6 najboljših možnosti žic za lov na pakete

Wireshark, ki je bil prej znan kot Eterična, obstaja že 20 let. Če ne najboljše, je zagotovo najbolj priljubljeno orodje za njuhanje omrežja. Kadar koli se pojavi potreba po analizi paketov, je to pogosto orodje za večino skrbnikov. Vendar pa tako dobro kot Wireshark lahko je, na voljo je veliko drugih možnosti. Nekateri se morda sprašujete, kaj je narobe Wireshark to bi upravičilo njegovo nadomestitev. Če sem popolnoma iskren, ni nič narobe Wireshark in če ste že vesel uporabnik, ne vidim razloga, da bi ga morali spremeniti. Po drugi strani pa je morda dobro, da pred nakupom rešitve pogledate, kaj je na voljo. Da bi vam pomagali, smo sestavili ta seznam nekaterih najboljših Wireshark alternative.

Raziskovanje bomo začeli s ogledom Wireshark. Konec koncev, če želimo predlagati alternative, bomo izdelek vsaj malce spoznali. Nato bomo na kratko razpravljali o tem, kaj so paketni sniffers - ali omrežni analizatorji, kot jih pogosto imenujemo -. Ker so paketni sniffers lahko razmeroma zapleteni, bomo potem nekaj časa razpravljali, kako jih uporabiti. To nikakor ni popolna vadnica, vendar vam mora dati dovolj osnovnih informacij, da boste bolje ocenili prihajajoče ocene izdelkov. Če govorimo o pregledih izdelkov, bo to naslednje. Ugotovili smo več izdelkov zelo različnih vrst, ki bi lahko bili dobra alternativa Wiresharku in predstavili bomo najboljše lastnosti vsakega od njih.

O Wiresharku

Prej Wireshark, trg je imel v bistvu en paketni vohljač, ki so ga imenovali Sniffer. Bil je odličen izdelek, ki je utrpel eno pomembno pomanjkljivost, njegovo ceno. V poznih 90. letih je izdelek znašal približno 1500 ameriških dolarjev, kar je več, kot so si mnogi lahko privoščili. To je spodbudilo razvoj Eterična kot brezplačni in odprtokodni paketni sniffer diplomant UMKC imenovan Gerald Combs ki je še vedno glavni vzdrževalec Wireshark dvajset let pozneje. Govorite o resni zavezanosti.

Danes je dr. Wireshark je postala referenca v paketnih vohljajih. Je standard de facto in večina drugih orodij ga ponavadi posnema. Wireshark v bistvu počne dve stvari. Najprej zajame ves promet, ki ga vidi na svojem vmesniku. Vendar se na tem ne ustavi, izdelek ima tudi precej močne analize. Zmogljivosti analize orodja so tako dobre, da uporabniki niso redki, da uporabljajo druga orodja za zajem paketov in analizo uporabljajo Wireshark. To je tako pogost način uporabe Wireshark da boste ob zagonu morali odpreti obstoječo zajemno datoteko ali začeti zajemati promet. Še ena moč Wireshark so vsi filtri, ki jih vsebuje, ki omogočajo natančno določitev podatkov, ki vas zanimajo.

O orodjih za mrežno analizo

Čeprav je bila zadeva že nekaj časa odprta za razpravo, bomo v tem članku domnevali, da sta izraza "paketni sniffer" in "network analizator" eno in isto. Nekateri bodo trdili, da gre za dva različna pojma, in čeprav imata morda prav, si jih bomo ogledali skupaj, pa čeprav zaradi preprostosti. Konec koncev, čeprav lahko delujejo drugače - vendar res? - služijo podobnemu namenu.

Packet Sniffers v bistvu počnejo tri stvari. Najprej zajamejo vse podatkovne pakete, ko vstopajo v omrežni vmesnik ali izstopijo iz njega. Drugič, po izbiri uporabljajo filtre, da ignorirajo nekatere pakete in druge shranijo na disk. Nato opravijo neko obliko analize zajetih podatkov. V tej zadnji funkciji je največ razlik med izdelki.

Večina ostrostrelcev paketov se zanaša na zunanji modul za dejanski zajem podatkovnih paketov. Najpogostejša sta libpcap v sistemih Unix / Linux in Winpcap v sistemu Windows. Običajno vam teh orodij ne bo treba namestiti, saj jih ponavadi namestijo namestitveni program za nameščanje paketov.

Pomembno je vedeti tudi to, da tako dobri in koristni Packet Sniffers ne bodo storili vse za vas. So samo orodje. Lahko si jih omislite kot kladivo, ki preprosto ne bo pripeljalo nohta sam. Poskrbeti morate, da se boste naučili, kako najbolje uporabiti vsako orodje. Snaffer za paket vam bo omogočil analizo prometa, ki ga zajame, vendar morate zagotoviti, da zajame prave podatke in jih uporabite v svojo korist. O uporabi orodij za zajem paketov je bilo napisanih celih knjig. Enkrat sem opravil tridnevni tečaj na to temo.

Uporaba Packet Snifferja

Kot smo že omenili, bo paketni sniffer zajel in analiziral promet. Če torej poskušate odpraviti določeno težavo - tipično uporabo takega orodja, morate najprej preveriti, ali je promet, ki ga zajemate, pravi promet. Predstavljajte si primer, ko se vsak uporabnik določene aplikacije pritožuje, da gre počasi. V takšnih razmerah bi bilo verjetno najbolje zajeti promet na omrežnem vmesniku aplikacijskega strežnika, saj se zdi, da je prizadet vsak uporabnik. Takrat boste morda ugotovili, da zahteve prispejo na strežnik običajno, vendar da strežnik potrebuje dolgo časa, da pošlje odgovore. To bi pomenilo zamudo strežnika in ne težave z mreženjem.

Po drugi strani pa, če vidite, da se strežnik pravočasno odziva na zahteve, lahko to pomeni, da je težava nekje v omrežju med odjemalcem in strežnikom. Nato boste paketno sniffer premaknili za en skok bližje odjemalcu in videli, ali se odzivi zamujajo. Če ne, bi se bolj približali odjemalcu in tako naprej. Sčasoma boste prišli do kraja, kjer pride do zamud. Ko enkrat ugotovite lokacijo težave, ste en velik korak bližje njenemu reševanju.

Poglejmo, kako lahko uspemo zajeti pakete na določeni točki omrežja. Eden preprostih načinov za dosego tega cilja je izkoristiti funkcijo večine omrežnih stikal, ki se imenuje zrcaljenje ali podvajanje. Ta možnost konfiguracije bo posnela ves promet v določenem stikalnem pristanišču in iz njega na drugo vrata na istem stikalu. Na primer, če je vaš strežnik priključen na vrata 15 stikala in je na voljo vrata 23 istega stikala. Njuškalo paketov povežete s pristaniščem 23 in konfigurirate stikalo tako, da posname ves promet do in od vrat 15 do vrat 23.

Najboljše možnosti Wireshark

Zdaj, ko bolje razumete, kaj Wireshark in drugi snifferji paketov in mrežni analizatorji, poglejmo, kakšni so alternativni izdelki. Naš seznam vključuje mešanico orodij ukazne vrstice in GUI ter orodij, ki se izvajajo v različnih operacijskih sistemih.

SolarWinds je znana po svojih najsodobnejših orodjih za upravljanje omrežij. Podjetje obstaja že približno 20 let in prineslo nam je več odličnih orodij. Njegov vodilni izdelek imenovan the Monitor zmogljivosti SolarWinds večina prepozna kot eno najboljših orodij za nadzor pasovne širine. SolarWinds je znan tudi po tem, da je pripravil peščico odličnih brezplačnih orodij, pri čemer vsako obravnava specifične potrebe omrežnih skrbnikov. Dva primera teh orodij sta SolarWinds TFTP strežnik in Napredni kalkulator podomrežja.

Kot možna alternativa Wireshark- in morda najboljša alternativa, saj gre za tako drugačno orodje -SolarWinds predlaga Orodje za globinsko pregledovanje in analiziranje paketov. Prihaja kot sestavni del Monitor zmogljivosti SolarWinds. Njegovo delovanje se precej razlikuje od bolj "tradicionalnih" paketnih snifferjev, čeprav služi podobnemu namenu.

• Brezplačen preizkus: Monitor zmogljivosti SolarWinds
• Uradna povezava za prenos: https://www.solarwinds.com/network-performance-monitor/registration

The Orodje za globinsko pregledovanje in analiziranje paketov niti ni ostrostrelitelj paketov niti mrežni analizator, vendar vam bo pomagal najti in odpraviti vzrok omrežja latencije, prepoznajte prizadene aplikacije in ugotovite, ali počasnost povzroča omrežje ali an prijava. Ker služi podobnemu namenu kot Wireshark, smo se počutili zasluženo na tem seznamu. Orodje bo uporabljalo tehnike pregleda globinskih paketov za izračun odzivnega časa za več kot dvanajst sto aplikacij. Prav tako bo razvrstil omrežni promet po kategorijah (npr. poslovanje vs. socialno) in stopnjo tveganja. To lahko pomaga prepoznati nepridobitni promet, ki bi lahko bil od njega filtriran ali nekako nadzorovan ali odstranjen.

The Orodje za globinsko pregledovanje in analiziranje paketov je sestavni del Omrežni nadzor performacije ali NPM kot se pogosto imenuje, kar je samo po sebi impresiven del programske opreme s toliko komponentami, da bi o tem lahko napisali cel članek. Je celovita rešitev za nadzor omrežja, ki združuje nekatere najboljše tehnologije, kot je SNMP in globok pregled paketov, da bi zagotovili čim več informacij o stanju vašega omrežja mogoče.

Cene za Monitor zmogljivosti SolarWinds ki vključuje Orodje za globinsko pregledovanje in analiziranje paketov začeti pri $ 2 955 za do 100 nadzorovanih elementov in narašča glede na število spremljanih elementov. Orodje na voljo 30-dnevno brezplačno preskusno obdobje tako se lahko prepričate, ali res ustreza vašim potrebam, preden se obvezujete, da jih boste kupili.

2. tcpdump

Tcpdump je verjetno NAJVIŠJI paketni vohljač. Nastala je leta 1987. To je že več kot deset let Wireshark in še pred Snifferjem. Od začetne izdaje je orodje vzdrževano in izboljšano, vendar v bistvu ostane nespremenjeno. Način uporabe orodja se med razvojem ni kaj dosti spremenil. Na voljo je za namestitev v skoraj vseh operacijskih sistemih, ki so podobni Unixu, in je postal standard dejansko za hitro orodje za zajem paketov. Kot večina podobnih izdelkov na * nix platformah, tcpdump uporablja knjižnico libpcap za dejansko zajemanje paketov.

Privzeto delovanje tcpdump je razmeroma preprosto. Zajema ves promet na določenem vmesniku in ga "odloži" - od tod njegovo ime - na zaslon. Ker je standardno * nix orodje, lahko izhod iz pipe pošljete v zajemno datoteko, ki jo boste pozneje analizirali z uporabo orodja za analizo, ki ga izberete. Pravzaprav ni redko, da uporabniki zajamejo promet s tcpdumpom za kasnejšo analizo v Wiresharku. Eden od ključev do tcpdumpMoč in uporabnost je možnost, da za nadaljnje filtriranje uporabimo filtre in / ali prestavimo svoj izhod na grep - še en pogost * nix pripomoček ukazne vrstice. Nekdo, ki obvlada tcpdump, grep in ukazno lupino, lahko dobi natančno pravi promet za katero koli opravilo za odpravljanje napak.

3. Windump

Na kratko, Windump je pristanišče tcpdump na platformo Windows. Kot tak se obnaša v bistvu enako. To pomeni, da velik del funkcionalnosti tcpdump prinaša računalnikom s sistemom Windows. Windump je morda aplikacija za Windows, vendar ne pričakujte domišljijskega vmesnika. Res je tcpdump v operacijskem sistemu Windows in je kot tak pripomoček samo v ukazni vrstici.

Uporaba Windump je v osnovi enako kot uporaba * nix kolega. Možnosti ukazne vrstice so približno enake, rezultati pa so skoraj enaki. Tako kot tcpdump, izhod iz Windump lahko shranite tudi v datoteko za kasnejšo analizo z zunanjim orodjem. Vendar grep običajno ni na voljo v računalniku Windows, kar omejuje filtrirne sposobnosti orodja.

Druga pomembna razlika med tcpdump in Windump je tisto, kar je na voljo v skladišču paketov operacijskega sistema. Programsko opremo boste morali prenesti s spletnega mesta Windump Spletna stran. Dobavlja se kot izvedljiva datoteka in ne potrebuje namestitve. Kot tak je prenosno orodje, ki ga je mogoče zagnati s ključa USB. Vendar pa tako kot tcpdump uporablja knjižnico libpcap, Windump uporablja Winpcap, ki ga je treba posebej prenesti in namestiti.

4. Tshark

Lahko si mislite Tshark kot križanje med tcpdump in Wireshark v resnici pa je bolj ali manj različica ukazne vrstice Wireshark. Izhaja iz istega razvijalca kot Wireshark. Tshark ima podobnost tcpdump, saj je orodje samo v ukazni vrstici. Je pa tudi všeč Wireshark saj ne bo zajel le prometa. Ima tudi enake zmogljivosti analize kot Wireshark in uporablja isto vrsto filtriranja. Zato lahko hitro izolirate točen promet, ki ga morate analizirati.

Tshark vendar postavlja eno vprašanje. Zakaj bi kdo hotel različico ukazne vrstice Wireshark? Zakaj ne bi le uporabili Wireshark? Večina skrbnikov - pravzaprav večina ljudi - bi se strinjala, da so orodja z grafičnimi uporabniškimi vmesniki na splošno pogosto lažja za uporabo in učenje ter bolj intuitivna in uporabniku prijazna. Navsezadnje niso zato grafični operacijski sistemi postali tako priljubljeni? Glavni razlog, zakaj bi kdo izbral Tshark čez Wireshark je takrat, ko želijo hitro posneti neposredno na strežniku zaradi odpravljanja težav. Če sumite na težavo z zmogljivostjo strežnika, boste morda želeli uporabiti orodje, ki ni GUI, saj lahko manj obdavčite vire.

5. Omrežni rudar

Omrežni rudar je bolj forenzično orodje kot sniffer paketov ali mrežni analizator. To orodje bo sledilo toku TCP in lahko rekonstruira celoten pogovor. Resnično močno orodje za poglobljeno analizo prometa, čeprav je težko obvladati. Orodje lahko deluje v načinu brez povezave, kamor bi uvozilo zajemno datoteko - morda ustvarjeno z uporabo katerega koli drugega pregledanega orodja - in pusti Omrežni rudar dela svoje čarovnije. Glede na to, da programska oprema deluje samo v operacijskem sistemu Windows, je možnost dela iz datotek za zajem zagotovo še plus. Lahko na primer uporabite tcpdump v Linuxu, da zajamete nekaj prometa in Network Miner v sistemu Windows za njegovo analizo.

Omrežni rudar je na voljo v brezplačni različici, vendar boste za naprednejše funkcije, kot sta geolokacija in skript na podlagi naslova IP, morali kupiti licenco Professional, ki vas bo stala 900 USD. Druga napredna funkcija profesionalne različice je možnost dekodiranja in predvajanja VoIP klicev.

6. Fiddler

Nekateri naši bralci - zlasti tisti, ki bolj poznajo - bodo to poskušali trditi Fiddler, naš zadnji vnos, ni ostrostrelitelj paketov niti mrežni analizator. Iskreno povedano, morda imajo prav, vendar kljub temu menimo, da bi morali to orodje vključiti na naš seznam, saj je lahko zelo uporaben v več različnih situacijah.

Prvo in najpomembneje, stvari postavimo naravnost, Fiddler bo dejansko zajel promet. Vendar ne bo zajel le prometa. Delal bo le s HTTP prometom. Kljub tej omejitvi, če menite, da danes toliko aplikacij temelji na spletu ali uporabljajo HTTP protokol v ozadju, je enostavno videti, kako dragoceno je to orodje. In ker orodje ne bo pritegnilo samo prometa brskalnika, temveč tudi skoraj kateri koli HTTP, je lahko zelo koristno pri odpravljanju težav z različnimi vrstami aplikacij.

Glavna prednost orodja, kot je Fiddler nad "resničnim" paketnim ostrostrelcem, kot je Wireshark, je to, da je bil izdelan za "razumevanje" prometa HTTP. Na primer, odkril bo piškotke in potrdila. Prav tako bodo našli dejanske podatke, ki prihajajo iz aplikacij, ki temeljijo na HTTP. Fiddler je brezplačna in je na voljo samo za Windows. Vendar pa je mogoče prenesti različice beta za OS X in Linux (z uporabo okvirja Mono).