Najlepšie paketové sniffre a sieťové analyzátory

Čichanie paketov je hlboký typ sieťovej analýzy, v ktorej sa dekódujú podrobnosti sieťovej prevádzky, ktoré sa majú analyzovať. Je to jedna z najdôležitejších zručností pri riešení problémov, ktorú by mal mať správca siete. Analýza sieťovej prevádzky je zložitá úloha. S cieľom zvládnuť nespoľahlivé siete sa údaje neodosielajú v jednom súvislom toku. Namiesto toho sa naseká na fragmenty odoslané jednotlivo. Analýza sieťového prenosu vyžaduje, aby tieto pakety údajov bolo možné zozbierať a znova ich zostaviť do niečoho zmysluplného. Toto nie je niečo, čo môžete urobiť manuálne, takže boli vytvorené paketové sniffre a sieťové analyzátory. Dnes sa pozeráme na sedem najlepších snifferov a sieťových analyzátorov.

Začíname dnešnú cestu tým, že vám poskytneme pár základných informácií o tom, čo sú to paketové čichače. Pokúsime sa zistiť, aký je rozdiel - alebo ak existuje rozdiel - medzi identifikátorom paketov a sieťovým analyzátorom. Potom prejdeme k jadru našej témy a nielen uvedieme, ale aj stručne preskúmame každú z našich siedmich tipov. Máme pre vás kombináciu nástrojov GUI a nástrojov príkazového riadka, ktoré bežia na rôznych operačných systémoch.

Niekoľko slov o paketových snifferoch a sieťových analyzátoroch

Začnime s riešením niečoho. Na účely tohto článku predpokladáme, že sniffery paketov a sieťové analyzátory sú rovnaké. Niektorí budú argumentovať, že sú iní a môžu mať pravdu. Ale v kontexte tohto článku sa na ne pozrieme spoločne, hlavne preto, že aj keď by mohli fungovať inak, ale naozaj? - slúžia rovnakému účelu.

Packet Sniffers zvyčajne robia tri veci. Najprv zachytia všetky dátové pakety pri vstupe alebo výstupe zo sieťového rozhrania. Po druhé, voliteľne použijú filtre, aby ignorovali niektoré pakety a ostatné uložili na disk. Potom vykonajú nejakú formu analýzy zachytených údajov. To je v tej poslednej funkcii paketov sniffers, že sa líšia najviac.

Na skutočné zachytenie dátových paketov používa väčšina nástrojov externý modul. Najbežnejšie sú libpcap na systémoch Unix / Linux a Winpcap na Windows. Tieto nástroje zvyčajne nebudete musieť inštalovať, pretože ich zvyčajne inštalujú iní inštalatéri nástrojov.

Ďalšou dôležitou vecou, ​​ktorú je potrebné vedieť, je, že Packet Sniffers - aj ten najlepší - neurobí pre vás všetko. Sú to len nástroje. Je to ako kladivo, ktoré samo o sebe nebude jazdiť na klinec. Preto sa musíte uistiť, že sa naučíte, ako najlepšie používať každý nástroj. Čipovač paketov vám umožní iba vidieť prenos, ale je len na vás, aby ste tieto informácie použili na nájdenie problémov. Existujú celé knihy o používaní nástrojov na zachytávanie paketov. Ja sám som raz absolvoval trojdňový kurz na túto tému. Nesnažím sa vás odradiť. Snažím sa iba splniť vaše očakávania.

Ako používať paketový sniffer

Ako sme vysvetlili, zachytávač paketov zachytáva a analyzuje prenos. Ak sa teda pokúšate vyriešiť konkrétny problém, ktorý je zvyčajne dôvodom, prečo by ste takýto nástroj mali používať, musíte sa najprv ubezpečiť, že prenos, ktorý zachytíte, je správny. Predstavte si situáciu, keď si všetci používatelia sťažujú, že konkrétna aplikácia je pomalá. V takomto prípade by bolo najlepšie zachytiť návštevnosť v sieťovom rozhraní aplikačného servera. Potom by ste si mohli uvedomiť, že požiadavky prichádzajú na server normálne, ale že odosielanie odpovedí trvá dlho. To by naznačovalo problém servera.

Ak na druhej strane vidíte, že server odpovedá včas, pravdepodobne to znamená, že problém je niekde v sieti medzi klientom a serverom. Potom by ste presunuli svoje pakety o jeden hop bližšie ku klientovi a zistili, či sú odpovede oneskorené. Ak to tak nie je, presuniete sa viac hopu bližšie ku klientovi a tak ďalej a tak ďalej. Nakoniec sa dostanete na miesto, kde dôjde k oneskoreniu. Akonáhle ste identifikovali umiestnenie problému, ste o jeden veľký krok bližšie k jeho vyriešeniu.

Teraz sa možno pýtate, ako sa nám podarí zachytiť pakety v konkrétnom bode. Je to veľmi jednoduché, využívame výhodu väčšiny sieťových prepínačov nazývaných zrkadlenie portov alebo replikácia. Toto je konfiguračná možnosť, ktorá replikuje všetku komunikáciu dovnútra a von z konkrétneho portu prepínača na iný port na rovnakom prepínači. Povedzme, že váš server je pripojený k portu 15 prepínača a je k dispozícii port 23 tohto prepínača. Pripojte svoj identifikátor paketov k portu 23 a nakonfigurujte prepínač tak, aby replikoval všetku komunikáciu z portu 15 na port 23. Výsledkom, ktorý získate na porte 23, je zrkadlový obraz - odtiaľ názov zrkadlenia portov - toho, čo prechádza portom 15.

Najlepšie paketové sniffre a sieťové analyzátory

Teraz, keď lepšie pochopíte, čo sú paketové sniffre a sieťové analyzátory, pozrime sa, aké sú najlepšie sedem, ktoré sme našli. Pokúsili sme sa zahrnúť kombináciu nástrojov príkazového riadku a GUI, ako aj nástrojov bežiacich na rôznych operačných systémoch. Koniec koncov, nie všetci správcovia siete používajú systém Windows.

SolarWinds je známy svojimi mnohými užitočnými bezplatnými nástrojmi a najmodernejším softvérom na správu sietí. Jedným z jeho nástrojov je tzv Nástroj na hĺbkovú kontrolu a analýzu paketov. Dodáva sa ako súčasť vlajkového produktu SolarWinds, monitora výkonnosti siete. Jeho prevádzka je úplne odlišná od „tradičných“ paketových snifferov, hoci slúži na podobný účel.

Zhrnutie funkčnosti nástroja: pomôže vám nájsť a vyriešiť príčinu siete latencie, identifikovať ovplyvnené aplikácie a určiť, či je sieť alebo sieť spôsobená pomalosťou aplikácie. Softvér tiež použije techniky hĺbkovej kontroly paketov na výpočet času odozvy pre viac ako dvanásť stoviek aplikácií. Bude tiež klasifikovať sieťový prenos podľa kategórie, firmy a na sociálnej úrovni a na úrovni rizika, ktorá vám pomôže identifikovať neobchodnú komunikáciu, ktorá bude pravdepodobne potrebné filtrovať alebo inak vylúčiť.

A nezabudnite, že nástroj na inšpekciu a analýzu hlbokých paketov SolarWinds je súčasťou programu Network Performanceace Monitor. NPM, ako sa často nazýva, je pôsobivý softvér s toľkými komponentmi, že by sa mu mohol venovať celý článok. Vo svojom jadre je to kompletné riešenie na monitorovanie siete, ktoré kombinuje najlepšie technológie, ako napr SNMP a hĺbková kontrola paketov s cieľom poskytnúť čo najviac informácií o stave vašej siete je to možné. Nástroj, ktorý je za rozumnú cenu, sa dodáva 30-dňová bezplatná skúšobná verzia aby ste sa uistili, že to skutočne vyhovuje vašim potrebám, skôr ako sa rozhodnete ich kúpiť.

Odkaz na stiahnutie:https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

tcpdump je pravdepodobne pôvodný identifikátor paketov. Bola vytvorená už v roku 1987. Odvtedy sa udržiava a vylepšuje, ale v podstate zostáva nezmenená, prinajmenšom tak, ako sa používa. Je predinštalovaný prakticky vo všetkých operačných systémoch podobných Unixu a stal sa de-facto štandardom, keď človek potrebuje rýchly nástroj na zachytávanie paketov. Tcpdump používa knižnicu libpcap na skutočné zachytenie paketov.

Predvolene. tcpdump zachytáva všetku komunikáciu na určenom rozhraní a „vypíše“ ju - odtiaľ názov - na obrazovku. Výpis môže byť tiež prenesený do súboru na zachytenie a analyzovaný neskôr pomocou jedného alebo kombináciou niekoľkých dostupných nástrojov. Kľúčom k sile a užitočnosti tcpdump je možnosť použiť všetky druhy filtrov a priviesť jeho výstup do grepu - ďalšieho bežného nástroja príkazového riadku Unix - na ďalšie filtrovanie. Niekto, kto má dobrú znalosť tcpdump, grep a príkazového riadku, môže získať zachytenie správneho prenosu pre každú úlohu ladenia.

3. Windump

Windump je v podstate iba port tcpdump na platformu Windows. Ako taký sa správa rovnakým spôsobom. Nie je neobvyklé vidieť také porty úspešných obslužných programov z jednej platformy na druhú. Windump je aplikácia pre Windows, ale neočakávajte fantastické GUI. Toto je pomôcka iba pre príkazový riadok. Používanie Windump je preto v podstate rovnaké ako pri použití jeho náprotivku Unix. Možnosti príkazového riadku sú rovnaké a výsledky sú takmer rovnaké. Výstup z Windump možno tiež uložiť do súboru na neskoršiu analýzu pomocou nástroja tretej strany.

Jedným z hlavných rozdielov tcpdump je, že Windump nie je zabudovaný do Windows. Budete si ho musieť stiahnuť z internetu Webové stránky Windump. Softvér sa dodáva ako spustiteľný súbor a nevyžaduje inštaláciu. Avšak, rovnako ako tcpdump používa knižnicu libpcap, Windump používa Winpcap, ktorý, rovnako ako väčšina knižníc Windows, musí byť stiahnutý a nainštalovaný samostatne.

4. Wireshark

Wireshark je referencia v snifferoch paketov. Stala sa de facto štandardom a väčšina ostatných nástrojov ju má tendenciu napodobňovať. Tento nástroj nielen zachytí prenos, ale má aj dosť silné analytické schopnosti. Tak silný, že veľa správcov použije tcpdump alebo Windump na zachytenie prenosu do súboru a potom ho na analýzu načíta do Wireshark. Toto je bežný spôsob použitia Wireshark, že po spustení sa zobrazí výzva na otvorenie existujúceho súboru pcap alebo na začatie zaznamenávania prenosu. Ďalšou silnou stránkou programu Wireshark sú všetky filtre, ktoré obsahuje, ktoré vám umožňujú vynechať presne tie údaje, ktoré vás zaujímajú.

Aby som bol úprimný, tento nástroj má strmé krivky učenia, ale oplatí sa ho naučiť. Znovu a znovu sa to ukáže ako neoceniteľná. Akonáhle ste sa to dozvedeli, budete ho môcť používať všade, pretože bol prenesený do takmer každého operačného systému a je bezplatný a otvorený.

5. tshark

Tshark je niečo ako kríženie medzi tcpdump a Wireshark. To je skvelá vec, pretože sú to jedny z najlepších čuchacích balíčkov. Tshark je ako tcpdump v tom, že je to iba nástroj príkazového riadku. Je to však rovnako ako Wireshark v tom, že nielen zachytáva, ale aj analyzuje premávku. Tshark je od rovnakých vývojárov ako Wireshark. Je to viac-menej verzia príkazového riadku Wireshark. Používa rovnaký typ filtrovania ako Wireshark, a preto môže rýchlo izolovať iba prenos, ktorý potrebujete analyzovať.

Ale prečo by ste sa mohli opýtať, chcel by niekto chcieť verziu príkazového riadku Wireshark? Prečo používať Wireshark? s jeho grafickým rozhraním, musí byť jednoduchšie používať a učiť sa? Hlavným dôvodom je to, že by ste ho mohli používať na serveri iného ako GUI.

6. Network Miner

Network Miner je skôr forenzným nástrojom ako skutočným sniférom paketov. Network Miner bude sledovať tok TCP a rekonštruovať celú konverzáciu. Je to skutočne jeden mocný nástroj. Môže fungovať v režime offline, v ktorom by ste importovali nejaký súbor na zachytenie, aby program Network Miner umožnil jeho kúzlo. Toto je užitočná funkcia, pretože softvér sa spúšťa iba v systéme Windows. V systéme Linux by ste mohli použiť tcpdump na zachytenie určitej premávky a program Network Miner v systéme Windows na jeho analýzu.

Network Miner je k dispozícii v bezplatnej verzii, ale pre pokročilejšie funkcie, ako je geolokácia a skriptovanie založená na IP, musíte si kúpiť licenciu Profesional. Ďalšou rozšírenou funkciou profesionálnej verzie je možnosť dekódovania a prehrávania hovorov VoIP.

7. Šumař (HTTP)

Niektorí z našich skúsenejších čitateľov môžu tvrdiť, že Fiddler nie je identifikátor paketov ani sieťový analyzátor. Pravdepodobne majú pravdu, ale mysleli sme si, že by sme tento nástroj mali zahrnúť do nášho zoznamu, pretože je v mnohých situáciách veľmi užitočný. huslista skutočne zachytí premávku, ale nie žiadnu. Funguje to iba s prenosom HTTTP. Môžete si predstaviť, aké cenné to môže byť napriek jeho obmedzeniu, keď si uvedomíte, že toľko aplikácií dnes je založených na webe alebo na pozadí používajú protokol HTTP. A pretože nástroj Fiddler zachytí nielen prenos z prehliadača, ale aj o HTTP, je veľmi užitočný pri riešení problémov

Výhodou nástroja, ako je Fiddler, v porovnaní so snímačom v dobrej viere, ako je napríklad Wireshark, je, že Fiddler bol vytvorený na „porozumenie“ prenosu HTTP. Napríklad objaví cookies a certifikáty. Nájdete tiež aktuálne údaje pochádzajúce z aplikácií založených na HTTP. Fiddler je zadarmo a je k dispozícii iba pre Windows, aj keď si môžete stiahnuť beta verzie pre OS X a Linux (pomocou rámca Mono).

záver

Keď zverejňujeme podobné zoznamy, často sa nás pýtame, ktorý z nich je najlepší. Keby som bol v tejto konkrétnej situácii požiadaný o túto otázku, musel by som odpovedať „všetkým z nich“. Všetky sú bezplatné nástroje a všetky majú svoju hodnotu. Prečo ich nemáte všetky po ruke a zoznámte sa s každým z nich. Keď sa dostanete do situácie, keď ich potrebujete použiť, bude to oveľa jednoduchšie a efektívnejšie. Dokonca aj nástroje príkazového riadku majú obrovskú hodnotu. Napríklad môžu byť skriptované a naplánované. Predstavte si, že máte problém, ktorý sa stane každý deň o 2:00. Úlohu by ste mohli naplánovať tak, aby spustili program tcpdump of Windump medzi 1:50 a 2:10 a analyzovali súbor na snímanie nasledujúce ráno. Nie je potrebné zostať hore celú noc.