6 migliori alternative a Wireshark per lo sniffing dei pacchetti

Wireshark, che era precedentemente noto come Etereo, è in circolazione da 20 anni. Se non il migliore, è sicuramente lo strumento di sniffing di rete più popolare. Ogni volta che si presenta la necessità di analisi di pacchetti, questo è spesso lo strumento di riferimento per la maggior parte degli amministratori. Tuttavia, buono come Wireshark può essere, ci sono molte alternative disponibili là fuori. Alcuni di voi potrebbero chiedersi che cosa c'è che non va Wireshark ciò giustificherebbe la sua sostituzione. Ad essere sinceri, non c'è assolutamente nulla di sbagliato Wireshark e se sei già un utente felice, non vedo alcun motivo per cui dovresti cambiare. D'altra parte, se sei nuovo sulla scena, potrebbe essere una buona idea guardare ciò che è disponibile prima di scegliere una soluzione. Per aiutarti, abbiamo raccolto questo elenco di alcuni dei migliori Wireshark alternative.

Inizieremo la nostra esplorazione dando un'occhiata Wireshark. Dopotutto, se vogliamo suggerire alternative, potremmo anche conoscere il prodotto almeno un po '. Discuteremo quindi brevemente quali sono gli sniffer di pacchetti - o analizzatori di rete, come vengono spesso chiamati -. Poiché gli sniffer di pacchetti possono essere relativamente complessi, passeremo un po 'di tempo a discutere su come usarli. Questo non è affatto un tutorial completo ma dovrebbe darti abbastanza informazioni di base per apprezzare meglio le prossime recensioni di prodotti. Parlando delle recensioni dei prodotti, questo è ciò che avremo dopo. Abbiamo identificato diversi prodotti di tipi molto diversi che potrebbero essere una buona alternativa a Wireshark e presenteremo le migliori caratteristiche di ciascuno.

Informazioni su Wireshark

Prima Wireshark, il mercato aveva essenzialmente uno sniffer di pacchetti che veniva chiamato in modo appropriato sniffer. Era un prodotto eccellente che soffriva di un grosso svantaggio, il suo prezzo. Alla fine degli anni '90 il prodotto costava circa $ 1500, il che era più di quanto molti potessero permettersi. Questo ha spinto lo sviluppo di Etereo come uno sniffer di pacchetti gratuito e open source di un laureato UMKC di nome Gerald Combs che è ancora il principale manutentore di Wireshark venti anni dopo. Parla di impegno serio.

Oggi, Wireshark è diventato il riferimento negli sniffer di pacchetti. È lo standard di fatto e la maggior parte degli altri strumenti tende ad emularlo. Wireshark essenzialmente fa due cose. Innanzitutto, acquisisce tutto il traffico che vede sulla sua interfaccia. Ma non si ferma qui, il prodotto ha anche capacità di analisi abbastanza potenti. Le capacità di analisi dello strumento sono così buone che non è raro che gli utenti utilizzino altri strumenti per l'acquisizione di pacchetti e facciano l'analisi usando Wireshark. Questo è un modo così comune di usare Wireshark che, all'avvio, viene richiesto di aprire un file di acquisizione esistente o di iniziare a catturare il traffico. Un'altra forza di Wireshark sono tutti i filtri incorporati che ti consentono di concentrarti esattamente sui dati che ti interessano.

Informazioni sugli strumenti di analisi della rete

Sebbene la questione sia stata aperta al dibattito per un po ', per il bene di questo articolo, supponiamo che i termini "sniffer pacchetti" e "analizzatore di rete" siano la stessa cosa. Alcuni sosterranno che si tratta di due concetti diversi e, sebbene possano avere ragione, li esamineremo insieme, anche solo per motivi di semplicità. Dopotutto, anche se possono operare in modo diverso - ma lo fanno davvero? - hanno uno scopo simile.

Gli Sniffer Packet fanno essenzialmente tre cose. Innanzitutto, acquisiscono tutti i pacchetti di dati quando entrano o escono da un'interfaccia di rete. In secondo luogo, facoltativamente applicano i filtri per ignorare alcuni dei pacchetti e salvarne altri sul disco. Eseguono quindi una qualche forma di analisi dei dati acquisiti. È in quest'ultima funzione che si trovano la maggior parte delle differenze tra i prodotti.

La maggior parte degli sniffer di pacchetti si basano su un modulo esterno per l'acquisizione effettiva dei pacchetti di dati. I più comuni sono libpcap su sistemi Unix / Linux e Winpcap su Windows. In genere, tuttavia, non è necessario installare questi strumenti, poiché di solito sono installati dagli installatori dello sniffer di pacchetti.

Un'altra cosa importante da sapere è che per quanto siano utili e utili, Packet Sniffer non farà tutto per te. Sono solo strumenti. Puoi immaginarli come un martello che semplicemente non si guida da solo. Devi assicurarti di imparare come utilizzare al meglio ogni strumento. Lo sniffer di pacchetti ti consente di analizzare il traffico che acquisisce, ma dipende da te assicurarti che acquisisca i dati giusti e utilizzarli a tuo vantaggio. Sono stati scritti interi libri sull'uso degli strumenti di acquisizione dei pacchetti. Una volta ho seguito un corso di tre giorni sull'argomento.

Utilizzo di uno sniffer di pacchetti

Come abbiamo appena detto, uno sniffer di pacchetti acquisirà e analizzerà il traffico. Pertanto, se stai cercando di risolvere un problema specifico, un uso tipico di tale strumento, la prima cosa che devi fare è assicurarti che il traffico che catturi sia il traffico giusto. Immagina un caso in cui ogni singolo utente di una determinata applicazione si lamenta che è lento. In una situazione del genere, la soluzione migliore sarebbe probabilmente quella di catturare il traffico sull'interfaccia di rete del server delle applicazioni poiché ogni utente sembra essere interessato. È quindi possibile rendersi conto che le richieste arrivano normalmente al server ma che il server impiega molto tempo a inviare le risposte. Ciò indicherebbe un ritardo sul server piuttosto che un problema di rete.

D'altra parte, se vedi che il server risponde alle richieste in modo tempestivo, potrebbe significare che il problema si trova da qualche parte sulla rete tra il client e il server. Sposteresti quindi il tuo sniffer di pacchetti di un salto più vicino al client e vedrai se le risposte sono ritardate. In caso contrario, ti sposteresti più hop più vicino al cliente, e così via e così via. Alla fine arriverai al punto in cui si verificano ritardi. E una volta identificata la posizione del problema, sei ancora un passo avanti nella risoluzione.

Vediamo come possiamo riuscire a catturare i pacchetti in un punto specifico di una rete. Un modo semplice per ottenere ciò è sfruttare una funzionalità della maggior parte degli switch di rete chiamata mirroring o replica delle porte. Questa opzione di configurazione replicherà tutto il traffico in entrata e in uscita da una porta switch specifica a un'altra porta sullo stesso switch. Ad esempio, se il server è collegato alla porta 15 di uno switch e la porta 23 di quello stesso switch è disponibile. Connetti lo sniffer di pacchetti alla porta 23 e configuri lo switch per replicare tutto il traffico da e verso la porta 15 alla porta 23.

Le migliori alternative a Wireshark

Ora che capisci meglio cosa Wireshark e altri sniffer di pacchetti e analizzatori di rete, vediamo quali prodotti alternativi ci sono. Il nostro elenco include un mix di strumenti da riga di comando e GUI, nonché strumenti in esecuzione su vari sistemi operativi.

SolarWinds è noto per i suoi strumenti di gestione della rete all'avanguardia. La società è in circolazione da circa 20 anni e ci ha portato diversi strumenti fantastici. Il suo prodotto di punta chiamato il SolarWinds Network Performance Monitor è riconosciuto dalla maggior parte come uno dei migliori strumenti di monitoraggio della larghezza di banda della rete. SolarWinds è anche famoso per aver creato una manciata di eccellenti strumenti gratuiti, ognuno dei quali risponde a un'esigenza specifica degli amministratori di rete. Due esempi di questi strumenti sono i Server TFTP di SolarWinds e il Calcolatore di sottorete avanzato.

Come potenziale alternativa a Wireshark—E forse come la migliore alternativa poiché è uno strumento così diverso—SolarWinds propone il Strumento di ispezione e analisi dei pacchetti profondi. Viene come componente del SolarWinds Network Performance Monitor. Il suo funzionamento è alquanto diverso dai più "tradizionali" sniffer di pacchetti sebbene abbia uno scopo simile.

• Prova gratuita: SolarWinds Network Performance Monitor
• Link per il download ufficiale: https://www.solarwinds.com/network-performance-monitor/registration

Il Strumento di ispezione e analisi dei pacchetti profondi non è né uno sniffer di pacchetti né un analizzatore di rete, ma ti aiuterà a trovare e risolvere la causa della rete latenze, identificare le applicazioni interessate e determinare se la lentezza è causata dalla rete o da un applicazione. Dato che ha uno scopo simile a Wireshark, abbiamo pensato che meritasse di essere in questa lista. Lo strumento utilizzerà tecniche di ispezione di pacchetti profondi per calcolare i tempi di risposta per oltre milleduecento applicazioni. Classificherà anche il traffico di rete per categoria (ad es. affari vs. sociale) e livello di rischio. Questo può aiutare a identificare il traffico non commerciale che potrebbe trarre vantaggio dal fatto di essere filtrato o in qualche modo controllato o eliminato.

Il Strumento di ispezione e analisi dei pacchetti profondi è parte integrante di Network Performace Monitor o NPM come viene spesso chiamato, che è di per sé un software impressionante con così tanti componenti che un intero articolo potrebbe essere scritto su di esso. È una soluzione di monitoraggio della rete completa che combina alcune delle migliori tecnologie come SNMP e un'ispezione approfondita dei pacchetti per fornire quante più informazioni sullo stato della rete possibile.

Prezzi per il SolarWinds Network Performance Monitor che include il Strumento di ispezione e analisi dei pacchetti profondi inizia a $ 2 955 per un massimo di 100 elementi monitorati e sale in base al numero di elementi monitorati. Lo strumento ha una prova gratuita di 30 giorni disponibile così puoi assicurarti che si adatti davvero alle tue esigenze prima di impegnarti ad acquistarlo.

2. tcpdump

tcpdump è probabilmente lo sniffer di pacchetti originale. È stato creato nel 1987. Sono passati più di dieci anni Wireshark e anche prima di Sniffer. Dalla sua versione iniziale, lo strumento è stato mantenuto e migliorato, ma rimane sostanzialmente invariato. Il modo in cui lo strumento viene utilizzato non è cambiato molto attraverso la sua evoluzione. È disponibile per l'installazione praticamente su ogni sistema operativo simile a Unix ed è diventato lo standard di fatto per uno strumento rapido per l'acquisizione di pacchetti. Come la maggior parte dei prodotti simili su piattaforme * nix, tcpdump usa la libreria libpcap per la reale acquisizione dei pacchetti.

L'operazione predefinita di tcpdump è relativamente semplice. Cattura tutto il traffico sull'interfaccia specificata e lo "scarica" ​​- da qui il suo nome - sullo schermo. Essendo uno strumento * nix standard, è possibile reindirizzare l'output a un file di acquisizione da analizzare in seguito utilizzando lo strumento di analisi di propria scelta. In effetti, non è raro che gli utenti acquisiscano traffico con tcpdump per successive analisi in Wireshark. Una delle chiavi di tcpdumpIl punto di forza e di utilità è la possibilità di applicare filtri e / o reindirizzare il proprio output su grep, un'altra comune utilità da riga di comando * nix, per un ulteriore filtraggio. Qualcuno che padroneggia tcpdump, grep e la shell dei comandi può farlo catturare esattamente il traffico giusto per qualsiasi attività di debug.

3. windump

In poche parole, windump è una porta di tcpdump per la piattaforma Windows. Come tale, si comporta più o meno allo stesso modo. Ciò significa che porta gran parte della funzionalità di tcpdump ai computer basati su Windows. Windump potrebbe essere un'applicazione Windows ma non aspettarti un'interfaccia grafica sofisticata. È davvero tcpdump su Windows e come tale, è un'utilità solo da riga di comando.

utilizzando windump è sostanzialmente lo stesso che usare la sua controparte * nix. Le opzioni della riga di comando sono quasi le stesse e anche i risultati sono quasi identici. Proprio come tcpdump, l'output di windump può anche essere salvato in un file per successive analisi con uno strumento di terze parti. Tuttavia, grep non è di solito disponibile su computer Windows, limitando così le capacità di filtro dello strumento.

Un'altra importante differenza tra tcpdump e windump è disponibile nel repository dei pacchetti del sistema operativo. Dovrai scaricare il software dal windump sito web. Viene consegnato come file eseguibile e non richiede installazione. Come tale, è uno strumento portatile che potrebbe essere lanciato da una chiave USB. Tuttavia, proprio come tcpdump usa la libreria libpcap, windump utilizza Winpcap che deve essere scaricato e installato separatamente.

4. tshark

Puoi pensare tshark come un incrocio tra tcpdump e Wireshark ma in realtà è più o meno la versione da riga di comando di Wireshark. Viene dallo stesso sviluppatore di Wireshark. tshark assomiglia a tcpdump in quanto è uno strumento a riga di comando. Ma è anche così Wireshark in quanto non si limiterà a catturare il traffico. Ha anche le stesse potenti capacità di analisi di Wireshark e utilizza lo stesso tipo di filtro. Può quindi isolare rapidamente il traffico esatto che devi analizzare.

tshark solleva una domanda, però. Perché qualcuno dovrebbe desiderare una versione da riga di comando di Wireshark? Perché non solo usare Wireshark? La maggior parte degli amministratori - in effetti, la maggior parte delle persone - concorderebbe sul fatto che, in generale, gli strumenti con interfacce utente grafiche sono spesso più facili da usare e da imparare e più intuitivi e intuitivi. Dopotutto, non è per questo che i sistemi operativi grafici sono diventati così popolari? Il motivo principale per cui qualcuno avrebbe scelto tshark al di sopra di Wireshark è quando vogliono solo fare una rapida acquisizione direttamente su un server per scopi di risoluzione dei problemi. E se sospetti un problema di prestazioni con il server, potresti preferire l'utilizzo di uno strumento non GUI in quanto può essere meno tassativo per le risorse.

5. Network Miner

Network Miner è più uno strumento forense che uno sniffer di pacchetti o un analizzatore di rete. Questo strumento seguirà un flusso TCP e può ricostruire un'intera conversazione. È uno strumento davvero potente per un'analisi approfondita del traffico, sebbene difficile da padroneggiare. Lo strumento può funzionare in modalità offline in cui si importa un file di acquisizione, magari creato utilizzando uno degli altri strumenti esaminati, e consente Network Miner lavora la sua magia. Considerando che il software funziona solo su Windows, la possibilità di lavorare da file di acquisizione è sicuramente un vantaggio. Ad esempio, è possibile utilizzare tcpdump su Linux per acquisire un po 'di traffico e Network Miner su Windows per analizzarlo.

Network Miner è disponibile in una versione gratuita ma, per le funzionalità più avanzate come la geolocalizzazione e lo scripting basati su indirizzi IP, dovrai acquistare una licenza professionale che ti costerà $ 900. Un'altra funzione avanzata della versione professionale è la possibilità di decodificare e riprodurre chiamate VoIP.

6. Violinista

Alcuni dei nostri lettori, in particolare i più esperti, saranno tentati di sostenerlo Violinista, la nostra ultima voce, non è né uno sniffer di pacchetti né un analizzatore di rete. Ad essere onesti, potrebbero benissimo avere ragione, ma comunque, abbiamo ritenuto che dovremmo includere questo strumento nel nostro elenco in quanto può essere molto utile in diverse situazioni.

Innanzitutto, chiariamo le cose, Violinista catturerà effettivamente il traffico. Tuttavia, non catturerà alcun traffico. Funzionerà solo con il traffico HTTP. Nonostante questa limitazione, se si considera che così tante applicazioni oggi sono basate sul web o utilizzano il protocollo HTTP in background, è facile vedere quanto possa essere prezioso un tool come questo. E poiché lo strumento catturerà non solo il traffico del browser ma praticamente qualsiasi HTTP, può essere molto utile nella risoluzione dei problemi di diversi tipi di applicazioni.

Il vantaggio principale di uno strumento simile Violinista su un "vero" sniffer di pacchetti come Wireshark, è stato creato per "comprendere" il traffico HTTP. Ad esempio, scoprirà cookie e certificati. Troverà anche dati reali provenienti da applicazioni basate su HTTP. Violinista è gratuito ed è disponibile solo per Windows. Tuttavia, è possibile scaricare build beta per OS X e Linux (utilizzando il framework Mono).