2020 най-добри пакетни снайпери (11 прегледани анализатора на пакети)

2020 най-добри пакетни снайпери (11 прегледани анализатора на пакети)


Packet Sniffing е разговорно понятие, което се отнася до изкуството на анализа на мрежовия трафик. Противно на здравия разум, неща като имейли и уеб страници не обикалят интернет в едно цяло. Те се разбиват на хиляди малки пакети данни и се изпращат по интернет по този начин.

Има много, много инструменти, които ще събират мрежовия трафик и повечето от тях използват pcap (Unix-подобни системи) или libcap (Windows системи) в основата си, за да направят реалната колекция. Съществува още един набор от инструменти, които помагат да се анализират тези данни, тъй като дори малко количество данни може да доведе до хиляди пакети, които могат да бъдат трудни за навигация. Почти всички тези инструменти се събират по един и същи начин; анализът е този, който ги отличава.

Тази публикация навлиза в подробности за всеки от инструментите, които са я направили тук, но ако ви липсва време, ето нашия списък от най-добрите пакетиращи пакети и мрежови анализатори:

  1. Инструмент за инспекция и анализ на дълбоки пакети SolarWinds (БЕЗПЛАТНА ПРОБА) Висококачествен инструмент за анализ на мрежовия трафик, който работи на Windows Server и е част от
  2. Инструмент за улавяне на пакети Paessler (БЕЗПЛАТНА ПРОБА) Paff sniffer, NetFlow сензор, сензор sFlow и сензор J-Flow, вграден в Paessler PRTG.
  3. ManageEngine NetFlow Analyzer (БЕЗПЛАТНА ПРОБЛЕМА) Инструмент за анализ на трафика, който работи с NetFlow, J-Flow, sFlow Netstream, IPFIX и AppFlow
  4. Omnipeek анализатор на мрежови протоколи Мрежов монитор, който може да бъде разширен за улавяне на пакети.
  5. Tcpdump Основният безплатен инструмент за улавяне на пакети, който всеки мениджър на мрежи е нужен в своя инструментариум.
  6. WinDump Безплатен клон на tcpdump, написан за Windows системи.
  7. Wireshark Добре известен безплатен инструмент за улавяне на пакети и анализ на данни.
  8. tshark Лек отговор на тези, които искат функционалността на Wireshark, но тънкият профил на tcpdump.
  9. Мрежов миньор Мрежов анализатор, базиран на Windows с безплатна версия.
  10. цигулар Инструмент за улавяне на пакети, който се фокусира върху HTTP трафика.
  11. Capsa Написан за Windows, безплатният инструмент за улавяне на пакети може да бъде надстроен за плащане, за да добави аналитични функции.

Предимства на смъркането на пакети

Пакетното sniffer е полезен инструмент, който ви позволява да прилагате политиката на мрежовия капацитет на вашата компания. Основните предимства са, че те:

  • Идентифицирайте претоварени връзки
  • Идентифицирайте приложения, които генерират най-много трафик
  • Съберете данни за прогнозен анализ
  • Маркирайте върховете и нивата в търсенето на мрежата

Действията, които предприемате, зависят от наличния ви бюджет. Ако разполагате с ресурси за разширяване на капацитета на мрежата, пакетът sniffer ще ви позволи да насочите по-ефективно новите ресурси. Ако нямате бюджет, подслушването на пакети ще помогне за оформянето на трафика чрез приоритизиране на трафика на приложенията, преоразмеряване на подмрежите, разсрочване на събитията с голям трафик, ограничаване на честотната лента за конкретни приложения или замяна на приложения с по-ефективни алтернативи.

Promiscuous режим

Важно е да разберете как работи мрежовата карта на вашия компютър, когато инсталирате софтуер за подслушване на пакети. Интерфейсът от вашия компютър към мрежата се нарича „контролер на мрежовия интерфейс,“Или NIC. Вашият NIC ще вземе само интернет трафик, който е адресиран до неговия MAC адрес.

За да заснемете общ трафик, трябва да поставите своя NIC в „безразборен режим.”Това премахва ограничението за слушане на NIC. В безразборен режим вашият NIC ще вземе целия мрежов трафик. Повечето пакетиращи пакети имат полезност в потребителския интерфейс, която управлява превключвателя на режима вместо вас.

Типове мрежов трафик

Анализът на мрежовия трафик изисква разбиране за това как работи мрежата. Няма инструмент, който магически да премахне изискването анализаторът да разбере основите на работата в мрежа, като TCP тристранно ръкостискане, което се използва за иницииране на връзка между две устройства. Анализаторите също трябва да имат известно разбиране за видовете мрежов трафик, които съществуват в нормално функционираща мрежа като ARP и DHCP трафик. Това знание е от съществено значение, тъй като анализът на инструментите просто ще ви покаже за какво искате - зависи от вас да знаете какво да поискате. Ако не сте сигурни как изглежда нормално мрежата ви, може да е трудно да се уверите, че копаете за правилното нещо в масата на събраните от вас пакети.

Корпоративни инструменти

Да започнем от върха и да се насочим надолу към азотно-зърнестите основи. Ако имате работа с мрежа на корпоративно ниво, ще ви трябват големите пистолети. Въпреки че почти всичко използва tcpdump в основата си (повече за това по-късно), инструментите на ниво предприятие могат да предоставят други аналитични функции като корелация на трафика от много сървъри, предоставяне на интелигентни инструменти за заявки за откриване на проблеми, алармиране за случаи на изключения и създаване на хубави графики, които изисквания за управление.

Инструментите на ниво предприятие са по-склонни да се фокусират върху потока на мрежовия трафик, а не да преценяват пакетното съдържание. От това искам да кажа, че фокусът на повечето sysadmins в предприятието е да поддържат мрежата да бръмчи без ограничения в производителността. Когато възникнат затруднения, целта обикновено е да се определи дали проблемът е мрежата или приложението в мрежата. От другата страна на монетата, тези инструменти на ниво предприятие обикновено могат да видят толкова много трафик, че могат да помогнат да се предвиди кога ще се насити мрежов сегмент, което е критичен елемент от управлението на капацитета.

Хакерски инструменти

Скетерите на пакети се използват и от хакери. Имайте предвид, че тези инструменти могат да се използват за атака на вашата мрежа, както и за решаване на проблеми. Paff sniffers могат да се използват като wiretappers да помогнат за кражба на данни при транзит и те също могат да допринесат за „човек в средата“Атаки, които променят данните при транзит и отклоняват трафика, за да измамят потребител в мрежата. Инвестирайте в системи за откриване на проникване, за да защитите вашата мрежа от тези форми на неоторизиран достъп

Как работят пакетни снайпери и мрежови анализатори?

2020 най-добри пакетни снайпери (11 прегледани анализатора на пакети)

Най- Основна характеристика на пакета sniffer е, че той копира данни, докато пътува по мрежа и ги прави достъпни за гледане. Надушващото устройство просто копира всички данни, които вижда, че минава по мрежа. Когато се реализират на превключвател, настройките на устройството позволяват изпращането на преминаващия пакет до втори порт, както и по предназначение, като по този начин се дублира трафика. Обикновено пакетите с данни, които са пожънати от мрежата, се копират във файл. Някои инструменти също ще показват тези данни в таблото за управление. въпреки това, sniffers за пакети могат да събират много данни, което включва кодирана администраторска информация. Ще трябва да го направите намерете инструмент за анализ, който може да ви помогне да пренасочвате информация за пътуването на пакетите в извлечението и друга информация, например уместността на номерата на пристанищата, между които пакетите пътуват.

Непосредственият sniffer за пакети ще копира върху всички пакети, пътуващи в мрежата. Това може да е проблем. Ако полезният товар на пакета не е шифрован, ще разрешите на служителите на ИТ отдела да виждат чувствителна бизнес информация, докато пътува по мрежата. Поради тази причина много пакетиращи пакети могат да бъдат ограничени, така че да копират само информация за заглавката. В повечето случаи съдържанието на пакета не е необходимо за анализ на производителността на мрежата. Ако искате да проследите използването на мрежата за период от 24 часа или за няколко дни, съхраняването на всеки пакет ще заеме много голямо количество дисково пространство - дори и да заемате само в заглавките на пакетите. В тези сценарии е препоръчително да се пробват пакети, което означава копиране на всеки 10-ти или 20-ти пакет, а не копиране върху всеки един.

Най-добрите пакетиращи пакети и мрежови анализатори

Ние сме класирали следните инструменти според следните общи съображения: полезни функции, надеждност, лекота на инсталиране, интеграция и употреба, количество предлагана помощ и поддръжка, доколко софтуерът се актуализира и поддържа и колко надеждни са разработчиците. индустрията.

1. Инструмент за инспекция и анализ на дълбоки пакети SolarWinds (БЕЗПЛАТНА ПРОБА)

SolarWinds е много широк набор от инструменти за управление на ИТ. Инструментът, който е по-подходящ за тази статия, е инструментът за дълбока проверка и анализ на пакети. Събирането на мрежовия трафик е сравнително лесно. Използвайки инструменти като WireShark, анализът на основното ниво също не е тапа за показване. Но не всички ситуации са, че са нарязани и изсушени. В много натоварена мрежа може да е трудно да се определят дори някои много основни неща като:

  • Какво приложение в мрежата създава този трафик?
  • Ако приложението е известно (да речем, уеб браузър), къде хората прекарват по-голямата част от времето си?
  • Кои връзки отнемат най-дълго време и затъват в мрежата?

Повечето мрежови устройства просто използват метаданните на всеки пакет, за да гарантират, че пакетът стига там, където отива. Съдържанието на пакета е неизвестно за мрежовото устройство. Дълбоката проверка на пакетите е различна; това означава, че действителното съдържание на пакета се проверява, за да научите повече за него. По този начин може да бъде открита критична информация за мрежата, която не може да бъде извлечена от метаданните. Инструменти като тези, предоставени от SolarWinds, могат да предоставят по-смислени данни, отколкото просто трафик.

solarwindows-DPI-ап-идентификация

Други техники за управление на мрежи с голям обем включват NetFlow и sFlow. Всеки има своите силни и слаби страни и можете да прочетете повече за NetFlow и sFlow техники тук.

Като цяло мрежовият анализ е напреднала тема, която е половин опит и половин обучение. Възможно е да обучите някого да разбере всеки детайл относно мрежовите пакети, но освен ако този човек също има познания за целевата мрежа и опит за идентифициране на аномалии, няма да стигне много далеч. Инструментите, изброени в тази статия, могат да се използват от опитни мрежови администратори, които вече знаят какво търсят, но не са сигурни кои инструменти са най-добри. Те могат да бъдат използвани и от по-млади сисадмини, за да придобият опит с това как изглеждат мрежите по време на ежедневните операции, което ще помогне да се идентифицират проблеми по-късно.

ИЗБОР НА РЕДАКТОРИТЕ

SolarWinds Network Performance Monitor дава подробна информация за това какво причинява бавна мрежа и ви позволява бързо да разрешите първопричините с помощта на дълбока проверка на пакетите. Чрез идентифициране на трафика по приложение, категория (бизнес спрямо социални) и ниво на риск можете да премахнете и филтрирате проблемния трафик и да измерите времето за реакция на приложението. С чудесен потребителски интерфейс, това е отличен избор за подслушване на пакети и анализ на мрежата.

Изтегли: Напълно функционална БЕЗПЛАТНА 30-дневна пробна версия в SolarWinds.com

Официален сайт: www.solarwinds.com/topics/deep-packet-inspection/

ОПЕРАЦИОННА СИСТЕМА: Windows Server

2. Инструмент за улавяне на пакети Paessler (БЕЗПЛАТНА ПРОБА)

Paessler Packet-Capture-Tool PRTG: All-In-One-Monitoring е унифициран инструмент за мониторинг на инфраструктурата. Помага ви да управлявате вашата мрежа и вашите сървъри. Сегментът за мониторинг на мрежата на помощната програма обхваща два типа задачи. Това са монитор за ефективност на мрежата, който изследва състоянията на мрежовите устройства и анализатор на мрежовата честотна лента, който покрива потока от трафик през връзки в мрежата.

Частта за анализ на честотната лента на PRTG се осъществява чрез използването на четири различни инструмента за улавяне на пакети. Това са:

  •         Пакетно смъркане
  •         Сензор NetFlow
  •         Сензор за sFlow
  •         Сензор за J-дебит

PRTG sniffer за пакети улавя само заглавките на пакетите, пътуващи по вашата мрежа. Това дава предимство на скоростта на анализатора и също така намалява количеството пространство за съхранение, необходимо за съхраняване на файлове за заснемане. Таблото за управление на пакета sniffer категоризира трафика по тип на приложението. Те включват трафик на електронна поща, уеб пакети, данни за трафик на приложения за чат и обеми пакети за прехвърляне на файлове.

2020 най-добри пакетни снайпери (11 прегледани анализатора на пакети)

NetFlow е много широко използвана система за съобщения на потока от данни. Той е създаден от Cisco Systems, но се използва и за оборудване, произведено от други производители. Сензорът PRTG NetFlow също приема IPFIX съобщения - този стандарт за съобщения е спонсориран от IETF наследник на NetFlow. Методът J-Flow е подобна система за съобщения, използвана от Juniper Networks за своето оборудване. Стандартът sFlow проби трафик, така че той ще събира всеки n-ти пакет. NetFlow и J-Flow улавят непрекъснати потоци от пакети.

Paessler цени своя PRTG софтуер на броя „сензори“, които се активира дадена имплементация. Сензорът е системно състояние или хардуерен компонент. Например, всеки от четирите снайпери на пакети, предлагани от Paessler, се счита за един PRTG сензор. Системата е свободна за използване, ако активирате 100 сензора или по-малко, така че ако използвате този пакет само за неговите смъркащи пакети интерфейси, няма да трябва да плащате на Paessler нищо.

Системата Paessler включва много други възможности за мониторинг на мрежата и сървъра, включително монитор за виртуализация и монитор на приложения. PRTG може да бъде инсталиран на място или да получите достъп до него като облачна услуга. Софтуерът работи в Windows среда и можете да го получите на 30-дневна безплатна пробна версия.

Paessler Инструмент за улавяне на пакети PRTGИзтеглете 30-дневна БЕЗПЛАТНА пробна версия

3. ManageEngine NetFlow Analyzer (БЕЗПЛАТНА ПРОБА)

Най- ManageEngine NetFlow Analyzer взема информация за трафика от вашите мрежови устройства. Можете да изберете да изваждате трафик, да улавяте цели потоци или да събирате статистически данни за моделите на трафик с този инструмент.

Създателите на мрежови устройства не използват всички един и същ протокол за предаване на данни за трафика. По този начин, NetFlow Analyzer е в състояние да използва различни езици за събиране на информация. Те включват Cisco NetFlow, Juniper Networks J-Flow, и Huawei Netstream. Той също е в състояние да общува с sFlow, IPFIX, и AppFlow стандарти.

Мониторът е в състояние да следи последователността на потоците от данни, както и натоварването на всяко мрежово устройство. Възможностите за анализ на трафика ви позволяват вижте пакетите докато преминават през устройство и ги улавят да подадат. Тази видимост ще ви позволи да видите кои приложения дъвчат по-голямата част от вашата честотна лента и да вземете решения относно мерки за оформяне на трафика, като например опашка за приоритет или дроселиране.

ManageEngine NetFlow Analyzer

Таблото за управление на системата се отличава с цветна графика, която прави задачата ви да забележите много по-лесно. Атрактивният вид и усещане на конзолата се свързва с други инструменти за мониторинг на инфраструктурата ManageEngine, защото всички те са изградени на обща платформа. Това го кара да се интегрира с няколко продукта ManageEngine. Например, много често се случва мрежовите администратори да купуват и двете OpManager и анализатора на NetFlow от Manage Engine.

OpManager следи състоянията на устройствата с SNMP процедури, които NetFlow Analyzer се фокусира върху нивата на трафик и моделите на пакетни потоци.

ManageEngine NetFlow Analyzer се инсталира на Windows, Windows Server, и RHEL, CentOS, Fedora, Debian, SUSE, и Ubuntu Linux. Системата се предлага в две издания.

Изданието Essential ви предоставя стандартните функции за наблюдение на мрежовия трафик плюс модул за отчитане и фактуриране. По-високият план се нарича Enterprise Edition. Това има всички функции на Essential Edition плюс NBAR & CBQoS мониторинг, усъвършенстван модул за анализ на сигурността, помощни програми за планиране на капацитет и възможности за дълбока проверка на пакети. Това издание също включва IP SLA и WLC мониторинг.

Можете да получите всяко издание на NetFlow Analyzer на 30-дневна безплатна пробна версия.

ManageEngine NetFlow AnalyzerDownload 30-дневна БЕЗПЛАТНА пробна версия

4. Omnipeek анализатор на мрежови протоколи

2020 най-добри пакетни снайпери (11 прегледани анализатора на пакети)

LiveAction Omnipeek, по-рано продукт на Savvius, е анализатор на мрежови протоколи, който може да се използва за улавяне на пакети, както и за производство на протоколен анализ на мрежовия трафик.

Omnipeek може да бъде разширен чрез приставки. Основната система Omipeek не улавя мрежови пакети. Въпреки това, добавянето на Двигател за улавяне плъгинът получава функцията за улавяне на пакети. Системата Capture Engine взема пакети по кабелна мрежа; друго разширение, наречено Wifi адаптер добавя безжични възможности и дава възможност за улавяне на Wifi пакети чрез Omnipeek.

Функциите на базовия Omnipeek Network Protocol Analyzer се простират до мониторинг на производителността на мрежата. Освен че изброява трафика по протокол, софтуерът ще измерва скоростта на прехвърляне и редовността на трафика, повишаване на сигналите ако трафикът се забави или пътуванията преминат гранични условия, зададени от мрежовия администратор.

Анализаторът на трафика може да проследява от край до край прехвърлете ефективността в цялата мрежа или просто наблюдавайте всяка връзка. Други функции наблюдават интерфейсите, включително входящия трафик, пристигащ на уеб сървъри извън мрежата. Софтуерът се интересува особено от пропускане на трафик и показване на трафик на протокол. Данните могат да се разглеждат като списъци на протоколи и тяхната пропускателна способност или като живи графики и диаграми. Пакетите, заснети с Capture Engine, могат да бъдат съхранява се за анализ или възпроизведени в мрежата за тестване на капацитета.

Omnipeek се инсталира на Windows и Windows Server. Системата не е свободна за използване. Възможно е обаче да получите Omnipeek на 30-дневен безплатен пробен период.

5. tcpdump

Основният инструмент на почти цялото събиране на мрежовия трафик е tcpdump. Това е приложение с отворен код, което се инсталира на почти всички операционни системи, подобни на Unix. Tcpdump е отличен инструмент за събиране и се предлага в комплект с много сложен филтриращ език. Важно е да знаете как да филтрирате данните по време на събиране, за да се окажете с управляема група данни за анализ. Заснемането на всички данни от мрежово устройство в дори умерено натоварена мрежа може да създаде твърде много данни, за да се анализира лесно.

В някои редки случаи позволяването на tcpdump да извежда своето улавяне директно на екрана ви може да е достатъчно, за да намерите това, което търсите. Например при писането на тази статия заснех известен трафик и забелязах, че моята машина изпраща трафик към IP, който не разпознах. Оказва се, че машината ми изпраща данни на Google IP адрес от 172.217.11.142. Тъй като нямах работещи продукти на Google, нито Gmail, отворени, не знаех защо това се случва. Разгледах системата си и открих това:

[~] $ ps -ef | grep google
потребител 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome --type = услуга

Изглежда, че дори когато Chrome не работи на преден план, той продължава да работи като услуга. Не бих задължително забелязал това без анализ на пакети, който да ме наклони. Повторно заснех още няколко данни tcpdump, но този път казах на tcpdump да запиша данните във файл, който отворих в Wireshark (повече за това по-късно). Ето този запис:

Wireshark-Google

Tcpdump е любим инструмент сред sysadmins, защото е инструмент на командния ред. Това означава, че не е необходим пълноправен работен плот за стартиране. Необичайно е производствените сървъри да предоставят работен плот поради ресурсите, които биха били необходими, затова се предпочитат инструментите на командния ред. Както при много съвременни инструменти, tcpdump има много богат и тайнствен език, който отнема известно време за овладяване. Някои от основните команди включват избор на мрежов интерфейс, от който да се събират данни, и записване на тези данни във файл, за да могат да бъдат експортирани за анализ на друго място. За това се използват превключвателите -i и -w.

# tcpdump -i eth0 -w tcpdump_packets
tcpdump: слушане на eth0, тип връзка EN10MB (Ethernet), размер на заснемане 262144 байта
^ C51 пакети заснети

Това създава файл за заснемане:

файл tcpdump_packets
tcpdump_packets: tcpdump файл за улавяне (little-endian) - версия 2.4 (Ethernet, дължина на заснемане 262144)

Стандартният TCP файл за заснемане е pcap файл. Това не е текст, така че може да се чете само от програма за анализ, която знае как да чете pcap файлове.

6. WinDump

Най-полезните инструменти с отворен код в крайна сметка се клонират към други операционни системи. Когато това се случи, се казва, че приложението е пренесено. WinDump е порт на tcpdump и се държи по много сходни начини.

Една от основните разлики между WinDump и tcpdump е, че Windump се нуждае от инсталирана библиотека WinpCap преди да може да стартира WinDump. Въпреки че и WinDump и WinpCap се предоставят от един и същи поддържащ, те са отделни изтегляния.

WinpCap е действителна библиотека, която трябва да бъде инсталирана. Но след като бъде инсталиран, WinDump е .exe файл, който не се нуждае от инсталация, така че може просто да стартира. Това може да имате предвид, ако използвате мрежа с Windows. Не е задължително WinDump инсталиран на всяка машина, тъй като можете просто да го копирате, ако е необходимо, но ще искате WinpCap да е инсталиран, за да поддържа WinDump.

Както при tcpdump, WinDump може да извежда мрежови данни на екрана за анализ, да се филтрира по същия начин, както и да записва данни във pcap файл за анализ извън сайта.

7. Wireshark

Wireshark е вероятно следващият най-известен инструмент във всеки инструментариум на sysadmin. Той не само може да улавя данни, но също така предоставя някои съвременни инструменти за анализ. Като допълнение към своята привлекателност, Wireshark е отворен код и е пренесен на почти всяка сървърна операционна система, която съществува. Започвайки живот на име Etheral, Wireshark сега работи навсякъде, включително като самостоятелно преносимо приложение.

Ако анализирате трафика на сървър с инсталиран работен плот, Wireshark може да направи всичко за вас. Той може да събира данните и след това да анализира всичко на едно място. Настолните компютри обаче не са често срещани на сървърите, така че в много случаи ще искате да улавяте мрежовите данни дистанционно и след това да изтеглите получения pcap файл в Wireshark.

При първото си стартиране Wireshark ви позволява или да заредите съществуващ pcap файл, или да започнете улавяне. Ако решите да уловите мрежовия трафик, по желание можете да посочите филтри, за да намалите количеството данни, което Wireshark събира. Тъй като инструментите му за анализ са толкова добри, по-малко важно е да се гарантира, че по време на събиране с Wireshark идентифицирате данните по хирургичен път. Ако не посочите филтър, Wireshark просто ще събира всички мрежови данни, които вашият избран интерфейс спазва.

Wireshark старта

Един от най-полезните инструменти, които Wireshark предоставя, е възможността да следвате поток. Вероятно е най-полезно да мислите за поток като за цял разговор. На екрана по-долу можем да видим, че са заснети много данни, но това, което най-много ме интересува е, че Google IP. Мога да щракнете с десния бутон върху него и да следвате TCP потока, за да видите целия разговор.

Wireshark-последващи TCP поток

Ако сте заловили трафик другаде, можете да импортирате pcap файла с помощта на файла на Wireshark -> Отворен диалог. Същите филтри и инструменти, които могат да се използват за родните заснети мрежови данни, са налични за импортирани файлове.

Wireshark-отворен рСАР

8. TShark

TShark е много полезна кръстоска между tcpdump и Wireshark. Tcpdump превъзхожда събирането на данни и може много хирургично да извлича само данните, които искате, но е ограничен до колко може да бъде полезен за анализ. Wireshark върши чудесна работа както в събирането, така и в анализа, но тъй като има тежък потребителски интерфейс, той не може да се използва на сървъри без глава. Въведете TShark; той улавя и анализира, но прави последното в командния ред.

TShark използва същите конвенции за филтриране като Wireshark, което не трябва да е изненада, тъй като те са по същество един и същ продукт. Тази команда казва на TShark да се притеснява само при заснемането на IP адреса на дестинацията, както и някои други интересни полета от HTTP частта на пакета.

# tshark -i eth0 -Y http.request -T полета -e ip.dst -e http.user_agent -e http.request.uri

172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico

Ако искате да заснемете файл, можете да използвате превключвателя -w, за да го напишете, и след това използвайте превключвателя -r (режим на четене) на TShark, за да го прочетете.

Заснемете първо:

# tshark -i eth0 -w tshark_packets
Заснемане на 'eth0'
102 ^ С

Прочетете го или на същия сървър, или го прехвърлете на някакъв друг сървър за анализ.

# tshark -r tshark_packets -Y http.request -T полета -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / контакт
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / резервации /
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /reservation/styles/styles.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/images/title.png

9. Network Miner

Мрежовият миньор е много интересен инструмент, който попада повече в категорията на криминалистичния инструмент, а не на директно пакетиране на пакети. Полето криминалистика обикновено се занимава с разследване и събиране на доказателства и Network Miner върши тази работа добре за мрежовия трафик. Подобно на WireShark може да следва TCP поток, за да възстанови цял TCP разговор, Network Miner може да следва поток, за да реконструира файлове, изпратени по мрежата.

Мрежа-Миньор

За да улавя трафик на живо, Network Miner трябва да бъде стратегически разположен в мрежата, за да може да наблюдава и събира трафика, който ви интересува. Той няма да въведе никакъв собствен трафик в мрежата, така че работи много стабилно.

Network Miner може да работи и в офлайн режим. Можете да използвате изпитания и истински инструмент tcpdump, за да преглеждате пакети в точка на интерес от вашата мрежа и след това да импортирате pcap файловете в Network Miner. След това ще се опита да реконструира всички файлове или сертификати, които намери във файла за заснемане.

Network Miner е създаден за Windows, но използвайки Mono, той може да се стартира на всяка ОС, която има Mono рамка, като Linux и macOS.

Има безплатна версия, за да започнете работа с приличен набор от функции. Ако искате по-разширени възможности като GeoIP местоположение и персонализиран скрипт, ще трябва да закупите професионален лиценз.

10. Fiddler (HTTP)

Fiddler технически не е инструмент за улавяне на мрежови пакети, но е толкова невероятно полезен, че направи списъка. За разлика от другите изброени тук инструменти, които са предназначени за улавяне на ad-hoc трафик в мрежата от всеки източник, Fiddler е по-скоро инструмент за отстраняване на грешки на работния плот. Той улавя HTTP трафик и въпреки че много браузъри вече имат тази възможност в своите инструменти за разработчици, Fiddler не е ограничен до трафика на браузъра. Fiddler може да улавя всеки HTTP трафик на работния плот, включително този на не-уеб приложения.

цигулар

Много настолни приложения използват HTTP за свързване към уеб услуги и без инструмент като Fiddler, единственият начин за улавяне на този трафик за анализ е използването на инструменти като tcpdump или WireShark. Тези инструменти обаче работят на ниво пакет, така че анализът включва реконструкция на тези пакети в HTTP потоци. Това може да бъде много работа, за да се извърши някакво просто HTTP разследване и Fiddler идва на помощ. Fiddler може да ви помогне да откриете бисквитки, сертификати и данни за полезен товар, влизащи или излизащи от тези приложения.

Помага, че Fiddler е безплатен и, подобно на Network Miner, може да се стартира в Mono на всяка друга операционна система, която има Mono рамка.

11. Capsa

Capsa Network Analyzer има няколко издания, всяко с различни възможности. На първо ниво, без Capsa, софтуерът по същество просто улавя пакети и позволява някои много графичен анализ на тях. Таблото за управление е много уникално и може да помогне на начинаещите sysadmins да определят бързо проблемите с мрежата, дори и с малко действителни познания за пакета. Безплатното ниво е насочено към хората, които искат да знаят повече за пакетите и да изграждат своите умения в пълноценни анализатори.

Capsa

Безплатната версия знае как да следи над 300 протокола, позволява мониторинг на имейли, а също така е в състояние да запазва имейл съдържанието и също така поддържа задействане. Задействията могат да се използват за задаване на сигнали за специфични ситуации, което означава, че Capsa може да се използва до известна степен в поддържащ капацитет.

Capsa е наличен само за Windows 2008 / Vista / 7/8 и 10.

Заключителни думи

С посочените от мен инструменти не е голям скок да видим как системен администратор може да изгради инфраструктура за мониторинг на мрежата при поискване. Tcpdump или Windump могат да бъдат инсталирани на всички сървъри. Планировчик, като например cron или Windows планировщик, може да стартира сесия за събиране на пакети в даден момент от интерес и да запише тези колекции във pcap файл. В някои по-късни времена, sysadmin може да прехвърли тези пакети на централна машина и да използва Wireshark, за да ги анализира. Ако мрежата е толкова голяма, че това не е възможно, тогава инструментите на ниво предприятие като пакета SolarWinds могат да помогнат да опитомите всички тези мрежови данни в управляем набор от данни.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

77 + = 78

Adblock
detector