הרחרת מנות היא סוג עמוק של רשתניתוח בו מפענחים את פרטי תעבורת הרשת לניתוח. זוהי אחת המיומנויות החשובות ביותר לפתרון תקלות שכל מנהל רשת צריך להחזיק בהן. ניתוח תנועת רשת הוא משימה מורכבת. כדי להתמודד עם רשתות לא אמינות, נתונים לא נשלחים בזרם רציף אחד. במקום זאת, הוא קצוץ בשברים שנשלחים באופן פרטני. ניתוח תנועת רשת כרוך ביכולת לאסוף את חבילות הנתונים הללו ולהרכיב אותן מחדש למשהו בעל משמעות. זה לא דבר שאתה יכול לעשות ידנית כך שנוצרו רחרוחי מנות ומנתחי רשת. אנו בוחנים שבעה ממריחי המנות הטובים ביותר ומנתחי רשת.
אנחנו מתחילים את המסע של היום על ידי מתן לךקצת מידע רקע על מריחות מנות. ננסה להבין מה ההבדל - או אם יש הבדל - בין מריח מנות למנתח רשת. לאחר מכן נמשיך לליבת הנושא שלנו ולא רק לרשימה אלא נסקור בקצרה כל אחת משבע הבחירות שלנו. מה שיש לנו עבורך הוא שילוב של כלי GUI וכלים בשירותי פקודה הפועלים על מערכות הפעלה שונות.
כמה מילים על מרחרחי מנות ומנתחי רשת
נתחיל עם יישוב משהו. לצורך מאמר זה, נניח שמריחי מנות ומנתחי רשת הם זהים. יש שיטענו שהם שונים ויכול להיות שהם צודקים. אך בהקשר של מאמר זה, נסתכל עליהם ביחד, בעיקר משום שלמרות שהם עשויים לפעול אחרת - אך האם הם באמת? - הם משרתים את אותה מטרה.
לרחרחני מנות בדרך כלל עושים שלושה דברים. ראשית, הם לוכדים את כל מנות הנתונים כאשר הם נכנסים או יוצאים מממשק רשת. שנית, הם יכולים להחיל מסננים כדי להתעלם מחלק מהחבילות ולשמור אחרים בדיסק. לאחר מכן הם מבצעים צורה כלשהי של ניתוח הנתונים שנלכדו. זה באותה פונקציה אחרונה של מריחי מנות שהם שונים זה מזה.
ללכידה בפועל של חבילות הנתונים, לרובכלים משתמשים במודול חיצוני. הנפוצים ביותר הם libpcap במערכות יוניקס / לינוקס ו- Winpcap במערכת Windows. בדרך כלל לא תצטרך להתקין כלים אלה מכיוון שהם בדרך כלל מותקנים על ידי מתקני הכלים השונים.
דבר נוסף שחשוב לדעת הוא זה מנותרחרחים - אפילו הטובים ביותר - לא יעשו הכל בשבילך. הם רק כלים. זה ממש כמו פטיש שלא יניע שום מסמר בפני עצמו. לכן, עליכם לוודא שתלמדו כיצד להשתמש בצורה הטובה ביותר בכל כלי. החלף של המנות רק יאפשר לך לראות את התנועה, אך באחריותך להשתמש במידע זה כדי למצוא בעיות. היו ספרים שלמים על שימוש בכלי לכידת מנות. אני, אני עצמי, לקחתי פעם קורס של שלושה ימים בנושא. אני לא מנסה להרתיע אותך. אני רק מנסה לכוון את הציפיות שלך.
כיצד להשתמש במריחת מנות
כפי שהסברנו, צלף מנות יתפוסולנתח תנועה. לכן, אם אתה מנסה לפתור בעיה ספציפית - וזו בדרך כלל הסיבה שאתה משתמש בכלי כזה - ראשית עליך לוודא שהתנועה שאתה מצלם היא התנועה הנכונה. דמיין מצב בו כל המשתמשים מתלוננים כי יישום מסוים איטי. במצב כזה, ככל הנראה, הדבר הטוב ביותר שלך יהיה לתפוס תנועה בממשק הרשת של שרת היישום. ייתכן שתבינו שבקשות יגיעו לשרת באופן רגיל אך לוקח לשרת זמן רב לשלוח תגובות. זה מעיד על בעיית שרת.
אם לעומת זאת, אתה רואה את השרתבתגובה במועד, יתכן ופירוש הדבר שהבעיה נמצאת איפשהו ברשת בין הלקוח לשרת. לאחר מכן היית מקרב את מריח המנות שלך לקפוץ אחד ללקוח ורואה אם התגובות מתעכבות. אם זה לא, אתה מתקרב יותר ללקוח, וכן הלאה וכן הלאה. בסופו של דבר תגיע למקום בו מתרחשות עיכובים. ברגע שזיהית את מיקום הבעיה, אתה צעד אחד גדול יותר לפיתרון.
עכשיו אולי תוהה כיצד אנו מצליחים ללכודמנות בנקודה ספציפית. זה די פשוט, אנו מנצלים את התכונה של רוב מתגי הרשת הנקראים שיקוף או שכפול של יציאה. זוהי אפשרות תצורה שתשכפל את כל התעבורה ביציאה מתג ספציפית ומחוצה לה ליציאה אחרת באותו מתג. נניח שהשרת שלך מחובר ליציאה 15 של מתג ושהיציאה 23 של אותו מתג זמינה. אתה מחבר את מריח המנות שלך ליציאה 23 ולהגדיר את המתג לשכפול כל התעבורה מנמל 15 ליציאה 23. מה שתקבל כתוצאה ביציאה 23 הוא תמונת מראה - ומכאן שם שיקוף הנמל - של מה שעובר על יציאה 15.
מריחי המנות הטובים ביותר ומנתחי רשת
עכשיו שכדאי שתבינו איזו מנהמריחים ומנתחי רשת הם, בואו נראה מהם שבעת הטובים ביותר שיכולנו למצוא. ניסינו לכלול תערובת של כלי שורת פקודה וכלי GUI וכן לכלול כלים הפועלים במערכות הפעלה שונות. אחרי הכל, לא כל מנהלי הרשת מפעילים את Windows.
1. כלי פיקוח וניתוח מנות עמוק של SolarWinds (ניסיון חינם)
SolarWinds ידועה בשל כלים חופשיים שימושיים רבים ו -תוכנת ניהול הרשת המתקדמת ביותר שלה. אחד הכלים שלו נקרא כלי פיקוח וניתוח עמוק של מנות. זה מגיע כמרכיב במוצר הדגל של SolarWinds, מוניטור ביצועי הרשת. פעולתו שונה לחלוטין מריחות מנות "מסורתיות" יותר אם כי היא משרתת מטרה דומה.
לסיכום הפונקציונליות של הכלי: זה יעזור לך למצוא ולפתור את הסיבה לאחיות רשת, לזהות יישומים שהושפעו ולקבוע אם איטיות נגרמת על ידי הרשת או היישום. התוכנה תשתמש גם בטכניקות בדיקת מנות עמוקות בכדי לחשב את זמן התגובה של למעלה מתריסר מאות יישומים. זה גם יסווג את התעבורה ברשת לפי קטגוריות, עסקים לעומת חברתיים ורמת סיכון, וכך יסייע לך לזהות תנועה לא-עסקית שעשויה להזדקק לסינון או ביטול אחר.
ואל תשכחו כי המנה העמוקה של SolarWindsכלי הפיקוח והניתוח מגיע כחלק ממוניטור Performace Network. NPM, כפי שהוא מכונה לעתים קרובות הוא חתיכת תוכנה מרשימה עם כל כך הרבה רכיבים, עד שיכול להיות מוקדש לה מאמר שלם. בבסיסה זהו פיתרון ניטור רשת שלם המשלב את מיטב הטכנולוגיות כמו SNMP ובדיקת מנות עמוק כדי לספק מידע רב ככל האפשר על מצב הרשת שלך. הכלי, במחיר סביר מגיע עם תקופת ניסיון חינם למשך 30 יום, כך שתוכל לוודא שהוא באמת מתאים לצרכים שלך לפני שתתחייב לרכוש אותו.
קישור הורדה רשמי: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump הוא ככל הנראה מריח החבילות המקורי. הוא נוצר עוד בשנת 1987. מאז הוא מתוחזק ומשופר, אך נותר ללא שינוי, לפחות כך הוא משמש. הוא מותקן מראש כמעט בכל מערכת הפעלה דמוית יוניקס והפך לתקן דה-פקטו כאשר צריך כלי מהיר לתפיסת מנות. Tcpdump משתמש בספריית libpcap לצורך לכידת המנות בפועל.
כברירת מחדל. tcpdump לוכד את כל התעבורה בממשק שצוין ו"זורק "אותו - ומכאן שמו - על המסך. ניתן להזיז את המזבלה לקובץ לכידה ולנתח אותו מאוחר יותר באמצעות אחד - או שילוב - של מספר כלים זמינים. מפתח לחוזק ושימושיותה של tcpdump הוא האפשרות להחיל כל מיני פילטרים ולהעביר את הפלט שלהם ל- grep - עוד כלי שורת פקודה משותף של יוניקס - להמשך סינון. מישהו עם ידע טוב ב- tcpdump, grep ומעטפת הפקודה יכול לגרום לו לתפוס בדיוק את התנועה הנכונה לכל משימת ניפוי שגיאות.
3. Windump
Windump הוא בעצם רק נמל של tcpdump אליופלטפורמת Windows. ככזה, הוא מתנהג באותה צורה. זה לא נדיר לראות יציאות כאלה של תוכניות שירות מצליחות מפלטפורמה אחת לשנייה. Windump הוא יישום של Windows, אך אל תצפו ממשק משתמש GUI מפואר. זהו כלי בשורת פקודה בלבד. לפיכך השימוש ב- Windump זהה למעשה לשימוש במקביל יוניקס שלו. אפשרויות שורת הפקודה זהות והתוצאות כמעט זהות. ניתן לשמור את הפלט מ- Windump לקובץ לצורך ניתוח מאוחר יותר באמצעות כלי של צד שלישי.
ההבדל העיקרי אחד עם tcpdump הוא Windumpאינו מובנה בחלונות. תצטרך להוריד אותו מאתר Windump. התוכנה מועברת כקובץ הפעלה ואינה דורשת התקנה. עם זאת, ממש כמו tcpdump משתמש בספריה libpcap, Windump משתמשת ב- Winpcap, שכמו רוב ספריות Windows, יש להוריד ולהתקין בנפרד.
4. Wireshark
Wireshark הוא ההתייחסות במריחי מנות. זה הפך לתקן דה-פקטו ורוב הכלים האחרים נוטים לחקות אותו. כלי זה לא רק יתפוס תנועה, יש לו גם יכולות ניתוח חזקות למדי. כה חזק עד שמנהלים רבים ישתמשו ב- tcpdump או ב- Windump בכדי ללכוד תנועה לקובץ ואז יטען את הקובץ ל- Wireshark לצורך ניתוח. זוהי דרך כה נפוצה להשתמש ב- Wireshark, כי בעת ההפעלה תתבקש לפתוח קובץ pcap קיים או להתחיל לתפוס תנועה. חוזק נוסף של Wireshark הוא כל המסננים שהוא משלב המאפשרים לך לאפס בדיוק את הנתונים שאתה מעוניין בהם.
אם להיות כנה לחלוטין, לכלי זה יש תלולעקומת למידה אך כדאי ללמוד זאת. זה יוכיח שוב ושוב לא יסולא בפז. ברגע שלמדת את זה, תוכל להשתמש בו בכל מקום שכן הועבר כמעט לכל מערכת הפעלה והיא חינמית וקוד פתוח.
5. כריש
Tshark הוא כמו מעבר בין tcpdumpו- Wireshark. זה דבר נהדר מכיוון שהם כמה מריחי המנות הטובים ביותר שקיימים שם. Tshark הוא כמו tcpdump בכך שהוא כלי בשורת פקודה בלבד. אבל זה גם כמו Wireshark בכך שהוא לא רק תופס אלא גם מנתח תנועה. Tshark הוא מאותם מפתחים כמו Wireshark. זו, פחות או יותר, גרסת שורת הפקודה של Wireshark. הוא משתמש באותו סוג של סינון כמו Wireshark ולכן יכול לבודד במהירות רק את התנועה שאתה צריך לנתח.
אבל מדוע, אולי תשאלו, האם מישהו ירצה?גרסת שורת הפקודה של Wireshark? מדוע לא פשוט להשתמש ב Wireshark; עם הממשק הגרפי שלו, זה צריך להיות פשוט יותר לשימוש וללמידה? הסיבה העיקרית היא שהיא תאפשר לך להשתמש בו בשרת שאינו GUI.
6. כורה ברשת
כריית רשת היא כלי פלילי יותרמאשר מרחרח חבילות אמיתי. Network Miner יעקוב אחר זרם TCP וישחזר שיחה שלמה. זה באמת כלי אחד חזק. זה יכול לעבוד במצב לא מקוון שבו היית מייבא קובץ לכידה כלשהו כדי לאפשר ל- Network Miner לעבוד בקסם שלו. זוהי תכונה שימושית שכן התוכנה פועלת רק ב- Windows. אתה יכול להשתמש ב- tcpdump ב- Linux כדי לתפוס קצת תנועה ו- Network Miner ב- Windows כדי לנתח אותה.
Network Miner זמין בגרסה חינמית אך,לתכונות המתקדמות יותר כגון מיקום גיאוגרפי מבוסס-IP וסקריפטים, יהיה עליכם לרכוש רישיון למקצוענים. פונקציה מתקדמת נוספת של הגרסה המקצועית היא האפשרות לפענח ולהשמיע שיחות VoIP.
7. כנר (HTTP)
יתכן שחלק מהקוראים הבקיאים יותרטוענים שפידלר אינו מריח מנות ואינו מנתח רשת. הם כנראה צודקים אבל הרגשנו שעלינו לכלול את הכלי הזה ברשימה שלנו מכיוון שהוא מאוד שימושי במצבים רבים. כנר יתפוס למעשה תנועה אך לא תנועה כלשהי. זה עובד רק עם תעבורת HTTTP. אתה יכול לדמיין כמה יקר ערך זה יכול להיות למרות המגבלה שלך כשאתה מחשיב שכל כך הרבה יישומים כיום מבוססי אינטרנט או משתמשים ברקע בפרוטוקול HTTP. ומכיוון שפידלר יתפוס לא רק תנועת דפדפן אלא כמעט כל HTTP, זה שימושי מאוד בפתרון בעיות
היתרון של כלי כמו כנר על פני בונהמריחת חבילות פיד כמו הדוגמת Wireshark היא ש כנר נבנה כדי "להבין" את תעבורת HTTP. זה, למשל, יגלה עוגיות ותעודות. הוא ימצא גם נתונים בפועל שמגיעים מיישומים מבוססי HTTP. כנר הוא בחינם והוא זמין עבור Windows רק אם ניתן לבנות בטא עבור מערכת הפעלה X ו- Linux (באמצעות מסגרת Mono).
סיכום
כאשר אנו מפרסמים רשימות כמו זו, אנו לעתים קרובותשאל איזה מהם הכי טוב. במצב הספציפי הזה, אם נשאלתי את השאלה הזו, הייתי צריך לענות על "כולם". כולם כלים חינמיים ולכולם יש את הערך שלהם. מדוע לא שיהיה להם כולם בהישג יד ולהכיר את כל אחד מהם. כשאתה מגיע למצב שאתה צריך להשתמש בהם, זה יהיה הרבה יותר קל ויעיל. אפילו לכלים בשורת הפקודה יש ערך עצום. לדוגמה, ניתן לתסריט אותם ולתזמן אותם. דמיין שיש לך בעיה שקורה בשעה 02:00 בבוקר מדי יום. אתה יכול לתזמן עבודה להפעלת tcpdump של Windump בין 1:50 ל- 2:10 ולנתח את קובץ הלכידה למחרת בבוקר. אין צורך להישאר ער כל הלילה.
הערות