- - A legjobb csomagos szippantók és hálózati analizátorok - A 7 legjobb, 2019-ben felülvizsgálva

A legjobb csomagos szippantók és hálózati analizátorok - a 7 legjobban értékelve, 2019-ben

A csomagszippantás a mély hálózat típusaelemzés, amelyben elemezni kell a hálózati forgalom részleteit. Ez az egyik legfontosabb hibaelhárítási készség, amelyet minden hálózati rendszergazdának rendelkeznie kell. A hálózati forgalom elemzése bonyolult feladat. Annak érdekében, hogy megbirkózzanak a megbízhatatlan hálózatokkal, az adatokat nem egy folyamatos adatfolyamban továbbítják. Ehelyett darabonként darabonként darabolják fel. A hálózati forgalom elemzése magában foglalja az képességet, hogy ezeket az adatcsomagokat összegyűjtsük, és valamilyen értelmes termékké állítsuk össze őket. Ezt nem manuálisan lehet megtenni, így létrehozták a csomag-szippantókat és a hálózati elemzőket. Ma áttekintjük a hét legjobb csomagmegfigyelőt és hálózati elemzőt.

A mai utazást azzal kezdjük, hogy megadjuk nekednémi háttérinformáció arról, hogy mi a csomagszippantó. Megpróbáljuk kitalálni, mi a különbség - vagy ha van különbség - a csomag-szippantás és a hálózati elemző között. Ezután továbblépünk a tárgyunk középpontjába, és nem csak felsoroljuk, hanem röviden áttekintjük a hét válogatásunkat is. Amit Önnek kínálunk, a GUI eszközök és a parancssori segédprogramok kombinációja, amelyek különböző operációs rendszereken futnak.

Néhány szó a csomag-szippantókról és a hálózati elemzőkről

Kezdjük valami rendezésével. Ez a cikk kedvéért feltételezzük, hogy a csomag-szippantók és a hálózati elemzők azonosak. Néhányan azt állítják, hogy különböznek egymástól, és lehet, hogy igaza van. De e cikk összefüggésében együtt fogjuk megnézni őket, elsősorban azért, mert bár eltérő módon működhetnek, de valóban? - Ugyanazt a célt szolgálják.

A csomagos snifferek általában három dolgot csinálnak. Először az összes adatcsomagot elfogják, amikor belépnek vagy kilépnek a hálózati interfészből. Másodszor, opcionálisan szűrőket alkalmaznak a csomagok egy részének figyelmen kívül hagyása és mások lemezre mentése céljából. Ezután elvégzik a rögzített adatok valamilyen formáját. A csomag-szippantók utolsó funkciójában különböznek a legjobban.

A legtöbb az adatcsomagok tényleges rögzítéséhezaz eszközök külső modult használnak. A leggyakoribb a libpcap Unix / Linux rendszereken és a Winpcap Windows rendszeren. Általában nem kell ezeket az eszközöket telepítenie, mivel ezeket általában a különböző eszközök telepítői telepítik.

Egy másik fontos dolog, amit tudni kell, hogy a CsomagA sniffer - még a legjobb is - nem mindent megtesz érted. Ezek csak eszközök. Olyan, mint egy kalapács, amely önmagában semmilyen szöget nem fog meghajtani. Tehát meg kell győződnie arról, hogy megtanulta, hogyan lehet az egyes eszközöket a legjobban használni. A csomagszippantó csak lehetővé teszi a forgalom megtekintését, de rajtad múlik, hogy használja ezt az információt a problémák felkutatásához. Egész könyv volt a csomaggyűjtő eszközök használatáról. Én magam egyszer részt vettem egy háromnapos tanfolyamot a témáról. Nem próbálok elriasztani téged. Csak arra törekszem, hogy egyértelműen meghatározza az elvárásait.

Csomagos sniffer használata

Ahogy kifejtettük, egy csomagszippantó fogja elfogniés elemezze a forgalmat. Tehát, ha egy bizonyos probléma elhárítására törekszik - ami általában az oka annak, hogy ilyen eszközt használt -, akkor először ellenőriznie kell, hogy a rögzített forgalom a megfelelő-e. Képzeljünk el egy olyan helyzetet, ahol minden felhasználó panaszkodik, hogy egy adott alkalmazás lassú. Ilyen típusú helyzetben a legjobb megoldás valószínűleg az, ha forgalmat rögzít az alkalmazáskiszolgáló hálózati felületén. Ekkor észreveheti, hogy a kérések általában a kiszolgálóra érkeznek, de a kiszolgálónak sok időbe telik a válaszok küldése. Ez szerverproblémát jelez.

Ha viszont látja a szervertha időben reagál, ez valószínűleg azt jelenti, hogy a probléma valahol a hálózaton található az ügyfél és a szerver között. Ezután egy ugrást közelebb helyezhet a csomagszippantóhoz az ügyféllel, és megnézheti, hogy a válaszok késik-e. Ha nem, akkor jobban közeledik az ügyfelet, és így tovább, és így tovább. Végül arra a helyre jut, ahol késések fordulnak elő. És miután azonosította a probléma helyét, egy nagy lépéssel közelebb kerül a megoldásához.

Most kíváncsi lehet, hogyan sikerül elfognicsomagok egy adott ponton. Ez elég egyszerű, kihasználjuk a legtöbb hálózati kapcsoló egyik lehetőségét, amelyet port tükrözésnek vagy replikációnak nevezünk. Ez egy olyan konfigurációs lehetőség, amely replikálja az adott kapcsolóporton belüli és onnan érkező összes forgalmat ugyanazon a kapcsolón egy másik portra. Tegyük fel, hogy a szerver csatlakozik a kapcsoló 15. portjához, és ugyanazon kapcsoló 23. portja elérhető. Csatlakoztassa a csomagszippantót a 23. porthoz, és úgy konfigurálja a kapcsolót, hogy replikálja az összes forgalmat a 15. porttól a 23. portig. Ennek eredményeként a 23. porton tükörkép - tehát a port tükröző neve - jelenik meg arról, hogy mi megy keresztül a 15. porton.

A legjobb csomagos szippantók és hálózati elemzők

Most, hogy jobban megérted, mi a csomagszippantók és hálózati elemzők, nézzük meg, mi a hét legjobb, amit megtalálhattunk. Megpróbáltuk beilleszteni a parancssori és a GUI eszközök keverékét, valamint a különféle operációs rendszereken futó eszközöket. Végül is nem minden hálózati rendszergazda futtatja a Windows rendszert.

1. SolarWinds Mély csomag ellenőrző és elemző eszköz (INGYENES PRÓBAVERZIÓ)

SolarWinds sok jól ismert ingyenes eszközről ésa legkorszerűbb hálózati menedzsment szoftver. Az egyik eszközét Deep Packet Inspection and Analysis Tool-nak hívják. A SolarWinds zászlóshajója, a Network Performance Monitor alkotóeleme. Működése meglehetősen különbözik a „hagyományosabb” csomag-szippantóktól, bár hasonló célt szolgál.

SolarWinds mély csomag elemző műszerfal

Az eszköz funkcionalitásának összegzése: ez segít megtalálni és megoldani a hálózati késések okát, azonosítani az érintett alkalmazásokat, és meghatározni, hogy a lassúságot a hálózat vagy egy alkalmazás okozza-e. A szoftver mély csomag-ellenőrzési technikákat fog használni a több mint tizenötszáz alkalmazás válaszidejének kiszámításához. Ezenkívül osztályozni fogja a hálózati forgalmat kategória, üzleti vs társadalmi és kockázati szint alapján, segít azonosítani a nem üzleti forgalmat, amelyet esetleg szűrni kell, vagy egyéb módon kiküszöbölni kell.

És ne felejtsük el, hogy a SolarWinds Deep PacketAz ellenőrző és elemző eszköz a Network Performace Monitor része. Az NPM, amint gyakran nevezik, olyan lenyűgöző szoftver, amely annyi komponenst tartalmaz, hogy egy egész cikket oda lehet szentelni neki. Alapjában véve egy teljes hálózatmegfigyelő megoldás, amely egyesíti a legjobb technológiákat, mint például az SNMP és a mély csomag ellenőrzés, hogy minél több információt biztosítson a hálózat állapotáról. A kedvező árú eszköz egy 30 napos ingyenes próbaverziót tartalmaz, így a vásárlás megkezdése előtt meggyőződhet arról, hogy valóban megfelel-e az Ön igényeinek.

Hivatalos letöltési link: https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

A Tcpdump valószínűleg az eredeti csomag-szippantó. Az utóbbi időben 1987-ben hozták létre. Azóta fenntartják és fejlesztik, de lényegében változatlan marad, legalábbis a használatának módja szerint. Gyakorlatilag minden Unix-szerű operációs rendszerbe előre telepítve van, és de facto szabványvá vált, amikor egy gyors eszközre van szükség a csomagok rögzítéséhez. A Tcpdump a libpcap könyvtárat használja a tényleges csomagrögzítéshez.

TCPDump képernyőképe

Alapértelmezés szerint. A tcpdump rögzíti az összes forgalmat a megadott felületen, és a képernyőn „eldobja” - tehát a nevét. A kirakodást rögzítőfájlba is át lehet adni, és később több rendelkezésre álló eszköz egy vagy kombinációjával elemezhető. A tcpdump erejének és hasznosságának kulcsa az a lehetőség, hogy mindenféle szűrőt alkalmazzon, és a kimenetet grep-hez - egy másik általános Unix parancssori segédprogramhoz - tovább szűrjen. Valaki, aki jól ismeri a tcpdump, grep fájlt és a parancshéjat, megszerezheti azt, hogy pontosan rögzítse a hibakeresési feladatokhoz megfelelő forgalmat.

3. Windump

A Windump lényegében csak a tcpdump portjaa Windows platformon. Mint ilyen, ugyanúgy viselkedik. Nem ritka, ha a sikeres segédprogramok ilyen portjait látja az egyik platformon a másikon. A Windump egy Windows alkalmazás, de ne várjon divatos felhasználói felületet. Ez csak egy parancssori segédprogram. A Windump használata tehát alapvetően megegyezik a Unix megfelelőjével. A parancssori lehetőségek azonosak, és az eredmények szintén szinte azonosak. A Windump kimenete fájlba menthető későbbi elemzés céljából egy harmadik féltől származó eszköz segítségével.

WinDump súgó

Az egyik fő különbség a tcpdump-hoz képest az, hogy a Windumpnincs beépítve a Windowsba. Töltse le a Windump webhelyről. A szoftvert futtatható fájlként szállítják, és nincs szükség telepítésre. Ugyanakkor, csakúgy, mint a tcpdump a libpcap könyvtárat használja, a Windump a Winpcap-t is használja, amelyet, mint a legtöbb Windows könyvtárat, külön kell letölteni és telepíteni.

4. Wireshark

A Wireshark a referencia a csomagszedőkben. Ez de facto szabvány lett, és a legtöbb egyéb eszköz inkább emulálja azt. Ez az eszköz nem csak a forgalmat rögzíti, hanem meglehetősen nagy teljesítményű elemzési képességeket is kínál. Olyan erős, hogy sok rendszergazda használja a tcpdump vagy a Windump fájlokat a forgalom rögzítéséhez, majd elemzésre tölti be a fájlt a Wiresharkba. Ez a Wireshark használatának ilyen általános módja, hogy indításkor a rendszer arra kéri, hogy nyisson meg egy meglévő pcap fájlt, vagy kezdje el rögzíteni a forgalmat. A Wireshark másik erőssége az összes beépített szűrő, amely lehetővé teszi, hogy pontosan megadja az érdekli az adatokat.

Wireshark képernyőképe

Hogy teljesen őszinte legyek, ez az eszköz meredektanulási görbe, de érdemes megtanulni. Újra és újra felbecsülhetetlen értékű lesz. És miután megtanultak, akkor bárhol felhasználhatja, mivel szinte minden operációs rendszerhez át lett töltve, és ingyenes és nyílt forráskódú.

5. tshark

Tshark olyan, mint egy kereszt a tcpdump közöttés Wireshark. Ez nagyszerű dolog, mivel ezek a legjobb csomagszippantók. A Tshark olyan, mint a tcpdump, mivel csak parancssori eszköz. De hasonló a Wireshark-hoz abban is, hogy nemcsak rögzíti, hanem elemzi a forgalmat. Tshark ugyanabból a fejlesztőből származik, mint a Wireshark. Ez többé-kevésbé a Wireshark parancssori változata. Ugyanazt a szűrést használja, mint a Wireshark, és ezért gyorsan el tudja különíteni az elemezni kívánt forgalmat.

Tshark eredmények

De miért kérdezheti meg valakit?a Wireshark parancssori verziója? Miért nem használja a Wireshark-ot; a grafikus felülettel egyszerűbbé kell tennie a használatát és a tanulást? A fő ok az, hogy lehetővé tenné, hogy nem GUI-kiszolgálón használja.

6. Network Miner

A Network Miner inkább kriminalisztikai eszközmint egy igazi csomag-szippantó. A Network Miner követi a TCP adatfolyamot, és rekonstruálja a teljes beszélgetést. Ez valóban egy hatalmas eszköz. Offline módban működhet, ahol importál valamilyen rögzítő fájlt, hogy a Network Miner mágikus képességeit felhasználhassa. Ez egy hasznos szolgáltatás, mivel a szoftver csak Windows rendszeren fut. Használhatja a tcpdump fájlt Linuxon a forgalom rögzítéséhez és a Windows hálózati bányászát az elemzéshez.

NetworkMiner képernyőképe

A Network Miner ingyenes verzióban érhető el, dea fejlettebb funkciókhoz, például az IP-alapú földrajzi helymeghatározáshoz és a szkriptekhez, professzionális licencet kell vásárolnia. A professzionális változat további fejlett funkciója a VoIP hívások dekódolása és lejátszása.

7. Hegedűs (HTTP)

Lehet, hogy néhány jobban megértő olvasónkazzal érvelnek, hogy a Fiddler nem csomag-szippantó, és nem is hálózati elemző. Valószínűleg igazuk van, de úgy éreztük, hogy ezt az eszközt fel kell vennünk a listánkba, mivel ez sok helyzetben nagyon hasznos. A hegedűs ténylegesen rögzíti a forgalmat, de a forgalmat nem. Csak a HTTTP forgalommal működik. Elképzelheti, milyen értékes lehet a korlátozása ellenére, ha figyelembe veszi, hogy manapság sok alkalmazás web-alapú, vagy a háttérben használja a HTTP protokollt. Mivel a Fiddler nemcsak a böngésző forgalmát, hanem szinte bármilyen HTTP-t is rögzít, nagyon hasznos a hibaelhárításban

A Fiddler hibakeresési képernyőképe

Egy olyan eszköz előnye, mint a Fiddler, a bona-hoz képestA fide packer szippantás, mint például a Wireshark, az, hogy a Fiddler a HTTP forgalom „megértésére” épült. Fel fogja fedezni például a sütiket és a tanúsítványokat. Ezenkívül a HTTP-alapú alkalmazásokból származó aktuális adatokat is megtalálja. A Fiddler ingyenes, és csak Windows számára érhető el, bár letölthető az OS X és Linux bétaverziója (a Mono keretrendszer használatával).

Következtetés

Amikor közzéteszünk egy hasonló listát, gyakran vagyunkmegkérdezte, melyik a legjobb. Ebben a konkrét helyzetben, ha feltennék a kérdést, „mindegyikre” kellene válaszolnom. Mindegyik ingyenes eszköz, és mindegyiknek megvan az értéke. Miért nem rendelkezik velük mind kéznél, és megismerkedne velük. Ha olyan helyzetbe kerül, ahol használni kell, sokkal könnyebb és hatékonyabb lesz. Még a parancssori eszközöknek is óriási értéke van. Például szkriptekkel és ütemezéssel is elláthatók. Képzelje el, hogy van olyan problémája, amely napi 2: 00-kor történik. Megtervezheti a munkát a Windump tcpdump futtatásához 1:50 és 2:10 között, és másnap reggel elemezheti a rögzítési fájlt. Nem kell egész éjjel felállni.

Olvassa el

Mi az a hálózati sniffer, és mire használják?
Fájlok keresése méret alapján a Windows Explorer keresőszűrőivel [Tipp]
A weboldalon letöltött adatok szippantása, megtekintése és rögzítése a WebSiteSniffer használatával
Tekintse meg és ellenőrizze a hálózati forgalmat a SmartSniff segítségével
A legjobb nyílt forrású hálózati megfigyelő eszközök
6 legjobb Wireshark-alternatíva a csomagos szippantáshoz
15 legjobb hálózati megfigyelő eszköz, amelyet tesztelni kell 2019-ben
A legjobb ingyenes sFlow-gyűjtők és -elemzők 2019-ben felülvizsgálva
9 legjobb hálózati hibaelhárítási eszköz, amelyet 2019-ben vizsgáltunk át
12 legjobb hálózati megfigyelő szoftver és eszköz áttekintése 2019-ben
A legjobb NetFlow gyűjtők és analizátorok Windowshoz: felülvizsgálva 2019-ben
WireShark - félelmetes hálózati csomag-szippantó

Hozzászólások