6 najlepších alternatív Wireshark pre čichanie paketov

Wireshark, ktorý bol predtým známy ako éterický, existuje už 20 rokov. Ak to nie je najlepšie, je to určite najobľúbenejší sieťový nástroj na čuchanie. Vždy, keď vznikne potreba analýzy paketov, je to často nástroj na prechod od väčšiny administrátorov. Avšak, rovnako dobré ako Wireshark môže existovať, existuje veľa alternatív. Niektorí z vás sa možno pýtajú, čo je zle Wireshark to by odôvodňovalo jeho nahradenie. Aby som bol úprimný, s tým nie je nič zlé Wireshark a ak už ste spokojným používateľom, nevidím dôvod, prečo by ste ho mali zmeniť. Na druhej strane, ak ste na scéne nováčikom, môže byť dobré sa pozrieť na to, čo je k dispozícii pred výberom riešenia. Aby sme vám pomohli, zostavili sme tento zoznam tých najlepších Wireshark alternatívy.

Začneme s prieskumom tým, že sa na to pozrieme Wireshark. Nakoniec, ak chceme navrhnúť alternatívy, mohli by sme sa s produktom aspoň trochu zoznámiť. Potom krátko diskutujeme o tom, čo sú paketové sniffre - alebo sieťové analyzátory, ako sa často volajú -. Keďže sniffery paketov môžu byť relatívne zložité, strávime nejaký čas diskusiou o tom, ako ich používať. V žiadnom prípade nejde o kompletný návod, ale mal by vám poskytnúť dostatok informácií o pozadí, aby ste lepšie ocenili nadchádzajúce recenzie produktov. Keď budeme hovoriť o recenziách produktov, budeme mať nasledujúce. Identifikovali sme niekoľko produktov značne odlišných typov, ktoré by mohli byť dobrou alternatívou k Wireshark, a predstavíme tie najlepšie vlastnosti každého z nich.

O spoločnosti Wireshark

pred Wireshark, trh mal v podstate jeden identifikátor paketov, ktorý sa vhodne nazýval ploštice. Bol to vynikajúci produkt, ktorý trpel jednou veľkou nevýhodou, jeho cenou. Koncom 90-tych rokov bol tento výrobok okolo 1500 dolárov, čo si mohli dovoliť mnohí. Toto podnietilo vývoj éterický ako bezplatný a otvorený zdrojový paket, ktorý odmenil absolvent UMKC Gerald Combs ktorý je stále hlavným správcom Wireshark o dvadsať rokov neskôr. Hovorte o vážnom nasadení.

dnes, Wireshark sa stala referenciou v snifferoch paketov. Je to de-facto štandard a väčšina ostatných nástrojov ho napodobňuje. Wireshark v podstate robí dve veci. Najprv zachytí všetok prenos, ktorý vidí na svojom rozhraní. Ale nekončí to, produkt má tiež dosť silné analytické schopnosti. Možnosti analýzy nástroja sú také dobré, že nie je neobvyklé, že používatelia používajú iné nástroje na zachytávanie paketov a robia analýzu pomocou Wireshark. Toto je bežný spôsob použitia Wireshark že po spustení sa zobrazí výzva na otvorenie existujúceho súboru na zachytenie alebo na začatie zaznamenávania prenosu. Ďalšia sila Wireshark sú všetky filtre, ktoré obsahuje, ktoré vám umožňujú vynulovať presne tie údaje, ktoré vás zaujímajú.

O nástrojoch na analýzu siete

Aj keď táto záležitosť bola na chvíľu otvorená na diskusiu, v záujme tohto článku predpokladáme, že pojmy „identifikátor paketov“ a „sieťový analyzátor“ sú rovnaké. Niektorí budú argumentovať, že ide o dva rôzne pojmy, a hoci môžu mať pravdu, budeme sa na ne pozerať spolu, aj keď len kvôli jednoduchosti. Koniec koncov, aj keď môžu fungovať inak - ale naozaj? - slúžia podobnému účelu.

Packet Sniffers v podstate robia tri veci. Najprv zachytia všetky dátové pakety pri vstupe alebo výstupe zo sieťového rozhrania. Po druhé, voliteľne použijú filtre, aby ignorovali niektoré pakety a ostatné uložili na disk. Potom vykonajú nejakú formu analýzy zachytených údajov. V tejto poslednej funkcii je väčšina rozdielov medzi výrobkami.

Väčšina snifferov paketov sa pri skutočnom zachytávaní dátových paketov spolieha na externý modul. Najbežnejšie sú libpcap na systémoch Unix / Linux a Winpcap na Windows. Tieto nástroje však zvyčajne nebudete musieť inštalovať, pretože ich zvyčajne inštalujú inštalátori paketových snifferov.

Ďalšou dôležitou vecou, ​​ktorú treba vedieť, je, že tak dobrý a užitočný, ako sú, Packet Sniffers pre vás neurobí všetko. Sú to len nástroje. Môžete si ich predstaviť ako kladivo, ktoré samo o sebe nechytí nechty. Musíte sa uistiť, že sa naučíte, ako najlepšie používať každý nástroj. Čítač paketov vám umožní analyzovať prenos, ktorý zachytáva, ale záleží len na vás, či zachytí správne údaje a využije ich vo svoj prospech. Boli napísané celé knihy o používaní nástrojov na zachytávanie paketov. Raz som na túto tému absolvoval trojdňový kurz.

Používanie paketového sniffera

Ako sme práve uviedli, zachytávač paketov zachytáva a analyzuje premávku. Preto, ak sa pokúšate vyriešiť konkrétny problém - typickým použitím tohto nástroja je prvá vec, ktorú musíte urobiť, aby ste sa uistili, že prenos, ktorý zachytíte, je ten správny. Predstavte si prípad, keď si každý používateľ danej aplikácie sťažuje, že je pomalá. V takom prípade by najlepšou stávkou bolo zachytenie prenosu na sieťovom rozhraní aplikačného servera, pretože sa zdá, že to ovplyvňuje každého používateľa. Potom by ste si mohli uvedomiť, že požiadavky prichádzajú na server normálne, ale že odosielanie odpovedí trvá dlho. To by naznačovalo skôr oneskorenie na serveri ako problém so sieťou.

Na druhej strane, ak vidíte, že server včas reaguje na požiadavky, môže to znamenať, že problém je niekde v sieti medzi klientom a serverom. Potom by ste presunuli svoje pakety o jeden hop bližšie ku klientovi a zistili, či sú odpovede oneskorené. Ak nie, presunuli by ste sa viac poskoku bližšie ku klientovi, atď. Nakoniec sa dostanete na miesto, kde dôjde k oneskoreniu. Akonáhle ste identifikovali umiestnenie problému, ste o jeden veľký krok bližšie k jeho vyriešeniu.

Pozrime sa, ako sa nám podarí zachytiť pakety v určitom bode siete. Jedným jednoduchým spôsobom, ako to dosiahnuť, je využiť výhodu väčšiny sieťových prepínačov nazývaných zrkadlenie portov alebo replikácia. Táto možnosť konfigurácie replikuje všetku komunikáciu dovnútra a von z konkrétneho portu prepínača na iný port na rovnakom prepínači. Napríklad, ak je váš server pripojený k portu 15 prepínača a port 23 toho istého prepínača je k dispozícii. Pripojíte svoj identifikátor paketov k portu 23 a nakonfigurujete prepínač tak, aby replikoval všetku komunikáciu do a z portu 15 do portu 23.

Najlepšie alternatívy Wireshark

Teraz, keď lepšie pochopíte, čo Wireshark a ďalšie analyzátory paketov a sieťové analyzátory, pozrime sa, aké alternatívne produkty existujú. Náš zoznam obsahuje kombináciu nástrojov príkazového riadku a GUI, ako aj nástrojov bežiacich na rôznych operačných systémoch.

SolarWinds je známy svojimi najmodernejšími nástrojmi na správu siete. Spoločnosť existuje už asi 20 rokov a priniesla nám niekoľko vynikajúcich nástrojov. Jeho vlajková loď sa nazýva Monitor výkonu siete SolarWinds je väčšinou uznávaný ako jeden z najlepších nástrojov na monitorovanie šírky pásma siete. SolarWinds je tiež slávny výrobou hŕstky vynikajúcich bezplatných nástrojov, z ktorých každý rieši špecifickú potrebu správcov siete. Dva príklady týchto nástrojov sú Server SolarWinds TFTP a Pokročilá kalkulačka podsiete.

Ako potenciálna alternatíva k Wireshark- a možno ako najlepšia alternatíva, pretože ide o iný nástroj -SolarWinds navrhuje Nástroj na hĺbkovú kontrolu a analýzu paketov. Prichádza ako súčasť systému Monitor výkonu siete SolarWinds. Jeho prevádzka je úplne odlišná od „tradičných“ paketových snifferov, hoci slúži na podobný účel.

• Skúška zadarmo: Monitor výkonu siete SolarWinds
• Odkaz na stiahnutie: https://www.solarwinds.com/network-performance-monitor/registration

Nástroj na hĺbkovú kontrolu a analýzu paketov nie je ani identifikátor paketov ani sieťový analyzátor, ale pomôže vám nájsť a vyriešiť príčinu siete latencie, identifikovať ovplyvnené aplikácie a určiť, či je sieť alebo sieť spôsobená pomalosťou aplikácie. Keďže slúži podobnému účelu ako Wireshark, cítili sme, že si zaslúži byť na tomto zozname. Tento nástroj použije techniky hĺbkovej kontroly paketov na výpočet času odozvy pre viac ako dvanásť stoviek aplikácií. Bude tiež klasifikovať sieťový prenos podľa kategórie (napr. business vs sociálna úroveň) a úroveň rizika. Môže to pomôcť identifikovať neobchodnú prevádzku, ktorá by mohla mať úžitok z filtrovania alebo nejakej kontroly alebo vylúčenia.

Nástroj na hĺbkovú kontrolu a analýzu paketov je neoddeliteľnou súčasťou Monitor výkonu siete alebo NPM ako sa často hovorí, čo je samo o sebe pôsobivý softvér s toľkými komponentmi, že o ňom bolo možné napísať celý článok. Ide o kompletné riešenie na monitorovanie siete, ktoré kombinuje niektoré z najlepších technológií, ako je SNMP a hĺbkovú kontrolu paketov s cieľom poskytnúť čo najviac informácií o stave vašej siete je to možné.

Ceny za internet Monitor výkonu siete SolarWinds čo zahŕňa Nástroj na hĺbkovú kontrolu a analýzu paketov začnite na 2 955 $ pre až 100 sledovaných prvkov a stúpa podľa počtu sledovaných prvkov. Nástroj má k dispozícii 30-dňovú bezplatnú skúšobnú verziu aby ste sa uistili, že to skutočne vyhovuje vašim potrebám, skôr ako sa rozhodnete ich kúpiť.

2. tcpdump

tcpdump je pravdepodobne pôvodný identifikátor paketov. Bola vytvorená už v roku 1987. To je pred desiatimi rokmi Wireshark a ešte predtým ako Sniffer. Od prvého uvedenia do prevádzky sa nástroj udržiava a vylepšuje, ale v podstate zostáva nezmenený. Spôsob, akým sa nástroj používa, sa v priebehu jeho vývoja príliš nezmenil. Je k dispozícii na inštaláciu prakticky na každom operačnom systéme podobnom Unixu a stal sa de-facto štandardom pre rýchly nástroj na zachytávanie paketov. Rovnako ako väčšina podobných produktov na platformách * nix, tcpdump používa knižnicu libpcap na skutočné zachytenie paketov.

Predvolená operácia systému tcpdump je pomerne jednoduchý. Zachytáva všetku komunikáciu na určenom rozhraní a „vypíše ju“ - odtiaľ názov - na obrazovku. Ako štandardný nástroj * nix môžete výstup analyzovať pomocou nástroja na analýzu podľa vášho výberu. V skutočnosti nie je neobvyklé, že používatelia zachytia premávku pomocou protokolu tcpdump pre neskoršiu analýzu vo Wireshark. Jeden z kľúčov k tcpdumpSila a užitočnosť je možnosť aplikovať filtre a / alebo priviesť jeho výstup do grepu - ďalší bežný nástroj príkazového riadku * nix - pre ďalšie filtrovanie. Niekto, kto ovláda tcpdump, grep a príkazový shell, môže získať, aby zachytil presne ten správny prenos pre každú úlohu ladenia.

3. Windump

Stručne, Windump je port tcpdump na platformu Windows. Ako taký sa správa rovnakým spôsobom. To znamená, že prináša veľa funkcií tcpdump do počítačov so systémom Windows. Windump môže byť aplikácia pre Windows, ale neočakávajte fantastické GUI. Je to skutočne tcpdump na Windows a ako taký, je to len pomôcka pre príkazový riadok.

Použitím Windump je v podstate rovnaký ako pri použití svojho náprotivku * nix. Možnosti príkazového riadka sú takmer rovnaké a výsledky sú takmer rovnaké. Rovnako ako tcpdump, výstup z Windump možno tiež uložiť do súboru na neskoršiu analýzu pomocou nástroja tretej strany. Na počítačoch so systémom Windows však grep zvyčajne nie je k dispozícii, čím sa obmedzujú filtračné schopnosti nástroja.

Ďalší dôležitý rozdiel medzi tcpdump a Windump je to ľahko dostupné z úložiska balíkov operačného systému. Softvér budete musieť stiahnuť z internetu Windump webové stránky. Dodáva sa ako spustiteľný súbor a nevyžaduje inštaláciu. Ide o prenosný nástroj, ktorý by sa dal spustiť z USB kľúča. Rovnako ako tcpdump však používa knižnicu libpcap, Windump používa Winpcap, ktorý je potrebné stiahnuť a nainštalovať osobitne.

4. Tshark

Môžete myslieť Tshark ako kríženec medzi tcpdump a Wireshark ale v skutočnosti je to viac-menej verzia príkazového riadku Wireshark. Je z rovnakého vývojára ako Wireshark. Tshark má podobnosť s tcpdump v tom, že je to iba nástroj príkazového riadku. Ale je to rovnako Wireshark tým, že nezachytí iba prenos. Má tiež rovnaké výkonné analytické schopnosti ako Wireshark a používa rovnaký typ filtrovania. Môže preto rýchlo izolovať presný prenos, ktorý potrebujete analyzovať.

Tshark vyvoláva však jednu otázku. Prečo by niekto chcel verziu príkazového riadku Wireshark? Prečo nie len použiť Wireshark? Väčšina administrátorov - v skutočnosti väčšina ľudí - súhlasí s tým, že nástroje s grafickými užívateľskými rozhraniami sa vo všeobecnosti dajú ľahšie používať a učiť sa, intuitívnejšie a užívateľsky príjemnejšie. Nie je to koniec koncov, prečo sa grafické operačné systémy stali tak populárnymi? Hlavný dôvod, prečo by si niekto vybral Tshark cez Wireshark je to, keď chcú urobiť rýchle zachytenie priamo na serveri za účelom riešenia problémov. A ak máte podozrenie na problém s výkonom servera, možno budete chcieť uprednostniť použitie nástroja bez GUI, pretože to môže byť menej zdaňovanie prostriedkov.

5. Network Miner

Network Miner je skôr forenzným nástrojom ako paketový sniffer alebo sieťový analyzátor. Tento nástroj bude sledovať tok TCP a môže rekonštruovať celú konverzáciu. Je to skutočne silný nástroj na hĺbkovú analýzu premávky, aj keď ten, ktorý sa dá ťažko zvládnuť. Nástroj môže pracovať v režime offline, kde by niekto importoval súbor na zachytenie - pravdepodobne vytvorený pomocou jedného z skontrolovaných ostatných nástrojov - a nechal ho Network Miner pracovať jeho kúzlo. Vzhľadom na to, že softvér beží iba na Windows, je možnosť pracovať zo zachytávacích súborov určite výhodou. Môžete napríklad použiť tcpdump v systéme Linux na zachytenie určitej premávky a program Network Miner v systéme Windows na jeho analýzu.

Network Miner je k dispozícii v bezplatnej verzii, ale pre pokročilejšie funkcie, ako je geolokácia a skriptovanie na základe IP adresy, budete si musieť kúpiť licenciu Professional, ktorá vás bude stáť 900 dolárov. Ďalšou rozšírenou funkciou profesionálnej verzie je možnosť dekódovania a prehrávania hovorov VoIP.

6. huslista

Niektorí z našich čitateľov - konkrétne tých, ktorí majú lepšie vedomosti - budú v pokušení to tvrdiť huslista, náš posledný záznam, nie je ani identifikátor paketov, ani sieťový analyzátor. Úprimne povedané, môžu mať veľmi pravdu, ale napriek tomu sme mali pocit, že by sme tento nástroj mali zahrnúť do nášho zoznamu, pretože môže byť veľmi užitočný v niekoľkých rôznych situáciách.

V prvom rade si dajte veci do poriadku, huslista skutočne zachytí premávku. Nezachytí však žiadny prenos. Bude to fungovať iba s prenosom HTTP. Napriek tomuto obmedzeniu, keď si uvedomíte, že toľko aplikácií dnes je založených na webe alebo na pozadí používajú protokol HTTP, je ľahké zistiť, aké cenné môže byť napríklad nástroj. A pretože tento nástroj zachytí nielen prenos z prehliadača, ale aj takmer akýkoľvek HTTP, môže byť veľmi užitočný pri riešení problémov rôznych typov aplikácií.

Hlavnou výhodou nástroja, ako je huslista nad „skutočným“ sniférom paketov, ako je Wireshark, je to, že bol vytvorený na „porozumenie“ prenosu HTTP. Napríklad objaví cookies a certifikáty. Nájdete tiež aktuálne údaje pochádzajúce z aplikácií založených na HTTP. huslista je zadarmo a je k dispozícii iba pre Windows. Je však možné si stiahnuť beta verzie pre OS X a Linux (pomocou rámca Mono).