Wireshark, amelyet korábban Éteri, 20 éve működik. Ha nem a legjobb, akkor ez természetesen a legnépszerűbb hálózati szippantási eszköz. Amikor szükség van csomag elemzésre, ez a legtöbb rendszergazda gyakran használja az eszközét. Annyira jó Wireshark lehet, hogy számos alternatíva áll rendelkezésre. Néhányan kíváncsi lehet, mi a baj Wireshark ez indokolná annak cseréjét. Ahhoz, hogy őszinte legyek, nincs semmi baj Wireshark és ha már boldog felhasználó, nem látommiért kellett megváltoztatnia. Másrészt, ha még nem ismeri a jelenetet, akkor jó lehet, ha a megoldás kiválasztása előtt megvizsgálja a rendelkezésre álló lehetőségeket. Hogy segítsünk, összeállítottuk a legjobbak listáját Wireshark alternatívákat.
A felfedezésünket egy pillantással kezdjük meg Wireshark. Végül is, ha alternatívákat akarunk javasolni,legalább egy kicsit megismerhetjük a terméket. Ezután röviden megvitatjuk, hogy mi a csomag-szippantás - vagy a hálózati elemző, amelyet gyakran hívnak. Mivel a csomagszippantók viszonylag bonyolultak lehetnek, akkor eltölteni fogunk egy kis időt arra, hogy megbeszéljük, hogyan lehet őket használni. Ez egyáltalán nem teljes bemutató, de elegendő háttér-információt kell adnia a közelgő termékértékelések jobb megértéséhez. A termékértékelésekről beszélve, ez lesz a következő. Több, nagyon különböző típusú terméket azonosítottunk, amelyek jó alternatíva lehetnek a Wireshark számára, és bemutatjuk mindegyikük legjobb tulajdonságait.
A Wiresharkról
Előtt Wireshark, a piacon alapvetően egy csomagmegfigyelő volt, amelyet megfelelően hívtak vihar. Kiváló termék volt, amelytől szenvedettegyik fő hátránya, az ára. A 90-es évek végén a termék körülbelül 1500 dollár volt, ami több volt, mint amennyit sokan meg tudtak volna engedni. Ez ösztönözte a Éteri ingyenes és nyílt forráskódú szippantóként egy UMKC diplomával Gerald Combs aki továbbra is a Wireshark húsz évvel később. Beszéljen a komoly elkötelezettségről.
Ma, Wireshark lett a referencia a csomagszippantókban. Ez a de facto szabvány, és a legtöbb egyéb eszköz inkább emulálja azt. Wireshark alapvetően két dolgot tesz. Először rögzíti az összes forgalmat, amelyet az interfészén lát. De nem áll itt meg, a terméknek meglehetősen erős elemzési képességei is vannak. Az eszköz elemzési lehetőségei olyan jók, hogy nem ritka, hogy a felhasználók más eszközöket használnak a csomagmegfogásra, és az elemzést Wireshark. Ez a használat ilyen általános módja Wireshark hogy indításkor felkérést kap, hogy nyisson meg egy meglévő rögzítési fájlt, vagy kezdje el rögzíteni a forgalmat. Egy másik erőssége Wireshark az összes beépített szűrő, amely lehetővé teszi, hogy pontosan megadja az érdekli az adatokat.
A hálózati elemző eszközökről
Annak ellenére, hogy az ügyet nyitották a 2004egy darabig, a cikk kedvéért feltételezzük, hogy a „csomag-szippantó” és a „hálózati elemző” kifejezések azonosak. Néhányan azt állítják, hogy két különböző fogalomról van szó, és bár valószínűleg igazuk is, együtt fogjuk nézni őket, ha csak az egyszerűség kedvéért. Végül is, bár eltérően működhetnek - de valóban? - hasonló célt szolgálnak.
A Packet Sniffers lényegében három dolgot csinál. Először az összes adatcsomagot elfogják, amikor belépnek vagy kilépnek a hálózati interfészből. Másodszor, opcionálisan szűrőket alkalmaznak a csomagok egy részének figyelmen kívül hagyására, mások lemezre mentésére. Ezután elvégzik a rögzített adatok valamilyen formáját. A termékek közötti különbségek az utolsó funkcióban vannak.
A legtöbb csomagszippantó külső modulra támaszkodikaz adatcsomagok tényleges rögzítéséhez. A leggyakoribb a libpcap Unix / Linux rendszereken és a Winpcap Windows rendszeren. Általában nem kell ezeket az eszközöket telepítenie, mivel ezeket általában a packet sniffer telepítői telepítik.
Egy másik fontos dolog, amit tudnunk kell, hogy ez jóés mivel hasznosak, a Packet Sniffers nem mindent megtesz érted. Csak eszközök. Gondolhat rájuk, mint egy kalapácsra, amely önmagában nem fog megszerezni a szöget. Gondoskodnod kell arról, hogy megtanulod az egyes eszközök legjobb felhasználását. A csomagszippantó lehetővé teszi az általa elfoglalt forgalom elemzését, de a feladata, hogy ellenőrizze, hogy a megfelelő adatokat rögzíti-e, és az Ön előnye érdekében használja fel. Egész könyveket írtak a csomagmegfogó eszközök használatáról. Egyszer vettem egy háromnapos tanfolyamot a témáról.
Csomagos sniffer használata
Mint már mondtuk, egy csomag-szippantó képes lesz ráa forgalom rögzítése és elemzése. Ezért, ha egy konkrét problémát próbál megoldani - egy ilyen eszköz tipikus használatakor, akkor először meg kell győződnie arról, hogy a rögzített forgalom a megfelelő-e. Képzeljünk el egy olyan esetet, ahol egy adott alkalmazás minden egyes felhasználója panaszkodik, hogy lassú. Ilyen helyzetben valószínűleg az lenne, ha a forgalmat rögzítené az alkalmazáskiszolgáló hálózati felületén, mivel úgy tűnik, hogy minden felhasználót érinti. Ekkor észreveheti, hogy a kérések általában a kiszolgálóra érkeznek, de a kiszolgálónak sok időbe telik a válaszok küldése. Ez inkább a szerver késleltetésére utal, mint hálózati problémára.
Másrészt, ha látod a szervertha időben válaszol a kérésekre, azt jelentheti, hogy a probléma valahol a hálózaton található az ügyfél és a szerver között. Ezután egy ugrást közelebb mozgat a csomagszippantóhoz az ügyféllel, és megnézheti, hogy a válaszok késik-e. Ha nem, akkor közelebb kerülne az ügyfélhez, és így tovább, és így tovább. Végül arra a helyre jut, ahol késések fordulnak elő. És miután meghatározta a probléma helyét, egy nagy lépéssel közelebb kerül a megoldásához.
Lássuk, hogyan sikerül elfogni a csomagokat itt:egy hálózat adott pontja. A megvalósítás egy egyszerű módja, hogy kihasználják a legtöbb hálózati kapcsolónak a port tükrözéssel vagy replikációval nevezett tulajdonságát. Ez a konfigurációs beállítás replikálja az adott kapcsolóporton belüli és onnan származó összes forgalmat ugyanazon a kapcsolón egy másik portra. Például, ha a szerver csatlakozik a kapcsoló 15. portjához, és ugyanazon kapcsoló 23. portja elérhető. Csatlakoztatja a csomagszippantót a 23. porthoz, és úgy konfigurálja a kapcsolót, hogy replikálja az összes forgalmat a 15. portból a 23. portba.
A legjobb Wireshark-alternatívák
Most, hogy jobban megérted mit Wireshark és más csomag-szippantók és hálózati elemzőknézzük meg, milyen alternatív termékek vannak. A listánkban megtalálható a parancssori és a GUI eszközök, valamint a különféle operációs rendszereken futó eszközök keveréke.
1. SolarWinds Mély csomag ellenőrző és elemző eszköz (INGYENES PRÓBAVERZIÓ)
SolarWinds jól ismert legkorszerűbb hálózati menedzsment eszközeiről. A cég körülbelül 20 éve működik, és számos nagyszerű eszközt hozott nekünk. A zászlóshajója az SolarWinds hálózati teljesítményfigyelő A legtöbb a hálózati sávszélességet figyelő egyik legjobb eszközként ismeri el. SolarWinds Az is híres, hogy maroknyi kiváló ingyenes eszközt készít, amelyek mindegyike a hálózati rendszergazdák speciális igényeinek felel meg. Ezen eszközök két példája a SolarWinds TFTP szerver és a Speciális alhálózati számológép.
Mint a Wireshark- és talán a legjobb alternatíva, mivel ez egy ilyen különféle eszköz -SolarWinds javasolja a Mély csomag ellenőrző és elemző eszköz. Ennek része a SolarWinds hálózati teljesítményfigyelő. Működése meglehetősen különbözik a „hagyományosabb” csomag-szippantóktól, bár hasonló célt szolgál.
- Ingyenes próbaverzió: SolarWinds hálózati teljesítményfigyelő
- Hivatalos letöltési link: https://www.solarwinds.com/network-performance-monitor/registration
A Mély csomag ellenőrző és elemző eszköz sem csomag-szippantó, sem hálózatelemző, mégis segít megtalálni és megoldani a hálózati késések okát, azonosítani az érintett alkalmazásokat, és meghatározni, hogy a lassúságot a hálózat vagy egy alkalmazás okozza-e. Mivel hasonló célt szolgál, mint a Wireshark, úgy éreztük, hogy megérdemli, hogy ebbe a listába kerüljön. Az eszköz mély csomag-ellenőrzési technikákat fog használni a több mint tizenötszáz alkalmazás válaszidejének kiszámításához. Ezenkívül osztályozni fogja a hálózati forgalmat kategória (pl. Üzleti vs társadalmi) és kockázati szint szerint. Ez elősegítheti a nem üzleti forgalom azonosítását, amelynek előnye származhat a szűrésből, valahogy ellenőrzésből vagy megszüntetésből.
A Mély csomag ellenőrző és elemző eszköz a. szerves része Hálózati teljesítményfigyelő vagy NPM amint gyakran nevezik, ami önmagában is egylenyűgöző szoftver, annyi összetevővel, hogy egy egész cikket el lehet írni róla. Ez egy teljes hálózatmegfigyelő megoldás, amely egyesíti a legjobb technológiákat, például az SNMP-t és a mély csomag ellenőrzést, hogy minél több információt biztosítson a hálózat állapotáról.
Az árak a SolarWinds hálózati teljesítményfigyelő amely magában foglalja a Mély csomag ellenőrző és elemző eszköz Akár 2 955 dollárból indul akár 100 megfigyelt elemnélés felmegy a megfigyelt elemek száma szerint. Az eszköz 30 napos ingyenes próbaverzióval érhető el, így mielőtt megvásárolja, ellenőrizheti, hogy az valóban megfelel-e az Ön igényeinek.
2. tcpdump
tcpdump valószínűleg az eredeti csomag-szippantó. 1987-ben hozták létre. Ez több mint tíz évvel ezelőtt Wireshark és még mielőtt Sniffer lenne. Az első kiadás óta az eszközt karbantartották és továbbfejlesztették, de lényegében változatlan marad. Az eszköz felhasználásának módja evolúciója során sokat nem változott. Szinte minden Unix-szerű operációs rendszerre telepíthető, és a csomagok rögzítésének gyors eszközévé vált de facto szabványnak. Mint a legtöbb hasonló termék a * nix platformon, tcpdump a libpcap könyvtárat használja a tényleges csomagrögzítéshez.
Az alapértelmezett működése tcpdump viszonylag egyszerű. Rögzíti az összes forgalmat a megadott interfészen, és „leraktálja” - tehát a nevét - a képernyőn. Mivel egy standard * nix eszköz, akkor a kimenetet egy rögzítési fájlba továbbíthatja, amelyet később elemezhet a választott elemző eszköz segítségével. Valójában nem ritka, hogy a felhasználók a tcpdump segítségével rögzítik a forgalmat későbbi elemzés céljából a Wiresharkban. Az egyik kulcs a tcpdumpErőssége és hasznossága a lehetőségealkalmazzon szűrőket és / vagy a kimenetet grep-hez - egy másik általános * nix parancssori segédprogramhoz - tovább szűrje. Valaki, aki elsajátítja a tcpdump, grep fájlt és a parancshéjat, megszerezheti azt, hogy pontosan rögzítse a hibakeresési feladatokhoz megfelelő forgalmat.
3. Windump
Dióhéjban, Windump a tcpdump portja a Windows platformon. Mint ilyen, ugyanúgy viselkedik. Ez azt jelenti, hogy a tcpdump funkciók nagy részét a Windows alapú számítógépekre hozza. A Windump lehet egy Windows alkalmazás, de ne számítson egy képzeletbeli felhasználói felületre. Valójában a tcpdump Windows rendszeren, és mint ilyen, ez csak egy parancssori segédprogram.
használata Windump alapvetően ugyanaz, mint a * nix megfelelőjének használata. A parancssori lehetőségek csaknem azonosak, és az eredmények szintén szinte azonosak. Csakúgy, mint a tcpdump, a kimenet a Windump fájlba menthető későbbi elemzés céljából egy harmadik féltől származó eszköz segítségével. A grep azonban általában nem érhető el a Windows számítógépeken, korlátozva ezzel az eszköz szűrési képességét.
Egy másik fontos különbség a tcpdump és a Windump ugyanolyan könnyen elérhető az operációs rendszer csomagtárából. A szoftvert le kell töltenie a Windump weboldal. Futtatható fájlként kerül kiszállításra, és nincs szükség telepítésre. Mint ilyen, hordozható eszköz, amelyet egy USB-kulcsból el lehet indítani. Ugyanakkor, akárcsak a tcpdump használja a libpcap könyvtárat, Windump a Winpcap programot használja, amelyet külön kell letölteni és telepíteni.
4. Tshark
Gondolhat Tshark keresztként a tcpdump és a Wireshark de a valóságban ez többé-kevésbé a. parancssori változata Wireshark. Ugyanazon fejlesztőtől származik, mint a Wireshark. Tshark a tcpdump-hoz hasonlít, mivel ez csak parancssori eszköz. De ez is így van Wireshark abban, hogy nem csak a forgalmat fogja el. Ugyanolyan hatékony elemzési képességekkel rendelkezik, mint a Wireshark és ugyanazt a szűrést használja. Ezért gyorsan elkülöníti a pontos forgalmat, amelyet elemeznie kell.
Tshark felvet egy kérdést. Miért akarna bárki a (z) parancssori verzióját? Wireshark? Miért nem csak használja? Wireshark? A legtöbb rendszergazda - sőt, a legtöbb ember is - tennéegyetértenek abban, hogy általánosságban elmondható, hogy a grafikus felhasználói felülettel rendelkező eszközök gyakran könnyebben használhatók és megtanulhatók, intuitívabbak és felhasználóbarátabbak. Végül is, miért lett ilyen népszerű a grafikus operációs rendszerek? A fő ok, amiért bárki választott Tshark felett Wireshark akkor, amikor csak gyorsan el akarnak készíteniközvetlenül a kiszolgálón a hibaelhárítás céljából. És ha arra gyanakszik, hogy a kiszolgálóval kapcsolatos teljesítményprobléma merül fel, akkor érdemes lehet egy nem GUI eszközt használni, mivel ez kevésbé adóztathatja az erőforrásokat.
5. Network Miner
Network Miner inkább kriminalisztikai eszköz, mint csomagos szippantóvagy hálózati elemző. Ez az eszköz egy TCP adatfolyamot követi, és egy teljes beszélgetést rekonstruálhat. Ez egy igazán hatékony eszköz a forgalom mélyreható elemzéséhez, bár ezt nehéz lehet elsajátítani. Az eszköz offline módban működhet, ahol importálhat egy rögzítési fájlt - amelyet talán a többi áttekintett eszköz egyikével hoztak létre -, és hagyja Network Miner működik a varázsa. Tekintettel arra, hogy a szoftver csak Windows rendszeren fut, minden bizonnyal plusz az a lehetőség, hogy rögzítési fájlokból dolgozzunk. Használhatja például a tcpdump fájlt Linuxon a forgalom rögzítéséhez, és a Network Miner alkalmazást a Windowson az elemzéshez.
Network Miner ingyenes verzióban érhető el, de a továbbiakbankorszerű funkciók, mint például az IP-cím alapú földrajzi helymeghatározás és a szkriptek, meg kell vásárolni egy Professional licencet, amely 900 dollárba kerül. A professzionális változat további fejlett funkciója a VoIP hívások dekódolása és lejátszása.
6. Hegedűs
Néhány olvasónk - különösen a jobban tájékozottak - kísértésnek hangzik erre Hegedűs, az utolsó bejegyzésünk, sem csomag-szippantó, semegy hálózati elemző. Hogy őszinte legyek, valószínűleg igazuk is van, de mégis úgy éreztük, hogy ezt az eszközt fel kell vennünk a listánkba, mivel ez nagyon különféle helyzetekben hasznos lehet.
Első és legfontosabb: állítsuk össze a dolgokat, Hegedűs valóban rögzíti a forgalmat. Ugyanakkor nem fogja elvonni a forgalmat. Csak HTTP forgalommal működik. E korlátozás ellenére, amikor figyelembe vesszük, hogy manapság sok alkalmazás web-alapú, vagy a háttérben használja a HTTP protokollt, könnyen belátható, mennyire értékes lehet az eszköz, mint például az eszköz. Mivel az eszköz nemcsak a böngésző forgalmát, hanem szinte bármilyen HTTP-t is rögzít, nagyon hasznos lehet a különféle alkalmazások hibaelhárításában.
Az olyan eszközök fő előnye, mint a Hegedűs egy olyan "igaz" csomag-szippantó felett, mint a Wireshark, azazt építették, hogy "megértsék" a HTTP forgalmat. Fel fogja fedezni például a sütiket és a tanúsítványokat. Ezenkívül a HTTP-alapú alkalmazásokból származó aktuális adatokat is megtalálja. Hegedűs ingyenes, és csak a Windows számára érhető el. Az OS X és Linux bétaverziója (a Mono keretrendszer használatával) azonban letölthető.
Hozzászólások