima tendenciju oponašanja. Wireshark u suštini čini dvije stvari. Prvo, on bilježi sav promet koji vidi na svom sučelju. No tu se to ne zaustavlja, proizvod također ima prilično moćne mogućnosti analize. Mogućnosti analize alata su toliko dobre da nije neuobičajeno da korisnici koriste druge alate za hvatanje paketa i rade analizu koristeći Wireshark. Ovo je tako čest način korištenja Wireshark da će vas pri pokretanju otvoriti postojeća datoteka za hvatanje ili započeti snimanje prometa. Još jedna snaga Wireshark svi su filtri koje sadrži te vam omogućiti da unesete nulu na točno one podatke koji vas zanimaju.

O alatima mrežne analize

Iako je to pitanje već neko vrijeme otvoreno za raspravu, za potrebe ovog članka, pretpostavit ćemo da su izrazi "sniffer paketa" i "mrežni analizator" jedno te isto. Neki će tvrditi da se radi o dva različita koncepta i, iako mogu biti u pravu, promatrat ćemo ih zajedno, makar samo radi jednostavnosti. Uostalom, iako mogu raditi drugačije - ali je li stvarno? - služe sličnoj svrsi.

Packet Sniffers u osnovi čine tri stvari. Prvo, oni hvataju sve pakete podataka prilikom ulaska ili izlaska iz mrežnog sučelja. Drugo, oni primjenjuju filtre kako bi ignorirali neke pakete i spremili druge na disk. Zatim provode neki oblik analize zaplijenjenih podataka. Upravo u toj posljednjoj funkciji je većina razlika između proizvoda.

Većina njuškica za pakete oslanja se na vanjski modul radi stvarnog hvatanja podatkovnih paketa. Najčešći su libpcap na Unix / Linux sustavima i Winpcap na Windows-u. Međutim, ti alati obično nećete morati instalirati, jer ih obično instaliraju instalatori alata za snadbevanje paketa.

Još jedna važna stvar je znati da koliko god dobri i korisni, Packet Sniffers neće učiniti sve za vas. Oni su samo oruđe. Možete ih smatrati čekićem koji jednostavno neće sam zabiti nokat. Trebate biti sigurni da ste naučili kako najbolje koristiti svaki alat. Njuškalo paketa omogućuje vam analizu prometa koji bilježi, ali na vama je da osigurate da unese prave podatke i da ga iskoristite u svoju korist. Bilo je čitavih knjiga napisanih o korištenju alata za hvatanje paketa. Jednom sam pohađao trodnevni tečaj na tu temu.

Korištenje Pani Njuškala

Kao što smo već naveli, snaffer paket će uhvatiti i analizirati promet. Stoga, ako pokušavate riješiti određeni problem - što je tipična upotreba takvog alata, prvo što trebate učiniti je osigurati da je promet koji snimate pravi promet. Zamislite slučaj kada se svaki pojedini korisnik određene aplikacije žali kako je sporo. U takvoj situaciji najbolje bi vam bilo sakupiti promet na mrežnom sučelju aplikacijskog poslužitelja, jer se čini da na to utječe svaki korisnik. Tada ćete možda shvatiti da zahtjevi stižu na poslužitelj normalno, ali da serveru treba dugo vremena da pošalje odgovore. To bi značilo kašnjenje na poslužitelju umjesto problema s umrežavanjem.

S druge strane, ako vidite da server pravodobno odgovara na zahtjeve, to može značiti da je problem negdje na mreži između klijenta i poslužitelja. Zatim biste jedan snažno približavali klijentu i vidjeli da li odgovori kasne. Ako ne, prešli biste više skok bliže klijentu, i tako dalje, i tako dalje. Na kraju ćete stići na mjesto gdje dolazi do kašnjenja. I nakon što utvrdite mjesto problema, jedan ste veliki korak bliže njegovom rješavanju.

Da vidimo kako možemo upravljati snimanjem paketa na određenoj mreži mreže. Jedan jednostavan način postizanja je korištenje prednosti većine mrežnih sklopki nazvanih zrcaljenje ili replikacija priključaka. Ova opcija konfiguracije replicirat će sav promet u određenom prekidačkom ulazu i izvan njega do drugog ulaza na istoj sklopci. Na primjer, ako je vaš poslužitelj spojen na priključak 15 sklopke i na raspolaganju je priključak 23 iste sklopke. Spajate snaffer paketa na priključak 23 i konfigurirate prekidač za umnožavanje cjelokupnog prometa na i od vrata 15 do priključka 23.

Najbolje Wireshark alternative

Sad kad bolje razumiješ što Wireshark i drugi sniffers paket i mrežni analizatori, pogledajmo koji su alternativni proizvodi. Naš popis uključuje kombinaciju alata naredbenog retka i GUI-a, kao i alata koji se izvode na različitim operativnim sustavima.

SolarWinds poznata je po vrhunskim alatima za upravljanje mrežama. Tvrtka postoji oko 20 godina i donijela nam je nekoliko sjajnih alata. Njegov vodeći proizvod nazvan je Monitor performansi mreže SolarWinds većina ga prepoznaje kao jedan od najboljih alata za praćenje propusnosti mreže. SolarWinds također je poznata po tome što je napravila pregršt izvrsnih besplatnih alata, svaki od njih obraća se specifičnim potrebama mrežnih administratora. Dva primjera tih alata su SolarWinds TFTP poslužitelj i the Napredni podmrežni kalkulator.

Kao potencijalna alternativa Wireshark- i možda najbolja alternativa jer je riječ o tako različitom alatu -SolarWinds predlaže Alat za dubinsku inspekciju i analizu paketa. Dolazi kao sastavni dio Monitor performansi mreže SolarWinds. Njezin se rad prilično razlikuje od više "tradicionalnih" paketskih njuška iako ima sličnu svrhu.

• BESPLATNO probno razdoblje: Monitor performansi mreže SolarWinds
• Službena veza za preuzimanje: https://www.solarwinds.com/network-performance-monitor/registration

Alat za dubinsku inspekciju i analizu paketa niti je snajperski paket niti je mrežni analizator, ali to će vam pomoći da pronađete i riješite uzrok mreže latencije, identificirati aplikacije na koje je utjecaj utjecao i utvrditi je li sporost uzrokovana mrežom ili anom primjena. Budući da služi sličnoj svrsi kao i Wireshark, smatrali smo da je zasluženo biti na ovom popisu. Alat će upotrijebiti tehnike inspekcije dubokog paketa za izračunavanje vremena odziva za više od dvanaest stotina aplikacija. Također će klasificirati mrežni promet prema kategorijama (npr. posao vs. socijalna) i razina rizika. Ovo može pomoći u prepoznavanju ne-poslovnog prometa koji bi mogao imati koristi od filtriranja ili na neki način kontroliran ili uklonjen.

Alat za dubinsku inspekciju i analizu paketa sastavna je komponenta Mrežni monitor performansi ili NPM kako se često naziva, što je samo po sebi impresivan dio softvera s toliko komponenti da bi se o njemu mogao napisati čitav članak. To je cjelovito rješenje za nadzor mreže koje kombinira neke od najboljih tehnologija poput SNMP-a i dubinska inspekcija paketa kako bi se pružilo što više informacija o stanju vaše mreže moguće.

Cijene za Monitor performansi mreže SolarWinds što uključuje i Alat za dubinsku inspekciju i analizu paketa započinju od $ 2 955 za do 100 nadziranih elemenata i povećavaju se prema broju nadziranih elemenata. Alat na raspolaganju je 30-dnevno besplatno probno razdoblje tako da možete biti sigurni da zaista odgovara vašim potrebama prije nego što se obvezate na kupnju.

2. tcpdump

tcpdump vjerojatno je izvorni njuškalo za paket. Stvorena je davne 1987. godine. To je prije više od deset godina Wireshark pa čak i prije Sniffera. Od početnog puštanja alat se održava i poboljšava, ali u osnovi ostaje nepromijenjen. Način korištenja alata nije se mnogo promijenio tijekom evolucije. Dostupan je za instaliranje na gotovo svakom Unix operativnom sustavu i postao je de-facto standard za brzi alat za hvatanje paketa. Kao i većina sličnih proizvoda na * nix platformama, tcpdump koristi knjižnicu libpcap za stvarno hvatanje paketa.

Zadani rad sustava tcpdump relativno je jednostavno. Hvata sav promet na navedenom sučelju i "baca" ga - otuda i njegovo ime - na zaslon. Budući da je standardni * nix alat, izlaz možete prenijeti u datoteku za snimanje koja će se kasnije analizirati pomoću alata za analizu po vašem izboru. U stvari, nisu rijetkost da korisnici hvataju promet pomoću tcpdump-a za kasniju analizu u Wiresharku. Jedan od ključeva za tcpdumpSnaga i korisnost je mogućnost primjene filtera i / ili cijevi njegovog izlaza na grep - još jedan uobičajeni * nix uslužni program naredbenog retka - za daljnje filtriranje. Netko ovladavanje tcpdump-om, grep-om i naredbenom ljuskom može ga dobiti upravo zato da uhvati točno pravi promet za bilo koji zadatak uklanjanja pogrešaka.

3. Windump

U suštini, Windump je port tcpdump na Windows platformu. Kao takav, ponaša se na gotovo isti način. To znači da velik dio tcpdump funkcionalnosti donosi na računalima sa sustavom Windows. Windump je možda Windows aplikacija, ali ne očekujte maštovit GUI. To je stvarno tcpdump u sustavu Windows i kao takav to je samo komandni redak.

koristeći Windump u osnovi je isto što i kad upotrijebite svoj * nix kolega. Opcije naredbenog retka gotovo su iste, a rezultati su gotovo identični. Baš kao tcpdump, izlaz iz Windump također se mogu spremiti u datoteku za kasniju analizu pomoću alata treće strane. No, grep obično nije dostupan na Windows računalu, što ograničava sposobnosti filtriranja alata.

Još jedna važna razlika između tcpdump i Windump jest ono što je lako dostupno iz skladišta paketa operativnog sustava. Softver ćete morati preuzeti s softvera Windump web stranica. Dostavlja se kao izvršna datoteka i ne zahtijeva instalaciju. Kao takav, to je prijenosni alat koji se može pokrenuti s USB ključa. Međutim, baš kao što tcpdump koristi knjižnicu libpcap, Windump koristi Winpcap koji treba odvojeno preuzeti i instalirati.

4. Tshark

Možete misliti Tshark kao križ između tcpdump i Wireshark ali u stvarnosti je to, manje ili više, inačica naredbenog retka Wireshark. Dolazi od istog programera kao Wireshark. Tshark ima sličnost s tcpdump po tome što je to alat samo za naredbenu liniju. Ali isto je kao Wireshark jer neće prikupiti samo promet. Također ima iste moćne mogućnosti analize kao Wireshark i koristi istu vrstu filtriranja. Stoga može brzo izolirati točan promet koji trebate analizirati.

Tshark ipak postavlja jedno pitanje. Zašto bi itko želio verziju naredbenog retka Wireshark? Zašto jednostavno ne koristiti Wireshark? Većina administratora - u stvari većina ljudi - složila bi se da su alati s grafičkim korisničkim sučeljima općenito govoreći često jednostavniji za korištenje i učenje te intuitivniji i jednostavniji za upotrebu. Uostalom, nije li zbog toga grafički operativni sustavi postali toliko popularni? Glavni razlog zašto bi itko odabrao Tshark nad Wireshark jest kada jednostavno žele napraviti brzo snimanje izravno na poslužitelju za potrebe rješavanja problema. A ako sumnjate na problem s performansama na poslužitelju, možda biste radije koristili alat koji nije GUI jer može biti manje oporezivanja resursa.

5. Mrežni rudar

Mrežni rudar više je forenzički alat nego sniffer paket ili mrežni analizator. Ovaj će alat slijediti TCP tok i može rekonstruirati čitav razgovor. To je zaista moćan alat za dubinsku analizu prometa, iako onaj koji je teško savladati. Alat može raditi u izvanmrežnom načinu u koji bi se uvezla datoteka za hvatanje - možda stvorena korištenjem jednog od ostalih pregledanih alata - i pustila Mrežni rudar radi svoju magiju. S obzirom da se softver izvodi samo u sustavu Windows, mogućnost rada s hvataljkama datoteka sigurno je plus. Možete, na primjer, upotrijebiti tcpdump na Linuxu da biste snimili nešto prometa i Network Miner u sustavu Windows da biste ga analizirali.

Mrežni rudar dostupan je u besplatnoj verziji, ali za naprednije značajke poput geolokacije i skripti na temelju IP adrese, morat ćete kupiti licencu za profesionalce koja će vas koštati 900 dolara. Još jedna napredna funkcija profesionalne verzije je mogućnost dekodiranja i reprodukcije VoIP poziva.

6. Violinista

Neki će naši čitatelji - posebno oni poznatiji - u iskušenju to tvrditi Violinista, naš posljednji unos, nije ni paket sniffer ni mrežni analizator. Da budemo iskreni, možda su u pravu, ali ipak, smatrali smo da treba uključiti ovaj alat na naš popis, jer može biti vrlo koristan u nekoliko različitih situacija.

Prvo i najvažnije, ispravimo stvari, Violinista zapravo će zarobiti promet. Ipak neće osvojiti bilo kakav promet Radit će samo s HTTP prometom. Unatoč ovom ograničenju, ako uzmete u obzir da se danas toliko aplikacija temelji na webu ili koriste HTTP protokol u pozadini, lako je vidjeti koliko takav alat može biti vrijedan. Budući da će alat privući ne samo promet u pregledniku, već i gotovo svaki HTTP, može vam biti od koristi u rješavanju problema s različitim vrstama aplikacija.

Glavna prednost alata poput Violinista preko "pravog" snajpera za paket, kao što je Wireshark, je taj što je izgrađen kako bi "razumio" HTTP promet. Otkrivat će, primjerice, kolačiće i potvrde. Također će se naći stvarni podaci koji dolaze iz HTTP-ovih aplikacija. Violinista je besplatan i dostupan je samo za Windows. Međutim, beta verzije za OS X i Linux (pomoću Mono okvira) mogu se preuzeti.