2020 najbolji snajperski snajperi (pregledano 11 analitičara paketa)

2020 najbolji snajperski snajperi (pregledano 11 analitičara paketa)


Njušenje paketa je razgovorni pojam koji se odnosi na umjetnost analize mrežnog prometa. Suprotno zdravom razumu, stvari poput e-poruka i web stranica ne obilaze internet u jednom komadu. Oni se dijele na tisuće malih paketa podataka i na taj se način šalju preko interneta.

Postoji mnogo, puno alata koji će prikupljati mrežni promet i većina njih koristi pcap (Unix-slične sustave) ili libcap (Windows sustave) u svojoj osnovi da bi napravili stvarnu kolekciju. Postoji još jedan set alata koji pomažu u analiziranju tih podataka jer čak i mala količina podataka može rezultirati u tisućama paketa koji se teško mogu kretati. Gotovo svi ti alati sakupljaju se na isti način; to je analiza koja ih razlikuje.

U ovom se postu detaljno opisuje svaki alat koji je ovdje učinio, ali ako vam nedostaje vremena, evo našeg popisa najbolji sniffers paket i mrežni analizatori:

  1. Alat za inspekciju i analizu dubokih paketa SolarWinds (BESPLATNO ISPITIVANJE) Visokokvalitetni alat za analizu mrežnog prometa koji radi na Windows Serveru i dio je
  2. Paessler alat za hvatanje paketa (BESPLATNO ISPITIVANJE) Paket njuškalo, NetFlow senzor, senzor spuštenja i senzor J-protoka ugrađeni u Paessler PRTG.
  3. ManageEngine NetFlow Analyzer (BESPLATNO ISPITIVANJE) Alat za analizu prometa koji radi s NetFlow, J-Flow, sFlow Netstream, IPFIX i AppFlow
  4. Omnipeek analizator mrežnih protokola Mrežni monitor koji se može proširiti za hvatanje paketa.
  5. tcpdump Bitni besplatni alat za hvatanje paketa koji svaki mrežni menadžer ne4 zahtijeva u svom alatu.
  6. Windump Besplatni klon tcpdump napisan za Windows sustave.
  7. Wireshark Dobro poznat alat za prikupljanje i analizu paketa.
  8. tshark Lagan odgovor onima koji žele funkcionalnost Wiresharka, ali tanak profil tcpdump-a.
  9. Mrežni rudar Mrežni analizator sa sustavom Windows temeljen na besplatnoj verziji.
  10. Violinista Alat za hvatanje paketa koji se fokusira na HTTP promet.
  11. Capsa Pisano za Windows, besplatni alat za hvatanje paketa može se nadograditi za plaćanje radi dodavanja analitičkih značajki.

Prednosti njuškanja po paketima

Njuškalo za pakete koristan je alat koji vam omogućava da implementirate politike mrežnog kapaciteta vaše tvrtke. Glavne prednosti su sljedeće:

  • Identificirajte zagušene veze
  • Identificirajte aplikacije koje stvaraju najviše prometa
  • Prikupite podatke za prediktivnu analizu
  • Označite vrhove i korita u mrežnoj potražnji

Radnje koje poduzimate ovise o vašem dostupnom proračunu. Ako imate resurse za proširenje mrežnog kapaciteta, njuška za paket će vam omogućiti učinkovitije ciljanje novih resursa. Ako nemate proračun, njuškanje paketa pomoći će oblikovanju prometa putem određivanja prioriteta prometa aplikacija, mijenjanja veličine podmreža, reprogramiranja događaja teškog prometa, ograničavanja propusnosti za određene aplikacije ili zamjene aplikacija učinkovitijim alternativama.

Promiški način

Važno je razumjeti kako mrežna kartica na vašem računalu funkcionira prilikom instaliranja softvera za njuškanje paketa. Sučelje s vašeg računala na mrežu naziva se "regulator mrežnog sučelja,"Ili NIC. Vaš NIC će preuzeti samo internetski promet koji je upućen na njegovu MAC adresu.

Da biste zabilježili opći promet, morate staviti svoj NIC u "promiskuitetni način."Ovo uklanja ograničenje slušanja na NIC-u. U promiskuitetnom načinu, vaš NIC će pokupiti sav mrežni promet. Većina paketskih njuškala ima uslužni program unutar korisničkog sučelja koje upravlja preklopnikom načina rada za vas.

Vrste mrežnog prometa

Analiza mrežnog prometa zahtijeva razumijevanje rada mreže. Ne postoji alat koji će magično ukloniti zahtjev analitičara da razumije osnove umrežavanja, poput TCP trosmjernog stiskanja ruku koji se koristi za pokretanje veze između dva uređaja. Analitičari bi također trebali imati razumijevanja o vrstama mrežnog prometa koji postoje u normalno funkcionirajućoj mreži kao što su ARP i DHCP promet. Ovo je znanje bitno jer će vam analiziranje alata pokazati samo ono što tražite - na vama je da znate što možete tražiti. Ako niste sigurni kako vaša mreža izgleda normalno, može biti teško osigurati da kopate po pravoj stvari u masi paketa koje ste sakupili..

Enterprise alati

Krenimo od vrha i krećemo našim putem prema osnovnim sastojcima. Ako se bavite mrežom na razini poduzeća, trebat će vam velika oružja. Iako gotovo sve koristi tcpdump u svojoj srži (detaljnije o tome kasnije), alati na razini poduzeća mogu pružiti i druge analitičke funkcije kao što su koreliranje prometa s mnogih poslužitelja, pružanje inteligentnih alata za upiti za otkrivanje problema, upozoravanje na slučajeve iznimki i izrada lijepih grafova koji zahtjevi uprave.

Alati na razini poduzeća uglavnom su usredotočeni na protok mrežnog prometa, a ne na prosudbu paketa sadržaja. Pod tim mislim na to da je fokus većine sysadmina u poduzeću zadržati mrežu bez ikakvih uskih grla. Kada dođe do uskih grla, cilj je obično utvrditi je li problem mreža ili aplikacija na mreži. S druge strane novčića, ovi alati na razini poduzeća obično mogu vidjeti toliko prometa da mogu pomoći predvidjeti kada će se zasićiti mrežni segment što je kritični element upravljanja kapacitetom.

Hakerski alati

Njuškalo za pakete koriste i hakeri. Imajte na umu da se ovi alati mogu koristiti za napad na vašu mrežu kao i za rješavanje problema. Njuškalo za pakete može se koristiti kao wiretappers pomoći u krađi podataka u tranzitu, a mogu pridonijeti i "čovjek u sredini"Napadi koji mijenjaju podatke u tranzitu i preusmjeravaju promet u cilju obmanjivanja korisnika na mreži. Uložite u sustave otkrivanja provale kako biste zaštitili mrežu od tih oblika neovlaštenog pristupa

Kako djeluju Packet Sniffers i Network Analyzer?

2020 najbolji snajperski snajperi (pregledano 11 analitičara paketa)

Glavna značajka njuškala za paket je da kopira podatke dok putuje po mreži i čini ih dostupnim za gledanje. Njuškajući uređaj jednostavno kopira sve podatke za koje vidi da prolaze kroz mrežu. Kada se implementiraju na prekidaču, postavke uređaja omogućuju slanje prolaznog paketa na drugi priključak, kao i na odredište, što umnožava promet. Paketi podataka koji se izvlače iz mreže obično se kopiraju u datoteku. Neki će alati također prikazati te podatke na nadzornoj ploči. Međutim, Njuškalo za paket može prikupiti puno podataka, što uključuje kodirane podatke administratora. Trebat ćete pronađite alat za analizu koji vam može pomoći u prebacivanju informacija o putovanju paketa u ekstraktu i drugim informacijama, poput relevantnosti brojeva porta između kojih paketi putuju između.

Izravni snaffer paketa kopirat će sve pakete koji putuju mrežom. To može biti problem. Ako opterećenje paketa nije šifrirano, omogućit ćete osoblju IT odjela da vidi osjetljive poslovne podatke dok putuju mrežom. Iz tog razloga, mnogi snaffers za pakete mogu biti ograničeni tako da kopiraju samo podatke o zaglavlju. U većini slučajeva sadržaj paketa nije potreban za analizu performansi mreže. Ako želite pratiti upotrebu mreže tijekom 24 sata ili više dana, tada će pohranjivanje svakog paketa zauzeti vrlo veliku količinu prostora na disku - čak i ako uzimate samo zaglavlje paketa. U tim je scenarijima preporučljivo uzorkovati pakete, što znači kopirati svaki 10. ili 20. paket, a ne kopirati preko svakog pojedinačnog paketa.

Najbolji snajperski paketi i mrežni analizatori

Sljedeće alate rangirali smo prema slijedećim općim razmatranjima: korisne značajke, pouzdanost, jednostavnost instalacije, integracija i upotreba, količina ponuđene pomoći i podrške, koliko je dobro ažuriran i održavan softver i koliko su ugledni programeri. industrija.

1. Alat za inspekciju i analizu dubokih paketa SolarWinds (BESPLATNO ISPITIVANJE)

SolarWinds je vrlo širok paket alata za upravljanje IT-om. Alat koji je relevantniji ovom članku je alat za dubinsku inspekciju i analizu paketa. Prikupljanje mrežnog prometa prilično je jednostavno. Koristeći alate poput WireShark, analiza osnovne razine nije ni čep za prikazivanje. Ali nisu sve situacije izrezane i osušene. U vrlo prometnoj mreži možda je teško odrediti čak i neke vrlo osnovne stvari, poput:

  • Koja aplikacija na mreži stvara ovaj promet?
  • Ako je aplikacija poznata (recimo, web-preglednik), gdje ljudi provode većinu svog vremena?
  • Koje su veze najdulje i zasipaju mrežu?

Većina mrežnih uređaja samo koristi metapodate svakog paketa kako bi osigurala da paket stigne kamo ide. Sadržaj paketa nije poznat mrežnom uređaju. Pregled dubinskih paketa je različit; to znači da se provjerava stvarni sadržaj paketa kako bi se saznalo više o njemu. Kritične mrežne informacije koje nije moguće prikupiti iz metapodataka mogu se otkriti na ovaj način. Alati poput onih koje pruža SolarWinds mogu pružiti značajnije podatke nego što je jednostavno promet.

solarwindows-dpi-app identifikaciju

Ostale tehnike upravljanja mrežama velike količine uključuju NetFlow i sFlow. Svaka od njih ima svoje prednosti i slabosti, a više o NetFlow i sFlow tehnikama možete pročitati ovdje.

Analiza mreže, općenito, napredna je tema koja je pola iskustva i pola treninga. Moguće je osposobiti nekoga da razumije svaki detalj mrežnih paketa, ali osim ako ta osoba također ima znanje o ciljanoj mreži i neko iskustvo za prepoznavanje anomalija, neće daleko dogurati. Alate navedene u ovom članku mogu koristiti iskusni mrežni administratori koji već znaju što traže, ali nisu sigurni koji su alati najbolji. Također ih mogu koristiti i mlađi sysadmini kako bi stekli iskustvo kako mreže izgledaju tijekom svakodnevnih operacija, što će vam pomoći u prepoznavanju problema kasnije.

IZBOR UREDNIKA

Monitor performansi mreže SolarWinds daje detaljni uvid u ono što uzrokuje sporost mreže i omogućava vam brzo rješavanje uzroka korištenjem dubinske inspekcije paketa. Identificirajući promet prema aplikaciji, kategoriji (poslovni prema društvenom) i razini rizika možete ukloniti i filtrirati problemski promet i izmjeriti vrijeme reakcije aplikacije. S odličnim korisničkim sučeljem, ovo je odličan izbor za njuškanje paketa i analizu mreže.

Preuzimanje datoteka: Potpuno funkcionalno BESPLATNO probno razdoblje od 30 dana na SolarWinds.com

Službena stranica: www.solarwinds.com/topics/deep-packet-inspection/

OS: Windows Server

2. Paessler alat za hvatanje paketa (BESPLATNO ISPITIVANJE)

Paesslerov alat za hvatanje paketa PRTG: Nadgledanje sve u jednom je jedinstveni alat za nadzor infrastrukture. Pomaže vam u upravljanju mrežom i poslužiteljima. Segment nadgledanja mreže uslužnog programa pokriva dvije vrste zadataka. Ovo su mrežni monitor performansi koji ispituje stanja mrežnih uređaja i analizator propusnosti mreže koji pokriva protok prometa preko veza u mreži.

Dio analize propusnosti PRTG provodi se korištenjem četiri različita alata za hvatanje paketa. Ovi su:

  •         Njuškalo za paket
  •         NetFlow senzor
  •         Senzor za sljev
  •         J-osjetnik protoka

Njuškalo PRTG paketa bilježi samo zaglavlje paketa koji putuju vašom mrežom. To daje prednosti analizatoru brzini i smanjuje količinu prostora za pohranu potrebnu za držanje datoteka za hvatanje. Nadzorna ploča sniffer paketa kategorizira promet prema vrsti aplikacije. To uključuje promet putem e-pošte, web pakete, podatke o prometu aplikacije za chat i svesku za prijenos datoteka.

2020 najbolji snajperski snajperi (pregledano 11 analitičara paketa)

NetFlow je vrlo široko korišten sustav za razmjenu podataka o protoku podataka. Stvorio ga je Cisco Systems, ali koristi se i za opremu koju proizvode drugi proizvođači. PRTG NetFlow senzor također prima IPFIX poruke - ovaj standard za razmjenu poruka je nasljednik NetFlow sponzoriranog od IETF-a. Metoda J-Flow sličan je sustav za razmjenu poruka koji Juniper Networks koristi za svoju opremu. Standard sFlow uzorkuje promet, tako da će prikupljati svaki nth paket. NetFlow i J-Flow snimaju kontinuirane tokove paketa.

Paessler cijene svoj PRTG softver na broj "senzora" koji aktivira implementacija. Senzor je stanje sustava ili hardverska komponenta. Na primjer, svaki od četiri paketna njuškara koje nudi Paessler smatra se jednim PRTG senzorom. Sustav je slobodan za upotrebu ako aktivirate 100 senzora ili manje, tako da ako ovaj paket koristite samo za njegova sučelja za njuškanje paketa, nećete morati platiti Paessleru ništa.

Paessler sustav uključuje mnoštvo drugih mogućnosti praćenja mreže i poslužitelja, uključujući monitor za virtualizaciju i monitor aplikacija. PRTG se može instalirati lokalno ili mu možete pristupiti kao usluga oblaka. Softver radi u Windows okruženjima, a možete ga dobiti 30-dnevnim besplatnim probnim vremenom.

Paessler Alat za hvatanje paketa PRTGPreuzmi 30-dnevnu BESPLATNO probno razdoblje

3. ManageEngine NetFlow analizator (BESPLATNO ISPITIVANJE)

ManageEngine NetFlow analizator uzima podatke o prometu s vaših mrežnih uređaja. Ovim alatom možete odabrati uzorkovanje prometa, snimanje cijelih potoka ili prikupljanje statistika o obrascima prometa.

Proizvođači mrežnih uređaja ne upotrebljavaju isti protokol za komuniciranje podataka o prometu. Dakle, NetFlow Analyzer može koristiti različite jezike za prikupljanje informacija. Oni uključuju Cisco NetFlow, Juniper mreže J-Flow, i Huawei Netstream. Također je u mogućnosti komunicirati s sFlow, IPFIX, i AppFlow standardi.

Monitor može pratiti dosljednost protoka podataka kao i opterećenje na svakom mrežnom uređaju. Mogućnosti analize prometa omogućuju vam vidi pakete dok prolaze kroz uređaj i snimaju ih za datoteku. Ova vidljivost omogućit će vam da vidite koje aplikacije žvaču većinu svoje propusnosti i donosite odluke u vezi s mjerama za oblikovanje prometa, kao što su redovi čekanja na redovima ili prebacivanje.

ManageEngine NetFlow analizator

Nadzorna ploča sustava sadrži grafiku obojenu u boji, koja vam znatno olakšava otkrivanje problema. Atraktivan izgled i doživljaj konzola povezuje se s ostalim alatima za nadzor infrastrukture ManageEngine jer su svi izgrađeni na zajedničkoj platformi. To ga čini integriranim s nekoliko ManageEngine proizvoda. Na primjer, vrlo je često da mrežni administratori mogu kupiti oba OpManager i NetFlow analizator iz Manage Engine.

OpManager prati statuse uređaja s SNMP procedure, koji se NetFlow Analyzer fokusira na razinu prometa i obrasce protoka paketa.

Instalira se ManageEngine NetFlow Analyzer Windows, Windows Server, i RHEL, CentOS, Fedora, Debian, SUSE, i Ubuntu Linux. Sustav se nudi u dva izdanja.

U izdanju Essential vam se nalaze standardne funkcije praćenja mrežnog prometa plus modul izvještavanja i naplate. Viši plan naziva se Enterprise Edition. Ovo ima sve značajke Essential Edition plus NBAR & CBQoS nadzor, napredni sigurnosni analitički modul, uslužni programi za planiranje kapaciteta i mogućnosti dubinskih provjera paketa. Ovo izdanje također uključuje IP SLA i WLC nadgledanje.

Možete dobiti bilo koje izdanje analizatora NetFlow na 30-dnevnoj besplatnoj probnoj verziji.

ManageEngine NetFlow AnalyzerDownload 30-dnevna BESPLATNA proba

4. Omnipeek analizator mrežnih protokola

2020 najbolji snajperski snajperi (pregledano 11 analitičara paketa)

LiveAction Omnipeek, prethodno proizvod Savvius, je analizator mrežnog protokola koji se može koristiti za hvatanje paketa kao i za izradu protokolarnih analiza mrežnog prometa.

Omnipeek se može proširiti dodacima. Jezgreni Omipeek sustav ne obuhvaća mrežne pakete. Međutim, dodavanje Snimite motor dodatak dobiva funkciju hvatanja paketa. Sustav Capture Engine uzima pakete na ožičenoj mreži; drugo proširenje, zvano Wifi adapter dodaje bežične mogućnosti i omogućava snimanje Wifi paketa putem Omnipeeka.

Funkcije baznog Omnipeek analizatora mrežnih protokola proširuju se i na nadzor performansi mreže. Kao i popis prometa po protokolu, softver će mjeriti brzinu prijenosa i pravilnost prometa, podizanje upozorenja ako se promet usporava ili su putovanja prošla granične uvjete koje je postavio administrator mreže.

Prometni analizator može pratiti kraj na kraj prijenos performansi kroz cijelu mrežu ili samo pratite svaku veza. Ostale funkcije nadziru sučelja, uključujući dolazni promet koji stiže na web poslužitelje izvan mreže. Softver je posebno zainteresiran za protok prometa i prikaz prometa po protokolu. Podaci se mogu gledati kao popisi protokola i njihova propusnost ili kao živi grafikoni i grafikoni. Paketi zarobljeni pomoću programa za hvatanje mogu biti pohranjena za analizu ili ponovno reproducirani na mreži za ispitivanje kapaciteta.

Omnipeek se instalira na Windows i Windows Server. Sustav nije slobodan za upotrebu. Međutim, moguće je dobiti Omnipeek na 30-dnevnoj besplatnoj probi.

5. tcpdump

Temeljno sredstvo gotovo cijelog prikupljanja mrežnog prometa je tcpdump. To je open-source aplikacija koja se instalira na gotovo sve Unix-ove operativne sustave. Tcpdump je odličan alat za prikupljanje i dolazi zajedno s vrlo složenim jezikom za filtriranje. Važno je znati filtrirati podatke u vrijeme prikupljanja kako biste na kraju proveli upravljački komad podataka za analizu. Snimanje svih podataka s mrežnog uređaja na čak i umjereno zauzetoj mreži može stvoriti previše podataka za analizu.

U nekim rijetkim slučajevima omogućavanje tcpdump-a da izravno izbaci svoje snimke na vaš zaslon može biti dovoljno da pronađete ono što tražite. Primjerice, pišući ovaj članak, zabilježio sam neki promet i primijetio da moj stroj šalje promet u IP koji nisam prepoznao. Ispada da je moj stroj slao podatke na Google IP adresu 172.217.11.142. Budući da nisam pokrenuo niti jedan Googleov proizvod niti Gmail otvoren, nisam znao zašto se to događa. Ispitao sam svoj sustav i ustanovio ovo:

[~] $ ps -ef | grep google
korisnik 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome --type = usluga

Čini se da čak i kada se Chrome ne izvodi u prvom planu, i dalje se prikazuje kao usluga. Ne bih to nužno primijetio bez analize paketa da me napije. Ponovno sam snimio još nekih podataka tcpdump, ali ovaj put sam rekao tcpdump da napišem podatke u datoteku koju sam otvorio u Wiresharku (o tome više o tome kasnije). Evo ovog unosa:

Wireshark-Google

Tcpdump je omiljeni alat među sysadminima jer je to alat naredbenog retka. To znači da za pokretanje radne površine nije potrebna potpuna radna površina. Neobično je da poslužitelji za proizvodnju nude radnu površinu zbog resursa koji bi bili potrebni, pa se preferiraju alati naredbenog retka. Kao i kod mnogih naprednih alata, i tcpdump ima vrlo bogat i istančan jezik koji treba svladati. Nekoliko vrlo osnovnih naredbi uključuju odabir mrežnog sučelja za prikupljanje podataka i upis tih podataka u datoteku kako bi se mogli izvesti na analizu drugdje. Za to se koriste prekidači -i i -w.

# tcpdump -i eth0 -w tcpdump_packets
tcpdump: preslušavanje na eth0, vrsta veze EN10MB (Ethernet), veličina snimanja 262144 bajta
^ C51 zarobljeni paketi

Ovo stvara datoteku za snimanje:

datoteka tcpdump_packets
tcpdump_packets: datoteka za hvatanje tcpdump (little-endian) - verzija 2.4 (Ethernet, dužina snimanja 262144)

Standardna TCP datoteka za snimanje je pcap datoteka. To nije tekst pa ga može pročitati samo program za analizu koji zna čitati pcap datoteke.

6. WinDump

Najkorisniji alati otvorenog koda na kraju se kloniraju u druge operativne sustave. Kad se to dogodi, kaže se da je aplikacija prenesena. WinDump je port tcpdump i ponaša se na vrlo slične načine.

Glavna razlika između WinDump i tcpdump je da Windump treba instalirati WinpCap biblioteku prije nego što može pokrenuti WinDump. Unatoč tome što WinDump i WinpCap pruža isti održavač, to su zasebna preuzimanja.

WinpCap je stvarna knjižnica koju je potrebno instalirati. Ali nakon što je instaliran, WinDump je .exe datoteka koja ne treba instalirati kako bi se mogla jednostavno pokrenuti. To bi moglo imati na umu ako imate Windows mrežu. WinDump vam nije nužno potreban za instaliranje na svim računalima jer ga možete jednostavno kopirati preko potrebe, ali ćete htjeti da WinpCap bude instaliran kako bi podržao WinDump.

Kao i kod tcpdump, WinDump može izlaziti mrežne podatke na ekran radi analize, filtrirati na isti način i također upisati podatke u pcap datoteku za analizu izvan mjesta.

7. Wireshark

Wireshark je vjerojatno sljedeći najpoznatiji alat u bilo kojem sysadminovom alatu. Ne može samo prikupiti podatke, već pruža i neke napredne alate za analizu. Dodao je svojoj žalbi, Wireshark je otvorenog koda i prenosio se na gotovo svaki operativni sustav poslužitelja koji postoji. Početni život nazvan Etheral, Wireshark sada radi posvuda, uključujući samostalnu prijenosnu aplikaciju.

Ako analizirate promet na poslužitelju s instaliranom radnom površinom, Wireshark može sve učiniti za vas. Može prikupiti podatke i potom sve to analizirati na jednom mjestu. Međutim, stolna računala nisu uobičajena na poslužiteljima, pa ćete u mnogim slučajevima htjeti daljinsko uhvatiti mrežne podatke, a zatim rezultirajuću pcap datoteku izvući u Wireshark.

Pri prvom pokretanju Wireshark vam omogućuje da ili učitate postojeću pcap datoteku ili započnete snimanje. Ako se odlučite za hvatanje mrežnog prometa, po želji možete odrediti filtre kako biste smanjili količinu podataka koju Wireshark prikuplja. Budući da su njegovi alati za analizu tako dobri, manje je važno osigurati da kirurški identificirate podatke u vrijeme prikupljanja s Wiresharkom. Ako ne odredite filtar, Wireshark će jednostavno prikupiti sve mrežne podatke koje promatra vaše odabrano sučelje.

Wireshark pokretanje

Jedan od najkorisnijih alata koji Wireshark pruža je mogućnost praćenja struje. Vjerojatno je najkorisnije strujanje razmišljati kao o cjelokupnom razgovoru. Na snimci zaslona ispod možemo vidjeti snimljeno puno podataka, ali ono što me najviše zanima je Google IP. Mogu ga kliknuti desnom tipkom miša i slijediti TCP stream da biste vidjeli cijeli razgovor.

Wireshark-praćenje TCP-stream

Ako ste zarobili promet drugdje, možete uvesti pcap datoteku pomoću Wiresharkove datoteke -> Otvoreni dijalog. Isti filtri i alati koji se mogu koristiti za izvorno snimljene mrežne podatke dostupni su za uvezene datoteke.

Wireshark-otvorenog PCAP

8. TShark

TShark je vrlo koristan križ između tcpdump i Wireshark. Tcpdump uspijeva u prikupljanju podataka i vrlo kirurški može izvući samo one podatke koje želite, no ograničen je onim što mogu biti korisni za analizu. Wireshark odlicno radi i u prikupljanju i u analizi, ali s obzirom da ima veliko korisničko sučelje, ne može se koristiti na poslužiteljima bez glave. Unesite TShark; on bilježi i analizira, ali to čini u naredbenom retku.

TShark koristi iste metode filtriranja kao Wireshark, što ne bi trebalo biti iznenađenje jer su u osnovi isti proizvodi. Ova naredba govori TSharku da smeta samo hvatanje odredišne ​​IP adrese kao i neka druga zanimljiva polja iz HTTP dijela paketa..

# tshark -i eth0 -Y http.request -T polja -e ip.dst -e http.user_agent -e http.request.uri

172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico

Ako želite snimiti datoteku, upotrijebite prekidač -w za pisanje, a zatim upotrijebite TSharkov preklopnik -r (način čitanja) da biste je pročitali.

Snimite prvo:

# tshark -i eth0 -w tshark_packets
Snimanje na 'eth0'
102 ^ C

Pročitajte je na istom poslužitelju ili je prenesite na neki drugi poslužitelj analize.

# tshark -r tshark_packets -Y http.request -T polja -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / kontakt
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / rezervacije /
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / rezervacije/styles/styles.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/images/title.png

9. Mrežni rudar

Network Miner je vrlo zanimljiv alat koji više spada u kategoriju forenzičkih alata nego izravni snajper za paketski paket. Područje forenzike obično se bavi istraživanjem i prikupljanjem dokaza i Network Miner dobro radi taj posao u mrežnom prometu. Kao što WireShark može pratiti TCP stream za oporavak cijelog TCP razgovora, Network Miner može pratiti stream da bi rekonstruirao datoteke poslane preko mreže..

Mreža-Rudar

Za hvatanje prometa uživo, Mrežni rudar treba biti strateški postavljen na mrežu kako bi mogao promatrati i prikupljati promet koji vas zanima. Neće unijeti vlastiti promet na mrežu, tako da djeluje vrlo stabilno.

Mrežni rudar može raditi i izvanmrežno. Isprobani i istinski tcpdump alat možete koristiti za mazanje paketa na mjestu interesa na vašoj mreži, a zatim uvesti pcap datoteke u Network Miner. Potom će pokušati rekonstruirati sve datoteke ili potvrde koje pronađe u datoteci hvatanja.

Mrežni rudar izgrađen je za Windows, ali upotrebom Monoa može se pokrenuti na bilo kojem OS-u koji ima Mono okvir poput Linuxa i macOS-a.

Da biste započeli, postoji besplatna verzija koja ima pristojan niz funkcija. Ako želite naprednije mogućnosti kao što su GeoIP lokacija i prilagođeno skriptiranje, morat ćete kupiti profesionalnu licencu.

10. Fiddler (HTTP)

Fiddler tehnički nije alat za hvatanje mrežnih paketa, ali je toliko nevjerojatno koristan da je napravio popis. Za razliku od ostalih ovdje navedenih alata koji su dizajnirani za hvatanje ad-hoc prometa na mreži iz bilo kojeg izvora, Fiddler je više alat za uklanjanje pogrešaka na radnoj površini. On bilježi HTTP promet i iako mnogi preglednici već imaju ovu mogućnost u svojim alatima za razvojne programere, Fiddler nije ograničen na promet preglednika. Fiddler može uhvatiti bilo koji HTTP promet na radnoj površini, uključujući i one koji nisu web-aplikacije.

Violinista

Mnoge aplikacije za stolna računala koriste HTTP za povezivanje s web uslugama i bez alata poput Fiddlera, jedini način prikupljanja prometa za analizu je upotreba alata poput tcpdump ili WireShark. Međutim, ti alati djeluju na razini paketa pa analiza uključuje rekonstrukciju tih paketa u HTTP tokove. To bi moglo biti puno posla kako bi se provela neka jednostavna HTTP istraga i Fiddler dolazi u pomoć. Fiddler može pomoći u otkrivanju kolačića, potvrda i podataka o korisnom opterećenju koji dolaze iz tih aplikacija ili iz njih.

Pomaže u tome što je Fiddler besplatan i, poput mrežnog rudara, može se pokretati u okviru Monoa na bilo kojem drugom operativnom sustavu koji ima Mono okvir.

11. Capsa

Capsa Network Analyzer ima nekoliko izdanja, a svako ima različite mogućnosti. Na prvoj razini, bez Capsa, softver u osnovi samo snima pakete i omogućava vrlo grafičku analizu istih. Nadzorna ploča vrlo je jedinstvena i može pomoći početnicima sysadminima da brzo utvrde mrežne probleme, čak i uz malo stvarnog znanja o paketu. Slobodna razina usmjerena je prema ljudima koji žele znati više o paketima i ugraditi svoje vještine u punopravne analitičare.

CAPSA

Besplatna verzija zna nadzirati preko 300 protokola, omogućava praćenje e-pošte i također je u mogućnosti spremati sadržaj e-pošte te također podržava okidač. Okidači se mogu koristiti za postavljanje upozorenja za specifične situacije, što znači da se Capsa može u određenoj mjeri koristiti i kao podrška..

Capsa je dostupna samo za Windows 2008 / Vista / 7/8 i 10.

Završne riječi

Uz alate koje sam spomenuo nije veliki skok vidjeti kako administrator sustava može izgraditi mrežnu infrastrukturu za nadgledanje na zahtjev. Tcpdump ili Windump mogu se instalirati na sve poslužitelje. Planer, poput cron ili Windows planera, mogao bi započeti sesiju prikupljanja paketa u neko vrijeme koje je zanimljivo i upisati te zbirke u pcap datoteku. U neko kasnije vrijeme sysadmin može prenijeti te pakete u središnji stroj i pomoću Wireshark-a analizirati ih. Ako je mreža toliko velika da to nije izvedivo, tada alati na razini poduzeća poput paketa SolarWinds mogu pomoći ukrotiti sve te mrežne podatke u pristupačnom skupu podataka.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

76 − = 66