Wireshark, joka tunnettiin aiemmin nimellä eteerinen, on ollut olemassa jo 20 vuotta. Jos ei paras, se on varmasti suosituin verkonhaukaisuväline. Aina, kun paketti-analyysin tarve syntyy, tämä on usein useimpien järjestelmänvalvojien työkalu. Kuitenkin niin hyvä kuin Wireshark voi olla, siellä on monia vaihtoehtoja. Jotkut teistä saattavat ihmetellä, mikä on vialla Wireshark se oikeuttaisi korvaamaan sen. Ollakseni täysin rehellinen, siinä ei ole mitään vikaa Wireshark ja jos olet jo onnellinen käyttäjä, en näe mitäänsyy siihen, miksi sinun täytyy muuttaa. Toisaalta, jos olet uusi kohtaus, saattaa olla hyvä idea tarkastella käytettävissä olevaa tietoa ennen ratkaisun valitsemista. Autamme sinua, olemme koonneet tämän luettelon parhaista Wireshark vaihtoehtoja.
Aloitamme tutkimuksemme tarkastelemalla sitä Wireshark. Loppujen lopuksi, jos haluamme ehdottaa vaihtoehtoja,voimme yhtä hyvin tutustua tuotteeseen ainakin vähän. Keskustelemme sitten lyhyesti siitä, millaiset paketinhaastajat - tai verkkoanalysaattorit, kuten niitä usein kutsutaan - ovat. Koska pakettien haastattajat voivat olla suhteellisen monimutkaisia, vietetään sitten aikaa keskustelemaan niiden käytöstä. Tämä ei suinkaan ole täydellinen opetusohjelma, mutta sen pitäisi antaa sinulle tarpeeksi taustatietoa paremmin arvioida tulevia tuotearvioita. Tuotearvosteluista puhutaan seuraavasta. Olemme tunnistaneet useita hyvin erilaisia tuotteita, jotka voivat olla hyvä vaihtoehto Wiresharkille, ja esittelemme niiden parhaat ominaisuudet.
Tietoja Wiresharkista
Ennen Wireshark, markkinoilla oli käytännössä yksi paketinhaku, jota kutsuttiin osuvasti Narkomaani. Se oli erinomainen tuote, josta kärsiyksi merkittävä haittapuoli, sen hinta. 90-luvun lopulla tuote oli noin 1500 dollaria, mikä oli enemmän kuin monilla oli varaa. Tämä sai aikaan eteerinen UMKC: n tutkinnon suorittaneen ilmaisena ja avoimen lähdekoodin paketinhakijana Gerald Combs kuka on edelleen Wireshark kaksikymmentä vuotta myöhemmin. Puhu vakavasta sitoutumisesta.
Tänään, Wireshark on tullut VIITE pakettien haastajissa. Se on tosiasiallinen standardi, ja useimmilla muilla työkaluilla on taipumus jäljitellä sitä. Wireshark pohjimmiltaan tekee kaksi asiaa. Ensinnäkin se kaappaa kaiken liikenteen, jota se näkee sen rajapinnalla. Mutta se ei lopu tähän, tuotteella on myös melko tehokkaat analysointiominaisuudet. Työkalun analyysiominaisuudet ovat niin hyvät, että ei ole harvinaista, että käyttäjät käyttävät muita työkaluja pakettien sieppaamiseen ja tekevät analyysin käyttämällä Wireshark. Tämä on niin yleinen käyttötapa Wireshark että käynnistyksen yhteydessä sinua kehotetaan joko avaamaan olemassa oleva sieppaustiedosto tai aloittamaan liikenteen sieppaaminen. Toinen vahvuus Wireshark ovat kaikki sen sisältämät suodattimet, joiden avulla voit nollata tarkasti haluamasi tiedot.
Tietoja verkkoanalyysityökaluista
Vaikka asia on ollut avoinna keskustelulle vartenjonkin aikaa tämän artikkelin vuoksi oletamme, että termit ”paketinhaku” ja “verkkoanalysaattori” ovat samat. Jotkut väittävät, että ne ovat kaksi erilaista käsitettä, ja vaikka ne saattavat olla oikeassa, tarkastelemme niitä yhdessä, jos vain yksinkertaisuuden vuoksi. Loppujen lopuksi, vaikka ne voivat toimia eri tavalla - mutta ovatko ne todella? -, he palvelevat samanlaista tarkoitusta.
Packet Sniffers tekevät olennaisesti kolme asiaa. Ensinnäkin, ne kaappaavat kaikki datapaketit saapuessaan verkkoon tai poistuessaan siitä. Toiseksi, ne käyttävät valinnaisesti suodattimia joidenkin pakettien ohittamiseksi ja muiden tallentamiseksi levylle. Sitten he suorittavat jonkinlaisen analyysin kaapatusta tiedosta. Juuri viimeisessä tehtävässä suurin osa tuotteiden välisistä eroista on.
Suurin osa pakettien haastajista luottaa ulkoiseen moduuliindatapakettien varsinaista sieppausta varten. Yleisimmät ovat libpcap Unix / Linux-järjestelmissä ja Winpcap Windowsissa. Sinun ei yleensä tarvitse asentaa näitä työkaluja, koska ne yleensä asentaa pakettien hävittäjän asentajat.
Toinen tärkeä asia tietää, että se on yhtä hyväja hyödyllisiä sellaisina kuin ne ovat, Packet Sniffers ei tee kaikkea puolestasi. Ne ovat vain työkaluja. Voit ajatella niitä vasaralla, joka yksinkertaisesti ei aja naulaa itsestään. Sinun on varmistettava, että opit käyttämään kutakin työkalua parhaiten. Pakettihavaitsija antaa sinun analysoida sieppaamansa liikenteen, mutta sinun on varmistettava, että se kaappaa oikeat tiedot ja käyttää sitä etuna. Pakettien sieppaustyökaluista on kirjoitettu kokonaisia kirjoja. Otin kerran kolmen päivän kurssin aiheesta.
Packet Sniffer -sovelluksen käyttäminen
Kuten olemme juuri todenneet, paketinhakuista tuleekaappaa ja analysoi liikennettä. Siksi, jos yrität tehdä vianmääritystä tietystä ongelmasta - tyypillisestä käytöstä tällaiselle työkalulle, sinun on ensin tehtävä se, että varmistat, että vangitsemasi liikenne on oikeaa liikennettä. Kuvittele tapaus, jossa jokainen tietyn sovelluksen käyttäjä valittaa sen hitaudesta. Tällaisessa tilanteessa sinun kannattaa todennäköisesti olla liikenteen sieppaaminen sovelluspalvelimen verkkoliittymästä, koska vaikutus vaikuttaa jokaiseen käyttäjään. Saatat sitten ymmärtää, että pyynnöt saapuvat palvelimelle normaalisti, mutta palvelimen vie vastausten lähettäminen kauan. Se merkitsee palvelimen viivettä kuin verkkoyhteysongelmaa.
Toisaalta, jos näet palvelimenvastaaminen pyyntöihin ajoissa voi tarkoittaa, että ongelma on jossain asiakkaan ja palvelimen välisessä verkossa. Siirtäisit sitten paketinhakijasi yhden hypyn lähemmäksi asiakasta ja katsotko vastaukset viivästyvät. Jos ei, siirryt enemmän hyppyä lähemmäksi asiakasta ja niin edelleen ja niin edelleen. Lopulta pääset kohtaan, jossa viiveitä tapahtuu. Ja kun olet tunnistanut ongelman sijainnin, olet yksi iso askel lähempänä sen ratkaisua.
Katsotaanpa kuinka pystymme kaapaamaan paketteja osoitteessaverkon tietty piste. Yksi yksinkertainen tapa suorittaa tämä on hyödyntää useimpien verkkokytkinten ominaisuutta, nimeltään portin peilaus tai replikaatio. Tämä kokoonpanovaihtoehto kopioi kaiken tietyn kytkinportin sisään- ja ulos suuntautuvan liikenteen toiseen saman kytkimen porttiin. Esimerkiksi, jos palvelimesi on kytketty kytkimen porttiin 15 ja saman kytkimen portti 23 on käytettävissä. Yhdistät pakettihahmon porttiin 23 ja määrität kytkimen replikoimaan kaiken liikenteen porttiin 15 ja porttiin 23.
Paras Wireshark-vaihtoehto
Nyt ymmärrät paremmin mitä Wireshark ja muut paketinhaastajat ja verkkoanalysaattoritkatsotaan mitä vaihtoehtoisia tuotteita siellä on. Luettelomme sisältää sekoituksen komentorivi- ja GUI-työkaluja sekä työkaluja, jotka toimivat eri käyttöjärjestelmissä.
1. SolarWinds Deep Packet Inspection and Analysis -työkalu (ILMAINEN KOKEILU)
SolarWinds on tunnettu huipputeknisistä verkonhallintatyökaluista. Yhtiö on toiminut noin 20 vuotta ja tuonut meille useita hienoja työkaluja. Sen lippulaivatuote nimeltään SolarWinds-verkon suorituskyvyn näyttö on useimpien tunnustettu yhdeksi parhaimmista verkon kaistanleveyden valvontatyökaluista. SolarWinds on myös kuuluisa valmistamalla kourallinen erinomaisia ilmaisia työkaluja, joista jokainen vastaa verkonvalvojien erityistarpeisiin. Kaksi esimerkkiä näistä välineistä ovat SolarWinds TFTP-palvelin ja Advanced Subnet Laskin.
Mahdollisena vaihtoehtona Wireshark- ja ehkä parhaana vaihtoehtona, koska se on niin erilainen työkalu -SolarWinds ehdottaa Syvä pakettivalvonta- ja analysointityökalu. Se tulee osa SolarWinds-verkon suorituskyvyn näyttö. Sen toiminta on aivan erilainen kuin "perinteisempi" pakettien hauskaaja, vaikka se palvelee samanlaista tarkoitusta.
- Ilmainen kokeilu: SolarWinds-verkon suorituskyvyn näyttö
- Virallinen latauslinkki: https://www.solarwinds.com/network-performance-monitor/registration
Ja Syvä pakettivalvonta- ja analysointityökalu ei ole pakettien haastaja tai verkkoanalysaattori, mutta se auttaa sinua löytämään ja ratkaisemaan verkon viiveiden syyn, tunnistamaan vaikutuksen saaneet sovellukset ja selvittämään, johtuuko verkon vai sovelluksen hitaudesta. Koska sillä on samanlainen tarkoitus kuin Wiresharkilla, tunsimme ansaitsevan olla tässä luettelossa. Työkalu käyttää syvän paketin tarkastustekniikoita vasteajan laskemiseen yli kaksitoista sataa sovellusta. Se luokittelee myös verkkoliikenteen luokan (esim. Liiketoiminta vs. sosiaalinen) ja riskitason perusteella. Tämä voi auttaa tunnistamaan muun kuin liikeyrityksen liikenteen, josta voi olla hyötyä suodattamisesta tai jollakin tavalla hallinnasta tai eliminoinnista.
Ja Syvä pakettivalvonta- ja analysointityökalu on olennainen osa Verkon suorituskyvyn näyttö tai NPM kuten sitä usein kutsutaan, mikä itsessään onvaikuttava ohjelmisto, jossa on niin paljon komponentteja, että siitä voidaan kirjoittaa kokonainen artikkeli. Se on täydellinen verkonvalvontaratkaisu, joka yhdistää joitain parhaista tekniikoista, kuten SNMP ja syvä pakettivalvonta, tarjoamaan mahdollisimman paljon tietoa verkon tilasta.
Hinnat SolarWinds-verkon suorituskyvyn näyttö joka sisältää Syvä pakettivalvonta- ja analysointityökalu alkaa 2 955 dollarista jopa 100 valvotulle elementilleja nousee valvottujen elementtien lukumäärän mukaan. Työkalulla on saatavana 30 päivän ilmainen kokeiluversio, joten voit varmistaa, että se todella vastaa tarpeitasi ennen sitoutumista sen ostamiseen.
2. tcpdump
tcpdump on todennäköisesti alkuperäinen paketinhaku. Se luotiin vuonna 1987. Se on yli kymmenen vuotta aikaisemmin Wireshark ja jopa ennen Snifferiä. Alkuperäisen julkaisunsa jälkeen työkalua on ylläpidetty ja parannettu, mutta se pysyy olennaisesti muuttumattomana. Työkalun käyttötapa ei ole muuttunut paljon sen kehityksen myötä. Se on asennettavissa käytännöllisesti katsoen jokaiseen Unixin kaltaiseen käyttöjärjestelmään, ja siitä on tullut tosiasiallinen standardi nopeaan työkaluun pakettien sieppaamiseksi. Kuten useimmat samanlaiset tuotteet * nix-alustoilla, tcpdump käyttää libpcap-kirjastoa todelliseen paketti sieppaukseen.
Verkkotunnuksen oletustoiminto tcpdump on suhteellisen yksinkertainen. Se kaappaa kaiken määritellyn käyttöliittymän liikenteen ja "upottaa" sen - tästä johtuen sen nimen - näytölle. Koska olet vakio * nix-työkalu, voit liittää tulosteen sieppaustiedostoon analysoitavaksi myöhemmin valitsemallasi analyysityökalulla. Itse asiassa ei ole harvinaista, että käyttäjät kaappaavat liikennettä tcpdumpilla myöhempää analysointia varten Wiresharkissa. Yksi avaimista tcpdumpVahvuus ja hyödyllisyys on mahdollisuuskäytä suodattimia ja / tai pipetoi sen ulostulo grepiin - toiseen yleiseen * nix-komentoriviohjelmaan - lisäsuodattamista varten. Joku tcpdump, grep ja komentokuori hallitsevat voivat saada sen kaappaamaan tarkalleen oikean liikenteen mihin tahansa virheenkorjaustehtäviin.
3. Windump
Pähkinänkuoressa, Windump on tcpdump-portti Windows-käyttöympäristöön. Sellaisena se käyttäytyy suurin piirtein samalla tavalla. Tämä tarkoittaa, että se tuo suuren osan tcpdump-toiminnoista Windows-pohjaisiin tietokoneisiin. Windump saattaa olla Windows-sovellus, mutta älä odota hienoa käyttöliittymää. Se on tcpdump Windowsissa ja sellaisenaan se on vain komentoriviohjelma.
käyttämällä Windump on periaatteessa sama kuin sen * nix-vastineen käyttö. Komentorivivalinnat ovat melkein samat ja tulokset ovat myös melkein samat. Aivan kuten tcpdump, tulosteet Windump voidaan myös tallentaa tiedostoon myöhempää analysointia varten kolmannen osapuolen työkalulla. Grepiä ei kuitenkaan yleensä ole saatavana Windows-tietokoneella, mikä rajoittaa työkalun suodatusmahdollisuuksia.
Toinen tärkeä ero tcpdump ja Windump on se niin helposti saatavissa käyttöjärjestelmän pakettivarastosta. Ohjelmisto on ladattava Windump verkkosivusto. Se toimitetaan suoritettuna tiedostona, eikä se vaadi asennusta. Sellaisena se on kannettava työkalu, joka voidaan käynnistää USB-avaimesta. Kuitenkin, kuten tcpdump käyttää libpcap-kirjastoa, Windump käyttää Winpcapia, joka on ladattava ja asennettava erikseen.
4. Tshark
Voit ajatella Tshark ristinä tcpdump ja Wireshark mutta todellisuudessa se on enemmän tai vähemmän komentoriviversio Wireshark. Se on samalta kehittäjältä kuin Wireshark. Tshark karhut muistuttavat tcpdumpia siinä mielessä, että se on vain komentorivityökalu. Mutta se on myös Wireshark siinä, että se ei vain vangitse liikennettä. Sillä on myös samat tehokkaat analyysiominaisuudet kuin Wireshark ja käyttää samantyyppistä suodatusta. Siksi se voi eristää nopeasti tarkan analysoitavan liikenteen.
Tshark herättää kuitenkin yhden kysymyksen. Miksi kukaan haluaisi komentoriviversion Wireshark? Miksi et vain käytä Wireshark? Suurin osa järjestelmänvalvojista - itse asiassa useimmat ihmiset - haluaisiovat yhtä mieltä siitä, että yleisesti ottaen graafisten käyttöliittymien avulla työkaluja on usein helpompi käyttää ja oppia sekä intuitiivisempia ja käyttäjäystävällisempiä. Loppujen lopuksi, eikö niin, miksi graafisista käyttöjärjestelmistä tuli niin suosittuja? Tärkein syy siihen, miksi kuka tahansa valitsee Tshark yli Wireshark on, kun he vain haluavat tehdä nopean kaappauksensuoraan palvelimella vianetsintää varten. Ja jos epäilet palvelimen suorituskykyongelmaa, kannattaa ehkä käyttää muuta kuin GUI-työkalua, koska se voi verottaa resursseja vähemmän.
5. Network Miner
Network Miner on enemmän oikeuslääketieteellinen työkalu kuin paketinhakutai verkkoanalysaattori. Tämä työkalu seuraa TCP-virtaa ja voi rekonstruoida koko keskustelun. Se on todella tehokas työkalu liikenteen syvälliseen analysointiin, vaikkakin se voi olla vaikea hallita. Työkalu voi toimia offline-tilassa, jossa tuodaan sieppaustiedosto - mahdollisesti luotu jollain muilla tarkistetuilla työkaluilla - ja annetaan Network Miner toimimaan sen taikuutta. Koska ohjelmisto toimii vain Windowsissa, mahdollisuus työskennellä sieppaustiedostoista on varmasti plus. Voit esimerkiksi käyttää Linuxissa tcpdump-sovellusta liikenteen sieppaamiseen ja Windowsin Network Miner -sovellusta sen analysointiin.
Network Miner on saatavana ilmaisena versiona, mutta enemmänedistyneitä ominaisuuksia, kuten IP-osoitteeseen perustuva paikannus ja komentosarjojen tekeminen, sinun on ostettava Professional-lisenssi, joka maksaa sinulle 900 dollaria. Toinen ammattimaisen version edistynyt toiminto on mahdollisuus purkaa ja toistaa VoIP-puhelut.
6. Pelimanni
Jotkut lukijoistamme - etenkin tietoisempia - houkuttelevat väittämään tämän Pelimanni, viimeinen merkintömme, ei ole pakettien haastaja eikäverkkoanalysaattori. Ollakseni rehellinen, he saattavat hyvinkin olla oikeassa, mutta silti tunsimme, että meidän pitäisi sisällyttää tämä työkalu luetteloomme, koska se voi olla erittäin hyödyllinen useissa eri tilanteissa.
Ensinnäkin, asetetaan asiat suoraan, Pelimanni todella tallentaa liikennettä. Se ei kuitenkaan kaappaa vain liikennettä. Se toimii vain HTTP-liikenteen kanssa. Tästä rajoituksesta huolimatta, kun ajatellaan, että niin monet sovellukset ovat nykyään verkkopohjaisia tai käyttävät HTTP-protokollaa taustalla, on helppo nähdä, kuinka arvokkaita, kuten työkalu, voi olla. Ja koska työkalu ei kaappaa selainliikennettä, vaan melkein mitä tahansa HTTP: tä, se voi olla erittäin hyödyllinen vianmäärityksessä erityyppisissä sovelluksissa.
Tärkein etu työkalusta kuten Pelimanni Wiresharkin kaltaisen "totta" paketinhaastaja onettä se on rakennettu ymmärtämään HTTP-liikennettä. Se löytää esimerkiksi evästeet ja sertifikaatit. Se löytää myös HTTP-pohjaisista sovelluksista tulevat todelliset tiedot. Pelimanni on ilmainen ja se on saatavana vain Windowsille. Beta-versiot OS X: lle ja Linuxille (käyttäen Mono-kehystä) voidaan kuitenkin ladata.
Kommentit