Melhores farejadores de pacotes e analisadores de rede

A detecção de pacotes é um tipo profundo de análise de rede, na qual os detalhes do tráfego de rede são decodificados para serem analisados. É uma das habilidades de resolução de problemas mais importantes que qualquer administrador de rede deve possuir. Analisar o tráfego da rede é uma tarefa complicada. Para lidar com redes não confiáveis, os dados não são enviados em um fluxo contínuo. Em vez disso, é picado em fragmentos enviados individualmente. A análise do tráfego de rede envolve a capacidade de coletar esses pacotes de dados e remontá-los em algo significativo. Isso não é algo que você pode fazer manualmente, para que farejadores de pacotes e analisadores de rede sejam criados. Hoje, analisamos sete dos melhores detectores de pacotes e analisadores de rede.

Estamos começando a jornada de hoje, fornecendo algumas informações básicas sobre o que são os farejadores de pacotes. Vamos tentar descobrir qual é a diferença - ou se há uma diferença - entre um farejador de pacotes e um analisador de rede. Em seguida, prosseguiremos para o assunto principal e não apenas listaremos, mas também revisaremos brevemente cada uma de nossas sete escolhas. O que temos para você é uma combinação de ferramentas da GUI e utilitários de linha de comando que são executados em vários sistemas operacionais.

Algumas palavras sobre sniffers de pacotes e analisadores de rede

Vamos começar estabelecendo algo. Para o propósito deste artigo, presumiremos que os farejadores de pacotes e analisadores de rede são o mesmo. Alguns argumentam que são diferentes e podem estar certos. Mas, no contexto deste artigo, vamos analisá-los juntos, principalmente porque, embora eles possam operar de maneira diferente - mas será que realmente? - eles servem ao mesmo propósito.

Os farejadores de pacotes geralmente fazem três coisas. Primeiro, eles capturam todos os pacotes de dados quando entram ou saem de uma interface de rede. Em segundo lugar, eles opcionalmente aplicam filtros para ignorar alguns pacotes e salvar outros no disco. Eles então realizam alguma forma de análise dos dados capturados. É nessa última função dos farejadores de pacotes que eles diferem mais.

Para a captura real dos pacotes de dados, a maioria das ferramentas usa um módulo externo. Os mais comuns são libpcap em sistemas Unix / Linux e Winpcap no Windows. Normalmente, você não precisa instalar essas ferramentas, pois geralmente são instaladas pelos diferentes instaladores de ferramentas.

Outra coisa importante a saber é que o Packet Sniffers - mesmo o melhor - não fará tudo por você. Eles são apenas ferramentas. É como um martelo que não vai pregar sozinho. Portanto, você precisa aprender a melhor maneira de usar cada ferramenta. O farejador de pacotes permitirá que você veja o tráfego, mas depende de você usar essas informações para encontrar problemas. Existem livros inteiros sobre o uso de ferramentas de captura de pacotes. Eu próprio fiz um curso de três dias sobre o assunto. Não estou tentando desencorajar você. Estou apenas tentando definir suas expectativas.

Como usar um sniffer de pacotes

Como explicamos, um farejador de pacotes captura e analisa o tráfego. Portanto, se você estiver tentando solucionar um problema específico (motivo pelo qual você usaria essa ferramenta), primeiro verifique se o tráfego capturado é o tráfego certo. Imagine uma situação em que todos os usuários estejam reclamando que um aplicativo específico está lento. Nesse tipo de situação, sua melhor aposta provavelmente seria capturar tráfego na interface de rede do servidor de aplicativos. Você pode perceber que as solicitações chegam ao servidor normalmente, mas que o servidor demora muito para enviar respostas. Isso indicaria um problema no servidor.

Se, por outro lado, você vir o servidor respondendo em tempo hábil, isso significa que o problema está em algum lugar da rede entre o cliente e o servidor. Você então moveria o sniffer de pacotes um salto para mais perto do cliente e veria se as respostas estão atrasadas. Caso contrário, você se aproxima mais do cliente e assim por diante. Você chegará ao local onde ocorrem os atrasos. E depois de identificar a localização do problema, você estará um grande passo mais próximo para resolvê-lo.

Agora você pode estar se perguntando como conseguimos capturar pacotes em um ponto específico. É bem simples, aproveitamos um recurso da maioria dos comutadores de rede chamado espelhamento de porta ou replicação. Essa é uma opção de configuração que replicará todo o tráfego dentro e fora de uma porta específica do switch para outra porta no mesmo switch. Digamos que seu servidor esteja conectado à porta 15 de um switch e que a porta 23 desse mesmo switch esteja disponível. Você conecta seu sniffer de pacotes à porta 23 e configura o switch para replicar todo o tráfego da porta 15 à porta 23. O resultado obtido na porta 23 é uma imagem espelhada - daí o nome do espelhamento de porta - do que está passando pela porta 15.

Os melhores farejadores de pacotes e analisadores de rede

Agora que você entende melhor o que são os detectores de pacotes e os analisadores de rede, vamos ver quais são os sete melhores que pudemos encontrar. Tentamos incluir uma mistura de ferramentas de linha de comando e GUI, além de ferramentas em execução em vários sistemas operacionais. Afinal, nem todos os administradores de rede estão executando o Windows.

SolarWinds é conhecido por suas muitas ferramentas gratuitas úteis e seu software de gerenciamento de rede de ponta. Uma de suas ferramentas é chamada de Ferramenta profunda de inspeção e análise de pacotes. Ele vem como um componente do principal produto da SolarWinds, o Network Performance Monitor. Sua operação é bem diferente dos farejadores de pacotes mais “tradicionais”, embora sirva a um objetivo semelhante.

Para resumir a funcionalidade da ferramenta: ajudará você a encontrar e resolver a causa da rede latências, identifique os aplicativos afetados e determine se a lentidão é causada pela rede ou por um inscrição. O software também usará técnicas de inspeção profunda de pacotes para calcular o tempo de resposta para mais de mil e duzentas aplicações. Também classificará o tráfego de rede por categoria, empresa vs. nível social e de risco, ajudando a identificar o tráfego não comercial que pode precisar ser filtrado ou eliminado.

E não esqueça que a Ferramenta de análise e inspeção profunda de pacotes da SolarWinds faz parte do Monitor de desempenho de rede. O NPM, como costuma ser chamado, é um software impressionante com tantos componentes que um artigo inteiro pode ser dedicado a ele. Na sua essência, é uma solução completa de monitoramento de rede que combina as melhores tecnologias, como SNMP e inspeção profunda de pacotes para fornecer o máximo de informações sobre o estado da sua rede, possível. A ferramenta, com preços razoáveis, vem com uma avaliação gratuita de 30 dias para garantir que realmente atenda às suas necessidades antes de comprá-lo.

Link para download oficial:https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

Tcpdump é provavelmente o sniffer de pacote original. Foi criado em 1987. Desde então, ele foi mantido e aprimorado, mas permanece essencialmente inalterado, pelo menos da maneira como é usado. Ele é pré-instalado em praticamente todos os sistemas operacionais do tipo Unix e se tornou o padrão de fato quando é preciso uma ferramenta rápida para capturar pacotes. O tcpdump usa a biblioteca libpcap para a captura de pacotes real.

Por padrão. O tcpdump captura todo o tráfego na interface especificada e a despeja - daí o nome - na tela. O dump também pode ser canalizado para um arquivo de captura e analisado posteriormente usando uma - ou uma combinação - de várias ferramentas disponíveis. Uma chave para a força e a utilidade do tcpdump é a possibilidade de aplicar todos os tipos de filtros e canalizar sua saída para grep - outro utilitário comum de linha de comando do Unix - para filtragem adicional. Alguém com um bom conhecimento de tcpdump, grep e o shell de comando pode capturar com precisão o tráfego certo para qualquer tarefa de depuração.

3. Windump

Windump é essencialmente apenas uma porta do tcpdump para a plataforma Windows. Como tal, ele se comporta da mesma maneira. Não é incomum ver essas portas de programas utilitários bem-sucedidos de uma plataforma para outra. Windump é um aplicativo do Windows, mas não espere uma GUI sofisticada. Este é um utilitário somente de linha de comando. Usar Windump, portanto, é basicamente o mesmo que usar seu equivalente no Unix. As opções da linha de comando são as mesmas e os resultados também são quase idênticos. A saída do Windump também pode ser salva em um arquivo para análise posterior com uma ferramenta de terceiros.

Uma grande diferença com o tcpdump é que o Windump não está embutido no Windows. Você precisará fazer o download do Site Windump. O software é entregue como um arquivo executável e não requer instalação. No entanto, assim como o tcpdump usa a biblioteca libpcap, o Windump usa o Winpcap, que, como a maioria das bibliotecas do Windows, precisa ser baixado e instalado separadamente.

4. Wireshark

Wireshark é a referência em farejadores de pacotes. Tornou-se o padrão de fato e a maioria das outras ferramentas tendem a imitá-lo. Essa ferramenta não apenas captura o tráfego, mas também possui recursos de análise bastante poderosos. Tão poderoso que muitos administradores usarão o tcpdump ou o Windump para capturar o tráfego em um arquivo e carregá-lo no Wireshark para análise. Essa é uma maneira tão comum de usar o Wireshark que, na inicialização, você é solicitado a abrir um arquivo pcap existente ou começar a capturar tráfego. Outra força do Wireshark são todos os filtros que ele incorpora, permitindo que você se concentre exatamente nos dados de seu interesse.

Para ser perfeitamente honesto, essa ferramenta possui uma curva de aprendizado acentuada, mas vale a pena aprender. Isso será inestimável uma e outra vez. E uma vez que você o tenha aprendido, poderá usá-lo em qualquer lugar, pois ele foi portado para quase todos os sistemas operacionais e é gratuito e de código aberto.

5. tshark

Tshark é como um cruzamento entre tcpdump e Wireshark. Isso é ótimo, pois são alguns dos melhores farejadores de pacotes existentes no mercado. O Tshark é como o tcpdump, pois é uma ferramenta apenas de linha de comando. Mas também é como o Wireshark, que não apenas captura, mas também analisa o tráfego. Tshark é dos mesmos desenvolvedores que o Wireshark. É, mais ou menos, a versão em linha de comando do Wireshark. Ele usa o mesmo tipo de filtragem que o Wireshark e, portanto, pode isolar rapidamente apenas o tráfego que você precisa analisar.

Mas por que, você pode perguntar, alguém iria querer uma versão em linha de comando do Wireshark? Por que não usar apenas o Wireshark; com sua interface gráfica, precisa ser mais simples de usar e aprender? O principal motivo é que isso permitiria que você o usasse em um servidor não GUI.

6. Network Miner

Network Miner é mais uma ferramenta forense do que um verdadeiro sniffer de pacotes. O Network Miner seguirá um fluxo TCP e reconstruirá toda a conversa. É realmente uma ferramenta poderosa. Ele pode funcionar no modo offline, onde você importaria algum arquivo de captura para permitir que o Network Miner funcionasse. Esse é um recurso útil, pois o software é executado apenas no Windows. Você pode usar o tcpdump no Linux para capturar algum tráfego e o Network Miner no Windows para analisá-lo.

O Network Miner está disponível em uma versão gratuita, mas, para os recursos mais avançados, como geolocalização e script com base em IP, você precisará adquirir uma licença profissional. Outra função avançada da versão profissional é a possibilidade de decodificar e reproduzir chamadas VoIP.

7. Violinista (HTTP)

Alguns de nossos leitores mais informados podem argumentar que o Fiddler não é um farejador de pacotes nem um analisador de rede. Eles provavelmente estão certos, mas achamos que deveríamos incluir essa ferramenta em nossa lista, pois é muito útil em muitas situações. Violinista capturará o tráfego, mas não o tráfego. Funciona apenas com tráfego HTTTP. Você pode imaginar o quanto isso pode ser valioso, apesar de sua limitação, quando você considera que muitos aplicativos hoje são baseados na Web ou usam o protocolo HTTP em segundo plano. E como o Fiddler captura não apenas o tráfego do navegador, mas praticamente qualquer HTTP, é muito útil na solução de problemas

A vantagem de uma ferramenta como o Fiddler sobre um farejador de pacotes de boa-fé como, por exemplo, o Wireshark, é que o Fiddler foi criado para "entender" o tráfego HTTP. Ele irá, por exemplo, descobrir cookies e certificados. Ele também encontrará dados reais provenientes de aplicativos baseados em HTTP. O Fiddler é gratuito e está disponível apenas para Windows, embora as versões beta para OS X e Linux (usando a estrutura Mono) possam ser baixadas.

Conclusão

Quando publicamos listas como essa, geralmente nos perguntam qual é a melhor. Nesta situação específica, se me fizessem essa pergunta, teria que responder "todos eles". Todas elas são ferramentas gratuitas e todas têm seu valor. Por que não tê-los à mão e se familiarizar com cada um deles? Quando você chega a uma situação em que precisa usá-los, será muito mais fácil e eficiente. Até as ferramentas de linha de comando têm um valor tremendo. Por exemplo, eles podem ser programados e programados. Imagine que você tem um problema que acontece diariamente às 2:00 da manhã. Você pode agendar um trabalho para executar o tcpdump do Windump entre 1:50 e 2:10 e analisar o arquivo de captura na manhã seguinte. Não há necessidade de ficar acordado a noite toda.