Надушването на пакети е дълбок тип мрежаанализ, при който подробности за мрежовия трафик се декодират, за да бъдат анализирани. Това е едно от най-важните умения за отстраняване на неизправности, които всеки мрежов администратор трябва да притежава. Анализът на мрежовия трафик е сложна задача. За да се справят с ненадеждни мрежи, данните не се изпращат в един непрекъснат поток. Вместо това се нарязва на фрагменти, изпратени поотделно. Анализът на мрежовия трафик включва възможност да се събират тези пакети данни и да се съберат в нещо значимо. Това не е нещо, което можете да правите ръчно, така че да се създават пакети снюфтери и мрежови анализатори. Днес разглеждаме седем от най-добрите снайпери и пакети за мрежови анализатори.
Започваме днешното пътуване, като ви даваменякаква основна информация за това какво представляват пакетиращите пакети. Ще се опитаме да разберем каква е разликата - или дали има разлика - между пакеращ снайпер и мрежов анализатор. След това ще пристъпим към основата на нашата тема и не само ще изброим, но и ще прегледаме накратко всеки от нашите седем снимки. Това, което имаме за вас, е комбинация от GUI инструменти и помощни програми за команден ред, които работят на различни операционни системи.
Няколко думи за пакети Sniffers и мрежови анализатори
Нека започнем с уреждането на нещо. За целта на тази статия, ние ще приемем, че снайпериращите пакети и мрежовите анализатори са едно и също. Някои ще твърдят, че са различни и може да са прави. Но в контекста на тази статия, ще ги разгледаме заедно, главно защото, въпреки че те могат да работят по различен начин - но наистина ли? - те служат на същата цел.
Packet Sniffers обикновено правят три неща. Първо, те улавят всички пакети данни, когато влизат или излизат от мрежов интерфейс. Второ, те по желание прилагат филтри, за да игнорират някои от пакетите и да записват други на диск. След това те извършват някаква форма на анализ на заснетите данни. Именно в тази последна функция на пакетните снайпери те се различават най-много.
Най-много за действителното заснемане на пакетите с данниинструментите използват външен модул. Най-често срещаните са libpcap в Unix / Linux системи и Winpcap на Windows. Обикновено няма да се налага да инсталирате тези инструменти, тъй като те обикновено се инсталират от инсталаторите на различни инструменти.
Друго важно нещо, което трябва да знаете е, че PacketSniffers - дори и най-добрият - няма да направи всичко за вас. Те са само инструменти. Това е като чук, който сам няма да забие пирон. Така че, трябва да сте сигурни, че научите как най-добре да използвате всеки инструмент. Paff sniffer просто ще ви позволи да видите трафика, но от вас зависи да използвате тази информация, за да намерите проблеми. Имаше цели книги за използването на инструменти за улавяне на пакети. Аз самият веднъж изкарах тридневен курс по темата. Не се опитвам да ви обезкуража. Опитвам се само да определям очакванията ви.
Как да използвате Pani Sniffer
Както обяснихме, пакетното sniffer ще заснемеи анализирайте трафика. Така че, ако се опитвате да отстраните конкретен проблем - което обикновено е причината да използвате такъв инструмент - първо трябва да се уверите, че трафикът, който заснемате, е правилния трафик. Представете си ситуация, при която всички потребители се оплакват, че определено приложение е бавно. В такъв тип ситуация най-добрият ви залог би бил да уловите трафик в мрежовия интерфейс на сървъра на приложения. След това може да разберете, че заявките пристигат на сървъра нормално, но на сървъра е необходимо дълго време, за да изпрати отговори. Това би означавало проблем със сървъра.
Ако от друга страна виждате сървъраотговаряйки своевременно, това вероятно означава, че проблемът е някъде в мрежата между клиента и сървъра. След това ще преместите пакета sniffer с един хоп по-близо до клиента и ще видите дали отговорите са забавени. Ако не е, придвижвайте повече хоп по-близо до клиента и така нататък и така нататък. В крайна сметка ще стигнете до мястото, където има забавяне. И след като идентифицирате местоположението на проблема, вие сте една голяма стъпка по-близо до разрешаването му.
Сега може би се чудите как успяваме да заснемемпакети в определена точка. Това е доста просто, ние се възползваме от функция на повечето мрежови превключватели, наречени огледално огледало или репликация на порт. Това е опция за конфигуриране, която ще репликира целия трафик в определен и преходен комутатор към друг порт на същия превключвател. Да приемем, че вашият сървър е свързан към порт 15 на превключвател и този порт 23 от същия превключвател е наличен. Свързвате пакета си sniffer към порт 23 и конфигурирате превключвателя, за да репликира целия трафик от порт 15 до порт 23. Това, което получавате в резултат на порт 23, е огледално изображение - следователно и името на огледалното пристанище - на това, което преминава през порт 15.
Най-добрите пакетни снайпери и мрежови анализатори
Сега, когато по-добре разберете какъв пакетснайпери и мрежови анализатори са, нека да видим кои са седемте най-добри, които бихме могли да намерим. Опитахме да включим комбинация от инструменти за команден ред и GUI, както и да включваме инструменти, работещи на различни операционни системи. В крайна сметка, не всички мрежови администратори работят под Windows.
1. Инструмент за проверка и анализ на дълбоки пакети SolarWinds (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)
SolarWinds е добре известен с многото си полезни безплатни инструменти исъстоянието на софтуера за управление на мрежата. Един от инструментите му се нарича Инструмент за дълбока проверка и анализ на пакети. Той се предлага като компонент на водещия продукт на SolarWinds - Network Performance Monitor. Работата му е доста по-различна от по-традиционните пакетни снайпери, въпреки че служи за подобна цел.
За да обобщим функционалността на инструмента: той ще ви помогне да намерите и разрешите причината за забавянията в мрежата, да идентифицирате засегнатите приложения и да определите дали бавността е причинена от мрежата или приложението. Софтуерът също така ще използва техники за дълбока проверка на пакети, за да изчисли времето за реакция за над двестастотин приложения. Той също ще класифицира мрежовия трафик по категории, бизнес спрямо социални и ниво на риск, като ви помага да идентифицирате нетърговски трафик, който може да се наложи да бъде филтриран или елиминиран по друг начин.
И не забравяйте, че пакетът SolarWinds Deep PacketИнструментът за проверка и анализ идва като част от мрежовия монитор за изпълнение. NPM, както често се нарича, е впечатляващо парче софтуер с толкова много компоненти, че цяла статия може да бъде посветена на него. В основата си това е цялостно решение за мониторинг на мрежата, което съчетава най-добрите технологии като SNMP и задълбочена проверка на пакети, за да предостави колкото се може повече информация за състоянието на вашата мрежа. Инструментът, който е на разумни цени, се предлага с 30-дневна безплатна пробна версия, така че можете да се уверите, че той наистина отговаря на вашите нужди, преди да се ангажирате да го закупите.
Официална връзка за изтегляне: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump е може би първоначалният sniffer за пакети. Създаден е през 1987 г. Оттогава той се поддържа и подобрява, но остава по същество непроменен, поне по начина, по който се използва. Той е предварително инсталиран почти във всяка подобна на Unix операционна система и се е превърнал в стандарт de-facto, когато човек се нуждае от бърз инструмент за улавяне на пакети. Tcpdump използва библиотеката libpcap за действителното заснемане на пакети.
По подразбиране. tcpdump улавя целия трафик на посочения интерфейс и го „изхвърля“ - оттук и името му - на екрана. Изхвърлянето може също така да бъде направено до файл за улавяне и да се анализира по-късно с помощта на един - или комбинация - от няколко налични инструмента. Ключово значение за силата и полезността на tcpdump е възможността да се прилагат всякакви филтри и да се изпраща изходът към греп - друга обща полезна програма за команден ред Unix - за по-нататъшно филтриране. Някой с добро познаване на tcpdump, grep и командната обвивка може да го накара да улови точно правилния трафик за всяка задача за отстраняване на грешки.
3. Вятър
Windump е по същество само пристанище на tcpdump доплатформата на Windows. Като такова тя се държи по почти същия начин. Не е рядкост да виждате такива портове на успешни полезни програми от една платформа на друга. Windump е приложение за Windows, но не очаквайте фантазия GUI. Това е само полезна програма за команден ред. Следователно използването на Windump по същество е същото като използването на неговия Unix колега. Опциите на командния ред са същите и резултатите също са почти идентични. Резултатът от Windump може също да бъде записан във файл за по-късен анализ с инструмент на трета страна.
Една от основните разлики с tcpdump е, че Windumpне е вграден в Windows. Ще трябва да го изтеглите от уебсайта на Windump. Софтуерът се доставя като изпълним файл и не изисква инсталация. Въпреки това, точно както tcpdump използва библиотеката libpcap, Windump използва Winpcap, който, както повечето библиотеки на Windows, трябва да бъде изтеглен и инсталиран отделно.
4. Wireshark
Wireshark е референцията в пакетните снайпери. Той се е превърнал в стандарт фактически и повечето други инструменти са склонни да го подражават. Този инструмент не само ще улавя трафика, но и има доста мощни възможности за анализ. Толкова мощен, че много администратори ще използват tcpdump или Windump за улавяне на трафик към файл, след което ще заредят файла в Wireshark за анализ. Това е толкова често срещан начин за използване на Wireshark, че при стартиране ще бъдете подканени да отворите съществуващ pcap файл или да започнете да улавяте трафик. Друго предимство на Wireshark са всички филтри, които той включва, които ви позволяват да направите нула точно в данните, които ви интересуват.
За да бъда напълно честен, този инструмент е стръменкрива на учене, но си заслужава да се учи. Това ще се окаже безценно отново и време. И след като го научите, ще можете да го използвате навсякъде, тъй като е пренесен до почти всяка операционна система и е безплатен и с отворен код.
5. царк
Цхарк е нещо като кръстоска между tcpdumpи Wireshark. Това е чудесно нещо, тъй като те са едни от най-добрите снайпери на пакети. Tshark е като tcpdump с това, че е инструмент само за команден ред. Но също така е като Wireshark в това, че не само улавя, но и анализира трафика. Tshark е от същите разработчици като Wireshark. Това е, повече или по-малко, версията на Wireshark от командния ред. Той използва същия тип филтриране като Wireshark и следователно може бързо да изолира само трафика, който трябва да анализирате.
Но защо, може да попитате, някой би искалверсия на командния ред на Wireshark? Защо не просто да използвате Wireshark; с графичния си интерфейс трябва да бъде по-лесно да се използва и да се учи? Основната причина е, че ще ви позволи да го използвате на не-GUI сървър.
6. Network Miner
Network Miner е повече от криминалистичен инструмент повечеотколкото истински пакетиращ пакет. Network Miner ще последва TCP поток и ще реконструира цял разговор. Това е наистина един мощен инструмент. Той може да работи в офлайн режим, където ще импортирате някакъв файл за заснемане, за да оставите Network Miner да работи своята магия. Това е полезна функция, тъй като софтуерът работи само в Windows. Можете да използвате tcpdump на Linux, за да уловите някакъв трафик и Network Miner в Windows, за да го анализирате.
Network Miner се предлага в безплатна версия, но,за по-усъвършенстваните функции като IP базирана геолокация и скриптове, ще трябва да закупите професионален лиценз. Друга разширена функция на професионалната версия е възможността за декодиране и възпроизвеждане на VoIP разговори.
7. Fiddler (HTTP)
Някои от нашите по-знаещи читатели могаттвърдят, че Fiddler не е анализатор на пакети, нито е мрежов анализатор. Вероятно са прави, но смятахме, че трябва да включим този инструмент в нашия списък, тъй като той е много полезен в много ситуации. Fiddler всъщност ще улавя трафик, но не и трафик. Работи само с HTTTP трафик. Можете да си представите колко ценен може да бъде той, въпреки ограничението му, когато смятате, че толкова много приложения днес са базирани в интернет или използват HTTP протокола на заден план. И тъй като Fiddler ще улавя не само трафик на браузъра, но и почти всеки HTTP, той е много полезен при отстраняване на проблеми
Предимството на инструмент като Fiddler над бонаfide пакета sniffer като например Wireshark е, че Fiddler е създаден, за да „разбира“ HTTP трафик. Например ще открие бисквитки и сертификати. Той също така ще намери действителни данни, идващи от приложения, базирани на HTTP. Fiddler е безплатен и е достъпен само за Windows, въпреки че бета версиите за OS X и Linux (използвайки Mono Framework) могат да бъдат изтеглени.
заключение
Когато публикуваме списъци като този, често смепопита кой от тях е най-добрият. В тази конкретна ситуация, ако ми беше зададен този въпрос, ще трябва да отговоря „всичките“. Всички те са безплатни инструменти и всички имат своята стойност. Защо да не ги имате под ръка и да се запознаете с всеки един от тях. Когато стигнете до ситуация, в която трябва да ги използвате, ще бъде много по-лесно и ефективно. Дори инструментите за команден ред имат огромна стойност. Например, те могат да бъдат скриптирани и планирани. Представете си, че имате проблем, който се случва в 2:00 ч. Всеки ден. Бихте могли да насрочите работа, за да стартирате tcpdump на Windump между 1:50 и 2:10 и да анализирате файла за улавяне на следващата сутрин. Няма нужда да стоите по цяла нощ.
Коментари