11 nejlepších snifferů paketů v roce 2022
Čmuchání paketůje hovorový termín, který odkazuje na umění analýzy síťového provozu.
Existuje mnoho výkonných nástrojů, které shromažďují aktivitu síťového provozu a většina z nich je používápcap(systémy podobné Unixu) popřlibcap(systémy Windows) v jejich jádru provést skutečný sběr.
Software pro sledování paketů je navržen tak, aby pomohl analyzovat tyto shromážděné pakety, protože i malé množství dat může vést k tisícům paketů, ve kterých může být obtížné se orientovat.
Následující analyzátory paketů jsme seřadili podle následujících obecných hledisek: užitečné funkce, spolehlivost, snadnost instalace, integrace, použití, množství nabízené pomoci a podpory, jak dobře je software aktualizován a udržován a jak renomovaní jsou vývojáři v průmysl.
Zde je náš seznam nejlepších snifferů paketů:
- Nástroj pro hloubkovou kontrolu a analýzu paketů SolarWinds VÝBĚR REDAKCEPoskytuje podrobné informace o tom, co způsobuje zpomalení sítě, a používá hloubkovou kontrolu paketů, která vám umožní vyřešit hlavní příčiny. Provoz můžete identifikovat podle aplikace, kategorie a úrovně rizika a eliminovat a filtrovat problémový provoz. Díky skvělému uživatelskému rozhraní je tento vynikající software pro čichání paketů ideální pro analýzu sítě. Stáhněte si 30denní bezplatnou zkušební verzi.
- ManageEngine NetFlow Analyzer Nástroj pro analýzu návštěvnosti, který pracuje s NetFlow, J-Flow, sFlow Netstream, IPFIX a AppFlow
- Paessler Packet Capture ToolSniffer paketů, senzor NetFlow, senzor sFlow a senzor J-Flow zabudovaný do Paessler PRTG.
- Omnipeek Network Protocol Analyzer Monitor sítě, který lze rozšířit o zachycování paketů.
- tcpdumpZákladní bezplatný nástroj pro zachytávání paketů, který potřebuje každý správce sítě ve své sadě nástrojů.
- WindumpBezplatný klon tcpdump napsaný pro systémy Windows.
- WiresharkZnámý bezplatný nástroj pro zachytávání paketů a analýzu dat.
- žralokLehká odpověď pro ty, kteří chtějí funkčnost Wireshark, ale tenký profil tcpdump.
- NetworkMinerSíťový analyzátor založený na systému Windows s bezplatnou verzí.
- HouslistaNástroj pro zachytávání paketů, který se zaměřuje na provoz HTTP.
- CapsaBezplatný nástroj pro zachytávání paketů, napsaný pro Windows, lze upgradovat za poplatek a přidat analytické funkce.
Výhody sniffování paketů
Sniffer paketů je užitečný nástroj, který vám umožní implementovat politiku kapacity sítě vaší společnosti. Hlavní výhody jsou, že:
- Identifikujte přetížené odkazy
- Identifikujte aplikace, které generují největší provoz
- Sbírejte data pro prediktivní analýzu
- Zvýrazněte špičky a poklesy v poptávce po síti
Akce, které podniknete, závisí na vašem dostupném rozpočtu. Pokud máte prostředky na rozšíření kapacity sítě, paketový sniffer vám umožní efektivněji zacílit nové zdroje. Pokud nemáte žádný rozpočet, paketové čichání vám pomůže utvářet provoz prostřednictvím upřednostňování provozu aplikací, změny velikosti podsítí, přeplánování událostí s velkým provozem, omezení šířky pásma pro konkrétní aplikace nebo nahrazení aplikací efektivnějšími alternativami.
Promiskuitní režim
Při instalaci softwaru pro sledování paketů je důležité porozumět tomu, jak síťová karta ve vašem počítači funguje. Rozhraní z vašeho počítače do sítě se nazývá „řadič síťového rozhraní“ nebo NIC. Vaše NIC bude přijímat pouze internetový provoz, který je adresován na jeho MAC adresu.
Chcete-li zachytit obecný provoz, musíte vložit NIC do „promiskuitní režim“. Tím se odstraní limit naslouchání na NIC. V promiskuitním režimu bude vaše NIC přijímat veškerý síťový provoz. Většina snifferů paketů má v uživatelském rozhraní nástroj, který spravuje přepínání režimu za vás.
Typy síťového provozu
Analýza síťového provozu vyžaduje pochopení toho, jak funguje síť. Neexistuje žádný nástroj, který by magicky odstranil požadavek, aby analytik porozuměl základům sítě, jako je třícestný handshake TCP, který se používá k zahájení spojení mezi dvěma zařízeními. Analytici by také měli mít určité znalosti o typech síťového provozu, který existuje v normálně fungující síti, jako je provoz ARP a DHCP. Tyto znalosti jsou nezbytné, protože nástroje pro analýzu vám pouze ukážou, o co žádáte – je na vás, abyste věděli, o co žádat. Pokud si nejste jisti, jak vaše síť vypadá normálně, může být těžké zajistit, že v množství paketů, které jste shromáždili, hledáte správnou věc.
Podnikové nástroje
Začněme od začátku a propracujme se k úplným základům. Pokud máte co do činění se sítí na podnikové úrovni, budete potřebovat velké zbraně. Zatímco téměř vše používá tcpdump ve svém jádru (o tom později), nástroje na podnikové úrovni mohou poskytovat další analytické funkce, jako je korelace provozu z mnoha serverů, poskytování inteligentních dotazovacích nástrojů k odhalení problémů, upozorňování na výjimečné případy a vytváření pěkných grafů, které požadavky na řízení.
Nástroje na podnikové úrovni se zaměřují spíše na tok síťového provozu než na posuzování obsahu paketů. Tím chci říct, že většina systémových administrátorů v podniku se soustředí na udržení sítě v provozu bez omezení výkonu. Když nastanou úzká místa, cílem je obvykle určit, zda je problémem síť nebo aplikace v síti. Na druhé straně mince jsou tyto nástroje na podnikové úrovni obvykle schopny vidět tolik provozu, že mohou pomoci předvídat, kdy se segment sítě nasytí, což je kritický prvek řízení kapacity.
Hackerské nástroje
Sniffery paketů využívají i hackeři. Uvědomte si, že tyto nástroje lze použít k napadení vaší sítě i k řešení problémů. Sniffery paketů lze použít jakoodposlechypomoci ukrást data při přenosu a mohou také přispět k „muž uprostřed” útoky, které mění data při přenosu a odklánějí provoz s cílem podvést uživatele v síti. Investovat do detekce narušení systémy k ochraně vaší sítě před těmito formami neoprávněného přístupu
Jak fungují paketové sniffery a síťové analyzátory?
Theklíčovou vlastností paketového snifferu je to, že kopíruje data při jejich cestování po síti a zpřístupňuje je pro prohlížení. Sniffovací zařízení jednoduše zkopíruje všechna data, která vidí procházet sítí. Je-li implementováno na přepínači, umožňuje nastavení zařízení odeslání procházejícího paketu na druhý port a také do zamýšleného cíle, čímž se duplikuje provoz. Obvykle se pakety dat, které jsou získávány ze sítě, zkopírují do souboru. Některé nástroje také zobrazí tato data na řídicím panelu. Nicméně,sniffery paketů mohou shromáždit velké množství dat, která zahrnují zakódované informace o správci. budete musetnajít analytický nástroj, který vám může pomoci s dereferencováním informacío cestě paketů ve výpisu a další informace, jako je relevance čísel portů, mezi kterými pakety cestují.
Přímý sniffer paketů zkopíruje všechny pakety putující po síti.To může být problém. Pokud t případů, obsah paketu není potřeba pro analýzu výkonu sítě. Pokud chcete sledovat využití sítě po dobu 24 hodin nebo během několika dní, pak uložení každého paketu zabere velmi velké množství místa na disku – i když přijímáte pouze hlavičky paketů. V těchto scénářích je vhodné vzorkovat pakety, což znamená kopírovat každý 10. nebo 20. paket spíše než kopírovat každý jednotlivý.
Nejlepší sniffery paketů
Nástroje, které jsem uvedl v tomto článku, mohou používat zkušení správci sítí, kteří již vědí, co hledají, ale nejsou si jisti, které nástroje jsou nejlepší. Mohou je také použít mladší systémoví správci, aby získali zkušenosti s tím, jak moderní sítě vypadají během každodenního provozu, což později pomůže identifikovat problémy se sítí.
Naše metodika pro výběr paketového snifferu
Přezkoumali jsme trh se sniffery paketů a analyzovali možnosti na základě následujících kritérií:
- Schopnost číst hlavičky paketů a identifikovat zdrojové a cílové adresy
- Analyzátor protokolů, který dokáže kategorizovat provoz podle aplikací
- Možnost zachytit všechny pakety nebo vzorkovat každý n-tý paket
- Schopnost komunikovat s přepínači a směrovači prostřednictvím NetFlow a dalších jazyků protokolu analýzy provozu
- Nástroje pro plánování kapacit a provoz
- Bezplatná zkušební doba nebo záruka vrácení peněz pro hodnocení bez rizika
- Bezplatný nástroj, který se vyplatí nainstalovat, nebo placený nástroj, který stojí za to
Téměř všechny tyto nástroje se shromažďují stejným způsobem; je to analýza, která je odlišuje.
1. Nástroj SolarWinds Deep Packet Inspection and Analysis (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
SolarWindsje komplexní sada nástrojů pro správu IT. Nástroj, který je pro tento článek relevantnější, jeNástroj pro hloubkovou kontrolu a analýzu paketů.
Klíčové vlastnosti:
- Kategorizuje síťový provoz
- Analyzátor zásobníku protokolů
- Živé sledování
- Podporuje tvarování dopravy
- 30denní bezplatná zkušební verze
Shromažďování aktivity síťového provozu je relativně jednoduché. S použitím nástrojů, jako je WireShark, není ani základní analýza na úrovni show stoper. Ale ne všechny situace jsou tak ořezané a vysušené. V rušné síti může být těžké určit i některé základní věci, jako jsou:
- Jaká aplikace v místní síti vytváří tento provoz?
- Pokud je aplikace známá (řekněme webový prohlížeč), kde lidé tráví většinu času?
- Která připojení trvají nejdéle a zatěžují síť?
Většina síťových zařízení používá pouze metadata každého paketu, aby zajistila, že se paket dostane tam, kam směřuje. Obsah paketu je síťovému zařízení neznámý. Deep Packet Inspection je jiný; to znamená, že je zkontrolován skutečný obsah paketu, aby se o něm dozvěděli více.
Tímto způsobem lze zjistit kritické síťové informace, které nelze získat z metadat. Nástroje, jako jsou ty, které poskytuje SolarWinds, mohou poskytovat smysluplnější data než jen tok provozu.
Další techniky pro správu velkoobjemových sítí zahrnují NetFlow a sFlow. Každý má své silné a slabé stránky a můžete si o něm přečíst více Techniky NetFlow a sFlow zde .
Síťová analýza je obecně pokročilé téma, které je napůl zkušenost a napůl školení. Je možné někoho vyškolit, aby porozuměl všem detailům síťových paketů. Pokud však tato osoba také nezná cílovou síť a nemá nějaké zkušenosti s identifikací anomálií, nedostanou se příliš daleko.
Klady:
- Nabízí kombinaci funkcí DPI a analýzy, díky čemuž je to skvělá možnost vše v jednom pro podrobné řešení problémů a bezpečnostní audity.
- Sada byla vytvořena pro podniky a nabízí robustní sběr dat a různé možnosti vizualizace a vyhledávání shromážděných dat
- Podporuje sběr NetFlow i sFlow, což mu dává větší flexibilitu pro sítě s větším objemem
- Barevné kódování a další vizuální vodítka pomáhají správcům rychle najít problémy před hloubkovou analýzou
Nevýhody:
- Velmi pokročilý nástroj, vytvořený s ohledem na síťové profesionály, není ideální pro domácí uživatele nebo fandy
VÝBĚR REDAKCE
Režim SolarWinds Network Performance Monitor poskytuje podrobné informace o tom, co způsobuje zpomalení sítě, a umožňuje rychle vyřešit hlavní příčiny pomocí hloubkové kontroly paketů. Identifikací provozu podle aplikace, kategorie (obchodní vs. sociální) a úrovně rizika můžete eliminovat a filtrovat problémový provoz a měřit dobu odezvy aplikace. Díky skvělému uživatelskému rozhraní je tento vynikající software pro čichání paketů ideální pro analýzu sítě.
Získejte 30denní bezplatnou zkušební verzi:www.solarwinds.com/topics/deep-packet-inspection/
VY:Microsoft Windows Server 2016 a 2019
2. Paessler Packet Capture Tool (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
Paessler Packet-Capture-Tool PRTG: All-In-One-Monitoring je jednotný nástroj pro monitorování infrastruktury. Pomáhá vám spravovat vaši síť a vaše servery. Segment monitorování sítě obslužného programu pokrývá dva typy úkolů. Jedná se o monitor výkonu sítě, který zkoumá stavy síťových zařízení a analyzátor šířky pásma sítě, který pokrývá tok provozu přes linky v síti.
Klíčové vlastnosti:
- Čtyři senzory pro zachycení paketů
- Živé grafy návštěvnosti
- Odstraňování problémů s výkonem
- Dopravní upozornění
Část PRTG s analýzou šířky pásma je implementována pomocí čtyř různých nástrojů pro zachycení paketů. Tyto jsou:
- Čichač paketů
- Snímač NetFlow
- Snímač sFlow
- J-Flow senzor
Sniffer paketů PRTG zachycuje pouze hlavičky paketů putujících vaší sítí. To dává analyzátoru paketů výhodu rychlosti a také to snižuje množství úložného prostoru potřebného k uložení zachycených souborů. Řídicí panel snifferu paketů kategorizuje provoz podle typu aplikace. Patří mezi ně e-mailový provoz, webové pakety, data o provozu chatovací aplikace a objemy paketů přenosu souborů.
NetFlow je velmi široce používaný systém zasílání zpráv o toku dat. Byl vytvořen společností Cisco Systems, ale používá se i pro zařízení jiných výrobců. Snímač PRTG NetFlow také zachycuje zprávy IPFIX – tento standard zasílání zpráv je an IETF -sponzorovaný nástupce NetFlow. Metoda J-Flow je podobný systém zasílání zpráv, který používá Juniper Networks pro své zařízení. Standard sFlow vzorkuje toky provozu, takže bude shromažďovat každý n-tý paket. NetFlow i J-Flow zachycují kontinuální toky paketů.
Paessler oceňuje svůj software PRTG podle počtu „senzorů“, které implementace aktivuje. Senzor je stav systému nebo hardwarová součást. Například každý ze čtyř snifferů paketů nabízených společností Paessler se počítá jako jeden snímač PRTG. Systém je zdarma k použití, pokud aktivujete 100 nebo méně senzorů, takže pokud tento balíček používáte pouze pro jeho rozhraní pro čichání paketů, nebudete muset Paesslerovi nic platit.
Klady:
- Navrženo jako nástroj pro monitorování infrastruktury, který podporuje více typů senzorů, jako je NetFlow, sFlow a J-Flow
- Poskytuje uživatelům možnost přizpůsobit senzory na základě typu aplikace nebo serveru, který testují
- Zachycuje pouze hlavičky paketů, pomáhá urychlit analýzu a udržovat nízké náklady na úložiště pro dlouhodobé shromažďování
- Pro vizualizaci provozu používá jednoduché, ale intuitivní grafy
Nevýhody:
- Velmi podrobná platforma – učení a plné využití všech dostupných funkcí vyžaduje čas
Systém Paessler obsahuje mnoho dalších možností monitorování sítě a serverů, včetně virtualizačního monitoru a aplikačního monitoru. PRTG lze nainstalovat lokálně nebo k němu můžete přistupovat jako ke cloudové službě. Software běží v prostředí Windows a můžete jej získat na30denní bezplatná zkušební verze.
Paessler Packet Capture Tool PRTG Stáhněte si 30denní zkušební verzi ZDARMA
3. ManageEngine NetFlow Analyzer
TheManageEngine NetFlow Analyzerpřebírá dopravní informace z vašich síťových zařízení. Pomocí tohoto nástroje můžete vzorkovat provoz, zachycovat celé streamy nebo shromažďovat statistiky o vzorcích provozu.
Klíčové vlastnosti:
- Na bázi SNMP
- Formování dopravy
- NetFlow, IPFIX, sFlow, J-Flow, NetStream, AppFlow
Výrobci síťových zařízení nepoužívají pro komunikaci dat o provozu stejný protokol. NetFlow Analyzer je tedy schopen používat různé jazyky ke shromažďování informací. Tyto zahrnují Cisco NetFlow , J-Flow společnosti Juniper Networks , a Huawei Netstream . Je také schopen komunikovat s sFlow , IPFIX , a AppFlow standardy.
Monitor je schopen sledovat konzistenci datových toků i zatížení každého síťového zařízení. Možnosti analýzy provozu vám to umožní viz balíčky jak procházejí zařízením a zachycují je do souboru. Tato viditelnost vám umožní vidět, které síťové aplikace žvýkají většinu vaší šířky pásma, a přijímat rozhodnutí o opatřeních pro tvarování provozu, jako je řazení priorit do fronty nebo omezení.
Palubní deska systému je vybavena barevně odlišenou grafikou, která vám velmi usnadňuje rozpoznání problémů. Atraktivní vzhled a ovládání konzole se pojí s ostatními nástroji pro monitorování infrastruktury ManageEngine, protože všechny byly postaveny na společné platformě. Díky tomu se integruje s několika produkty ManageEngine. Například je velmi běžné, že správci sítě kupují obojíNa manažeraa NetFlow Analyzer od Manage Engine.
OpManager monitoruje stavy zařízení pomocí SNMP procedury, které NetFlow Analyzer zaměřuje na úrovně provozu a vzory toku paketů.
ManageEngine NetFlow Analyzer se nainstaluje na Okna , Windows Server , a RHEL , CentOS , Fedora , Debian , SUSE , a Ubuntu Linux . Systém je nabízen ve dvou edicích.
Edice Essential vám poskytuje standardní funkce pro monitorování síťového provozu a modul pro vytváření sestav a účtování. Vyšší plán se nazývá Enterprise Edition. To má všechny funkce Essential Edition plus N.B.A.R & CBQoS monitorování, pokročilý modul bezpečnostní analýzy, nástroje pro plánování kapacity a možnosti hloubkové kontroly paketů. Tato edice také obsahuje IP SLA a WLC sledování.
Klady:
- Vynikající uživatelské rozhraní, snadná navigace a zůstává přehledné i při použití ve velkých sítích
- Podporuje více síťových technologií, jako je Cisco Netflow, Juniper Networks J-Flow a Huawei Netstream, díky čemuž je řešením, které není vhodné pro hardware.
- Předem vytvořené šablony vám umožňují okamžitě čerpat přehledy ze zachycení paketů
- Instaluje se na Windows i na různé varianty Linuxu
- Vytvořeno pro podniky a nabízí funkce sledování a monitorování SLA
Nevýhody:
- Vytvořeno pro podnikové společnosti, které zpracovávají velké množství dat, není nejvhodnější pro malé sítě LAN nebo domácí uživatele
Můžete získat kteroukoli verzi NetFlow Analyzer 30denní bezplatná zkušební verze .
4. Omnipeek Network Protocol Analyzer
LiveAction Omnipeek, dříve produkt Savvius , je analyzátor síťových protokolů, který lze použít k zachycování paketů i k vytváření protokolové analýzy síťového provozu.
Klíčové vlastnosti:
- Protokolový analyzátor
- Nástroj pro zachycení paketů
- Také pro bezdrátové sítě
Omnipeek lze rozšířit pomocí zásuvných modulů. Základní systém Omnipeek nezachycuje síťové pakety. Nicméně, přidání Capture Engine plug-in získá zachycení paketů funkce. Systém Capture Engine sbírá pakety v pevné síti; další rozšíření, tzv Wifi adaptér přidává bezdrátové možnosti a umožňuje zachycení paketů Wifi prostřednictvím Omnipeek.
Funkce základního Omnipeek Network Protocol Analyzer se rozšiřují na monitorování výkonu sítě. Kromě výpisu provozu podle protokolu bude software měřit přenosovou rychlost a pravidelnost provozu, vyvolávání výstrah pokud se provoz zpomalí nebo překročí hraniční podmínky nastavené správcem sítě.
Analyzátor provozu může sledovat end-to-end přenášet výkon v celé síti nebo pouze monitorovat každou z nich odkaz . Další funkce monitorují rozhraní, včetně příchozího provozu přicházejícího na webové servery z vnějšku sítě. Software se zajímá zejména o propustnost provozu a zobrazení provozu podle protokolu. Data lze prohlížet jako seznamy protokolů a jejich propustnost nebo jako živé grafy a tabulky. Pakety zachycené pomocí Capture Engine mohou být uloženy pro analýzu nebo přehráno přes síť testování kapacity .
Klady:
- Jednoduchá instalace, další funkce lze rozšířit pomocí zásuvných modulů
- Podporuje ethernetové a bezdrátové zachycování paketů
- Nabízí přehrávání paketů pro testování a plánování kapacity
Nevýhody:
- Rozhraní by mohlo být vylepšeno, zejména kolem části panelu nástrojů
Omnipeek se instaluje na Windows a Windows Server. Systém není k použití zdarma. Je však možné získat Omnipeek na 30denní bezplatnou zkušební verzi.
5. tcpdump
Základním nástrojem téměř veškerého sběru síťového provozu je tcpdump . Jedná se o aplikaci s otevřeným zdrojovým kódem, která se instaluje na téměř všechny operační systémy podobné Unixu. Tcpdump je vynikající nástroj pro sběr dat a je dodáván s velmi složitým filtrovacím jazykem. Je důležité vědět, jak filtrovat data v době sběru, abyste získali zvládnutelný kus dat k analýze. Zachycováním všech dat ze síťového zařízení i v mírně vytížené síti může vzniknout příliš mnoho dat pro efektivní analýzu.
Klíčové vlastnosti:
- Nástroj příkazového řádku
- Zachycování paketů
- Zdarma k použití
V některých ojedinělých případech může k nalezení toho, co hledáte, povolit tcpdump, aby vydával svůj záznam přímo na vaši obrazovku. Například při psaní tohoto článku jsem zachytil nějaký provoz a všiml jsem si, že můj počítač odesílá provoz na IP adresu, kterou jsem neznal. Ukázalo se, že můj počítač odesílal data na IP adresu Google 172.217.11.142. Protože jsem neměl spuštěné žádné produkty Google ani otevřený Gmail, nevěděl jsem, proč se to děje. Prozkoumal jsem svůj systém a našel toto:
|_+_|Zdá se, že i když Chrome neběží v popředí, zůstává spuštěný jako služba. Bez analýzy paketů, která by mě upozornila, bych si toho nezbytně nevšiml. Znovu jsem zachytil další data tcpdump, ale tentokrát jsem řekl tcpdump, aby zapsal data do souboru, který jsem otevřel ve Wiresharku (více o tom později). Tady je ten záznam:
Tcpdump je oblíbeným nástrojem mezi správci systému, protože je to nástroj příkazového řádku. To znamená, že ke spuštění nevyžaduje plnohodnotnou pracovní plochu. Je neobvyklé, že produkční servery poskytují pracovní plochu kvůli zdrojům, které by to vyžadovalo, takže jsou preferovány nástroje příkazového řádku. Stejně jako mnoho pokročilých nástrojů má tcpdump velmi bohatý a tajemný jazyk, jehož zvládnutí nějakou dobu trvá.
Klady:
- Open-source nástroj podporovaný velkou a oddanou komunitou
- Lehká aplikace – využívá CLI pro většinu příkazů
- Zcela zdarma
Nevýhody:
- Není tak uživatelsky přívětivý jako jiné možnosti
- K filtrování používá komplikovaný dotazovací jazyk
- Zachycování paketů lze číst pouze aplikacemi, které umí číst soubory pcap, nikoli uložené v souborech s prostým textem
Několik velmi základních příkazů zahrnuje výběr síťového rozhraní, ze kterého se budou shromažďovat data, a zapsání těchto dat do souboru, aby je bylo možné exportovat pro analýzu jinam. |_+_| a |_+_| k tomu slouží spínače.
|_+_|Tím se vytvoří soubor zachycení:
|_+_|Standardní soubor pro zachycení TCP je |_+_| soubor. Není to text, takže jej lze přečíst pouze analytickým programem, který ví, jak číst soubory pcap.
6. WindDump
Většina užitečných nástrojů s otevřeným zdrojovým kódem je nakonec klonována do jiných operačních systémů. Když k tomu dojde, říká se, že aplikace bylapřenesenopřes. WindDump je port tcpdump a chová se velmi podobným způsobem.
Klíčové vlastnosti:
- Tcpdump pro Windows
- Pracuje s WinPcap
- Zdarma k použití
Jedním z hlavních rozdílů mezi WinDump a tcpdump je to, že Windump potřebuje před spuštěním WinDump nainstalovanou knihovnu WinpCap. Přestože WinDump i WinpCap poskytuje stejný správce, jedná se o samostatné soubory ke stažení.
WinpCap je skutečná knihovna, kterou je třeba nainstalovat. Jakmile je však WinDump nainstalován, je soubor .exe, který nevyžaduje instalaci, takže jej lze spustit. To může být něco, co byste měli mít na paměti, pokud používáte síť Windows. Nemusíte nutně potřebovat nainstalovaný WinDump na každém počítači, protože jej můžete podle potřeby zkopírovat, ale budete chtít, aby byl WinpCap nainstalován, aby podporoval WinDump.
Stejně jako v případě tcpdump může WinDump odesílat síťová data na obrazovku pro analýzu, být filtrována stejným způsobem a také zapisovat data do souboru pcap pro analýzu mimo pracoviště.
Klady:
- Open-source nástroj, velmi podobný tcpdump, pokud jde o rozhraní a funkčnost
- Běží přes spustitelný soubor, není nutná zdlouhavá instalace
- Velká podpůrná komunita
Nevýhody:
- Není tak uživatelsky přívětivý jako jiné možnosti
- Vyžaduje nainstalovanou knihovnu WinpCap v systémech Windows
- K filtrování používá komplikovaný dotazovací jazyk
7. Wireshark
Wireshark je pravděpodobně dalším nejznámějším nástrojem v jakékoli sadě systémových administrátorů. Dokáže nejen zachytit data, ale také poskytuje některé pokročilé analytické nástroje. Wireshark je navíc open source a byl přenesen na téměř každý serverový operační systém, který existuje. Wireshark, který začíná život s názvem Ethereal, nyní běží všude, včetně jako samostatná přenosná aplikace.
Klíčové vlastnosti:
- Nezbytný nástroj pro sítě
- Jazyk dotazu
- Zdarma k použití
Pokud analyzujete provoz na serveru s nainstalovaným desktopem, Wireshark to všechno udělá za vás. Shromážděné pakety pak mohou být analyzovány na jednom místě. Stolní počítače však nejsou na serverech běžné, takže v mnoha případech budete chtít vzdáleně zachytit síťové datové pakety a poté stáhnout výsledný soubor pcap do Wireshark.
Při prvním spuštění vám Wireshark umožňuje buď načíst existující soubor pcap, nebo začít zachycovat. Pokud se rozhodnete zachytit síťový provoz, můžete volitelně zadat filtry, které sníží množství dat, které Wireshark shromažďuje. Vzhledem k tomu, že jeho analytické nástroje jsou tak dobré, je méně důležité zajistit chirurgickou identifikaci dat v době sběru pomocí Wireshark. Pokud neurčíte filtr, Wireshark jednoduše shromáždí všechna síťová data, která vaše vybrané rozhraní sleduje.
Jedním z nejužitečnějších nástrojů, který Wireshark poskytuje, je možnost sledovat aproud. Pravděpodobně nejužitečnější je představit si stream jako celou konverzaci. Na níže uvedeném snímku obrazovky vidíme, že bylo zachyceno mnoho dat, ale nejvíce mě zajímá IP adresa Google. Mohu na něj kliknout pravým tlačítkem aNásledovatTCP Stream, abyste viděli celou konverzaci.
Pokud jste zachytili provoz jinde, můžete importovat soubor pcap pomocí Wireshark'sSoubor->OTEVŘENOdialog. Pro importované soubory jsou k dispozici stejné filtry a nástroje, které lze použít pro nativně zachycená síťová data.
Klady:
- Jeden z nejpopulárnějších snifferových nástrojů, za kterým stojí masivní komunita
- Open-source projekt, který přidává nové funkce a pluginy
- Podporuje sběr a analýzu paketů ve stejném programu
Nevýhody:
- Má strmou křivku učení, určenou pro síťové profesionály
- Naučit se filtrování může chvíli trvat, ve výchozím nastavení shromažďuje vše, což může být ve velkých sítích zdrcující
8. Žralok
Žralok je šikovný kříženec mezi tcpdump a Wireshark. Tcpdump vyniká ve sběru datových paketů a dokáže velmi chirurgicky extrahovat pouze data, která chcete, je však omezený v tom, jak užitečný může být pro analýzu. Wireshark odvádí skvělou práci při sběru i analýze, ale protože má náročné uživatelské rozhraní, nelze jej použít na bezhlavých serverech. Zadejte Tshark; zachycuje a analyzuje, ale to druhé provádí na příkazovém řádku.
Klíčové vlastnosti:
- Příkazový řádek
- Na základě Wireshark
- Zdarma k použití
TShark používá stejné konvence filtrování jako Wireshark, což by nemělo být překvapením, protože se v podstatě jedná o stejný produkt. Tento příkaz sděluje TSharku pouze to, aby se obtěžoval se zachycením cílové IP adresy a také některých dalších zajímavých polí z HTTP části paketu.
|_+_|Pokud chcete zachytit do souboru, můžete použít |_+_| přepněte na jeho zápis a poté použijte |_+_| TShark's (režim čtení) přepněte a přečtěte si jej.
Nejprve zachyťte:
|_+_|Přečtěte si jej buď na stejném serveru, nebo jej přeneste na jiný analytický server.
|_+_|Klady:
- Umožňuje přesnější sběr dat a umožňuje snadnější možnosti filtrování než podobné nástroje
- Funguje podobně jako Wireshark, což usnadňuje použití pro ty, kteří Wireshark používali
- Více zaměřené na CLI, což z něj dělá oblíbenou volbu pro ty, kteří preferují méně rozhraní
Nevýhody:
- Vestavěné omezené analytické nástroje
- Není uživatelsky přívětivý/přívětivý pro začátečníky
9. NetworkMiner
NetworkMinerje fascinující nástroj, který spadá spíše do kategorie forenzního nástroje než přímého síťového snifferu. Oblast forenzní analýzy se obvykle zabývá vyšetřováním a shromažďováním důkazů a Network Miner tuto práci dělá dobře pro síťový provoz. Podobně jako WireShark může sledovat proud TCP a obnovit celou konverzaci TCP, Network Miner může sledovat proud a rekonstruovat soubory odeslané přes síť.
Pro zachycení živého provozu by měl být Network Miner strategicky umístěn v síti, aby byl schopen sledovat a shromažďovat provoz, který vás zajímá. Nezavede do sítě žádný vlastní provoz, takže funguje velmi nenápadně.
Klíčové vlastnosti:
- Analytický nástroj
- Snadno použitelné rozhraní
- Bezplatná verze
Network Miner může fungovat i v offline režimu. Můžete použít osvědčené a pravdivétcpdumpnástroj pro zachycení paketů v bodu zájmu ve vaší síti a poté import souborů pcap do Network Miner. Poté se pokusí rekonstruovat všechny soubory nebo certifikáty, které najde v zachyceném souboru.
Network Miner je vytvořen pro Windows, ale tím pomocí Mono, může být spuštěn na jakémkoli OS, který má Mono framework jako je Linux a macOS.
K dispozici je bezplatná verze, která vám pomůže začít, která má slušnou řadu funkcí. Pokud chcete pokročilejší funkce, jako je poloha GeoIP a vlastní skriptování, budete si muset zakoupit profesionální licenci.
Klady:
- Působí jako forenzní nástroj i jako sniffer paketů
- Dokáže rekonstruovat soubory a pakety přes toky TCP
- Při používání nezavádí do sítě žádný šum, což je dobré pro zamezení křížové kontaminace
- Zdarma k použití, zahrnuje placenou verzi pro pokročilejší funkce
- Nabízí spíše grafické uživatelské rozhraní než pouze CLI
Nevýhody:
- Rozhraní je zastaralé a občas může být obtížné se v něm orientovat
10. houslista (HTTP)
Fiddler technicky není nástroj pro zachytávání síťových paketů, ale je tak neuvěřitelně užitečný, že se dostal na seznam. Na rozdíl od ostatních zde uvedených nástrojů, které jsou navrženy k zachycení ad-hoc provozu v síti z jakéhokoli zdroje, je Fiddler spíše nástrojem pro ladění desktopů. Zachycuje HTTP provoz a zatímco mnoho prohlížečů již tuto možnost má ve svých vývojářských nástrojích, Fiddler se neomezuje pouze na provoz prohlížeče. Fiddler dokáže zachytit jakýkoli HTTP provoz na ploše, včetně provozu newebových aplikací.
Mnoho aplikací pro stolní sítě používá HTTP pro připojení k webovým službám a bez nástroje jako Fiddler je jediným způsobem, jak zachytit tento provoz pro analýzu, použití nástrojů jako tcpdump nebo WireShark. Tyto nástroje však fungují na úrovni paketů, takže analýza zahrnuje rekonstrukci těchto paketů do toků HTTP. To může být hodně práce provést nějaké jednoduché vyšetřování HTTP a Fiddler přijde na pomoc. Fiddler může pomoci odhalit soubory cookie, certifikáty a data o užitečné zátěži paketů přicházející nebo z těchto aplikací.
Klíčové vlastnosti:
- Zobrazuje provoz HTTP
- Pomoc při ladění
- Zdarma k použití
Pomáhá to, že Fiddler je zdarma a podobně jako NetworkMiner jej lze spustit v rámci Mono na jakémkoli jiném operačním systému s rámcem Mono.
Klady:
- Zaměřeno na zachycení pouze HTTP provozu, což umožňuje cílenější a méně komplexní řešení
- Ideální pro ty, kteří hledají zabezpečení a komunikaci protokolu HTTP
- Dokáže odhalit veškerý provoz HTTP, nejenom prohlížečem
- Je zcela zdarma
- Nabízí GUI pro ty, kteří chtějí víc než jen nástroj CLI
Nevýhody:
- Strmá křivka učení
- Může být těžké najít podporu v určitých otázkách
11.capsa
Capsa Network Analyzer má několik edic, z nichž každá má různé možnosti. Na první úrovni, zdarma Capsa, software v podstatě pouze zachycuje pakety a umožňuje jejich velmi grafickou analýzu. Řídicí panel je velmi jedinečný a může pomoci začínajícím správcům systému rychle určit problémy se sítí, a to i s malými skutečnými znalostmi o paketech. Bezplatná úroveň je zaměřena na lidi, kteří se chtějí dozvědět více o paketech a vybudovat své dovednosti v plnohodnotné analytiky.
Bezplatná verze ví, jak monitorovat přes 300 protokolů, umožňuje monitorování e-mailů a také umí ukládat obsah e-mailů a také podporuje spouštěče. Spouštěče lze použít k nastavení výstrah pro konkrétní situace, což znamená, že standard Capsa lze do určité míry použít také jako podpůrný prostředek.
Klíčové vlastnosti:
- Analyzuje 300 protokolů
- Interpretuje data do grafů
- Bezplatná verze
Capsa je k dispozici pouze pro Windows 2008/Vista/7/8 a 10.
Klady:
- Obsahuje vestavěné nástroje pro analýzu provozu a grafy pro živou vizualizaci
- Intuitivnější rozhraní než podobné nástroje
- Lepší volba pro mladší systémové správce, snazší se naučit platformu
- Bezplatná verze podporuje více než 300 různých protokolů, což z ní činí robustní bezplatnou možnost
Nevýhody:
- Není tak lehký jako jiné nástroje CLI
- Profesionálům může rozhraní připadat objemné a ne tak efektivní
Výběr snifferu paketů
S nástroji pro sledování paketů, které jsem zmínil, není velký skok vidět, jak by správce systému mohl vybudovat infrastrukturu pro monitorování sítě na vyžádání.
Pokud je síť tak velká, že to není možné, použijte nástroje na podnikové úrovni, jako je napřSada SolarWinds a její 30denní bezplatná zkušební verzemůže pomoci zkrotit všechna tato síťová data do spravovatelné datové sady.
Tcpdump nebo Windump lze nainstalovat na všechny servery. Plánovač, jako je cron nebo plánovač Windows, by mohl spustit relaci shromažďování paketů v určitou dobu zájmu a zapsat tyto kolekce do souboru pcap.
Někdy později může správce systému tyto pakety přenést do centrálního počítače a pomocí Wireshark je analyzovat.
Nejčastější dotazy ke sledování paketů
Co umí nástroje PCAP?
PCAP je zkratka pro „packet capture“. Nástroj PCAP kopíruje pakety, když cestují po síti. Zachycené pakety se zobrazí v prohlížeči v rámci nástroje, uloží se do souboru nebo obojí. Některé nástroje PCAP zkopírují všechny jednotlivé pakety, včetně jejich datové zátěže, zatímco jiné pouze zobrazují a/nebo ukládají hlavičky paketů. Nástroje PCAP, které zachycují pakety jako celek, vytvářejí velmi velké soubory a jsou uloženy s příponou .pcap.
Jaké jsou nejlepší nástroje pro analýzu síťového provozu?
Náš výzkum ukazuje, že nejlepšími nástroji pro analýzu síťového provozu jsou SolarWinds Deep Packet Inspection and Analysis Tool, Paessler Packet Capture Tool, ManageEngine NetFlow Analyzer a Omnipeek Network Protocol Analyzer. Existují také některé oblíbené v odvětví, jako je tcpdump, Windump a Wireshark.
Jak funguje analyzátor paketů?
Analyzátor paketů zachycuje pakety při jejich cestování po síti. To lze implementovat jako samostatné zařízení pro zachycení paketů, které funguje jako TAP nebo software, který přistupuje k síťovému adaptéru svého hostitelského počítače v „promiskuitním režimu“. Kromě kopírování síťových paketů musí analyzátor paketů nabízet nástroj pro prohlížení, vyhledávání a filtrování paketových dat. Některé analyzátory paketů také obsahují sofistikovanější analytické nástroje.
Lze detekovat sniffování paketů?
Sniffování paketů lze za určitých okolností detekovat. Řešení pro nalezení zachycení paketů závisí na umístění snifferu paketů a metodě, kterou používá. Nástroj pro čichání softwarových paketů vyžaduje, aby byl síťový adaptér hostitelského počítače v promiskuitním režimu. Vydáním příkazu Ping se správnou IP adresou, ale špatnou MAC adresou pro každý počítač v síti by se měli objevit hostitelé, kteří jsou v promiskuitním režimu, a proto je pravděpodobné, že budou používáni pro sniffování paketů.
Co je úplné zachycení paketů?
Úplné zachycení paketů zkopíruje celý paket včetně užitečného zatížení dat. Data úplného zachycení paketů se obvykle ukládají do souboru s příponou .pcap. Firmy nemají rády síťové profesionály používající tuto metodu, protože obsah paketu nemusí být zašifrován. Umožnění zaměstnancům IT oddělení využívat plné možnosti zachycování paketů může narušit důvěrnost dat držených podnikem a zneplatnit soulad se standardy zabezpečení dat.