Lo sniffing dei pacchetti è un tipo profondo di reteanalisi in cui i dettagli del traffico di rete vengono decodificati per essere analizzati. È una delle abilità di risoluzione dei problemi più importanti che qualsiasi amministratore di rete dovrebbe possedere. L'analisi del traffico di rete è un compito complicato. Per far fronte a reti inaffidabili, i dati non vengono inviati in un flusso continuo. Invece, viene suddiviso in frammenti inviati singolarmente. L'analisi del traffico di rete implica la possibilità di raccogliere questi pacchetti di dati e riassemblarli in qualcosa di significativo. Questo non è qualcosa che puoi fare manualmente, così sono stati creati sniffer di pacchetti e analizzatori di rete. Oggi diamo un'occhiata a sette dei migliori sniffer di pacchetti e analizzatori di rete.
Stiamo iniziando il viaggio di oggi dandotialcune informazioni di base su cosa sono gli sniffer di pacchetti. Cercheremo di capire qual è la differenza - o se c'è una differenza - tra uno sniffer di pacchetti e un analizzatore di rete. Passeremo quindi al nocciolo della nostra materia e non solo all'elenco, ma esamineremo anche brevemente ciascuna delle nostre sette scelte. Quello che abbiamo per te è una combinazione di strumenti GUI e utility da riga di comando che girano su vari sistemi operativi.
Qualche parola su sniffer di pacchetti e analizzatori di rete
Cominciamo sistemando qualcosa. Per il bene di questo articolo, supponiamo che gli sniffer di pacchetti e gli analizzatori di rete siano la stessa cosa. Alcuni sosterranno che sono diversi e potrebbero avere ragione. Ma nel contesto di questo articolo, li esamineremo insieme, principalmente perché anche se potrebbero operare in modo diverso - ma lo fanno davvero? - servono allo stesso scopo.
Gli sniffer di pacchetti di solito fanno tre cose. Innanzitutto, acquisiscono tutti i pacchetti di dati quando entrano o escono da un'interfaccia di rete. In secondo luogo, facoltativamente applicano i filtri per ignorare alcuni dei pacchetti e salvarne altri sul disco. Eseguono quindi una qualche forma di analisi dei dati acquisiti. È in quest'ultima funzione degli sniffer di pacchetti che differiscono di più.
Per l'acquisizione effettiva dei pacchetti di dati, la maggior partegli strumenti utilizzano un modulo esterno. I più comuni sono libpcap su sistemi Unix / Linux e Winpcap su Windows. In genere non è necessario installare questi strumenti in quanto sono generalmente installati dai diversi programmi di installazione degli strumenti.
Un'altra cosa importante da sapere è quel pacchettoGli sniffer, anche il migliore, non faranno tutto per te. Sono solo strumenti. È proprio come un martello che non guiderà nessun chiodo da solo. Quindi, devi assicurarti di imparare come utilizzare al meglio ogni strumento. Lo sniffer di pacchetti ti consentirà di vedere il traffico ma spetta a te utilizzare tali informazioni per trovare i problemi. Ci sono stati libri interi sull'uso degli strumenti di acquisizione dei pacchetti. Io stesso una volta ho seguito un corso di tre giorni sull'argomento. Non sto cercando di scoraggiarti. Sto solo cercando di chiarire le tue aspettative.
Come usare uno sniffer di pacchetti
Come abbiamo spiegato, verrà catturato uno sniffer di pacchettie analizzare il traffico. Pertanto, se stai cercando di risolvere un problema specifico, che di solito è il motivo per cui utilizzeresti tale strumento, devi prima assicurarti che il traffico che catturi sia il traffico giusto. Immagina una situazione in cui tutti gli utenti si lamentano che un'applicazione particolare è lenta. In quel tipo di situazione, la soluzione migliore sarebbe probabilmente catturare il traffico sull'interfaccia di rete del server delle applicazioni. È quindi possibile rendersi conto che le richieste arrivano normalmente al server ma che il server impiega molto tempo a inviare le risposte. Ciò indicherebbe un problema del server.
Se, d'altra parte, vedi il serverrispondere in modo tempestivo, probabilmente significa che il problema è da qualche parte sulla rete tra il client e il server. Sposteresti quindi il tuo sniffer di pacchetti di un salto più vicino al client e vedrai se le risposte sono ritardate. In caso contrario, ti avvicini di più al cliente, e così via e così via. Alla fine arriverai al punto in cui si verificano ritardi. E una volta identificata la posizione del problema, sei ancora un passo avanti nella risoluzione.
Ora ti starai chiedendo come riusciamo a catturarepacchetti in un punto specifico. È piuttosto semplice, sfruttiamo una funzionalità della maggior parte degli switch di rete chiamata mirroring o replica delle porte. Questa è un'opzione di configurazione che replicherà tutto il traffico in entrata e in uscita da una porta dello switch specifica a un'altra porta sullo stesso switch. Supponiamo che il tuo server sia collegato alla porta 15 di uno switch e che sia disponibile la porta 23 dello stesso switch. Collega il tuo sniffer di pacchetti alla porta 23 e configuri lo switch per replicare tutto il traffico dalla porta 15 alla porta 23. Ciò che ottieni come risultato sulla porta 23 è un'immagine speculare, da cui il nome di mirroring della porta, di ciò che passa attraverso la porta 15.
I migliori sniffer di pacchetti e analizzatori di rete
Ora che capisci meglio quale pacchettosniffer e analizzatori di rete sono, vediamo quali sono i sette migliori che siamo riusciti a trovare. Abbiamo provato a includere un mix di strumenti da riga di comando e GUI, nonché strumenti in esecuzione su vari sistemi operativi. Dopotutto, non tutti gli amministratori di rete eseguono Windows.
1. Strumento di ispezione e analisi dei pacchetti profondi SolarWinds (PROVA GRATUITA)
SolarWinds è noto per i suoi numerosi utili strumenti gratuiti eil suo software di gestione della rete all'avanguardia. Uno dei suoi strumenti è chiamato Deep Packet Inspection and Analysis Tool. Viene fornito come componente del prodotto di punta di SolarWinds, Network Performance Monitor. Il suo funzionamento è alquanto diverso dagli sniffer di pacchetti più "tradizionali" sebbene abbia uno scopo simile.
Per riassumere la funzionalità dello strumento: ti aiuterà a trovare e risolvere la causa delle latenze di rete, identificare le applicazioni interessate e determinare se la lentezza è causata dalla rete o da un'applicazione. Il software utilizzerà anche tecniche di ispezione di pacchetti profondi per calcolare i tempi di risposta per oltre milleduecento applicazioni. Classificherà inoltre il traffico di rete per categoria, business vs social e livello di rischio, aiutandoti a identificare il traffico non aziendale che potrebbe essere necessario filtrare o altrimenti eliminato.
E non dimenticare che il pacchetto profondo SolarWindsLo strumento di ispezione e analisi fa parte del Network Performace Monitor. L'NPM, come viene spesso chiamato, è un software impressionante con così tanti componenti che un intero articolo può essere dedicato ad esso. Fondamentalmente, è una soluzione di monitoraggio della rete completa che combina le migliori tecnologie come SNMP e l'ispezione approfondita dei pacchetti per fornire quante più informazioni possibili sullo stato della rete. Lo strumento, che ha un prezzo ragionevole, viene fornito con una prova gratuita di 30 giorni in modo da poter essere sicuro che si adatti davvero alle tue esigenze prima di impegnarti ad acquistarlo.
Link per il download ufficiale: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump è probabilmente lo sniffer di pacchetti originale. È stato creato nel 1987. Da allora, è stato mantenuto e migliorato ma rimane sostanzialmente invariato, almeno nel modo in cui viene utilizzato. È preinstallato praticamente in ogni sistema operativo simile a Unix ed è diventato lo standard di fatto quando è necessario uno strumento rapido per acquisire i pacchetti. Tcpdump usa la libreria libpcap per l'acquisizione effettiva dei pacchetti.
Di default. tcpdump acquisisce tutto il traffico sull'interfaccia specificata e lo "scarica" - da qui il suo nome - sullo schermo. Il dump può anche essere reindirizzato a un file di acquisizione e analizzato successivamente utilizzando una o una combinazione di diversi strumenti disponibili. Una chiave per la forza e l'utilità di tcpdump è la possibilità di applicare tutti i tipi di filtri e di reindirizzare il proprio output a grep, un'altra comune utility da riga di comando Unix, per ulteriori filtri. Qualcuno con una buona conoscenza di tcpdump, grep e della shell dei comandi può farlo catturare con precisione il traffico giusto per qualsiasi attività di debug.
3. Windump
Windump è essenzialmente solo una porta di tcpdump ala piattaforma Windows. Come tale, si comporta più o meno allo stesso modo. Non è raro vedere tali porte di programmi di utilità di successo da una piattaforma all'altra. Windump è un'applicazione Windows, ma non aspettarti un'interfaccia grafica sofisticata. Questa è un'utilità solo da riga di comando. L'uso di Windump, quindi, è sostanzialmente uguale all'utilizzo della sua controparte Unix. Le opzioni della riga di comando sono le stesse e anche i risultati sono quasi identici. L'output di Windump può anche essere salvato in un file per successive analisi con uno strumento di terze parti.
Una delle principali differenze con tcpdump è che Windumpnon è integrato in Windows. Dovrai scaricarlo dal sito Web di Windump. Il software viene fornito come file eseguibile e non richiede installazione. Tuttavia, proprio come tcpdump utilizza la libreria libpcap, Windump utilizza Winpcap che, come la maggior parte delle librerie di Windows, deve essere scaricato e installato separatamente.
4. Wireshark
Wireshark è il riferimento negli sniffer di pacchetti. È diventato lo standard di fatto e la maggior parte degli altri strumenti tende ad emularlo. Questo strumento non solo catturerà il traffico, ma ha anche capacità di analisi piuttosto potenti. Così potente che molti amministratori utilizzeranno tcpdump o Windump per acquisire il traffico su un file, quindi caricarlo in Wireshark per l'analisi. Questo è un modo così comune di usare Wireshark che all'avvio ti viene chiesto di aprire un file pcap esistente o iniziare a catturare il traffico. Un altro punto di forza di Wireshark sono tutti i filtri incorporati che ti consentono di concentrarti esattamente sui dati che ti interessano.
Ad essere sinceri, questo strumento ha un ripidocurva di apprendimento ma ne vale la pena. Dimostrerà inestimabili volte. E una volta che l'hai imparato, sarai in grado di usarlo ovunque poiché è stato portato su quasi tutti i sistemi operativi ed è gratuito e open-source.
5. tshark
Tshark è una specie di incrocio tra tcpdumpe Wireshark. Questa è un'ottima cosa in quanto sono alcuni dei migliori sniffer di pacchetti là fuori. Tshark è come tcpdump in quanto è uno strumento a riga di comando. Ma è anche come Wireshark in quanto non solo cattura, ma analizza anche il traffico. Tshark proviene dagli stessi sviluppatori di Wireshark. È, più o meno, la versione da riga di comando di Wireshark. Utilizza lo stesso tipo di filtro di Wireshark e può quindi isolare rapidamente solo il traffico che devi analizzare.
Ma perché, potresti chiedere, qualcuno vorrebbe unversione da riga di comando di Wireshark? Perché non usare solo Wireshark; con la sua interfaccia grafica, deve essere più semplice da usare e da imparare? Il motivo principale è che ti consentirebbe di usarlo su un server non GUI.
6. Network Miner
Network Miner è più uno strumento forense di piùdi un vero sniffer di pacchetti. Network Miner seguirà un flusso TCP e ricostruirà un'intera conversazione. È veramente uno strumento potente. Può funzionare in modalità offline in cui importare alcuni file di acquisizione per consentire a Network Miner di funzionare in modo magico. Questa è una funzione utile poiché il software funziona solo su Windows. È possibile utilizzare tcpdump su Linux per acquisire un po 'di traffico e Network Miner su Windows per analizzarlo.
Network Miner è disponibile in una versione gratuita ma,per le funzionalità più avanzate come la geolocalizzazione e lo scripting basati su IP, dovrai acquistare una licenza professionale. Un'altra funzione avanzata della versione professionale è la possibilità di decodificare e riprodurre chiamate VoIP.
7. Fiddler (HTTP)
Alcuni dei nostri lettori più esperti potrebberosostengono che Fiddler non è uno sniffer di pacchetti né un analizzatore di rete. Probabilmente hanno ragione, ma abbiamo ritenuto che dovremmo includere questo strumento nel nostro elenco in quanto è molto utile in molte situazioni. Il violinista catturerà effettivamente il traffico ma non il traffico. Funziona solo con traffico HTTTP. Puoi immaginare quanto possa essere prezioso nonostante la sua limitazione se consideri che così tante applicazioni oggi sono basate sul web o usano il protocollo HTTP in background. E poiché Fiddler acquisirà non solo il traffico del browser ma praticamente qualsiasi HTTP, è molto utile nella risoluzione dei problemi
Il vantaggio di uno strumento come Fiddler rispetto a una buonalo sniffer di pacchetti Fide come, ad esempio, Wireshark, è che Fiddler è stato creato per "comprendere" il traffico HTTP. Ad esempio, scoprirà cookie e certificati. Troverà anche dati reali provenienti da applicazioni basate su HTTP. Fiddler è gratuito ed è disponibile solo per Windows sebbene le build beta per OS X e Linux (usando il framework Mono) possano essere scaricate.
Conclusione
Quando pubblichiamo elenchi come questo, lo siamo spessochiesto quale sia il migliore. In questa situazione particolare, se mi venisse posta questa domanda, dovrei rispondere a "tutti loro". Sono tutti strumenti gratuiti e tutti hanno il loro valore. Perché non averli tutti a portata di mano e familiarizzare con ognuno di loro. Quando si arriva a una situazione in cui è necessario utilizzarli, sarà molto più semplice ed efficiente. Anche gli strumenti da riga di comando hanno un valore straordinario. Ad esempio, possono essere programmati e programmati. Immagina di avere un problema che si verifica ogni giorno alle 2:00. È possibile pianificare un lavoro per eseguire tcpdump di Windump tra le 1:50 e le 2:10 e analizzare il file di acquisizione la mattina successiva. Non c'è bisogno di stare sveglio tutta la notte.
Commenti