Το sniffing πακέτων είναι ένας βαθύς τύπος δικτύουανάλυση στην οποία οι λεπτομέρειες της κίνησης δικτύου αποκωδικοποιούνται για ανάλυση. Είναι μια από τις σημαντικότερες δεξιότητες αντιμετώπισης προβλημάτων που πρέπει να διαθέτει οποιοσδήποτε διαχειριστής δικτύου. Η ανάλυση της κυκλοφορίας δικτύου είναι ένα πολύπλοκο έργο. Προκειμένου να αντιμετωπιστούν τα αναξιόπιστα δίκτυα, τα δεδομένα δεν αποστέλλονται σε μία συνεχόμενη ροή. Αντ 'αυτού, τεμαχίζεται σε θραύσματα που αποστέλλονται μεμονωμένα. Η ανάλυση της κυκλοφορίας δικτύου περιλαμβάνει τη δυνατότητα συλλογής αυτών των πακέτων δεδομένων και την επανασύνδεσή τους σε κάτι που έχει νόημα. Αυτό δεν είναι κάτι που μπορείτε να κάνετε χειροκίνητα, ώστε να δημιουργηθούν παγιδευτές πακέτων και δημιουργήθηκαν αναλυτές δικτύου. Σήμερα, είδαμε επτά από τα καλύτερα sniffers πακέτων και τους αναλυτές δικτύων.
Ξεκινάμε από το σημερινό ταξίδι δίνοντάς σαςμερικές πληροφορίες σχετικά με το τι είναι τα sniffers πακέτων. Θα προσπαθήσουμε να καταλάβουμε ποια είναι η διαφορά - ή αν υπάρχει κάποια διαφορά μεταξύ ενός πακέτου sniffer και ενός αναλυτή δικτύου. Στη συνέχεια θα προχωρήσουμε στον πυρήνα του θέματος μας και όχι μόνο στη λίστα, αλλά επίσης θα αναθεωρήσουμε σύντομα κάθε μία από τις επτά επιλογές μας. Αυτό που διαθέτουμε για εσάς είναι ένας συνδυασμός εργαλείων GUI και βοηθημάτων γραμμής εντολών που λειτουργούν σε διάφορα λειτουργικά συστήματα.
Λίγα λόγια για τα Sniffers πακέτων και τους αναλυτές δικτύων
Ας αρχίσουμε κάνοντας κάτι. Για χάρη αυτού του άρθρου, θα υποθέσουμε ότι τα sniffers πακέτων και οι αναλυτές δικτύου είναι ένα και το αυτό. Κάποιοι θα υποστηρίξουν ότι είναι διαφορετικοί και ίσως έχουν δίκιο. Αλλά στο πλαίσιο αυτού του άρθρου, θα τα εξετάσουμε μαζί, κυρίως επειδή ακόμα κι αν μπορούν να λειτουργούν διαφορετικά - αλλά πραγματικά; - εξυπηρετούν τον ίδιο σκοπό.
Τα Sniffers πακέτων συνήθως κάνουν τρία πράγματα. Πρώτον, καταγράφουν όλα τα πακέτα δεδομένων καθώς εισέρχονται ή εξέρχονται από μια διασύνδεση δικτύου. Δεύτερον, προαιρετικά εφαρμόζουν φίλτρα για να αγνοήσουν κάποια από τα πακέτα και να αποθηκεύσουν άλλα στον δίσκο. Στη συνέχεια πραγματοποιούν κάποια μορφή ανάλυσης των δεδομένων που συλλέχθηκαν. Είναι στην τελευταία αυτή λειτουργία των sniffers πακέτων που διαφέρουν περισσότερο.
Για την πραγματική λήψη των πακέτων δεδομένων, τα περισσότερατα εργαλεία χρησιμοποιούν μια εξωτερική μονάδα. Τα πιο συνηθισμένα είναι το libpcap στα συστήματα Unix / Linux και το Winpcap στα Windows. Συνήθως δεν θα χρειαστεί να εγκαταστήσετε αυτά τα εργαλεία, όπως συνήθως εγκαθίστανται από τους διαφορετικούς εγκαταστάτες εργαλείων.
Ένα άλλο σημαντικό πράγμα που πρέπει να γνωρίζουμε είναι ότι το πακέτοΤα Sniffers - ακόμα και τα καλύτερα - δεν θα κάνουν τα πάντα για εσάς. Είναι απλά εργαλεία. Είναι ακριβώς όπως ένα σφυρί που δεν θα οδηγήσει κανένα καρφί από μόνο του. Έτσι, πρέπει να βεβαιωθείτε ότι έχετε μάθει πώς να χρησιμοποιείτε καλύτερα κάθε εργαλείο. Ο παγιδευτής πακέτων θα σας αφήσει να δείτε την κυκλοφορία αλλά εξαρτάται από εσάς να χρησιμοποιήσετε αυτές τις πληροφορίες για να βρείτε ζητήματα. Έχουν υπάρξει ολόκληρα βιβλία σχετικά με τη χρήση εργαλείων δέσμευσης πακέτων. Εγώ ο ίδιος κάποτε πήρα μια τριήμερη πορεία για το θέμα. Δεν προσπαθώ να σας αποθαρρύνω. Προσπαθώ μόνο να θέσω τις προσδοκίες σας ευθεία.
Πώς να χρησιμοποιήσετε ένα πακέτο Sniffer
Όπως έχουμε εξηγήσει, ένας παγιδευτής πακέτων θα συλλάβεικαι την ανάλυση της κυκλοφορίας. Επομένως, εάν προσπαθείτε να αντιμετωπίσετε ένα συγκεκριμένο ζήτημα - το οποίο είναι συνήθως γιατί θα χρησιμοποιούσατε ένα τέτοιο εργαλείο - πρέπει πρώτα να βεβαιωθείτε ότι η κίνηση που συλλαμβάνετε είναι η σωστή κίνηση. Φανταστείτε μια κατάσταση όπου όλοι οι χρήστες παραπονούνται ότι μια συγκεκριμένη εφαρμογή είναι αργή. Σε αυτό το είδος της κατάστασης, το καλύτερο στοίχημά σας θα ήταν ίσως να καταγράψει την κυκλοφορία στη διεπαφή δικτύου του διακομιστή εφαρμογών. Ίσως τότε να συνειδητοποιήσετε ότι οι αιτήσεις φτάνουν στον διακομιστή κανονικά αλλά ότι ο διακομιστής χρειάζεται πολύ χρόνο για να στείλει απαντήσεις. Αυτό θα έδειχνε ένα πρόβλημα διακομιστή.
Εάν, από την άλλη πλευρά, βλέπετε τον διακομιστήαπαντώντας εγκαίρως, πιθανόν να σημαίνει ότι το ζήτημα βρίσκεται κάπου στο δίκτυο μεταξύ του πελάτη και του διακομιστή. Στη συνέχεια, θα μετακινήσετε το πακέτο σας σε ένα χέρι πιο κοντά στον πελάτη και θα διαπιστώσετε αν οι απαντήσεις καθυστερούν. Εάν δεν συμβαίνει αυτό, μετακινείτε περισσότερο χιονιού πιο κοντά στον πελάτη και ούτω καθεξής και ούτω καθεξής. Θα φτάσετε τελικά στο σημείο όπου εμφανίζονται καθυστερήσεις. Και μόλις εντοπίσετε τη θέση του προβλήματος, είστε ένα μεγάλο βήμα πιο κοντά στην επίλυσή του.
Τώρα ίσως να αναρωτιέστε πώς καταφέρνουμε να καταλάβουμεπακέτα σε ένα συγκεκριμένο σημείο. Είναι αρκετά απλό, εκμεταλλευόμαστε ένα χαρακτηριστικό των περισσότερων μεταγωγών δικτύου που ονομάζονται mirroring port ή replication. Αυτή είναι μια επιλογή διαμόρφωσης που θα αναπαράγει όλη την κίνηση εντός και εκτός μιας συγκεκριμένης θύρας μεταγωγής σε άλλη θύρα του ίδιου διακόπτη. Ας υποθέσουμε ότι ο διακομιστής σας είναι συνδεδεμένος στη θύρα 15 ενός διακόπτη και ότι η θύρα 23 του ίδιου διακόπτη είναι διαθέσιμη. Συνδέετε τον παγιδευτή πακέτων στη θύρα 23 και διαμορφώστε τον διακόπτη για να αναπαράγετε όλη την κυκλοφορία από τη θύρα 15 στη θύρα 23. Αυτό που λαμβάνετε ως αποτέλεσμα στη θύρα 23 είναι μια εικόνα καθρέφτη - εξ ου και το όνομα του mirror mirror - του τι περνάει από τη θύρα 15.
Τα καλύτερα Sniffers πακέτων και αναλυτές δικτύων
Τώρα που καταλαβαίνετε καλύτερα ποιο πακέτοsniffers και αναλυτές δικτύου είναι, ας δούμε ποιες είναι οι επτά καλύτερες που θα μπορούσαμε να βρούμε. Προσπαθήσαμε να συμπεριλάβουμε ένα μείγμα εργαλείων γραμμής εντολών και GUI καθώς και εργαλεία που λειτουργούν σε διάφορα λειτουργικά συστήματα. Μετά από όλα, δεν είναι όλα τα διαχειριστές δικτύου που εκτελούν τα Windows.
1. Εργαλείο επιθεώρησης και ανάλυσης Deep Packet SolarWinds (ΔΩΡΕΑΝ ΔΟΚΙΜΗ)
SolarWinds είναι γνωστό για τα πολλά χρήσιμα δωρεάν εργαλεία καιτο πλέον σύγχρονο λογισμικό διαχείρισης δικτύου. Ένα από τα εργαλεία του ονομάζεται Deep Packet Inspection and Analysis Tool. Έρχεται ως συστατικό στοιχείο του προϊόντος ναυαρχίδας της SolarWinds, το Network Performance Monitor. Η λειτουργία του είναι αρκετά διαφορετική από τα πιο «παραδοσιακά» sniffers πακέτων παρόλο που εξυπηρετεί παρόμοιο σκοπό.
Για να συνοψίσουμε τη λειτουργικότητα του εργαλείου: θα σας βοηθήσει να βρείτε και να επιλύσετε την αιτία των λανθάνων δικτύων, να προσδιορίσετε τις εφαρμογές που επηρεάζονται και να προσδιορίσετε εάν η καθυστέρηση προκαλείται από το δίκτυο ή μια εφαρμογή. Το λογισμικό θα χρησιμοποιεί επίσης τεχνικές βαθιάς επιθεώρησης πακέτων για τον υπολογισμό του χρόνου απόκρισης για περισσότερες από δώδεκα εκατοντάδες εφαρμογές. Θα ταξινομήσει επίσης την επισκεψιμότητα δικτύου κατά κατηγορία, επιχειρηματικό έναντι κοινωνικού και επίπεδο κινδύνου, βοηθώντας σας να εντοπίσετε τη μη επισκεψιμότητα που μπορεί να χρειάζεται να φιλτραριστεί ή να εξαλειφθεί με άλλο τρόπο.
Και μην ξεχνάτε ότι το SolarWinds Deep PacketΤο Εργαλείο επιθεώρησης και ανάλυσης έρχεται ως μέρος του Network Performace Monitor. Το NPM, όπως συχνά αποκαλείται, είναι ένα εντυπωσιακό κομμάτι λογισμικού με τόσες πολλές συνιστώσες που θα μπορούσε να αφιερωθεί σε ένα ολόκληρο άρθρο. Στον πυρήνα της, είναι μια ολοκληρωμένη λύση παρακολούθησης δικτύου που συνδυάζει τις καλύτερες τεχνολογίες όπως SNMP και βαθιά επιθεώρηση πακέτων για να παρέχει όσο το δυνατόν περισσότερες πληροφορίες σχετικά με την κατάσταση του δικτύου σας. Το εργαλείο, το οποίο έχει λογικές τιμές, συνοδεύεται από μια δωρεάν δοκιμαστική περίοδο 30 ημερών, ώστε να μπορείτε να βεβαιωθείτε ότι ανταποκρίνεται στις ανάγκες σας πριν δεσμευτείτε για την αγορά του.
Επίσημος σύνδεσμος λήψης: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Το Tcpdump είναι πιθανώς το αρχικό πακέτο sniffer. Δημιουργήθηκε το 1987. Από τότε διατηρείται και βελτιώνεται αλλά παραμένει ουσιαστικά αμετάβλητο, τουλάχιστον με τον τρόπο που χρησιμοποιείται. Είναι προ-εγκατεστημένο σε σχεδόν κάθε λειτουργικό σύστημα που μοιάζει με Unix και έχει γίνει το de facto πρότυπο όταν κάποιος χρειάζεται ένα γρήγορο εργαλείο για τη λήψη πακέτων. Το Tcpdump χρησιμοποιεί τη βιβλιοθήκη libpcap για την πραγματική δέσμευση πακέτων.
Από προεπιλογή. Το tcpdump καταγράφει όλη την κίνηση στην καθορισμένη διεπαφή και "ξεχειλίζει" το - εξ ου και το όνομά της - στην οθόνη. Η χωματερή μπορεί επίσης να διοχετευθεί σε ένα αρχείο καταγραφής και να αναλυθεί αργότερα χρησιμοποιώντας ένα ή συνδυασμό από διάφορα διαθέσιμα εργαλεία. Ένα κλειδί για τη δύναμη και τη χρησιμότητα του tcpdump είναι η δυνατότητα εφαρμογής όλων των ειδών φίλτρων και η τροφοδοσία της παραγωγής του σε grep -ένα άλλο κοινό βοηθητικό πρόγραμμα γραμμής εντολών Unix-για περαιτέρω φιλτράρισμα. Κάποιος με καλή γνώση του tcpdump, grep και του κελύφους εντολών μπορεί να το καταφέρει να συλλάβει ακριβώς τη σωστή κυκλοφορία για οποιαδήποτε εργασία εντοπισμού σφαλμάτων.
3. Windump
Το Windump είναι ουσιαστικά μόνο ένα λιμάνι του tcpdumpτην πλατφόρμα Windows. Ως εκ τούτου, συμπεριφέρεται με τον ίδιο τρόπο. Δεν είναι ασυνήθιστο να βλέπετε τέτοιες θύρες επιτυχημένων προγραμμάτων κοινής ωφέλειας από τη μια πλατφόρμα στην άλλη. Το Windump είναι μια εφαρμογή των Windows, αλλά μην περιμένετε ένα φανταχτερό GUI. Πρόκειται για ένα βοηθητικό πρόγραμμα γραμμής εντολών. Επομένως, η χρήση του Windump είναι βασικά η ίδια με τη χρήση του αντίστοιχου Unix. Οι επιλογές γραμμής εντολών είναι οι ίδιες και τα αποτελέσματα είναι σχεδόν ταυτόσημα. Η έξοδος από το Windump μπορεί επίσης να αποθηκευτεί σε ένα αρχείο για μεταγενέστερη ανάλυση με ένα εργαλείο τρίτου μέρους.
Μια μεγάλη διαφορά με το tcpdump είναι ότι Windumpδεν είναι ενσωματωμένο στα Windows. Θα πρέπει να το κατεβάσετε από την ιστοσελίδα Windump. Το λογισμικό παραδίδεται ως εκτελέσιμο αρχείο και δεν απαιτεί εγκατάσταση. Ωστόσο, όπως και το tcpdump χρησιμοποιεί τη βιβλιοθήκη libpcap, το Windump χρησιμοποιεί το Winpcap το οποίο, όπως και οι περισσότερες βιβλιοθήκες των Windows, πρέπει να κατεβάσει και να εγκαταστήσει ξεχωριστά.
4. Wireshark
Το Wireshark είναι η αναφορά στα sniffers πακέτων. Έχει γίνει το de-facto πρότυπο και τα περισσότερα άλλα εργαλεία τείνουν να το μιμηθούν. Αυτό το εργαλείο όχι μόνο θα αποτυπώνει την κυκλοφορία, αλλά θα έχει επίσης πολύ ισχυρές δυνατότητες ανάλυσης. Τόσο ισχυρό ώστε πολλοί διαχειριστές θα χρησιμοποιήσουν το tcpdump ή το Windump για να καταγράψουν την κυκλοφορία σε ένα αρχείο και στη συνέχεια να φορτώσουν το αρχείο στο Wireshark για ανάλυση. Αυτός είναι ένας τόσο συνηθισμένος τρόπος να χρησιμοποιείτε το Wireshark ότι κατά την εκκίνηση, θα σας ζητηθεί είτε να ανοίξετε ένα υπάρχον αρχείο pcap είτε να ξεκινήσετε τη λήψη της κυκλοφορίας. Μια άλλη δύναμη του Wireshark είναι όλα τα φίλτρα που ενσωματώνει, τα οποία σας επιτρέπουν να μηδενίζετε ακριβώς τα δεδομένα που σας ενδιαφέρουν.
Για να είμαι απόλυτα ειλικρινής, αυτό το εργαλείο έχει μια απότομηκαμπύλη μάθησης, αλλά αξίζει να μάθει. Θα αποδειχθεί ανεκτίμητη ξανά και ξανά. Και μόλις το μάθετε, θα μπορείτε να το χρησιμοποιείτε παντού, καθώς έχει μεταφερθεί σε σχεδόν κάθε λειτουργικό σύστημα και είναι ελεύθερο και ανοιχτό.
5. tshark
Το Tshark είναι σαν ένα σταυρό ανάμεσα στο tcpdumpκαι Wireshark. Αυτό είναι ένα μεγάλο πράγμα, καθώς είναι μερικά από τα καλύτερα sniffers πακέτων εκεί έξω. Το Tshark είναι σαν το tcpdump, επειδή είναι ένα μόνο εργαλείο γραμμής εντολών. Αλλά είναι επίσης σαν το Wireshark στο ότι όχι μόνο συλλαμβάνει αλλά και αναλύει την κυκλοφορία. Το Tshark προέρχεται από τους ίδιους προγραμματιστές όπως το Wireshark. Είναι, λίγο πολύ, η έκδοση γραμμής εντολών του Wireshark. Χρησιμοποιεί τον ίδιο τύπο φιλτραρίσματος όπως το Wireshark και μπορεί επομένως να απομονώνει γρήγορα μόνο την κυκλοφορία που χρειάζεται να αναλύσετε.
Αλλά γιατί, μπορείτε να ρωτήσετε, θα ήθελε κάποιος aέκδοση γραμμής εντολών του Wireshark; Γιατί όχι μόνο να χρησιμοποιήσετε το Wireshark; με τη γραφική διεπαφή της, πρέπει να είναι πιο απλή στη χρήση και να μάθει; Ο κύριος λόγος είναι ότι θα σας επιτρέψει να το χρησιμοποιήσετε σε διακομιστή που δεν είναι GUI.
6. Ορυχείο δικτύου
Το δίκτυο Miner είναι περισσότερο ένα εγκληματολογικό εργαλείο περισσότεροαπό ένα πραγματικό πακέτο sniffer. Το Network Miner θα ακολουθήσει μια ροή TCP και θα ανασυγκροτήσει μια ολόκληρη συνομιλία. Είναι πραγματικά ένα ισχυρό εργαλείο. Μπορεί να λειτουργήσει σε λειτουργία εκτός σύνδεσης, όπου θα εισάγετε κάποιο αρχείο καταγραφής για να αφήσετε το Network Miner να λειτουργήσει τη μαγεία του. Αυτό είναι ένα χρήσιμο χαρακτηριστικό, καθώς το λογισμικό εκτελείται μόνο στα Windows. Θα μπορούσατε να χρησιμοποιήσετε το tcpdump στο Linux για να καταγράψετε κάποια κίνηση και το Network Miner στα Windows για να το αναλύσετε.
Το Network Miner είναι διαθέσιμο σε δωρεάν έκδοση, αλλά,για τις πιο εξελιγμένες λειτουργίες όπως η γεωγραφική τοποθέτηση βάσει IP και η δημιουργία σεναρίων, θα χρειαστεί να αγοράσετε μια επαγγελματική άδεια. Μια άλλη προηγμένη λειτουργία της επαγγελματικής έκδοσης είναι η δυνατότητα αποκωδικοποίησης και αναπαραγωγής κλήσεων VoIP.
7. Fiddler (HTTP)
Κάποιοι από τους πιο γνωστούς αναγνώστες μας θα μπορούσανυποστηρίζουν ότι το Fiddler δεν είναι παγιδευτής πακέτων ούτε είναι ένας αναλυτής δικτύου. Είναι πιθανώς σωστά, αλλά θεωρήσαμε ότι πρέπει να συμπεριλάβουμε αυτό το εργαλείο στη λίστα μας, καθώς είναι πολύ χρήσιμο σε πολλές περιπτώσεις. Το Fiddler θα καταγράψει στην πραγματικότητα την κυκλοφορία, αλλά όχι οποιαδήποτε κίνηση. Λειτουργεί μόνο με την επισκεψιμότητα HTTTP. Μπορείτε να φανταστείτε πόσο πολύτιμο μπορεί να είναι παρά τον περιορισμό του, όταν θεωρείτε ότι πολλές εφαρμογές σήμερα είναι web-based ή χρησιμοποιούν το πρωτόκολλο HTTP στο παρασκήνιο. Και δεδομένου ότι ο Fiddler θα συλλάβει όχι μόνο την κίνηση του προγράμματος περιήγησης, αλλά ακριβώς για οποιοδήποτε HTTP, είναι πολύ χρήσιμο στην αντιμετώπιση προβλημάτων
Το πλεονέκτημα ενός εργαλείου όπως το Fiddler πάνω σε ένα bonafide sniffer πακέτων όπως, για παράδειγμα, Wireshark, είναι ότι ο Fiddler χτίστηκε για να «κατανοήσει» την κίνηση HTTP. Θα ανακαλύψει, για παράδειγμα, cookies και πιστοποιητικά. Θα βρείτε επίσης πραγματικά δεδομένα που προέρχονται από εφαρμογές που βασίζονται σε HTTP. Το Fiddler είναι δωρεάν και είναι διαθέσιμο μόνο για τα Windows, παρόλο που το beta αναπτύσσεται για OS X και Linux (χρησιμοποιώντας το πλαίσιο Mono).
συμπέρασμα
Όταν δημοσιεύουμε λίστες σαν αυτό, είμαστε συχνάρώτησε ποια είναι η καλύτερη. Σε αυτή τη συγκεκριμένη περίπτωση, αν μου ζητηθεί αυτή η ερώτηση, θα έπρεπε να απαντήσω "όλοι". Είναι όλα ελεύθερα εργαλεία και όλα έχουν την αξία τους. Γιατί να μην τα έχετε όλα και να εξοικειωθείτε με τον καθένα. Όταν φτάσετε σε μια κατάσταση όπου πρέπει να τα χρησιμοποιήσετε, θα είναι πολύ πιο εύκολη και αποτελεσματική. Ακόμη και τα εργαλεία γραμμής εντολών έχουν τεράστια αξία. Για παράδειγμα, μπορούν να γραφτούν και προγραμματιστούν. Φανταστείτε ότι έχετε ένα πρόβλημα που συμβαίνει στις 2:00 π.μ. καθημερινά. Θα μπορούσατε να προγραμματίσετε μια εργασία για να εκτελέσετε το tcpdump του Windump μεταξύ 1:50 και 2:10 και να αναλύσετε το αρχείο σύλληψης το επόμενο πρωί. Δεν χρειάζεται να μένεις όλη τη νύχτα.
Σχόλια