Packet Sniffing เป็นคำศัพท์ที่หมายถึงศิลปะของการวิเคราะห์การรับส่งข้อมูลเครือข่าย ตรงกันข้ามกับสามัญสำนึกสิ่งต่าง ๆ เช่นอีเมลและหน้าเว็บไม่ได้ท่องอินเทอร์เน็ตในชิ้นเดียว พวกเขาจะแบ่งออกเป็นหลายพันแพ็กเก็ตข้อมูลขนาดเล็กและส่งผ่านอินเทอร์เน็ตในลักษณะนั้น.
มีเครื่องมือมากมายที่จะรวบรวมทราฟฟิกเครือข่ายและส่วนใหญ่ใช้ pcap (ระบบ Unix-like) หรือ libcap (ระบบ Windows) ที่เป็นแกนหลักในการทำคอลเลกชันจริง มีชุดเครื่องมืออีกชุดที่จะช่วยวิเคราะห์ข้อมูลเพราะแม้แต่ข้อมูลจำนวนเล็กน้อยก็สามารถทำให้เกิดแพ็กเก็ตนับพันซึ่งยากต่อการนำทาง เครื่องมือเหล่านี้เกือบทั้งหมดรวบรวมในลักษณะเดียวกัน เป็นการวิเคราะห์ที่สร้างความแตกต่าง.
โพสต์นี้จะได้รับรายละเอียดเกี่ยวกับเครื่องมือแต่ละอย่างที่สร้างไว้ที่นี่ แต่ถ้าคุณมีเวลาไม่นานนี่คือรายการของเรา packet sniffers และเครื่องมือวิเคราะห์เครือข่ายที่ดีที่สุด:
- เครื่องมือตรวจสอบและวิเคราะห์ SolarWinds Deep Packet (ทดลองใช้ฟรี) เครื่องมือวิเคราะห์ทราฟฟิกเครือข่ายคุณภาพสูงที่ทำงานบน Windows Server และเป็นส่วนหนึ่งของ
- เครื่องมือจับแพ็คเก็ต Paessler (ทดลองใช้ฟรี) แพ็กเก็ตดมกลิ่นเซ็นเซอร์ NetFlow, เซ็นเซอร์ sFlow และเซ็นเซอร์ J-Flow ที่สร้างขึ้นใน Paessler PRTG.
- ManageEngine NetFlow Analyzer (ทดลองใช้ฟรี) เครื่องมือวิเคราะห์ทราฟฟิกที่ทำงานกับ NetFlow, J-Flow, sFlow Netstream, IPFIX และ AppFlow
- Omnipeek Network Protocol Analyzer มอนิเตอร์เครือข่ายที่สามารถขยายเพื่อจับแพ็คเก็ต.
- tcpdump เครื่องมือจับแพ็คเก็ตฟรีที่จำเป็นซึ่งผู้จัดการเครือข่ายทุกคน ne4eds ในชุดเครื่องมือของเขา.
- WinDump tcpdump โคลนฟรีที่เขียนขึ้นสำหรับระบบ Windows.
- Wireshark เครื่องมือตรวจจับแพ็คเก็ตและการวิเคราะห์ข้อมูลที่รู้จักกันดีฟรี.
- tshark คำตอบที่มีน้ำหนักเบาสำหรับผู้ที่ต้องการฟังก์ชั่นของ Wireshark แต่เป็นโปรไฟล์ที่บางของ tcpdump.
- Network Miner เครื่องวิเคราะห์เครือข่ายบน Windows พร้อมเวอร์ชั่นฟรี.
- พู้ทำเล่น เครื่องมือจับภาพแพ็คเก็ตที่เน้นการรับส่งข้อมูล HTTP.
- Capsa เขียนสำหรับ Windows เครื่องมือจับแพ็คเก็ตฟรีสามารถอัปเดตการชำระเงินเพื่อเพิ่มในคุณสมบัติการวิเคราะห์.
ข้อดีของการดมแพ็คเก็ต
แพคเก็ตดมกลิ่นเป็นเครื่องมือที่มีประโยชน์เพื่อให้คุณสามารถใช้นโยบายความจุเครือข่ายของ บริษัท ประโยชน์หลักคือพวกเขา:
- ระบุลิงค์ที่แออัด
- ระบุแอปพลิเคชั่นที่สร้างปริมาณการใช้งานมากที่สุด
- รวบรวมข้อมูลเพื่อการวิเคราะห์เชิงทำนาย
- เน้นจุดสูงสุดและความต้องการเครือข่าย
การดำเนินการที่คุณทำขึ้นอยู่กับงบประมาณที่คุณมี หากคุณมีทรัพยากรที่จะขยายความจุเครือข่ายแพ็คเก็ตดมกลิ่นจะช่วยให้คุณสามารถกำหนดเป้าหมายทรัพยากรใหม่ได้อย่างมีประสิทธิภาพ หากคุณไม่มีงบประมาณการดักจับแพ็คเก็ตจะช่วยสร้างทราฟฟิกผ่านการจัดลำดับความสำคัญของทราฟฟิกแอพพลิเคชั่นการปรับขนาดเครือข่ายย่อยจัดกำหนดการกิจกรรมการจราจรหนาแน่น.
โหมดสำส่อน
สิ่งสำคัญคือต้องเข้าใจว่าการ์ดเครือข่ายในคอมพิวเตอร์ของคุณทำงานอย่างไรเมื่อคุณติดตั้งซอฟต์แวร์ดมกลิ่นแพ็คเก็ต อินเทอร์เฟซจากคอมพิวเตอร์ของคุณไปยังเครือข่ายเรียกว่า“คอนโทรลเลอร์อินเตอร์เฟสเครือข่าย,” หรือ NIC NIC ของคุณจะรับการเข้าชมทางอินเทอร์เน็ตที่ส่งไปยังที่อยู่ MAC ของมันเท่านั้น.
ในการรับส่งข้อมูลทั่วไปคุณต้องใส่ NIC ของคุณลงใน“โหมดสำส่อน.” สิ่งนี้จะลบขีด จำกัด การฟังใน NIC ในโหมด promiscuous NIC ของคุณจะรับการรับส่งข้อมูลเครือข่ายทั้งหมด แพ็คเก็ตดมกลิ่นส่วนใหญ่มียูทิลิตี้ภายในส่วนติดต่อผู้ใช้ที่จัดการสวิตช์โหมดสำหรับคุณ.
ประเภทการรับส่งข้อมูลเครือข่าย
การวิเคราะห์ทราฟฟิกเครือข่ายต้องการความเข้าใจในการทำงานของระบบเครือข่าย ไม่มีเครื่องมือที่จะลบข้อกำหนดสำหรับนักวิเคราะห์เพื่อทำความเข้าใจพื้นฐานของระบบเครือข่ายเช่นจับมือสามทาง TCP ซึ่งใช้ในการเริ่มต้นการเชื่อมต่อระหว่างอุปกรณ์สองเครื่อง นักวิเคราะห์ควรมีความเข้าใจเกี่ยวกับประเภทของการรับส่งข้อมูลเครือข่ายที่มีอยู่ในเครือข่ายที่ใช้งานได้ตามปกติเช่นการรับส่งข้อมูล ARP และ DHCP ความรู้นี้มีความสำคัญเนื่องจากเครื่องมือในการวิเคราะห์จะแสดงสิ่งที่คุณขอเท่านั้น – ขึ้นอยู่กับคุณที่จะรู้ว่าจะขออะไร หากคุณไม่แน่ใจว่าเครือข่ายของคุณมีลักษณะอย่างไรมันอาจเป็นเรื่องยากที่จะตรวจสอบให้แน่ใจว่าคุณกำลังขุดหาสิ่งที่ถูกต้องในจำนวนของแพ็คเก็ตที่คุณรวบรวม.
เครื่องมือขององค์กร
มาเริ่มกันที่จุดสูงสุดและหาทางลงสู่พื้นฐานของ nitty-gritty หากคุณกำลังเผชิญกับเครือข่ายระดับองค์กรคุณจะต้องมีปืนใหญ่ ในขณะที่เกือบทุกอย่างใช้ tcpdump ที่แกนกลางของมัน (มากกว่านั้นในภายหลัง) เครื่องมือระดับองค์กรสามารถให้ฟังก์ชันการวิเคราะห์อื่น ๆ เช่นการเชื่อมโยงการรับส่งข้อมูลจากเซิร์ฟเวอร์จำนวนมากให้เครื่องมือเคียวรีที่ชาญฉลาด ความต้องการการจัดการ.
เครื่องมือระดับองค์กรมีแนวโน้มที่จะมุ่งเน้นไปที่การรับส่งข้อมูลเครือข่ายมากกว่าการตัดสินเนื้อหาแพ็คเก็ต โดยที่ฉันหมายความว่าจุดเน้นของ sysadmins ส่วนใหญ่ในองค์กรคือการทำให้เครือข่ายฮัมตามไปโดยไม่มีคอขวดประสิทธิภาพ เมื่อเกิดปัญหาคอขวดเป้าหมายมักจะตัดสินว่าปัญหาคือเครือข่ายหรือแอปพลิเคชันบนเครือข่ายหรือไม่ ในอีกด้านหนึ่งของเหรียญเครื่องมือระดับองค์กรเหล่านี้มักจะสามารถเห็นทราฟฟิกจำนวนมากที่พวกเขาสามารถช่วยทำนายได้เมื่อส่วนเครือข่ายจะอิ่มตัวซึ่งเป็นองค์ประกอบสำคัญของการจัดการความจุ.
เครื่องมือแฮ็กเกอร์
Packet Sniffers นั้นแฮกเกอร์ใช้ โปรดทราบว่าเครื่องมือเหล่านี้สามารถใช้โจมตีเครือข่ายของคุณรวมถึงเพื่อแก้ปัญหา Packet sniffers สามารถใช้เป็น wiretappers เพื่อช่วยขโมยข้อมูลระหว่างทางและยังสามารถช่วย“ผู้ชายอยู่ตรงกลาง” การโจมตีที่เปลี่ยนแปลงข้อมูลในระหว่างทางและเปลี่ยนเส้นทางการจราจรเพื่อหลอกลวงผู้ใช้ในเครือข่าย ลงทุนในระบบตรวจจับการบุกรุกเพื่อปกป้องเครือข่ายของคุณจากรูปแบบการเข้าถึงที่ไม่ได้รับอนุญาต
Packet Sniffers และ Network Analyzers ทำงานอย่างไร?
คุณสมบัติที่สำคัญของแพ็คเก็ตดมกลิ่นคือมันจะคัดลอกข้อมูลในขณะที่เดินทางข้ามเครือข่ายและทำให้สามารถดูได้. อุปกรณ์ดมกลิ่นเพียงคัดลอกข้อมูลทั้งหมดที่เห็นผ่านเครือข่าย เมื่อใช้งานบนสวิตช์การตั้งค่าของอุปกรณ์จะอนุญาตให้ส่งแพ็คเก็ตผ่านไปยังพอร์ตที่สองเช่นเดียวกับปลายทางที่ต้องการทำให้เกิดทราฟฟิกซ้ำ โดยปกติแพ็คเก็ตของข้อมูลที่ได้รับจากเครือข่ายจะถูกคัดลอกไปยังไฟล์ เครื่องมือบางอย่างจะแสดงข้อมูลนั้นในแผงควบคุม อย่างไรก็ตาม, แพ็คเก็ตดมกลิ่นสามารถรวบรวมข้อมูลจำนวนมากซึ่งรวมถึงข้อมูลผู้ดูแลระบบที่เข้ารหัส. คุณจะต้อง ค้นหาเครื่องมือการวิเคราะห์ที่สามารถช่วยคุณในการยกเลิกการอ้างอิงข้อมูล ในการเดินทางของแพ็กเก็ตในสารสกัดและข้อมูลอื่น ๆ เช่นความเกี่ยวข้องของหมายเลขพอร์ตที่แพ็กเก็ตเดินทางระหว่าง.
แพ็คเก็ตดมกลิ่นตรงไปตรงมาจะคัดลอกไปทุกแพ็กเก็ตที่เดินทางบนเครือข่าย. นี่อาจเป็นปัญหา. หากไม่มีการเข้ารหัสแพ็กเก็ตข้อมูลคุณจะเปิดใช้งานเจ้าหน้าที่แผนกไอทีเพื่อดูข้อมูลธุรกิจที่ละเอียดอ่อนขณะเดินทางผ่านเครือข่าย ด้วยเหตุนี้จึงทำให้มีผู้ดักจับแพ็คเก็ตจำนวนมากสามารถ จำกัด ได้เพื่อให้พวกเขาคัดลอกเฉพาะข้อมูลส่วนหัวเท่านั้น ในกรณีส่วนใหญ่เนื้อหาของแพ็กเก็ตไม่จำเป็นสำหรับการวิเคราะห์ประสิทธิภาพเครือข่าย หากคุณต้องการติดตามการใช้เครือข่ายในช่วงเวลา 24 ชั่วโมงหรือมากกว่าสองสามวันการจัดเก็บทุกแพ็คเก็ตจะใช้พื้นที่ดิสก์จำนวนมาก – แม้ว่าคุณจะรับเฉพาะส่วนหัวแพ็คเก็ต ในสถานการณ์เหล่านี้ขอแนะนำให้ลองสุ่มตัวอย่างแพ็คเก็ตซึ่งหมายถึงการคัดลอกทุก ๆ ที่ 10 หรือ 20 มากกว่าที่จะทำสำเนาทุก ๆ.
packet sniffers ที่ดีที่สุดและเครื่องมือวิเคราะห์เครือข่าย
เราได้จัดอันดับเครื่องมือดังต่อไปนี้ตามข้อพิจารณาทั่วไปดังต่อไปนี้: คุณสมบัติที่มีประโยชน์ความน่าเชื่อถือความง่ายในการติดตั้งการรวมและการใช้จำนวนความช่วยเหลือและการสนับสนุนที่มีให้ อุตสาหกรรม.
1. เครื่องมือตรวจสอบและวิเคราะห์ SolarWinds Deep Packet (ทดลองใช้ฟรี)
SolarWinds เป็นชุดเครื่องมือการจัดการด้านไอทีที่กว้างขวางมาก เครื่องมือที่เกี่ยวข้องกับบทความนี้มากขึ้นคือเครื่องมือการตรวจสอบและวิเคราะห์ Packet ลึก การรวบรวมการรับส่งข้อมูลเครือข่ายค่อนข้างง่าย การใช้เครื่องมืออย่าง WireShark การวิเคราะห์ระดับพื้นฐานไม่ใช่การหยุดการแสดง แต่ไม่ใช่ทุกสถานการณ์ที่ถูกตัดและทำให้แห้ง ในเครือข่ายที่ยุ่งมากอาจเป็นเรื่องยากที่จะกำหนดแม้กระทั่งสิ่งพื้นฐานบางอย่างเช่น:
- แอปพลิเคชันใดในเครือข่ายที่สร้างการรับส่งข้อมูลนี้?
- หากทราบว่าแอปพลิเคชัน (พูดคือเว็บเบราว์เซอร์) ผู้ใช้เวลาส่วนใหญ่อยู่ที่ไหน?
- การเชื่อมต่อใดที่ใช้เวลานานที่สุดและเครือข่ายทำงาน?
อุปกรณ์เครือข่ายส่วนใหญ่จะใช้ข้อมูลเมตาของแต่ละแพ็คเก็ตเพื่อให้แน่ใจว่าแพ็คเก็ตนั้นไปในที่ที่จะไป อุปกรณ์ของเครือข่ายไม่รู้จักเนื้อหาของแพ็คเก็ต การตรวจสอบแพ็คเก็ตลึกนั้นแตกต่างกัน หมายความว่ามีการตรวจสอบเนื้อหาจริงของแพ็คเก็ตเพื่อเรียนรู้เพิ่มเติมเกี่ยวกับมัน ข้อมูลเครือข่ายที่สำคัญที่ไม่สามารถรวบรวมได้จากข้อมูลเมตาสามารถค้นพบด้วยวิธีนี้ เครื่องมือเช่นเดียวกับที่ SolarWind จัดหาให้สามารถให้ข้อมูลที่มีความหมายมากกว่าการไหลของข้อมูล.
เทคนิคอื่น ๆ สำหรับการจัดการเครือข่ายปริมาณสูง ได้แก่ NetFlow และ sFlow แต่ละคนมีจุดแข็งและจุดอ่อนของมันและคุณสามารถอ่านเพิ่มเติมเกี่ยวกับเทคนิค NetFlow และ sFlow ได้ที่นี่.
การวิเคราะห์เครือข่ายโดยทั่วไปเป็นหัวข้อขั้นสูงที่มีครึ่งประสบการณ์และฝึกอบรมครึ่งหนึ่ง เป็นไปได้ที่จะฝึกให้บางคนเข้าใจทุกรายละเอียดเกี่ยวกับแพ็กเก็ตเครือข่าย แต่ถ้าบุคคลนั้นยังมีความรู้เกี่ยวกับเครือข่ายเป้าหมายและมีประสบการณ์ในการระบุความผิดปกติพวกเขาจะไม่ไปไกล เครื่องมือที่ฉันระบุไว้ในบทความนี้สามารถใช้งานได้โดยผู้ดูแลระบบเครือข่ายที่มีประสบการณ์ซึ่งรู้อยู่แล้วว่ากำลังมองหาอะไร แต่ไม่แน่ใจว่าเครื่องมือใดดีที่สุด พวกเขายังสามารถใช้ sysadmins รุ่นน้องมากขึ้นเพื่อรับประสบการณ์เกี่ยวกับวิธีการที่เครือข่ายดูในระหว่างการดำเนินงานแบบวันต่อวันซึ่งจะช่วยระบุปัญหาในภายหลัง.
ทางเลือกของบรรณาธิการ
SolarWinds Network Performance Monitor ให้ข้อมูลเชิงลึกโดยละเอียดเกี่ยวกับสิ่งที่ทำให้เกิดความช้าของเครือข่ายและช่วยให้คุณสามารถแก้ไขสาเหตุที่รวดเร็วโดยใช้การตรวจสอบแพ็คเก็ตลึก ด้วยการระบุทราฟฟิกตามแอปพลิเคชันหมวดหมู่ (ธุรกิจกับสังคม) และระดับความเสี่ยงคุณสามารถกำจัดและกรองทราฟฟิกของปัญหาและวัดเวลาตอบสนองของแอปพลิเคชัน ด้วยส่วนต่อประสานผู้ใช้ที่ยอดเยี่ยมนี่เป็นตัวเลือกที่ยอดเยี่ยมสำหรับการตรวจจับแพ็คเก็ตและการวิเคราะห์เครือข่าย.
ดาวน์โหลด: ทดลองใช้งานฟรี 30 วันที่ SolarWinds.com
เว็บไซต์อย่างเป็นทางการ: www.solarwinds.com/topics/deep-packet-inspection/
OS: เซิร์ฟเวอร์ Windows
2. เครื่องมือจับแพ็คเก็ต Paessler (ทดลองใช้ฟรี)
Paessler Packet-Capture-Tool PRTG: All-In-One-Monitoring เป็นเครื่องมือตรวจสอบโครงสร้างพื้นฐานแบบครบวงจร ช่วยให้คุณจัดการเครือข่ายและเซิร์ฟเวอร์ของคุณ ส่วนการตรวจสอบเครือข่ายของยูทิลิตี้ครอบคลุมงานสองประเภท นี่คือการตรวจสอบประสิทธิภาพเครือข่ายซึ่งตรวจสอบสถานะของอุปกรณ์เครือข่ายและตัววิเคราะห์แบนด์วิดท์เครือข่ายซึ่งครอบคลุมการไหลเวียนของการรับส่งข้อมูลผ่านลิงก์ในเครือข่าย.
ส่วนการวิเคราะห์แบนด์วิดท์ของ PRTG นั้นถูกนำไปใช้โดยใช้เครื่องมือการจับแพ็คเก็ตสี่แบบที่แตกต่างกัน เหล่านี้คือ:
- แพ็คเก็ตดมกลิ่น
- เซ็นเซอร์ NetFlow
- เซ็นเซอร์ sFlow
- เซ็นเซอร์ J-Flow
แพ็คเก็ต PRTG ดมกลิ่นจับเฉพาะส่วนหัวของแพ็คเก็ตที่เดินทางผ่านเครือข่ายของคุณ สิ่งนี้จะช่วยให้เครื่องวิเคราะห์มีความได้เปรียบด้านความเร็วและยังลดปริมาณพื้นที่เก็บข้อมูลที่จำเป็นสำหรับเก็บไฟล์การจับ แดชบอร์ดของแพ็คเก็ตดมกลิ่นจัดหมวดหมู่ปริมาณการใช้งานตามประเภทของแอปพลิเคชัน สิ่งเหล่านี้รวมถึงปริมาณการใช้งานอีเมล, เว็บแพ็คเก็ต, ข้อมูลปริมาณข้อมูลแอพแชทและปริมาณการถ่ายโอนไฟล์แพ็คเก็ต.
NetFlow เป็นระบบส่งข้อความข้อมูลที่ใช้กันอย่างแพร่หลาย มันถูกสร้างขึ้นโดย Cisco Systems แต่มันก็ใช้สำหรับอุปกรณ์ที่ผลิตโดยผู้ผลิตรายอื่น เซ็นเซอร์ PRTG NetFlow ยังรับข้อความ IPFIX – มาตรฐานการส่งข้อความนี้เป็นผู้สืบทอด IETF ที่สนับสนุนโดย NetFlow วิธีการ J-Flow เป็นระบบส่งข้อความที่คล้ายคลึงกันที่ใช้โดยจูนิเปอร์เน็ตเวิร์กสำหรับอุปกรณ์ของมัน ตัวอย่าง sFlow มาตรฐานกระแสการจราจรดังนั้นมันจะรวบรวมทุก ๆ แพ็กเก็ตที่ n NetFlow และ J-Flow ทั้งสองจับกระแสข้อมูลอย่างต่อเนื่องของแพ็คเก็ต.
Paessler กำหนดราคาซอฟต์แวร์ PRTG ตามจำนวน “เซ็นเซอร์” ที่การใช้งานจะเปิดใช้งาน เซ็นเซอร์เป็นสภาพของระบบหรือส่วนประกอบฮาร์ดแวร์ ตัวอย่างเช่นแต่ละ sniffers แพ็คเก็ตสี่ที่เสนอโดย Paessler นับเป็นเซ็นเซอร์ PRTG หนึ่ง ระบบนี้สามารถใช้งานได้ฟรีหากคุณเปิดใช้งานเซ็นเซอร์ 100 ตัวหรือน้อยกว่าดังนั้นหากคุณใช้แพ็คเกจนี้สำหรับส่วนต่อข้อมูลการดมแพ็คเก็ตคุณจะไม่ต้องจ่าย Paessler อะไรเลย.
ระบบ Paessler รวมถึงความสามารถในการตรวจสอบเครือข่ายและเซิร์ฟเวอร์อื่น ๆ อีกมากมายรวมถึงการตรวจสอบเวอร์ชวลไลเซชันและการตรวจสอบแอปพลิเคชัน สามารถติดตั้ง PRTG ในสถานที่หรือคุณสามารถเข้าถึงเป็นบริการคลาวด์ ซอฟต์แวร์ทำงานบนสภาพแวดล้อมของ Windows และคุณสามารถทดลองใช้งานฟรี 30 วัน.
Paessler Packet Capture Tool PRTG ดาวน์โหลดทดลองใช้ฟรี 30 วัน
3. ManageEngine NetFlow Analyzer (ทดลองใช้ฟรี)
ManageEngine NetFlow Analyzer ใช้ข้อมูลการจราจรจากอุปกรณ์เครือข่ายของคุณ คุณสามารถเลือกตัวอย่างปริมาณข้อมูลจับภาพสตรีมทั้งหมดหรือรวบรวมสถิติเกี่ยวกับรูปแบบการรับส่งข้อมูลด้วยเครื่องมือนี้.
ผู้ผลิตอุปกรณ์เครือข่ายไม่ได้ใช้โปรโตคอลเดียวกันในการสื่อสารข้อมูลการจราจร ดังนั้น NetFlow Analyzer จึงมีความสามารถในการใช้ภาษาต่าง ๆ เพื่อรวบรวมข้อมูล เหล่านี้ ได้แก่ Cisco NetFlow, จูนิเปอร์เน็ตเวิร์ค J-Flow, และ Huawei Netstream. นอกจากนี้ยังสามารถสื่อสารกับ sFlow, IPFIX, และ AppFlow มาตรฐาน.
จอภาพสามารถติดตามความสอดคล้องของการไหลของข้อมูลและโหลดบนอุปกรณ์เครือข่ายแต่ละตัว ความสามารถในการวิเคราะห์การจราจรช่วยให้คุณ ดูแพ็คเก็ต เมื่อพวกเขาผ่านอุปกรณ์และจับพวกเขาไปยังไฟล์ ทัศนวิสัยนี้จะช่วยให้คุณเห็นว่าแอปพลิเคชั่นใดที่กำลังเคี้ยวแบนด์วิดท์ของคุณเป็นส่วนใหญ่และทำการตัดสินใจเกี่ยวกับมาตรการการจัดรูปแบบการจราจรเช่นการจัดลำดับความสำคัญหรือการควบคุมปริมาณ.
แผงควบคุมของระบบมีกราฟิกที่มีรหัสสีซึ่งทำให้งานของคุณในการระบุปัญหาง่ายขึ้นมาก รูปลักษณ์และความรู้สึกที่น่าดึงดูดใจของคอนโซลเชื่อมโยงกับเครื่องมือตรวจสอบโครงสร้างพื้นฐาน ManageEngine อื่น ๆ เพราะทั้งหมดนี้สร้างขึ้นบนแพลตฟอร์มทั่วไป สิ่งนี้ทำให้มันรวมเข้ากับผลิตภัณฑ์ ManageEngine หลายตัว ตัวอย่างเช่นเป็นเรื่องปกติที่ผู้ดูแลระบบเครือข่ายจะซื้อทั้งสองอย่าง OpManager และ NetFlow Analyzer จากจัดการเครื่องยนต์.
OpManager ตรวจสอบสถานะของอุปกรณ์ด้วย SNMP ขั้นตอนซึ่ง NetFlow Analyzer มุ่งเน้นไปที่ระดับการรับส่งข้อมูลและรูปแบบการไหลของแพ็กเก็ต.
ติดตั้ง ManageEngine NetFlow Analyzer ของ windows, เซิร์ฟเวอร์ Windows, และ RHEL, CentOS, Fedora, Debian, SUSE, และ Ubuntu Linux. ระบบมีให้ในสองรุ่น.
รุ่นที่จำเป็นจะให้ฟังก์ชันการตรวจสอบการรับส่งข้อมูลเครือข่ายมาตรฐานพร้อมโมดูลการรายงานและการเรียกเก็บเงิน แผนที่สูงกว่าเรียกว่า Enterprise Edition นี่คือคุณสมบัติทั้งหมดของ Essential Edition plus NBAR & CBQoS การตรวจสอบ, โมดูลการวิเคราะห์ความปลอดภัยขั้นสูง, ยูทิลิตี้การวางแผนกำลังการผลิตและความสามารถในการตรวจสอบแพ็คเก็ตลึก ฉบับนี้ยังรวมถึง IP SLA และ WLC การตรวจสอบ.
คุณสามารถรับตัววิเคราะห์ NetFlow ทั้งสองรุ่นในช่วงทดลองฟรี 30 วัน.
ManageEngine NetFlow Analyzer ดาวน์โหลดทดลองใช้ฟรี 30 วัน
4. Omnipeek Network Protocol Analyzer
LiveAction Omnipeek ซึ่งก่อนหน้านี้เป็นผลิตภัณฑ์ของ Savvius, เป็นตัววิเคราะห์โปรโตคอลเครือข่ายที่สามารถใช้ในการจับแพ็คเก็ตรวมทั้งสร้างการวิเคราะห์โปรโตคอลของปริมาณการใช้เครือข่าย.
Omnipeek สามารถขยายได้โดยปลั๊กอิน ระบบ Omipeek หลักไม่ได้ดักจับแพ็กเก็ตเครือข่าย อย่างไรก็ตามการเพิ่มของ เครื่องมือยึด ปลั๊กอินรับฟังก์ชั่นการจับแพ็คเก็ต ระบบ Capture Engine เลือกแพ็คเก็ตในเครือข่ายแบบใช้สาย นามสกุลอื่นที่เรียกว่า ตัวแปลง Wifi เพิ่มความสามารถไร้สายและช่วยให้สามารถจับแพ็กเก็ต Wifi ผ่าน Omnipeek ได้.
ฟังก์ชั่นของเครื่องวิเคราะห์โปรโตคอลเครือข่าย Omnipeek พื้นฐานขยายไปสู่การตรวจสอบประสิทธิภาพเครือข่าย เช่นเดียวกับการแสดงปริมาณการใช้งานโดยโปรโตคอลซอฟต์แวร์จะวัดความเร็วการถ่ายโอนและความสม่ำเสมอของปริมาณข้อมูล, กำลังเพิ่มการแจ้งเตือน หากการรับส่งข้อมูลช้าลงหรือการเดินทางผ่านเงื่อนไขขอบเขตที่กำหนดโดยผู้ดูแลระบบเครือข่าย.
เครื่องมือวิเคราะห์การจราจรสามารถติดตามได้ จบสิ้น ถ่ายโอนประสิทธิภาพในเครือข่ายทั้งหมดหรือเพียงแค่ตรวจสอบแต่ละเครือข่าย ลิงค์. ฟังก์ชั่นอื่น ๆ ตรวจสอบอินเตอร์เฟสรวมถึงทราฟฟิกขาเข้าที่มาถึงเว็บเซิร์ฟเวอร์จากนอกเครือข่าย ซอฟต์แวร์นี้มีความสนใจเป็นพิเศษในทรูพุตทราฟฟิกและการแสดงทราฟฟิกต่อโปรโตคอล ข้อมูลสามารถดูได้เป็นรายการโปรโตคอลและปริมาณงานหรือเป็นกราฟและแผนภูมิสด สามารถจับแพ็คเก็ตด้วย Capture Engine ได้ เก็บไว้เพื่อการวิเคราะห์ หรือเล่นซ้ำผ่านเครือข่ายสำหรับ การทดสอบความสามารถ.
Omnipeek ติดตั้งบน Windows และ Windows Server ระบบไม่สามารถใช้งานได้ฟรี อย่างไรก็ตามเป็นไปได้ที่จะได้รับ Omnipeek ในช่วงทดลองใช้ฟรี 30 วัน.
5. tcpdump
เครื่องมือพื้นฐานของการรวบรวมทราฟฟิกเครือข่ายเกือบทั้งหมดคือ tcpdump มันเป็นแอพพลิเคชั่นโอเพนซอร์ซที่ติดตั้งในระบบปฏิบัติการยูนิกซ์เกือบทุกระบบ Tcpdump เป็นเครื่องมือรวบรวมที่ยอดเยี่ยมและมาพร้อมกับภาษาการกรองที่ซับซ้อนมาก สิ่งสำคัญคือต้องทราบวิธีการกรองข้อมูล ณ เวลารวบรวมเพื่อให้ได้ข้อมูลที่สามารถจัดการได้เพื่อวิเคราะห์ การจับข้อมูลทั้งหมดจากอุปกรณ์เครือข่ายบนเครือข่ายที่ไม่ว่างพอสมควรสามารถสร้างข้อมูลมากเกินไปที่จะวิเคราะห์ได้อย่างง่ายดาย.
ในบางกรณีที่ไม่เกิดขึ้นบ่อยนักการอนุญาตให้ tcpdump ส่งออกการจับภาพโดยตรงไปยังหน้าจอของคุณอาจเพียงพอที่จะค้นหาสิ่งที่คุณกำลังมองหา ตัวอย่างเช่นในการเขียนบทความนี้ฉันจับการรับส่งข้อมูลบางอย่างและสังเกตเห็นว่าเครื่องของฉันส่งการรับส่งข้อมูลไปยัง IP ที่ฉันไม่รู้จัก ปรากฎว่าเครื่องของฉันกำลังส่งข้อมูลไปยังที่อยู่ IP ของ Google ที่ 172.217.11.142 เนื่องจากฉันไม่ได้เปิดใช้งานผลิตภัณฑ์ใด ๆ ของ Google หรือ Gmail เปิดอยู่ฉันจึงไม่ทราบสาเหตุที่เกิดขึ้น ฉันตรวจสอบระบบของฉันและพบสิ่งนี้:
[~] $ ps -ef | grep google
ผู้ใช้ปี 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome –type = service
ดูเหมือนว่าแม้ Chrome จะไม่ทำงานในเบื้องหน้า แต่ Chrome ก็ยังคงทำงานเป็นบริการอยู่ ฉันจะไม่ได้สังเกตเห็นสิ่งนี้โดยไม่ต้องวิเคราะห์แพ็คเก็ตเพื่อให้ทิปฉัน ฉันบันทึกข้อมูล tcpdump อีกครั้ง แต่คราวนี้บอกให้ tcpdump เขียนข้อมูลลงในไฟล์ที่ฉันเปิดใน Wireshark (เพิ่มเติมในภายหลัง) นี่คือรายการ:
Tcpdump เป็นเครื่องมือที่ชื่นชอบในหมู่ sysadmins เพราะเป็นเครื่องมือบรรทัดคำสั่ง ซึ่งหมายความว่าไม่จำเป็นต้องใช้เดสก์ท็อปเต็มรูปแบบเพื่อเรียกใช้ เป็นเรื่องปกติสำหรับเซิร์ฟเวอร์ที่ใช้งานจริงเพื่อจัดหาเดสก์ท็อปเนื่องจากทรัพยากรที่จะใช้ดังนั้นเครื่องมือบรรทัดคำสั่งจึงเป็นที่ต้องการ เช่นเดียวกับเครื่องมือขั้นสูงมากมาย tcpdump มีภาษาที่สมบูรณ์และมีความลับที่ใช้เวลาในการควบคุม คำสั่งพื้นฐานบางอย่างเกี่ยวข้องกับการเลือกอินเทอร์เฟซเครือข่ายเพื่อรวบรวมข้อมูลและเขียนข้อมูลนั้นลงในไฟล์เพื่อให้สามารถส่งออกเพื่อการวิเคราะห์ที่อื่นได้ สวิตช์ -i และ -w ใช้สำหรับสิ่งนี้.
# tcpdump -i eth0 -w tcpdump_packets
tcpdump: การฟังบน eth0, link-type EN10MB (Ethernet), ขนาดการจับภาพ 262144 ไบต์
จับแพ็กเก็ต ^ C51 แล้ว
สิ่งนี้สร้างไฟล์ดักจับ:
ไฟล์ tcpdump_packets
tcpdump_packets: ไฟล์จับ tcpdump (ตัวเล็ก) – รุ่น 2.4 (อีเธอร์เน็ตความยาวในการจับ 262144)
ไฟล์จับ TCP มาตรฐานเป็นไฟล์ pcap ไม่ใช่ข้อความดังนั้นจึงสามารถอ่านได้โดยโปรแกรมวิเคราะห์ที่รู้วิธีอ่านไฟล์ pcap เท่านั้น.
6. WinDump
เครื่องมือโอเพนซอร์สที่มีประโยชน์ส่วนใหญ่จะถูกโคลนในที่สุดกับระบบปฏิบัติการอื่น เมื่อสิ่งนี้เกิดขึ้นแอปพลิเคชันจะกล่าวว่าได้รับการพอร์ตมากกว่า WinDump เป็นพอร์ตของ tcpdump และทำงานในรูปแบบที่คล้ายกันมาก.
ข้อแตกต่างที่สำคัญอย่างหนึ่งระหว่าง WinDump และ tcpdump คือ Windump ต้องการไลบรารี WinpCap ที่ติดตั้งก่อนที่จะสามารถเรียกใช้ WinDump ได้ แม้จะมีทั้ง WinDump และ WinpCap จัดทำโดยผู้ดูแลเดียวกันพวกเขากำลังดาวน์โหลดแยกต่างหาก.
WinpCap เป็นไลบรารีจริงที่ต้องติดตั้ง แต่เมื่อติดตั้งเสร็จแล้ว WinDump จะเป็นไฟล์. exe ที่ไม่จำเป็นต้องติดตั้งดังนั้นจึงสามารถเรียกใช้ได้ นั่นอาจเป็นสิ่งที่คุณควรคำนึงถึงหากคุณใช้เครือข่าย Windows คุณไม่จำเป็นต้องติดตั้ง WinDump ในทุกเครื่องเนื่องจากคุณสามารถคัดลอกมันได้ตามต้องการ แต่คุณจะต้องติดตั้ง WinpCap เพื่อรองรับ WinDump.
เช่นเดียวกับ tcpdump, WinDump สามารถส่งออกข้อมูลเครือข่ายไปยังหน้าจอสำหรับการวิเคราะห์, กรองในลักษณะเดียวกัน, และเขียนข้อมูลไปยังไฟล์ pcap สำหรับการวิเคราะห์นอกสถานที่.
7. Wireshark
Wireshark น่าจะเป็นเครื่องมือที่เป็นที่รู้จักกันดีในเครื่องมือดูแลระบบ ไม่เพียง แต่สามารถเก็บข้อมูล แต่ยังมีเครื่องมือวิเคราะห์ขั้นสูงอีกด้วย Wireshark เป็นโอเพนซอร์ซและได้รับการเพิ่มความน่าดึงดูดให้กับระบบปฏิบัติการเซิร์ฟเวอร์เกือบทุกระบบที่มีอยู่ ชีวิตเริ่มต้นที่ชื่อ Etheral ตอนนี้ Wireshark ทำงานได้ทุกที่รวมถึงเป็นแอพพกพาแบบสแตนด์อโลน.
หากคุณกำลังวิเคราะห์ปริมาณการใช้งานบนเซิร์ฟเวอร์ที่ติดตั้งเดสก์ท็อป Wireshark สามารถทำทุกอย่างให้คุณได้ สามารถรวบรวมข้อมูลและวิเคราะห์ข้อมูลทั้งหมดในที่เดียว อย่างไรก็ตามเดสก์ท็อปไม่ใช่เรื่องปกติในเซิร์ฟเวอร์ดังนั้นในหลายกรณีคุณจะต้องการบันทึกข้อมูลเครือข่ายจากระยะไกลแล้วดึงไฟล์ pcap ที่ได้ไปไว้ใน Wireshark.
ในการเปิดตัวครั้งแรก Wireshark ช่วยให้คุณสามารถโหลดไฟล์ pcap ที่มีอยู่หรือเริ่มการจับภาพ หากคุณเลือกที่จะรับส่งข้อมูลเครือข่ายคุณสามารถเลือกระบุตัวกรองเพื่อลดจำนวนข้อมูลที่ Wireshark รวบรวมได้ เนื่องจากเครื่องมือในการวิเคราะห์นั้นดีมากจึงไม่สำคัญที่จะให้แน่ใจว่าคุณระบุข้อมูลการผ่าตัดในเวลารวบรวมด้วย Wireshark หากคุณไม่ได้ระบุตัวกรอง Wireshark จะรวบรวมข้อมูลเครือข่ายทั้งหมดที่อินเตอร์เฟสที่คุณเลือกปฏิบัติ.
หนึ่งในเครื่องมือที่มีประโยชน์ที่สุดที่ Wireshark มอบให้คือความสามารถในการติดตามกระแส อาจเป็นประโยชน์มากที่สุดหากคิดว่าสตรีมเป็นการสนทนาทั้งหมด ในภาพหน้าจอด้านล่างเราสามารถดูข้อมูลจำนวนมากได้ แต่สิ่งที่ฉันสนใจมากที่สุดคือ Google IP ฉันสามารถคลิกขวาและติดตาม TCP Stream เพื่อดูการสนทนาทั้งหมด.
หากคุณได้รับปริมาณข้อมูลที่อื่นคุณสามารถนำเข้าไฟล์ pcap โดยใช้ไฟล์ของ Wireshark -> เปิดบทสนทนา ตัวกรองและเครื่องมือเดียวกันที่สามารถใช้สำหรับข้อมูลเครือข่ายที่ถ่ายได้นั้นพร้อมใช้งานสำหรับไฟล์ที่นำเข้า.
8. TShark
TShark เป็นทางข้ามที่มีประโยชน์มากระหว่าง tcpdump และ Wireshark Tcpdump เก่งในการรวบรวมข้อมูลและสามารถดึงเฉพาะข้อมูลที่คุณต้องการจากการผ่าตัดได้อย่างไรก็ตามมีข้อ จำกัด ว่าการวิเคราะห์นั้นมีประโยชน์เพียงใด Wireshark ทำงานได้อย่างยอดเยี่ยมทั้งในการรวบรวมและวิเคราะห์ แต่เนื่องจากมีส่วนติดต่อผู้ใช้จำนวนมากจึงไม่สามารถใช้กับเซิร์ฟเวอร์ที่ไม่มีหัวได้ ป้อน TShark; มันจับและวิเคราะห์ แต่ไม่หลังในบรรทัดคำสั่ง.
TShark ใช้ระเบียบการกรองเดียวกันกับ Wireshark ซึ่งไม่น่าแปลกใจเพราะเป็นผลิตภัณฑ์เดียวกัน คำสั่งนี้บอกให้ TShark รำคาญเพียงการจับที่อยู่ IP ปลายทางรวมถึงฟิลด์ที่น่าสนใจอื่น ๆ จากส่วน HTTP ของแพ็คเก็ต.
# tshark -i eth0 -Y http.request -T field -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
หากคุณต้องการจับภาพไปยังไฟล์คุณสามารถใช้สวิตช์ -w เพื่อเขียนมันแล้วใช้สวิตช์ -r (โหมดอ่าน) ของ TShark เพื่ออ่าน.
จับภาพแรก:
# tshark -i eth0 -w tshark_packets
การจับภาพใน ‘eth0’
102 ^ C
อ่านได้ทั้งบนเซิร์ฟเวอร์เดียวกันหรือถ่ายโอนไปยังเซิร์ฟเวอร์การวิเคราะห์อื่น ๆ.
# tshark -r tshark_packets -Y http.request -T fields -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / ติดต่อ
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / การจอง /
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /reservations/styles/styles.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/images/title.png
9. Network Miner
Network Miner เป็นเครื่องมือที่น่าสนใจอย่างยิ่งที่จัดอยู่ในหมวดหมู่ของเครื่องมือนิติวิทยาศาสตร์มากกว่าเครื่องมือดักจับแพ็คเก็ตแบบตั้งตรง สาขานิติวิทยาศาสตร์มักเกี่ยวข้องกับการสืบสวนและรวบรวมหลักฐานและ Network Miner ทำงานได้ดีสำหรับการรับส่งข้อมูลเครือข่าย เช่นเดียวกับ WireShark สามารถติดตามสตรีม TCP เพื่อกู้คืนการสนทนา TCP ทั้งหมด Network Miner สามารถติดตามสตรีมเพื่อสร้างไฟล์ที่ถูกส่งผ่านเครือข่ายใหม่.
ในการจับภาพการรับส่งข้อมูลสด Network Miner ควรวางกลยุทธ์ไว้บนเครือข่ายเพื่อให้สามารถสังเกตและรวบรวมการรับส่งข้อมูลที่คุณสนใจซึ่งจะไม่แนะนำการรับส่งข้อมูลใด ๆ ของตัวเองเข้าสู่เครือข่าย.
Network Miner ยังสามารถทำงานในโหมดออฟไลน์ คุณสามารถใช้เครื่องมือ tcpdump ที่ทดลองแล้วและเป็นจริงเพื่อจับแพ็คเก็ตที่จุดสนใจบนเครือข่ายของคุณแล้วนำเข้าไฟล์ pcap ไปยัง Network Miner จากนั้นจะพยายามสร้างไฟล์หรือใบรับรองที่พบในไฟล์ดักจับใหม่.
Network Miner สร้างขึ้นสำหรับ Windows แต่โดยใช้ Mono จะสามารถทำงานบนระบบปฏิบัติการใด ๆ ที่มีกรอบงานโมโนเช่น Linux และ macOS.
มีเวอร์ชันฟรีให้คุณเริ่มต้นด้วยคุณสมบัติที่เหมาะสมมากมาย หากคุณต้องการความสามารถขั้นสูงเพิ่มเติมเช่นตำแหน่ง GeoIP และสคริปต์แบบกำหนดเองคุณจะต้องซื้อใบอนุญาตแบบมืออาชีพ.
10. พู้ทำเล่น (HTTP)
Fiddler ไม่ใช่เครื่องมือจับแพกเก็ตเครือข่ายในทางเทคนิค แต่มันมีประโยชน์อย่างเหลือเชื่อที่มันสร้างรายชื่อ ซึ่งแตกต่างจากเครื่องมืออื่น ๆ ที่แสดงไว้ที่นี่ซึ่งออกแบบมาเพื่อดักจับปริมาณการใช้งาน Ad-hoc บนเครือข่ายจากแหล่งใด ๆ Fiddler เป็นเครื่องมือดีบักบนเดสก์ท็อปมากกว่า มันจับปริมาณข้อมูล HTTP และในขณะที่เบราว์เซอร์จำนวนมากมีความสามารถนี้ในเครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ของพวกเขา Fiddler ไม่ จำกัด เฉพาะปริมาณการใช้เบราว์เซอร์ พู้ทำเล่นสามารถจับภาพการรับส่งข้อมูล HTTP ใด ๆ บนเดสก์ท็อปรวมถึงแอปพลิเคชันที่ไม่ใช่เว็บ.
แอปพลิเคชันเดสก์ท็อปจำนวนมากใช้ HTTP เพื่อเชื่อมต่อกับบริการทางเว็บและไม่มีเครื่องมือเช่น Fiddler วิธีเดียวที่จะจับการรับส่งข้อมูลสำหรับการวิเคราะห์คือการใช้เครื่องมือเช่น tcpdump หรือ WireShark อย่างไรก็ตามเครื่องมือเหล่านั้นทำงานที่ระดับแพ็คเก็ตดังนั้นการวิเคราะห์รวมถึงการสร้างแพ็กเก็ตเหล่านั้นใหม่เข้าไปในสตรีม HTTP นั่นอาจเป็นงานจำนวนมากเพื่อทำการตรวจสอบ HTTP อย่างง่ายและ Fiddler ก็เข้ามาช่วย พู้ทำเล่นสามารถช่วยค้นพบคุกกี้ใบรับรองและข้อมูลน้ำหนักบรรทุกที่เข้าหรือออกจากแอพเหล่านั้น.
ช่วยให้ Fiddler นั้นฟรีและเหมือนกับ Network Miner มันสามารถเรียกใช้ภายใน Mono บนระบบปฏิบัติการอื่น ๆ ที่มีกรอบ Mono.
11. แคปซ่า
Capsa Network Analyzer มีหลายรุ่นแต่ละรุ่นมีความสามารถที่แตกต่างกัน ในระดับแรกซอฟต์แวร์ฟรีของ Capsa จะดักจับแพ็คเก็ตและอนุญาตให้ทำการวิเคราะห์เชิงกราฟ แดชบอร์ดนั้นมีความโดดเด่นเป็นอย่างมากและสามารถช่วยให้ปัญหาเครือข่ายสามเณรระบุได้อย่างรวดเร็วแม้แต่กับความรู้แพ็คเก็ตจริงเล็กน้อย ระดับฟรีนั้นมุ่งเป้าไปที่ผู้ที่ต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับแพ็คเก็ตและพัฒนาทักษะของพวกเขาให้เป็นนักวิเคราะห์ที่เต็มเปี่ยม.
รุ่นฟรีรู้วิธีการตรวจสอบกว่า 300 โปรโตคอลจะช่วยให้การตรวจสอบอีเมลและยังสามารถบันทึกเนื้อหาอีเมลและยังรองรับทริกเกอร์ ทริกเกอร์สามารถใช้เพื่อตั้งค่าการเตือนสำหรับสถานการณ์เฉพาะซึ่งหมายความว่า Capsa ยังสามารถใช้ในขีดความสามารถในการสนับสนุนได้ในระดับหนึ่ง.
Capsa ใช้ได้เฉพาะกับ Windows 2008 / Vista / 7/8 และ 10.
คำพูดสุดท้าย
ด้วยเครื่องมือที่ฉันได้กล่าวมามันไม่ใช่การก้าวกระโดดครั้งใหญ่ที่จะเห็นว่าผู้ดูแลระบบสามารถสร้างโครงสร้างพื้นฐานการตรวจสอบเครือข่ายตามความต้องการได้อย่างไร Tcpdump หรือ Windump สามารถติดตั้งได้บนเซิร์ฟเวอร์ทั้งหมด ตัวกำหนดตารางเวลาเช่น cron หรือตัวกำหนดเวลาของ Windows สามารถเริ่มต้นเซสชันการรวบรวมแพ็คเก็ตในช่วงเวลาที่น่าสนใจและเขียนคอลเล็กชันเหล่านั้นลงในไฟล์ pcap ในเวลาต่อมาผู้ดูแลระบบสามารถถ่ายโอนแพ็คเก็ตเหล่านั้นไปยังเครื่องกลางและใช้ Wireshark เพื่อวิเคราะห์พวกเขา หากเครือข่ายมีขนาดใหญ่จนไม่สามารถทำได้เครื่องมือระดับองค์กรเช่นชุด SolarWinds สามารถช่วยให้เชื่องข้อมูลเครือข่ายทั้งหมดนั้นไว้ในชุดข้อมูลที่จัดการได้.