6 melhores alternativas Wireshark para cheirar pacotes

Wireshark, anteriormente conhecido como Etéreo, existe há 20 anos. Se não for o melhor, é certamente a ferramenta de detecção de rede mais popular. Sempre que surgir a necessidade de análise de pacotes, essa geralmente é a ferramenta essencial da maioria dos administradores. No entanto, tão bom quanto Wireshark pode ser, existem muitas alternativas disponíveis por aí. Alguns de vocês podem estar se perguntando o que há de errado com Wireshark isso justificaria substituí-lo. Para ser totalmente honesto, não há absolutamente nada de errado em Wireshark e se você já é um usuário satisfeito, não vejo motivo para mudar. Por outro lado, se você é novo na cena, pode ser uma boa ideia verificar o que está disponível antes de escolher uma solução. Para ajudá-lo, reunimos esta lista de algumas das melhores Wireshark alternativas.

Começaremos nossa exploração dando uma olhada Wireshark. Afinal, se queremos sugerir alternativas, é melhor conhecermos o produto pelo menos um pouco. Em seguida, discutiremos brevemente o que são os sniffers de pacote - ou analisadores de rede, como costumam ser chamados -. Como os farejadores de pacotes podem ser relativamente complexos, passaremos algum tempo discutindo como usá-los. Este não é um tutorial completo, mas deve fornecer informações básicas suficientes para apreciar melhor as próximas análises de produtos. Falando sobre análises de produtos, é isso que teremos a seguir. Identificamos vários produtos de tipos amplamente diferentes que podem ser uma boa alternativa ao Wireshark e apresentaremos os melhores recursos de cada um.

Sobre o Wireshark

Antes Wireshark, o mercado tinha essencialmente um sniffer de pacotes que era apropriadamente chamado Farejador. Foi um excelente produto que sofreu uma grande desvantagem, seu preço. No final dos anos 90, o produto era de cerca de US $ 1500, o que era mais do que muitos podiam pagar. Isso levou ao desenvolvimento de Etéreo como um sniffer de pacote gratuito e de código aberto por um graduado da UMKC chamado Gerald Combs quem ainda é o principal mantenedor de Wireshark vinte anos depois. Fale sobre compromisso sério.

Hoje, Wireshark tornou-se a referência em farejadores de pacotes. É o padrão de fato e a maioria das outras ferramentas tendem a imitá-lo. Wireshark essencialmente faz duas coisas. Primeiro, ele captura todo o tráfego que vê em sua interface. Mas não para por aí, o produto também possui recursos de análise bastante poderosos. Os recursos de análise da ferramenta são tão bons que não é incomum os usuários usarem outras ferramentas para captura de pacotes e fazer a análise usando Wireshark. Esta é uma maneira tão comum de usar Wireshark que, na inicialização, você será solicitado a abrir um arquivo de captura existente ou iniciar a captura de tráfego. Outra força de Wireshark são todos os filtros incorporados que permitem que você se concentre exatamente nos dados de seu interesse.

Sobre as ferramentas de análise de rede

Embora o assunto esteja aberto a debate por um tempo, pelo bem deste artigo, assumiremos que os termos "farejador de pacotes" e "analisador de rede" são o mesmo. Alguns argumentam que são dois conceitos diferentes e, embora possam estar certos, vamos analisá-los juntos, apenas por uma questão de simplicidade. Afinal, embora possam operar de maneira diferente - mas será que realmente? - eles servem a um propósito semelhante.

Os farejadores de pacotes fazem essencialmente três coisas. Primeiro, eles capturam todos os pacotes de dados quando entram ou saem de uma interface de rede. Em segundo lugar, eles opcionalmente aplicam filtros para ignorar alguns pacotes e salvar outros no disco. Eles então realizam alguma forma de análise dos dados capturados. É nessa última função que a maioria das diferenças entre produtos é.

A maioria dos farejadores de pacotes depende de um módulo externo para a captura real dos pacotes de dados. Os mais comuns são libpcap em sistemas Unix / Linux e Winpcap no Windows. Você normalmente não precisa instalar essas ferramentas, pois elas geralmente são instaladas pelos instaladores do farejador de pacotes.

Outra coisa importante a saber é que, por melhores e úteis que sejam, os Packet Sniffers não farão tudo por você. Eles são apenas ferramentas. Você pode pensar neles como um martelo que simplesmente não vai pregar sozinho. Você precisa aprender a melhor maneira de usar cada ferramenta. O sniffer de pacotes permitirá analisar o tráfego que captura, mas cabe a você garantir que captura os dados corretos e usá-los em seu proveito. Há livros inteiros escritos sobre o uso de ferramentas de captura de pacotes. Certa vez, fiz um curso de três dias sobre o assunto.

Usando um Sniffer de Pacotes

Como acabamos de afirmar, um sniffer de pacotes captura e analisa o tráfego. Portanto, se você está tentando solucionar um problema específico - um uso típico para essa ferramenta, a primeira coisa a fazer é garantir que o tráfego capturado seja o tráfego certo. Imagine um caso em que cada usuário de um determinado aplicativo esteja reclamando que é lento. Em tal situação, sua melhor aposta provavelmente seria capturar tráfego na interface de rede do servidor de aplicativos, pois todos os usuários parecem ser afetados. Você pode perceber que as solicitações chegam ao servidor normalmente, mas que o servidor demora muito para enviar respostas. Isso indicaria um atraso no servidor e não um problema de rede.

Por outro lado, se você vir o servidor respondendo às solicitações em tempo hábil, isso pode significar que o problema está em algum lugar na rede entre o cliente e o servidor. Você então moveria o sniffer de pacotes um salto para mais perto do cliente e veria se as respostas estão atrasadas. Caso contrário, você se aproximaria mais do cliente e assim por diante. Você chegará ao local onde ocorrem os atrasos. E depois de identificar a localização do problema, você estará um grande passo mais próximo para resolvê-lo.

Vamos ver como podemos capturar pacotes em um ponto específico de uma rede. Uma maneira simples de realizar isso é tirar proveito de um recurso da maioria dos comutadores de rede chamado espelhamento de porta ou replicação. Essa opção de configuração replicará todo o tráfego de entrada e saída de uma porta de switch específica para outra porta no mesmo switch. Por exemplo, se o servidor estiver conectado à porta 15 de um comutador e a porta 23 desse mesmo comutador estará disponível. Você conecta o sniffer de pacotes à porta 23 e configura o switch para replicar todo o tráfego da porta 15 para a porta 23.

As melhores alternativas do Wireshark

Agora que você entende melhor o que Wireshark e outros farejadores de pacotes e analisadores de rede, vamos ver quais produtos alternativos existem. Nossa lista inclui uma mistura de ferramentas de linha de comando e GUI, além de ferramentas executadas em vários sistemas operacionais.

SolarWinds é bem conhecido por suas ferramentas de gerenciamento de rede de ponta. A empresa existe há cerca de 20 anos e nos trouxe várias ótimas ferramentas. Seu principal produto chamado Monitor de desempenho de rede SolarWinds é reconhecido pela maioria como uma das melhores ferramentas de monitoramento de largura de banda da rede. SolarWinds também é famoso por criar um punhado de excelentes ferramentas gratuitas, cada uma abordando uma necessidade específica de administradores de rede. Dois exemplos dessas ferramentas são os Servidor TFTP SolarWinds e a Calculadora avançada de sub-rede.

Como alternativa potencial para Wireshark- e talvez como a melhor alternativa, pois é uma ferramenta tão diferente -SolarWinds propõe o Ferramenta profunda de inspeção e análise de pacotes. Vem como um componente do Monitor de desempenho de rede SolarWinds. Sua operação é bem diferente dos farejadores de pacotes mais “tradicionais”, embora sirva a um objetivo semelhante.

• Teste grátis: Monitor de desempenho de rede SolarWinds
• Link para download oficial: https://www.solarwinds.com/network-performance-monitor/registration

o Ferramenta profunda de inspeção e análise de pacotes não é um farejador de pacotes nem um analisador de rede, mas o ajudará a encontrar e resolver a causa da rede latências, identifique os aplicativos afetados e determine se a lentidão é causada pela rede ou por um inscrição. Como ele serve a um objetivo semelhante ao Wireshark, achamos que merecia estar nessa lista. A ferramenta usará técnicas de inspeção profunda de pacotes para calcular o tempo de resposta para mais de mil e duzentas aplicações. Também classificará o tráfego de rede por categoria (por exemplo, negócios vs. social) e nível de risco. Isso pode ajudar a identificar o tráfego não comercial que pode se beneficiar da filtragem ou, de alguma forma, ser controlado ou eliminado.

o Ferramenta profunda de inspeção e análise de pacotes é um componente integral do Monitor de desempenho de rede ou NPM como costuma ser chamado, que por si só é um software impressionante com tantos componentes que um artigo inteiro pode ser escrito sobre ele. É uma solução completa de monitoramento de rede que combina algumas das melhores tecnologias como SNMP e inspeção profunda de pacotes para fornecer o máximo de informações sobre o estado da sua rede possível.

Preços para o Monitor de desempenho de rede SolarWinds que inclui o Ferramenta profunda de inspeção e análise de pacotes começam em US $ 2 955 para até 100 elementos monitorados e aumentam de acordo com o número de elementos monitorados. A ferramenta tem uma avaliação gratuita de 30 dias disponível para garantir que realmente atenda às suas necessidades antes de comprá-lo.

2. tcpdump

Tcpdump é provavelmente o sniffer de pacote original. Foi criado em 1987. Isso é mais de dez anos antes Wireshark e mesmo antes de Sniffer. Desde seu lançamento inicial, a ferramenta foi mantida e aprimorada, mas permanece essencialmente inalterada. A maneira como a ferramenta é usada não mudou muito ao longo de sua evolução. Está disponível para instalação em praticamente todos os sistemas operacionais do tipo Unix e tornou-se o padrão de fato de uma ferramenta rápida para capturar pacotes. Como a maioria dos produtos similares nas plataformas * nix, tcpdump usa a biblioteca libpcap para a captura de pacotes real.

A operação padrão de tcpdump é relativamente simples. Ele captura todo o tráfego na interface especificada e o despeja - daí o nome - na tela. Sendo uma ferramenta * nix padrão, você pode canalizar a saída para um arquivo de captura para ser analisado posteriormente usando a ferramenta de análise de sua escolha. De fato, não é incomum os usuários capturarem o tráfego com o tcpdump para análises posteriores no Wireshark. Uma das chaves para tcpdumpO ponto forte e a utilidade da aplicação é a possibilidade de aplicar filtros e / ou canalizar sua saída para grep - outro utilitário de linha de comando * nix comum - para filtragem adicional. Alguém que domina o tcpdump, grep e o shell de comando pode capturar com precisão o tráfego certo para qualquer tarefa de depuração.

3. Windump

Em poucas palavras, Windump é uma porta do tcpdump para a plataforma Windows. Como tal, ele se comporta da mesma maneira. O que isso significa é que ele traz grande parte da funcionalidade do tcpdump para computadores baseados no Windows. Windump pode ser um aplicativo do Windows, mas não espere uma GUI sofisticada. É realmente o tcpdump no Windows e, como tal, é um utilitário apenas de linha de comando.

Usando Windump é basicamente o mesmo que usar sua contraparte * nix. As opções da linha de comando são praticamente as mesmas e os resultados também são quase idênticos. Assim como tcpdump, a saída de Windump também pode ser salvo em um arquivo para análise posterior com uma ferramenta de terceiros. No entanto, o grep geralmente não está disponível no computador Windows, limitando assim as habilidades de filtragem da ferramenta.

Outra diferença importante entre tcpdump e Windump é o que está prontamente disponível no repositório de pacotes do sistema operacional. Você precisará baixar o software do Windump local na rede Internet. É entregue como um arquivo executável e não requer instalação. Como tal, é uma ferramenta portátil que pode ser iniciada a partir de uma chave USB. No entanto, assim como o tcpdump usa a biblioteca libpcap, Windump usa o Winpcap, que precisa ser baixado e instalado separadamente.

4. Tshark

Você pode pensar em Tshark como um cruzamento entre tcpdump e Wireshark mas, na realidade, é, mais ou menos, a versão em linha de comando do Wireshark. É do mesmo desenvolvedor que Wireshark. Tshark tem semelhança com o tcpdump, por ser uma ferramenta apenas de linha de comando. Mas também é como Wireshark na medida em que não captura apenas o tráfego. Ele também possui os mesmos recursos poderosos de análise que Wireshark e usa o mesmo tipo de filtragem. Portanto, pode isolar rapidamente o tráfego exato que você precisa analisar.

Tshark levanta uma questão, no entanto. Por que alguém iria querer uma versão em linha de comando do Wireshark? Por que não usar apenas Wireshark? A maioria dos administradores - de fato, a maioria das pessoas - concorda que, de um modo geral, as ferramentas com interfaces gráficas de usuário geralmente são mais fáceis de usar e aprender e mais intuitivas e amigáveis. Afinal, não é por isso que os sistemas operacionais gráficos se tornaram tão populares? A principal razão pela qual alguém escolheria Tshark sobre Wireshark é quando eles querem apenas fazer uma captura rápida diretamente em um servidor para fins de solução de problemas. E se você suspeitar de um problema de desempenho com o servidor, convém usar uma ferramenta que não seja da GUI, pois isso pode exigir menos recursos.

5. Network Miner

Network Miner é mais uma ferramenta forense do que um sniffer de pacotes ou analisador de rede. Essa ferramenta seguirá um fluxo TCP e pode reconstruir uma conversa inteira. É uma ferramenta realmente poderosa para análise aprofundada do tráfego, embora seja difícil de dominar. A ferramenta pode funcionar em modo offline, em que seria possível importar um arquivo de captura - talvez criado usando uma das outras ferramentas revisadas - e permitir Network Miner trabalhe sua mágica. Considerando que o software é executado apenas no Windows, a possibilidade de trabalhar com arquivos de captura é certamente uma vantagem. Você pode, por exemplo, usar o tcpdump no Linux para capturar algum tráfego e o Network Miner no Windows para analisá-lo.

Network Miner está disponível em uma versão gratuita, mas, para os recursos mais avançados, como geolocalização e script baseados em endereço IP, você precisará adquirir uma licença Professional que custará US $ 900. Outra função avançada da versão profissional é a possibilidade de decodificar e reproduzir chamadas VoIP.

6. Violinista

Alguns de nossos leitores - especificamente os mais instruídos - serão tentados a argumentar que Violinista, nossa última entrada, não é um farejador de pacotes nem um analisador de rede. Para ser honesto, eles podem muito bem estar certos, mas ainda assim, sentimos que deveríamos incluir essa ferramenta em nossa lista, pois pode ser muito útil em várias situações diferentes.

Em primeiro lugar, vamos esclarecer as coisas, Violinista vai realmente capturar o tráfego. Porém, ele não captura nenhum tráfego. Funcionará apenas com tráfego HTTP. Apesar dessa limitação, quando você considera que muitos aplicativos hoje são baseados na Web ou usam o protocolo HTTP em segundo plano, é fácil ver o valor de uma ferramenta. E como a ferramenta captura não apenas o tráfego do navegador, mas praticamente qualquer HTTP, pode ser muito útil na solução de diferentes tipos de aplicativos.

A principal vantagem de uma ferramenta como Violinista sobre um sniffer de pacotes "verdadeiro" como o Wireshark, é que ele foi criado para "entender" o tráfego HTTP. Ele irá, por exemplo, descobrir cookies e certificados. Ele também encontrará dados reais provenientes de aplicativos baseados em HTTP. Violinista é gratuito e está disponível apenas para Windows. No entanto, é possível fazer o download de versões beta para OS X e Linux (usando a estrutura Mono).