Paket Sniffer dan Analisis Jaringan Terbaik

Packiff sniffing adalah jenis analisis jaringan yang mendalam di mana perincian lalu lintas jaringan didekodekan untuk dianalisis. Ini adalah salah satu keterampilan pemecahan masalah yang paling penting yang harus dimiliki oleh administrator jaringan. Menganalisis lalu lintas jaringan adalah tugas yang rumit. Untuk mengatasi jaringan yang tidak dapat diandalkan, data tidak dikirim dalam satu aliran berkelanjutan. Sebagai gantinya, ia dicincang dalam fragmen yang dikirim secara individual. Menganalisis lalu lintas jaringan melibatkan kemampuan untuk mengumpulkan paket data ini dan menyusunnya kembali menjadi sesuatu yang bermakna. Ini bukan sesuatu yang dapat Anda lakukan secara manual sehingga packet sniffer dan penganalisa jaringan telah dibuat. Hari ini, kami telah melihat tujuh dari paket sniffer dan penganalisa jaringan terbaik.

Kami memulai perjalanan hari ini dengan memberi Anda beberapa informasi latar belakang tentang apa itu paket sniffer. Kami akan mencoba mencari tahu apa perbedaannya - atau jika ada perbedaan - antara packet sniffer dan penganalisa jaringan. Kami kemudian akan melanjutkan ke inti subjek kami dan tidak hanya daftar tetapi juga meninjau secara singkat masing-masing dari tujuh pilihan kami. Apa yang kami miliki untuk Anda adalah kombinasi alat GUI dan utilitas baris perintah yang berjalan di berbagai sistem operasi.

Beberapa Kata Tentang Paket Sniffer dan Analisis Jaringan

Mari kita mulai dengan menyelesaikan sesuatu. Demi artikel ini, kami akan berasumsi bahwa paket sniffer dan penganalisa jaringan adalah satu dan sama. Beberapa akan berpendapat bahwa mereka berbeda dan mereka mungkin benar. Tetapi dalam konteks artikel ini, kita akan melihat mereka bersama-sama, terutama karena meskipun mereka dapat beroperasi secara berbeda - tetapi apakah mereka benar-benar? - mereka melayani tujuan yang sama.

Paket Sniffers biasanya melakukan tiga hal. Pertama, mereka menangkap semua paket data saat mereka masuk atau keluar dari antarmuka jaringan. Kedua, mereka secara opsional menerapkan filter untuk mengabaikan beberapa paket dan menyimpan yang lain ke disk. Mereka kemudian melakukan beberapa bentuk analisis dari data yang ditangkap. Dalam fungsi terakhir dari paket sniffer itulah mereka paling berbeda.

Untuk pengambilan aktual dari paket data, sebagian besar alat menggunakan modul eksternal. Yang paling umum adalah libpcap di sistem Unix / Linux dan Winpcap di Windows. Anda biasanya tidak perlu menginstal alat-alat ini karena biasanya dipasang oleh penginstal alat yang berbeda.

Hal penting lain yang perlu diketahui adalah Packet Sniffers - bahkan yang terbaik - tidak akan melakukan segalanya untuk Anda. Itu hanya alat. Ini seperti palu yang tidak akan menggerakkan paku dengan sendirinya. Jadi, Anda perlu memastikan Anda mempelajari cara terbaik menggunakan setiap alat. Sniffer paket hanya akan membiarkan Anda melihat lalu lintas tetapi terserah Anda untuk menggunakan informasi itu untuk menemukan masalah. Ada banyak buku tentang cara menggunakan alat penangkapan paket. Saya sendiri pernah mengambil kursus tiga hari tentang masalah ini. Saya tidak berusaha membuat Anda kecil hati. Saya hanya mencoba meluruskan harapan Anda.

Cara Menggunakan Sniffer Paket

Seperti yang kami jelaskan, paket sniffer akan menangkap dan menganalisis lalu lintas. Jadi, jika Anda mencoba memecahkan masalah tertentu — yang biasanya menjadi alasan Anda menggunakan alat tersebut — Anda harus terlebih dahulu memastikan bahwa lalu lintas yang Anda tangkap adalah lalu lintas yang benar. Bayangkan situasi di mana semua pengguna mengeluh bahwa aplikasi tertentu lambat. Dalam situasi seperti itu, taruhan terbaik Anda mungkin adalah untuk menangkap lalu lintas di antarmuka jaringan server aplikasi. Anda mungkin menyadari bahwa permintaan tiba di server secara normal tetapi server membutuhkan waktu lama untuk mengirim tanggapan. Itu akan menunjukkan masalah server.

Jika, di sisi lain, Anda melihat server merespons pada waktu yang tepat, itu mungkin berarti bahwa masalahnya ada di suatu tempat di jaringan antara klien dan server. Anda kemudian akan memindahkan sniffer paket Anda satu langkah lebih dekat ke klien dan melihat apakah responsnya tertunda. Jika tidak, Anda bergerak lebih banyak melompat lebih dekat ke klien, dan seterusnya dan seterusnya. Anda akhirnya akan sampai ke tempat terjadinya penundaan. Dan setelah Anda mengidentifikasi lokasi masalahnya, Anda selangkah lebih dekat untuk menyelesaikannya.

Sekarang Anda mungkin bertanya-tanya bagaimana kami dapat menangkap paket pada titik tertentu. Sangat sederhana, kami memanfaatkan fitur sebagian besar switch jaringan yang disebut port mirroring atau replikasi. Ini adalah opsi konfigurasi yang akan mereplikasi semua lalu lintas masuk dan keluar dari port switch tertentu ke port lain pada switch yang sama. Katakanlah server Anda terhubung ke port 15 switch dan port 23 switch yang sama tersedia. Anda menghubungkan sniffer paket Anda ke port 23 dan mengkonfigurasi switch untuk mereplikasi semua lalu lintas dari port 15 ke port 23. Apa yang Anda dapatkan sebagai akibat pada port 23 adalah gambar mirror – maka nama mirroring port – dari apa yang terjadi melalui port 15.

Sniffer Paket Terbaik dan Analisis Jaringan

Sekarang setelah Anda lebih memahami apa itu sniffer paket dan penganalisa jaringan, mari kita lihat tujuh yang terbaik yang bisa kami temukan. Kami telah mencoba memasukkan campuran alat-alat command-line dan GUI serta menyertakan alat yang berjalan di berbagai sistem operasi. Lagi pula, tidak semua administrator jaringan menjalankan Windows.

SolarWinds terkenal karena banyak alat gratis yang bermanfaat dan perangkat lunak manajemen jaringan canggihnya. Salah satu alatnya disebut Alat Inspeksi dan Analisis Paket Dalam. Itu datang sebagai komponen produk andalan SolarWinds, Network Performance Monitor. Pengoperasiannya sangat berbeda dari sniffer paket "tradisional" meskipun melayani tujuan yang sama.

Untuk meringkas fungsionalitas alat: ini akan membantu Anda menemukan dan menyelesaikan penyebab jaringan latensi, identifikasi aplikasi yang terkena dampak, dan tentukan apakah kelambatan disebabkan oleh jaringan atau aplikasi. Perangkat lunak ini juga akan menggunakan teknik inspeksi paket mendalam untuk menghitung waktu respons untuk lebih dari seribu dua ratus aplikasi. Ini juga akan mengklasifikasikan lalu lintas jaringan berdasarkan kategori, bisnis vs. tingkat sosial, dan risiko, membantu Anda mengidentifikasi lalu lintas non-bisnis yang mungkin perlu disaring atau dihilangkan.

Dan jangan lupa bahwa Alat Inspeksi dan Analisis Paket Dalam SolarWinds datang sebagai bagian dari Monitor Performace Jaringan. NPM, seperti yang sering disebut adalah bagian yang mengesankan dari perangkat lunak dengan begitu banyak komponen sehingga seluruh artikel dapat didedikasikan untuk itu. Pada intinya, ini adalah solusi pemantauan jaringan lengkap yang menggabungkan teknologi terbaik seperti SNMP dan inspeksi paket mendalam untuk memberikan sebanyak mungkin informasi tentang keadaan jaringan Anda bisa jadi. Alat, yang harganya terjangkau datang uji coba gratis 30 hari sehingga Anda dapat memastikannya benar-benar sesuai dengan kebutuhan Anda sebelum berkomitmen untuk membelinya.

Tautan unduhan resmi:https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

Tcpdump mungkin THE sniffer paket asli. Itu dibuat kembali pada tahun 1987. Sejak itu, telah dipertahankan dan ditingkatkan tetapi pada dasarnya tetap tidak berubah, setidaknya seperti cara itu digunakan. Ini sudah diinstal sebelumnya di hampir setiap sistem operasi mirip Unix dan telah menjadi standar de-facto ketika seseorang membutuhkan alat cepat untuk menangkap paket. Tcpdump menggunakan perpustakaan libpcap untuk menangkap paket yang sebenarnya.

Secara default. tcpdump menangkap semua lalu lintas pada antarmuka yang ditentukan dan "membuangnya" - karenanya namanya - di layar. Dump juga dapat disalurkan ke file tangkap dan dianalisis nanti menggunakan satu - atau kombinasi - beberapa alat yang tersedia. Kunci dari kekuatan dan kegunaan tcpdump adalah kemungkinan untuk menerapkan semua jenis filter dan untuk menyalurkan outputnya ke grep - utilitas baris perintah Unix yang umum lainnya - untuk penyaringan lebih lanjut. Seseorang dengan pengetahuan yang baik tentang tcpdump, grep dan shell perintah dapat membuatnya untuk menangkap secara tepat lalu lintas yang tepat untuk tugas debugging apa pun.

3. Windump

Windump pada dasarnya hanyalah port tcpdump ke platform Windows. Karena itu, ia berperilaku dengan cara yang sama. Sudah lazim untuk melihat port seperti program-program utilitas yang sukses dari satu platform ke platform lain. Windump adalah aplikasi Windows tetapi jangan berharap GUI mewah. Ini adalah utilitas baris perintah saja. Menggunakan Windump, oleh karena itu, pada dasarnya sama dengan menggunakan rekan Unix. Opsi baris perintah sama dan hasilnya juga hampir sama. Output dari Windump juga dapat disimpan ke file untuk analisis nanti dengan alat pihak ketiga.

Satu perbedaan utama dengan tcpdump adalah bahwa Windump tidak dibangun ke dalam Windows. Anda harus mengunduhnya dari Situs web windump. Perangkat lunak ini dikirim sebagai file yang dapat dieksekusi dan tidak memerlukan instalasi. Namun, seperti halnya tcpdump menggunakan libpcap library, Windump menggunakan Winpcap yang, seperti kebanyakan perpustakaan Windows, perlu diunduh dan diinstal secara terpisah.

4. Wireshark

Wireshark adalah referensi dalam paket sniffer. Ini telah menjadi standar de-facto dan sebagian besar alat lain cenderung meniru itu. Alat ini tidak hanya akan menangkap lalu lintas, tetapi juga memiliki kemampuan analisis yang cukup kuat. Begitu kuat sehingga banyak administrator akan menggunakan tcpdump atau Windump untuk menangkap lalu lintas ke file kemudian memuat file ke Wireshark untuk analisis. Ini adalah cara yang umum untuk menggunakan Wireshark sehingga saat startup, Anda diminta untuk membuka file pcap yang ada atau mulai mengambil lalu lintas. Kekuatan lain dari Wireshark adalah semua filter yang ada di dalamnya yang memungkinkan Anda membidik tepat pada data yang Anda minati.

Sejujurnya, alat ini memiliki kurva belajar yang curam tetapi layak untuk dipelajari. Itu akan terbukti berkali-kali tak ternilai. Dan setelah Anda mempelajarinya, Anda akan dapat menggunakannya di mana-mana karena telah porting ke hampir setiap sistem operasi dan gratis dan open-source.

5. tshark

Tshark adalah semacam persilangan antara tcpdump dan Wireshark. Ini adalah hal yang hebat karena mereka adalah beberapa sniffer paket terbaik di luar sana. Tshark seperti tcpdump karena ini adalah alat baris perintah saja. Tetapi juga seperti Wireshark karena tidak hanya menangkap tetapi juga menganalisis lalu lintas. Tshark berasal dari pengembang yang sama dengan Wireshark. Ini adalah, lebih atau kurang, versi baris perintah dari Wireshark. Ia menggunakan jenis penyaringan yang sama seperti Wireshark dan karenanya dapat dengan cepat mengisolasi hanya lalu lintas yang perlu Anda analisis.

Tetapi mengapa, Anda mungkin bertanya, adakah yang menginginkan versi baris perintah dari Wireshark? Mengapa tidak menggunakan Wireshark saja; dengan antarmuka grafisnya, harus lebih mudah digunakan dan dipelajari? Alasan utamanya adalah itu memungkinkan Anda untuk menggunakannya di server non-GUI.

6. Penambang Jaringan

Penambang Jaringan lebih dari alat forensik lebih dari sniffer paket yang benar. Network Miner akan mengikuti aliran TCP dan merekonstruksi seluruh percakapan. Ini benar-benar satu alat yang ampuh. Ini dapat bekerja dalam mode offline di mana Anda akan mengimpor beberapa file tangkap untuk membiarkan Network Miner melakukan keajaibannya. Ini adalah fitur yang berguna karena perangkat lunak hanya berjalan di Windows. Anda bisa menggunakan tcpdump di Linux untuk menangkap beberapa traffic dan Network Miner di Windows untuk menganalisisnya.

Network Miner tersedia dalam versi gratis tetapi, untuk fitur yang lebih canggih seperti geolokasi dan skrip berbasis IP, Anda harus membeli lisensi Profesional. Fungsi lanjutan lain dari versi profesional adalah kemungkinan untuk memecahkan kode dan memutar ulang panggilan VoIP.

7. Fiddler (HTTP)

Beberapa pembaca kami yang lebih berpengetahuan mungkin berpendapat bahwa Fiddler bukan packet sniffer dan juga bukan penganalisa jaringan. Mereka mungkin benar tetapi kami merasa kami harus memasukkan alat ini dalam daftar kami karena sangat berguna dalam banyak situasi. Pemain biola sebenarnya akan menangkap lalu lintas tetapi tidak lalu lintas apa pun. Ini hanya berfungsi dengan traffic HTTTP. Anda dapat membayangkan betapa berharganya itu meskipun ada keterbatasan ketika Anda mempertimbangkan bahwa begitu banyak aplikasi saat ini berbasis web atau menggunakan protokol HTTP di latar belakang. Dan karena Fiddler tidak hanya akan menangkap lalu lintas peramban tetapi juga HTTP apa pun, ini sangat berguna dalam pemecahan masalah

Keuntungan alat seperti Fiddler dibandingkan sniffer paket bonafid seperti, misalnya, Wireshark, adalah bahwa Fiddler dibangun untuk "memahami" lalu lintas HTTP. Ini akan, misalnya, menemukan cookie dan sertifikat. Ini juga akan menemukan data aktual yang berasal dari aplikasi berbasis HTTP. Fiddler gratis dan hanya tersedia untuk Windows meskipun versi beta untuk OS X dan Linux (menggunakan kerangka kerja Mono) dapat diunduh.

Kesimpulan

Saat kami menerbitkan daftar seperti ini, kami sering bertanya yang mana yang terbaik. Dalam situasi khusus ini, jika saya ditanya pertanyaan itu, saya harus menjawab "semuanya". Mereka semua adalah alat gratis dan semua memiliki nilai. Mengapa tidak memiliki semuanya dan biasakan diri Anda masing-masing. Ketika Anda sampai pada situasi di mana Anda perlu menggunakannya, itu akan jauh lebih mudah dan efisien. Bahkan alat baris perintah memiliki nilai yang luar biasa. Misalnya, mereka dapat ditulis dan dijadwalkan. Bayangkan Anda memiliki masalah yang terjadi pada pukul 02:00 setiap hari. Anda dapat menjadwalkan pekerjaan untuk menjalankan tcpdump Windump antara 1:50 dan 2:10 dan menganalisis file tangkap keesokan paginya. Tidak perlu begadang semalaman.