Најбољи пакети за снабдевање 2020 (рецензирано 11 аналитичара пакета)

Најбољи пакети за снабдевање 2020 (рецензирано 11 аналитичара пакета)

Сниффинг пакета је разговорни појам који се односи на уметност анализе мрежног саобраћаја. Супротно здравом разуму, ствари попут е-поште и веб страница не обилазе интернет у једном делу. Они се рашчлањују на хиљаде малих пакета података и на тај начин шаљу преко интернета.

Постоји много, много алата који ће сакупљати мрежни саобраћај и већина њих користи пцап (Уник-лике системе) или либцап (Виндовс системе) у својој основи да би направили стварну колекцију. Постоји још један сет алата који помажу у анализирању тих података јер чак и мала количина података може резултирати хиљадама пакета који се тешко могу кретати. Скоро сви ови алати сакупљају се на исти начин; то је анализа која их разликује.

У овом посту се детаљније расправља о сваком од алата који су га овде направили, али ако вам недостаје времена, ево наше листе најбољи снајперски пакети и мрежни анализатори:

  1. Алат за инспекцију и анализу дубинских пакета СоларВиндс (БЕСПЛАТНО ИСПИТИВАЊЕ) Висококвалитетни алат за анализу мрежног саобраћаја који ради на Виндовс Серверу и део је
  2. Паесслер алат за хватање пакета (БЕСПЛАТНО ИСПИТИВАЊЕ) Пакет сниффер, НетФлов сензор, сФлов сензор и Ј-Флов сензор уграђени у Паесслер ПРТГ.
  3. МанагеЕнгине НетФлов Анализер (БЕСПЛАТНО ИСПИТИВАЊЕ) Алат за анализу саобраћаја који ради са НетФлов, Ј-Флов, сФлов Нетстреам, ИПФИКС и АппФлов
  4. Омнипеек анализатор мрежних протокола Мрежни монитор који се може проширити за хватање пакета.
  5. тцпдумп Основни бесплатни алат за хватање пакета који сваки менаџер мреже мора у свом пакету алата.
  6. Виндумп Бесплатни клон тцпдумп-а написан за Виндовс системе.
  7. Виресхарк Добро познати алат за снимање и анализу бесплатних пакета.
  8. тсхарк Лаган одговор онима који желе функционалност Виресхарка, али танак профил тцпдумп-а.
  9. Мрежни рудар Мрежни анализатор базиран на Виндовс-у са бесплатном верзијом без додатака.
  10. Фиддлер Алат за хватање пакета који се фокусира на ХТТП саобраћај.
  11. Цапса Писани за Виндовс, бесплатни алат за хватање пакета може се надоградити за плаћање да би се додале аналитичке функције.

Предности њушкања пакета

Њушкало за пакет је користан алат који вам омогућава да имплементирате политику мрежних капацитета компаније. Главне предности су:

  • Идентифицирајте загушене везе
  • Идентифицирајте апликације које стварају највише промета
  • Прикупите податке за предиктивну анализу
  • Означите врхове и корита у мрежној потражњи

Радње које предузмете овисе о вашем доступном буџету. Ако имате ресурсе за проширење мрежног капацитета, сниффер пакета ће вам омогућити ефикасније циљање нових ресурса. Ако немате буџет, њушкање пакета помоћи ће у обликовању саобраћаја кроз одређивање приоритета у апликацијама, промену величине подмреже, репрограмирање догађаја великог промета, ограничавање пропусности за одређене апликације или замена апликација ефикаснијим алтернативама.

Промискуозни режим

Важно је да схватите како делује мрежна картица на рачунару када инсталирате софтвер за њушкање пакета. Интерфејс са рачунара на мрежи назива се „контролер мрежног интерфејса,“Или НИЦ. Ваш НИЦ ће преузети само интернет саобраћај који је адресиран на његову МАЦ адресу.

Да бисте заробили општи саобраћај, потребно је да свој НИЦ ставите у „промискуитетни режим."Ово уклања ограничење слушања на НИЦ-у. У промискуитетном режиму, ваш НИЦ ће покупити сав мрежни саобраћај. Већина пакетских њушкица има услужни програм унутар корисничког интерфејса који управља прекидачем режима за вас.

Врсте мрежног промета

Анализа мрежног промета захтева разумевање како мрежа функционише. Не постоји алат који би магично уклонио захтев да аналитичар разуме основе умрежавања, попут ТЦП тросмерног руковања који се користи за покретање везе између два уређаја. Аналитичари би такође требало да разумеју врсте мрежног саобраћаја који постоје у нормално делујућој мрежи као што су АРП и ДХЦП саобраћај. Ово знање је од суштинског значаја јер ће вам анализирати алате само показати шта тражите - на вама је да знате шта можете тражити. Ако нисте сигурни како ваша мрежа изгледа нормално, може бити тешко осигурати да копате по правој ствари у маси пакета које сте сакупили.

Ентерприсе алати

Кренимо од врха и крећемо нашим путем према основним нитрима. Ако се бавите мрежом на нивоу предузећа, требаће вам велика пушка. Иако готово све користи тцпдумп у својој сржи (детаљније о томе касније), алати на нивоу предузећа могу пружити и друге аналитичке функције као што су корелирање промета с многих сервера, пружање интелигентних алата за уплате за проналажење проблема, упозоравање на случајеве изузећа и стварање симпатичних графикона који захтеви менаџмента.

Алати на нивоу предузећа имају тенденцију да се фокусирају на проток мрежног промета, а не на просуђивање садржаја пакета. Под тим мислим на то да је фокус већине сисадмина у предузећу задржавање мреже без пригушења, без уских грла. Када дође до уских грла, циљ је обично утврдити да ли је проблем мрежа или апликација на мрежи. С друге стране новчића, ови алати на нивоу предузећа обично могу да виде толико промета да могу помоћи да се предвиђа када ће се засићити мрежни сегмент што је критични елемент управљања капацитетом.

Хакерски алати

Пакере њушкаре такође користе и хакери. Имајте на уму да се ови алати могу користити за напад на вашу мрежу као и за решавање проблема. Њушкало за пакете може се користити као прислушкиваче да помогну крађу података у транзиту и они такође могу допринети „Човек у средини“Напади који мењају податке у транзиту и преусмеравају саобраћај у циљу преваре корисника на мрежи. Уложите у системе за откривање провале да бисте заштитили мрежу од ових облика неовлашћеног приступа

Како раде Пацкет Снифферс и Нетворк Анализер?

Најбољи пакети за снабдевање 2020 (рецензирано 11 аналитичара пакета)

Тхе Главна карактеристика снајпера за пакет је да копира податке током путовања кроз мрежу и чини их доступним за гледање. Њушкасти уређај једноставно копира све податке за које види да пролазе кроз мрежу. Када се имплементирају на прекидачу, подешавања уређаја омогућавају слање пролазног пакета на други порт као и на одредиште, чиме се дуплира промет. Обично се пакети података који су прикупљени из мреже копирају у датотеку. Неки алати ће такође показати те податке на контролној табли. Међутим, њушкице за пакете могу да прикупе пуно података, што укључује и кодиране податке администратора. Требат ћете пронађите алат за анализу који вам може помоћи да преусмерите информације о путовању пакета у екстракту и другим информацијама, попут релевантности бројева портова између којих пакети путују.

Изравни снаффер пакета копират ће све пакете који путују мрежом. Ово може бити проблем. Ако корисни терет пакета није шифриран, омогућићете особљу ИТ одељења да види осетљиве пословне информације док путују мрежом. Из тог разлога, многи снафферс пакет могу бити ограничени тако да копирају само преко података заглавља. У већини случајева садржај пакета није потребан за анализу перформанси мреже. Ако желите да пратите употребу мреже током 24 сата или током неколико дана, онда ће складиштење сваког пакета заузети веома велику количину простора на диску - чак и ако узимате само заглавље пакета. У овим је сценаријима препоручљиво узорковати пакете, што значи копирати сваки 10. или 20. пакет, а не копирати преко сваког појединачног пакета.

Најбољи снајперски пакети и мрежни анализатори

Следеће алате рангирали смо према следећим општим разматрањима: корисне карактеристике, поузданост, једноставност инсталације, интеграција и употреба, количина понуђене помоћи и подршке, колико је софтвер ажуриран и одржаван и колико су угледни програмери индустрија.

1. Алат за инспекцију и анализу дубинских пакета СоларВиндс (БЕСПЛАТНО ИСПИТИВАЊЕ)

СоларВиндс је веома широк пакет алата за управљање ИТ-ом. Алат који је релевантнији за овај чланак је алат за дубинску инспекцију и анализу пакета. Прикупљање мрежног саобраћаја је прилично једноставно. Користећи алате попут ВиреСхарк, анализа основног нивоа није ни чеп за приказивање. Али нису све ситуације исечене и осушене. У веома заузетој мрежи можда је тешко одредити чак и неке врло основне ствари као што су:

  • Која апликација на мрежи ствара овај промет?
  • Ако је апликација позната (рецимо, веб претраживач), где људи проводе већину свог времена?
  • Које су везе најдуже и засипају мрежу?

Већина мрежних уређаја само користи метаподате сваког пакета како би осигурала да пакет стигне тамо где иде. Садржај пакета је непознат мрежном уређају. Преглед дубинских пакета је различит; то значи да се провјерава стварни садржај пакета како би се сазнало више о њему. Критичне мрежне информације које се не могу прикупити из метаподатака могу се открити на овај начин. Алати попут оних које пружа СоларВиндс могу пружити значајније податке него само проток саобраћаја.

идентификација соларних Виндовс-дпи-апликација

Остале технике за управљање мрежама велике количине укључују НетФлов и сФлов. Свака од њих има своје предности и слабости, а више о НетФлов и сФлов техникама можете прочитати овде.

Анализа мреже је, уопштено, напредна тема која је пола искуства и пола обуке. Могуће је оспособити некога да разуме сваки детаљ о мрежним пакетима, али осим ако та особа такође има знање о циљној мрежи и нешто искуства у препознавању аномалија, неће стићи јако далеко. Алате које сам набројао у овом чланку могу користити искусни мрежни администратори који већ знају шта траже, али нису сигурни који су алати најбољи. Такође их могу користити и млађи сисадмини како би стекли искуство о томе како мреже изгледају током свакодневних операција, што ће вам помоћи у препознавању проблема касније.

ИЗБОР УРЕДНИКА

Монитор перформанси мреже СоларВиндс даје детаљне увиде о томе шта узрокује спорост мреже и омогућава вам да брзо разрешите узроке уз помоћ дубинске инспекције пакета. Препознавањем саобраћаја према апликацији, категорији (посао у односу на друштвени) и нивоу ризика можете елиминисати и филтрирати проблем проблема и мерити време реакције апликације. С одличним корисничким интерфејсом, ово је одличан избор за њушкање пакета и анализу мреже.

Преузимање: Потпуно функционална БЕСПЛАТНА 30-дневна проба на СоларВиндс.цом

Званични сајт: ввв.соларвиндс.цом/топицс/дееп-пацкет-инспецтион/

ОС: Виндовс Сервер

2. Паесслер Алат за хватање пакета (БЕСПЛАТНО ИСПИТИВАЊЕ)

Паесслер-ов алат за снимање пакета ПРТГ: Све-у-једном-надзор је обједињено средство за надгледање инфраструктуре. То вам помаже да управљате мрежом и својим серверима. Сегмент надгледања мреже услужног програма покрива две врсте задатака. Ово је мрежни монитор перформанси који проучава статуса мрежних уређаја и анализатор пропусности мреже, који покрива проток саобраћаја преко веза у мрежи.

Део ПРТГ анализе пропусности се реализује коришћењем четири различита алата за хватање пакета. Су:

  •         Њушкало за пакет
  •         НетФлов сензор
  •         Сензор за спуштање
  •         Ј-сензор протока

Њушкало ПРТГ пакета снима само заглавље пакета који путују кроз вашу мрежу. То даје предности анализатору брзину и смањује количину простора за складиштење потребну за држање датотека за хватање. Надзорна плоча снаффер-а пакета категоризира промет према врсти апликације. То укључује промет путем е-поште, веб пакете, податке о промету апликација за ћаскање и количине пакета за пренос датотека.

Најбољи пакети за снабдевање 2020 (рецензирано 11 аналитичара пакета)

НетФлов је веома широко кориштен систем за размену података о протоку података. Направио га је Цисцо Системс, али се такође користи и за опрему коју производе други произвођачи. ПРТГ НетФлов сензор такође преузима ИПФИКС поруке - овај стандард за размену порука је наследник НетФлов-овог спонзора који подржава ИЕТФ. Ј-Флов метода је сличан систем за размену порука који Јунипер Нетворкс користи за своју опрему. Стандард сФлов узоркује проток саобраћаја, тако да ће прикупљати сваки н-ти пакет. НетФлов и Ј-Флов снимају континуиране токове пакета.

Паесслер цене свог ПРТГ софтвера на број „сензора“ који активира имплементација. Сензор је стање система или хардверска компонента. На пример, сваки од четири пакетна њушкара које нуди Паесслер сматра се једним ПРТГ сензором. Систем је слободан за употребу ако активирате 100 сензора или мање, тако да ако овај пакет користите само за интерфејсе за њушкање пакета, нећете морати ништа да плаћате Паесслеру.

Паесслер систем укључује пуно других могућности надгледања мреже и сервера, укључујући монитор виртуализације и монитор апликација. ПРТГ се може инсталирати локално или му можете приступити као услуга у облаку. Софтвер ради у Виндовс окружењу и можете га добити 30-дневним бесплатним пробним временом.

Паесслер Алат за хватање пакета ПРТГУчитавање 30-дневна БЕСПЛАТНА пробна верзија

3. МанагеЕнгине НетФлов Анализер (БЕСПЛАТНО ИСПИТИВАЊЕ)

Тхе МанагеЕнгине НетФлов Анализер преузима информације о саобраћају са ваших мрежних уређаја. Помоћу овог алата можете одабрати узорковање промета, снимање читавих токова или прикупљање статистика о обрасцима саобраћаја.

Произвођачи мрежних уређаја не користе исти протокол за комуникацију података о саобраћају. Стога је НетФлов Анализер способан да користи различите језике за прикупљање информација. Ови укључују Цисцо НетФлов, Јунипер Нетворкс Ј-Флов, и Хуавеи Нетстреам. Такође је у стању да комуницира са сФлов, ИПФИКС, и АппФлов стандардима.

Монитор је у стању да прати доследност протока података као и оптерећење на сваком мрежном уређају. Могућности анализе саобраћаја вам дозвољавају погледајте пакете док пролазе кроз уређај и снимају их за подношење. Ова видљивост ће вам омогућити да видите које апликације жвачу већину вашег опсега и доносите одлуке о мерама за обликовање саобраћаја, као што су редови чекања на редовима или пребацивање.

МанагеЕнгине НетФлов Анализер

Инструментална табла система садржи графику у боји која вам олакшава задатак да уочите проблеме много лакше. Атрактиван изглед и осећај конзоле повезује се са осталим алатима за праћење инфраструктуре МанагеЕнгине јер су сви изграђени на заједничкој платформи. То га чини интегрираним са неколико МанагеЕнгине производа. На пример, врло је често да мрежни администратори купују оба ОпМанагер и НетФлов анализатор из Манаге Енгине.

ОпМанагер надгледа статусе уређаја са СНМП процедуре, којима се НетФлов Анализер фокусира на нивое промета и обрасце протока пакета.

Инсталира се МанагеЕнгине НетФлов Анализер Виндовс, Виндовс Сервер, и РХЕЛ, ЦентОС, Федора, Дебиан, СУСЕ, и Убунту Линук. Систем се нуди у два издања.

Ессентиал издање вам даје стандардне функције праћења мрежног промета плус модул за извештавање и наплату. Виши план се зове Ентерприсе Едитион. Ово има све карактеристике Ессентиал Едитион плус НБАР & ЦБКоС надгледање, напредни модул за безбедносну аналитику, услужне програме за планирање капацитета и могућности дубинске инспекције пакета. Ово издање такође укључује ИП СЛА и ВЛЦ праћење.

Можете добити било које издање анализатора НетФлов на 30-дневној бесплатној пробној верзији.

МанагеЕнгине НетФлов АнализерДовнлоад 30-дневна БЕСПЛАТНА пробна верзија

4. Омнипеек анализатор мрежних протокола

Најбољи пакети за снабдевање 2020 (рецензирано 11 аналитичара пакета)

ЛивеАцтион Омнипеек, раније производ Саввиус, је анализатор мрежног протокола који се може користити за хватање пакета као и за израду анализе протокола мрежног промета.

Омнипеек се може проширити помоћу додатака. Језгрени систем Омипеек не снима мрежне пакете. Међутим, додавање Цаптуре Енгине плуг-ин добија функцију хватања пакета. Систем Цаптуре Енгине узима пакете на жичној мрежи; друго проширење, звано Вифи адаптер додаје бежичне могућности и омогућава снимање Вифи пакета путем Омнипеека.

Функције базног Омнипеек анализатора мрежних протокола проширују се на надгледање перформанси мреже. Поред тога што наводи промет по протоколу, софтвер ће мерити брзину преноса и регуларност саобраћаја, подизање упозорења ако се саобраћај успорава или су путовања прошла граничне услове које је поставио администратор мреже.

Анализатор саобраћаја може да прати крај са крајем преносите перформансе преко читаве мреже или само пратите сваку линк. Остале функције прате интерфејсе, укључујући долазни промет који стиже на веб сервере изван мреже. Софтвер је посебно заинтересован за проток саобраћаја и приказ саобраћаја по протоколу. Подаци се могу посматрати као листе протокола и њихове пропусности или као живи графикони и графикони. Пакети заробљени помоћу програма за хватање могу бити чува за анализу или се репродукује преко мреже за испитивање капацитета.

Омнипеек се инсталира на Виндовс и Виндовс Сервер. Систем није слободан за употребу. Међутим, могуће је добити Омнипеек на 30-дневној бесплатној проби.

5. тцпдумп

Основно средство готово читавог сакупљања мрежног промета је тцпдумп. То је апликација отвореног кода која се инсталира на скоро све Уник-ове оперативне системе. Тцпдумп је одличан алат за прикупљање и долази у комплету са врло сложеним језиком за филтрирање. Важно је знати како филтрирати податке у време прикупљања да бисте на крају добили управљачки комад података за анализу. Снимање свих података са мрежног уређаја чак и на умерено заузетој мрежи може створити превише података да би се лако анализирало.

У неким ретким случајевима омогућавање тцпдумп-а да директно избаци своје снимке на ваш екран може бити довољно да пронађете оно што тражите. На пример, пишући овај чланак, забележио сам неки саобраћај и приметио да моја машина шаље саобраћај у ИП који нисам препознао. Испада да је моја машина слала податке на Гоогле ИП адресу 172.217.11.142. Пошто нисам имао покренуте Гоогле производе, нити Гмаил отворен, нисам знао зашто се то догађа. Испитао сам свој систем и установио ово:

[~] $ пс -еф | греп гоогле
усер 1985 1881 0 10:16? 00:00:00 / опт / гоогле / хром / цхроме --типе = услуга

Чини се да чак и када се Цхроме не изводи у првом плану, и даље ради као сервис. То не бих нужно приметио без анализе пакета да ме напусти. Поновно сам снимио још неких података тцпдумп, али овај пут сам рекао тцпдумп да напишем податке у датотеку коју сам отворио у Виресхарку (о томе више о томе касније). Ево овог уноса:

виресхарк-гоогле

Тцпдумп је омиљен алат међу сисадминима јер је алат командне линије. То значи да за покретање радне површине није потребна потпуна радна површина. Необично је да производни сервери дају радну површину због ресурса који би били потребни, па су пожељни алати командне линије. Као и код многих напредних алата, и тцпдумп има веома богат и истанчан језик за савладавање. Неколико врло основних наредби укључују одабир мрежног интерфејса из којег ће се прикупљати подаци и записивање тих података у датотеку како би се могли извозити на анализу на друго место. За то се користе прекидачи -и и -в.

# тцпдумп -и етх0 -в тцпдумп_пацкетс
тцпдумп: слушање на ет0, линк ЕН10МБ (Етхернет), величина снимања 262144 бајта
^ Ц51 заробљени пакети

Ово ствара датотеку за снимање:

филе тцпдумп_пацкетс
тцпдумп_пацкетс: датотека за хватање тцпдумп (литтле-ендиан) - верзија 2.4 (Етхернет, дужина снимања 262144)

Стандардна ТЦП датотека за снимање је пцап датотека. То није текст па га може прочитати само програм за анализу који зна како читати датотеке пцап.

6. ВинДумп

Већина корисних алата отвореног кода на крају се клонира у друге оперативне системе. Кад се то догоди, каже се да је апликација пренесена. ВинДумп је порт тцпдумп и понаша се на врло сличне начине.

Једна главна разлика између ВинДумп и тцпдумп је да је Виндумп потребно инсталирати ВинпЦап библиотеку пре него што може да покрене ВинДумп. Упркос томе што ВинДумп и ВинпЦап обезбеђује исти одржавач, то су одвојена преузимања.

ВинпЦап је стварна библиотека коју је потребно инсталирати. Али, једном када је инсталиран, ВинДумп је .еке датотека која не захтева инсталацију како би се могла једноставно покренути. То бисте могли имати на уму ако имате Виндовс мрежу. ВинДумп вам није неопходно инсталиран на свим рачунарима јер га можете копирати преко потребе, али ћете желети да се ВинпЦап инсталира како би подржао ВинДумп.

Као и код тцпдумп, ВинДумп може излазити мрежне податке на екран ради анализе, филтрирати на исти начин и такође уписати податке у пцап датотеку за анализу ван локације.

7. Виресхарк

Виресхарк је вероватно следећи најпознатији алат у свим алаткама сисадмин-а. Он не може само прикупити податке, већ пружа и неке напредне алате за анализу. Додао је својој жалби, Виресхарк је отвореног кода и пренесен је у готово сваки оперативни систем сервера. Полазећи од живота по имену Етхерал, Виресхарк сада ради свуда, укључујући самосталну преносиву апликацију.

Ако анализирате саобраћај на серверу на коме је инсталирана радна површина, Виресхарк може све да уради за вас. Може да прикупи податке, а онда све анализира на једном месту. Међутим, радне површине нису уобичајене на серверима, тако да ћете у многим случајевима желети даљинско ухватити мрежне податке, а затим резултирајућу пцап датотеку извући у Виресхарк.

При првом покретању, Виресхарк вам омогућава да учитате постојећу пцап датотеку или започнете снимање. Ако се одлучите за хватање мрежног саобраћаја, можете по жељи да одредите филтере како бисте смањили количину података коју Виресхарк сакупља. Пошто су његови алати за анализу тако добри, мање је важно осигурати да хируршки идентификујете податке у време прикупљања помоћу Виресхарк-а. Ако не одредите филтер, Виресхарк ће једноставно прикупити све мрежне податке које ваш одабрани интерфејс поштује.

покретање жице

Један од најкориснијих алата који Виресхарк пружа је могућност да се прати ток. Вероватно је најкорисније размишљати о стриму као о целом разговору. На слици испод можемо видети да је забележено мноштво података, али оно што ме највише занима је Гоогле ИП. Могу да кликнем десним тастером миша и пратим ТЦП Стреам да бисте видели цео разговор.

виресхарк-фоллов-тцп-стреам

Ако сте заробили саобраћај на другом месту, можете да увезете пцап датотеку користећи Виресхарк-ову датотеку -> Отворени дијалог. Исти филтри и алати који се могу користити за изворно снимљене мрежне податке доступни су за увезене датотеке.

виресхарк-опен-пцап

8. ТСхарк

ТСхарк је веома користан криж између тцпдумп-а и Виресхарк-а. Тцпдумп одликује прикупљање података и може врло хируршки извући само оне податке које желите, међутим ограничен је колико могу бити корисни за анализу. Виресхарк одлицно ради и у прикупљању и у анализи, али посто има теско корисницко интерфејс, не мозе се користити на серверима без главе. Унесите ТСхарк; он снима и анализира, али то чини у командној линији.

ТСхарк користи исте методе филтрирања као Виресхарк, што не треба бити изненађење јер су у основи исти производ. Ова наредба каже ТСхарку да смета само хватање одредишне ИП адресе као и нека друга занимљива поља из ХТТП дела пакета.

# тсхарк -и етх0 -И хттп.рекуест -Т поља -е ип.дст -е хттп.усер_агент -е хттп.рекуест.ури

172.20.0.122 Мозилла / 5.0 (Кс11; Линук к86_64; рв: 57.0) Гецко / 20100101 Фирефок / 57.0 /имагес/титле.пнг
172.20.0.122 Мозилла / 5.0 (Кс11; Линук к86_64; рв: 57.0) Гецко / 20100101 Фирефок / 57.0 /имагес/стилес/пхоеник.цсс
172.20.0.122 Мозилла / 5.0 (Кс11; Линук к86_64; рв: 57.0) Гецко / 20100101 Фирефок / 57.0 /имагес/цоде/јкуери_лигхтбок/јкуери_лигхтбок/јс/јкуери-1.2.6.пацк.јс
172.20.0.122 Мозилла / 5.0 (Кс11; Линук к86_64; рв: 57.0) Гецко / 20100101 Фирефок / 57.0 /имагес/стилес/индек.цсс
172.20.0.122 Мозилла / 5.0 (Кс11; Линук к86_64; рв: 57.0) Гецко / 20100101 Фирефок / 57.0 /имагес/имагес/титле.пнг
172.20.0.122 Мозилла / 5.0 (Кс11; Линук к86_64; рв: 57.0) Гецко / 20100101 Фирефок / 57.0 /фавицон.ицо
172.20.0.122 Мозилла / 5.0 (Кс11; Линук к86_64; рв: 57.0) Гецко / 20100101 Фирефок / 57.0 /фавицон.ицо

Ако желите да снимите датотеку, можете да је употребите прекидач -в да бисте је написали, а затим помоћу тастера -с (режим читања) ТСхарк-а да бисте је прочитали.

Прво снимите:

# тсхарк -и етх0 -в тсхарк_пацкетс
Снимање на 'етх0'
102 ° Ц

Прочитајте га на истом серверу или га пренесите на неки други сервер за анализу.

# тсхарк -р тсхарк_пацкетс -И хттп.рекуест -Т поља -е ип.дст -е хттп.усер_агент -е хттп.рекуест.ури
172.20.0.122 Мозилла / 5.0 (Кс11; Линук к86_64; рв: 57.0) Гецко / 20100101 Фирефок / 57.0 / контакт
172.20.0.122 Мозилла / 5.0 (Кс11; Линук к86_64; рв: 57.0) Гецко / 20100101 Фирефок / 57.0 / резервације /
172.20.0.122 Мозилла / 5.0 (Кс11; Линук к86_64; рв: 57.0) Гецко / 20100101 Фирефок / 57.0 /ресерватион/стилес/стилес.цсс
172.20.0.122 Мозилла / 5.0 (Кс11; Линук к86_64; рв: 57.0) Гецко / 20100101 Фирефок / 57.0 /рес/цоде/јкуери_лигхтбок/јкуери_лигхтбок/јс/јкуери-1.2.6.пацк.јс
172.20.0.122 Мозилла / 5.0 (Кс11; Линук к86_64; рв: 57.0) Гецко / 20100101 Фирефок / 57.0 /рес/стилес/индек.цсс
172.20.0.122 Мозилла / 5.0 (Кс11; Линук к86_64; рв: 57.0) Гецко / 20100101 Фирефок / 57.0 /рес/имагес/титле.пнг

9. Мрежни рудар

Мрежни рудар је врло занимљив алат који више спада у категорију форензичких алата, а не изравни снајпер за пакет. Подручје форензике обично се бави истрагом и прикупљањем доказа и Нетворк Минер то добро ради за мрежни саобраћај. Као што ВиреСхарк може пратити ТЦП ток за опоравак читавог ТЦП разговора, Нетворк Минер може да прати ток да би реконструисао датотеке које су послате преко мреже..

Мрежни рудар

Да бисте преузели саобраћај уживо, Нетворк Минер би требао бити стратешки постављен на мрежи како би могао да посматра и сакупља саобраћај који вас занима. Неће увести било какав сопствени саобраћај на мрежу, тако да он послује врло несметано.

Мрежни рудар може да ради и у режиму ван мреже. Испробани и истински тцпдумп алат можете да користите за снимање пакета на тачки која вас занима на вашој мрежи, а затим увозите пцап датотеке у Нетворк Минер. Потом ће покушати да реконструише све датотеке или потврде које пронађе у датотеци за хватање.

Нетворк Минер је направљен за Виндовс, али користећи Моно, може се покренути на било ком ОС-у који има Моно оквир као што су Линук и мацОС.

Постоји бесплатна верзија за почетак рада која има пристојан низ функција. Ако желите напредније могућности као што су ГеоИП локација и прилагођено скриптирање, мораћете да купите професионалну лиценцу.

10. Фиддлер (ХТТП)

Фиддлер технички није алат за снимање мрежних пакета, али је толико невероватно користан да је направио листу. За разлику од осталих овде наведених алата који су дизајнирани за хватање ад-хоц промета на мрежи из било којег извора, Фиддлер је више алат за уклањање погрешака на радној површини. Он снима ХТТП саобраћај и док многи прегледачи већ имају ову могућност у својим алатима за развојне програмере, Фиддлер није ограничен на саобраћај прегледача. Фиддлер може да ухвати било који ХТТП саобраћај на радној површини, укључујући и оне који нису веб апликације.

Фиддлер

Многе десктоп апликације користе ХТТП за повезивање са веб услугама и без алата као што је Фиддлер, једини начин да се тај промет прикупи за анализу је коришћење алата као што су тцпдумп или ВиреСхарк. Међутим, ти алати раде на нивоу пакета тако да анализа укључује реконструкцију тих пакета у ХТТП токове. То може бити пуно посла како би се провела нека једноставна ХТТП истрага и Фиддлер је дошао у помоћ. Фиддлер може помоћи у откривању колачића, сертификата и података о корисном оптерећењу који долазе или излазе из тих апликација.

Помаже то што је Фиддлер бесплатан и, попут мрежног рудара, може се покретати у оквиру Моноа на било ком другом оперативном систему који има Моно оквир.

11. Цапса

Цапса Нетворк Анализер има неколико издања, а свако има различите могућности. На првом нивоу, без Цапса, софтвер у основи само снима пакете и омогућава врло графичку анализу истих. Инструментална табла је врло јединствена и може помоћи почетницима сисадминима да брзо утврде мрежне проблеме чак и са мало стварног знања о пакету. Бесплатни ниво је намењен људима који желе да знају више о пакетима и усвоје своје вештине у пуноправне аналитичаре.

капса

Бесплатна верзија зна како надгледати преко 300 протокола, омогућава праћење е-поште и такође може спремати садржај е-поште и такође подржава окидач. Окидачи се могу користити за постављање упозорења за одређене ситуације, што значи да се Цапса може у одређеној мери користити и као подршка..

Цапса је доступна само за Виндовс 2008 / Виста / 7/8 и 10.

Завршне речи

Уз алате које сам навео, није велики скок видјети како системски администратор може да изгради мрежу за надгледање мреже на захтев. Тцпдумп или Виндумп могу се инсталирати на свим серверима. Планер, као што је црон или Виндовс планер, могао би отпочети сесију прикупљања пакета у неко време које вас занима и уписати те колекције у пцап датотеку. У неко касније време сисадмин може да пренесе те пакете у централну машину и помоћу Виресхарк-а да их анализира. Ако је мрежа толико велика да то није изводљиво, тада алати на нивоу предузећа попут пакета СоларВиндс могу помоћи укротити све те мрежне податке у приступачном скупу података.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

86 + = 94

Adblock
detector