2020 بهترین خرناس بسته (11 تحلیلگر بسته بررسی شده)

2020 بهترین خرناس بسته (11 تحلیلگر بسته بررسی شده)


Packet Sniffing اصطلاح محاوره ای است که به هنر آنالیز ترافیک شبکه اشاره دارد. برخلاف عقل سلیم ، مواردی مانند ایمیل و صفحات وب اینترنت را در یک قطعه نمی گذرند. آنها به هزاران بسته داده کوچک تقسیم می شوند و به این روش از طریق اینترنت ارسال می شوند.

بسیاری از ابزارهای بسیاری وجود دارد که ترافیک شبکه را جمع آوری می کنند و بیشتر آنها از pcap (سیستم های شبیه یونیکس) یا libcap (سیستم های ویندوز) در هسته خود برای انجام مجموعه واقعی استفاده می کنند. مجموعه دیگری از ابزارها برای کمک به تجزیه و تحلیل داده ها وجود دارد ، زیرا حتی مقدار کمی از داده ها می توانند هزاران بسته منجر به حرکت شوند. تقریباً همه این ابزارها به همان روش جمع می شوند. این تجزیه و تحلیل است که آنها را متمایز می کند.

این پست درباره هر یک از ابزاری که در اینجا ساخته شده است به جزئیات می پردازد ، اما اگر مدت زمان کوتاهی دارید ، در اینجا لیست ما از بهترین sniffers های بسته بندی و آنالایزر شبکه:

  1. ابزار بازرسی و تجزیه و تحلیل SolarWinds Deep Packet (آزمایشی رایگان) یک ابزار تجزیه و تحلیل ترافیک شبکه با کیفیت بالا که روی ویندوز سرور اجرا می شود و بخشی از آن است
  2. ابزار ضبط بسته Paessler (آزمایشی رایگان) یک گیرنده بسته ، یک حسگر NetFlow ، یک سنسور sFlow و یک سنسور J-Flow که در Paessler PRTG ساخته شده است.
  3. ManageEngine NetFlow آنالایزر (آزمایش رایگان) ابزاری برای تحلیل ترافیک که با NetFlow ، J-Flow ، sFlow Netstream ، IPFIX و AppFlow کار می کند
  4. آنالایزر پروتکل شبکه Omnipeek مانیتور شبکه ای که می تواند برای گرفتن بسته ها گسترش یابد.
  5. tcpdump ابزاری مهم برای ضبط بسته های رایگان است که هر مدیر شبکه از آن در مجموعه ابزار خود استفاده می کند.
  6. بادگیر یک کلون رایگان tcpdump که برای سیستم های ویندوز نوشته شده است.
  7. Wireshark یک ابزار ضبط و بسته بندی رایگان داده های شناخته شده رایگان.
  8. tshark یک پاسخ سبک برای کسانی که عملکرد Wireshark را می خواهند ، اما مشخصات باریک tcpdump است.
  9. شبکه Miner آنالایزر شبکه مبتنی بر ویندوز با نسخه رایگان بدون زواید.
  10. فیدلر یک ابزار ضبط بسته که روی ترافیک HTTP متمرکز است.
  11. کپسا برای ویندوز نوشته شده است ، ابزار رایگان ضبط بسته را می توان برای پرداخت به روزرسانی کرد تا به ویژگی های تحلیلی اضافه شود.

مزایای خرخر کردن بسته

یک بسته دستی ابزار مناسب برای فعال کردن خط مشی ظرفیت شرکت شما است. مزایای اصلی این است که:

  • پیوندهای احتقان را شناسایی کنید
  • برنامه هایی را شناسایی کنید که بیشترین میزان ترافیک را ایجاد می کنند
  • جمع آوری داده ها برای تجزیه و تحلیل پیش بینی
  • قله ها و تقاضای شبکه را برجسته کنید

اقداماتی که انجام می دهید به بودجه موجود شما بستگی دارد. اگر منابعی برای گسترش ظرفیت شبکه داشته باشید ، پوزه بسته اجازه می دهد تا منابع جدیدتری را به طور مؤثر هدفگذاری کنید. اگر بودجه ندارید ، خراب کردن بسته کمک خواهد کرد که از طریق اولویت بندی ترافیک برنامه ، تغییر اندازه زیر شبکه ها ، تغییر مجدد رویدادهای ترافیکی سنگین ، محدود کردن پهنای باند برای برنامه های خاص یا جایگزینی برنامه ها با گزینه های کارآمدتر ، به شکل دادن به ترافیک کمک کند..

حالت تبلیغاتی

درک این که عملکرد کارت شبکه در رایانه شما هنگام نصب نرم افزار خرابکاری بسته بستگی دارد ، مهم است. رابط از رایانه شما به شبکه ""کنترل کننده رابط شبکه,"یا NIC. NIC شما فقط ترافیک اینترنتی را انتخاب می کند که به آدرس MAC آن خطاب شده است.

برای گرفتن ترافیک عمومی ، باید NIC خود را وارد کنید "حالت پیشگویی."این حد گوش دادن به NIC را حذف می کند. در حالت پیش فرض ، NIC شما تمام ترافیک شبکه را انتخاب می کند. اکثر اسنایدهای بسته دارای ابزاری در رابط کاربری هستند که سوئیچ حالت را برای شما مدیریت می کند.

انواع ترافیک شبکه

تجزیه و تحلیل ترافیک شبکه نیاز به درک چگونگی عملکرد شبکه دارد. هیچ ابزاری وجود ندارد که بتواند نیاز به یک تحلیلگر را برای درک اصول اولیه شبکه مانند دستی سه راهی TCP که برای شروع اتصال بین دو دستگاه استفاده می شود ، جادویی کند. تحلیلگران همچنین باید در مورد انواع ترافیک شبکه که در یک شبکه معمولاً عملکردی مانند ترافیک ARP و DHCP وجود دارد درک کنند. این دانش بسیار ضروری است زیرا تجزیه و تحلیل ابزارها فقط آنچه را که می خواهید به شما نشان می دهند - این وظیفه شماست که بدانید از چه چیزی بخواهید. اگر مطمئن نیستید که شبکه شما به طور عادی چگونه به نظر می رسد ، می توان اطمینان حاصل کرد که در حال جمع کردن چیزهای مناسب در انبوه بسته های جمع آوری شده خود هستید.

ابزارهای سازمانی

بیایید از بالا شروع کنیم و راه خود را به اصول اساسی نازک برسانیم. اگر با یک شبکه در سطح شرکت سر و کار دارید ، به اسلحه های بزرگ احتیاج دارید. در حالی که تقریباً همه چیز از tcpdump در هسته خود استفاده می کند (بیشتر در مورد بعدی) ، ابزارهای سطح سازمانی می توانند عملکردهای تحلیلی دیگری مانند ارتباط ترافیک از بسیاری از سرورها ، ارائه ابزارهای پرس و جو هوشمند برای مشاهده مشکلات ، هشدار در مورد موارد استثناء و ایجاد نمودارهای زیبا را ارائه دهند. خواسته های مدیریت.

ابزارهای سطح سازمانی به جای قضاوت در مورد محتوای بسته ، تمرکز خود را بر جریان ترافیک شبکه متمرکز می کنند. با این کار ، منظور من این است که تمرکز اکثر sysadmins در یک شرکت این است که شبکه را بدون تنگناهای عملکرد به هم بلغزد. هنگامی که تنگناها رخ می دهد ، معمولاً هدف این است که مشخص کنیم مشکل شبکه است یا یک برنامه در شبکه. از طرف دیگر این سکه ، این ابزارهای سطح شرکت معمولاً قادر به دیدن ترافیک زیادی هستند که می توانند پیش بینی کنند که چه زمانی یک قطعه شبکه اشباع خواهد شد و این یک عنصر اساسی در مدیریت ظرفیت است..

ابزارهای هکر

همچنین از اسکنرهای بسته نیز توسط هکرها استفاده می شود. توجه داشته باشید که از این ابزارها می توان برای حمله به شبکه شما و همچنین برای حل مشکلات استفاده کرد. به عنوان sniffers بسته می تواند به عنوان مورد استفاده قرار گیرد مفتول برای کمک به سرقت داده ها در هنگام ترانزیت و آنها همچنین می توانند در "مرد در وسط"حمله می کند که داده ها را در ترانزیت تغییر داده و ترافیک را به منظور جعل کاربر در شبکه تغییر می دهد. برای محافظت از شبکه خود در برابر این اشکال دسترسی غیرمجاز ، روی سیستم های تشخیص نفوذ سرمایه گذاری کنید

چگونه Packet Sniffers و آنالایزر شبکه کار می کنند?

2020 بهترین خرناس بسته (11 تحلیلگر بسته بررسی شده)

ویژگی اصلی sniffer بسته ای این است که داده ها را هنگام سفر در یک شبکه کپی می کند و آن را برای مشاهده در دسترس می کند. دستگاه خرابکار به سادگی تمام داده هایی را که می بیند از طریق شبکه عبور می کند ، کپی می کند. در هنگام اجرای سوئیچ ، تنظیمات دستگاه اجازه می دهد تا بسته در حال عبور به پورت دوم و همچنین مقصد در نظر گرفته شده ارسال شود ، بنابراین ترافیک را کپی می کند. معمولاً بسته های داده هایی که از شبکه درو می شوند در یک پرونده کپی می شوند. برخی از ابزارها همچنین داده ها را در داشبورد نشان می دهند. با این حال, sniffers بسته می تواند داده های زیادی را جمع آوری کند ، که شامل اطلاعات رمزگذاری شده سرپرست است. شما باید یک ابزار تجزیه و تحلیل پیدا کنید که بتواند به شما در ارتباط با اطلاعات کمک کند در سفر بسته ها در عصاره و سایر اطلاعات ، مانند ارتباط شماره بندر که بسته ها بین آن ها سفر می کنند.

یک گیرنده بسته مستقیم تمام بسته هایی را که در شبکه سفر می کنند کپی می کند. این می تواند یک مشکل باشد. اگر بار بسته بندی رمزگذاری نشده باشد ، شما به کارمندان بخش فناوری اطلاعات قادر خواهید بود تا هنگام سفر از طریق شبکه ، اطلاعات حساس تجاری را مشاهده کنند. به همین دلیل ، بسیاری از خرخرگاههای بسته می توانند محدود باشند تا فقط اطلاعات مربوط به هدر را کپی کنند. در بیشتر موارد ، محتویات بسته لازم برای تجزیه و تحلیل عملکرد شبکه نیست. اگر می خواهید میزان استفاده از شبکه را طی یک دوره 24 ساعته یا طی چند روز ردیابی کنید ، پس از ذخیره هر بسته فضای بسیار زیادی از دیسک را اشغال می کنید - حتی اگر فقط هدر های بسته را مصرف کنید. در این سناریوها توصیه می شود از بسته ها نمونه برداری کنید ، به این معنی که کپی کردن هر بسته 10 یا 20 را به جای کپی کردن بر روی تک تک.

بهترین اسنیفرها و آنالیزورهای شبکه

ما با توجه به ملاحظات عمومی زیر ، ابزارهای زیر را رتبه بندی کرده ایم: ویژگی های مفید ، قابلیت اطمینان ، سهولت در نصب ، ادغام و استفاده ، میزان کمک و پشتیبانی ارائه شده ، چگونگی به روزرسانی و نگهداری نرم افزار و چگونگی اعتبار برنامه نویسان. صنعت.

1. ابزار بازرسی و تجزیه و تحلیل بسته های عمیق SolarWinds (آزمایشی رایگان)

SolarWinds مجموعه کاملی از ابزارهای مدیریت IT است. ابزاری که بیشتر به این مقاله مرتبط است ابزار Deep Packet Inspection and Analysis است. جمع آوری ترافیک شبکه نسبتاً آسان است. با استفاده از ابزاری مانند WireShark ، تجزیه و تحلیل سطح پایه نیز مانع نمایش نیست. اما همه اوضاع به گونه ای نیست که برش خورده و خشک شود. در یک شبکه بسیار شلوغ ، تعیین برخی موارد بسیار اساسی مانند:

  • چه برنامه ای در شبکه ایجاد این ترافیک است?
  • اگر برنامه شناخته شده باشد (مثلاً مرورگر وب) افرادی که بیشتر وقت خود را سپری می کنند کجا هستند?
  • کدام اتصالات طولانی ترین طول را طی می کنند و شبکه را با مشکل مواجه می کنند?

بیشتر دستگاه های شبکه فقط از داده های مربوط به بسته استفاده می کنند تا اطمینان حاصل شود که بسته در کجا می رود. محتویات بسته برای دستگاه شبکه ناشناخته است. بازرسی بسته های عمیق متفاوت است. این بدان معناست که محتویات واقعی بسته برای اطلاعات بیشتر در مورد آن مورد بازرسی قرار می گیرد. اطلاعات بحرانی شبکه ای که نمی توانند از ابرداده خارج شوند ، می توانند از این طریق کشف شوند. ابزارهایی مانند آنهایی که توسط SolarWinds ارائه شده اند می توانند داده های معنی دار تری نسبت به جریان ترافیک فراهم کنند.

solarwindows-dpi-شناسایی برنامه

روش های دیگر برای مدیریت شبکه های با حجم بالا شامل NetFlow و sFlow است. هر کدام نقاط قوت و ضعف خود را دارند و می توانید در اینجا بیشتر در مورد تکنیک های NetFlow و sFlow بخوانید.

به طور کلی ، تجزیه و تحلیل شبکه یک مبحث پیشرفته است که نیمی از تجربه و نیمه آموزش است. آموزش کسی ممکن است که همه جزئیات مربوط به بسته های شبکه را درک کند ، اما مگر اینکه آن شخص از شبکه هدف آگاهی داشته باشد و تجربیاتی در زمینه شناسایی ناهنجاری ها داشته باشد ، بسیار دور نمی شوند. ابزاری که در این مقاله ذکر کردم می تواند توسط مدیر شبکه های مجرب که از قبل می دانند به دنبال چه چیزی هستند استفاده شود ، اما مطمئن نیستید که بهترین ابزارها کدامند. آنها همچنین می توانند توسط sysadmins جوانتر مورد استفاده قرار گیرند تا با نحوه نگاه شبکه ها در طول عملیات روزانه تجربه کنند ، که این امر به شناسایی موضوعات بعدا کمک می کند..

انتخاب سردبیر

مانیتور عملکرد شبکه SolarWinds بینش مفصلی در مورد علت کندی شبکه دارد و به شما امکان می دهد علل اصلی را با استفاده از بازرسی بسته های عمیق برطرف کنید. با شناسایی ترافیک توسط برنامه ، دسته (تجارت در مقابل اجتماعی) و سطح خطر می توانید ترافیک مشکل را از بین ببرید و فیلتر کنید و زمان پاسخگویی برنامه را اندازه گیری کنید. با داشتن رابط کاربری عالی ، این گزینه عالی برای خراب کردن بسته ها و تجزیه و تحلیل شبکه است.

دانلود: محاکمه کاملاً کاربردی 30 روز رایگان در SolarWinds.com

سایت رسمی: www.solarwinds.com/topics/deep-packet-inspection/

سیستم عامل: سرور ویندوز

2. ابزار ضبط بسته Paessler (آزمایش رایگان)

Paessler Packet-Capture-Tool PRTG: Monitoring All-In-One یک ابزار یکپارچه نظارت بر زیرساخت ها است. این کمک می کند تا شبکه و سرورهای خود را مدیریت کنید. بخش نظارت شبکه از ابزار دو نوع کار را شامل می شود. اینها مانیتور عملکرد شبکه است که وضعیت دستگاههای شبکه و آنالایزر پهنای باند شبکه را بررسی می کند ، که جریان ترافیک از طریق پیوندها در شبکه را پوشش می دهد..

بخش تحلیل پهنای باند PRTG با استفاده از چهار ابزار مختلف ضبط بسته ها اجرا می شود. اینها هستند:

  •         پوزه بسته
  •         یک سنسور NetFlow
  •         یک سنسور sFlow
  •         یک سنسور J-Flow

گیرنده بسته PRTG فقط هدر بسته های موجود در شبکه شما را ضبط می کند. این امر به آنالیز کننده سرعت می بخشد و همچنین باعث می شود مقدار فضای ذخیره سازی مورد نیاز برای نگهداری فایل های ضبط کاهش یابد. داشبورد sniffer بسته بندی ، ترافیک را بر اساس نوع برنامه بندی طبقه بندی می کند. این موارد شامل ترافیک ایمیل ، بسته‌های وب ، داده‌های ترافیک برنامه چت و حجم بسته انتقال پرونده است.

2020 بهترین خرناس بسته (11 تحلیلگر بسته بررسی شده)

NetFlow یک سیستم پیام رسانی به طور گسترده جریان داده است. توسط سیسکو سیستم ایجاد شده است اما برای تجهیزات تولید شده توسط تولید کنندگان دیگر نیز استفاده می شود. سنسور PRTG NetFlow همچنین پیام های IPFIX را جمع می کند - این استاندارد پیام رسانی یک جانشین تحت حمایت IETF در NetFlow است. روش J-Flow یک سیستم پیام رسانی مشابه است که توسط Juniper Networks برای تجهیزات خود استفاده می شود. نمونه استاندارد sFlow از ترافیک جریان می یابد ، بنابراین هر بسته ی نهم را جمع می کند. NetFlow و J-Flow هر دو جریان مداوم بسته ها را ضبط می کنند.

Paessler نرمافزار PRTG خود را بر روی تعداد "سنسورهای" فعال سازی پیاده سازی می کند. یک سنسور یک سیستم یا اجزای سخت افزاری است. به عنوان مثال ، هر چهار اسکنر بسته ای که توسط Paessler ارائه شده است ، یک حسگر PRTG محسوب می شود. در صورت فعال کردن 100 سنسور یا کمتر ، این سیستم رایگان است ، بنابراین اگر فقط از این بسته برای رابط های خراب کننده بسته خود استفاده می کنید ، دیگر نیازی به پرداخت پاستلر ندارید.

سیستم Paessler شامل بسیاری دیگر از قابلیت های نظارت بر شبکه و سرور از جمله مانیتور مجازی سازی و مانیتور برنامه است. PRTG را می توان در محل نصب کرد یا می توانید به عنوان یک سرویس ابری به آن دسترسی داشته باشید. این نرم افزار در محیط های ویندوز اجرا می شود و می توانید آن را در یک آزمایش 30 روزه رایگان دریافت کنید.

Paessler Packet Capture Tool PRTG دانلود آزمایشی 30 روزه رایگان

3. ManageEngine NetFlow آنالایزر (آزمایش رایگان)

ManageEngine NetFlow Analyzer اطلاعات مربوط به ترافیک را از دستگاه های شبکه شما دریافت می کند. با استفاده از این ابزار می توانید نمونه برداری از ترافیک ، گرفتن کل جریانها یا جمع آوری آماری از الگوهای راهنمایی را انتخاب کنید.

سازندگان دستگاه های شبکه همه از پروتکل یکسانی برای برقراری ارتباط داده های ترافیکی استفاده نمی کنند. بنابراین ، آنالایزر NetFlow قادر به استفاده از زبان های مختلف برای جمع آوری اطلاعات است. این شامل Cisco NetFlow, شبکه های Juniper J-Flow, و هواوی Netstream. همچنین قادر به برقراری ارتباط با sFlow, IPFIX, و AppFlow استانداردها.

مانیتور قادر به پیگیری قوام جریان داده ها و همچنین بار در هر دستگاه شبکه است. قابلیت تجزیه و تحلیل ترافیک به شما امکان می دهد بسته ها را ببینید از آنجا که آنها از طریق یک دستگاه عبور می کنند و آنها را ضبط می کنند تا پرونده شوند. این قابلیت مشاهده شما را قادر می سازد تا ببینید برنامه هایی که بیشتر پهنای باند شما را در حال جویدن هستند و تصمیم گیری در مورد اقدامات شکل گیری ترافیک ، مانند صف اولویت بندی یا پرتاب کردن را می گیرید..

ManageEngine NetFlow Analyzer

داشبورد این سیستم از گرافیک هایی با کد رنگی بهره می برد که وظیفه شما در تشخیص مشکلات را بسیار ساده تر می کند. ظاهر و ظاهر جذاب کنسول با دیگر ابزارهای نظارت بر زیرساختهای ManageEngine ارتباط دارد زیرا همه آنها بر روی یک سکوی مشترک ساخته شده اند. این باعث می شود تا با چندین محصول ManageEngine ادغام شود. به عنوان مثال ، برای مدیران شبکه بسیار متداول است كه هر دو مورد را خریداری كنند OpManager و آنالایزر NetFlow از مدیریت موتور.

OpManager وضعیت دستگاه ها را با SNMP رویه هایی که آنالایزر NetFlow روی سطح ترافیک و الگوهای جریان بسته ها تمرکز دارد.

ManageEngine NetFlow Analyzer روی آن نصب می شود پنجره ها, سرور ویندوز, و RHEL, CentOS, فدورا, دبیان, سوس, و لینوکس اوبونتو. این سیستم در دو نسخه ارائه شده است.

نسخه اساسی توابع استاندارد نظارت بر ترافیک شبکه به علاوه یک ماژول گزارش دهی و صورتحساب را به شما می دهد. برنامه بالاتر Enterprise Edition نام دارد. این همه ویژگی های Essential Edition plus را دارد NBAR & CBQoS نظارت ، ماژول پیشرفته آنالیز امنیتی ، برنامه ریزی ظرفیت و قابلیت بازرسی بسته های عمیق. این نسخه همچنین شامل IP SLA و WLC نظارت بر.

می توانید نسخه آزمایشی NetFlow را در یک آزمایش 30 روزه رایگان دریافت کنید.

ManageEngine NetFlow AnalyzerDownload آزمایشی 30 روزه رایگان

4- آنالایزر پروتکل شبکه Omnipeek

2020 بهترین خرناس بسته (11 تحلیلگر بسته بررسی شده)

LiveAction Omnipeek ، قبلاً محصولی از ساویوس, آنالایزر پروتکل شبکه است که می تواند برای ضبط بسته ها و همچنین تولید پروتکل آنالیز ترافیک شبکه مورد استفاده قرار گیرد.

Omnipeek را می توان با افزونه ها گسترش داد. سیستم اصلی Omipeek بسته های شبکه را ضبط نمی کند. با این حال ، علاوه بر این موتور ضبط افزونه عملکرد ضبط بسته را می گیرد. سیستم Capture Engine بسته هایی را در شبکه سیمی جمع می کند. پسوند دیگری به نام آداپتور Wifi قابلیت های بی سیم را اضافه می کند و بسته های Wifi را از طریق Omnipeek ضبط می کند.

عملکردهای آنالایزر پروتکل شبکه Omnipeek پایه به نظارت بر عملکرد شبکه گسترش می یابد. نرم افزار علاوه بر لیست کردن ترافیک توسط پروتکل ، سرعت انتقال و منظم بودن ترافیک را اندازه گیری می کند, هشدار دادن اگر ترافیک کاهش یابد و یا از شرایط مرزی تعیین شده توسط سرپرست شبکه عبور کند.

تحلیلگر ترافیک می تواند پیگیری کند پایان به پایان عملکرد را در کل شبکه انتقال دهید ، یا فقط هرکدام را نظارت کنید ارتباط دادن. سایر توابع رابطها را کنترل می کنند ، از جمله ترافیک ورودی که به سرورهای وب از خارج از شبکه می رسند. این نرم افزار به ویژه به توان ترافیک و نمایش ترافیک در هر پروتکل علاقه دارد. داده ها را می توان به عنوان لیست پروتکل ها و توان آنها یا به عنوان نمودارها و نمودارهای زنده مشاهده کرد. بسته های ضبط شده با موتور Capture می توانند باشند ذخیره شده برای تجزیه و تحلیل یا مجدداً در شبکه پخش مجدد شوید تست ظرفیت.

نصب Omnipeek در ویندوز و ویندوز سرور. استفاده از این سیستم رایگان نیست. با این حال ، می توان Omnipeek را در یک محاکمه رایگان 30 روزه دریافت کرد.

5. tcpdump

ابزار اساسی تقریباً کلیه ترافیک شبکه tcpdump است. این یک برنامه منبع باز است که تقریباً در تمام سیستم عامل های مشابه یونیکس نصب شده است. Tcpdump یک ابزار مجموعه ای عالی است و با یک زبان فیلتر بسیار پیچیده تکمیل می شود. این مهم است که بدانید که چگونه داده ها را در زمان جمع آوری فیلتر کنید تا به یک بخش از داده های قابل کنترل برای تجزیه و تحلیل برسیم. ضبط تمام داده ها از یک دستگاه شبکه حتی در یک شبکه متوسط ​​و مشغول می تواند داده های زیادی را برای تجزیه و تحلیل آسان ایجاد کند.

در بعضی موارد نادر ، اجازه می دهد tcpdump مستقیماً از صفحه نمایش ضبط کند تا بتواند آنچه را که می خواهید پیدا کنید. به عنوان مثال ، در نوشتن این مقاله ، مقداری ترافیک را ضبط کردم و متوجه شدم که دستگاه من ترافیک را به آی پی ارسال می کند که من آن را نمی شناسم. معلوم است که دستگاه من داده های خود را به آدرس IP گوگل با شماره 172.217.11.142 ارسال می کند. از آنجا که من هیچ محصول Google را اجرا نکردم و نه Gmail را باز نکردم ، نمی دانستم چرا این اتفاق می افتد. سیستم خودم را بررسی کردم و این را پیدا کردم:

[~] $ ps -ef | grep google
کاربر 1985 1881 0 10:16؟ 00:00:00 / opt / google / chrome / chrome --type = خدمات

به نظر می رسد حتی وقتی Chrome در پیش زمینه اجرا نمی شود ، همچنان به عنوان یک سرویس در حال اجرا است. من لزوماً بدون تحلیل بسته ای این موضوع را متوجه نمی شدم تا به من گوشزد کنند. من دوباره چندین داده tcpdump را مجدداً ضبط کردم اما این بار به tcpdump گفتم که داده ها را به پرونده ای که در Wireshark باز کردم (بیشتر در مورد آن بعدا) بنویسید. در اینجا آمده است:

wireshark-google

Tcpdump یک ابزار مورد علاقه در بین sysadmins است زیرا یک ابزار خط فرمان است. این بدان معناست که نیازی به اجرای یک دسک تاپ تمام عیار نیست. برای سرورهای تولید غیرممکن است که به دلیل منابعی که نیاز دارند ، یک میزکار تهیه کنند ، بنابراین ابزارهای خط فرمان ترجیح داده می شوند. tcpdump همانند بسیاری از ابزارهای پیشرفته ، یک زبان بسیار غنی و قوس دار دارد که برای تسلط کمی مدتی طول می کشد. برخی از دستورات بسیار اساسی شامل انتخاب رابط شبکه از آن برای جمع آوری داده ها ، و نوشتن آن داده ها به یک پرونده است تا بتواند برای تجزیه و تحلیل در جای دیگر صادر شود. سوئیچ های -i و -w برای این کار استفاده می شوند.

# tcpdump -i eth0 -w tcpdump_packets
tcpdump: گوش دادن به eth0 ، نوع پیوند EN10MB (اترنت) ، اندازه ضبط 262144 بایت
^ بسته های C51 ضبط شد

این یک پرونده ضبط تولید می کند:

پرونده tcpdump_packets
tcpdump_packets: پرونده ضبط tcpdump (اندونی کوچک) - نسخه 2.4 (اترنت ، طول ضبط 262144)

پرونده استاندارد ضبط TCP یک پرونده pcap است. این متن نیست ، بنابراین فقط با یک برنامه تجزیه و تحلیل می تواند خوانده شود که می داند چگونه فایل های pcap را بخواند.

6. WinDump

بیشتر ابزارهای منبع آزاد در نهایت با دیگر سیستم عامل ها کلون می شوند. هنگامی که این اتفاق می افتد ، گفته می شود که برنامه ارسال شده است. WinDump بندری از tcpdump است و به شیوه های بسیار مشابهی رفتار می کند.

یک تفاوت عمده بین WinDump و tcpdump در این است که Windump قبل از اینکه بتواند WinDump را اجرا کند ، به کتابخانه WinpCap نصب شده احتیاج دارد. با وجود اینکه هر دو WinDump و WinpCap توسط همین نگهدارنده ارائه می شوند ، آنها بارگیری جداگانه ای دارند.

WinpCap یک کتابخانه واقعی است که باید نصب شود. اما ، پس از نصب ، WinDump یک پرونده .exe است که نیازی به نصب ندارد بنابراین می تواند اجرا شود. اگر شبکه Windows را اجرا می کنید ممکن است چیزی باشد که باید در خاطر داشته باشید. شما لزوماً به WinDump نصب شده در هر دستگاه احتیاج ندارید زیرا می توانید در صورت لزوم آن را کپی کنید ، اما می خواهید WinPCap را نصب کنید تا از WinDump پشتیبانی کند.

مانند tcpdump ، WinDump می تواند داده های شبکه را برای تجزیه و تحلیل به صفحه نمایش ارسال کند ، به همان روش فیلتر شود و همچنین داده ها را برای یک فایل pcap برای تجزیه و تحلیل در خارج از سایت بنویسد..

7. Wireshark

Wireshark احتمالاً بهترین ابزار شناخته شده دیگر در ابزار ابزار sysadmin است. این نه تنها می تواند داده را ضبط کند ، بلکه برخی از ابزارهای پیشرفته تجزیه و تحلیل را نیز ارائه می دهد. Wireshark با افزودن به جذابیت خود ، منبع باز است و تقریباً به هر سیستم عامل سرور موجود است. Wireshark با شروع زندگی با نام Etheral ، اکنون همه جا اجرا می شود ، از جمله به عنوان یک برنامه قابل حمل مستقل.

اگر ترافیک را روی سرور با دسک تاپ نصب شده در حال تجزیه و تحلیل هستید ، Wireshark می تواند همه این کارها را برای شما انجام دهد. این می تواند داده ها را جمع آوری کرده و سپس همه آنها را در یک نقطه تحلیل کند. با این حال ، دسک تاپ در سرورها رایج نیست ، بنابراین در بسیاری موارد ، شما می خواهید داده های شبکه را از راه دور ضبط کرده و سپس فایل pcap حاصل را به Wireshark بکشید.

در اولین راه اندازی ، Wireshark به شما امکان می دهد تا یک فایل pcap موجود را بارگیری کنید ، یا شروع به ضبط کنید. در صورت انتخاب ترافیک شبکه ، می توانید فیلترهای انتخابی را انتخاب کنید تا مقدار داده Wireshark را جمع آوری کند. از آنجا که ابزارهای تجزیه و تحلیل آن بسیار خوب هستند ، اطمینان از شناسایی جراحی داده ها در زمان جمع آوری با Wireshark از اهمیت کمتری برخوردار است. اگر فیلمی را مشخص نکنید ، Wireshark تمام داده های شبکه ای رابط انتخابی شما مشاهده می کند.

راه اندازی wireshark

یكی از مفیدترین ابزارهایی كه Wireshark ارائه می دهد ، توانایی دنبال كردن یك جریان است. فکر کردن درباره یک جریان به عنوان یک مکالمه احتمالاً مفیدترین است. در تصویر زیر می بینیم که تعداد زیادی از داده ها ضبط شده است ، اما آنچه من به آن بیشتر علاقه مندم اینست که گوگل IP. می توانم روی آن راست کلیک کرده و TCP Stream را دنبال کنم تا کل گفتگو را ببینم.

wireshark-follow-tcp-stream

اگر ترافیکی را در جای دیگر ضبط کرده اید ، می توانید پرونده pcap را با استفاده از پرونده Wireshark وارد کنید -> گفتگوی آزاد. همان فیلترها و ابزارهایی که می توانند برای داده های شبکه ضبط شده بومی مورد استفاده قرار گیرند ، برای پرونده های وارد شده در دسترس هستند.

wireshark-pcap

8. TShark

TShark تلاقی بسیار مفید بین tcpdump و Wireshark است. Tcpdump در جمع آوری داده ها بسیار عالی است و می تواند بسیار جراحی فقط داده های مورد نظر خود را استخراج کند ، با این وجود در چقدر مفید بودن برای تجزیه و تحلیل محدود است. Wireshark هم در جمع آوری و هم در تجزیه و تحلیل کار بسیار خوبی انجام می دهد ، اما از آنجا که رابط کاربری سنگینی دارد ، نمی توان از آن در سرورهای بدون سر استفاده کرد. TShark را وارد کنید. ضبط و تجزیه و تحلیل می کند اما دومی را در خط فرمان انجام می دهد.

TShark از همان قراردادهای فیلتر مانند Wireshark استفاده می کند که از آنجایی که آنها در اصل همان محصول هستند ، جای تعجب ندارد. این دستور به TShark می گوید فقط در گرفتن آدرس IP مقصد و همچنین برخی زمینه های جالب دیگر از قسمت HTTP بسته ، زحمت بکشید..

# tshark -i eth0 -Y http. درخواست -T زمینه ها -e ip.dst -e http.user_agent -e http.quest.uri

172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico

اگر می خواهید به یک پرونده ضبط کنید می توانید از آن برای نوشتن آن از کلید sw استفاده کنید و سپس از کلید -S (حالت خواندن) TShark برای خواندن آن استفاده کنید.

ضبط اول:

# tshark -i eth0 -w tshark_packets
ضبط بر روی 'eth0'
102 ^ ج

آن را بخوانید ، یا در همان سرور ، یا آن را به برخی دیگر از سرورهای آنالیز منتقل کنید.

# tshark -r tshark_packets -Y http. درخواست کنید- زمینه ها -e ip.dst -e http.user_agent -e http.quest.uri
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 / contact
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 / رزرو /
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /reservations/styles/styles.css
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/images/title.png

9. شبکه Miner

Network Miner ابزاری بسیار جالب است که بیشتر به عنوان یک خرج کننده بسته مستقیم و مستقیم در دسته یک ابزار پزشکی قانونی قرار می گیرد. رشته پزشکی قانونی به طور معمول به تحقیق و جمع آوری شواهد می پردازد و Network Miner آن کار را برای ترافیک شبکه انجام می دهد. درست مانند WireShark می تواند یک جریان TCP را برای بازیابی کل مکالمه TCP دنبال کند ، شبکه Miner می تواند یک جریان را برای بازسازی پرونده هایی که از طریق شبکه ارسال شده اند دنبال کند.

شبکه-Miner

برای ضبط ترافیک مستقیم ، شبکه Miner باید به صورت استراتژیک در شبکه قرار گیرد تا بتواند ترافیکی را که به آن علاقه دارید مشاهده کنید و جمع آوری کنید..

Network Miner همچنین می تواند در حالت آفلاین کار کند. می توانید از ابزار tcpdump سعی شده و واقعی استفاده کنید تا بسته ها را در یک نقطه مورد علاقه در شبکه خود قرار دهید و سپس پرونده های pcap را در Network Miner وارد کنید. سپس تلاش خواهد کرد تا پرونده ها یا گواهینامه هایی را که در پرونده ضبط قرار دارد بازسازی کند.

Network Miner برای ویندوز ساخته شده است ، اما با استفاده از Mono می توان آن را بر روی هر سیستم عامل که چارچوبی Mono مانند Linux و macOS دارد اجرا کرد..

یک نسخه رایگان برای شروع وجود دارد که دارای ویژگی های متنوعی است. اگر می خواهید قابلیت های پیشرفته تری مانند موقعیت مکانی GeoIP و اسکریپت سازی سفارشی ، نیاز به خرید یک مجوز حرفه ای دارید.

10. فیدلر (HTTP)

فیدلر از لحاظ فنی ابزاری برای ضبط بسته های شبکه نیست ، اما بسیار مفید است که این لیست را ایجاد کرد. برخلاف سایر ابزارهای ذکر شده در اینجا که برای ضبط ترافیک موقت از شبکه از هر منبع طراحی شده اند ، فیدلر بیشتر یک ابزار اشکال زدایی دسک تاپ است. این ترافیک HTTP را ضبط می کند و در حالی که بسیاری از مرورگرها در حال حاضر این توانایی را در ابزارهای توسعه دهنده خود دارند ، فیدلر محدود به ترافیک مرورگر نیست. فیدلر می تواند هرگونه ترافیک HTTP را روی دسک تاپ از جمله برنامه های غیر وب ضبط کند.

فیدلر

بسیاری از برنامه های دسک تاپ از HTTP برای اتصال به سرویس های وب استفاده می کنند و بدون ابزاری مانند فیدلر ، تنها راه برای جذب این ترافیک برای تجزیه و تحلیل استفاده از ابزارهایی مانند tcpdump یا WireShark است. با این حال ، این ابزارها در سطح بسته عمل می کنند ، بنابراین تجزیه و تحلیل شامل بازسازی این بسته ها در جریان HTTP است. این می تواند کار زیادی برای انجام تحقیقات ساده HTTP انجام دهد و فیدلر به نجات بیاید. فیدلر می تواند به کشف کوکی ها ، گواهینامه ها و داده های بارگیری که از داخل آن برنامه ها وارد یا خارج می شوند کمک کند.

این کمک می کند تا فیدلر آزاد باشد ، و مانند شبکه Miner ، می تواند در هر سیستم عامل دیگری که دارای چارچوب Mono باشد ، در Mono اجرا شود..

11. کپسا

آنالایزر شبکه Capsa دارای چندین نسخه است که هر کدام قابلیت های مختلفی دارند. در سطح اول ، Capsa free ، این نرم افزار در واقع فقط بسته ها را ضبط می کند و به تجزیه و تحلیل بسیار گرافیکی از آنها می پردازد. داشبورد بسیار منحصر به فرد است و می تواند به سرعت در مشکلات شبکه تازه کار sysadmins کمک کند حتی با کمی دانش واقعی بسته. سطح رایگان برای افرادی انجام می شود که می خواهند اطلاعات بیشتری در مورد بسته ها کسب کنند و مهارت های خود را در یک تحلیلگر تمام عیار ایجاد کنند.

capsa

نسخه رایگان می داند که چگونه بر روی بیش از 300 پروتکل نظارت داشته باشد ، امکان نظارت بر ایمیل را نیز فراهم می کند و همچنین می تواند محتوای ایمیل را ذخیره کند و از ماشه نیز پشتیبانی می کند. از محرک ها می توان برای تنظیم هشدار برای موقعیت های خاص استفاده کرد ، به این معنی که از Capsa نیز می توان در ظرفیت پشتیبانی تا حدی استفاده کرد.

Capsa فقط برای ویندوز 2008 / Vista / 7/8 و 10 موجود است.

کلمات نهایی

با ابزاری که نام بردم ، این یک جهش بزرگ نیست که ببینیم یک مدیر سیستم چگونه می تواند یک زیرساخت نظارت بر شبکه تقاضا ایجاد کند. Tcpdump یا Windump می تواند روی همه سرورها نصب شود. یک برنامه ریز ، مانند برنامه ریز Cron یا ویندوز ، می تواند در بعضی از زمان های مورد علاقه جلسه جمع آوری بسته را شروع کند و آن مجموعه ها را برای پرونده pcap بنویسد. در بعضی مواقع ، یک sysadmin می تواند آن بسته ها را به یک دستگاه مرکزی منتقل کند و از Wireshark برای تحلیل آنها استفاده کند. اگر شبکه آنقدر بزرگ باشد که امکان پذیر نباشد ، پس ابزارهای سطح سازمانی مانند مجموعه SolarWinds می توانند به جمع کردن تمام داده های شبکه در یک مجموعه داده قابل کنترل کمک کنند.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

− 5 = 5