Njuškanje paketa dubok je tip mrežeanaliza u kojoj se pojedinosti mrežnog prometa dekodiraju kako bi se analizirali. To je jedna od najvažnijih vještina rješavanja problema koje treba posjedovati bilo koji mrežni administrator. Analiza mrežnog prometa je složen zadatak. Da bi se mogli nositi s nepouzdanim mrežama, podaci se ne šalju u jednom neprekidnom toku. Umjesto toga, nasjeckan je u fragmente poslane pojedinačno. Analiza mrežnog prometa uključuje mogućnost prikupljanja ovih paketa podataka i njihovo sastavljanje u nešto smisleno. To ne možete učiniti ručno, tako da su stvoreni snafferi za pakete i mrežni analizatori. Danas ćemo pogledati sedam najboljih snajpera za pakete i mrežne analizatore.
Današnjim putem krećemo tako što ćemo vam ga datineke pozadinske informacije o tome što su snaffers paket. Pokušat ćemo shvatiti u čemu je razlika - ili postoji li razlika - između snafftera za paket i mrežnog analizatora. Zatim ćemo preći na srž teme i ne samo popisati, ali i ukratko pregledati svaki od naših sedam izbora. Ono što imamo za vas je kombinacija GUI alata i alata naredbenog retka koji se izvode na različitim operativnim sustavima.
Nekoliko riječi o paketnim Njuškalo i mrežnim analizatorima
Započnimo s rješavanjem nečega. Za potrebe ovog članka, pretpostavit ćemo da su njuškice za pakete i mrežni analizatori jedno te isto. Neki će tvrditi da su različiti i da su možda u pravu. Ali u kontekstu ovog članka, pogledat ćemo ih zajedno, uglavnom zato što iako mogu raditi drugačije - ali stvarno? - služe istoj svrsi.
Packet Sniffers obično rade tri stvari. Prvo, oni hvataju sve pakete podataka prilikom ulaska ili izlaska iz mrežnog sučelja. Drugo, oni primjenjuju filtre kako bi ignorirali neke pakete i spremili druge na disk. Zatim provode neki oblik analize zaplijenjenih podataka. Upravo se u toj posljednjoj funkciji paketskih njuška najviše razlikuju.
Za stvarno snimanje paketa podatakaalati koriste vanjski modul. Najčešći su libpcap na Unix / Linux sustavima i Winpcap na Windows-u. Obično nećete morati instalirati te alate jer ih obično instaliraju različiti instalacijski alati.
Još jedna važna stvar je znati da je PaketNjuškalo - čak i najbolji - neće učiniti sve za vas. Oni su samo oruđe. To je poput čekića koji sam neće ubiti nokat. Dakle, morate biti sigurni da ste naučili kako najbolje koristiti svaki alat. Njuškalo za paket će vam samo omogućiti da vidite promet, ali na vama je da koristite te informacije za pronalaženje problema. Bilo je čitavih knjiga o korištenju alata za hvatanje paketa. I ja sam jednom pohađao trodnevni tečaj na tu temu. Ne pokušavam vas obeshrabriti. Samo pokušavam postaviti vaša očekivanja.
Kako koristiti Pani Njuškalo
Kao što smo objasnili, snajker paketa snimit će sei analizirati promet. Dakle, ako pokušavate riješiti određeni problem - koji je obično razlog zašto koristite takav alat - prvo morate biti sigurni da je promet koji bilježite pravi promet. Zamislite situaciju u kojoj se svi korisnici žale da je određena aplikacija spora. U takvoj situaciji, najbolje bi vam se moglo svidjeti promet na mrežnom sučelju aplikacijskog poslužitelja. Tada ćete možda shvatiti da zahtjevi stižu na poslužitelj normalno, ali da serveru treba dugo vremena da pošalje odgovore. To bi značilo problem s poslužiteljem.
Ako s druge strane vidite poslužiteljpravodobno reagirati, to možda znači da je problem negdje na mreži između klijenta i poslužitelja. Zatim biste jedan snažno približavali klijentu i vidjeli hoće li odgovori kasniti. Ako nije, približite se klijentu još više, i tako dalje. Na kraju ćete stići na mjesto gdje dolazi do kašnjenja. I nakon što utvrdite mjesto problema, jedan ste veliki korak bliže njegovom rješavanju.
Sada se možda pitate kako to uspijevamo uhvatitipaketi u određenoj točki. Prilično je jednostavno, iskorištavamo značajku većine mrežnih sklopki zvanih zrcaljenje ili replikacija priključaka. Ovo je opcija konfiguracije koja će replicirati sav promet u određenom prekidačkom ulazu i izvan njega do drugog ulaza na istoj sklopci. Recimo da je vaš poslužitelj povezan s priključkom 15 sklopke i da je dostupan priključak 23 tog istog prekidača. Spajate snaffer paketa na priključak 23 i konfigurirate prekidač da umnoži sav promet od priključka 15 do priključka 23. Ono što dobijete kao rezultat na priključku 23 je zrcalna slika - otuda i naziv zrcaljenja porta - onoga što prolazi kroz port 15.
Najbolji paketski nosači i mrežni analizatori
Sad kad bolje razumijete koji paketNjuškalo i mrežni analizatori, pogledajmo što je sedam najboljih koje možemo pronaći. Pokušali smo uključiti kombinaciju alata naredbenog retka i GUI-a, kao i alate koji se izvode na različitim operativnim sustavima. Uostalom, nemaju svi mrežni administratori sustav Windows.
1. Alat za dubinsku inspekciju i analizu paketa SolarWinds (BESPLATNO ISPITIVANJE)
SolarWinds je poznata po mnogim korisnim besplatnim alatima isoftver za upravljanje mrežom. Jedan od njegovih alata naziva se alatom za dubinsku inspekciju i analizu paketa. Dolazi kao sastavni dio vodećeg proizvoda tvrtke SolarWinds, mrežnog monitora. Njezin se rad prilično razlikuje od više "tradicionalnih" paketskih njuška iako ima sličnu svrhu.
Da biste saželi funkcionalnost alata: To će vam pomoći da pronađete i riješite uzrok mrežnih kašnjenja, identificirate aplikacije na koje je utjecaj utjecao i utvrdite da li sporost uzrokuje mreža ili aplikacija. Softver će također koristiti tehnike dubinskog pregleda paketa za izračunavanje vremena odziva za više od dvanaest stotina aplikacija. Također će klasificirati mrežni promet prema kategorijama, poslovnom nasuprot društvenom i nivou rizika, pomažući vam identificirati ne-poslovni promet koji će možda trebati filtrirati ili na drugi način eliminirati.
I ne zaboravite da je SolarWinds Deep PacketAlat za inspekciju i analizu dolazi kao dio mrežnog praćenja performansi. NPM, kako se često naziva, impresivan je dio softvera s toliko komponenti da bi mu mogao biti posvećen čitav članak. U svojoj srži, to je cjelovito rješenje za nadzor mreže koje kombinira najbolje tehnologije kao što su SNMP i dubinski pregled paketa kako bi pružili što više informacija o stanju vaše mreže. Alat po povoljnim cijenama nudi besplatnu probnu verziju od 30 dana tako da možete biti sigurni da zaista odgovara vašim potrebama prije nego što se odlučite na kupnju.
Službena veza za preuzimanje: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump je vjerojatno izvorni njuškalo za paket. Stvorena je davne 1987. Od tada je održavana i poboljšana, ali ostaje bitno nepromijenjena, barem onako kako se koristi. On je unaprijed instaliran u gotovo svakom Unix operativnom sustavu i postao je de-facto standard kada je potreban brzi alat za hvatanje paketa. Tcpdump koristi knjižnicu libpcap za stvarno snimanje paketa.
Prema zadanim postavkama. tcpdump bilježi sav promet na navedenom sučelju i "odbacuje" ga - otuda i njegovo ime - na zaslon. Izbacivanje se također može staviti u datoteku za hvatanje i kasnije analizirati pomoću jednog ili kombinacije više dostupnih alata. Ključno za snagu i korisnost tcpdump-a je mogućnost primjene svih vrsta filtera i usmjeravanja njegovog izlaza na grep - još jedan uobičajeni uslužni program Unix naredbene linije - za daljnje filtriranje. Netko tko dobro poznaje tcpdump, grep i naredbenu ljusku može ga dobiti upravo zato da uhvati točno pravi promet za bilo koji zadatak uklanjanja pogrešaka.
3. vjetrenjača
Windump je u osnovi samo luka tcpdumpWindows platformu. Kao takav, ponaša se na gotovo isti način. Nije neuobičajeno vidjeti takve portove uspješnih korisnih programa s jedne platforme na drugu. Windump je Windows aplikacija, ali ne očekujte maštovit GUI. Ovo je samo uslužni program. Korištenje Windumpa je, dakle, u osnovi isto kao i korištenje Unix-ove kolege. Opcije naredbenog retka su iste, a rezultati su gotovo identični. Izlaz iz programa Windump također se može spremiti u datoteku za kasniju analizu pomoću alata treće strane.
Glavna razlika kod tcpdump je onaj Windumpnije ugrađen u Windows. Morat ćete ga preuzeti sa web stranice Windump. Softver se isporučuje kao izvršna datoteka i ne zahtijeva nikakvu instalaciju. Međutim, baš kao što i tcpdump koristi knjižnicu libpcap, Windump koristi Winpcap koji, kao i većina Windows knjižnica, treba odvojeno preuzeti i instalirati.
4. Wireshark
Wireshark je referenca u paketima njuškalo. To je postao standard de-facto i većina drugih alata ga ima mogućnost oponašati. Ovaj alat ne samo da će zarobiti promet, već ima i prilično moćne mogućnosti analize. Toliko moćan da će mnogi administratori koristiti tcpdump ili Windump za hvatanje prometa u datoteku, a zatim je učitati u Wireshark na analizu. Ovo je tako čest način korištenja Wiresharka da će se nakon pokretanja od vas zatražiti da otvorite postojeću pcap datoteku ili započnete hvatanje prometa. Još jedna snaga Wireshark-a su svi filtri koje sadrži i koji vam omogućuju da unesete nulu u točno one podatke koji vas zanimaju.
Da budem potpuno iskren, ovaj alat ima strminukrivulja učenja, ali vrijedi učiti. Ponovo će se pokazati neprocjenjivim vremenom. A nakon što ga naučite, moći ćete ga koristiti svugdje, jer je prijenosan na gotovo svaki operativni sustav, a dostupan je besplatno i s otvorenim kodom.
5. tshark
Tshark je vrsta poput križanja između tcpdump-ai Wireshark. Ovo je sjajna stvar jer su oni neki od najboljih snajperskih snajpera. Tshark je poput tcpdump u tome što je to samo alat za naredbenu liniju. Ali također je poput Wiresharka u tome što ne samo da bilježi, već i analizira promet. Tshark je od istih programera kao i Wireshark. To je, manje-više, verzija Wiresharka iz naredbenog retka. Koristi istu vrstu filtriranja kao Wireshark i zato može brzo izolirati samo promet koji trebate analizirati.
Ali zašto, možete pitati, hoće li itko poželjeti?Verzija naredbenog retka Wiresharka? Zašto jednostavno ne upotrijebite Wireshark; sa svojim grafičkim sučeljem, to mora biti jednostavnije za korištenje i za učenje? Glavni razlog je taj što će vam omogućiti da ga koristite na ne-GUI poslužitelju.
6. Mrežni rudar
Network Miner više je forenzički alatnego pravi snajperski njuškalo. Mrežni rudar pratit će TCP tok i rekonstruirati čitav razgovor. Doista je jedno moćno sredstvo. Može raditi u izvanmrežnom načinu rada, gdje uvezete neku datoteku za snimanje kako bi mrežni rudar radio svoju čaroliju. Ovo je korisna značajka jer se softver izvodi samo u sustavu Windows. Možete koristiti tcpdump na Linuxu da biste snimili nešto prometa i Network Miner u Windows-u da biste ga analizirali.
Mrežni rudar dostupan je u besplatnoj verziji, ali,za naprednije značajke poput geolokacije i skripti utemeljene na IP adresi, morat ćete kupiti licencu Profesional. Još jedna napredna funkcija profesionalne verzije je mogućnost dekodiranja i reprodukcije VoIP poziva.
7. Fiddler (HTTP)
Neki od naših čitatelja koji znaju višetvrde da Fiddler nije snajperista za pakete niti je mrežni analizator. Vjerojatno su u pravu, ali smatrali smo da trebamo uključiti ovaj alat na naš popis jer je u mnogim situacijama vrlo koristan. Fiddler će zapravo zabilježiti promet, ali ne ikakav promet. Radi samo s HTTTP prometom. Možete zamisliti koliko to može biti vrijedno unatoč ograničenjima kada uzmete u obzir da se danas toliko aplikacija temelji na webu ili koriste HTTP protokol u pozadini. A budući da će Fiddler prikupiti ne samo promet preglednika već i svaki HTTP, vrlo je koristan u rješavanju problema
Prednost alata poput Fiddlera nad bonomfide sniffer paket kao što je, na primjer, Wireshark, je da je Fiddler izgrađen da "razumije" HTTP promet. Otkrivat će, primjerice, kolačiće i potvrde. Također će se naći stvarni podaci koji dolaze iz HTTP-ovih aplikacija. Fiddler je besplatan i dostupan je samo za Windows iako se mogu preuzeti beta verzije za OS X i Linux (koristeći Mono okvir).
Zaključak
Kada objavljujemo popise poput ove, često smopitao koji je najbolji. U ovoj konkretnoj situaciji, ako bi me pitali to pitanje, morala bih odgovoriti na "sve njih". Svi su besplatni alati i svi imaju svoju vrijednost. Zašto ih ne biste imali pri ruci i upoznali se sa svakim od njih. Kad dođete u situaciju da ih trebate koristiti, biće mnogo lakše i učinkovitije. Čak i alati naredbenog retka imaju ogromnu vrijednost. Na primjer, oni mogu biti skriptirani i zakazani. Zamislite da imate problem koji se događa u 2:00 ujutro dnevno. Možete zakazati posao za pokretanje tcpdump-a Windump između 1:50 i 2:10 i analizirati datoteku za snimanje sljedećeg jutra. Nema potrebe da budite cijelu noć.
komentari