Beste pakketsniffers en netwerkanalysers

Packet sniffing is een diepgaande netwerkanalyse waarin details van het netwerkverkeer worden gedecodeerd om te worden geanalyseerd. Het is een van de belangrijkste vaardigheden voor probleemoplossing die een netwerkbeheerder zou moeten bezitten. Het analyseren van netwerkverkeer is een gecompliceerde taak. Om met onbetrouwbare netwerken om te gaan, worden gegevens niet in één continue stroom verzonden. In plaats daarvan wordt het in stukjes gehakt, individueel verzonden. Het analyseren van netwerkverkeer houdt in dat je deze datapakketten kunt verzamelen en ze weer in iets zinvols kunt samenvoegen. Dit is niet iets dat u handmatig kunt doen, dus zijn pakketsniffers en netwerkanalysers gemaakt. Vandaag bekijken we zeven van de beste pakketsniffers en netwerkanalysers.

We beginnen de reis van vandaag met wat achtergrondinformatie over wat pakketsniffers zijn. We proberen te achterhalen wat het verschil is - of als er een verschil is - tussen een pakketsniffer en een netwerkanalysator. We gaan dan verder met de kern van ons onderwerp en noteren niet alleen een lijst, maar bekijken ook kort elk van onze zeven keuzes. Wat we voor u hebben, is een combinatie van GUI-tools en opdrachtregelprogramma's die op verschillende besturingssystemen worden uitgevoerd.

Een paar woorden over pakketsniffers en netwerkanalysatoren

Laten we beginnen met iets te regelen. Omwille van dit artikel gaan we ervan uit dat pakketsniffers en netwerkanalysers hetzelfde zijn. Sommigen zullen beweren dat ze anders zijn en misschien hebben ze gelijk. Maar in de context van dit artikel zullen we ze samen bekijken, vooral omdat ze, hoewel ze misschien anders werken - maar doen ze dat eigenlijk wel?, Ze hetzelfde doel dienen.

Packet Sniffers doen meestal drie dingen. Ten eerste vangen ze alle datapakketten op wanneer ze een netwerkinterface binnenkomen of verlaten. Ten tweede passen ze optioneel filters toe om sommige pakketten te negeren en andere op schijf op te slaan. Vervolgens voeren ze een vorm van analyse uit van de vastgelegde gegevens. Het is in die laatste functie van pakketsniffers dat ze het meest verschillen.

Voor het daadwerkelijk vastleggen van de datapakketten gebruiken de meeste tools een externe module. De meest voorkomende zijn libpcap op Unix / Linux-systemen en Winpcap op Windows. U hoeft deze tools meestal niet te installeren, omdat ze meestal door de verschillende installatieprogramma's voor tools worden geïnstalleerd.

Een ander belangrijk ding om te weten is dat Packet Sniffers - zelfs de beste - niet alles voor je doen. Het zijn slechts hulpmiddelen. Het is net als een hamer die op zichzelf geen spijker slaat. U moet er dus voor zorgen dat u leert hoe u elke tool het beste kunt gebruiken. De packet sniffer laat je gewoon het verkeer zien, maar het is aan jou om die informatie te gebruiken om problemen te vinden. Er zijn hele boeken over het gebruik van packet capture-tools. Ik heb zelf ooit een driedaagse cursus over dit onderwerp gevolgd. Ik probeer je niet te ontmoedigen. Ik probeer alleen je verwachtingen recht te zetten.

Hoe een packetsniffer te gebruiken

Zoals we hebben uitgelegd, zal een pakketsniffer verkeer vastleggen en analyseren. Dus als u probeert een specifiek probleem op te lossen, wat doorgaans de reden is waarom u zo'n tool gebruikt, moet u er eerst voor zorgen dat het verkeer dat u vastlegt, het juiste verkeer is. Stel je een situatie voor waarin alle gebruikers klagen dat een bepaalde applicatie traag is. In dat soort situaties is het waarschijnlijk het beste om verkeer op de netwerkinterface van de applicatieserver vast te leggen. U realiseert zich dan misschien dat verzoeken normaal op de server aankomen, maar dat het lang duurt voordat de server antwoorden verzendt. Dat zou duiden op een serverprobleem.

Als u daarentegen de server tijdig ziet reageren, betekent dit mogelijk dat het probleem ergens op het netwerk tussen de client en de server ligt. Je zou dan je packet sniffer een hop dichter bij de klant brengen en kijken of de reacties vertraagd zijn. Als dat niet het geval is, breng je meer hop dichter bij de klant, enzovoort, enzovoort. Uiteindelijk kom je op de plek waar vertragingen optreden. En als je eenmaal de locatie van het probleem hebt geïdentificeerd, ben je een grote stap dichter bij het oplossen ervan.

Nu vraagt ​​u zich misschien af ​​hoe het ons lukt om pakketten op een bepaald punt vast te leggen. Het is vrij eenvoudig, we profiteren van een functie van de meeste netwerkswitches die poortspiegeling of replicatie wordt genoemd. Dit is een configuratieoptie die al het verkeer in en uit een specifieke switchpoort naar een andere poort op dezelfde switch repliceert. Stel dat uw server is aangesloten op poort 15 van een switch en dat poort 23 van diezelfde switch beschikbaar is. U sluit uw pakketsniffer aan op poort 23 en configureert de switch om al het verkeer van poort 15 naar poort 23 te repliceren. Wat je als resultaat krijgt op poort 23 is een spiegelbeeld - vandaar de naam voor poortspiegeling - van wat er door poort 15 gaat.

De beste pakketsniffers en netwerkanalysers

Nu u beter begrijpt wat pakketsniffers en netwerkanalysers zijn, laten we eens kijken wat de zeven beste zijn die we konden vinden. We hebben geprobeerd een combinatie van opdrachtregel- en GUI-tools op te nemen en tools op verschillende besturingssystemen op te nemen. Immers, niet alle netwerkbeheerders draaien op Windows.

SolarWinds staat bekend om zijn vele handige gratis tools en zijn geavanceerde netwerkbeheersoftware. Een van de tools is de Diepe pakketinspectie en analyse-tool. Het wordt geleverd als onderdeel van het vlaggenschip van SolarWinds, de Network Performance Monitor. De werking is heel anders dan de meer "traditionele" pakketsniffers, hoewel het een soortgelijk doel dient.

Om de functionaliteit van de tool samen te vatten: het helpt u de oorzaak van het netwerk te vinden en op te lossen latencies, identificeer getroffen applicaties en bepaal of traagheid wordt veroorzaakt door het netwerk of een toepassing. De software zal ook diepe pakketinspectietechnieken gebruiken om de responstijd voor meer dan twaalfhonderd applicaties te berekenen. Het classificeert ook netwerkverkeer op categorie, bedrijf vs. sociaal en risiconiveau, zodat u niet-zakelijk verkeer kunt identificeren dat mogelijk moet worden gefilterd of anderszins moet worden geëlimineerd.

En vergeet niet dat de SolarWinds Deep Packet Inspection and Analysis Tool wordt geleverd als onderdeel van de Network Performace Monitor. NPM, zoals het vaak wordt genoemd, is een indrukwekkend stuk software met zoveel componenten dat er een heel artikel aan zou kunnen worden gewijd. In de kern is het een complete netwerkbewakingsoplossing die de beste technologieën zoals combineert SNMP- en deep packet-inspectie om zoveel mogelijk informatie over de status van uw netwerk te geven mogelijk. De tool, die redelijk geprijsd is, wordt geleverd een gratis proefperiode van 30 dagen zodat u zeker weet dat het echt aan uw behoeften voldoet voordat u zich ertoe verbindt het te kopen.

Officiële downloadlink:https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

Tcpdump is waarschijnlijk DE originele packet sniffer. Het is gemaakt in 1987. Sindsdien is het onderhouden en verbeterd, maar blijft het in wezen ongewijzigd, althans zoals het wordt gebruikt. Het is vooraf geïnstalleerd in vrijwel elk Unix-achtig besturingssysteem en is de de-facto standaard geworden wanneer men een snelle tool nodig heeft om pakketten vast te leggen. Tcpdump gebruikt de libpcap-bibliotheek voor het daadwerkelijke vastleggen van pakketten.

Standaard. tcpdump vangt al het verkeer op de opgegeven interface op en 'dumpt' het - vandaar de naam - op het scherm. De dump kan ook worden doorgesluisd naar een vastlegbestand en later worden geanalyseerd met een of een combinatie van verschillende beschikbare tools. Een sleutel tot de kracht en bruikbaarheid van tcpdump is de mogelijkheid om allerlei filters toe te passen en de uitvoer naar grep te leiden - een ander veelvoorkomend Unix-opdrachtregelhulpprogramma - voor verdere filtering. Iemand met een goede kennis van tcpdump, grep en de opdrachtshell kan ervoor zorgen dat het precies het juiste verkeer vastlegt voor elke foutopsporingstaak.

3. Windump

Windump is in wezen slechts een poort van tcpdump naar het Windows-platform. Als zodanig gedraagt ​​het zich op vrijwel dezelfde manier. Het is niet ongebruikelijk om dergelijke poorten met succesvolle hulpprogramma's van het ene platform naar het andere te zien. Windump is een Windows-applicatie, maar verwacht geen mooie GUI. Dit is alleen een opdrachtregelprogramma. Het gebruik van Windump is daarom in principe hetzelfde als het gebruik van zijn Unix-tegenhanger. De opdrachtregelopties zijn hetzelfde en de resultaten zijn ook bijna identiek. De uitvoer van Windump kan ook worden opgeslagen in een bestand voor latere analyse met een tool van derden.

Een groot verschil met tcpdump is dat Windump niet in Windows is ingebouwd. Je moet het downloaden van de Windump website. De software wordt geleverd als een uitvoerbaar bestand en vereist geen installatie. Maar net zoals tcpdump de libpcap-bibliotheek gebruikt, gebruikt Windump Winpcap die, zoals de meeste Windows-bibliotheken, afzonderlijk moet worden gedownload en geïnstalleerd.

4. Wireshark

Wireshark is de referentie in pakketsniffers. Het is de de-facto standaard geworden en de meeste andere tools hebben de neiging het na te bootsen. Deze tool registreert niet alleen het verkeer, maar heeft ook behoorlijk krachtige analysemogelijkheden. Zo krachtig dat veel beheerders tcpdump of Windump gebruiken om verkeer naar een bestand vast te leggen en het bestand vervolgens in Wireshark te laden voor analyse. Dit is zo'n veel voorkomende manier om Wireshark te gebruiken dat u bij het opstarten wordt gevraagd om een ​​bestaand pcap-bestand te openen of om verkeer te gaan vastleggen. Een andere kracht van Wireshark zijn alle filters die het bevat, waarmee u precies kunt afstemmen op de gegevens waarin u geïnteresseerd bent.

Om eerlijk te zijn, deze tool heeft een steile leercurve, maar het is de moeite waard om te leren. Het zal keer op keer van onschatbare waarde blijken te zijn. En als je het eenmaal hebt geleerd, kun je het overal gebruiken, omdat het naar bijna elk besturingssysteem is overgezet en het gratis en open source is.

5. tshark

Tshark is een soort kruising tussen tcpdump en Wireshark. Dit is geweldig omdat ze enkele van de beste pakketsniffers zijn die er zijn. Tshark lijkt op tcpdump omdat het alleen een opdrachtregelprogramma is. Maar het is ook zoals Wireshark omdat het niet alleen het verkeer registreert, maar ook analyseert. Tshark is van dezelfde ontwikkelaars als Wireshark. Het is min of meer de opdrachtregelversie van Wireshark. Het gebruikt hetzelfde type filtering als Wireshark en kan daarom snel alleen het verkeer isoleren dat u moet analyseren.

Maar waarom, vraagt ​​u zich misschien af, zou iemand een opdrachtregelversie van Wireshark willen? Waarom niet gewoon Wireshark gebruiken? met zijn grafische interface moet het eenvoudiger te gebruiken en te leren zijn? De belangrijkste reden is dat je het zou kunnen gebruiken op een niet-GUI-server.

6. Netwerkminer

Netwerkminer is meer een forensisch hulpmiddel dan een echte pakketsniffer. Network Miner volgt een TCP-stream en reconstrueert een heel gesprek. Het is echt een krachtig hulpmiddel. Het kan werken in de offline modus waar u een vastlegbestand zou importeren om Network Miner zijn magie te laten werken. Dit is een handige functie omdat de software alleen op Windows draait. Je zou tcpdump op Linux kunnen gebruiken om wat verkeer vast te leggen en Network Miner op Windows om het te analyseren.

Network Miner is beschikbaar in een gratis versie, maar voor de meer geavanceerde functies, zoals IP-geolocatie en scripting, moet u een professionele licentie aanschaffen. Een andere geavanceerde functie van de professionele versie is de mogelijkheid om VoIP-oproepen te decoderen en af ​​te spelen.

7. Fiddler (HTTP)

Sommige van onze beter geïnformeerde lezers zouden kunnen beweren dat Fiddler geen pakketsniffer is en ook geen netwerkanalysator. Ze hebben waarschijnlijk gelijk, maar we vonden dat we deze tool in onze lijst moesten opnemen, omdat deze in veel situaties erg handig is. Fiddler zal daadwerkelijk verkeer vastleggen, maar geen verkeer. Het werkt alleen met HTTTP-verkeer. Je kunt je voorstellen hoe waardevol het kan zijn, ondanks de beperking, als je bedenkt dat zoveel applicaties tegenwoordig webgebaseerd zijn of het HTTP-protocol op de achtergrond gebruiken. En aangezien Fiddler niet alleen browserverkeer vastlegt, maar vrijwel elke HTTP, is het erg handig bij het oplossen van problemen

Het voordeel van een tool als Fiddler boven een bonafide packetsniffer zoals bijvoorbeeld Wireshark, is dat Fiddler is gebouwd om HTTP-verkeer te "begrijpen". Het zal bijvoorbeeld cookies en certificaten ontdekken. Het zal ook daadwerkelijke gegevens vinden die afkomstig zijn van op HTTP gebaseerde applicaties. Fiddler is gratis en het is alleen beschikbaar voor Windows, hoewel beta-builds voor OS X en Linux (met behulp van het Mono-framework) kunnen worden gedownload.

Conclusie

Wanneer we lijsten zoals deze publiceren, wordt ons vaak gevraagd welke de beste is. In deze specifieke situatie, als mij die vraag werd gesteld, zou ik "ze allemaal" moeten beantwoorden. Het zijn allemaal gratis tools en ze hebben allemaal hun waarde. Waarom heeft u ze niet allemaal bij de hand en leert u ze allemaal kennen. Wanneer u in een situatie terechtkomt waarin u ze moet gebruiken, zal het veel gemakkelijker en efficiënter zijn. Zelfs opdrachtregelprogramma's hebben een enorme waarde. Ze kunnen bijvoorbeeld worden gescript en gepland. Stel je voor dat je een probleem hebt dat dagelijks om 2:00 uur voorkomt. U kunt een taak plannen om tcpdump of Windump uit te voeren tussen 1:50 en 2:10 en het vastlegbestand de volgende ochtend te analyseren. Het is niet nodig om de hele nacht wakker te blijven.