A 2020-as legjobb csomagos szippantók (11 csomagelemzőt felülvizsgáltak)

A csomag-szippantás egy olyan beszélgetési kifejezés, amely a hálózati forgalom elemzésének művészetére utal. A józan észvel ellentétben olyan dolgok, mint az e-mailek és a weboldalak, nem haladnak egy darabban az interneten. Ezeket apró darabokra bontják, és így továbbítják az interneten keresztül.


Sok, sok eszköz létezik, amelyek összegyűjtik a hálózati forgalmat, és többségük a pcap (Unix-szerű rendszerek) vagy a libcap (Windows rendszerek) a magjában a tényleges gyűjtemény elvégzéséhez. Létezik egy másik eszközkészlet az adatok elemzéséhez, mivel még kis mennyiségű adat ezer csomagot eredményezhet, amelyek nehezen navigálhatók. Ezeknek az eszközöknek szinte mindegyike azonos módon gyűjt; az elemzés megkülönbözteti őket.

Ez a bejegyzés az egyes eszközöket részletezi, amelyek itt készítették, de ha kevés az ideje, itt található a listánk a legjobb csomagszippantók és hálózati elemzők:

  1. SolarWinds Mély csomag ellenőrző és elemző eszköz (INGYENES Kísérlet) Kiváló minőségű hálózati forgalom elemző eszköz, amely a Windows Server rendszeren fut és része a
  2. Paessler csomagmegfogó eszköz (INGYENES Kísérlet) A Paessler PRTG-be beépített csomagos szippantó, NetFlow érzékelő, sFlow érzékelő és J-Flow érzékelő.
  3. ManageEngine NetFlow elemző (ingyenes próbaverzió) Forgalom elemző eszköz, amely együttműködik a NetFlow, J-Flow, sFlow Netstream, IPFIX és AppFlow fájlokkal.
  4. Omnipeek Network Protocol Analyzer Hálózati monitor, amely kibővíthető a csomagok elfogására.
  5. tcpdump Az alapvető ingyenes csomagfogó eszköz, amelyet minden hálózati menedzser igényel az eszközkészletében.
  6. Windump A tcpdump ingyenes klónja, a Windows rendszerek számára írva.
  7. Wireshark Jól ismert ingyenes csomaggyűjtő és -elemző eszköz.
  8. tshark Könnyű válasz azoknak, akik szeretnék a Wireshark funkcionalitását, de a tcpdump vékony profilját.
  9. Network Miner Windows alapú hálózati elemző, frissen ingyenes verzióval.
  10. Hegedűs Csomagmegfogó eszköz, amely a HTTP forgalomra összpontosít.
  11. Capsa A Windows számára írt ingyenes csomagmegfogó eszköz fizetés céljából frissíthető az analitikai funkciók hozzáadása érdekében.

A csomagszippantás előnyei

A csomagos szippantás hasznos eszköz a vállalat hálózati kapacitási politikájának végrehajtásához. A fő előnyök az, hogy:

  • Azonosítsa a túlterhelt linkeket
  • Azonosítsa azokat az alkalmazásokat, amelyek generálják a legnagyobb forgalmat
  • Az adatok gyűjtése a prediktív elemzéshez
  • Jelölje ki a hálózati igény csúcsait és vályait

A végrehajtott tevékenységek a rendelkezésre álló költségvetéstől függnek. Ha rendelkeznek erőforrásokkal a hálózati kapacitás bővítéséhez, akkor a csomagmegszakító lehetővé teszi az új erőforrások hatékonyabb célzását. Ha nincs költségvetése, a csomagszippantás elősegíti a forgalom kialakítását az alkalmazásforgalom prioritásaként, az alhálózatok átméretezésével, a nagy forgalmú események ütemezésével, az egyes alkalmazások sávszélességének korlátozásával vagy az alkalmazások hatékonyabb alternatívákkal történő felváltásával..

Ígéretes mód

Fontos megérteni, hogy miként működik a számítógép hálózati kártya, amikor csomagszippantó szoftvert telepít. A számítógép és a hálózat közötti interfészt „hálózati interfész vezérlő,Vagy NIC. A hálózati kártya csak az MAC-címére címzett internetes forgalmat fogja felvenni.

Az általános forgalom rögzítéséhez be kell helyeznie a hálózati kártyáját a „ígéretes mód.Ez eltávolítja a hálózati kártya hallgatási korlátját. Ígéretes módban a hálózati kártya felveszi az összes hálózati forgalmat. A legtöbb csomagszippantónak van egy olyan felhasználói felületén található segédprogram, amely kezeli az üzemmódváltót.

Hálózati forgalom típusai

A hálózati forgalom elemzése megköveteli a hálózatépítés működésének megértését. Nincs olyan eszköz, amely varázslatosan kiküszöböli az elemző számára a hálózatépítés alapjainak megértését, például a TCP háromutas kézfogás, amelyet két eszköz közötti kapcsolat kezdeményezésére használnak. Az elemzőknek is tisztában kell lenniük a normál működésű hálózaton létező hálózati forgalom típusaival, például az ARP és a DHCP forgalommal. Ez az ismeret elengedhetetlen, mivel az elemző eszközök csak megmutatják, amit kért - rajtunk múlik, hogy mit kérjen. Ha nem biztos benne, hogy a hálózat hogyan néz ki normálisan, nehéz lehet biztosítani, hogy a gyűjtött csomagok tömegében a megfelelő dolgot ásja-e.

Vállalati eszközök

Kezdjük a tetejéről, és dolgozzunk lefelé a szemtelen, szemcsés alapokra. Ha vállalati szintű hálózattal foglalkozik, akkor szüksége lesz a nagy fegyverekre. Miközben szinte minden magjában a tcpdump-t használja (erről később), a vállalati szintű eszközök más analitikai funkciókat is nyújthatnak, például a sok szerver forgalmának korrelálását, intelligens lekérdezőeszközök biztosítását a problémák észlelésére, figyelmeztetést kivételes esetekre, és olyan szép grafikonokat készíthetnek, amelyek vezetési követelmények.

A vállalati szintű eszközök inkább a hálózati forgalomra összpontosítanak, nem pedig a csomagtartalom megítélésére. Ez alatt azt értem, hogy egy vállalkozás legtöbb rendszergazdájának a hangsúlya a hálózat zümmögése, teljesítmény szűk keresztmetszetek nélkül. Szűk keresztmetszetek kialakulásakor a cél általában annak meghatározása, hogy a probléma a hálózat, vagy egy hálózaton belüli alkalmazás. Az érme másik oldalán ezek a vállalati szintű eszközök általában olyan sok forgalmat tudnak látni, hogy elősegítik, hogy a hálózati szegmens mikor fog telíteni, ami a kapacitáskezelés kritikus eleme..

Hacker szerszámok

A csomagos szippantókat a hackerek is használják. Vegye figyelembe, hogy ezek az eszközök felhasználhatók a hálózat támadására és a problémák megoldására. A csomagos szippantók felhasználhatók wiretappers hogy segítsék az adatok ellopását a tranzit során, és hozzájárulhatnak a „ember közepén”Támadások, amelyek megváltoztatják az áthaladó adatokat, és elterelik a forgalmat, hogy megtévesszék a felhasználót a hálózaton. Fektessen be behatolás-érzékelő rendszerekbe, hogy megvédje hálózatát az illetéktelen hozzáférés ilyen formáitól

Hogyan működnek a csomagoló szippantók és a hálózati elemzők??

A 2020-as legjobb csomagos szippantók (11 csomagelemzőt felülvizsgáltak)

Az A csomagszippantó legfontosabb jellemzője, hogy az adatokat másolja, amikor a hálózaton halad, és megtekintésre elérhetővé teszi azokat. A szippantó eszköz egyszerűen másolja az összes adatot, amelyet a hálózaton keresztül lát. Ha kapcsolón valósítják meg, az eszköz beállításai lehetővé teszik, hogy az átmenő csomagot egy második porthoz továbbítsák, és a kívánt rendeltetési helyre is eljuttassák, ezzel megduplázva a forgalmat. Általában a hálózatról visszanyert adatcsomagok másolódnak fájlba. Néhány eszköz azt is megmutatja az adatoknak a műszerfalon. azonban, A csomagszippantók sok adatot gyűjthetnek, beleértve a kódolt adminisztrációs információkat is. Meg kell tennie talál egy elemző eszközt, amely segíthet abban, hogy levonja az információkat a kivonatban szereplő csomagok és más információk, például a portszámok relevanciája között, amelyek között a csomagok között utaznak.

Egy egyszerű csomag-szippantó másolja a hálózaton utazó összes csomagot. Ez problémát jelenthet. Ha a csomag hasznos teherét nem titkosítja, akkor lehetővé teszi az informatikai osztály munkatársainak, hogy érzékeny üzleti információkat láthassanak, amikor az a hálózaton halad. Ezért számos csomagszippantót korlátozni lehet úgy, hogy csak a fejléc információkon keresztül másoljanak. A legtöbb esetben a csomag tartalmára nincs szükség a hálózati teljesítmény elemzéséhez. Ha 24 órán keresztül vagy néhány nap alatt szeretné nyomon követni a hálózat használatát, akkor minden csomag tárolása nagyon sok helyet fog foglalni - még akkor is, ha csak a csomag fejléceit veszi be. Ezekben a forgatókönyvekben tanácsos a mintákat csomagokat venni, ami azt jelenti, hogy minden 10. vagy 20. csomagot másolni kell, nem pedig minden egyesről..

A legjobb csomagszippantók és hálózati elemzők

A következő eszközöket az alábbi általános szempontok szerint rangsoroltuk: hasznos szolgáltatások, megbízhatóság, telepítés, integráció és használat egyszerűsége, a felajánlott segítség és támogatás mennyisége, a szoftver frissítése és karbantartása, valamint a fejlesztők jó hírneve az ipar.

1. SolarWinds Mély csomag ellenőrző és elemző eszköz (INGYENES Kísérlet)

A SolarWinds egy nagyon széles IT-kezelő eszközkészlet. A cikk szempontjából relevánsabb eszköz a Mély csomag ellenőrzése és elemzése. A hálózati forgalom összegyűjtése meglehetősen egyszerű. Az olyan eszközök használatával, mint a WireShark, az alapszintű elemzés sem jelent megállót. De nem minden helyzet vágott és szárított. Nagyon elfoglalt hálózatban nehéz lehet még néhány alapvető dolgot meghatározni, például:

  • Milyen alkalmazás a hálózaton hozza létre ezt a forgalmat?
  • Ha az alkalmazás ismert (mondjuk egy webböngésző), akkor hol töltik az emberek az idejük nagy részét?
  • Melyik kapcsolatok vesznek a leghosszabb ideig, és elhomályosítják a hálózatot?

A legtöbb hálózati eszköz csak az egyes csomagok metaadatait használja, hogy megbizonyosodjon arról, hogy a csomag odajut-e. A csomag tartalma ismeretlen a hálózati eszköz számára. A mély csomag ellenőrzése más; ez azt jelenti, hogy a csomag tényleges tartalmát megvizsgálják annak érdekében, hogy többet megtudjon róla. Ilyen módon fel lehet fedezni azokat a kritikus hálózati információkat, amelyeket nem lehet a metaadatokból kivonni. Az olyan eszközök, mint amilyeneket a SolarWinds biztosít, értelmesebb adatokat szolgáltathatnak, mint egyszerűen a forgalom.

solarwindows-dpi-app-azonosító

A nagy volumenű hálózatok kezelésének további technikái a NetFlow és a sFlow. Mindegyiknek megvan a maga erőssége és gyengesége, és itt olvashat bővebben a NetFlow és a sFlow technikákról.

A hálózati elemzés általában fejlett téma, amely fél tapasztalat és fél képzés. Lehetséges, hogy kiképezzünk valakit a hálózati csomagok minden részletének megértéséhez, de ha ez a személy nem is ismeri a célhálózatot és nincs tapasztalata a rendellenességek azonosításához, akkor nem jutnak túl messzire. A cikkben felsorolt ​​eszközöket tapasztalt hálózati adminisztrátorok használhatják, akik már tudják, mit keresnek, de nem tudják, melyik eszköz a legjobb. Több junior rendszergazda is felhasználhatja őket arra, hogy tapasztalatokat szerezzenek a hálózatok külső működéséről a napi műveletek során, ami később segítséget nyújthat a problémák azonosításában..

A SZERKESZTŐ Választása

A SolarWinds Network Performance Monitor részletes betekintést nyújt a hálózati lassúságot okozó tényezőkbe, és lehetővé teszi a mély csomagok ellenőrzésével a gyökér okok gyors megoldását. A forgalom alkalmazásonkénti, kategóriás (üzleti vagy társadalmi) és kockázati szint szerinti azonosításával kiküszöbölheti és kiszűrheti a problémás forgalmat, és megmérheti az alkalmazás válaszidejét. A nagy felhasználói felülettel ez kiváló választás a csomagok szippantásához és a hálózati elemzéshez.

Letöltés: Teljesen működőképes INGYENES 30 napos próbaverzió a SolarWinds.com webhelyen

Hivatalos oldal: www.solarwinds.com/topics/deep-packet-inspection/

OS: Windows Server

2. Paessler csomagmegfogó eszköz (INGYENES Kísérlet)

A Paessler Packet-Capture-eszköz PRTG: A mindent egyben megfigyelő egységes infrastruktúra-figyelő eszköz. Segít a hálózat és a kiszolgálók kezelésében. A segédprogram hálózati figyelő szegmense kétféle feladatot fed le. Ezek egy hálózati teljesítményfigyelő, amely megvizsgálja a hálózati eszközök állapotát, és egy hálózati sávszélesség-elemző, amely lefedi a forgalom áramlását a hálózati kapcsolatokon keresztül.

A PRTG sávszélesség-elemző részét négy különböző csomagfogó eszköz használatával valósítják meg. Ezek:

  •         Csomagszippantó
  •         NetFlow érzékelő
  •         SFlow érzékelő
  •         J-Flow érzékelő

A PRTG csomagszippantó csak a hálózaton áthaladó csomagok fejléceit rögzíti. Ez elősegíti az elemző sebességét, és csökkenti a rögzítési fájlok tárolásához szükséges tárhelyet is. A packet sniffer irányítópultja kategorizálja a forgalmat alkalmazás típusa szerint. Ide tartoznak az e-mail forgalom, a webcsomagok, a csevegőalkalmazások forgalmi adatai és a fájlátviteli csomagok kötetei.

A 2020-as legjobb csomagos szippantók (11 csomagelemzőt felülvizsgáltak)

A NetFlow nagyon széles körben használt adatfolyam-üzenetküldő rendszer. A Cisco Systems készítette, de más gyártók által gyártott berendezésekhez is felhasználják. A PRTG NetFlow érzékelő az IPFIX üzeneteket is felveszi - ez az üzenetküldési szabvány az IETF által szponzorált NetFlow utódja. A J-Flow módszer hasonló üzenetküldő rendszer, amelyet a Juniper Networks használ a berendezéséhez. Az sFlow szabványos mintavételi forgalom, tehát minden n-edik csomagot összegyűjti. A NetFlow és a J-Flow egyaránt folyamatos csomagfolyamokat rögzít.

A Paessler a PRTG szoftverét úgy számolja fel, hogy hány „érzékelőt” használ, amelyeket a megvalósítás aktivál. Az érzékelő egy rendszerállapot vagy hardver elem. Például a Paessler által kínált négy csomag-szippantás mind egy PRTG-érzékelőnek számít. A rendszer ingyenesen használható, ha legfeljebb 100 érzékelőt aktivál, tehát ha csak ezt a csomagot használja a csomag szinkronizáló interfészeire, akkor nem kell fizetnie a Paesslernek semmit.

A Paessler rendszer sok más hálózati és szervermegfigyelési funkcióval rendelkezik, beleértve a virtualizációs figyelőt és az alkalmazásmonitorot. A PRTG telepíthető a helyszínen, vagy felhőalapú szolgáltatásként is elérhető. A szoftver Windows környezetben fut, és 30 napos ingyenes próbaverzióval is beszerezheti.

Paessler Packet Capture Tool PRTGDownload 30 napos INGYENES próbaverzió

3. ManageEngine NetFlow elemző (ingyenes próbaverzió)

Az ManageEngine NetFlow elemző forgalmi információkat vesz a hálózati eszközökről. Ezzel az eszközzel választhat a forgalom mintájára, teljes folyamokat rögzíthet, vagy statisztikákat gyűjthet a forgalmi mintákról.

A hálózati eszközök gyártói nem mind ugyanazt a protokollt használják a forgalmi adatok továbbítására. Így a NetFlow Analyzer különféle nyelveket képes használni az információk gyűjtésére. Ezek tartalmazzák Cisco NetFlow, Juniper Networks J-Flow, és Huawei Netstream. Képes kommunikálni a sFlow, IPFIX, és AppFlow szabványok.

A monitor képes nyomon követni az adatáramlás konzisztenciáját, valamint az egyes hálózati eszközök terhelését. A forgalom elemzése lehetővé teszi lásd a csomagokat amikor áthaladnak egy eszközön, és fájlba rögzítik őket. Ez a láthatóság lehetővé teszi, hogy láthassa, mely alkalmazások rontják a sávszélesség nagy részét, és döntéseket hozhasson a forgalomformáló intézkedésekről, például prioritási sorba állításról vagy fojtásról.

ManageEngine NetFlow elemző

A rendszer irányítópultján színkódolt grafika található, amelyek sokkal könnyebbé teszik a problémák észlelését. A konzol vonzó megjelenése és hangulata kötődik más ManageEngine infrastruktúra-figyelő eszközökhöz, mivel mindegyik egy közös platformon épült. Ez lehetővé teszi, hogy integrálódjon több ManageEngine termékkel. Például nagyon gyakori, hogy a hálózati rendszergazdák mindkettőt megvásárolják OPManager és a NetFlow Analyzer a Manage Engine-től.

Az OpManager az eszközök állapotát figyeli a SNMP eljárások, amelyekre a NetFlow Analyzer a forgalom szintjére és a csomagáramlási mintákra összpontosít.

A ManageEngine NetFlow Analyzer telepítve van ablakok, Windows Server, és RHEL, CentOS, Fedora, Debian, SUSE, és Ubuntu Linux. A rendszert két kiadásban kínálják.

Az Essential kiadás biztosítja a szokásos hálózati forgalomfigyelő funkciókat, valamint egy jelentési és számlázási modult. A magasabb terv neve Enterprise Edition. Ez az Essential Edition plus összes tulajdonságát tartalmazza NBAR & CBQoS megfigyelés, fejlett biztonsági elemző modul, kapacitástervezési segédprogramok és mély csomag ellenőrzési lehetőségek. Ez a kiadás tartalmazza IP SLA és WLC megfigyelés.

A NetFlow Analyzer bármely kiadását be lehet kapni egy 30 napos ingyenes próbaverzióra.

ManageEngine NetFlow AnalyzerLetöltése 30 napos ingyenes próbaverzió

4. Omnipeek Network Protocol Analyzer

A 2020-as legjobb csomagos szippantók (11 csomagelemzőt felülvizsgáltak)

A LiveAction Omnipeek, korábban a Savvius, egy hálózati protokoll elemző, amely csomagok elfogására és a hálózati forgalom protokoll elemzésére használható.

Az Omnipeek plug-inekkel bővíthető. Az Omipeek központi rendszere nem fogja el a hálózati csomagokat. Azonban a Elfog motor A plug-in megkapja a csomagmegfogási funkciót. A Capture Engine rendszer vezetékezett hálózaton vesz fel csomagokat; egy másik kiterjesztés, az úgynevezett Wifi adapter hozzáadja a vezeték nélküli képességeket és lehetővé teszi a Wifi csomagok rögzítését az Omnipeek szolgáltatáson keresztül.

Az alapvető Omnipeek Network Protocol Analyzer funkciói kiterjednek a hálózati teljesítmény figyelésére. A forgalom protokollonkénti felsorolása mellett a szoftver méri az átviteli sebességet és a forgalom szabályosságát, riasztások emelése ha a forgalom lelassul, vagy az út meghaladja a hálózati rendszergazda által meghatározott határfeltételeket.

A forgalom elemző képes nyomon követni végtől végig átadhatja a teljesítményt egy teljes hálózaton keresztül, vagy csak felügyelheti azokat link. Más funkciók figyelik az interfészeket, beleértve a bejövő forgalmat, amely a hálózaton kívülről érkezik a webszerverekre. A szoftvert különösen érdekli a forgalom átjárhatósága és a protokollonkénti forgalom megjelenítése. Az adatok megtekinthetők a protokollok listáiként és azok teljesítményeként, vagy élő grafikonok és diagramok formájában. A Capture Engine segítségével elfoglalt csomagok lehetnek elemzésre tárolva vagy a hálózaton keresztül újból lejátszva kapacitás tesztelés.

Az Omnipeek telepíti a Windows és a Windows Server rendszert. A rendszer nem szabadon használható. Lehetséges azonban az Omnipeek beszerzése egy 30 napos ingyenes próbaverzióra.

5. tcpdump

Szinte az összes hálózati forgalom gyűjtésének alapvető eszköze a tcpdump. Ez egy nyílt forráskódú alkalmazás, amely szinte minden Unix-szerű operációs rendszerre telepítve van. A Tcpdump kiváló gyűjtőeszköz, és nagyon komplex szűrőnyelvével érkezik. Fontos tudni, hogyan kell szűrni az adatokat a gyűjtéskor, hogy kezelhető adatkészlettel rendelkezzen az elemzéshez. Ha az összes adatot egy hálózati eszközről elfog egy mérsékelten elfoglalt hálózaton, akkor túl sok adatot hozhat létre a könnyű elemzés érdekében.

Néhány ritka esetben elegendő lehet ahhoz, hogy a tcpdump közvetlenül rögzítse a képernyőjét a képernyőn, hogy megtalálja, amit keres. Például a cikk írásakor elfoglalt egy kis forgalmat, és észrevettem, hogy a gépem forgalmat küld egy olyan IP-re, amelyet nem ismerek fel. Kiderül, hogy a gépem adatokat küldött a 172.217.11.142 Google IP-címre. Mivel egyetlen Google-termék sem futott, sem a Gmail nem volt nyitva, nem tudtam, miért történt ez. Megvizsgáltam a rendszert, és megállapítottam:

[~] $ ps -ef | grep google
felhasználó 1985 1881 0 10:16? 00:00:00 / opt / google / króm / króm - type = service

Úgy tűnik, hogy még akkor is, ha a Chrome nem fut az előtérben, továbbra is szolgáltatásként fut. Ezt nem feltétlenül észrevettem volna egy csomag-elemzés nélkül, amely elbocsátana. Újra rögzítettem még néhány tcpdump adatot, de ezúttal azt mondtam a tcpdump-nak, hogy írja az adatokat egy fájlba, amelyet Wiresharkban nyitottam meg (erről később). Itt van ez a bejegyzés:

wireshark-google

A Tcpdump a sysadminok kedvenc eszköze, mert parancssori eszköz. Ez azt jelenti, hogy a futtatásához nincs szükség teljes körű asztalra. Rendkívüli, ha a termelési kiszolgálók az igényelt erőforrások miatt asztali számítógépet biztosítanak, ezért a parancssori eszközöket részesítik előnyben. Mint sok fejlett eszköznél, a tcpdump nyelve is nagyon gazdag és arcán, amelynek elsajátításához egy kis időbe telik. Néhány nagyon alapvető parancs magában foglalja a hálózati interfész kiválasztását, ahonnan az adatok gyűjthetők, és ezeket az adatokat fájlba írja, hogy azok másutt elemzésre exportálhatók legyenek. Ehhez a -i és -w kapcsolókat kell használni.

# tcpdump -i eth0 -w tcpdump_packets
tcpdump: hallgatás az eth0-on, link típusú EN10MB (Ethernet), rögzítési méret: 262144 bájt
^ A C51 csomag elfoglalt

Ezzel elkészít egy rögzítési fájlt:

fájl tcpdump_packets
tcpdump_packets: tcpdump rögzítőfájl (kis-endian) - 2.4-es verzió (Ethernet, rögzítési hossz 262144)

A szokásos TCP rögzítési fájl egy pcap fájl. Ez nem szöveg, ezért csak egy elemző program olvashatja el, amely ismeri a pcap fájlok olvasását.

6. WinDump

A leghasznosabb nyílt forráskódú eszközöket végül más operációs rendszerekbe klónozzák. Amikor ez megtörténik, azt állítják, hogy az alkalmazás át lett másolva. A WinDump egy tcpdump port, amely nagyon hasonló módon viselkedik.

Az egyik fő különbség a WinDump és a tcpdump között az, hogy a Winumpnak a WinDump futtatásához szüksége van a telepített WinpCap könyvtárra. Annak ellenére, hogy a WinDumpot és a WinpCap-ot egyazon karbantartó biztosítja, külön letöltések.

A WinpCap egy tényleges könyvtár, amelyet telepíteni kell. A telepítés után a WinDump egy .exe fájl, amelyre nincs szükség telepítésre, így csak futhat. Ezt figyelembe kell venni, ha Windows hálózatot működtet. Nem szükséges, hogy minden gépen telepítve legyen a WinDump, mivel szükség szerint átmásolhatja, de a WinDump támogatásához telepítenie kell a WinpCap szoftvert..

Csakúgy, mint a tcpdump esetében, a WinDump hálózati adatokat is kiadhat az elemzéshez a képernyőre, ugyanúgy szűrheti, és adatokat írhat egy pcap fájlba az elemzéshez a helyszínen.

7. Wireshark

A Wireshark talán a legismertebb eszköz a sysadmin összes eszközkészletében. Nem csak adatokat gyűjthet, hanem néhány fejlett elemző eszközt is kínál. A fellebbezést kiegészítve a Wireshark nyílt forráskódú, és szinte minden létező szerver operációs rendszerre átkerült. Az Etheral elnevezésű élet kezdetén a Wireshark mindenütt fut, beleértve önálló hordozható alkalmazást is.

Ha olyan kiszolgáló forgalmát elemzi, amelybe telepítve van egy asztali számítógép, a Wireshark mindent megtehet Önért. Gyűjti az adatokat, majd egy helyen elemezheti azokat. Az asztali számítógépek azonban a kiszolgálókon nem gyakoriak, ezért sok esetben a hálózati adatokat távolról kell rögzíteni, majd a kapott pcap fájlt a Wireshark-ba húzni..

Az első indításkor a Wireshark lehetővé teszi a meglévő pcap-fájl betöltése vagy a rögzítés megkezdését. Ha úgy dönt, hogy rögzíti a hálózati forgalmat, opcionálisan meghatározhat szűrőket a Wireshark által gyűjtött adatmennyiség csökkentésére. Mivel az elemző eszközei annyira jók, kevésbé fontos annak biztosítása, hogy az adatokat a Wiresharkmal történő gyűjtéskor sebészeti úton azonosítsa. Ha nem ad meg szűrőt, a Wireshark egyszerűen összegyűjti az összes hálózati adatot, amelyet a kiválasztott interfész megfigyel.

wireshark-dob

A Wireshark egyik leghasznosabb eszköze a folyam követése. Valószínűleg a leghasznosabb egy adatfolyamról mint egy teljes beszélgetésről gondolni. Az alábbi képernyőképen láthatjuk, hogy rengeteg adat került rögzítésre, de leginkább az érdekli, hogy a Google IP. Jobb egérgombbal kattinthatom rá, és követhetem a TCP adatfolyamot a teljes beszélgetés megtekintéséhez.

wireshark-nyomon tcp-patak

Ha máshol rögzített forgalmat, akkor importálhatja a pcap fájlt a Wireshark fájl használatával -> Nyílt párbeszéd. Az importált fájlokhoz ugyanazok a szűrők és eszközök, amelyek felhasználhatók a natív módon rögzített hálózati adatokhoz.

wireshark-open-pcap

8. TShark

A TShark nagyon hasznos kereszt a tcpdump és a Wireshark között. A Tcpdump kiválóan képes adatgyűjtésre, és nagyon sebészileg csak a kívánt adatokat tudja kinyerni, bár az elemzés szempontjából korlátozott lehet. A Wireshark nagyszerű munkát végez mind a gyűjtésnél, mind az elemzésnél, de mivel nehéz felhasználói felülettel rendelkezik, nem használható fej nélküli szervereknél. Írja be a TShark; rögzíti és elemzi, de utóbbit a parancssorban hajtja végre.

A TShark ugyanazokat a szűrési konvenciókat használja, mint a Wireshark, ami nem lehet meglepő, mivel lényegében ugyanaz a termék. Ez a parancs azt mondja a TShark-nak, hogy csak a rendeltetési hely IP-címének és más érdekes mezőknek a csomag HTTP-részéből történő elfogásával foglalkozzon..

# tshark -i eth0 -Y http.request -T mezők -e ip.dst -e http.user_agent -e http.request.uri

172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico

Ha fájlba szeretne rögzíteni, akkor a -w kapcsolóval írhatja, majd a TShark -r (olvasási mód) kapcsolóval olvashatja el..

Először rögzítse:

# tshark -i eth0 -w tshark_packets
Elfog az eth0-on
102 ^ C

Olvassa el, vagy ugyanazon a szerveren, vagy vigye át más elemző szerverre.

# tshark -r tshark_packets -Y http.request -T mezők -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / contact
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / fenntartások /
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /reservation/styles/styles.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/images/title.png

9. Network Miner

A Network Miner egy nagyon érdekes eszköz, amely inkább a kriminalisztikai eszköz kategóriájába tartozik, nem pedig az egyenes csomagmegfigyelő. A kriminalisztika területe általában a bizonyítékok vizsgálatával és gyűjtésével foglalkozik, és a Network Miner ezt a munkát jól teljesíti a hálózati forgalom szempontjából. Akárcsak a WireShark követheti a TCP adatfolyamot, hogy helyreállítsa a teljes TCP beszélgetést, a Network Miner követhet egy adatfolyamot a hálózaton elküldött fájlok rekonstruálására..

Hálózati Miner

Az élő forgalom rögzítéséhez a Network Miner programot stratégiailag el kell helyezni a hálózatra, hogy megfigyelje és összegyűjtse az érdeklő forgalmat. Nem vezet be saját forgalmát a hálózatba, tehát nagyon lopakodóan működik..

A Network Miner offline módban is működhet. Használhatja a kipróbált és igaz tcpdump eszközt a csomagok elfogásához a hálózat valamelyik pontján, majd importálhatja a pcap fájlokat a Network Minerbe. Ezután megpróbálja rekonstruálni a rögzítési fájlban található fájlokat vagy tanúsítványokat.

A Network Miner a Windows számára készült, de a Mono használatával bármilyen operációs rendszeren futtatható, amely rendelkezik Mono keretrendszerrel, például Linux és MacOS.

Van egy ingyenes verzió a kezdéshez, amely rengeteg funkcióval rendelkezik. Ha fejlettebb képességeket, például a GeoIP helyét és az egyéni szkripteket kívánja, szakmai engedélyt kell vásárolnia.

10. Hegedűs (HTTP)

A Fiddler technikailag nem hálózati csomagmegfogó eszköz, de annyira hihetetlenül hasznos, hogy elkészítette a listát. Az itt felsorolt ​​egyéb eszközökkel ellentétben, amelyek bármilyen forrásból történő hálózati ad-hoc forgalom rögzítésére szolgálnak, a Fiddler inkább asztali hibakeresési eszköz. Rögzíti a HTTP forgalmat, és bár sok böngésző már rendelkezik ezzel a képességgel a fejlesztői eszközeiben, a Fiddler nem korlátozódik a böngésző forgalmára. A Fiddler bármilyen HTTP-forgalmat elfoghat az asztalon, ideértve a nem webes alkalmazások forgalmát is.

Hegedűs

Számos asztali alkalmazás HTTP-t használ a webszolgáltatásokhoz való csatlakozáshoz, és olyan eszköz nélkül, mint a Fiddler, az elemzéshez való forgalom rögzítésének egyetlen módja az olyan eszközök használata, mint a tcpdump vagy a WireShark. Ezek az eszközök azonban csomagszinten működnek, tehát az elemzés magában foglalja e csomagok rekonstruálását HTTP-stream-ekké. Ez sok munka lehet egy egyszerű HTTP-vizsgálat elvégzéséhez, és a Fiddler megment. A Fiddler segíthet felfedezni a sütik, a tanúsítványok és a hasznos teher adatainak bejutását vagy bejutását az alkalmazásokból.

Segít abban, hogy a Fiddler ingyenes, és hasonlóan a Network Minerhez, a Mono-on belül futtatható bármilyen más, Mono-keretrendszerrel rendelkező operációs rendszeren..

11. Capsa

A Capsa Network Analyzernek több változata van, mindegyik változó képességekkel rendelkezik. Az első szinten, a Capsa ingyen, a szoftver lényegében csak elfogja a csomagokat, és lehetővé teszi ezek nagyon grafikus elemzését. A műszerfal nagyon egyedi, és a kezdő rendszergazdáknak gyorsan segítséget nyújthatnak a hálózati problémák pontos meghatározásában, még kevés tényleges csomagtudással is. A szabad szint azoknak szól, akik többet szeretnének tudni a csomagokról, és képességeiket teljes értékű elemzőkre kívánják építeni..

capsa

Az ingyenes verzió több mint 300 protokoll megfigyelését ismeri, lehetővé teszi az e-mail megfigyelését, e-mail tartalmat képes megmenteni, és támogatja a triggert is. A triggerek felhasználhatók riasztások beállítására egy adott helyzetre, ami azt jelenti, hogy a Capsa bizonyos mértékig támogató képességként is használható.

A Capsa csak a Windows 2008 / Vista / 7/8 és 10 esetén érhető el.

Záró szavak

Az általam említett eszközökkel nem nagy előrelépés annak megnézéséhez, hogy egy rendszergazda hogyan építhet igény szerinti hálózati megfigyelő infrastruktúrát. A Tcpdump vagy a Windump minden szerverre telepíthető. Az ütemező, például a cron vagy a Windows ütemező, elindíthat egy csomaggyűjtési munkamenetet egy érdekes időpontra, és ezeket a gyűjteményeket pcap fájlba írhatja. Később egy sysadmin át tudja vinni ezeket a csomagokat egy központi gépre, és a Wireshark segítségével elemzi azokat. Ha a hálózat olyan nagy, hogy ez nem kivitelezhető, akkor a vállalati szintű eszközök, mint például a SolarWinds csomag, elősegíthetik az összes hálózati adat kezelhető adatkészletbe történő beillesztését..

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

4 + 6 =