Správce Sítě

6 nejlepších nástrojů pro analýzu protokolů

Nejlepší nástroje pro analýzu protokolů

A analyzátor protokolu poskytuje podrobnosti o informacích uvnitř hlaviček datových paketů při jejich pohybu po síti. Detekční úloha je také známá jako „ čichání paketů “.

Podrobnosti v hlavičce paketu zahrnují zdrojovou a cílovou adresu cestovní zprávy a součástí této adresy je číslo portu.

Uvedením čísel portů na paketech může analyzátor protokolu poskytnout podrobnosti o síťové aktivitě specifické pro aplikaci.

Zde je náš seznam šesti nejlepších nástrojů pro analýzu protokolů:

  1. Monitor výkonu sítě SolarWinds (ZKUŠEBNÍ VERZE ZDARMA)Tento balíček pro monitorování sítě obsahuje analyzátor protokolů jako součást zařízení pro hloubkovou kontrolu paketů. Běží na Windows Server. Zahajte 30denní bezplatnou zkušební verzi.
  2. Wireshark Jedná se o přední analyzátor protokolů a jeden z nejstarších. Pokud absolvujete kurz síťové analýzy nebo kybernetické bezpečnosti, budete v laboratoři používat Wireshark. K dispozici pro Windows, macOS a Linux.
  3. Paessler PRTG Jedná se o balíček monitorovacích nástrojů pro sítě, servery a aplikace a zahrnuje sniffer paketů, který má ve svém uživatelském rozhraní analyzátor protokolů. Běží na Windows Server.
  4. Šňupat Tento nástroj pro analýzu provozu je známý hlavně jako systém detekce narušení, ale obsahuje analyzátor protokolů. K dispozici pro Linux, Unix a Windows.
  5. Splunk tento analyzátor dat je široce používán pro vyhledávání v datech a lze jej napájet souborem pcap, aby se z něj stal analyzátor protokolů. K dispozici pro Windows, Linux, Unix a macOS.
  6. Omnipeek Network Protocol Analyzer Živý analyzátor provozu, který lze také použít k vyhledávání prostřednictvím analýzy historických dat. Běží na Windows.

Více o každé z těchto možností si můžete přečíst v následujících částech.

Čísla portů a protokoly

V řeči sítě, „ přístav “ není fyzickým receptorem na straně zařízení; je to logický identifikátor, který vytváří adresu. Koncept logických portů je součástí sady TCP/IP protokoly a nachází se na adrese Transportní vrstva ze zásobníku. Porty jsou identifikovány jako používané pro TCP nebo UDP , přičemž mnohé se používají pro obojí.

Globální organizace, tzv Úřad pro internetová přidělená čísla (IANA), vede seznam přidělených čísel portů. Čísla jsou přidělována konkrétním aplikacím, které se také nazývají protokoly.

Účelem seznamu IANA je poskytnout univerzální seznam identifikátory protokolu . Úkoly nepatří žádnému jednotlivému podniku. To znamená, že nikdo nezíská výhodu nad kontrolou čísel portů. Hodnota této univerzálnosti spočívá v tom, že nezávislí vývojáři softwaru mohou vytvářet kompatibilní systémy, které mohou odesílat a přijímat data, aniž by museli uzavírat dohody se všemi ostatními vývojáři softwaru na světě.

Kdokoli může získat přístup k seznamu přidělených čísel portů. IANA tvrdí seznam portů ale není to moc dobře prezentováno. Lepší tabulku čísel portů můžete získat na jiných webových stránkách, např Stránka Wikipedie o číslech portů .

Úplný rozsah čísel portů je rozdělen do sekcí:

  • Známé porty : 0–1023
  • Registrované porty : 1024 – 49151
  • Pomíjivé porty : 49152 – 65535

Rozdíl mezi těmito rozsahy je v tom, že dobře známé porty jsou nejstarší alokace a představují dlouhodobé protokoly, jako je File Transfer Protocol (FTP) a Simple Mail Transfer Protocol (SNMP).

Zatímco známé přístavy se téměř všechny používají pro standardy s otevřeným zdrojovým kódem registrované porty jsou přiřazeny ke službám, které společnosti mohly vyvinout. Protokolům s otevřeným zdrojovým kódem jsou také přiřazena čísla v tomto rozsahu, protože ve známém rozsahu portů nezbývají žádná náhradní čísla.

Pomíjivé porty jsou záměrně neregistrované a IANA nebude přidělovat čísla v tomto rozsahu. Neoficiální seznamy čísel portů budou obsahovat návod k použití pro čísla portů v tomto rozsahu, kde bylo běžné používání jednoho z těchto čísel portů zakódováno do široce používaného softwaru.

Jedním z hlavních použití efemérních portů je umožnit správu souběžných připojení. V tomto scénáři může softwarový balíček signalizovat korespondentovi, že připojení by mělo pokračovat na jiném portu, čímž se uvolní známý port pro připojení od jiných klientů.

Zachycování paketů a analyzátory protokolů

Analyzátory protokolů potřebují data k analýze. Tyto údaje jsou proud paketů které jsou shromažďovány ze sítě. Úloha analýzy protokolu není totéž jako zachycení paketů – jedná se o dvě samostatné funkce. Analyzátor protokolů nepracuje pouze s živými daty, protože pakety lze číst ze souborů pro analýzu.

Nejlepší analyzátory protokolů zahrnují integrovaný systém zachytávání paketů. Tento proces zachycení paketů však pravděpodobně není zabudován do analyzátoru protokolu. Nejpoužívanějším systémem pro zachycení paketů je pcap a to je implementováno pro Unix a operační systémy podobné Unixu, včetně Linuxu a macOS libpcap . Uživatelé Windows potřebují WinPcap . Tyto systémy jsou zdarma k použití.

Nejlepší nástroje pro analýzu protokolů

Protokolová analýza založená na zachycení paketů je jednou z nejstarších technik odstraňování problémů se sítí. K dispozici je mnoho dlouhodobě fungujících analyzátorů protokolů, které lze zdarma používat. Přestože jsou tyto systémy bezplatné a staré, mnoho z nich stále vede v oboru, protože je přijali velcí poskytovatelé síťových systémů a financované , přičemž je stále volně k použití.

Co byste měli hledat v nástroji pro analýzu protokolů?

Prozkoumali jsme trh s analyzátory protokolů a posoudili dostupné možnosti na základě následujících kritérií:

  • Integrovaný nástroj pro zachycení paketů, jako je libpcap a WinPcap
  • Možnosti zachycování paketů smíchu z analyzátoru
  • Filtry pro zachycení a zobrazení paketů
  • Barevné kódování pro různé protokoly
  • Označení konverzací nebo souvisejících streamů
  • Bezplatný nástroj nebo bezplatná zkušební verze pro placený nástroj, takže hodnocení může probíhat bez placení
  • Hodnota za peníze, kterou poskytuje placený nástroj, který stojí za svou cenu, nebo bezplatný nástroj, který dobře funguje

S ohledem na tato kritéria jsme identifikovali bezplatné a placené analyzátory protokolů a hledali také širší balíčky monitorování systému, které zahrnují analyzátor protokolů jako doplňkovou službu.

1. Monitor výkonu sítě SolarWinds (ZKOUŠKA ZDARMA)

Monitor výkonu sítě SolarWinds

Monitor výkonu sítě SolarWinds je přední síťový monitorovací systém s mnoha nástroji. Jedním z nástrojů v balíčku SolarWinds je služba Deep Packet Inspection. To vám umožní rozdělit všechny metriky výkonu sítě podle aplikací. Aplikace, na které odkazuje SolarWinds, jsou protokoly a to je odvozeno pohledem na čísla portů v procházejících paketech.

Klíčové vlastnosti:

  • Statistiky provozu na aplikaci
  • Kategorizuje provoz podle použití
  • Shrnuje pakety na koncový bod
  • Statistiky QoS

Velkou výhodou, kterou má toto řešení oproti ostatním nástrojům v tomto seznamu, je to, že se nejedná o samostatný analyzátor protokolů; je součástí mnohem většího souboru monitorování sítě nástroje, které zahrnují službu automatického zjišťování, tvůrce síťového inventáře a mapovač topologie sítě.

Uživatelské rozhraní nástroje Network Performance Monitor je velmi propracované a nabízí mnoho grafické znázornění dopravních údajů i seznamů. Obrazovky jsou dobře rozvrženy a usnadňují interpretaci dat. Nástroj neobsahuje prohlížeč dat pro manuální analýzu provozu.

Klady:

  • Snadné použití s ​​dobře prezentovanými datovými obrazovkami
  • Upozornění na neobvyklé vzorce provozu
  • Kategorizace provozu pro obchodní nebo osobní použití
  • Měření kvality zkušeností (QoS).

Nevýhody:

  • Bez možnosti manuální analýzy dat

Software pro SolarWinds Network Performance Monitor se nainstaluje na Windows Server a můžete hodnotit systém pomocí30denní bezplatná zkušební verze.

SolarWinds Network Performance Monitor Stáhněte si 30denní zkušební verzi ZDARMA

2. Wireshark

Hlavní obrazovka Wireshark

Wireshark zaškrtává všechna políčka jako skvělý analyzátor protokolů: integruje systém zachycování paketů, barevné kódy protokolů a poskytuje řadu rychlých možností filtrování paketů prostřednictvím nabídky po kliknutí pravým tlačítkem. Co dělá Wireshark ještě lepším, je to, že je zdarma k použití .

Klíčové vlastnosti:

  • Snadná instalace a použití
  • Grafické uživatelské prostředí
  • Spuštění a zastavení zachytávání paketů
  • Jazyk dotazu
  • Sledování TCP streamu

Systém Wireshark nemá vlastní rutiny pro zachycení paketů, ale funguje bez problémů WinPcap a libpcap . Instalační program pro Wireshark stáhne a nainstaluje správnou verzi pcap za vás, zatímco instaluje svůj vlastní software. Zachytávání paketů spustíte a zastavíte tlačítkem v rozhraní Wireshark.

Klady:

  • Naučit se používat Wireshark dává síťovým profesionálům žádanou dovednost
  • Komplexní sada příkazů pro filtrování pro zachycení a vyhledávání dat
  • Možnosti ukládání paketů do souboru
  • Verze pro příkazový řádek s názvem Tshark
  • Zdarma k použití

Nevýhody:

  • Dotazovací jazyk je velmi komplikovaný

Wireshark má svůj vlastní dotazovací jazyk s dlouhými seznamy příkazů a definic dat. Velkým problémem systému je, že dotazovací jazyk je velmi komplikovaný – jeho používání vyžaduje školení a spoustu času. K zachycení paketů lze použít filtry, které výrazně snižují objem paketů přiváděných do prohlížeče. Uživatel dostane možnost, zda ano Uložit zachycené pakety.

3. Paessler PRTG

Ovládací panel Paessler PRTG Network Monitor

Paessler PRTG poskytuje výběr monitorovacích systémů pro sítě, servery a aplikace. Balíček obsahuje velké množství monitorů, které se nazývají senzory. Cena, kterou za systém zaplatíte, závisí na tom, kolik senzorů chcete zapnout, a poté si vyberete, které chcete aktivovat.

Klíčové vlastnosti:

  • Výběr technik analýzy paketů
  • Grafické displeje
  • Hodnocení generátoru propustnosti
  • Zahrnuje další síťové monitory

Seznam snímačů PRTG obsahuje číslo, které lze použít pro čichání paketů a protokolová analýza . Přímý sniffer paketů zachytí pakety a zobrazí o nich statistiky. Obrazovka nebo tento senzor obsahuje hodnocení nejlepších generátorů provozu podle aplikace, zařízení a konverzace.

Další možnosti analýzy provozu pocházejí z analýza šířky pásma systémy, jako jsou IPFIX, NetFlow, J-Flow a SNMP. Můžete také přepnout na obrazovky výkonu sítě a zjistit, zda některý z přepínačů a směrovačů ve vaší síti nemá problémy.

Klady:

  • Analýza provozu
  • Zobrazuje provoz podle protokolu
  • Analýza odkazů
  • Komplexní analýza provozu

Nevýhody:

  • Nezahrnuje nástroje pro manuální analýzu protokolů

Paessler PRTG se nainstaluje na Windows Server a můžete jej používat zdarma navždy, pokud aktivujete pouze 100 senzorů. Můžeš dostat 30denní bezplatná zkušební verze systému se všemi aktivovanými senzory.

4. Odfrkněte

Snort 3.0 s ElasticSearch LogStash a Kibana (ELK)

Snort je dobře známý systém detekce narušení. Balíček je však analyzátor dat a lze jej použít pro několik různých aplikací, jako je skenování na úrovni paketů a analýza protokolů.

Klíčové vlastnosti:

  • Režim čichání paketů
  • Zobrazení a vyhledávání paketů
  • Automatická pravidla

Snort má režim sniffování paketů, který je založen na systému pcap. Nemusíte spouštět libpcap nebo WinPcap samostatně, protože Snort se může integrovat s těmito nástroji a číst pakety přímo ze sítě.

Hlavní předností Snortu je jeho automatické vyhledávání, které je implementováno pravidly. Pravidla si můžete osvojit sami nebo si je sami napsat. Pomocí těchto pravidel můžete vytvořit své vlastní podmínky výstrahy a nechat Snort fungovat jako živý monitor výkonu sítě.

Klady:

  • Automatické vyhledávání
  • Přizpůsobitelná pravidla filtrování a detekce
  • Přizpůsobitelné výstrahy

Nevýhody:

  • Jedná se o výkonný systém a chvíli trvá, než se naučíte, jak z něj dostat to nejlepší

Snort je k dispozici pro mnoho linuxových distribucí, BSD Unix a Windows. Systém je zdarma k použití, ale díky souboru pravidel se stává výkonnějším. K předplatnému můžete získat pravidla vytvořená komunitou zdarma a výkonnější balíčky pravidel zaměřené na podnikání.

5. Splunk

Splunk Phantom

Splunk je nástroj pro analýzu dat a je k dispozici v místním i místním prostředí SaaS verze. Přestože můžete použít Splunk k vytváření libovolného vyhledávání dat a vytváření vlastních analytických aplikací, tento nástroj se stal úspěšnějším díky výrobě předem napsaných nástrojů, zejména Splunk Enterprise Security . Tento bezpečnostní balíček je a SIEM a nabízí také živý monitor aktivity portu a protokolu.

Klíčové vlastnosti:

  • Systém SIEM
  • Přizpůsobitelné zakázkovým aplikacím
  • Analyzuje jakákoli data

Splunk je možné použít k prohlížení dat paketů a identifikaci aktivity protokolu prostřednictvím bezplatného zásuvného modulu. Komunita uživatelů Spunk zahrnuje tržiště aplikací, tzv Splunkbase . Na tomto fóru je dostupný balíček s názvem PCAP analyzátor pro Splunk . Tato služba je zdarma k použití a poskytuje konektor pro čtení souborů pcap a sadu vyhledávání, která umísťují data na vlastní obrazovky Splunk – tento nástroj obsahuje funkci analýzy protokolu.

Klady:

  • Přizpůsobitelné pro řadu přizpůsobených aplikací
  • Bezplatný plug-in pro analýzu paketů
  • Analyzátor protokolů

Nevýhody:

  • Spouští soubory PCAP spíše než integrovaný sniffer paketů

Splunk Enterprise se instaluje na Okna , Windows Server , Linux , Unix , a Operační Systém Mac nebo můžete ke Splunk Cloud přistupovat prostřednictvím libovolného standardního webového prohlížeče. Oba systémy jsou k dispozici pro zkušební verze zdarma – 14 dní pro Spunk Cloud a 60 dní pro Splunk Enterprise.

6. Omnipeek Network Protocol Analyzer

Obrazovka Omnipeek

Pokud chcete pouze čistý protokolový analyzátor bez spousty periferních funkcí, pak Omnipeek Network Protocol Analyzer z LiveAction je pravděpodobně vaše nejlepší sázka. Jak název napovídá, tento nástroj je o sledování provozu podle protokolu a dělá to velmi dobře.

Klíčové vlastnosti:

  • Zaměřeno na analýzu protokolů
  • Živá propustnost provozu
  • Grafické reprezentace dat

Když používáte Wireshark, začnete s obrazovkou plnou obsahu paketů a poté data odfiltrujete, abyste se dostali přes množství dostupných dat k něčemu, co má funkční velikost. S Omnipeekem je to naopak, protože to začíná přehled a umožňuje vám proklikávat se k řezům dat, dokud neskončíte přímo u paketů. Toto je mnohem lépe ovladatelný způsob, jak přistupovat k údajům o provozu, protože stačí jít dolů na úroveň podrobností, která vysvětluje problémy, se kterými se vaše síť potýká.

Pokud vaše technické dovednosti nejsou tak skvělé a nechcete se učit celý programovací jazyk, abyste něco získali smysluplné zobrazíte na obrazovce, pak se vám bude Omnipeek Protocol Analyzer hodně líbit.

Klady:

  • Snadno čitelné obrazovky
  • Zobrazuje aktuální dopravní data
  • Nabídne podrobné detaily

Nevýhody:

  • Nedělá nic jiného než analýzu protokolů

Omnipeek Protocol Analyzer je místní softwarový balíček, který se instaluje na Okna Server. Nástroj dokáže shromažďovat pakety sám, takže nemusíte nastavovat samostatnou službu PCAP a podávat do ní soubory. Systém dokáže analyzovat bezdrátové sítě i LAN. Prozkoumejte možnosti Omnipeek Protocol Analyzer s 30denní bezplatná zkušební verze .

^