Le reniflage de paquets est un type de réseau profondanalyse dans laquelle les détails du trafic réseau sont décodés pour être analysés. Il s'agit de l'une des compétences de dépannage les plus importantes qu'un administrateur réseau devrait posséder. L'analyse du trafic réseau est une tâche compliquée. Afin de faire face aux réseaux peu fiables, les données ne sont pas envoyées en un seul flux continu. Au lieu de cela, il est découpé en fragments envoyés individuellement. Analyser le trafic réseau implique de pouvoir collecter ces paquets de données et les rassembler en quelque chose de significatif. Ce n'est pas quelque chose que vous pouvez faire manuellement, donc des renifleurs de paquets et des analyseurs de réseau ont été créés. Aujourd'hui, nous examinons sept des meilleurs renifleurs de paquets et analyseurs de réseau.
Nous commençons le voyage d'aujourd'hui en vous donnantquelques informations de base sur ce que sont les renifleurs de paquets. Nous allons essayer de comprendre quelle est la différence - ou s'il y a une différence - entre un renifleur de paquets et un analyseur de réseau. Nous allons ensuite passer au cœur de notre sujet et non seulement énumérer, mais également passer brièvement en revue chacun de nos sept choix. Ce que nous avons pour vous est une combinaison d'outils GUI et d'utilitaires de ligne de commande qui s'exécutent sur différents systèmes d'exploitation.
Quelques mots sur les renifleurs de paquets et les analyseurs de réseau
Commençons par régler quelque chose. Pour les besoins de cet article, nous supposerons que les renifleurs de paquets et les analyseurs de réseau sont une seule et même chose. Certains diront qu'ils sont différents et ils peuvent avoir raison. Mais dans le contexte de cet article, nous les examinerons ensemble, principalement parce que même s'ils peuvent fonctionner différemment - mais le font-ils vraiment? - ils servent le même objectif.
Les renifleurs de paquets font généralement trois choses. Tout d'abord, ils capturent tous les paquets de données lorsqu'ils entrent ou sortent d'une interface réseau. Deuxièmement, ils appliquent éventuellement des filtres pour ignorer certains des paquets et en enregistrer d'autres sur le disque. Ils effectuent ensuite une certaine forme d'analyse des données capturées. C'est dans cette dernière fonction des renifleurs de paquets qu'ils diffèrent le plus.
Pour la capture réelle des paquets de données, la plupartles outils utilisent un module externe. Les plus courants sont libpcap sur les systèmes Unix / Linux et Winpcap sur Windows. Vous n'aurez généralement pas à installer ces outils car ils sont généralement installés par les différents installateurs d'outils.
Une autre chose importante à savoir est que PacketLes renifleurs, même les meilleurs, ne feront pas tout pour vous. Ce ne sont que des outils. C’est comme un marteau qui n’enfonce pas de clou tout seul. Vous devez donc vous assurer d'apprendre à utiliser au mieux chaque outil. Le renifleur de paquets vous permettra simplement de voir le trafic, mais c'est à vous d'utiliser ces informations pour trouver des problèmes. Il y a eu des livres entiers sur l'utilisation des outils de capture de paquets. J'ai moi-même pris une fois un cours de trois jours sur le sujet. Je n'essaye pas de te décourager. J'essaie seulement de mettre vos attentes en ordre.
Comment utiliser un renifleur de paquets
Comme nous l'avons expliqué, un renifleur de paquets captureraet analyser le trafic. Donc, si vous essayez de résoudre un problème spécifique - c'est généralement la raison pour laquelle vous utilisez un tel outil -, vous devez d'abord vous assurer que le trafic que vous capturez est le bon. Imaginez une situation où tous les utilisateurs se plaignent qu'une application particulière est lente. Dans ce type de situation, votre meilleur pari serait probablement de capturer le trafic sur l'interface réseau du serveur d'applications. Vous pouvez alors réaliser que les demandes arrivent normalement sur le serveur mais que le serveur met beaucoup de temps à envoyer des réponses. Cela indiquerait un problème de serveur.
Si, par contre, vous voyez le serveurrépondre en temps opportun, cela signifie peut-être que le problème est quelque part sur le réseau entre le client et le serveur. Vous déplaceriez alors votre renifleur de paquets d'un bond plus près du client et verriez si les réponses sont retardées. Si ce n’est pas le cas, vous vous rapprochez davantage du client, et ainsi de suite. Vous finirez par arriver à l'endroit où des retards se produisent. Et une fois que vous avez identifié l'emplacement du problème, vous êtes un pas de plus vers sa résolution.
Maintenant, vous vous demandez peut-être comment nous réussissons à capturerpaquets à un point spécifique. C'est assez simple, nous profitons d'une fonctionnalité de la plupart des commutateurs réseau appelée miroir de port ou réplication. Il s'agit d'une option de configuration qui répliquera tout le trafic entrant et sortant d'un port de commutateur spécifique vers un autre port du même commutateur. Supposons que votre serveur soit connecté au port 15 d'un commutateur et que le port 23 de ce même commutateur soit disponible. Vous connectez votre renifleur de paquets au port 23 et configurez le commutateur pour répliquer tout le trafic du port 15 vers le port 23. Ce que vous obtenez en conséquence sur le port 23 est une image miroir - d'où le nom de mise en miroir des ports - de ce qui passe par le port 15.
Les meilleurs renifleurs de paquets et analyseurs de réseau
Maintenant que vous comprenez mieux quel paquetles renifleurs et les analyseurs de réseau sont, voyons quels sont les sept meilleurs que nous puissions trouver. Nous avons essayé d'inclure un mélange d'outils de ligne de commande et d'interface graphique ainsi que des outils fonctionnant sur différents systèmes d'exploitation. Après tout, tous les administrateurs réseau n'exécutent pas Windows.
1. Outil d'inspection et d'analyse approfondie des paquets SolarWinds (ESSAI GRATUIT)
SolarWinds est bien connu pour ses nombreux outils gratuits utiles etson logiciel de gestion de réseau de pointe. L'un de ses outils s'appelle l'outil d'inspection et d'analyse approfondie des paquets. Il fait partie du produit phare de SolarWinds, le Network Performance Monitor. Son fonctionnement est assez différent des renifleurs de paquets plus «traditionnels» bien qu'il serve un objectif similaire.
Pour résumer les fonctionnalités de l’outil: cela vous aidera à trouver et à résoudre la cause des latences du réseau, à identifier les applications impactées et à déterminer si la lenteur est causée par le réseau ou une application. Le logiciel utilisera également des techniques d’inspection approfondie des paquets pour calculer le temps de réponse de plus de 12 000 applications. Il classera également le trafic réseau par catégorie, par rapport aux entreprises par rapport aux réseaux sociaux et par niveau de risque, ce qui vous aidera à identifier le trafic non professionnel à filtrer ou à éliminer.
Et n'oubliez pas que le SolarWinds Deep PacketL'outil d'inspection et d'analyse fait partie du Network Performace Monitor. NPM, comme on l'appelle souvent, est un logiciel impressionnant avec tellement de composants qu'un article entier pourrait lui être dédié. À la base, il s'agit d'une solution de surveillance de réseau complète qui combine les meilleures technologies telles que SNMP et l'inspection approfondie des paquets pour fournir autant d'informations que possible sur l'état de votre réseau. L'outil, à un prix raisonnable, est livré avec un essai gratuit de 30 jours afin que vous puissiez vous assurer qu'il correspond vraiment à vos besoins avant de vous engager à l'acheter.
Lien de téléchargement officiel: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump est probablement LE renifleur de paquets d'origine. Il a été créé en 1987. Depuis lors, il a été entretenu et amélioré mais reste essentiellement inchangé, du moins selon la façon dont il est utilisé. Il est préinstallé dans pratiquement tous les systèmes d'exploitation de type Unix et est devenu la norme de facto lorsque l'on a besoin d'un outil rapide pour capturer des paquets. Tcpdump utilise la bibliothèque libpcap pour la capture de paquets réelle.
Par défaut. tcpdump capture tout le trafic sur l'interface spécifiée et le «vide» - d'où son nom - à l'écran. Le vidage peut également être dirigé vers un fichier de capture et analysé plus tard à l'aide d'un ou d'une combinaison de plusieurs outils disponibles. L'une des clés de la force et de l'utilité de tcpdump est la possibilité d'appliquer toutes sortes de filtres et de diriger sa sortie vers grep - un autre utilitaire de ligne de commande Unix commun - pour un filtrage supplémentaire. Quelqu'un avec une bonne connaissance de tcpdump, grep et du shell de commande peut l'obtenir pour capturer précisément le bon trafic pour n'importe quelle tâche de débogage.
3. Windump
Windump est essentiellement juste un port de tcpdump versla plate-forme Windows. En tant que tel, il se comporte à peu près de la même manière. Il n'est pas rare de voir de tels ports de programmes utilitaires réussis d'une plate-forme à l'autre. Windump est une application Windows, mais ne vous attendez pas à une interface graphique sophistiquée. Il s'agit d'un utilitaire en ligne de commande uniquement. L'utilisation de Windump est donc essentiellement la même chose que l'utilisation de son homologue Unix. Les options de ligne de commande sont les mêmes et les résultats sont également presque identiques. La sortie de Windump peut également être enregistrée dans un fichier pour une analyse ultérieure avec un outil tiers.
Une différence majeure avec tcpdump est que Windumpn'est pas intégré à Windows. Vous devrez le télécharger sur le site Web de Windump. Le logiciel est livré sous forme de fichier exécutable et ne nécessite aucune installation. Cependant, tout comme tcpdump utilise la bibliothèque libpcap, Windump utilise Winpcap qui, comme la plupart des bibliothèques Windows, doit être téléchargé et installé séparément.
4. Wireshark
Wireshark est la référence en matière de renifleurs de paquets. Il est devenu la norme de facto et la plupart des autres outils ont tendance à l'imiter. Cet outil ne capturera pas seulement le trafic, il possède également des capacités d'analyse assez puissantes. Si puissant que de nombreux administrateurs utiliseront tcpdump ou Windump pour capturer le trafic vers un fichier puis charger le fichier dans Wireshark pour analyse. Il s'agit d'une manière si courante d'utiliser Wireshark qu'au démarrage, vous êtes invité à ouvrir un fichier pcap existant ou à commencer à capturer le trafic. Un autre point fort de Wireshark est tous les filtres qu'il intègre qui vous permettent de vous concentrer précisément sur les données qui vous intéressent.
Pour être parfaitement honnête, cet outil a une fortecourbe d'apprentissage, mais il vaut la peine d'apprendre. Cela se révélera inestimable à maintes reprises. Et une fois que vous l’avez appris, vous pourrez l’utiliser partout car il a été porté sur presque tous les systèmes d’exploitation et il est gratuit et open-source.
5. tshark
Tshark est un peu comme un croisement entre tcpdumpet Wireshark. C'est une grande chose car ils sont parmi les meilleurs renifleurs de paquets. Tshark est comme tcpdump en ce sens qu'il s'agit d'un outil en ligne de commande uniquement. Mais c'est aussi comme Wireshark en ce qu'il non seulement capture mais analyse également le trafic. Tshark est issu des mêmes développeurs que Wireshark. Il s'agit plus ou moins de la version en ligne de commande de Wireshark. Il utilise le même type de filtrage que Wireshark et peut donc isoler rapidement uniquement le trafic que vous devez analyser.
Mais pourquoi, demandez-vous, quelqu'un voudrait-il unversion en ligne de commande de Wireshark? Pourquoi ne pas simplement utiliser Wireshark; avec son interface graphique, il doit être plus simple à utiliser et à apprendre? La raison principale est qu'il vous permettrait de l'utiliser sur un serveur non GUI.
6. Mineur de réseau
Network Miner est plus un outil médico-légal plusqu'un véritable renifleur de paquets. Network Miner suivra un flux TCP et reconstruira une conversation entière. C'est vraiment un outil puissant. Il peut fonctionner en mode hors ligne où vous importeriez un fichier de capture pour laisser Network Miner opérer sa magie. Il s'agit d'une fonctionnalité utile car le logiciel ne fonctionne que sous Windows. Vous pouvez utiliser tcpdump sous Linux pour capturer du trafic et Network Miner sous Windows pour l'analyser.
Network Miner est disponible dans une version gratuite mais,pour les fonctionnalités plus avancées telles que la géolocalisation et les scripts basés sur IP, vous devrez acheter une licence professionnelle. Une autre fonction avancée de la version professionnelle est la possibilité de décoder et de lire les appels VoIP.
7. Violoneux (HTTP)
Certains de nos lecteurs les plus avertis pourraientsoutiennent que Fiddler n'est pas un renifleur de paquets ni un analyseur de réseau. Ils ont probablement raison, mais nous avons estimé que nous devrions inclure cet outil sur notre liste car il est très utile dans de nombreuses situations. Le violon capturera réellement le trafic mais pas le trafic. Il ne fonctionne qu'avec le trafic HTTTP. Vous pouvez imaginer à quel point il peut être utile malgré ses limites si l'on considère que de nombreuses applications sont aujourd'hui basées sur le Web ou utilisent le protocole HTTP en arrière-plan. Et comme Fiddler capturera non seulement le trafic du navigateur mais à peu près n'importe quel HTTP, il est très utile pour le dépannage
L'avantage d'un outil comme Fiddler sur un bonafide packer sniffer comme, par exemple, Wireshark, est que Fiddler a été conçu pour «comprendre» le trafic HTTP. Il découvrira, par exemple, les cookies et les certificats. Il trouvera également des données réelles provenant d'applications basées sur HTTP. Fiddler est gratuit et n'est disponible que pour Windows, bien que les versions bêta pour OS X et Linux (utilisant le cadre Mono) puissent être téléchargées.
Conclusion
Lorsque nous publions des listes comme celle-ci, nous sommes souventa demandé lequel était le meilleur. Dans cette situation particulière, si on me posait cette question, je devrais répondre à «tous». Ce sont tous des outils gratuits et tous ont leur valeur. Pourquoi ne pas les avoir tous à portée de main et vous familiariser avec chacun. Lorsque vous arrivez à une situation où vous devez les utiliser, ce sera beaucoup plus facile et efficace. Même les outils de ligne de commande ont une valeur énorme. Par exemple, ils peuvent être scriptés et planifiés. Imaginez que vous ayez un problème qui se produit à 2 h du matin. Vous pouvez planifier un travail pour exécuter tcpdump de Windump entre 1:50 et 2:10 et analyser le fichier de capture le lendemain matin. Pas besoin de rester debout toute la nuit.
commentaires