מיטב מריחי מנות ומנתחי רשת

הרחרת מנות היא סוג עמוק של ניתוח רשת בו מפענחים את פרטי תעבורת הרשת לניתוח. זוהי אחת המיומנויות החשובות ביותר לפתרון בעיות שיש לכל מנהל רשת לרשותו. ניתוח תנועת רשת הוא משימה מורכבת. כדי להתמודד עם רשתות לא אמינות, נתונים לא נשלחים בזרם רציף אחד. במקום זאת, הוא קצוץ בשברים שנשלחים באופן פרטני. ניתוח תנועת רשת כרוך ביכולת לאסוף את חבילות הנתונים הללו ולהרכיב אותן מחדש למשהו בעל משמעות. זה לא דבר שאתה יכול לעשות ידנית כך שנוצרו רחרוחי מנות ומנתחי רשת. היום אנו מסתכלים על שבעה מהמריחים הטובים ביותר וניתחי רשת.

אנו מתחילים את המסע של היום על ידי מתן מידע רקע על מריחות חבילות. אנו ננסה להבין מה ההבדל - או אם יש הבדל - בין רחרון מנות לבין מנתח רשת. לאחר מכן נמשיך לליבה של הנושא שלנו ולא רק לרשימה אלא נסקור בקצרה כל אחת משבע הבחירות שלנו. מה שיש לנו עבורך הוא שילוב של כלי GUI וכלים בשירותי פקודה הפועלים על מערכות הפעלה שונות.

כמה מילים על מרחרחי מנות ומנתחי רשת

נתחיל עם יישוב משהו. לצורך מאמר זה, נניח שמריחי מנות ומנתחי רשת הם זהים. יש שיטענו שהם שונים ויכול להיות שהם צודקים. אבל בהקשר של מאמר זה, נסתכל עליהם ביחד, בעיקר מכיוון שלמרות שהם עשויים לפעול אחרת - אך האם הם באמת? - הם משרתים את אותה מטרה.

לרחרחני מנות בדרך כלל עושים שלושה דברים. ראשית, הם לוכדים את כל מנות הנתונים כאשר הם נכנסים או יוצאים מממשק רשת. שנית, הם יכולים להחיל מסננים כדי להתעלם מחלק מהחבילות ולשמור אחרים בדיסק. לאחר מכן הם מבצעים צורה כלשהי של ניתוח הנתונים שנלכדו. זה באותה פונקציה אחרונה של מריחי מנות שהם שונים זה מזה.

ללכידה בפועל של מנות הנתונים, רוב הכלים משתמשים במודול חיצוני. הנפוצים ביותר הם libpcap במערכות יוניקס / לינוקס ו- Winpcap במערכת Windows. בדרך כלל לא תצטרך להתקין כלים אלה מכיוון שהם בדרך כלל מותקנים על ידי מתקני הכלים השונים.

דבר חשוב נוסף הוא ש- Sniffers Packet - אפילו הטוב ביותר - לא יעשו הכל בשבילך. הם רק כלים. זה ממש כמו פטיש שלא יניע שום מסמר בפני עצמו. לכן, עליכם לוודא שתלמדו כיצד להשתמש בכל כלי בצורה הטובה ביותר. החלף של המנות רק יאפשר לך לראות את התנועה, אך באחריותך להשתמש במידע זה כדי למצוא בעיות. היו ספרים שלמים על שימוש בכלי לכידת מנות. אני, אני עצמי, לקחתי פעם קורס של שלושה ימים בנושא. אני לא מנסה להרתיע אותך. אני רק מנסה לכוון את הציפיות שלך.

כיצד להשתמש במריחת מנות

כפי שהסברנו, מרחרח מנות יתפוס ותנתח תנועה. לכן, אם אתה מנסה לפתור בעיה ספציפית - וזו בדרך כלל הסיבה שאתה משתמש בכלי כזה - תחילה עליך לוודא שהתנועה שאתה מצלם היא התנועה הנכונה. דמיין מצב בו כל המשתמשים מתלוננים כי יישום מסוים איטי. במצב כזה, ככל הנראה הדבר הטוב ביותר שלך יהיה לתפוס תנועה בממשק הרשת של שרת היישום. ייתכן שתבינו שבקשות יגיעו לשרת באופן רגיל, אך לוקח זמן רב לשרת לשלוח תגובות. זה מעיד על בעיית שרת.

אם לעומת זאת, אתה רואה את השרת מגיב בזמן, זה אולי אומר שהבעיה נמצאת איפשהו ברשת בין הלקוח לשרת. לאחר מכן היית מקרב את מריח המנות שלך לקפוץ אחד ללקוח ורואה אם ​​התגובות מתעכבות. אם זה לא, אתה מתקרב יותר ללקוח, וכן הלאה וכן הלאה. בסופו של דבר תגיע למקום בו מתרחשות עיכובים. ברגע שזיהית את מיקום הבעיה, אתה צעד אחד גדול יותר לפיתרון.

עכשיו אתה תוהה כיצד אנו מצליחים ללכוד מנות בנקודה מסוימת. זה די פשוט, אנו מנצלים את התכונה של רוב מתגי הרשת הנקראים שיקוף או שכפול של יציאה. זוהי אפשרות תצורה שתשכפל את כל התעבורה ביציאה מתג ספציפית ומחוצה לה ליציאה אחרת באותו מתג. נניח שהשרת שלך מחובר ליציאה 15 של מתג ושהיציאה 23 של אותו מתג זמינה. אתה מחבר את מריח המנות שלך ליציאה 23 ולהגדיר את המתג לשכפול כל התעבורה מנמל 15 ליציאה 23. מה שתקבל כתוצאה ביציאה 23 זו תמונת מראה - ומכאן שם שיקוף הנמל - של מה שעובר על יציאה 15.

מריחי המנות הטובים ביותר ומנתחי רשת

כעת כשתבינו טוב יותר מהם מריחי מנות ומנתחי רשת, בואו לראות מהם שבעת הטובים ביותר שנוכל למצוא. ניסינו לכלול תערובת של כלי שורת פקודה ו- GUI וכן לכלול כלים הפועלים במערכות הפעלה שונות. אחרי הכל, לא כל מנהלי הרשת מפעילים את Windows.

SolarWinds ידועה בשל הכלים החינמיים השימושיים הרבים שלה, ותוכנת ניהול הרשת המתקדמת בה. אחד הכלים שלו נקרא כלי פיקוח וניתוח מנות עמוק. זה מגיע כמרכיב במוצר הדגל של SolarWinds, מוניטור ביצועי הרשת. פעולתו שונה לחלוטין מריחות מנות "מסורתיות" יותר אם כי היא משרתת מטרה דומה.

לסיכום הפונקציונליות של הכלי: זה יעזור לך למצוא ולפתור את הגורם לרשת איחור, זיהוי יישומים שהושפעו וקבע אם איטיות נגרמת על ידי הרשת או מערכת יישום. התוכנה תשתמש גם בטכניקות בדיקת מנות עמוקות בכדי לחשב את זמן התגובה של למעלה מתריסר מאות יישומים. זה גם יסווג את תנועת הרשת לפי קטגוריות, עסקים לעומת חברתית ורמת סיכון, ועוזרת לך לזהות תנועה שאינה עסקית שעשויה להזדקק לסינון או ביטול אחר.

ואל תשכח שכלי פיקוח וניתוח מנות עמוק של SolarWinds מגיע כחלק ממוניטור Performace Network. NPM, כפי שהוא מכונה לעתים קרובות הוא חתיכת תוכנה מרשימה עם כל כך הרבה רכיבים, עד שיכול להיות מוקדש לה מאמר שלם. בבסיסה זהו פיתרון ניטור רשת שלם המשלב את מיטב הטכנולוגיות כמו בדיקת SNMP ובדיקת מנות עמוק כדי לספק מידע רב ככל האפשר על מצב הרשת שלך אפשרי. הכלי, שמחיר סביר מגיע ניסיון חינם למשך 30 יום כך שתוכלו לוודא שהוא באמת מתאים לצרכים שלכם לפני שתתחייבו לרכוש אותו.

קישור הורדה רשמי:https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

Tcpdump הוא ככל הנראה מריח החבילות המקורי. הוא נוצר עוד בשנת 1987. מאז הוא מתוחזק ומשופר, אך נותר ללא שינוי, לפחות כך הוא משמש. הוא מותקן מראש כמעט בכל מערכת הפעלה דמוית יוניקס והפך לתקן דה-פקטו כאשר צריך כלי מהיר לתפיסת מנות. Tcpdump משתמש בספריית libpcap לצורך לכידת המנות בפועל.

כברירת מחדל. tcpdump לוכד את כל התעבורה בממשק שצוין ו"זורק "אותו - ומכאן שמו - על המסך. ניתן להזיז את המזבלה לקובץ לכידה ולנתח אותו מאוחר יותר באמצעות אחד - או שילוב - של מספר כלים זמינים. המפתח לחוזק ושימושיותה של tcpdump הוא האפשרות להחיל כל מיני מסננים ולהעביר את הפלט שלהם ל- grep - עוד כלי שורת פקודה משותף של יוניקס - להמשך סינון. מישהו עם ידע טוב ב- tcpdump, grep ומעטפת הפקודה יכול לגרום לו לתפוס בדיוק את התנועה הנכונה לכל משימת ניקוי באגים.

3. Windump

Windump הוא בעצם רק יציאת tppdump לפלטפורמת Windows. ככזה, הוא מתנהג באותה צורה. זה לא נדיר לראות יציאות כאלה של תוכניות שירות מצליחות מפלטפורמה אחת לשנייה. Windump הוא יישום של Windows אך אל תצפו ממשק משתמש GUI מפואר. זהו כלי בשורת פקודה בלבד. לפיכך השימוש ב- Windump זהה למעשה לשימוש במקביל יוניקס שלו. אפשרויות שורת הפקודה זהות והתוצאות כמעט זהות. ניתן לשמור את הפלט מ- Windump לקובץ לצורך ניתוח מאוחר יותר בעזרת כלי צד שלישי.

ההבדל העיקרי אחד עם tcpdump הוא ש- Windump אינו מובנה בחלונות. תצטרך להוריד אותו מה- אתר ווינדאמפ. התוכנה מועברת כקובץ הפעלה ואינה דורשת התקנה. עם זאת, ממש כמו tcpdump משתמש בספריית libpcap, Windump משתמשת ב- Winpcap, שכמו רוב ספריות Windows, יש להוריד ולהתקין בנפרד.

4. Wireshark

Wireshark הוא ההתייחסות במריחי מנות. זה הפך לתקן דה-פקטו ורוב הכלים האחרים נוטים לחקות אותו. כלי זה לא רק יתפוס תנועה, יש לו גם יכולות ניתוח חזקות למדי. כה חזק עד שמנהלים רבים ישתמשו ב- tcpdump או ב- Windump בכדי ללכוד תנועה לקובץ ואז יטען את הקובץ ל- Wireshark לצורך ניתוח. זוהי דרך כה נפוצה להשתמש ב- Wireshark, כי בעת ההפעלה תתבקש לפתוח קובץ pcap קיים או להתחיל לתפוס תנועה. חוזק נוסף של Wireshark הוא כל המסננים שהוא משלב המאפשרים לך לאפס בדיוק את הנתונים שאתה מעוניין בהם.

אם להיות כנה לחלוטין, לכלי זה יש עקומת למידה תלולה אך כדאי ללמוד זאת. זה יוכיח שוב ושוב לא יסולא בפז. ברגע שלמדת את זה, תוכל להשתמש בו בכל מקום שכן הועבר כמעט לכל מערכת הפעלה והיא בחינם וקוד פתוח.

5. כריש

Tshark דומה למעבר בין tcpdump לבין Wireshark. זה דבר נהדר כיוון שהם כמה מריחי המנות הטובים ביותר שקיימים שם. Tshark הוא כמו tcpdump בכך שהוא כלי בשורת פקודה בלבד. אבל זה גם כמו Wireshark בכך שהוא לא רק תופס אלא גם מנתח תנועה. Tshark הוא מאותם מפתחים כמו Wireshark. זו, פחות או יותר, גרסת שורת הפקודה של Wireshark. הוא משתמש באותו סוג של סינון כמו Wireshark ולכן יכול לבודד במהירות רק את התנועה שאתה צריך לנתח.

אבל מדוע, אולי תשאלו, האם מישהו ירצה גרסת שורת פקודה של Wireshark? מדוע לא פשוט להשתמש ב Wireshark; עם הממשק הגרפי שלו, זה צריך להיות פשוט יותר לשימוש וללמידה? הסיבה העיקרית היא שהיא תאפשר לך להשתמש בו בשרת שאינו GUI.

6. כריית רשת

כריית רשת הוא כלי פלילי יותר מאשר רחרוח מנות אמיתי. Network Miner יעקוב אחר זרם TCP וישחזר שיחה שלמה. זה באמת כלי אחד חזק. זה יכול לעבוד במצב לא מקוון שבו היית מייבא קובץ לכידה כלשהו כדי לאפשר ל- Network Miner לעבוד בקסם שלו. זוהי תכונה שימושית שכן התוכנה פועלת רק ב- Windows. אתה יכול להשתמש ב- tcpdump ב- Linux כדי לתפוס קצת תנועה ו- Network Miner ב- Windows כדי לנתח אותה.

Network Miner זמין בגרסה חינמית, אך עבור התכונות המתקדמות יותר כגון מיקום גיאוגרפי מבוסס-IP וסקריפטים, יהיה עליכם לרכוש רישיון של Profesional. פונקציה מתקדמת נוספת של הגרסה המקצועית היא האפשרות לפענח ולהשמיע שיחות VoIP.

7. כנר (HTTP)

חלק מהקוראים הבקיאים יותר עשויים לטעון כי כנר אינו רחרחוני מנות ואף אינו מנתח רשת. הם כנראה צודקים אבל הרגשנו שעלינו לכלול את הכלי הזה ברשימה שלנו מכיוון שהוא מועיל מאוד במצבים רבים. כנר למעשה יתפוס תנועה אך לא תנועה כלשהי. זה עובד רק עם תעבורת HTTTP. אתה יכול לדמיין כמה יקר ערך זה יכול להיות למרות המגבלה שלך כשאתה מחשיב שכל כך הרבה יישומים כיום מבוססי אינטרנט או משתמשים ברקע בפרוטוקול HTTP. ומכיוון שפידלר יתפוס לא רק את תעבורת הדפדפנים אלא כמעט כל HTTP, זה שימושי מאוד בפתרון בעיות

היתרון של כלי כמו כנר על פני מחרוזת חבילות בונא פיד כמו Wireshark, למשל, הוא שפידלר נבנה כדי "להבין" את התעבורה ב- HTTP. זה, למשל, יגלה עוגיות ותעודות. הוא ימצא גם נתונים בפועל שמגיעים מיישומים מבוססי HTTP. כנר הוא בחינם והוא זמין עבור Windows רק אם ניתן לבנות בטא עבור מערכת הפעלה X ו- Linux (באמצעות מסגרת Mono).

סיכום

כשאנחנו מפרסמים רשימות כמו זו, לעתים קרובות נשאלת איזו מהן היא הטובה ביותר. במצב הספציפי הזה, אם נשאלתי את השאלה הזו, הייתי צריך לענות על "כולם". כולם כלים חינמיים ולכולם יש את הערך שלהם. מדוע לא שיהיה להם כולם בהישג יד ולהכיר את כל אחד מהם. כשאתה מגיע למצב שאתה צריך להשתמש בהם, זה יהיה הרבה יותר קל ויעיל. אפילו לכלים בשורת הפקודה יש ​​ערך עצום. לדוגמה, ניתן לתסריט אותם ולתזמן אותם. תאר לעצמך שיש לך בעיה שקורה בשעה 02:00 בלילה מדי יום. אתה יכול לתזמן משימה להפעלת tcpdump של Windump בין 1:50 ל- 2:10 ולנתח את קובץ הלכידה למחרת בבוקר. אין צורך להישאר ער כל הלילה.