Cele mai bune sniffere de pachete și analizoare de rețea

Amortizarea pachetelor este un tip profund de analiză a rețelei în care detaliile traficului de rețea sunt decodate pentru a fi analizate. Este una dintre cele mai importante abilități de rezolvare a problemelor pe care ar trebui să le dețină un administrator de rețea. Analizarea traficului de rețea este o sarcină complicată. Pentru a face față rețelelor nesigure, datele nu sunt trimise într-un flux continuu. În schimb, este tăiat în fragmente trimise individual. Analiza traficului de rețea presupune posibilitatea de a colecta aceste pachete de date și de a le reasambla în ceva semnificativ. Acest lucru nu poate fi făcut manual, astfel încât s-au creat sniffere de pachete și analizoare de rețea. Astăzi, aruncăm o privire la șapte dintre cei mai buni snifferi de pachete și analizoare de rețea.

Începem călătoria de astăzi, oferindu-vă câteva informații de fond despre ce sunt adulmecatorii de pachete. Vom încerca să identificăm care este diferența - sau dacă există o diferență - între un sniffer de pachete și un analizator de rețea. Vom trece apoi la nucleul subiectului nostru și nu numai o listă, dar vom examina pe scurt fiecare din cele șapte opțiuni ale noastre. Ceea ce avem pentru tine este o combinație de instrumente GUI și utilități pentru linia de comandă care rulează pe diverse sisteme de operare.

Câteva cuvinte despre sniffere de pachete și analizoare de rețea

Să începem prin a rezolva ceva. În numele acestui articol, presupunem că snifferele de pachete și analizatorii de rețea sunt unul și același. Unii vor argumenta că sunt diferiți și pot avea dreptate. Dar, în contextul acestui articol, le vom analiza împreună, în principal pentru că, deși ar putea opera altfel - dar chiar sunt? - ele servesc același scop.

Pachetele Sniffers fac de obicei trei lucruri. În primul rând, captează toate pachetele de date pe măsură ce intră sau ies din interfața de rețea. În al doilea rând, opțional aplică filtre pentru a ignora unele dintre pachete și pentru a salva altele pe disc. Apoi efectuează o formă de analiză a datelor capturate. În ultima funcție a snifferelor de pachete este cea care diferă cel mai mult.

Pentru captarea efectivă a pachetelor de date, majoritatea instrumentelor utilizează un modul extern. Cele mai frecvente sunt libpcap pe sistemele Unix / Linux și Winpcap pe Windows. De obicei, nu va trebui să instalați aceste instrumente, deoarece de obicei sunt instalate de diferiți instalatori de instrumente.

Un alt lucru important de știut este faptul că Packet Sniffers - chiar și cel mai bun - nu va face totul pentru tine. Sunt doar instrumente. Este exact ca un ciocan care nu va conduce singur unghia. Deci, trebuie să vă asigurați că învățați cum să utilizați cel mai bine fiecare instrument. Snifferul de pachete vă va permite doar să vedeți traficul, dar depinde de dvs. să utilizați informațiile pentru a găsi probleme. Au fost cărți întregi despre utilizarea instrumentelor de captare a pachetelor. Eu, am făcut odată un curs de trei zile pe această temă. Nu încerc să te descurajez. Încerc doar să vă stabilesc așteptările.

Cum să folosiți un sniffer de pachete

După cum am explicat, un sniffer de pachete va captura și analiza traficul. Așadar, dacă încercați să rezolvați o problemă specifică - care este de obicei motivul pentru care utilizați un astfel de instrument - trebuie să vă asigurați mai întâi că traficul pe care îl capturați este cel potrivit. Imaginează-ți o situație în care toți utilizatorii se plâng că o anumită aplicație este lentă. În acest tip de situație, cel mai bun pariu ar fi, probabil, captarea traficului în interfața de rețea a serverului de aplicații. Vă puteți da seama apoi că solicitările ajung în mod normal la server, dar că serverul necesită mult timp pentru a trimite răspunsuri. Aceasta ar indica o problemă de server.

Dacă, pe de altă parte, vedeți că serverul răspunde în timp util, înseamnă că problema se află undeva în rețea, între client și server. Vei muta apoi setul de pachete cu un hop mai aproape de client și vei vedea dacă răspunsurile întârzie să apară. Dacă nu, vă mutați mai mult hop mai aproape de client și așa mai departe. În cele din urmă, veți ajunge la locul în care apar întârzieri. Și după ce ați identificat locația problemei, sunteți cu un pas mai mare spre rezolvarea acesteia.

Acum este posibil să vă întrebați cum reușim să surprindem pachetele la un moment dat. Este destul de simplu, profităm de o caracteristică a majorității comutatoarelor de rețea numite oglindire sau replicare port. Aceasta este o opțiune de configurare care va reproduce tot traficul de intrare și ieșire dintr-un port de comutare specific către un alt port de pe același comutator. Să presupunem că serverul dvs. este conectat la portul 15 al unui comutator și că portul 23 al aceluiași switch este disponibil. Conectați snifferul de pachete la portul 23 și configurați comutatorul pentru a reproduce tot traficul de la portul 15 la portul 23. Ceea ce obțineți ca rezultat al portului 23 este o imagine în oglindă - de unde și numele de oglindire a portului a ceea ce trece prin port 15.

Cele mai bune pachete de sniffere și analizoare de rețea

Acum că înțelegeți mai bine care sunt snifferele de pachete și analizatorii de rețea, să vedem care sunt cele șapte cele mai bune pe care le-am putea găsi. Am încercat să includem un amestec de linii de comandă și instrumente GUI, precum și să includem instrumente care rulează pe diverse sisteme de operare. La urma urmei, nu toți administratorii de rețea rulează Windows.

SolarWinds este cunoscut pentru numeroasele sale instrumente gratuite utile și pentru software-ul său de management al rețelei de ultimă generație. Unul dintre instrumentele sale se numește Instrument de analiză și analiză a pachetelor profunde. Acesta vine ca o componentă a produsului principal al SolarWinds, Network Performance Monitor. Funcționarea sa este destul de diferită de cea mai „tradițională” sniffers de pachete, deși servește un scop similar.

Pentru a rezuma funcționalitatea instrumentului: acesta vă va ajuta să găsiți și să rezolvați cauza rețelei latențe, identificați aplicațiile cu impact și determinați dacă încetinirea este cauzată de rețea sau de o rețea cerere. Programul va utiliza, de asemenea, tehnici de inspecție profundă a pachetelor pentru a calcula timpul de răspuns pentru peste douăsprezece sute de aplicații. De asemenea, va clasifica traficul de rețea pe categorii, afaceri vs. social și nivel de risc, care vă ajută să identificați traficul non-business care ar putea fi necesar să fie filtrat sau eliminat în alt mod.

Și nu uitați că Instrumentul de analiză și analiză a pachetelor profunde SolarWinds vine ca parte a monitorului de perfecționare a rețelei. NPM, cum este adesea numit este un software impresionant cu atât de multe componente încât un articol întreg i-ar putea fi dedicat. La baza sa, este o soluție completă de monitorizare a rețelei care combină cele mai bune tehnologii, cum ar fi SNMP și inspecția profundă a pachetelor pentru a oferi la fel de multe informații despre starea rețelei tale posibil. Instrumentul, care are un preț rezonabil vine un proces gratuit de 30 de zile astfel încât să vă asigurați că se potrivește cu adevărat nevoilor dvs. înainte de a vă angaja să îl achiziționați.

Link oficial de descărcare:https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

tcpdump este probabil The Sniffer original de pachete. A fost creat în 1987. De atunci, a fost menținută și îmbunătățită, dar rămâne în esență neschimbată, cel puțin așa cum este utilizată. Acesta este preinstalat în aproape toate sistemele de operare asemănătoare Unix și a devenit standardul de facto atunci când este nevoie de un instrument rapid pentru a capta pachete. Tcpdump utilizează biblioteca libpcap pentru capturarea pachetelor efective.

În mod implicit. tcpdump surprinde tot traficul de pe interfața specificată și îl „aruncă” - de unde și numele acestuia - pe ecran. Descărcarea poate fi, de asemenea, conectată la un fișier de captare și analizată ulterior folosind unul sau o combinație - a mai multor instrumente disponibile. O cheie pentru puterea și utilitatea tcpdump este posibilitatea de a aplica tot felul de filtre și de a canaliza ieșirea acestuia la grep - o altă utilitate comună a liniei de comandă Unix - pentru filtrarea ulterioară. Cineva cu cunoștințe bune despre tcpdump, grep și shell-ul de comandă îl poate face să surprindă exact traficul potrivit pentru orice sarcină de depanare.

3. WinDump

WinDump este în esență doar un port de tcpdump la platforma Windows. Ca atare, se comportă în același mod. Nu este neobișnuit să vezi astfel de porturi de programe utilitare de succes de la o platformă la alta. Windump este o aplicație Windows, dar nu vă așteptați la o interfață grafică elegantă. Acesta este un utilitar pentru linia de comandă. Prin urmare, utilizarea Windump este practic aceeași cu cea a omologului său Unix. Opțiunile din linia de comandă sunt aceleași, iar rezultatele sunt, de asemenea, aproape identice. Ieșirea de la Windump poate fi salvată și într-un fișier pentru analiză ulterioară cu un instrument terț.

O diferență majoră cu tcpdump este că Windump nu este încorporat în Windows. Va trebui să îl descărcați din Site-ul Windump. Software-ul este livrat ca fișier executabil și nu necesită nicio instalare. Cu toate acestea, la fel cum tcpdump folosește biblioteca libpcap, Windump folosește Winpcap care, la fel ca majoritatea bibliotecilor Windows, trebuie descărcat și instalat separat.

4. Wireshark

Wireshark este referința în sniffers de pachete. A devenit standardul de facto și majoritatea celorlalte instrumente tind să-l imite. Acest instrument nu numai că va capta trafic, ci are și capacități de analiză destul de puternice. Atât de puternic încât mulți administratori vor folosi tcpdump sau Windump pentru a captura trafic într-un fișier, apoi vor încărca fișierul în Wireshark pentru analiză. Acesta este un mod atât de obișnuit de a utiliza Wireshark încât, la pornire, vi se solicită să deschideți un fișier pcap existent sau să începeți să capturați trafic. Un alt punct forte al Wireshark îl reprezintă toate filtrele pe care le încorporează, care vă permit să introduceți zero pe exact datele de care vă interesați.

Pentru a fi perfect sincer, acest instrument are o curbă de învățare abruptă, dar merită învățat. Se va dovedi o dată neprețuită din nou. Și după ce l-ați aflat, îl veți putea folosi peste tot, deoarece a fost portat la aproape toate sistemele de operare și este gratuit și open-source.

5. tshark

Tshark este ca o cruce între tcpdump și Wireshark. Acesta este un lucru minunat, deoarece sunt unele dintre cele mai bune sniffers de pachete de acolo. Tshark este ca tcpdump prin faptul că este un instrument numai pentru linia de comandă. Dar este de asemenea ca Wireshark prin faptul că nu numai că captează, dar și analizează traficul. Tshark este de la aceiași dezvoltatori ca Wireshark. Este, mai mult sau mai puțin, versiunea de linie de comandă a Wireshark. Folosește același tip de filtrare ca Wireshark și, prin urmare, poate izola rapid doar traficul pe care trebuie să-l analizezi.

Dar de ce, vă puteți întreba, cineva ar dori o versiune de linie de comandă a Wireshark? De ce nu folosiți doar Wireshark; cu interfața sa grafică, trebuie să fie mai simplu de utilizat și de învățat? Motivul principal este că acesta vă va permite să-l utilizați pe un server non-GUI.

6. Rețea Miner

Rețea Miner este mai mult un instrument criminalistic mai mult decât un adevărat sniffer de pachete. Network Miner va urma un flux TCP și va reconstrui o întreagă conversație. Este cu adevărat un instrument puternic. Poate funcționa în modul offline, unde importați un fișier de captare pentru a permite Network Miner să-și creeze magia. Aceasta este o caracteristică utilă, deoarece software-ul rulează numai pe Windows. Puteți utiliza tcpdump pe Linux pentru a captura ceva trafic și Network Miner pe Windows pentru a-l analiza.

Network Miner este disponibil într-o versiune gratuită, însă, pentru funcțiile mai avansate, cum ar fi geolocalizarea și scripturile bazate pe IP, va trebui să achiziționați o licență Profesional. O altă funcție avansată a versiunii profesionale este posibilitatea de decodare și redare a apelurilor VoIP.

7. Fiddler (HTTP)

Unii dintre cititorii noștri mai cunoscuți ar putea susține că Fiddler nu este un sniffer de pachete și nici nu este un analizator de rețea. Probabil au dreptate, dar am considerat că ar trebui să includem acest instrument pe lista noastră, deoarece este foarte util în multe situații. Lăutar va capta efectiv traficul, dar nu orice trafic. Funcționează numai cu trafic HTTTP. Vă puteți imagina cât de valoroasă poate fi în ciuda limitării sale atunci când considerați că atât de multe aplicații de astăzi sunt bazate pe web sau utilizează protocolul HTTP în fundal. Și din moment ce Fiddler va captura nu numai traficul browserului, ci doar orice HTTP, este foarte util în depanarea

Avantajul unui instrument precum Fiddler față de un sniffer de pachete de bună credință precum Wireshark, este că Fiddler a fost construit pentru a „înțelege” traficul HTTP. De exemplu, va descoperi cookie-uri și certificate. De asemenea, va găsi date care provin din aplicațiile bazate pe HTTP. Fiddler este gratuit și este disponibil doar pentru Windows, deși versiunile beta pentru OS X și Linux (folosind cadrul Mono) pot fi descărcate.

Concluzie

Când publicăm liste de genul acesta, de multe ori am fost întrebați care este cea mai bună. În această situație particulară, dacă mi s-ar fi pus această întrebare, ar trebui să răspund „tuturor”. Toate sunt instrumente gratuite și toate au valoarea lor. De ce să nu le aveți pe toate la îndemână și să vă familiarizați cu fiecare în parte. Când ajungeți într-o situație în care trebuie să le utilizați, va fi mult mai ușor și mai eficient. Chiar și instrumentele din linia de comandă au o valoare extraordinară. De exemplu, pot fi scriptate și programate. Imaginați-vă că aveți o problemă care se întâmplă la 2:00 am pe zi. Puteți programa un loc de muncă pentru a rula tcpdump de Windump între 1:50 și 2:10 și analiza fișierul de captare a doua zi dimineață. Nu este nevoie să stai toată noaptea.