6 legjobb Wireshark-alternatíva a csomagos szippantáshoz

Wireshark, amelyet korábban Éteri, 20 éve működik. Ha nem a legjobb, akkor ez természetesen a legnépszerűbb hálózati szippantási eszköz. Ha csak csomagok elemzésére van szükség, ez a legtöbb rendszergazda gyakran használja ezt az eszközt. Annyira jó Wireshark lehet, hogy számos alternatíva áll rendelkezésre. Néhányan kíváncsi lehet, mi a baj Wireshark ez indokolná annak cseréjét. Ahhoz, hogy őszinte legyek, nincs semmi baj Wireshark és ha már boldog felhasználó, nem látom, miért kellett megváltoztatnia. Másrészt, ha még nem ismeri a jelenetet, akkor jó lehet, ha a megoldás kiválasztása előtt megvizsgálja a rendelkezésre álló lehetőségeket. Segíteni Önnek összeállítottuk a legjobbak listáját Wireshark alternatívákat.

A felfedezésünket egy pillantással kezdjük meg Wireshark. Végül is, ha alternatívákat akarunk javasolni, akkor is megismerhetjük a terméket legalább egy kicsit. Ezután röviden megvitatjuk, hogy mi a csomag-szippantás - vagy a hálózati elemző, ahogy gyakran nevezik. Mivel a csomagszippantók viszonylag bonyolultak lehetnek, akkor eltölteni fogunk egy kis időt arra, hogy megbeszéljük őket. Ez egyáltalán nem teljes bemutató, de elegendő háttér-információt kell adnia a közelgő termékértékelések jobb megértéséhez. A termékértékelésekről beszélve, ez lesz a következő. Több, nagyon különböző típusú terméket azonosítottunk, amelyek jó alternatíva lehetnek a Wireshark számára, és bemutatjuk mindegyikük legjobb tulajdonságait.

A Wiresharkról

Előtt Wireshark, a piacon alapvetően egy csomagmegfigyelő volt, amelyet megfelelően hívtak vihar. Kiváló termék volt, amelynek egyik jelentős hátránya, ára volt. A 90-es évek végén a termék körülbelül 1500 dollár volt, ami több volt, mint amennyit sokan meg tudtak volna engedni. Ez ösztönözte a Éteri ingyenes és nyílt forráskódú szippantóként egy UMKC diplomás diplomával Gerald Combs aki továbbra is a Wireshark húsz évvel később. Beszéljen a komoly elkötelezettségről.

Ma, Wireshark lett a referencia a csomagszippantókban. Ez a de facto szabvány, és a legtöbb egyéb eszköz inkább emulálja azt. Wireshark alapvetően két dolgot tesz. Először rögzíti az összes forgalmat, amelyet az interfészén lát. De nem áll ezzel megállni, a terméknek meglehetősen erős elemzési képességei is vannak. Az eszköz elemzési lehetőségei olyan jók, hogy nem ritka, hogy a felhasználók más eszközöket használnak a csomagmegfogásra, és az elemzést Wireshark. Ez a használat ilyen általános módja Wireshark hogy indításkor felkérést kap, hogy nyisson meg egy meglévő rögzítési fájlt, vagy kezdje el rögzíteni a forgalmat. Egy másik erőssége Wireshark az összes beépített szűrő, amely lehetővé teszi, hogy pontosan megadja az érdekli az adatokat.

A hálózati elemző eszközökről

Noha az ügy egy ideje vita előtt áll, e cikk kedvéért feltételezzük, hogy a „packet sniffer” és a „hálózati elemző” kifejezések azonosak. Néhányan azt állítják, hogy két különböző fogalomról van szó, és bár valószínűleg igaza van, együtt fogjuk nézni őket, ha csak az egyszerűség kedvéért. Végül is, bár működhetnek másképp - de valóban? - hasonló célt szolgálnak.

A Packet Sniffers lényegében három dolgot csinál. Először az összes adatcsomagot elfogják, amikor belépnek vagy kilépnek a hálózati interfészből. Másodszor, opcionálisan szűrőket alkalmaznak a csomagok egy részének figyelmen kívül hagyása és mások lemezre mentése céljából. Ezután elvégzik a rögzített adatok valamilyen formáját. A termékek közötti különbségek az utolsó funkcióban vannak.

A legtöbb csomagszippantó külső modulra támaszkodik az adatcsomagok tényleges rögzítésére. A leggyakoribb a libpcap Unix / Linux rendszereken és a Winpcap Windows rendszeren. Általában nem kell ezeket az eszközöket telepítenie, mivel ezeket általában a packet sniffer telepítői telepítik.

Egy másik fontos dolog, amit tudnunk kell, hogy a Packet Sniffers, bármennyire is jó és hasznos, nem mindent megtesz érte. Ezek csak eszközök. Gondolhat rájuk, mint egy kalapácsra, amely önmagában nem fog megszerezni a szöget. Gondoskodnia kell arról, hogy megtanulja, hogyan lehet az egyes eszközöket a legjobban használni. A csomagszippantó lehetővé teszi az általa elfoglalt forgalom elemzését, de a feladata, hogy ellenőrizze, hogy a megfelelő adatokat rögzíti-e, és az Ön előnye érdekében használja fel. Egész könyveket írtak a csomaggyűjtő eszközök használatáról. Egyszer vettem egy háromnapos tanfolyamot a témáról.

Csomagos sniffer használata

Mint már mondtuk, egy csomagszippantó rögzíti és elemzi a forgalmat. Ezért, ha egy konkrét problémát próbál megoldani - egy ilyen eszköz tipikus használatakor, akkor először meg kell tennie, hogy ellenőrizze, hogy a rögzített forgalom a megfelelő-e. Képzeljünk el egy olyan esetet, amikor egy adott alkalmazás minden egyes felhasználója panaszkodik, hogy lassú. Ilyen helyzetben valószínűleg az lenne, ha a forgalmat rögzítené az alkalmazáskiszolgáló hálózati felületén, mivel úgy tűnik, hogy minden felhasználót érinti. Ekkor észreveheti, hogy a kérések általában a kiszolgálóra érkeznek, de a kiszolgálónak sok időbe telik a válaszok küldése. Ez inkább a szerver késleltetésére utal, mint hálózati problémára.

Másrészt, ha látja, hogy a szerver időben reagál a kérésekre, ez azt jelentheti, hogy a probléma valahol a hálózaton található az ügyfél és a szerver között. Ezután egy ugrást közelebb mozgat a csomagszippantóhoz az ügyféllel, és megnézheti, hogy a válaszok késik-e. Ha nem, akkor közelebb kerülne az ügyfélhez, és így tovább, és így tovább. Végül arra a helyre jut, ahol késések fordulnak elő. És miután azonosította a probléma helyét, egy nagy lépéssel közelebb kerül a megoldásához.

Lássuk, hogyan sikerül elfogni a csomagokat egy hálózat adott pontján. A megvalósítás egy egyszerű módja, hogy kihasználják a legtöbb hálózati kapcsolónak a port tükrözéssel vagy replikációval nevezett tulajdonságát. Ez a konfigurációs beállítás replikálja az adott kapcsolóporton belüli és onnan származó összes forgalmat ugyanazon a kapcsolón egy másik porthoz. Például, ha a szerver csatlakozik a kapcsoló 15. portjához, és ugyanazon kapcsoló 23. portja elérhető. Csatlakoztatja a csomagszippantót a 23. porthoz, és úgy konfigurálja a kapcsolót, hogy replikálja az összes forgalmat a 15. portból a 23. portba.

A legjobb Wireshark-alternatívák

Most, hogy jobban megérted mit Wireshark és más csomag-szippantók és hálózati elemzők, nézzük meg, hogy vannak alternatív termékek. A listánkban megtalálható a parancssori és a GUI eszközök, valamint a különféle operációs rendszereken futó eszközök keveréke.

SolarWinds közismert a legmodernebb hálózati menedzsment eszközökkel. A cég körülbelül 20 éve működik, és számos nagyszerű eszközt hozott nekünk. A zászlóshajója az SolarWinds hálózati teljesítményfigyelő A legtöbb a hálózati sávszélességet figyelő egyik legjobb eszközként ismeri el. SolarWinds Az is híres, hogy maroknyi kiváló ingyenes eszközt készít, amelyek mindegyike a hálózati rendszergazdák speciális igényeinek felel meg. Ezen eszközök két példája a SolarWinds TFTP szerver és a Speciális alhálózati kalkulátor.

Mint a Wireshark- és talán a legjobb alternatíva, mivel ez egy ilyen különféle eszköz -SolarWinds javasolja a Mély csomag ellenőrző és elemző eszköz. Ennek része a SolarWinds hálózati teljesítményfigyelő. Működése meglehetősen különbözik a „hagyományosabb” csomag-szippantóktól, bár hasonló célt szolgál.

• Ingyenes próbaverzió: SolarWinds hálózati teljesítményfigyelő
• Hivatalos letöltési link: https://www.solarwinds.com/network-performance-monitor/registration

Az Mély csomag ellenőrző és elemző eszköz nem csomagcsillapító vagy hálózati elemző, mégis segít megtalálni és megoldani a hálózat okát késések, azonosítsa az érintett alkalmazásokat, és meghatározza, hogy a lassúságot a hálózat okozza-e Alkalmazás. Mivel hasonló célt szolgál, mint a Wireshark, úgy éreztük, hogy megérdemli, hogy ebbe a listába kerüljön. Az eszköz mély csomag-ellenőrzési technikákat fog használni a több mint tizenötszáz alkalmazás válaszidejének kiszámításához. Ezenkívül osztályozni fogja a hálózati forgalmat (pl. üzleti vs. társadalmi) és kockázati szint. Ez elősegítheti a nem üzleti forgalom azonosítását, amelynek előnye származhat a szűrésből, valahogy irányításból vagy kiküszöbölésből.

Az Mély csomag ellenőrző és elemző eszköz a. szerves része Hálózati teljesítményfigyelő vagy NPM amint gyakran nevezik, ez önmagában olyan lenyűgöző szoftver, amely annyi összetevővel rendelkezik, hogy egy egész cikket el lehet írni róla. Ez egy komplett hálózati megfigyelő megoldás, amely egyesíti a legjobb technológiákat, mint például az SNMP és mély csomag ellenőrzés, hogy annyi információt kapjon a hálózat állapotáról, mint a lehetséges.

Az árak a SolarWinds hálózati teljesítményfigyelő amely magában foglalja a Mély csomag ellenőrző és elemző eszköz Akár 2 955 dollárból indul akár 100 megfigyelt elemnél, és felmegy a megfigyelt elemek száma szerint. Az eszköz elérhető egy 30 napos ingyenes próbaverzió így megbizonyosodhat arról, hogy valóban megfelel-e az Ön igényeinek, mielőtt megvásárolja.

2. tcpdump

tcpdump valószínűleg az eredeti csomag-szippantó. 1987-ben hozták létre. Ez több mint tíz évvel ezelőtt Wireshark és még mielőtt Sniffer lenne. Az első kiadása óta az eszközt karbantartották és továbbfejlesztették, de lényegében változatlan marad. Az eszköz felhasználásának módja evolúciója során sokat nem változott. Szinte minden Unix-szerű operációs rendszerre telepíthető, és a csomagok rögzítésének gyors eszközévé vált de facto szabványnak. Mint a legtöbb hasonló termék a * nix platformon, tcpdump a libpcap könyvtárat használja a tényleges csomagrögzítéshez.

Az alapértelmezett működése tcpdump viszonylag egyszerű. Rögzíti az összes forgalmat a megadott interfészen, és „elrabolja” - tehát a nevét - a képernyőn. Mivel egy standard * nix eszköz, akkor a kimenetet egy rögzítési fájlba továbbíthatja, amelyet később elemezhet a választott elemző eszköz segítségével. Valójában nem ritka, hogy a felhasználók a tcpdump segítségével rögzítik a forgalmat későbbi elemzés céljából a Wiresharkban. Az egyik kulcs a tcpdumpErõssége és hasznossága az a lehetõség, hogy szûrõket alkalmazunk és / vagy kimenetet grep-hez vezetünk - egy újabb általános * nix parancssori segédprogram - a további szûréshez. Valaki, aki elsajátítja a tcpdump, grep parancsot és a parancshéjat, megszerezheti azt, hogy pontosan rögzítse a hibakeresési feladatokhoz megfelelő forgalmat.

3. Windump

Dióhéjban, Windump a tcpdump portja a Windows platformon. Mint ilyen, ugyanúgy viselkedik. Ez azt jelenti, hogy a tcpdump funkciók nagy részét a Windows alapú számítógépekre hozza. A Windump lehet egy Windows alkalmazás, de ne számítson egy képzeletbeli felhasználói felületre. Valójában a tcpdump Windows rendszeren, és mint ilyen, ez csak egy parancssori segédprogram.

használata Windump alapvetően ugyanaz, mint a * nix megfelelőjének használata. A parancssori lehetőségek csaknem azonosak, és az eredmények szintén szinte azonosak. Csakúgy, mint a tcpdump, a kimenet is Windump fájlokba menthető későbbi elemzés céljából egy harmadik féltől származó eszköz segítségével. A grep azonban általában nem érhető el a Windows számítógépeken, korlátozva ezzel az eszköz szűrési képességét.

Egy másik fontos különbség a tcpdump és a Windump ugyanolyan könnyen elérhető az operációs rendszer csomagtárából. A szoftvert le kell töltenie a Windump weboldal. Futtatható fájlként kerül kiszállításra, és nincs szükség telepítésre. Mint ilyen, hordozható eszköz, amelyet egy USB-kulcsból el lehet indítani. Ugyanakkor, akárcsak a tcpdump használja a libpcap könyvtárat, Windump a Winpcap programot használja, amelyet külön kell letölteni és telepíteni.

4. Tshark

Gondolhat Tshark keresztként a tcpdump és a Wireshark de a valóságban ez többé-kevésbé a. parancssori változata Wireshark. Ugyanazon fejlesztőtől származik, mint a Wireshark. Tshark a tcpdump-hoz hasonlít, mivel ez csak parancssori eszköz. De ez is így van Wireshark abban, hogy nem csak a forgalmat fogja el. Ugyanolyan hatékony elemzési képességekkel rendelkezik, mint a Wireshark és ugyanazt a szűrést használja. Ezért gyorsan elkülöníti a pontos forgalmat, amelyet elemeznie kell.

Tshark felvet egy kérdést. Miért akarna bárki a (z) parancssori verzióját? Wireshark? Miért nem csak használja? Wireshark? A legtöbb rendszergazda - sőt, a legtöbb ember - egyetért azzal, hogy általában véve a grafikus felhasználói felülettel rendelkező eszközök gyakran könnyebben használhatók és megtanulhatók, intuitívabbak és felhasználóbarátabbak. Végül is, miért lett ilyen népszerű a grafikus operációs rendszerek? A fő ok, amiért bárki választott Tshark felett Wireshark akkor, amikor csak gyors rögzítést akarnak tenni közvetlenül a kiszolgálón hibaelhárítási célokból. És ha gyanít egy teljesítményproblémát a kiszolgálóval, érdemes lehet egy nem-GUI eszközt használni, mivel ez kevésbé adóztathatja az erőforrásokat.

5. Network Miner

Network Miner inkább kriminalisztikai eszköz, mint csomagszippantó vagy hálózati elemző. Ez az eszköz egy TCP adatfolyamot követi, és egy teljes beszélgetést rekonstruálhat. Ez egy igazán nagy teljesítményű eszköz a forgalom mélyreható elemzéséhez, bár ezt nehéz lehet elsajátítani. Az eszköz offline módban működhet, ahol importálhat egy rögzítési fájlt - amelyet talán a többi áttekintett eszköz egyikével hoztak létre -, és hagyja Network Miner működik a varázsa. Tekintettel arra, hogy a szoftver csak Windows rendszeren fut, minden bizonnyal plusz az a lehetőség, hogy rögzítési fájlokból dolgozzunk. Használhatja például a tcpdump fájlt Linuxon a forgalom rögzítéséhez, és a Network Miner alkalmazást a Windowson az elemzéshez.

Network Miner ingyenes verzióban érhető el, de a fejlettebb funkciókhoz, például az IP-alapú földrajzi helymeghatározáshoz és a szkriptekhez, professzionális licencet kell vásárolnia, amely 900 dollárba kerül. A professzionális változat további fejlett funkciója a VoIP hívások dekódolása és lejátszása.

6. Hegedűs

Néhány olvasónk - különösen a jobban tájékozottak - kísértésnek hangzik erre Hegedűs, az utolsó bejegyzésünk, sem csomag-szippantó, sem hálózati elemző. Hogy őszinte legyek, valószínűleg igazuk is van, de mégis úgy éreztük, hogy ezt az eszközt fel kell vennünk a listánkba, mivel ez nagyon különféle helyzetekben hasznos lehet.

Első és legfontosabb: állítsuk össze a dolgokat, Hegedűs valóban rögzíti a forgalmat. Ugyanakkor nem fogja elvonni a forgalmat. Csak HTTP forgalommal működik. E korlátozás ellenére, amikor figyelembe vesszük, hogy manapság sok alkalmazás web-alapú, vagy a háttérben használja a HTTP protokollt, könnyű belátni, mennyire értékes lehet az eszköz, mint például az eszköz. Mivel az eszköz nemcsak a böngésző forgalmát fogja rögzíteni, hanem szinte bármilyen HTTP-t, nagyon hasznos lehet a különféle alkalmazások hibaelhárításában.

Az olyan eszközök fő előnye, mint a Hegedűs egy olyan „igaz” csomag-szippantó felett, mint a Wireshark, az épült, hogy „megértse” a HTTP forgalmat. Fel fogja fedezni például a sütiket és a tanúsítványokat. Ezenkívül a HTTP-alapú alkalmazásokból származó aktuális adatokat is megtalálja. Hegedűs ingyenes, és csak a Windows számára érhető el. Az OS X és Linux bétaverziója (a Mono keretrendszer használatával) azonban letölthető.