पैकेट सूँघना एक गहरे प्रकार का नेटवर्क हैविश्लेषण जिसमें नेटवर्क ट्रैफ़िक के विवरण का विश्लेषण किया जाना है। यह सबसे महत्वपूर्ण समस्या निवारण कौशल है जो किसी भी नेटवर्क व्यवस्थापक के पास होना चाहिए। नेटवर्क ट्रैफ़िक का विश्लेषण करना एक जटिल काम है। अविश्वसनीय नेटवर्क के साथ सामना करने के लिए, डेटा को एक सतत स्ट्रीम में नहीं भेजा जाता है। इसके बजाय, यह अलग-अलग भेजे गए टुकड़ों में कटा हुआ है। नेटवर्क ट्रैफ़िक का विश्लेषण करने में डेटा के इन पैकेटों को इकट्ठा करने और उन्हें किसी सार्थक चीज़ में फिर से शामिल करने में सक्षम होना शामिल है। यह कुछ ऐसा नहीं है जिसे आप मैन्युअल रूप से कर सकते हैं इसलिए पैकेट स्निफर्स और नेटवर्क एनालाइज़र बनाए गए थे। आज, हम सबसे अच्छे पैकेट स्निफ़र्स और नेटवर्क एनालाइज़र में से सात पर नज़र डाल रहे हैं।
हम आपको दे कर आज की यात्रा शुरू कर रहे हैंपैकेट स्निफर्स क्या हैं, इस पर कुछ पृष्ठभूमि की जानकारी। हम यह पता लगाने की कोशिश करेंगे कि अंतर क्या है - या यदि कोई अंतर है-एक पैकेट स्निफर और एक नेटवर्क विश्लेषक के बीच। फिर हम अपने विषय के मूल में आगे बढ़ेंगे और न केवल सूची बल्कि हमारे प्रत्येक सात पिक्स की भी संक्षिप्त समीक्षा करेंगे। हमारे पास आपके लिए जीयूआई उपकरण और कमांड-लाइन उपयोगिताओं का एक संयोजन है जो विभिन्न ऑपरेटिंग सिस्टम पर चलते हैं।
पैकेट स्निफ़र्स और नेटवर्क एनालाइज़र के बारे में कुछ शब्द
चलो कुछ शुरू करके इस लेख के लिए, हम मानते हैं कि पैकेट स्निफ़र्स और नेटवर्क विश्लेषक एक और एक ही हैं। कुछ तर्क देंगे कि वे अलग हैं और वे सही हो सकते हैं। लेकिन इस लेख के संदर्भ में, हम उन्हें एक साथ देखेंगे, मुख्यतः क्योंकि वे भले ही अलग-अलग काम करते हों, लेकिन क्या वे वास्तव में एक ही उद्देश्य से काम करते हैं।
पैकेट स्निफर्स आमतौर पर तीन काम करते हैं। सबसे पहले, वे सभी डेटा पैकेटों पर कब्जा कर लेते हैं क्योंकि वे एक नेटवर्क इंटरफेस में प्रवेश करते हैं या बाहर निकलते हैं। दूसरे, वे वैकल्पिक रूप से कुछ पैकेटों को अनदेखा करने के लिए फ़िल्टर लागू करते हैं और दूसरों को डिस्क पर सहेजते हैं। वे तब कैप्चर किए गए डेटा के विश्लेषण के कुछ रूप का प्रदर्शन करते हैं। यह पैकेट स्निफर्स के उस अंतिम कार्य में होता है, जिसमें वे सबसे अलग होते हैं।
डेटा पैकेट के वास्तविक कैप्चर के लिए, अधिकांशउपकरण एक बाहरी मॉड्यूल का उपयोग करते हैं। सबसे आम यूनिक्स / लिनक्स सिस्टम और विंडोज पर Winpcap पर libpcap हैं। आमतौर पर आपको इन उपकरणों को स्थापित नहीं करना पड़ता है क्योंकि वे आमतौर पर विभिन्न टूल इंस्टॉलर्स द्वारा इंस्टॉल किए जाते हैं।
यह जानने के लिए एक और महत्वपूर्ण बात है कि पैकेटस्निफर्स-यहां तक कि सबसे अच्छा एक-आपके लिए सब कुछ नहीं है। वे सिर्फ उपकरण हैं। यह एक हथौड़े की तरह है जो अपने आप किसी भी कील को नहीं चलाता है। तो, आपको यह सुनिश्चित करने की ज़रूरत है कि आप सीखें कि प्रत्येक उपकरण का सबसे अच्छा उपयोग कैसे करें। पैकेट स्निफ़र आपको बस ट्रैफ़िक देखने देगा लेकिन समस्याओं को खोजने के लिए उस जानकारी का उपयोग करना आपके ऊपर है। पैकेट कैप्चर टूल्स का उपयोग करने पर पूरी किताबें हैं। मैं, खुद, एक बार विषय पर तीन-दिवसीय पाठ्यक्रम लिया। मैं आपको हतोत्साहित करने की कोशिश नहीं कर रहा हूँ मैं केवल आपकी अपेक्षाओं को सीधे करने की कोशिश कर रहा हूं
एक पैकेट स्निफर का उपयोग कैसे करें
जैसा कि हमने समझाया है, एक पैकेट स्निफर कब्जा कर लेगाऔर यातायात का विश्लेषण करें। इसलिए, यदि आप किसी विशेष समस्या का निवारण करने की कोशिश कर रहे हैं - जो आमतौर पर आप इस तरह के उपकरण का उपयोग करते हैं, तो आपको सबसे पहले यह सुनिश्चित करना होगा कि आपके कैप्चरिंग का ट्रैफ़िक सही ट्रैफ़िक है। ऐसी स्थिति की कल्पना करें जहां सभी उपयोगकर्ता शिकायत कर रहे हैं कि एक विशेष एप्लिकेशन धीमा है। उस प्रकार की स्थिति में, आपका सर्वश्रेष्ठ दांव शायद एप्लिकेशन सर्वर के नेटवर्क इंटरफ़ेस पर ट्रैफ़िक को कैप्चर करना होगा। तब आप महसूस कर सकते हैं कि अनुरोध सर्वर पर सामान्य रूप से आते हैं, लेकिन सर्वर को प्रतिक्रियाएं भेजने में लंबा समय लगता है। यह एक सर्वर समस्या का संकेत होगा।
यदि, दूसरी ओर, आप सर्वर को देखते हैंएक समय पर ढंग से जवाब देने का मतलब है कि इसका मतलब है कि समस्या क्लाइंट और सर्वर के बीच नेटवर्क पर है। फिर आप अपने पैकेट को एक ग्राहक के करीब ले जाते हैं और देखते हैं कि प्रतिक्रिया में देरी हो रही है या नहीं। यदि ऐसा नहीं है, तो आप क्लाइंट के और अधिक और आगे और आगे की ओर बढ़ते हैं। आप अंततः उस स्थान पर पहुंच जाएंगे जहां देरी होती है। और एक बार जब आप समस्या के स्थान की पहचान कर लेते हैं, तो आप इसे हल करने के करीब एक बड़ा कदम होते हैं।
अब आप सोच रहे होंगे कि हम कैसे कब्जा करेंएक विशिष्ट बिंदु पर पैकेट। यह बहुत सरल है, हम पोर्ट मिररिंग या प्रतिकृति नामक अधिकांश नेटवर्क स्विच की सुविधा का लाभ उठाते हैं। यह एक कॉन्फ़िगरेशन विकल्प है जो एक ही स्विच पर दूसरे पोर्ट के लिए एक विशिष्ट स्विच पोर्ट में और बाहर सभी ट्रैफ़िक को दोहराएगा। मान लें कि आपका सर्वर किसी स्विच के पोर्ट 15 से जुड़ा है और उसी स्विच का पोर्ट 23 उपलब्ध है। आप अपने पैकेट स्निफ़र को पोर्ट 23 से कनेक्ट करते हैं और पोर्ट 15 से पोर्ट 23 तक सभी ट्रैफ़िक को दोहराने के लिए स्विच को कॉन्फ़िगर करते हैं। पोर्ट 23 पर आपको जो कुछ मिलता है वह एक मिरर इमेज है - इसलिए पोर्ट मिररिंग नाम- पोर्ट 15 के माध्यम से क्या हो रहा है।
सर्वश्रेष्ठ पैकेट स्निफ़र्स और नेटवर्क एनालाइज़र
अब आप बेहतर समझ सकते हैं कि कौन सा पैकेटस्निफर्स और नेटवर्क एनालाइज़र हैं, आइए देखें कि हम सबसे अच्छे सात क्या हैं। हमने कमांड-लाइन और GUI टूल के मिश्रण को शामिल करने की कोशिश की है और साथ ही विभिन्न ऑपरेटिंग सिस्टम पर चलने वाले टूल भी शामिल हैं। आखिरकार, सभी नेटवर्क व्यवस्थापक विंडोज नहीं चला रहे हैं।
1. सोलरवाइंड डीप पैकेट निरीक्षण और विश्लेषण उपकरण (मुफ्त आज़माइश)
ओरियन कई उपयोगी मुफ्त उपकरणों के लिए प्रसिद्ध है औरकला नेटवर्क प्रबंधन सॉफ्टवेयर की अपनी स्थिति। इसके एक उपकरण को दीप पैकेट निरीक्षण और विश्लेषण उपकरण कहा जाता है। यह SolarWinds के प्रमुख उत्पाद, नेटवर्क प्रदर्शन मॉनिटर के एक घटक के रूप में आता है। इसका संचालन अधिक "पारंपरिक" पैकेट स्निफर्स से काफी अलग है, हालांकि यह एक समान उद्देश्य प्रदान करता है।
उपकरण की कार्यक्षमता को संक्षेप में प्रस्तुत करने के लिए: यह आपको नेटवर्क विलंब के कारण को खोजने और हल करने में मदद करेगा, प्रभावित अनुप्रयोगों की पहचान करेगा, और निर्धारित करेगा कि नेटवर्क या अनुप्रयोग के कारण सुस्ती है या नहीं। सॉफ्टवेयर बारह सौ से अधिक अनुप्रयोगों के लिए प्रतिक्रिया समय की गणना करने के लिए गहरे पैकेट निरीक्षण तकनीकों का भी उपयोग करेगा। यह नेटवर्क ट्रैफ़िक को श्रेणी, व्यवसाय बनाम सामाजिक और जोखिम स्तर के आधार पर वर्गीकृत करेगा, जिससे आपको गैर-व्यावसायिक ट्रैफ़िक की पहचान करने में मदद मिलेगी जिसे फ़िल्टर करने या अन्यथा समाप्त करने की आवश्यकता हो सकती है।
और यह मत भूलो कि SolarWinds डीप पैकेटनिरीक्षण और विश्लेषण उपकरण नेटवर्क परफॉर्मेंस मॉनिटर के हिस्से के रूप में आता है। एनपीएम, जैसा कि अक्सर कहा जाता है, इतने सारे घटकों के साथ सॉफ्टवेयर का एक प्रभावशाली टुकड़ा है कि एक संपूर्ण लेख इसे समर्पित किया जा सकता है। इसके मूल में, यह एक पूर्ण नेटवर्क निगरानी समाधान है जो एसएनएमपी और गहरी पैकेट निरीक्षण जैसी सर्वोत्तम तकनीकों को जोड़ती है ताकि आपके नेटवर्क की स्थिति के बारे में अधिक से अधिक जानकारी मिल सके। यह उपकरण, जिसकी उचित कीमत 30-दिन के निःशुल्क परीक्षण के साथ आती है, ताकि आप यह सुनिश्चित कर सकें कि इसे खरीदने के लिए प्रतिबद्ध होने से पहले यह वास्तव में आपकी आवश्यकताओं को पूरा करता है।
आधिकारिक डाउनलोड लिंक: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump शायद मूल पैकेट स्निफर है। यह 1987 में वापस बनाया गया था। तब से, इसे बनाए रखा गया है और सुधार हुआ है लेकिन अनिवार्य रूप से अपरिवर्तित रहता है, कम से कम इसका उपयोग करने का तरीका है। यह लगभग हर यूनिक्स जैसे ऑपरेटिंग सिस्टम में प्री-इंस्टॉल्ड है और पैकेट को पकड़ने के लिए एक त्वरित टूल की आवश्यकता होने पर डी-फैक्टो मानक बन गया है। Tcpdump वास्तविक पैकेट कैप्चर के लिए libpcap लाइब्रेरी का उपयोग करता है।
डिफ़ॉल्ट रूप से। tcpdump निर्दिष्ट इंटरफ़ेस पर सभी ट्रैफ़िक को कैप्चर करता है और स्क्रीन पर इसका नाम - इसलिए यह "डंप" करता है। डंप को एक कैप्चर फ़ाइल में भी पाइप किया जा सकता है और एक या कई उपलब्ध उपकरणों के संयोजन का उपयोग करके बाद में विश्लेषण किया जा सकता है। Tcpdump की ताकत और उपयोगिता की एक कुंजी सभी प्रकार के फ़िल्टर लागू करने और इसके आउटपुट को grep- एक अन्य सामान्य यूनिक्स कमांड-लाइन उपयोगिता-आगे फ़िल्टरिंग के लिए पाइप करने की संभावना है। Tcpdump, grep और कमांड शेल के अच्छे ज्ञान के साथ कोई भी इसे किसी भी डीबगिंग कार्य के लिए सही ट्रैफ़िक कैप्चर करने के लिए प्राप्त कर सकता है।
3. पवनपुंज
Windump अनिवार्य रूप से tcpdump का केवल एक बंदरगाह हैविंडोज प्लेटफॉर्म। जैसे, यह उतना ही व्यवहार करता है। एक मंच से दूसरे में सफल उपयोगिता कार्यक्रमों के ऐसे बंदरगाहों को देखना असामान्य नहीं है। विंडम्प एक विंडोज एप्लीकेशन है, लेकिन एक फैंसी जीयूआई की उम्मीद नहीं है। यह एक कमांड-लाइन केवल उपयोगिता है। इसलिए विंडम्प का उपयोग करना, मूल रूप से इसके यूनिक्स समकक्ष का उपयोग करने के समान है। कमांड-लाइन विकल्प समान हैं और परिणाम भी लगभग समान हैं। विंडपम्प से आउटपुट को तीसरे पक्ष के उपकरण के साथ बाद के विश्लेषण के लिए फ़ाइल में भी सहेजा जा सकता है।
Tcpdump के साथ एक बड़ा अंतर यह है कि Windumpविंडोज में नहीं बनाया गया है। आपको इसे Windump वेबसाइट से डाउनलोड करना होगा। सॉफ़्टवेयर को निष्पादन योग्य फ़ाइल के रूप में वितरित किया जाता है और इसके लिए किसी इंस्टॉलेशन की आवश्यकता नहीं होती है। हालाँकि, जैसे ही tcpdump ने libpcap लाइब्रेरी का उपयोग किया है, Windump Winpcap का उपयोग करता है, जो कि अधिकांश Windows पुस्तकालयों की तरह, अलग से डाउनलोड और इंस्टॉल किए जाने की आवश्यकता होती है।
4. वायरशार्क
Wireshark पैकेट स्निफ़र्स में संदर्भ है। यह डी-फैक्टो मानक बन गया है और अधिकांश अन्य उपकरण इसका अनुकरण करते हैं। यह उपकरण न केवल यातायात पर कब्जा करेगा, इसमें काफी शक्तिशाली विश्लेषण क्षमताएं भी हैं। इतना शक्तिशाली कि कई प्रशासक फ़ाइल में ट्रैफ़िक कैप्चर करने के लिए tcpdump या Windump का उपयोग करेंगे, फिर विश्लेषण के लिए फ़ाइल को Wireshark में लोड करें। Wireshark का उपयोग करने का यह एक सामान्य तरीका है कि स्टार्टअप पर, आपको या तो मौजूदा pcap फ़ाइल खोलने या ट्रैफ़िक कैप्चर करना शुरू करने के लिए प्रेरित किया जाएगा। Wireshark की एक और ताकत इसमें शामिल सभी फ़िल्टर हैं जो आपको उस डेटा पर शून्य करने की अनुमति देते हैं जिसमें आप रुचि रखते हैं।
पूरी तरह से ईमानदार होने के लिए, इस उपकरण में एक खड़ी हैसीखने की अवस्था लेकिन यह अच्छी तरह से सीखने लायक है। यह अमूल्य समय और समय फिर से साबित होगा। और एक बार जब आप इसे सीख लेते हैं, तो आप इसे हर जगह उपयोग कर पाएंगे क्योंकि इसे लगभग हर ऑपरेटिंग सिस्टम में पोर्ट किया गया है और यह मुफ़्त और खुला-स्रोत है।
5. तशकार
त्सखर एक प्रकार है जैसे tcpdump के बीच एक क्रॉसऔर विरेचक। यह एक बहुत अच्छी बात है क्योंकि वे कुछ बेहतरीन पैकेट स्निफर हैं। Tshark tcpdump की तरह है कि यह एक कमांड-लाइन केवल टूल है। लेकिन यह भी विंडसरक की तरह है कि यह न केवल कैप्चर करता है बल्कि ट्रैफ़िक का विश्लेषण भी करता है। Tshark Wireshark के समान ही डेवलपर्स से है। यह अधिक या कम, विंडसरक का कमांड-लाइन संस्करण है। यह उसी प्रकार के फ़िल्टरिंग का उपयोग करता है जैसे कि विरेशर और इसलिए विश्लेषण करने के लिए आवश्यक ट्रैफ़िक को जल्दी से अलग कर सकते हैं।
लेकिन क्यों, आप पूछ सकते हैं, क्या कोई ए चाहता हैWireshark का कमांड-लाइन संस्करण? क्यों नहीं बस Wireshark का उपयोग करें; अपने ग्राफिकल इंटरफ़ेस के साथ, इसका उपयोग करना और सीखना सरल हो गया है? मुख्य कारण यह है कि यह आपको गैर-जीयूआई सर्वर पर इसका उपयोग करने की अनुमति देगा।
6. नेटवर्क खान
नेटवर्क माइनर एक फोरेंसिक टूल अधिक हैएक सच्चे पैकेट स्निफर की तुलना में। नेटवर्क माइनर एक टीसीपी स्ट्रीम का पालन करेगा और पूरी बातचीत को फिर से संगठित करेगा। यह वास्तव में एक शक्तिशाली उपकरण है। यह ऑफ़लाइन मोड में काम कर सकता है, जहां आप नेटवर्क माइनर को अपना जादू चलाने देने के लिए कुछ कैप्चर फ़ाइल आयात करते हैं। यह एक उपयोगी फीचर है क्योंकि सॉफ्टवेयर केवल विंडोज पर चलता है। आप इसका विश्लेषण करने के लिए विंडोज़ पर कुछ ट्रैफ़िक और नेटवर्क माइनर को पकड़ने के लिए लिनक्स पर tcpdump का उपयोग कर सकते हैं।
नेटवर्क माइनर एक नि: शुल्क संस्करण में उपलब्ध है लेकिन,आईपी-आधारित जियोलोकेशन और स्क्रिप्टिंग जैसी अधिक उन्नत सुविधाओं के लिए, आपको एक व्यावसायिक लाइसेंस खरीदने की आवश्यकता होगी। व्यावसायिक संस्करण का एक और उन्नत कार्य वीओआईपी कॉल को डिकोड और प्लेबैक करने की संभावना है।
7. फ़िडलर (HTTP)
हमारे कुछ और अधिक जानकार पाठक हो सकते हैंतर्क है कि फिडलर एक पैकेट स्निफर नहीं है और न ही यह एक नेटवर्क विश्लेषक है। वे शायद सही हैं लेकिन हमें लगा कि हमें इस उपकरण को अपनी सूची में शामिल करना चाहिए क्योंकि यह कई स्थितियों में बहुत उपयोगी है। फ़िडलर वास्तव में ट्रैफ़िक पर कब्जा करेगा, लेकिन कोई ट्रैफ़िक नहीं। यह केवल HTTTP ट्रैफिक के साथ काम करता है। आप कल्पना कर सकते हैं कि इसकी सीमा के बावजूद यह कितना मूल्यवान हो सकता है जब आप समझते हैं कि इतने सारे अनुप्रयोग आज वेब-आधारित हैं या पृष्ठभूमि में HTTP प्रोटोकॉल का उपयोग करते हैं। और चूंकि फ़िडलर न केवल ब्राउज़र ट्रैफ़िक पर कब्जा करेगा, बल्कि किसी भी HTTP के बारे में, यह समस्या निवारण में बहुत उपयोगी है
बोना के ऊपर फिडलर जैसे उपकरण का लाभफाइड पैकेट स्निफर जैसे, उदाहरण के लिए, विर्सार्क, यह है कि फिडलर को HTTP ट्रैफिक को "समझने" के लिए बनाया गया था। उदाहरण के लिए, यह कुकीज़ और प्रमाणपत्रों की खोज करेगा। यह HTTP-आधारित अनुप्रयोगों से आने वाले वास्तविक डेटा को भी ढूंढेगा। फ़िडलर मुफ़्त है और यह केवल विंडोज के लिए उपलब्ध है, हालांकि ओएस एक्स और लिनक्स के लिए बीटा बिल्ड (मोनो फ्रेमवर्क का उपयोग करके) डाउनलोड किया जा सकता है।
निष्कर्ष
जब हम इस तरह की सूची प्रकाशित करते हैं, तो हम अक्सर करते हैंजो सबसे अच्छा है पूछा। इस विशेष स्थिति में, यदि मुझे वह प्रश्न पूछा गया है, तो मुझे "उन सभी" का उत्तर देना होगा। वे सभी मुफ्त उपकरण हैं और सभी का मूल्य है। उन सभी को हाथ में क्यों नहीं लेना चाहिए और प्रत्येक के साथ खुद को परिचित करना चाहिए। जब आप ऐसी स्थिति में पहुंच जाते हैं जहां आपको उनका उपयोग करने की आवश्यकता होती है, तो यह बहुत आसान और कुशल होगा। यहां तक कि कमांड-लाइन टूल्स का भी जबरदस्त मूल्य है। उदाहरण के लिए, उन्हें स्क्रिप्ट और शेड्यूल किया जा सकता है। कल्पना कीजिए कि आपके पास एक मुद्दा है जो रोजाना 2:00 बजे होता है। आप 1:50 और 2:10 के बीच विंडम्प के tcpdump को चलाने के लिए नौकरी निर्धारित कर सकते हैं और अगली सुबह कैप्चर फ़ाइल का विश्लेषण कर सकते हैं। रात भर रुकने की जरूरत नहीं।
टिप्पणियाँ