Packet Sniffing este un termen colocvial care se referă la arta analizei traficului de rețea. Spre deosebire de bunul simț, lucruri precum e-mailurile și paginile web nu traversează internetul dintr-o singură bucată. Acestea sunt defalcate în mii de pachete de date mici și trimise pe internet în acest mod.
Există multe, multe instrumente de acolo care vor colecta traficul de rețea și majoritatea folosesc pcap (sisteme asemănătoare Unix) sau libcap (sisteme Windows) la baza lor pentru a face colectarea propriu-zisă. Un alt set de instrumente există pentru a ajuta la analizarea datelor, deoarece chiar și o cantitate mică de date poate duce la mii de pachete care pot fi greu de navigat. Aproape toate aceste instrumente se colectează în același mod; analiza le diferențiază.
Această postare intră în detalii despre fiecare dintre instrumentele care au fost făcute aici, dar dacă aveți timp scurt, iată lista noastră cu cele mai bune sniffere de pachete și analizoare de rețea:
- SolarWinds instrument de analiză și analiză a pachetelor profunde (PROBLE GRATUIT) Un instrument de analiză a traficului de rețea de înaltă calitate, care rulează pe Windows Server și face parte din
- Instrumentul de captare a pachetelor paessler (probă gratuită) Un sniffer de pachete, un senzor NetFlow, un senzor sFlow și un senzor J-Flow încorporat în Paessler PRTG.
- ManageEngine NetFlow Analyzer (TRIAL GRATUIT) Un instrument de analiză a traficului care funcționează cu NetFlow, J-Flow, sFlow Netstream, IPFIX și AppFlow
- Omnipeek Network Protocol Analyzer Un monitor de rețea care poate fi extins pentru a capta pachete.
- tcpdump Instrumentul esențial de captare a pachetelor gratuite pe care fiecare manager de rețea le are nevoie în setul său de instrumente.
- WinDump O clonă gratuită de tcpdump scrisă pentru sistemele Windows.
- Wireshark Un bine-cunoscut instrument de captare și analiză a datelor de pachete gratuite.
- tshark Un răspuns ușor pentru cei care doresc funcționalitatea Wireshark, dar profilul slab al tcpdump.
- Rețea Miner Un analizator de rețea bazat pe Windows, cu o versiune gratuită.
- Lăutar Un instrument de captare a pachetelor care se concentrează pe traficul HTTP.
- Capsa Scris pentru Windows, instrumentul gratuit de captare a pachetelor poate fi modernizat pentru plată pentru a adăuga funcții analitice.
Avantajele adulmecării pachetelor
Un sniffer de pachete este un instrument util care vă permite să implementați politica de capacitate de rețea a companiei. Principalele avantaje sunt că:
- Identificați legăturile congestionate
- Identificați aplicațiile care generează cel mai mult trafic
- Colectați date pentru analize predictive
- Evidențiați vârfurile și jgheaburile în cererea rețelei
Acțiunile pe care le întreprindeți depind de bugetul disponibil. Dacă aveți resurse pentru a extinde capacitatea rețelei, snifferul de pachete vă va permite să direcționați mai eficient noi resurse. Dacă nu aveți buget, sniffingul de pachete va ajuta la formarea traficului prin prioritizarea traficului de aplicații, redimensionarea subnetelor, reprogramarea evenimentelor de trafic greu, limitarea lățimii de bandă pentru aplicații specifice sau înlocuirea aplicațiilor cu alternative mai eficiente.
Mod promiscuu
Este important să înțelegeți cum funcționează placa de rețea de pe computer atunci când instalați software-ul de adulmecare a pachetelor. Interfața de la computerul dvs. la rețea se numește „controler de interfață de rețea,”Sau NIC. NIC-ul dvs. va prelua doar traficul de internet care se adresează adresei MAC.
Pentru a capta traficul general, trebuie să introduceți NIC-ul în „modul promiscu.”Aceasta elimină limita de ascultare de pe NIC. În modul promiscu, NIC-ul dvs. va prelua tot traficul de rețea. Majoritatea snifferelor de pachete au o utilitate în interfața de utilizator care gestionează comutatorul de mod pentru tine.
Tipuri de trafic de rețea
Analiza traficului de rețea necesită o înțelegere a modului de funcționare a rețelei. Nu există niciun instrument care să înlăture magic cerința ca un analist să înțeleagă elementele de bază ale rețelei, cum ar fi strângerea de mână cu trei căi TCP, care este utilizată pentru a iniția o conexiune între două dispozitive. Analiștii ar trebui să înțeleagă, de asemenea, tipurile de trafic de rețea care există pe o rețea care funcționează normal, cum ar fi traficul ARP și DHCP. Această cunoaștere este esențială, deoarece instrumentele de analiză vă vor arăta doar ceea ce cereți – depinde de dvs. să știți ce să solicitați. Dacă nu sunteți sigur cum arată în mod normal rețeaua dvs., vă poate fi greu să vă asigurați că săriți ceea ce trebuie în masa de pachete colectate.
Instrumente Enterprise
Să începem de la vârf și să ne îndreptăm spre baza elementelor de bază. Dacă aveți de-a face cu o rețea la nivel de întreprindere, veți avea nevoie de armele mari. În timp ce aproape totul folosește tcpdump în centrul său (mai multe despre asta mai târziu), instrumentele la nivel de întreprindere pot oferi alte funcții analitice, cum ar fi corelarea traficului de pe multe servere, furnizarea de instrumente de interogare inteligente pentru a identifica problemele, alertarea asupra cazurilor de excepție și producerea de grafice frumoase care cererile conducerii.
Instrumentele la nivel de întreprindere tind să se concentreze pe fluxul de trafic de rețea, mai degrabă decât să judece conținutul de pachete. Prin aceasta, vreau să spun că accentul majorității sysadmin-urilor dintr-o întreprindere este de a menține rețeaua zumzetă, fără blocaje de performanță. Când apar blocaje, obiectivul este de obicei să stabilească dacă problema este rețeaua sau o aplicație din rețea. Pe partea cealaltă a monedei, aceste instrumente la nivel de întreprindere sunt de obicei capabile să vadă atât de mult trafic încât pot ajuta la prezicerea când un segment de rețea se va satura, ceea ce este un element critic al gestionării capacității..
Instrumente hacker
Snifferele de pachete sunt folosite și de hackeri. Fiți conștienți că aceste instrumente pot fi utilizate pentru a vă ataca rețeaua și pentru a rezolva problemele. Sniffers de pachete pot fi utilizate ca și wiretappers pentru a fura date în tranzit și pot contribui, de asemenea, la „bărbatul din mijloc”Atacuri care modifică datele aflate în tranzit și deviază traficul pentru a înșela un utilizator în rețea. Investiți în sisteme de detectare a intruziunilor pentru a vă proteja rețeaua de aceste forme de acces neautorizat
Cum funcționează Packiff Sniffers și Analizatorii de Rețea?
caracteristica cheie a unui sniffer de pachete este faptul că copiază datele pe măsură ce călătorește printr-o rețea și o face disponibilă pentru vizualizare. Dispozitivul adulmecător copiază pur și simplu toate datele pe care le vede trecând printr-o rețea. Când sunt implementate pe un comutator, setările dispozitivului permit trimiterea pachetului de trecere într-un al doilea port, precum și la destinația prevăzută, duplicând astfel traficul. De obicei, pachetele de date care sunt culese din rețea sunt copiate într-un fișier. Unele instrumente vor arăta, de asemenea, că datele dintr-un tablou de bord. in orice caz, snifferele de pachete pot aduna o mulțime de date, care includ informații de administrare codificate. Va trebui sa găsiți un instrument de analiză care vă poate ajuta să renunțați la informații în călătoria pachetelor din extras și alte informații, cum ar fi relevanța numerelor de porturi între care pachetele călătoresc.
Un sniffer simplu de pachete va copia peste toate pachetele care călătoresc în rețea. Aceasta poate fi o problemă. Dacă sarcina utilă a pachetului nu este criptată, veți permite personalului departamentului IT să vadă informații comerciale sensibile în timp ce călătorește prin rețea. Din acest motiv, multe sniffere de pachete pot fi limitate, astfel încât acestea vor copia numai peste informațiile din antet. În cele mai multe cazuri, conținutul pachetului nu este necesar pentru analiza performanței rețelei. Dacă doriți să urmăriți utilizarea rețelei pe o perioadă de 24 de ore sau peste câteva zile, atunci stocarea fiecărui pachet va ocupa o cantitate foarte mare de spațiu pe disc – chiar dacă luați doar anteturile pachetului. În aceste scenarii, este recomandabil să probați pachete, ceea ce înseamnă să copiați fiecare al zecea sau al 20-lea pachet decât să copiați pe fiecare.
Cele mai bune sniffere de pachete și analizoare de rețea
Am clasificat următoarele instrumente în funcție de următoarele considerente generale: caracteristici utile, fiabilitate, ușurință de instalare, integrare și utilizare, cantitatea de ajutor și suport oferite, cât de bine este actualizat și întreținut software-ul și cât de reputați sunt dezvoltatorii industria.
1. Instrumentul de analiză și analiză a pachetelor DeepWinds DeepWinds (TRIAL GRATUIT)
SolarWinds este o suită foarte largă de instrumente de management IT. Instrumentul care este mai relevant pentru acest articol este instrumentul de analiză și analiză profundă a pachetelor. Colectarea traficului în rețea este destul de ușoară. Folosind instrumente precum WireShark, analiza nivelului de bază nu este nici un stopper de prezentare. Dar nu toate situațiile sunt cele tăiate și uscate. Într-o rețea foarte aglomerată, poate fi greu să se determine chiar și unele lucruri foarte de bază, cum ar fi:
- Ce aplicație în rețea creează acest trafic?
- Dacă aplicația este cunoscută (să zicem, un browser web) unde își petrec oamenii cea mai mare parte a timpului?
- Care conexiuni durează cel mai mult și se prind în rețea?
Majoritatea dispozitivelor de rețea folosesc doar metadatele fiecărui pachet pentru a vă asigura că pachetul ajunge acolo unde merge. Conținutul pachetului nu este cunoscut pentru dispozitivul de rețea. Deep Packet Inspection este diferit; înseamnă că conținutul real al pachetului este inspectat pentru a afla mai multe despre el. În acest fel, pot fi descoperite informații critice despre rețea care nu pot fi obținute din metadate. Instrumente precum cele furnizate de SolarWinds pot furniza date mai semnificative decât pur și simplu fluxul de trafic.
Alte tehnici de gestionare a rețelelor cu volum mare includ NetFlow și sFlow. Fiecare are punctele sale forte și punctele slabe și puteți citi mai multe despre tehnicile NetFlow și sFlow aici.
Analiza rețelei, în general, este un subiect avansat, care este jumătate din experiență și jumătate de formare. Este posibil să instruim pe cineva să înțeleagă fiecare detaliu despre pachetele de rețea, dar dacă persoana respectivă nu are cunoștințe despre rețeaua țintă și o experiență pentru identificarea anomaliilor, acestea nu vor ajunge foarte departe. Instrumentele pe care le enumerez în acest articol pot fi folosite de administratorii de rețea cu experiență, care știu deja ce caută, dar nu sunt siguri care sunt cele mai bune instrumente. Ele pot fi, de asemenea, utilizate de mai mulți sisteme de juniori pentru a câștiga experiență cu privire la aspectul rețelelor în timpul operațiunilor cotidiene, ceea ce va ajuta la identificarea problemelor ulterior.
ALEGEREA EDITORILOR
SolarWinds Network Performance Monitor oferă informații detaliate despre ce provoacă încetinirea rețelei și vă permite să rezolvați rapid cauzele rădăcină folosind inspecția profundă a pachetelor. Identificând traficul după aplicație, categorie (business vs. social) și nivel de risc, puteți elimina și filtra traficul cu probleme și măsura timpul de răspuns al cererii. Cu o interfață de utilizator excelentă, aceasta este o alegere excelentă pentru adulmecarea pachetelor și analiza rețelei.
Descarca: Proces GRATUIT funcțional GRATUIT de 30 de zile la SolarWinds.com
Site-ul oficial: www.solarwinds.com/topics/deep-packet-inspection/
Sistem de operare: Windows Server
2. Instrumentul de captare a pachetelor de analizor (ÎNCERCARE GRATUITĂ)
Pachetul Paessler-Capture-Tool PRTG: All-In-One-Monitoring este un instrument unificat de monitorizare a infrastructurii. Vă ajută să vă gestionați rețeaua și serverele. Segmentul de monitorizare a rețelei de utilitate acoperă două tipuri de sarcini. Este vorba despre un monitor al performanței rețelei, care examinează starea dispozitivelor de rețea și a unui analizor de lățime de bandă a rețelei, care acoperă fluxul de trafic peste legăturile din rețea.
Partea de analiză a lățimii de bandă a PRTG este implementată prin utilizarea a patru instrumente diferite de captare a pachetelor. Acestea sunt:
- Un sniffer de pachete
- Un senzor NetFlow
- Un senzor sFlow
- Un senzor J-Flow
Snifferul de pachete PRTG surprinde doar antetele pachetelor care călătoresc în rețeaua dvs. Acest lucru oferă analizatorului un avantaj de viteză și, de asemenea, reduce cantitatea de spațiu de stocare necesar pentru a păstra fișierele de captare. Tabloul de bord al snifferului de pachete clasifică traficul în funcție de tipul aplicației. Acestea includ traficul prin e-mail, pachetele web, datele despre traficul aplicațiilor de chat și volumele de pachete de transfer de fișiere.
NetFlow este un sistem de mesagerie cu flux de date foarte utilizat pe scară largă. A fost creat de Cisco Systems, dar este folosit și pentru echipamente produse de alți producători. Senzorul PRTG NetFlow preia, de asemenea, mesaje IPFIX – acest standard de mesagerie este un succesor sponsorizat de IETF la NetFlow. Metoda J-Flow este un sistem de mesagerie similar utilizat de Juniper Networks pentru echipamentele sale. SFlow fluxul standard de fluxuri de trafic, astfel încât va colecta fiecare al patrulea pachet. NetFlow și J-Flow captează fluxuri continue de pachete.
Paessler prețul software-ului său PRTG la numărul de „senzori” pe care o implementează o implementare. Un senzor este o condiție a sistemului sau o componentă hardware. De exemplu, fiecare dintre cele patru sniffere de pachete oferite de Paessler contează ca un senzor PRTG. Sistemul este gratuit pentru a utiliza dacă activați 100 de senzori sau mai puțin, deci dacă utilizați acest pachet doar pentru interfețele sale de adulmecare de pachete, nu va trebui să plătiți Paessler nimic.
Sistemul Paessler include o mulțime de alte funcții de monitorizare a rețelei și a serverului, inclusiv un monitor de virtualizare și un monitor de aplicație. PRTG poate fi instalat la fața locului sau îl puteți accesa ca un serviciu cloud. Software-ul rulează pe mediile Windows și îl puteți obține într-o probă gratuită de 30 de zile.
Paessler Packet Capture Tool PRTG Descărcați încercarea GRATUITĂ de 30 de zile
3. ManageEngine NetFlow Analyzer (TRIAL GRATUIT)
ManageEngine NetFlow Analyzer preia informații despre trafic de pe dispozitivele dvs. de rețea. Puteți alege să probați traficul, să capturați fluxuri întregi sau să adunați statistici cu privire la modelele de trafic cu acest instrument.
Producătorii de dispozitive de rețea nu folosesc cu toții același protocol pentru comunicarea datelor despre trafic. Astfel, NetFlow Analyzer este capabil să folosească diferite limbi pentru a aduna informații. Acestea includ Cisco NetFlow, Juniper Networks J-Flow, și Huawei Netstream. De asemenea, este capabil să comunice cu sFlow, IPFix, și AppFlow standarde.
Monitorul este capabil să urmărească consistența fluxurilor de date, precum și încărcarea pe fiecare dispozitiv de rețea. Capacitățile de analiză a traficului vă permit vezi pachete pe măsură ce trec printr-un dispozitiv și le captează pentru a fi fișiere. Această vizibilitate vă va permite să vedeți ce aplicații extrag cea mai mare parte a lățimii de bandă și să luați decizii cu privire la măsurile de modelare a traficului, cum ar fi coada de prioritate sau accelerarea.
Tabloul de bord al sistemului oferă grafică cu coduri de culori, care vă facilitează sarcina de a detecta problemele. Aspectul atractiv al consolei se leagă de alte instrumente de monitorizare a infrastructurii ManageEngine, deoarece toate au fost construite pe o platformă comună. Acest lucru îl face să se integreze cu mai multe produse ManageEngine. De exemplu, este foarte comun ca administratorii de rețea să cumpere atât OpManager și NetFlow Analyzer de la Manage Engine.
OpManager monitorizează stările dispozitivelor cu SNMP proceduri, pe care NetFlow Analyzer se concentrează asupra nivelurilor de trafic și a modelelor de flux de pachete.
Se instalează ManageEngine NetFlow Analyzer ferestre, Windows Server, și RHEL, CentOS, Fedora, Debian, SUSE, și Ubuntu Linux. Sistemul este oferit în două ediții.
Ediția Essential vă oferă funcțiile standard de monitorizare a traficului de rețea, plus un modul de raportare și facturare. Planul superior se numește Enterprise Edition. Aceasta are toate caracteristicile Essential Edition plus nbar & CBQoS monitorizare, un modul avansat de analiză a securității, utilități de planificare a capacității și capacități de inspecție profundă a pachetelor. Această ediție include de asemenea IP SLA și WLC monitorizarea.
Puteți obține oricare ediție a NetFlow Analyzer pe o încercare gratuită de 30 de zile.
ManageEngine NetFlow Analyzer Descărcați încercarea GRATUITĂ pe 30 de zile
4. Omnipeek Network Protocol Analyzer
LiveAction Omnipeek, anterior un produs din Savvius, este un analizator de protocol de rețea care poate fi utilizat pentru a capta pachete, precum și pentru a produce analiza de protocol a traficului de rețea.
Omnipeek poate fi extins prin pluginuri. Sistemul principal Omipeek nu captează pachete de rețea. Cu toate acestea, adăugarea de Capture Engine plug-in-ul primește funcția de captare a pachetelor. Sistemul Capture Engine ridică pachete într-o rețea cu fir; o altă extensie, numită Adaptor Wifi adaugă funcții wireless și permite capturarea pachetelor Wifi prin Omnipeek.
Funcțiile bazei Omnipeek Network Protocol Analyzer se extind la monitorizarea performanței rețelei. Pe lângă listarea traficului după protocol, software-ul va măsura viteza de transfer și regularitatea traficului, ridicarea alertelor dacă traficul încetinește sau trece prin condițiile de graniță stabilite de administratorul rețelei.
Analizatorul de trafic poate urmări un capăt la altul transferați performanța pe întreaga rețea sau pur și simplu monitorizați fiecare legătură. Alte funcții monitorizează interfețele, inclusiv traficul care soseste pe serverele web din afara rețelei. Software-ul este interesat în special de fluxul de trafic și de afișarea traficului pe protocol. Datele pot fi vizualizate ca liste de protocoale și debitul lor sau ca grafice și diagrame vii. Pachetele capturate cu motorul Capture pot fi depozitate pentru analiză sau redat în rețea pentru testarea capacității.
Omnipeek se instalează pe Windows și Windows Server. Sistemul nu este liber să folosească. Cu toate acestea, este posibil să obțineți Omnipeek într-un proces gratuit de 30 de zile.
5. tcpdump
Instrumentul fundamental pentru aproape toată colecția de trafic de rețea este tcpdump. Este o aplicație open-source care este instalată pe aproape toate sistemele de operare similare Unix. Tcpdump este un instrument de colectare excelent și vine completat cu un limbaj de filtrare foarte complex. Este important să știți cum să filtrați datele la momentul colectării pentru a ajunge la o bucată de date care poate fi analizată. Captarea tuturor datelor de pe un dispozitiv de rețea chiar și pe o rețea moderat ocupată poate crea prea multe date pentru a analiza cu ușurință.
În unele cazuri rare, să permiteți tcpdump să își extragă captura direct pe ecranul dvs. poate fi suficient pentru a găsi ceea ce căutați. De exemplu, în scrierea acestui articol, am capturat ceva trafic și am observat că mașina mea trimite trafic către un IP pe care nu-l recunosc. Se pare că aparatul meu a trimis date la o adresă IP Google din 172.217.11.142. Întrucât nu aveam niciun produs Google care să funcționeze și nici Gmail deschis, nu știam de ce se întâmplă acest lucru. Am examinat sistemul meu și am constatat că:
[~] $ ps -ef | grep google
utilizator 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome – tip = serviciu
Se pare că, chiar și atunci când Chrome nu rulează în prim plan, rămâne să funcționeze ca un serviciu. Nu aș fi observat neapărat acest lucru fără o analiză de pachete care să mă sfătuiască. Am re-capturat câteva date mai multe tcpdump, dar de data aceasta i-am spus tcpdump să scrie datele într-un fișier pe care l-am deschis în Wireshark (mai multe despre asta mai târziu). Iată această intrare:
Tcpdump este un instrument preferat printre sysadmins, deoarece este un instrument de linie de comandă. Aceasta înseamnă că nu este necesar să fie rulat un desktop complet. Este neobișnuit ca serverele de producție să ofere un desktop din cauza resurselor pe care le-ar lua, deci instrumentele pentru linia de comandă sunt preferate. La fel ca în cazul multor instrumente avansate, tcpdump are un limbaj foarte bogat și arcane, care necesită ceva timp pentru a stăpâni. Câteva dintre comenzile foarte de bază implică selectarea interfeței de rețea din care să colecteze date și scrierea datelor într-un fișier, astfel încât să poată fi exportată pentru analiză în altă parte. Comutatoarele -i și -w sunt utilizate pentru aceasta.
# tcpdump -i eth0 -w tcpdump_packets
tcpdump: ascultare pe et0, link EN10MB (Ethernet), captura dimensiune 262144 octeți
^ Pachetele C51 capturate
Aceasta produce un fișier de captură:
fișier tcpdump_packets
tcpdump_packets: fișier de captare tcpdump (Little-endian) – versiunea 2.4 (Ethernet, lungime de captare 262144)
Fișierul standard de captare TCP este un fișier pcap. Nu este text, astfel încât poate fi citit doar de un program de analiză care știe să citească fișierele PC.
6. WinDump
Cele mai utile instrumente open source sunt în cele din urmă clonate către alte sisteme de operare. Când se întâmplă acest lucru, se spune că aplicația a fost portată. WinDump este un port al tcpdump și se comportă în moduri foarte similare.
O diferență majoră între WinDump și tcpdump este că Windump are nevoie de biblioteca WinpCap instalată înainte de a putea rula WinDump. În ciuda faptului că WinDump și WinpCap sunt furnizate de același întreținător, acestea sunt descărcări separate.
WinpCap este o bibliotecă reală care trebuie instalată. Dar, odată instalat, WinDump este un fișier .exe care nu are nevoie de nicio instalare, astfel încât să poată rula. Acesta poate fi ceva ce trebuie să țineți cont dacă executați o rețea Windows. Nu aveți nevoie neapărat de WinDump instalat pe fiecare aparat, deoarece puteți să-l copiați în funcție de necesități, dar veți dori ca WinpCap să fie instalat pentru a susține WinDump.
Ca și în cazul tcpdump, WinDump poate transmite date de rețea pe ecran pentru analiză, poate fi filtrat în același mod și, de asemenea, scrie date într-un fișier pcap pentru analiză în afara locului..
7. Wireshark
Wireshark este probabil următorul instrument cel mai cunoscut din setul de instrumente al oricărui sistem. Nu numai că poate captura date, ci oferă și câteva instrumente avansate de analiză. Adăugând apelului său, Wireshark este open source și a fost transferat la aproape toate sistemele de operare ale serverului care există. Începând viața numită Etheral, Wireshark rulează acum peste tot, inclusiv ca o aplicație portabilă autonomă.
Dacă analizați traficul pe un server cu un desktop instalat, Wireshark poate face totul pentru dvs. Poate colecta datele și apoi analiza toate într-un singur loc. Cu toate acestea, computerele de birou nu sunt comune pe servere, așa că în multe cazuri, veți dori să capturați datele rețelei de la distanță, apoi să trageți fișierul pcap rezultat în Wireshark.
La prima lansare, Wireshark vă permite să încărcați un fișier pcap existent sau să începeți să capturați. Dacă alegeți să surprindeți traficul de rețea, puteți specifica opțional filtre pentru a calcula cantitatea de date colectate de Wireshark. Deoarece instrumentele sale de analiză sunt atât de bune, este mai puțin important să vă asigurați că identificați chirurgical datele la momentul colectării cu Wireshark. Dacă nu specificați un filtru, Wireshark va colecta pur și simplu toate datele de rețea pe care le observă interfața selectată.
Unul dintre cele mai utile instrumente oferite de Wireshark este posibilitatea de a urmări un flux. Este probabil cel mai util să gândim un flux ca o întreagă conversație. În imaginea de mai jos putem vedea că au fost capturate o mulțime de date, dar ceea ce mă interesează cel mai mult este faptul că IP-ul Google. Pot face clic dreapta pe el și Urmați fluxul TCP pentru a vedea întreaga conversație.
Dacă ați capturat trafic în altă parte, puteți importa fișierul pcap folosind fișierul Wireshark -> Dialog deschis. Aceleași filtre și instrumente care pot fi utilizate pentru datele de rețea capturate nativ sunt disponibile pentru fișierele importate.
8. TShark
TShark este o cruce foarte utilă între tcpdump și Wireshark. Tcpdump excelează la colectarea datelor și poate extrage foarte chirurgical doar datele pe care le doriți, însă este limitat în cât de util poate fi pentru analiză. Wireshark face o treabă excelentă atât la colectare cât și la analiză, dar, având în vedere o interfață de utilizator grea, nu poate fi folosit pe servere fără cap. Introduceți TShark; captează și analizează, dar acesta din urmă pe linia de comandă.
TShark folosește aceleași convenții de filtrare ca Wireshark, care nu ar trebui să fie o surpriză, deoarece acestea sunt în esență același produs. Această comandă spune TShark să deranjeze doar captarea adresei IP de destinație, precum și alte câmpuri interesante din partea HTTP a pachetului..
# tshark -i eth0 -Y http.request -T câmpuri -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
Dacă doriți să capturați într-un fișier, puteți utiliza comutatorul -w pentru a-l scrie, apoi puteți folosi comutatorul -r (modul citire) al TShark pentru a-l citi.
Capturați mai întâi:
# tshark -i eth0 -w tshark_packets
Capturarea pe „eth0”
102 ^ C
Citiți-l, fie pe același server, fie transferați-l pe un alt server de analiză.
# tshark -r tshark_packets -Y http.request -T câmpuri -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / contact
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / rezervări /
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /reservations/styles/styles.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/images/title.png
9. Miner de rețea
Network Miner este un instrument foarte interesant, care se încadrează mai mult în categoria instrumentului criminalistic decât într-un sniffer de pachete. Domeniul criminalisticilor se ocupă, de regulă, cu investigarea și colectarea de dovezi, iar rețeaua minerului funcționează bine pentru traficul de rețea. La fel ca WireShark poate urma un flux TCP pentru a recupera o întreagă conversație TCP, Network Miner poate urmări un flux pentru a reconstrui fișierele care au fost trimise prin rețea.
Pentru a surprinde traficul în direct, Network Miner ar trebui plasat strategic în rețea pentru a putea observa și colecta traficul de care sunteți interesat. Nu va introduce niciun trafic propriu în rețea, astfel încât funcționează foarte sigur.
Network Miner poate funcționa și în modul offline. Puteți utiliza instrumentul încercat și adevărat tcpdump pentru a catpura pachetele la un punct de interes din rețeaua dvs., apoi importați fișierele pcap în Network Miner. Apoi va încerca să reconstruiască orice fișiere sau certificate pe care le găsește în fișierul de captare.
Network Miner este construit pentru Windows, dar folosind Mono, acesta poate fi rulat pe orice sistem de operare care are un cadru Mono, cum ar fi Linux și macOS.
Există o versiune gratuită pentru a vă începe, care are o gamă decentă de funcții. Dacă doriți funcții mai avansate, cum ar fi locația GeoIP și scripturile personalizate, va trebui să achiziționați o licență profesională.
10. Fiddler (HTTP)
Fiddler nu este tehnic un instrument de captare a pachetelor de rețea, dar este atât de incredibil de util încât a făcut lista. Spre deosebire de celelalte instrumente enumerate aici, care sunt concepute pentru a capta trafic ad-hoc în rețea din orice sursă, Fiddler este mai mult un instrument de depanare desktop. Captează traficul HTTP și, deși multe browsere au deja această capacitate în instrumentele lor pentru dezvoltatori, Fiddler nu se limitează la traficul de browser. Fiddler poate captura orice trafic HTTP de pe desktop, inclusiv cel al aplicațiilor non-web.
Multe aplicații desktop folosesc HTTP pentru a se conecta la servicii web și fără un instrument precum Fiddler, singura modalitate de a captura acel trafic pentru analiză este folosind instrumente precum tcpdump sau WireShark. Cu toate acestea, aceste instrumente funcționează la nivel de pachete, astfel încât analiza include reconstrucția acestor pachete în fluxuri HTTP. Acest lucru poate fi mult de lucru pentru a efectua o anchetă HTTP simplă și Fiddler vine la salvare. Fiddler vă poate ajuta să descoperiți cookie-uri, certificate și date privind sarcinile utile care intră sau ies din aplicațiile respective.
Ajută ca Fiddler să fie gratuit și, la fel ca Network Miner, să poată fi rulat în Mono pe orice alt sistem de operare care are un cadru Mono.
11. Capsa
Capsa Network Analyzer are mai multe ediții, fiecare având diferite capacități. La primul nivel, gratuit Capsa, software-ul captează în esență doar pachete și permite unele analize foarte grafice ale acestora. Tabloul de bord este foarte unic și poate ajuta sistemele novice să identifice rapid problemele de rețea chiar și cu puține cunoștințe reale despre pachete. Nivelul gratuit se adresează persoanelor care doresc să afle mai multe despre pachete și își dezvoltă abilitățile în analiști cu drepturi depline.
Versiunea gratuită știe să monitorizeze peste 300 de protocoale, permite monitorizarea prin e-mail și, de asemenea, este capabilă să salveze conținut de e-mail și, de asemenea, acceptă declanșarea. Declanșatoarele pot fi utilizate pentru a seta alerte pentru situații specifice, ceea ce înseamnă că Capsa poate fi de asemenea utilizat într-o anumită măsură cu o capacitate de asistență.
Capsa este disponibil numai pentru Windows 2008 / Vista / 7/8 și 10.
Cuvinte finale
Cu instrumentele pe care le-am menționat, nu este un salt mare să vezi cum un administrator de sisteme ar putea construi o infrastructură de monitorizare a rețelei la cerere. Tcpdump sau Windump ar putea fi instalate pe toate serverele. Un planificator, cum ar fi cron sau programatorul Windows, ar putea lansa o sesiune de colecție de pachete la un moment dat de interes și să scrie aceste colecții într-un fișier pcap. La un moment dat, un sysadmin poate transfera acele pachete într-o mașină centrală și poate folosi Wireshark pentru a le analiza. Dacă rețeaua este atât de mare încât acest lucru nu este posibil, atunci instrumente la nivel de întreprindere, precum suita SolarWinds, pot ajuta la îmblânzirea tuturor datelor din rețea într-un set de date gestionabile.
