Packet Sniffing – разговорный термин, относящийся к искусству анализа сетевого трафика. Вопреки здравому смыслу, такие вещи, как электронная почта и веб-страницы, не пересекают Интернет одним куском. Они разбиты на тысячи маленьких пакетов данных и отправлены через Интернет таким образом.
Существует множество инструментов для сбора сетевого трафика, и большинство из них используют pcap (Unix-подобные системы) или libcap (системы Windows) в своей основе для создания фактической коллекции. Существует еще один набор инструментов, помогающих анализировать эти данные, потому что даже небольшое количество данных может привести к тысячам пакетов, по которым трудно ориентироваться. Почти все эти инструменты собираются одинаково; это анализ, который отличает их.
В этом посте подробно рассматриваются все инструменты, которые сделали его здесь, но если у вас мало времени, вот наш список лучшие анализаторы пакетов и анализаторы сети:
- Инструмент глубокого анализа и анализа пакетов SolarWinds (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ) Высококачественный инструмент анализа сетевого трафика, который работает на Windows Server и является частью
- Paessler Packet Capture Tool (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ) Анализатор пакетов, датчик NetFlow, датчик sFlow и датчик J-Flow, встроенные в Paessler PRTG.
- ManageEngine NetFlow Analyzer (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ) Инструмент анализа трафика, который работает с NetFlow, J-Flow, sFlow Netstream, IPFIX и AppFlow
- Omnipeek Анализатор сетевых протоколов Сетевой монитор, который можно расширить для захвата пакетов.
- ТСРйитр Необходимый бесплатный инструмент для захвата пакетов, который каждый сетевой менеджер нуждается в своем инструментарии.
- WinDump Бесплатный клон tcpdump, написанный для систем Windows.
- Wireshark Хорошо известный бесплатный инструмент для захвата пакетов и анализа данных.
- tshark Облегченный ответ для тех, кто хочет функциональность Wireshark, но тонкий профиль tcpdump.
- Сетевой майнер Сетевой анализатор на базе Windows с бесплатной версией без излишеств.
- обманщик Инструмент захвата пакетов, который фокусируется на трафике HTTP.
- Capsa Написанный для Windows, бесплатный инструмент для захвата пакетов может быть обновлен за плату, чтобы добавить аналитические функции.
Преимущества сниффинга пакетов
Анализатор пакетов – это полезный инструмент, позволяющий вам реализовать политику емкости вашей компании. Основными преимуществами являются то, что они:
- Определите перегруженные ссылки
- Определите приложения, которые генерируют больше всего трафика
- Сбор данных для прогнозного анализа
- Выделите пики и провалы в спросе на сеть
Действия, которые вы предпринимаете, зависят от вашего доступного бюджета. Если у вас есть ресурсы для расширения пропускной способности сети, анализатор пакетов позволит вам более эффективно использовать новые ресурсы. Если у вас нет бюджета, отслеживание пакетов поможет формировать трафик путем определения приоритетов трафика приложений, изменения размера подсетей, изменения расписания событий с интенсивным трафиком, ограничения полосы пропускания для конкретных приложений или замены приложений более эффективными альтернативами..
Неразборчивый режим
Важно понимать, как работает сетевая карта на вашем компьютере, когда вы устанавливаете программное обеспечение для перехвата пакетов. Интерфейс от вашего компьютера к сети называется «контроллер сетевого интерфейса,»Или NIC. Ваш сетевой адаптер будет принимать только интернет-трафик, который адресован его MAC-адресу.
Чтобы захватить общий трафик, вы должны поместить свой NIC в «беспорядочный режим.Это снимает ограничение прослушивания на NIC. В случайном режиме ваша сетевая карта будет захватывать весь сетевой трафик. Большинство анализаторов пакетов имеют утилиту в пользовательском интерфейсе, которая управляет переключателем режима для вас.
Типы сетевого трафика
Анализ сетевого трафика требует понимания того, как работает сеть. Не существует инструмента, который волшебным образом устранял бы требование аналитика понимать основы работы в сети, например трехстороннее рукопожатие TCP, которое используется для установления соединения между двумя устройствами. Аналитики также должны иметь некоторое представление о типах сетевого трафика, который существует в нормально функционирующей сети, таких как трафик ARP и DHCP. Эти знания очень важны, потому что инструменты анализа просто покажут вам, о чем вы просите – вы должны знать, о чем просить. Если вы не уверены, как ваша сеть выглядит нормально, может быть трудно убедиться, что вы ищете правильную вещь в массе собранных вами пакетов..
Корпоративные инструменты
Давайте начнем с вершины и продолжим наш путь к самым мелким основам. Если вы имеете дело с сетью уровня предприятия, вам понадобятся большие средства. Хотя почти все использует tcpdump в своей основе (подробнее об этом позже), инструменты уровня предприятия могут предоставлять другие аналитические функции, такие как корреляция трафика со многих серверов, предоставление интеллектуальных инструментов запросов для выявления проблем, оповещения о случаях исключений и создания хороших графиков, которые требования управления.
Инструменты уровня предприятия, как правило, фокусируются на потоке сетевого трафика, а не на оценке содержимого пакета. Под этим я подразумеваю, что целью большинства системных администраторов на предприятии является обеспечение бесперебойной работы сети без узких мест производительности. Когда возникают узкие места, цель обычно состоит в том, чтобы определить, является ли проблема сетью или приложением в сети. С другой стороны, эти инструменты уровня предприятия обычно способны видеть столько трафика, что они могут помочь предсказать, когда сегмент сети будет насыщен, что является критически важным элементом управления пропускной способностью..
Хакерские инструменты
Пакетные снифферы также используются хакерами. Помните, что эти инструменты могут использоваться как для атаки на вашу сеть, так и для решения проблем. Пакетные анализаторы могут использоваться как wiretappers чтобы помочь украсть данные в пути, и они также могут способствоватьчеловек посередине”Атаки, которые изменяют данные при передаче и перенаправляют трафик, чтобы обмануть пользователя в сети. Инвестируйте в системы обнаружения вторжений, чтобы защитить вашу сеть от этих форм несанкционированного доступа
Как работают Packet Sniffers и Network Analyzers?
Ключевой особенностью анализатора пакетов является то, что он копирует данные во время их перемещения по сети и делает их доступными для просмотра.. Устройство отслеживания просто копирует все данные, которые оно видит, проходя по сети. При реализации на коммутаторе настройки устройства позволяют отправлять передаваемый пакет на второй порт, а также на предполагаемый пункт назначения, дублируя таким образом трафик. Обычно пакеты данных, которые собираются из сети, копируются в файл. Некоторые инструменты также отображают эти данные на панели инструментов. тем не мение, анализаторы пакетов могут собирать много данных, включая закодированную информацию администратора. Вам нужно будет найти инструмент анализа, который поможет вам разыменовать информацию о перемещении пакетов в извлечении и другой части информации, такой как релевантность номеров портов, между которыми проходят пакеты.
Простой перехватчик пакетов скопирует все пакеты, передаваемые по сети. Это может быть проблемой. Если полезная нагрузка пакета не зашифрована, вы позволите персоналу ИТ-отдела видеть конфиденциальную деловую информацию при ее передаче по сети. По этой причине многие анализаторы пакетов могут быть ограничены, так что они будут копировать только информацию заголовка. В большинстве случаев содержимое пакета не требуется для анализа производительности сети. Если вы хотите отслеживать использование сети в течение 24 часов или нескольких дней, то хранение каждого пакета займет очень большой объем дискового пространства – даже если вы берете только заголовки пакетов. В этих сценариях рекомендуется производить выборку пакетов, что означает копирование каждого 10-го или 20-го пакета, а не копирование по каждому отдельному пакету..
Лучшие анализаторы пакетов и анализаторы сети
Мы оценили следующие инструменты в соответствии со следующими общими соображениями: полезные функции, надежность, простота установки, интеграция и использование, объем предлагаемой помощи и поддержки, насколько хорошо программное обеспечение обновляется и поддерживается и насколько авторитетны разработчики. индустрия.
1. Инструмент глубокого анализа и анализа пакетов SolarWinds (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
SolarWinds – это очень широкий набор инструментов для управления ИТ. Инструментом, более подходящим для этой статьи, является инструмент глубокого анализа и анализа пакетов. Собирать сетевой трафик довольно просто. При использовании таких инструментов, как WireShark, анализ базового уровня также не является пробным показом. Но не во всех ситуациях есть такие проблемы. В очень загруженной сети может быть трудно определить даже некоторые очень простые вещи, такие как:
- Какое приложение в сети создает этот трафик?
- Если приложение известно (скажем, веб-браузер), где люди проводят большую часть своего времени?
- Какие соединения занимают больше всего времени и перегружают сеть?
Большинство сетевых устройств просто используют метаданные каждого пакета, чтобы гарантировать, что пакет получит, куда он идет. Содержимое пакета неизвестно сетевому устройству. Глубокая проверка пакетов отличается; это означает, что фактическое содержимое пакета проверяется, чтобы узнать о нем больше. Таким способом можно обнаружить критически важную информацию о сети, которую невозможно извлечь из метаданных. Инструменты, подобные предоставляемым SolarWinds, могут предоставить более значимые данные, чем просто поток трафика.
Другие методы управления большими сетями включают NetFlow и sFlow. У каждого есть свои сильные и слабые стороны, и вы можете узнать больше о методах NetFlow и sFlow здесь.
Сетевой анализ, вообще говоря, является продвинутой темой, которая включает половину опыта и половину обучения. Можно научить кого-то понимать каждую деталь о сетевых пакетах, но если этот человек не обладает знаниями о целевой сети и не имеет некоторого опыта для выявления аномалий, он не сможет продвинуться далеко вперед. Инструменты, которые я перечислил в этой статье, могут использовать опытные сетевые администраторы, которые уже знают, что ищут, но не уверены, какие инструменты лучше. Они также могут использоваться более младшими системными администраторами для получения опыта работы с сетями во время повседневной работы, что поможет выявить проблемы в дальнейшем..
ВЫБОР РЕДАКТОРА
Монитор производительности сети SolarWinds дает подробное представление о причинах медленной работы сети и позволяет быстро устранить основные причины с помощью глубокого анализа пакетов. Идентифицируя трафик по приложениям, категориям (бизнес против социальных) и уровню риска, вы можете устранить и отфильтровать проблемный трафик и измерить время отклика приложения. С отличным пользовательским интерфейсом, это отличный выбор для анализа пакетов и анализа сети..
Скачать: Полностью функциональная БЕСПЛАТНАЯ 30-дневная пробная версия на SolarWinds.com
Официальный сайт: www.solarwinds.com/topics/deep-packet-inspection/
ОПЕРАЦИОННЫЕ СИСТЕМЫ: Windows Server
2. Инструмент захвата пакетов Paessler (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
Paessler Packet-Capture-Tool PRTG: многофункциональный мониторинг – это унифицированный инструмент мониторинга инфраструктуры. Это помогает вам управлять вашей сетью и вашими серверами. Сегмент мониторинга сети утилиты охватывает два типа задач. Это монитор производительности сети, который проверяет состояния сетевых устройств и анализатор пропускной способности сети, который покрывает поток трафика по ссылкам в сети..
Часть анализа полосы пропускания PRTG реализована с использованием четырех различных инструментов захвата пакетов. Эти:
- Анализатор пакетов
- Датчик NetFlow
- Датчик потока
- Датчик J-Flow
Анализатор пакетов PRTG захватывает только заголовки пакетов, проходящих через вашу сеть. Это дает анализатору преимущество в скорости, а также уменьшает объем памяти, необходимый для хранения захваченных файлов. Панель мониторинга анализатора пакетов классифицирует трафик по типу приложения. К ним относятся трафик электронной почты, веб-пакеты, данные трафика приложения чата и объемы пакетов передачи файлов..
NetFlow – очень широко используемая система обмена сообщениями о потоках данных. Он был создан Cisco Systems, но также используется для оборудования других производителей. Датчик PRTG NetFlow также принимает сообщения IPFIX – этот стандарт обмена сообщениями является преемником IETF NetFlow. Метод J-Flow – это аналогичная система обмена сообщениями, используемая Juniper Networks для своего оборудования. Стандарт sFlow осуществляет выборку потоков трафика, поэтому он будет собирать каждый n-й пакет. NetFlow и J-Flow захватывают непрерывные потоки пакетов.
Paessler оценивает свое программное обеспечение PRTG на количество «датчиков», которые активирует реализация. Датчик – это состояние системы или аппаратный компонент. Например, каждый из четырех анализаторов пакетов, предлагаемых Paessler, считается одним датчиком PRTG. Систему можно использовать бесплатно, если вы активируете 100 датчиков или меньше, поэтому, если вы используете этот пакет только для его интерфейсов отслеживания пакетов, вам не нужно платить Paessler ничего.
Система Paessler включает в себя множество других возможностей мониторинга сети и сервера, включая монитор виртуализации и монитор приложений. PRTG может быть установлен локально или вы можете получить к нему доступ как к облачной службе. Программное обеспечение работает в среде Windows, и вы можете получить его на 30-дневную бесплатную пробную версию.
Инструмент захвата пакетов Paessler PRTGСкачать 30-дневную пробную версию
3. ManageEngine NetFlow Analyzer (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
ManageEngine NetFlow Analyzer получает информацию о трафике от ваших сетевых устройств. С помощью этого инструмента вы можете выбирать трафик, захватывать целые потоки или собирать статистику по шаблонам трафика..
Производители сетевых устройств не все используют один и тот же протокол для передачи данных трафика. Таким образом, NetFlow Analyzer способен использовать разные языки для сбора информации. Это включает Cisco NetFlow, Juniper Networks J-Flow, и Huawei Netstream. Он также способен общаться с Sflow, IPFIX, и AppFlow стандарты.
Монитор может отслеживать согласованность потоков данных, а также нагрузку на каждое сетевое устройство. Возможности анализа трафика позволяют увидеть пакеты как они проходят через устройство и записывают их в файл. Эта видимость позволит вам увидеть, какие приложения расходуют большую часть вашей пропускной способности, и принимать решения относительно мер по ограничению трафика, таких как приоритетная очередность или регулирование.
Приборная панель системы оснащена графикой с цветовой кодировкой, которая значительно облегчает задачу обнаружения проблем. Привлекательный внешний вид консоли сочетается с другими инструментами мониторинга инфраструктуры ManageEngine, поскольку все они построены на общей платформе. Это позволяет интегрировать его с несколькими продуктами ManageEngine. Например, сетевые администраторы часто покупают оба OpManager и анализатор NetFlow от Manage Engine.
OpManager контролирует состояния устройств с SNMP процедуры, которые NetFlow Analyzer фокусирует на уровнях трафика и шаблонах потока пакетов.
ManageEngine NetFlow Analyzer устанавливается на Windows, Windows Server, и RHEL, CentOS, мягкая фетровая шляпа, Debian, SUSE, и Ubuntu Linux. Система предлагается в двух редакциях.
Редакция Essential предоставляет стандартные функции мониторинга сетевого трафика, а также модуль отчетности и выставления счетов. Более высокий план называется Enterprise Edition. Это имеет все функции Essential Edition плюс NBAR & CBQoS мониторинг, модуль расширенной аналитики безопасности, утилиты планирования емкости и возможности глубокой проверки пакетов. Это издание также включает в себя IP SLA и ВЗК мониторинг.
Вы можете получить любую версию NetFlow Analyzer на 30-дневную бесплатную пробную версию.
ManageEngine NetFlow AnalyzerDownload 30-дневная бесплатная пробная версия
4. Omnipeek Анализатор сетевых протоколов
LiveAction Omnipeek, ранее продукт Savvius, анализатор сетевых протоколов, который может использоваться для захвата пакетов, а также для анализа протоколов сетевого трафика.
Omnipeek может быть расширен с помощью плагинов. Основная система Omipeek не перехватывает сетевые пакеты. Тем не менее, добавление Двигатель захвата плагин получает функцию захвата пакета. Система Capture Engine принимает пакеты в проводной сети; другое расширение называется Адаптер Wi-Fi добавляет беспроводные возможности и позволяет захватывать пакеты Wifi через Omnipeek.
Функции базового Omnipeek Network Protocol Analyzer распространяются на мониторинг производительности сети. Помимо регистрации трафика по протоколу, программное обеспечение будет измерять скорость передачи и регулярность трафика., оповещения если трафик замедляется или срабатывает пройденные граничные условия, установленные администратором сети.
Анализатор трафика может отслеживать концы с концами передавать производительность по всей сети или просто отслеживать каждый ссылка на сайт. Другие функции контролируют интерфейсы, включая входящий трафик, поступающий на веб-серверы из-за пределов сети. Программное обеспечение особенно заинтересовано в пропускной способности трафика и отображении трафика по протоколу. Данные можно просматривать в виде списков протоколов и их пропускной способности или в виде графиков и диаграмм в режиме реального времени. Пакеты, захваченные с помощью механизма захвата, могут быть хранится для анализа или воспроизводится по сети для тестирование производительности.
Omnipeek устанавливается на Windows и Windows Server. Система не бесплатна для использования. Тем не менее, можно получить Omnipeek на 30-дневную бесплатную пробную версию.
5. tcpdump
Фундаментальный инструмент сбора почти всего сетевого трафика – tcpdump. Это приложение с открытым исходным кодом, которое устанавливается практически во всех Unix-подобных операционных системах. Tcpdump – это отличный инструмент для сбора и поставляется с очень сложным языком фильтрации. Важно знать, как фильтровать данные во время сбора, чтобы в итоге получить управляемый кусок данных для анализа. Сбор всех данных с сетевого устройства даже в сети с умеренной загруженностью может создать слишком много данных для анализа..
В некоторых редких случаях, чтобы tcpdump мог выводить свой захват прямо на ваш экран, может оказаться достаточно, чтобы найти то, что вы ищете. Например, при написании этой статьи я захватил некоторый трафик и заметил, что моя машина отправляла трафик на IP-адрес, который я не распознал. Оказывается, моя машина отправляла данные на IP-адрес Google 172.217.11.142. Поскольку у меня не было ни запущенных продуктов Google, ни открытого Gmail, я не знал, почему это происходит. Я проверил свою систему и нашел это:
[~] $ ps -ef | grep google
пользователь 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome –type = service
Кажется, что даже когда Chrome не работает на переднем плане, он продолжает работать как сервис. Я не обязательно заметил бы это без анализа пакетов, чтобы предупредить меня. Я перехватил еще некоторые данные tcpdump, но на этот раз сказал tcpdump записать данные в файл, который я открыл в Wireshark (подробнее об этом позже). Вот эта запись:
Tcpdump является любимым инструментом среди системных администраторов, потому что это инструмент командной строки. Это означает, что для его работы не требуется полноценный рабочий стол. Для производственных серверов необычно предоставлять рабочий стол из-за необходимых ресурсов, поэтому предпочтительнее использовать инструменты командной строки. Как и во многих расширенных инструментах, tcpdump имеет очень богатый и загадочный язык, который требует некоторого времени для освоения. Некоторые из самых простых команд включают выбор сетевого интерфейса, из которого нужно собирать данные, и запись этих данных в файл, чтобы их можно было экспортировать для анализа в другом месте. Для этого используются ключи -i и -w.
# tcpdump -i eth0 -w tcpdump_packets
tcpdump: прослушивание eth0, тип канала EN10MB (Ethernet), размер захвата 262144 байта
^ C51 пакеты перехвачены
Это создает файл захвата:
файл tcpdump_packets
tcpdump_packets: файл захвата tcpdump (little-endian) – версия 2.4 (Ethernet, длина захвата 262144)
Стандартный файл захвата TCP является файлом pcap. Это не текст, поэтому он может быть прочитан только программой анализа, которая знает, как читать файлы pcap.
6. WinDump
Самые полезные инструменты с открытым исходным кодом в конечном итоге клонируются в другие операционные системы. Когда это происходит, говорят, что приложение было портировано. WinDump является портом tcpdump и ведет себя очень похоже.
Одним из основных отличий между WinDump и tcpdump является то, что Windump требуется библиотека WinpCap, установленная до запуска WinDump. Несмотря на то, что WinDump и WinpCap предоставляются одним и тем же сопровождающим, они являются отдельными загрузками.
WinpCap – это актуальная библиотека, которую нужно установить. Но после установки WinDump представляет собой файл .exe, который не требует установки, поэтому его можно просто запустить. Об этом следует помнить, если вы работаете в сети Windows. Вам не обязательно устанавливать WinDump на каждом компьютере, так как вы можете просто скопировать его по мере необходимости, но вы захотите установить WinpCap для поддержки WinDump.
Как и в случае с tcpdump, WinDump может выводить сетевые данные на экран для анализа, таким же образом фильтроваться, а также записывать данные в файл pcap для анализа вне офиса..
7. Wireshark
Wireshark, вероятно, является следующим самым известным инструментом в наборе инструментов любого системного администратора. Он может не только собирать данные, но и предоставляет некоторые расширенные инструменты анализа. В дополнение к своей привлекательности Wireshark имеет открытый исходный код и был перенесен практически на все существующие серверные операционные системы. Начиная жизнь под названием Etheral, Wireshark теперь работает повсюду, в том числе как автономное портативное приложение.
Если вы анализируете трафик на сервере с установленным рабочим столом, Wireshark может сделать все это за вас. Он может собирать данные, а затем анализировать их все в одном месте. Тем не менее, настольные компьютеры не являются распространенными на серверах, поэтому во многих случаях вам нужно удаленно захватывать сетевые данные, а затем извлекать полученный файл pcap в Wireshark..
При первом запуске Wireshark позволяет либо загрузить существующий файл pcap, либо начать захват. Если вы решили захватывать сетевой трафик, вы можете дополнительно указать фильтры, чтобы сократить объем данных, которые собирает Wireshark. Поскольку его инструменты анализа настолько хороши, менее важно обеспечить хирургическую идентификацию данных во время сбора данных с помощью Wireshark. Если вы не укажете фильтр, Wireshark просто соберет все сетевые данные, которые соблюдает выбранный вами интерфейс..
Одним из наиболее полезных инструментов, предоставляемых Wireshark, является возможность следить за потоком. Вероятно, наиболее полезно думать о потоке как о целой беседе. На скриншоте ниже мы видим, что было захвачено много данных, но больше всего меня интересует то, что Google IP. Я могу щелкнуть по нему правой кнопкой мыши и следить за потоком TCP, чтобы увидеть весь разговор.
Если вы захватили трафик в другом месте, вы можете импортировать файл pcap с помощью файла Wireshark -> Открытый диалог. Для импортированных файлов доступны те же фильтры и инструменты, которые можно использовать для собственных сетевых данных..
8. Тшарк
TShark – очень полезная помесь tcpdump и Wireshark. Tcpdump отлично справляется со сбором данных и может очень хирургически извлекать только те данные, которые вам нужны, однако он ограничен в том, насколько он может быть полезен для анализа. Wireshark отлично справляется как со сбором, так и с анализом, но, поскольку у него тяжелый пользовательский интерфейс, его нельзя использовать на серверах без монитора. Введите TShark; он захватывает и анализирует, но делает последнее в командной строке.
TShark использует те же правила фильтрации, что и в Wireshark, что не должно вызывать удивления, поскольку они по сути являются одним и тем же продуктом. Эта команда сообщает TShark, что нужно захватывать только IP-адрес назначения, а также некоторые другие интересные поля из HTTP-части пакета..
# tshark -i eth0 -Y http.request -T поля -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
Если вы хотите записать в файл, вы можете использовать ключ -w, чтобы записать его, а затем использовать ключ TSrark -r (режим чтения), чтобы прочитать его..
Захват сначала:
# tshark -i eth0 -w tshark_packets
Захват на ‘eth0’
102 ^ C
Прочитайте его либо на том же сервере, либо перенесите на другой сервер анализа.
# tshark -r tshark_packets -Y http.request -T поля -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / contact
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / Reservations /
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /reservations/styles/styles.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/images/title.png
9. Сетевой майнер
Network Miner – очень интересный инструмент, который больше относится к категории криминалистического инструмента, чем к анализатору пакетов. Область криминалистики обычно занимается расследованием и сбором доказательств, и Network Miner хорошо справляется с этим для сетевого трафика. Подобно тому, как WireShark может следовать потоку TCP для восстановления всего разговора TCP, Network Miner может следовать потоку для восстановления файлов, которые были отправлены по сети.
Для захвата живого трафика Network Miner должен быть стратегически размещен в сети, чтобы иметь возможность наблюдать и собирать интересующий вас трафик. Он не будет вводить какой-либо собственный трафик в сеть, поэтому он работает очень незаметно..
Network Miner также может работать в автономном режиме. Вы можете использовать проверенный и надежный инструмент tcpdump для перехвата пакетов в интересующей вас точке сети, а затем импортировать файлы pcap в Network Miner. Затем он попытается восстановить любые файлы или сертификаты, найденные в файле захвата..
Network Miner построен для Windows, но с помощью Mono его можно запустить на любой ОС с платформой Mono, такой как Linux и macOS.
Существует бесплатная версия для начала, которая имеет приличный набор функций. Если вам нужны более продвинутые возможности, такие как расположение GeoIP и пользовательские сценарии, вам необходимо приобрести профессиональную лицензию.
10. Скрипач (HTTP)
Fiddler технически не является инструментом захвата сетевых пакетов, но он настолько невероятно полезен, что попал в список. В отличие от других инструментов, перечисленных здесь, которые предназначены для захвата специального трафика в сети из любого источника, Fiddler – больше инструмент для отладки рабочего стола. Он захватывает HTTP-трафик, и, хотя многие браузеры уже имеют эту возможность в своих инструментах разработчика, Fiddler не ограничивается трафиком браузера. Fiddler может захватывать любой трафик HTTP на рабочем столе, в том числе не веб-приложений.
Многие настольные приложения используют HTTP для подключения к веб-сервисам, и без такого инструмента, как Fiddler, единственный способ получить этот трафик для анализа – использовать такие инструменты, как tcpdump или WireShark. Однако эти инструменты работают на уровне пакетов, поэтому анализ включает реконструкцию этих пакетов в потоки HTTP. Это может быть много работы для того, чтобы выполнить простое HTTP-расследование, и Fiddler придет на помощь. Fiddler может помочь обнаружить файлы cookie, сертификаты и данные полезной нагрузки, поступающие в эти приложения или выходящие из них..
Помогает то, что Fiddler бесплатен и, как и Network Miner, его можно запускать в Mono на любой другой операционной системе, которая имеет платформу Mono.
11. Капса
Capsa Network Analyzer имеет несколько выпусков, каждый с различными возможностями. На первом уровне, бесплатном Capsa, программное обеспечение по сути просто захватывает пакеты и позволяет проводить очень графический анализ их. Панель мониторинга уникальна и может помочь начинающим системным администраторам быстро определить проблемы в сети даже при минимальных знаниях пакетов. Бесплатный уровень предназначен для людей, которые хотят больше узнать о пакетах и развить свои навыки в полноценных аналитиках..
Бесплатная версия знает, как контролировать более 300 протоколов, она позволяет осуществлять мониторинг электронной почты, а также она может сохранять содержимое электронной почты и поддерживает триггер. Триггеры могут быть использованы для установки оповещений для определенных ситуаций, что означает, что Capsa также может быть использован в качестве поддержки в некоторой степени.
Capsa доступна только для Windows 2008 / Vista / 7/8 и 10.
Заключительные слова
С инструментами, которые я упомянул, нет ничего сложного в том, чтобы увидеть, как системный администратор может создать инфраструктуру сетевого мониторинга по требованию. Tcpdump или Windump могут быть установлены на всех серверах. Планировщик, такой как cron или планировщик Windows, может в какой-то момент начать сеанс сбора пакетов и записать эти коллекции в файл pcap. Через некоторое время системный администратор может передать эти пакеты на центральный компьютер и использовать Wireshark для их анализа. Если сеть настолько велика, что это невозможно, то инструменты уровня предприятия, такие как пакет SolarWinds, могут помочь приручить все эти сетевые данные в управляемый набор данных..
