A legjobb csomagos szippantók és hálózati elemzők

A csomagszippantás egy mély hálózati elemzés, amelynek során a hálózati forgalom részleteit dekódolják az elemzéshez. Ez az egyik legfontosabb hibaelhárítási készség, amelyet minden hálózati rendszergazdának rendelkeznie kell. A hálózati forgalom elemzése bonyolult feladat. Annak érdekében, hogy megbirkózzanak a megbízhatatlan hálózatokkal, az adatokat nem egy folyamatos adatfolyamban továbbítják. Ehelyett darabonként darabonként darabolják fel. A hálózati forgalom elemzése magában foglalja az képességet, hogy ezeket az adatcsomagokat összegyűjtsük, és valami értelmes összeállítsuk őket. Ezt nem manuálisan lehet megtenni, így létrehozták a csomag-szippantókat és a hálózati elemzőket. Ma áttekintjük a hét legjobb csomagmegfigyelőt és hálózati elemzőt.

A mai utazást azzal kezdjük, hogy háttér-információkat adunk Önnek arról, hogy mi a csomag-szippantás. Megpróbáljuk kitalálni, hogy mi a különbség - vagy ha van különbség - a csomag-szippantás és a hálózati elemző között. Ezután továbblépünk a tárgyunk középpontjába, és nem csak felsoroljuk, hanem röviden áttekintjük a hét válogatásunkat is. Amit Önnek kínálunk, a GUI eszközök és a parancssori segédprogramok kombinációja, amelyek különböző operációs rendszereken futnak.

Néhány szó a csomag-szippantókról és a hálózati elemzőkről

Kezdjük valami rendezésével. Ez a cikk kedvéért feltételezzük, hogy a csomag-szippantók és a hálózati elemzők azonosak. Néhányan azt állítják, hogy különböznek egymástól, és valószínűleg igaza van. De e cikk összefüggésében együtt fogjuk megnézni őket, elsősorban azért, mert bár eltérően működhetnek, de valóban? - Ugyanazt a célt szolgálják.

A csomagos snifferek általában három dolgot csinálnak. Először az összes adatcsomagot elfogják, amikor belépnek vagy kilépnek a hálózati interfészből. Másodszor, opcionálisan szűrőket alkalmaznak a csomagok egy részének figyelmen kívül hagyása és mások lemezre mentése céljából. Ezután elvégzik a rögzített adatok valamilyen formáját. A csomag-szippantók utolsó funkciójában különböznek a legjobban.

Az adatcsomagok tényleges rögzítéséhez a legtöbb eszköz külső modult használ. A leggyakoribb a libpcap Unix / Linux rendszereken és a Winpcap Windows rendszeren. Általában nem kell ezeket az eszközöket telepítenie, mivel ezeket általában a különböző eszközök telepítői telepítik.

Fontos tudnivaló még az, hogy a Packet sniffer - még a legjobb is - nem mindent megtesz érte. Ezek csak eszközök. Olyan, mint egy kalapács, amely önmagában semmilyen szöget nem fog meghajtani. Tehát meg kell győződnie arról, hogy megtanulta, hogyan lehet az eszközöket a legjobban használni. A csomagszippantó csak lehetővé teszi a forgalom megtekintését, de rajtad múlik, hogy használja ezt az információt a problémák felkutatásához. Egész könyv volt a csomaggyűjtő eszközök használatáról. Én magam egyszer részt vettem egy háromnapos tanfolyamot a témáról. Nem próbálok elriasztani téged. Csak arra törekszem, hogy az elvárásait egyértelművé tegye.

Csomagos sniffer használata

Ahogy kifejtettük, egy csomagszippantó rögzíti és elemzi a forgalmat. Tehát, ha egy konkrét problémát próbál megoldani - ami általában az oka annak, hogy ilyen eszközt használt -, akkor először meg kell győződnie arról, hogy a rögzített forgalom a megfelelő-e. Képzeljünk el egy olyan helyzetet, ahol minden felhasználó panaszkodik, hogy egy adott alkalmazás lassú. Ilyen típusú helyzetben a legjobb megoldás valószínűleg az, ha forgalmat rögzít az alkalmazáskiszolgáló hálózati felületén. Ekkor észreveheti, hogy a kérések általában a kiszolgálóra érkeznek, de a kiszolgálónak sok időbe telik a válaszok küldése. Ez szerverproblémát jelez.

Ha viszont látja, hogy a szerver időben reagál, ez valószínűleg azt jelenti, hogy a probléma valahol a hálózaton található az ügyfél és a szerver között. Ezután egy ugrást közelebb mozgat a csomagszippantóhoz az ügyféllel, és megnézheti, hogy a válaszok késik-e. Ha nem, akkor jobban közeledik az ügyfelet, és így tovább, és így tovább. Végül arra a helyre jut, ahol késések fordulnak elő. És miután azonosította a probléma helyét, egy nagy lépéssel közelebb kerül a megoldásához.

Most már azon tűnődhet, vajon hogyan sikerül elfogni a csomagokat egy adott ponton. Elég egyszerű, kihasználjuk a legtöbb hálózati kapcsoló egyik lehetőségét, amelyet port tükrözésnek vagy replikációnak nevezünk. Ez egy olyan konfigurációs lehetőség, amely az adott kapcsolóporton belüli és onnan származó összes forgalmat lemásolja ugyanazon a kapcsolón egy másik portra. Tegyük fel, hogy a szerver csatlakozik a kapcsoló 15. portjához, és ugyanazon kapcsoló 23. portja elérhető. Csatlakoztassa a csomagszippantót a 23. porthoz, és úgy konfigurálja a kapcsolót, hogy replikálja az összes forgalmat a 15. porttól a 23. portig. Amit a 23. port eredményeként kap, egy tükörkép - tehát a port tükröző neve - arról, hogy mi megy át a 15. porton.

A legjobb csomagos szippantók és hálózati elemzők

Most, hogy jobban megérti, mi a csomagszippantók és a hálózati elemzők, nézzük meg, hogy mi a hét legjobb, amit megtalálhattunk. Megpróbáltuk beilleszteni a parancssori és a GUI eszközök keverékét, valamint a különféle operációs rendszereken futó eszközöket. Végül is nem minden hálózati rendszergazda futtatja a Windows rendszert.

SolarWinds közismert számos hasznos ingyenes eszközről és a legkorszerűbb hálózati menedzsment szoftverről. Ennek egyik eszközét a Mély csomag ellenőrző és elemző eszköz. A SolarWinds zászlóshajója, a Network Performance Monitor alkotóeleme. Működése meglehetősen különbözik a „hagyományosabb” csomag-szippantóktól, bár hasonló célt szolgál.

Összefoglalva az eszköz funkcionalitását: ez segít megtalálni és megoldani a hálózat okát késések, azonosítsa az érintett alkalmazásokat, és meghatározza, hogy a lassúságot a hálózat okozza-e Alkalmazás. A szoftver mély csomag-ellenőrzési technikákat fog használni a több mint tizenötszáz alkalmazás válaszidejének kiszámításához. Ezenkívül osztályozni fogja a hálózati forgalmat, üzlet vs. társadalmi és kockázati szint, amely segít azonosítani a nem üzleti forgalmat, amelyet esetleg szűrni kell, vagy egyéb módon kiküszöbölni kell.

És ne felejtsük el, hogy a SolarWinds Mélycsomag-ellenőrző és -elemző eszköz a Network Performace Monitor része. Az NPM, amint gyakran nevezik, olyan lenyűgöző szoftver, amely annyi összetevővel rendelkezik, hogy egy egész cikket el lehet szentelni neki. Alapjában véve egy komplett hálózati megfigyelési megoldás, amely ötvözi a legjobb technológiákat, mint például a SNMP és mély csomagok ellenőrzése annyi információt szolgáltat a hálózat állapotáról, mint a lehetséges. Az eszköz, amely megfizethető áron jön egy 30 napos ingyenes próbaverzió így megbizonyosodhat arról, hogy valóban megfelel-e az Ön igényeinek, mielőtt megvásárolja.

Hivatalos letöltési link:https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

tcpdump valószínűleg az eredeti csomag-szippantó. 1987-ben hozták létre. Azóta fenntartják és fejlesztették, de lényegében változatlan marad, legalábbis a használatának módja szerint. Gyakorlatilag minden Unix-szerű operációs rendszerbe előre telepítve van, és de facto szabványvá vált, amikor egy gyors eszközre van szükség a csomagok rögzítéséhez. A Tcpdump a libpcap könyvtárat használja a tényleges csomagrögzítéshez.

Alapértelmezés szerint. A tcpdump rögzíti az összes forgalmat a megadott felületen, és a képernyőn „eldobja” - tehát a nevét. A kirakodást rögzíthető egy rögzítési fájlba is, és később elemezhető több rendelkezésre álló eszköz egy vagy kombinációjával. A tcpdump erejének és hasznosságának kulcsa az a lehetőség, hogy mindenféle szűrőt alkalmazhassunk, és a kimenetet grep-hez - egy másik általános Unix parancssori segédprogramhoz - tovább szűrhessünk. Valaki, aki jól ismeri a tcpdump, grep fájlt és a parancshéjat, megszerezheti azt, hogy pontosan rögzítse a hibakeresési feladatokhoz megfelelő forgalmat.

3. Windump

Windump lényegében csak a tcpdump portja a Windows platformon. Mint ilyen, ugyanúgy viselkedik. Nem ritka, ha a sikeres segédprogramok ilyen portjait látja az egyik platformon a másikon. A Windump egy Windows alkalmazás, de ne várjon divatos felhasználói felületet. Ez csak egy parancssori segédprogram. A Windump használata tehát alapvetően megegyezik a Unix megfelelőjével. A parancssori lehetőségek azonosak, és az eredmények szintén szinte azonosak. A Windump kimenete fájlba menthető későbbi elemzés céljából egy harmadik féltől származó eszköz segítségével.

Az egyik fő különbség a tcpdump-hoz képest, hogy a Windump nincs beépítve a Windows-ba. Töltse le a A Windump weboldala. A szoftvert futtatható fájlként szállítják, és nincs szükség telepítésre. Ugyanakkor, csakúgy, mint a tcpdump a libpcap könyvtárat használja, a Windump a Winpcap-t is használja, amelyet, mint a legtöbb Windows könyvtárat, külön kell letölteni és telepíteni.

4. Wireshark

Wireshark a referencia a csomagszórókban. Ez de facto szabványvá vált, és a legtöbb egyéb eszköz inkább emulálja azt. Ez az eszköz nem csak a forgalmat rögzíti, hanem meglehetősen nagy teljesítményű elemzési képességeket is kínál. Olyan erős, hogy sok rendszergazda használja a tcpdump vagy a Windump fájlokat a forgalom rögzítéséhez, majd elemzésre tölti be a fájlt a Wiresharkba. Ez a Wireshark használatának ilyen általános módja, hogy indításkor a rendszer arra kéri, hogy nyisson meg egy meglévő pcap fájlt, vagy kezdje el rögzíteni a forgalmat. A Wireshark másik erőssége az összes szűrő, amelyet beépített, amelyek lehetővé teszik, hogy pontosan megadja az érdekli az adatokat.

Hogy teljesen őszinte legyek, ennek az eszköznek meredek tanulási görbéje van, de érdemes megtanulni. Ez újra és újra felbecsülhetetlen értékű lesz. És miután megtanultak, akkor bárhol felhasználhatja, mivel szinte minden operációs rendszerhez át lett töltve, és ingyenes és nyílt forráskódú.

5. tshark

Tshark olyan, mint egy kereszt a tcpdump és a Wireshark között. Ez nagyszerű dolog, mivel ezek a legjobb csomagszippantók. A Tshark olyan, mint a tcpdump, mivel csak parancssori eszköz. De hasonló a Wireshark-hoz abban is, hogy nemcsak rögzíti, hanem elemzi a forgalmat. Tshark ugyanabból a fejlesztőből származik, mint a Wireshark. Ez többé-kevésbé a Wireshark parancssori változata. Ugyanazt a szűrést használja, mint a Wireshark, és ezért gyorsan el tudja különíteni az elemezni kívánt forgalmat.

De miért kérdezheti valaki a Wireshark parancssori verzióját? Miért nem használja a Wiresharket; a grafikus felülettel egyszerűbbé kell tennie a használatát és a tanulást? A fő ok az, hogy lehetővé tenné, hogy nem GUI-kiszolgálón használja.

6. Network Miner

Network Miner inkább kriminalisztikai eszköz, nem pedig egy igazi csomagszippantó. A Network Miner követi a TCP adatfolyamot, és rekonstruálja a teljes beszélgetést. Ez valóban egy hatalmas eszköz. Offline módban működhet, ahol importál valamilyen rögzítő fájlt, hogy a Network Miner varázslatát felhasználhassa. Ez egy hasznos szolgáltatás, mivel a szoftver csak Windows rendszeren fut. Használhatja a tcpdump fájlt Linuxon a forgalom rögzítéséhez és a Windows hálózati bányászát az elemzéshez.

A Network Miner ingyenes verzióban érhető el, de a fejlettebb szolgáltatások, például az IP-alapú földrajzi helymeghatározás és a szkriptáláshoz, professzionális licencet kell vásárolnia. A professzionális változat további fejlett funkciója a VoIP hívások dekódolása és lejátszása.

7. Hegedűs (HTTP)

Néhány tájékozottabb olvasónk azzal érvelhet, hogy a Fiddler nem csomagszippantó, és nem is hálózati elemző. Valószínűleg igazuk van, de úgy éreztük, hogy fel kell vennünk ezt az eszközt a listánkba, mivel ez sok helyzetben nagyon hasznos. Hegedűs valóban rögzíti a forgalmat, de a forgalmat nem. Csak a HTTTP forgalommal működik. Elképzelheti, mennyire értékes lehet korlátozása ellenére, ha figyelembe veszi, hogy manapság sok alkalmazás web-alapú, vagy a háttérben használja a HTTP protokollt. Mivel a Fiddler nemcsak a böngésző forgalmát, hanem szinte bármilyen HTTP-t is rögzít, nagyon hasznos a hibaelhárításban

Egy olyan eszköz, mint a Fiddler, előnye a jóhiszemű csomagszóróval szemben, mint például a Wireshark, az, hogy a Fiddler a HTTP forgalom „megértésére” készült. Fel fogja fedezni például a sütiket és a tanúsítványokat. Ezenkívül a HTTP-alapú alkalmazásokból származó aktuális adatokat is megtalálja. A Fiddler ingyenes, és csak Windows számára érhető el, bár letölthető az OS X és Linux bétaverziója (a Mono keretrendszer használatával).

Következtetés

Amikor közzéteszünk egy hasonló listát, gyakran felmerül a kérdés, hogy melyik a legjobb. Ebben a konkrét helyzetben, ha feltennék a kérdést, „mindegyikre” kellene válaszolnom. Mindegyik ingyenes eszköz, és mindegyiknek megvan az értéke. Miért nem rendelkezik velük mind kéznél, és megismerkedne velük. Ha olyan helyzetbe kerül, ahol használni kell, sokkal könnyebb és hatékonyabb lesz. Még a parancssori eszközöknek is óriási értéke van. Például szkriptekkel és ütemezéssel is elláthatók. Képzelje el, hogy van olyan problémája, amely napi 2: 00-kor történik. Megtervezheti a munkát a Windump tcpdump futtatásához 1:50 és 2:10 között, és másnap reggel elemezheti a rögzítési fájlt. Nem kell egész éjjel felállni.