Najbolji paketski nosači i mrežni analizatori

click fraud protection

Njuškanje paketa duboka je vrsta mrežne analize u kojoj se pojedinosti mrežnog prometa dekodiraju kako bi se analizirali. To je jedna od najvažnijih vještina rješavanja problema koje treba posjedovati bilo koji mrežni administrator. Analiza mrežnog prometa je složen zadatak. Da bi se mogli nositi s nepouzdanim mrežama, podaci se ne šalju u jednom neprekidnom toku. Umjesto toga, usitnjen je u fragmente koji se šalju pojedinačno. Analiza mrežnog prometa uključuje mogućnost prikupljanja ovih paketa podataka i njihovo sastavljanje u nešto smisleno. To ne možete učiniti ručno, tako da su stvoreni snafferi za pakete i mrežni analizatori. Danas ćemo pogledati sedam najboljih snajpera za pakete i mrežne analizatore.

Današnjim putem krećemo s pružanjem nekoliko pozadinskih informacija o tome što su njuškice za paket. Pokušat ćemo shvatiti u čemu je razlika - ili postoji li razlika - između snafftera za paket i mrežnog analizatora. Zatim ćemo preći na srž teme i ne samo popisati, ali i ukratko pregledati svaki od naših sedam odabira. Ono što imamo za vas je kombinacija GUI alata i alata naredbenog retka koji se izvode na različitim operativnim sustavima.

instagram viewer

Nekoliko riječi o paketnim Njuškalo i mrežnim analizatorima

Započnimo s rješavanjem nečega. Za potrebe ovog članka, pretpostavit ćemo da su njuškice za pakete i mrežni analizatori jedno te isto. Neki će tvrditi da su različiti i da su možda u pravu. Ali u kontekstu ovog članka, pogledat ćemo ih zajedno, uglavnom zato što iako mogu raditi drugačije - ali stvarno? - služe istoj svrsi.

Packet Sniffers obično rade tri stvari. Prvo, oni hvataju sve pakete podataka prilikom ulaska ili izlaska iz mrežnog sučelja. Drugo, oni primjenjuju filtre kako bi ignorirali neke pakete i spremili druge na disk. Zatim provode neki oblik analize zaplijenjenih podataka. Upravo se u toj posljednjoj funkciji snajperskog paketa najviše razlikuju.

Za stvarno snimanje paketa podataka većina alata koristi vanjski modul. Najčešći su libpcap na Unix / Linux sustavima i Winpcap na Windows-u. Obično nećete morati instalirati te alate jer ih obično instaliraju različiti instalacijski alati.

Još jedna važna stvar je znati da Packet Sniffers - čak i najbolji - neće učiniti sve za vas. Oni su samo oruđe. To je poput čekića koji sam neće ubiti nokat. Dakle, morate biti sigurni da ste naučili kako najbolje koristiti svaki alat. Njuškalo za paket će vam samo omogućiti da vidite promet, ali na vama je da koristite te informacije za pronalaženje problema. Bilo je čitavih knjiga o korištenju alata za hvatanje paketa. I ja sam jednom pohađao trodnevni tečaj na tu temu. Ne pokušavam vas obeshrabriti. Samo pokušavam postaviti vaša očekivanja.

Kako koristiti Pani Njuškalo

Kao što smo objasnili, snajker paketa snimit će i analizirati promet. Dakle, ako pokušavate riješiti određeni problem - koji je obično razlog zašto koristite takav alat - prvo morate biti sigurni da je promet koji bilježite pravi promet. Zamislite situaciju u kojoj se svi korisnici žale da je određena aplikacija spora. U takvoj vrsti situacije vjerojatno bi najbolje mogao zabilježiti promet na mrežnom sučelju aplikacijskog poslužitelja. Tada ćete možda shvatiti da zahtjevi stižu na poslužitelj normalno, ali da serveru treba dugo vremena da pošalje odgovore. To bi značilo problem s poslužiteljem.

Ako s druge strane vidite da poslužitelj odgovara pravodobno, to možda znači da je problem negdje na mreži između klijenta i poslužitelja. Zatim biste jedan snažno približavali klijentu i vidjeli da li odgovori kasne. Ako nije, približite se klijentu još više, i tako dalje. Na kraju ćete stići na mjesto gdje dolazi do kašnjenja. I nakon što utvrdite mjesto problema, jedan ste veliki korak bliže njegovom rješavanju.

Sada se možda pitate kako uspijevamo uhvatiti pakete u određenoj točki. Prilično je jednostavno, koristimo značajku većine mrežnih sklopki zvanih zrcaljenje ili replikacija priključaka. Ovo je opcija konfiguracije koja će replicirati sav promet u određenom prekidačkom ulazu i izvan njega do drugog ulaza na istoj sklopci. Recimo da je vaš poslužitelj povezan s priključkom 15 sklopke i da je dostupan priključak 23 tog istog prekidača. Spajate snaffer paketa na port 23 i konfigurirate prekidač za kopiranje svoga prometa od priključka 15 do priključka 23. Ono što dobivate kao rezultat na priključku 23 je zrcalna slika - otuda i naziv zrcaljenja porta - onoga što prolazi kroz priključak 15.

Najbolji paketski nosači i mrežni analizatori

Sad kad ste bolje razumjeli što su snaffers paketi i mrežni analizatori, da vidimo što je sedam najboljih koje bismo mogli pronaći. Pokušali smo uključiti kombinaciju alata naredbenog retka i GUI-a, kao i alate koji se izvode na različitim operativnim sustavima. Uostalom, nemaju svi mrežni administratori sustav Windows.

SolarWinds je poznata po brojnim korisnim besplatnim alatima i najsuvremenijim softverom za upravljanje mrežama. Jedan od njegovih alata naziva se Alat za dubinsku inspekciju i analizu paketa. Dolazi kao sastavni dio vodećeg proizvoda tvrtke SolarWinds, mrežnog monitora. Njezin se rad prilično razlikuje od više "tradicionalnih" paketskih njuška iako ima sličnu svrhu.

Nadzorna ploča duboke analize paketa SolarWinds

Da biste saželi funkcionalnost alata: on će vam pomoći da pronađete i riješite uzrok mreže latencije, identificirati aplikacije na koje je utjecaj utjecao i utvrditi je li sporost uzrokovana mrežom ili anom primjena. Softver će također koristiti tehnike dubinskog pregleda paketa za izračunavanje vremena odziva za više od dvanaest stotina aplikacija. Također će klasificirati mrežni promet po kategorijama, prema poslovanju u odnosu na tvrtku. socijalna i razina rizika, što vam pomaže identificirati ne-poslovni promet koji će možda trebati filtrirati ili na drugi način eliminirati.

I ne zaboravite da alat za inspekciju i analizu dubokog paketa SolarWinds dolazi kao dio mrežnog praćenja performansi. NPM, kako se često naziva, impresivan je dio softvera s toliko komponenti da bi mu mogao biti posvećen čitav članak. U svojoj srži, to je cjelovito rješenje mrežnog praćenja koje kombinira najbolje tehnologije poput SNMP i dubinski pregled paketa kako bi pružili što više informacija o stanju vaše mreže moguće. Uz njega dolazi i alat po povoljnim cijenama 30-dnevno besplatno probno razdoblje tako da možete biti sigurni da zaista odgovara vašim potrebama prije nego što se obvezate na kupnju.

Službena veza za preuzimanje:https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

tcpdump vjerojatno je izvorni njuškalo za paket. Stvorena je davne 1987. godine. Od tada se održava i poboljšava, ali u osnovi ostaje nepromijenjen, barem onako kako se koristi. On je unaprijed instaliran u gotovo svakom Unix operativnom sustavu i postao je de-facto standard kada je potreban brzi alat za hvatanje paketa. Tcpdump koristi knjižnicu libpcap za stvarno snimanje paketa.

Snimka zaslona TCPDump

Prema zadanim postavkama. tcpdump bilježi sav promet na navedenom sučelju i "odbacuje" ga - otuda i njegovo ime - na zaslon. Izbacivanje se također može staviti u datoteku za hvatanje i kasnije analizirati pomoću jednog ili kombinacije više dostupnih alata. Ključno za snagu i korisnost tcpdump-a je mogućnost primjene svih vrsta filtera i usmjeravanja njegovog izlaza na grep - još jedan uobičajeni uslužni program Unix naredbene linije - za daljnje filtriranje. Netko tko dobro poznaje tcpdump, grep i naredbenu ljusku može ga dobiti upravo zato da uhvati točno pravi promet za bilo koji zadatak uklanjanja pogrešaka.

3. Windump

Windump u osnovi je samo port tcpdump-a na Windows platformu. Kao takav, ponaša se na gotovo isti način. Nije neuobičajeno vidjeti takve portove uspješnih uslužnih programa s jedne platforme na drugu. Windump je Windows aplikacija, ali ne očekujte maštovito korisničko sučelje. Ovo je samo uslužni program. Korištenje Windumpa je, dakle, u osnovi isto kao i korištenje Unix-ove kolege. Opcije naredbenog retka su iste, a rezultati su gotovo identični. Izlaz iz Windumpa također se može spremiti u datoteku za kasniju analizu pomoću alata treće strane.

WinDump pomoć

Glavna razlika kod tcpdump je da Windump nije ugrađen u Windows. Morat ćete je preuzeti s adrese Web mjesto Windump. Softver se isporučuje kao izvršna datoteka i ne zahtijeva nikakvu instalaciju. Međutim, baš kao što i tcpdump koristi knjižnicu libpcap, Windump koristi Winpcap koji, poput većine Windows knjižnica, treba odvojeno preuzeti i instalirati.

4. Wireshark

Wireshark je referenca u paketima sniffers. To je postao standard de-facto i većina drugih alata ga ima mogućnost oponašati. Ovaj alat ne samo da će zarobiti promet, već ima i prilično moćne mogućnosti analize. Toliko moćan da će mnogi administratori koristiti tcpdump ili Windump za hvatanje prometa u datoteku, a zatim je učitati u Wireshark na analizu. To je tako čest način korištenja Wiresharka da će se nakon pokretanja od vas zatražiti da otvorite postojeću pcap datoteku ili započnete hvatanje prometa. Još jedna snaga Wireshark-a su svi filtri koje sadrži i koji vam omogućuju da unesete nulu u točno one podatke koji vas zanimaju.

Snimka zaslona Wireshark

Da budem potpuno iskren, ovaj alat ima strmu krivulju učenja, ali vrijedi ga učiti. Ponovno će se pokazati neprocjenjivim vremenom. A nakon što ga naučite, moći ćete ga koristiti svugdje kao što je i prenesen u gotovo svaki operativni sustav, a dostupan je besplatno i s otvorenim kodom.

5. tshark

Tshark je vrsta poput križanja između tcpdump-a i Wiresharka. Ovo je sjajna stvar jer su oni neki od najboljih paketskih njuškara vani. Tshark je poput tcpdump u tome što je to samo alat za naredbenu liniju. No također je sličan Wiresharku po tome što ne samo da bilježi, već i analizira promet. Tshark je od istih programera kao i Wireshark. To je, manje-više, verzija Wiresharka iz naredbenog retka. Koristi istu vrstu filtriranja kao Wireshark i zato može brzo izolirati samo promet koji trebate analizirati.

Rezultati Tshark-a

Ali zašto, možda se pitate, hoće li itko željeti verziju Wiresharka iz naredbenog retka? Zašto jednostavno ne upotrijebite Wireshark; sa svojim grafičkim sučeljem, to mora biti jednostavnije za korištenje i za učenje? Glavni razlog je taj što će vam omogućiti da ga koristite na ne-GUI poslužitelju.

6. Mrežni rudar

Mrežni rudar više je forenzički alat nego istinski njuškalo za paket. Mrežni rudar pratit će TCP tok i rekonstruirati čitav razgovor. Doista je jedno moćno sredstvo. Može raditi u izvanmrežnom načinu rada, gdje uvezete neku datoteku za snimanje kako bi mrežni rudar radio svoju čaroliju. Ovo je korisna značajka jer se softver izvodi samo u sustavu Windows. Možete koristiti tcpdump na Linuxu za snimanje određenog prometa i Network Miner u sustavu Windows da biste ga analizirali.

Snimka zaslona NetworkMiner

Mrežni rudar dostupan je u besplatnoj verziji, ali za naprednije značajke poput geolokacije i skripti utemeljene na IP-u trebat će vam kupiti licencu Profesional. Još jedna napredna funkcija profesionalne verzije je mogućnost dekodiranja i reprodukcije VoIP poziva.

7. Fiddler (HTTP)

Neki od naših više upućenih čitatelja mogu tvrditi da Fiddler nije snajperista za pakete niti je mrežni analizator. Vjerojatno su u pravu, ali smatrali smo da trebamo uključiti ovaj alat na naš popis jer je u mnogim situacijama vrlo koristan. Violinista ustvari će zarobiti promet, ali ne i svaki promet. Radi samo s HTTTP prometom. Možete zamisliti koliko to može biti vrijedno unatoč ograničenjima kada uzmete u obzir da se danas toliko aplikacija temelji na webu ili koriste HTTP protokol u pozadini. A budući da će Fiddler prikupiti ne samo promet preglednika već i svaki HTTP, vrlo je koristan u rješavanju problema

Snimka uklanjanja pogrešaka Fiddler

Prednost alata poput Fiddlera u odnosu na dobronamjerni njuškalo kao što je, na primjer, Wireshark, je ta što je Fiddler izgrađen da "razumije" HTTP promet. Otkrivat će, primjerice, kolačiće i potvrde. Također će se naći stvarni podaci koji dolaze iz HTTP-ovih aplikacija. Fiddler je besplatan i dostupan je samo za Windows iako se mogu preuzeti beta verzije za OS X i Linux (koristeći Mono okvir).

Zaključak

Kada objavljujemo popise poput ove, često se postavljamo pitanja koja je najbolja. U ovoj konkretnoj situaciji, ako bi mi se postavili to pitanje, morala bih odgovoriti na "sve njih". Svi su besplatni alati i svi imaju svoju vrijednost. Zašto ih ne biste imali pri ruci i upoznali se sa svakim od njih. Kad dođete u situaciju da ih trebate koristiti, biće mnogo lakše i učinkovitije. Čak i alati naredbenog retka imaju ogromnu vrijednost. Na primjer, oni mogu biti skriptirani i zakazani. Zamislite da imate problem koji se događa u 2:00 ujutro dnevno. Možete zakazati posao za pokretanje tcpdump-a Windump između 1:50 i 2:10 i analizirati datoteku za snimanje sljedećeg jutra. Nema potrebe da budite cijelu noć.

watch instagram story