- - Paras pakettihauskaaja ja verkkoanalysaattori - Top 7, arvostettu vuonna 2019

Parhaat pakettien hävittäjät ja verkkoanalysaattorit - Top 7, arvostettu vuonna 2019

Pakettien nuuskaaminen on syvä verkkoanalyysi, jossa verkkoliikenteen yksityiskohdat dekoodataan analysoitavaksi. Se on yksi tärkeimmistä vianetsintätaidoista, jotka verkon ylläpitäjillä tulisi olla. Verkkoliikenteen analysointi on monimutkainen tehtävä. Luotettamattomien verkkojen selvittämiseksi tietoja ei lähetetä yhtenä jatkuvana virrana. Sen sijaan se pilkotaan erikseen lähetettäviksi palasiksi. Verkkoliikenteen analysointiin sisältyy kyky kerätä nämä datapaketit ja koota ne uudelleen jotain merkityksellistä. Tätä ei voi tehdä manuaalisesti, joten paketinhakija ja verkkoanalysaattori luotiin. Tänään katsomme seitsemää parasta pakettien haastajaa ja verkkoanalysaattoria.

Aloitamme tänään matkan antamalla sinullejoitain taustatietoja siitä, mitä paketinhakuista on. Yritämme selvittää, mikä ero on - tai jos on eroa - paketinhakijan ja verkkoanalysaattorin välillä. Siirrymme sitten aiheemme ytimeen, luettelon lisäksi myös lyhyesti jokaisen seitsemän valintaamme. Mitä meillä on sinulle, on yhdistelmä GUI-työkaluja ja komentorivipalveluita, jotka toimivat eri käyttöjärjestelmissä.

Muutamia sanoja pakettihavottajista ja verkkoanalysaattoreista

Aloitetaan ratkaisemalla jotain. Tämän artikkelin vuoksi oletamme, että paketinhakija ja verkkoanalysaattori ovat samoja. Jotkut väittävät, että he ovat erilaisia ​​ja heillä voi olla oikeus. Mutta tämän artikkelin yhteydessä tarkastellaan niitä yhdessä, lähinnä siksi, että vaikka ne saattavat toimia eri tavalla - mutta toimivatko he todella? - He palvelevat samaa tarkoitusta.

Packet-nuuskijat tekevät yleensä kolme asiaa. Ensinnäkin, ne kaappaavat kaikki datapaketit saapuessaan tai poistuessaan verkkoliittymästä. Toiseksi, ne käyttävät valinnaisesti suodattimia joidenkin pakettien ohittamiseksi ja muiden tallentamiseksi levylle. Sitten he suorittavat jonkinlaisen analyysin kaapatusta tiedosta. Juuri pakettien haastajien viimeisessä toiminnassa ne eroavat toisistaan ​​eniten.

Suurin osa datapakettien varsinaisesta sieppauksestatyökalut käyttävät ulkoista moduulia. Yleisimmät ovat libpcap Unix / Linux-järjestelmissä ja Winpcap Windowsissa. Sinun ei yleensä tarvitse asentaa näitä työkaluja, koska ne asentavat yleensä eri työkaluasentajat.

Toinen tärkeä asia tietää, että pakettiTuoksuttajat - jopa paras - eivät tee kaikkea puolestasi. Ne ovat vain työkaluja. Se on kuin vasara, joka ei aja itse mitään naulaa. Joten, sinun on varmistettava, että opit kuinka parhaiten käyttää kutakin työkalua. Pakettihahmo antaa vain nähdä liikenteen, mutta sinun on käyttää näitä tietoja ongelmien löytämiseen. Pakettien sieppaustyökalujen käytöstä on ollut kokonaisia ​​kirjoja. Minä itse suoritin kerran kolmen päivän kurssin aiheesta. En yritä lannistaa sinua. Yritän vain asettaa odotuksesi suoraan.

Kuinka käyttää Packet Sniffer -sovellusta

Kuten olemme selittäneet, pakettien haastaja vangitseeja analysoida liikennettä. Joten jos yrität tehdä vianmääritystä tietystä ongelmasta - jonka takia käytit yleensä tällaista työkalua -, sinun on ensin varmistettava, että sieppaamasi liikenne on oikeaa liikennettä. Kuvittele tilanne, jossa kaikki käyttäjät valittavat tietyn sovelluksen hitaudesta. Tällaisessa tilanteessa sinun kannattaa todennäköisesti olla liikenteen sieppaaminen sovelluspalvelimen verkkokäyttöliittymässä. Saatat sitten ymmärtää, että pyynnöt saapuvat palvelimelle normaalisti, mutta palvelimen vie vastausten lähettäminen kauan. Se osoittaisi palvelinongelmaa.

Jos toisaalta näet palvelimenJos vastaat ajoissa, se tarkoittaa mahdollisesti, että ongelma on jossain asiakkaan ja palvelimen välisessä verkossa. Siirtäisit sitten paketinhakijasi yhden hypyn lähemmäksi asiakasta ja katsotko vastaukset viivästyvät. Jos ei, siirryt enemmän hyppyä lähemmäksi asiakasta ja niin edelleen ja niin edelleen. Lopulta pääset kohtaan, jossa viiveitä tapahtuu. Ja kun olet tunnistanut ongelman sijainnin, olet yksi iso askel lähempänä sen ratkaisua.

Nyt saatat ihmetellä, kuinka onnistumme sieppaamaanpaketit tietyssä pisteessä. Se on melko yksinkertaista. Hyödynnämme useimpien verkkokytkimien ominaisuutta, jota kutsutaan porttien peiliksi tai replikaatioiksi. Tämä on kokoonpanovaihtoehto, joka replikoi kaiken tietyn kytkinportin sisään- ja ulos suuntautuvan liikenteen toiseen saman kytkimen porttiin. Oletetaan, että palvelimesi on kytketty kytkimen porttiin 15 ja saman kytkimen portti 23 on käytettävissä. Yhdistät pakettihakkurin porttiin 23 ja määrität kytkimen toistamaan kaiken liikenteen portista 15 porttiin 23. Portin 23 tuloksena saadaan peilikuva - siis portin peilausnimi - siitä, mitä tapahtuu portissa 15.

Paras pakettihautajaiset ja verkkoanalysaattorit

Nyt ymmärrät paremmin mitä pakettinuuskijat ja verkkoanalysaattorit ovat, katsotaanpa mitä ovat seitsemän parasta mitä löysimme. Olemme yrittäneet sisällyttää yhdistelmän komentorivi- ja käyttöliittymätyökaluja sekä työkaluja, jotka toimivat eri käyttöjärjestelmissä. Loppujen lopuksi kaikki verkonvalvojat eivät käytä Windowsia.

1. SolarWinds Deep Packet Inspection and Analysis -työkalu (ILMAINEN KOKEILU)

SolarWinds on tunnettu monista hyödyllisistä ilmaisista työkaluistaan ​​jasen uusinta verkonhallintaohjelmistoa. Yksi sen työkaluista on nimeltään Deep Packet Inspection and Analysis Tool. Se tulee osaksi SolarWindsin lippulaivatuotetta, Network Performance Monitor -tuotetta. Sen toiminta on aivan erilainen kuin "perinteisempi" pakettien hauskaaja, vaikka se palvelee samanlaista tarkoitusta.

SolarWinds-pakettianalyysin kojetaulu

Yhteenveto työkalun toiminnallisuudesta: se auttaa sinua löytämään ja ratkaisemaan verkon viiveiden syyn, tunnistamaan vaikutuksen saaneet sovellukset ja selvittämään, johtuuko verkon vai sovelluksen hitaudesta. Ohjelmisto käyttää myös syvän paketin tarkastustekniikoita vasteajan laskemiseen yli kaksitoista sataa sovellusta. Se luokittelee myös verkkoliikenteen kategorian, liiketoiminnan ja sosiaalisen sekä riskitason perusteella, mikä auttaa sinua tunnistamaan muun kuin liikeyrityksen liikenteen, joka on ehkä suodatettava tai muuten poistettava.

Ja älä unohda, että SolarWinds Deep PacketTarkastus- ja analysointityökalu on osa Network Performace Monitor -sovellusta. NPM, kuten sitä usein kutsutaan, on vaikuttava ohjelmisto, jossa on niin paljon komponentteja, että koko artikkeli voitaisiin omistaa sille. Sen ytimessä se on täydellinen verkonvalvontaratkaisu, jossa yhdistyvät parhaat tekniikat, kuten SNMP ja syvä pakettivalvonta, jotta saadaan mahdollisimman paljon tietoa verkon tilasta. Kohtuuhintaiseen työkaluun sisältyy 30 päivän ilmainen kokeilu, joten voit varmistaa, että se todella vastaa tarpeitasi ennen sitoutumista sen ostamiseen.

Virallinen latauslinkki: https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

Tcpdump on todennäköisesti alkuperäinen paketinhaku. Se luotiin vuonna 1987. Siitä lähtien sitä on ylläpidetty ja parannettu, mutta se pysyy olennaisesti muuttumattomana, ainakin käytön tapaan. Se on esiasennettu käytännössä jokaiseen Unixin kaltaiseen käyttöjärjestelmään ja siitä on tullut tosiasiallinen standardi, kun tarvitaan nopea työkalu pakettien sieppaamiseen. Tcpdump käyttää libpcap-kirjastoa paketin varsinaiseen sieppaukseen.

TCPDump-näyttökuva

Oletuksena. tcpdump kaappaa kaiken tietyn käyttöliittymän liikenteen ja "siirtää" sen - tästä johtuen sen nimen - näytölle. Dumppi voidaan myös siirtää sieppaustiedostoon ja analysoida myöhemmin käyttämällä yhtä tai useamman käytettävissä olevan työkalun yhdistelmää. Avain tcpdump-sovelluksen vahvuuteen ja hyödyllisyyteen on mahdollisuus käyttää kaikenlaisia ​​suodattimia ja suodattaa sen lähtö grep: iin - toiseen yleiseen Unix-komentorivityökaluun - suodattamista varten. Joku, jolla on hyvät tiedot tcpdumpista, grepistä ja komentorivistä, voi saada sen kaappaamaan tarkalleen oikean liikenteen mihin tahansa virheenkorjaustehtäviin.

3. Windump

Windump on pohjimmiltaan vain tcpdump-porttiWindows-alusta. Sellaisena se käyttäytyy suurin piirtein samalla tavalla. Ei ole harvinaista nähdä tällaisia ​​onnistuneiden apuohjelmaportteja yhdeltä alustalta toiselle. Windump on Windows-sovellus, mutta älä odota hienoa käyttöliittymää. Tämä on vain komentoriviohjelma. Siksi Windumpin käyttö on periaatteessa sama kuin sen Unix-vastineen käyttäminen. Komentorivivalinnat ovat samat ja tulokset ovat myös melkein samat. Windumpin tuotos voidaan myös tallentaa tiedostoon myöhempää analysointia varten kolmannen osapuolen työkalulla.

WinDump-ohje

Yksi suuri ero tcpdump-ohjelmaan nähden on se, että Windumpei ole sisäänrakennettu Windowsiin. Sinun on ladattava se Windump-verkkosivustolta. Ohjelmisto toimitetaan suoritettuna tiedostona, eikä se vaadi asennusta. Aivan kuten tcpdump käyttää libpcap-kirjastoa, myös Windump käyttää Winpcap-ohjelmaa, joka, kuten useimmat Windows-kirjastot, on ladattava ja asennettava erikseen.

4. Wireshark

Wireshark on referenssi pakettien haastajissa. Siitä on tullut tosiasiallinen standardi, ja useimmilla muilla työkaluilla on taipumus jäljitellä sitä. Tämä työkalu ei vain kaappaa liikennettä, mutta sillä on myös melko tehokkaat analysointiominaisuudet. Niin voimakas, että monet järjestelmänvalvojat käyttävät tcpdump- tai Windump-tiedostoja liikenteen sieppaamiseen tiedostoon ja lataavat tiedoston Wiresharkiin analysointia varten. Tämä on niin yleinen tapa käyttää Wiresharkia, että käynnistyksen yhteydessä sinua kehotetaan joko avaamaan olemassa oleva pcap-tiedosto tai aloittamaan liikenteen sieppaaminen. Toinen Wiresharkin vahvuus on kaikki sen sisältämät suodattimet, joiden avulla voit nollata tarkasti haluamasi tiedot.

Wireshark-näyttökuva

Ollakseni täysin rehellinen, tämä työkalu on jyrkkäoppimiskäyrä, mutta se on oppimisen arvoinen. Se osoittaa arvokasta toistuvasti. Ja kun olet oppinut sen, voit käyttää sitä kaikkialla, koska se on siirretty melkein jokaiselle käyttöjärjestelmälle ja se on ilmainen ja avoimen lähdekoodin.

5. kirves

Tshark on tavallaan tcpdumpin ristija Wireshark. Tämä on hieno asia, koska ne ovat eräitä parhaimmista pakettien hauskaajista. Tshark on kuin tcpdump siinä mielessä, että se on vain komentorivityökalu. Mutta se on myös kuin Wireshark siinä mielessä, että se ei vain kaappaa, vaan myös analysoi liikennettä. Tshark on samoista kehittäjistä kuin Wireshark. Se on enemmän tai vähemmän Wiresharkin komentoriviversio. Se käyttää samantyyppistä suodatusta kuin Wireshark ja voi sen vuoksi eristää nopeasti vain analysoitavan liikenteen.

Tsharkin tulokset

Mutta miksi, saatat kysyä, kukaan haluaisikomentoriviversio Wiresharkista? Miksi et vain käytä Wiresharkia; graafisen käyttöliittymänsä avulla sen on oltava yksinkertaisempaa käyttää ja oppia? Pääsyy on, että sen avulla voit käyttää sitä muussa kuin GUI-palvelimessa.

6. Network Miner

Network Miner on enemmän oikeuslääketieteellinen työkalu enemmänkuin todellinen paketinhaku. Network Miner seuraa TCP-virtaa ja rekonstruoi koko keskustelun. Se on todella yksi tehokas työkalu. Se voi toimia offline-tilassa, jossa olet tuonut jonkin sieppaustiedoston, jotta Network Miner toimisi taikuudessaan. Tämä on hyödyllinen ominaisuus, koska ohjelmisto toimii vain Windowsissa. Voit käyttää tcpdump-ohjelmaa Linuxissa sieppaamaan liikennettä ja Network Miner -sovellusta Windowsissa analysoimaan sitä.

NetworkMiner-näyttökuva

Network Miner on saatavana ilmaisena versiona, mutta,kehittyneemmille ominaisuuksille, kuten IP-pohjainen paikannus ja komentosarjojen tekeminen, sinun on ostettava Profesional-lisenssi. Toinen ammattimaisen version edistynyt toiminto on mahdollisuus purkaa ja toistaa VoIP-puhelut.

7. Viulu (HTTP)

Jotkut tietävällisemmistä lukijoistamme saattavatväittävät, että Fiddler ei ole pakettien haastaja eikä verkkoanalysaattori. He ovat luultavasti oikeassa, mutta tunsimme, että meidän pitäisi sisällyttää tämä työkalu luetteloomme, koska se on erittäin hyödyllinen monissa tilanteissa. Fiddler kerää liikennettä, mutta ei liikennettä. Se toimii vain HTTTP-liikenteen kanssa. Voit kuvitella, kuinka arvokas se voi olla rajoituksistaan ​​huolimatta, kun ajatellaan, että niin monet sovellukset ovat nykyään verkkopohjaisia ​​tai käyttävät HTTP-protokollaa taustalla. Ja koska Fiddler ei tallenna selainliikennettä, vaan melkein mitä tahansa HTTP: tä, se on erittäin hyödyllinen vianetsinnässä

Fiddler Debugging-näyttökuva

Fiddlerin kaltaisen työkalun etuna bonaan nähdenfide packet sniffer, kuten esimerkiksi Wireshark, on, että Fiddler rakennettiin ”ymmärtämään” HTTP-liikennettä. Se löytää esimerkiksi evästeet ja sertifikaatit. Se löytää myös HTTP-pohjaisista sovelluksista tulevat todelliset tiedot. Fiddler on ilmainen ja se on saatavana vain Windowsille, vaikka OS X: n ja Linuxin beetaversiot (käyttäen Mono-kehystä) voidaan ladata.

johtopäätös

Kun julkaisemme tämänkaltaisia ​​luetteloita, olemme useinkysyi mikä on paras. Tässä erityistilanteessa, jos minulta kysytään sitä kysymystä, minun on vastattava "kaikkiin". Ne ovat kaikki ilmaisia ​​työkaluja ja kaikilla on arvo. Miksei niitä kaikkia olisi käsillä ja tutustu jokaiseen. Kun pääset tilanteeseen, jossa joudut käyttämään niitä, se on paljon helpompaa ja tehokkaampaa. Jopa komentorivityökaluilla on valtava arvo. Ne voidaan esimerkiksi kirjoittaa ja ajastaa. Kuvittele, että sinulla on ongelma, joka tapahtuu klo 2.00 päivittäin. Voit ajoittaa työn suorittamaan tcpdump of Windump välillä 1:50 - 2:10 ja analysoimaan sieppaustiedoston seuraavana aamuna. Sinun ei tarvitse pysyä koko yön.

Lue myös

Mikä on Verkkosniffer ja mihin sitä käytetään?
Tiedostojen löytäminen koon perusteella Windows Explorerin hakusuodattimilla [Vihje]
Sniff, tarkastele ja sieppa verkkosivustolta ladattuja tietoja WebSiteSniffer-ohjelmalla
Tarkastele ja tarkista verkkoliikennettä SmartSniffillä
Paras avoimen lähdekoodin verkonseurantatyökalut
6 parasta vaihtoehtoa Wireshark-pakettien nuhkomiseen
15 parasta verkonseurantatyökalua, jotka testataan vuonna 2019
Parhaat ilmaisvirtakeräimet ja analysaattorit Arvosteltu vuonna 2019
9 parasta verkon vianetsintätyökalua, joita arvioimme vuonna 2019
12 parasta verkonvalvontaohjelmistoa ja -työkalua, arvostettu vuonna 2019
Paras NetFlow-keräilijä ja -analysaattori Windows: tarkistettu vuonna 2019
WireShark - mahtava verkkopakettihautaja

Kommentit