Beste pakkesniffere og nettverksanalysatorer
Pakkesniffing er en dyp type nettverksanalyse der detaljer om nettverkstrafikken dekodes for å bli analysert. Det er en av de viktigste feilsøkingsferdighetene som en nettverksadministrator bør ha. Å analysere nettverkstrafikk er en komplisert oppgave. For å takle upålitelige nettverk, blir ikke data sendt i en kontinuerlig strøm. I stedet blir det hakket opp i fragmenter som er sendt individuelt. Å analysere nettverkstrafikk innebærer å kunne samle disse pakkene med data og samle dem om til noe meningsfullt. Dette er ikke noe du kan gjøre manuelt slik at pakkesniffere og nettverksanalysatorer ble opprettet. I dag ser vi på syv av de beste pakkesnifferne og nettverksanalysatorene.
Vi starter dagens reise med å gi deg litt bakgrunnsinformasjon om hva pakkesniffere er. Vi vil prøve å finne ut hva forskjellen er - eller om det er en forskjell - mellom en pakkesniffer og en nettverksanalysator. Vi vil deretter gå videre til kjernen i faget vårt og ikke bare liste, men også kort gjennomgå alle de syv valgene våre. Det vi har for deg er en kombinasjon av GUI-verktøy og kommandolinjeværktøy som kjører på forskjellige operativsystemer.
Noen få ord om pakkesniffere og nettverksanalysatorer
La oss begynne med å ordne opp noe. Av hensyn til denne artikkelen antar vi at pakkesniffere og nettverksanalysatorer er det samme. Noen vil hevde at de er forskjellige og at de kan ha rett. Men i sammenheng med denne artikkelen, vil vi se på dem sammen, hovedsakelig fordi selv om de kanskje fungerer annerledes - men gjør de virkelig? - tjener de samme formål.
Packet Sniffers gjør vanligvis tre ting. Først fanger de alle datapakker når de går inn i eller går ut fra et nettverksgrensesnitt. For det andre bruker de eventuelt filtre for å ignorere noen av pakkene og lagre andre på disk. De utfører deretter en form for analyse av dataene som er fanget. Det er i den siste funksjonen til pakkesniffere at de skiller seg mest ut.
For å fange opp datapakkene, bruker de fleste verktøy en ekstern modul. De vanligste er libpcap på Unix / Linux-systemer og Winpcap på Windows. Du trenger vanligvis ikke å installere disse verktøyene, ettersom de vanligvis er installert av de forskjellige verktøyinstallatørene.
En annen viktig ting å vite er at Packet Sniffers - selv den beste - ikke vil gjøre alt for deg. De er bare verktøy. Det er akkurat som en hammer som ikke driver noen spiker av seg selv. Så du må sørge for at du lærer hvordan du best kan bruke hvert verktøy. Pakkesniffen lar deg se trafikken, men det er opp til deg å bruke denne informasjonen til å finne problemer. Det har vært hele bøker om bruk av pakkefangstverktøy. Jeg har selv en gang tatt et tredagers kurs om emnet. Jeg prøver ikke å fraråde deg. Jeg prøver bare å rette forventningene dine.
Hvordan bruke en pakkesniffer
Som vi har forklart, vil en pakkesniffer fange og analysere trafikk. Så hvis du prøver å feilsøke et bestemt problem - som vanligvis er grunnen til at du vil bruke et slikt verktøy - må du først sørge for at trafikken du tar er riktig trafikk. Se for deg en situasjon der alle brukere klager over at en bestemt applikasjon går tregt. I den type situasjoner vil det beste alternativet sannsynligvis være å fange trafikk på applikasjonsserverens nettverksgrensesnitt. Du vil kanskje innse at forespørsler kommer til serveren normalt, men at serveren tar lang tid å sende ut svar. Det skulle indikere et serverproblem.
Hvis du derimot ser serveren svare på riktig tid, betyr det muligens at problemet er et sted i nettverket mellom klienten og serveren. Du ville deretter flytte pakkesniffen ett hopp nærmere klienten og se om svarene er forsinket. Hvis det ikke er, flytter du mer hop nærmere klienten, og så videre og så videre. Du kommer etter hvert til stedet der det oppstår forsinkelser. Og når du har identifisert plasseringen av problemet, er du et stort skritt nærmere å løse det.
Nå lurer du kanskje på hvordan vi klarer å fange pakker på et bestemt punkt. Det er ganske enkelt. Vi drar fordel av en funksjon i de fleste nettverksbrytere som kalles portspeiling eller replikering. Dette er et konfigurasjonsalternativ som vil gjenskape all trafikk inn og ut av en spesifikk bryterport til en annen port på den samme bryteren. La oss si at serveren din er koblet til port 15 på en bryter, og at port 23 til den samme bryteren er tilgjengelig. Du kobler pakkesniffen til port 23 og konfigurerer bryteren til å gjenskape all trafikk fra port 15 til port 23. Det du får som resultat på port 23 er et speilbilde - derav navnet på portspeilingen - av det som går gjennom port 15.
De beste pakkesniffere og nettverksanalysatorer
Nå som du bedre forstår hva pakkesniffere og nettverksanalysatorer er, la oss se hva er de syv beste vi kunne finne. Vi har prøvd å inkludere en blanding av kommandolinje- og GUI-verktøy, samt inkludere verktøy som kjører på forskjellige operativsystemer. Tross alt kjører ikke alle nettverksadministratorer Windows.
Solarwinds er kjent for sine mange nyttige gratisverktøy og den nyeste programvaren for nettverksadministrasjon. Et av verktøyene kalles Deep Packet Inspection and Analysis Tool. Det kommer som en del av SolarWinds flaggskipprodukt, Network Performance Monitor. Driften er ganske forskjellig fra mer "tradisjonelle" pakkesniffere, selv om det tjener et lignende formål.
For å oppsummere verktøyets funksjonalitet: det vil hjelpe deg å finne og løse årsaken til nettverket forsinkelser, identifiser påvirkede applikasjoner og bestemme om treghet er forårsaket av nettverket eller et applikasjon. Programvaren vil også bruke dype pakkeinspeksjonsteknikker for å beregne responstid for over tolv hundre applikasjoner. Det vil også klassifisere nettverkstrafikk etter kategori, virksomhet vs. sosialt og risikonivå, som hjelper deg med å identifisere ikke-forretningstrafikk som kan trenge å bli filtrert eller på annen måte eliminert.
Og ikke glem at SolarWinds Deep Packet Inspection and Analysis Tool kommer som en del av Network Performace Monitor. NPM, som det ofte kalles, er et imponerende programvare med så mange komponenter at en hel artikkel kan vies den. I kjernen er det en komplett nettverksovervåkingsløsning som kombinerer de beste teknologiene som SNMP og dyp pakkeinspeksjon for å gi så mye informasjon om tilstanden til nettverket ditt som mulig. Verktøyet, som er rimelig, kommer med en 30-dagers gratis prøveperiode slik at du kan sørge for at den virkelig passer dine behov før du forplikter deg til å kjøpe den.
Offisiell nedlastingslenke:https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
tcpdump er sannsynligvis DEN originale pakkesnifferen. Det ble opprettet i 1987. Siden den gang har den blitt vedlikeholdt og forbedret, men forblir i det vesentlige uendret, i det minste slik den brukes. Det er forhåndsinstallert i praktisk talt alle Unix-lignende operativsystemer og har blitt de-facto-standarden når man trenger et raskt verktøy for å fange pakker. Tcpdump bruker libpcap-biblioteket for selve pakkefangst.
Som standard. tcpdump fanger all trafikk på det angitte grensesnittet og "dumper" den - derav navnet - på skjermen. Dumpen kan også ledes til en fangstfil og analyseres senere ved bruk av ett - eller en kombinasjon - av flere tilgjengelige verktøy. En nøkkel til styrken og nytten av tcpdump er muligheten til å bruke alle slags filtre og til å føre utdataene til grep - et annet vanlig Unix-kommandolinjeprogram - for videre filtrering. Noen med god kunnskap om tcpdump, grep og kommandoskallet kan få det til å fange opp nøyaktig riktig trafikk for enhver feilsøkingsoppgave.
3. Windump
Windump er egentlig bare en port av tcpdump til Windows-plattformen. Som sådan oppfører den seg på samme måte. Det er ikke uvanlig å se slike porter med vellykkede verktøy fra en plattform til en annen. Windump er et Windows-program, men forvent ikke et fancy GUI. Dette er bare et kommandolinjeverktøy. Å bruke Windump er derfor i utgangspunktet det samme som å bruke Unix-motstykket. Kommandolinjealternativene er de samme, og resultatene er også nesten identiske. Utgangen fra Windump kan også lagres i en fil for senere analyse med et tredjepartsverktøy.
En stor forskjell med tcpdump er at Windump ikke er innebygd i Windows. Du må laste den ned fra Windump nettsted. Programvaren leveres som en kjørbar fil og krever ingen installasjon. Imidlertid, akkurat som tcpdump bruker libpcap-biblioteket, bruker Windump Winpcap som, som de fleste Windows-biblioteker, må lastes ned og installeres separat.
4. Wireshark
Wireshark er referansen i pakkesniffere. Det har blitt de-facto-standarden, og de fleste andre verktøy har en tendens til å etterligne den. Dette verktøyet vil ikke bare fange trafikk, det har også ganske kraftige analysemuligheter. Så kraftig at mange administratorer vil bruke tcpdump eller Windump for å fange trafikk til en fil og deretter laste filen inn i Wireshark for analyse. Dette er en så vanlig måte å bruke Wireshark at du ved oppstart blir bedt om å enten åpne en eksisterende pcap-fil eller begynne å fange trafikk. En annen styrke til Wireshark er alle filtrene den inneholder, som lar deg nullstille nøyaktig dataene du er interessert i.
For å være helt ærlig har dette verktøyet en bratt læringskurve, men det er vel verdt å lære. Det vil vise seg uvurderlig gang på gang. Når du først har lært det, vil du kunne bruke det overalt slik det er blitt portert til nesten alle operativsystemer, og det er gratis og åpen kildekode.
5. tshark
Tshark er liksom en krysning mellom tcpdump og Wireshark. Dette er en flott ting, ettersom de er noen av de beste pakkesnifferne der ute. Tshark er som tcpdump ved at det er et eneste kommandolinjeverktøy. Men det er også som Wireshark ved at den ikke bare fanger opp, men også analyserer trafikken. Tshark er fra de samme utviklerne som Wireshark. Det er mer eller mindre kommandolinjeversjonen av Wireshark. Den bruker samme type filtrering som Wireshark og kan derfor raskt isolere bare trafikken du trenger å analysere.
Men hvorfor, kan du spørre, er det noen som ønsker en kommandolinjeversjon av Wireshark? Hvorfor ikke bare bruke Wireshark; med det grafiske grensesnittet, må det være enklere å bruke og å lære? Hovedårsaken er at den tillater deg å bruke den på en ikke-GUI-server.
6. Network Miner
Network Miner er mer et rettsmedisinskt verktøy mer enn en ekte pakkesniffer. Network Miner vil følge en TCP-strøm og rekonstruere en hel samtale. Det er virkelig et kraftig verktøy. Den kan fungere i frakoblet modus der du vil importere noen fangstfil for å la Network Miner arbeide sin magi. Dette er en nyttig funksjon da programvaren bare kjører på Windows. Du kan bruke tcpdump på Linux for å fange opp litt trafikk og Network Miner på Windows for å analysere den.
Network Miner er tilgjengelig i en gratis versjon, men for de mer avanserte funksjonene som IP-basert geolokering og skripting, må du kjøpe en Profesional-lisens. En annen avansert funksjon av den profesjonelle versjonen er muligheten for å avkode og spille av VoIP-anrop.
7. Fiddler (HTTP)
Noen av våre kunnskapsrike lesere kan hevde at Fiddler ikke er en pakkesniffer og heller ikke er en nettverksanalysator. De har sannsynligvis rett, men vi følte at vi burde ta med dette verktøyet på listen vår, da det er veldig nyttig i mange situasjoner. Fiddler vil faktisk fange opp trafikk, men ikke trafikk. Det fungerer bare med HTTTP-trafikk. Du kan forestille deg hvor verdifull det kan være til tross for begrensningen når du vurderer at så mange applikasjoner i dag er nettbaserte eller bruker HTTP-protokollen i bakgrunnen. Og siden Fiddler ikke bare vil fange nettlesertrafikk, men omtrent hvilken som helst HTTP, er den veldig nyttig i feilsøking
Fordelen med et verktøy som Fiddler fremfor en bona fide-pakkesniffer som for eksempel Wireshark, er at Fiddler ble bygget for å "forstå" HTTP-trafikk. Det vil for eksempel oppdage informasjonskapsler og sertifikater. Den vil også finne faktiske data som kommer fra HTTP-baserte applikasjoner. Fiddler er gratis, og den er bare tilgjengelig for Windows, selv om beta-bygginger for OS X og Linux (ved hjelp av Mono-rammeverket) kan lastes ned.
Konklusjon
Når vi publiserer lister som denne, blir vi ofte spurt om hvilken som er best. I denne spesielle situasjonen, hvis jeg ble spurt om det spørsmålet, måtte jeg svare "alle sammen". De er alle gratis verktøy, og alle har sin verdi. Hvorfor ikke ha dem alle for hånden og bli kjent med hver enkelt. Når du kommer til en situasjon hvor du trenger å bruke dem, vil det være mye enklere og effektiv. Selv verktøy for kommandolinjer har en enorm verdi. For eksempel kan de skriptes og planlegges. Se for deg at du har et problem som skjer klokka 02.00 daglig. Du kan planlegge en jobb for å kjøre tcpdump av Windump mellom 1:50 og 2:10 og analysere fangstfilen neste morgen. Ingen grunn til å holde deg oppe hele natten.
Søke
Siste Innlegg
6 beste Linux-overvåkingsprogramvare og -verktøy for 2020
Da Linus Torvalds ga ut den første versjonen av Linux-kjernen sin h...
De 8 beste IP-skannere for Windows i 2020
IP-adressering er et sammensatt tema. Dette er hva mange tror. Men ...
7 Beste overvåkningsverktøy for Windows Management Instrumentation (WMI)
Windows Management Instrumentation, eller WMI, er et styringsrammev...