Paketų uostymas yra gilus tinklo tipasanalizė, kurioje bus analizuojama tinklo srauto informacija. Tai yra vienas iš svarbiausių trikčių šalinimo įgūdžių, kuriuos turėtų turėti kiekvienas tinklo administratorius. Tinklo srauto analizė yra sudėtinga užduotis. Norint susidoroti su nepatikimais tinklais, duomenys nesiunčiami ištisiniame sraute. Vietoj to jis susmulkinamas į fragmentus, siunčiamus atskirai. Tinklo srauto analizė apima galimybę surinkti šiuos duomenų paketus ir surinkti juos į ką nors reikšmingo. Tai nėra kažkas, ką galite padaryti rankiniu būdu, todėl buvo sukurti paketų naikintojai ir tinklo analizatoriai. Šiandien apžvelgiame septynis geriausius paketų naikintojus ir tinklo analizatorius.
Mes pradedame šiandienos kelionę jumstam tikra pagrindinė informacija apie tai, kas yra paketų šnabždesiai. Pabandysime išsiaiškinti, koks yra skirtumas - ar yra skirtumas - tarp paketų naikintojo ir tinklo analizatoriaus. Tada pereisime prie savo temos ir ne tik pateiksime sąrašą, bet ir trumpai apžvelgsime kiekvieną iš septynių mūsų pasirinkimų. Ką turime jums, yra GUI įrankių ir komandinės eilutės paslaugų, veikiančių įvairiose operacinėse sistemose, derinys.
Keletas žodžių apie paketinius šifrus ir tinklo analizatorius
Pradėkime nuo kažko sureguliavimo. Dėl šio straipsnio manysime, kad paketų naikintojai ir tinklo analizatoriai yra vienas ir tas pats. Kai kurie tvirtins, kad jie skiriasi ir jie gali būti teisūs. Tačiau šio straipsnio kontekste mes pažvelgsime į juos kartu, daugiausia todėl, kad net jei jie gali veikti skirtingai - bet ar jie iš tikrųjų? - jie tarnauja tam pačiam tikslui.
Paketiniai „Snifferiai“ paprastai daro tris dalykus. Pirma, jie užfiksuoja visus duomenų paketus, įeinant ar išeinant iš tinklo sąsajos. Antra, jie pasirinktinai taiko filtrus, kad ignoruotų kai kuriuos paketus, o kitus išsaugotų diske. Tada jie atlieka tam tikros formos užfiksuotų duomenų analizę. Labiausiai jie skiriasi būtent paskutinėje paketinių naikinimo funkcijų srityje.
Didesniam duomenų paketų surinkimuiįrankiai naudoja išorinį modulį. Dažniausios yra „libpcap“ „Unix“ / „Linux“ sistemose ir „Winpcap“ „Windows“. Paprastai jums nereikės diegti šių įrankių, nes juos paprastai įdiegia skirtingi įrankių montuotojai.
Kitas svarbus dalykas, kurį reikia žinoti, yra tas paketas„Snifferiai“ - net patys geriausi - nepadarys visko už jus. Jie yra tik įrankiai. Tai yra lyg plaktukas, kuris pats savaime neišmuš nagų. Taigi, jūs turite įsitikinti, kad išmokote geriausiai naudoti kiekvieną įrankį. Paketų naikiklis leis jums pamatyti srautą, tačiau jūs turite naudoti šią informaciją problemoms surasti. Yra ištisų knygų apie paketų fiksavimo įrankių naudojimą. Aš pats vieną kartą vedžiau trijų dienų kursą šia tema. Aš nesistengiu jūsų atgrasyti. Aš bandau tik pateisinti jūsų lūkesčius.
Kaip naudoti paketinį snifferį
Kaip mes paaiškinome, paketų snifferis užfiksuosir analizuoti srautą. Taigi, jei bandote pašalinti konkrečią problemą - dažniausiai tai yra priežastis, kodėl naudojote tokį įrankį - pirmiausia turite įsitikinti, ar srautas, kurį užfiksuojate, yra tinkamas. Įsivaizduokite situaciją, kai visi vartotojai skundžiasi, kad tam tikra programa yra lėta. Tokio tipo situacijoje turbūt geriausia būtų fiksuoti srautą programų serverio tinklo sąsajoje. Tada galite suprasti, kad užklausos į serverį patenka paprastai, tačiau serveris ilgai užtrunka, kad išsiųstų atsakymus. Tai reikštų serverio problemą.
Kita vertus, jei matote serverįreaguoti laiku, tai galbūt reiškia, kad problema yra kažkur tinkle tarp kliento ir serverio. Tada perkelsite savo paketinį naršyklę vienu šuoliu arčiau kliento ir pamatysite, ar atsakymai vėluoja. Jei to nėra, jūs labiau einate arčiau kliento ir t. T. Galiausiai pateksite į vietą, kur vėluojama. Kai nustatysite problemos vietą, esate vienu dideliu žingsniu arčiau jos išsprendimo.
Dabar gali būti įdomu, kaip mums pavyksta užfiksuotipakelių konkrečiame taške. Tai gana paprasta, pasinaudojame daugumos tinklo jungiklių funkcija, vadinama prievado atspindžiu ar replikacija. Tai yra konfigūracijos parinktis, kuri atkartos visą srautą į ir iš konkretaus jungiklio prievado į kitą to paties jungiklio uostą. Tarkime, kad jūsų serveris yra prijungtas prie jungiklio 15 prievado, ir prieinamas to paties jungiklio 23 prievadas. Prijunkite savo paketų nardytoją prie 23 prievado ir sukonfigūruojate jungiklį, kuris atkartotų visą srautą iš 15 uosto į 23. uostą. Dėl to 23 uoste jūs gaunate veidrodinį vaizdą, taigi ir uosto, atspindinčio pavadinimą, apie tai, kas vyksta per 15 uostą.
Geriausi paketiniai šifrai ir tinklo analizatoriai
Dabar, kai jūs geriau suprantate, koks paketasnaršyklės ir tinklo analizatoriai yra, pažiūrėkime, kokie septyni geriausi mes galime rasti. Bandėme įtraukti komandinės eilutės ir GUI įrankių derinį, taip pat įrankius, veikiančius įvairiose operacinėse sistemose. Galų gale, ne visi tinklo administratoriai veikia „Windows“.
1. „SolarWinds“ giluminių paketų tikrinimo ir analizės įrankis (NEMOKAMAS BANDYMAS)
„Saulės vėjai“ yra gerai žinomas dėl daugybės naudingų nemokamų įrankių irjos moderniausia tinklo valdymo programinė įranga. Vienas iš jos įrankių vadinamas „Deep Packet Inspection and Analysis Tool“. Tai yra „SolarWinds“ pavyzdinio produkto „Network Performance Monitor“ komponentas. Jos veikimas visiškai skiriasi nuo labiau „tradicinių“ paketinių šnabždesių, nors jis ir atlieka panašų tikslą.
Norėdami apibendrinti įrankio funkcijas: tai padės surasti ir išspręsti tinklo vėlavimo priežastis, nustatyti paveiktas programas ir nustatyti, ar lėtumą lemia tinklas ar programa. Programinė įranga taip pat naudos giluminius paketų tikrinimo metodus, kad apskaičiuotų reakcijos laiką daugiau nei dvylikai šimtų programų. Taip pat bus klasifikuojamas tinklo srautas pagal kategorijas, verslą ir socialinę bei rizikos lygį, padedant nustatyti ne verslo srautą, kurį gali reikėti filtruoti ar kitaip pašalinti.
Nepamiršk ir „SolarWinds Deep Packet“Tikrinimo ir analizės įrankis yra „Network Performace Monitor“ dalis. „NPM“, kaip ji dažnai vadinama, yra įspūdinga programinė įranga, turinti tiek daug komponentų, kad jai galėtų būti skirtas visas straipsnis. Esmė - tai visiškas tinklo stebėjimo sprendimas, apjungiantis geriausias technologijas, tokias kaip SNMP ir giluminis paketų tikrinimas, kad būtų kuo daugiau informacijos apie jūsų tinklo būklę. Priemonė, kurios kaina yra pagrįsta, pateikiama su 30 dienų nemokamu bandomuoju periodu, todėl prieš įsipareigodami įsigyti, įsitikinsite, kad jis tikrai atitinka jūsų poreikius.
Oficiali atsisiuntimo nuoroda: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump tikriausiai yra originalus paketų naikintojas. Jis buvo sukurtas dar 1987 m. Nuo to laiko jis buvo prižiūrimas ir tobulinamas, tačiau iš esmės nesikeičia, bent jau toks, koks yra naudojamas. Jis yra iš anksto įdiegtas praktiškai kiekvienoje „Unix“ tipo operacinėje sistemoje ir tapo de facto standartu, kai reikia greito įrankio paketams fiksuoti. „Tcpdump“ naudoja „libpcap“ biblioteką faktiniam paketų fiksavimui.
Pagal numatytuosius nustatymus. „tcpdump“ fiksuoja visą srautą nurodytoje sąsajoje ir „išmeta“ jį, taigi ir pavadinimą, ekrane. Išmetimą taip pat galima perduoti į fiksavimo failą ir vėliau analizuoti naudojant vieną iš galimų įrankių arba jų derinį. „Tcpdump“ stiprumo ir naudingumo raktas yra galimybė pritaikyti visų rūšių filtrus ir nukreipti jo išvestį į grep - dar vieną įprastą „Unix“ komandinės eilutės įrankį - tolimesniam filtravimui. Kas nors, gerai išmanantis „tcpdump“, „grep“ ir komandų apvalkalą, gali jį gauti, kad gautų tiksliai reikiamą srautą bet kuriai derinimo užduočiai atlikti.
3. Vėjelis
„Windump“ iš esmės yra tik tcpdump uostas„Windows“ platforma. Iš esmės ji elgiasi panašiai. Neretai tenka matyti tokius sėkmingų naudingumo programų prievadus iš vienos platformos į kitą. „Windump“ yra „Windows“ programa, tačiau nesitikėkite, kad išgalvotas GUI. Tai yra tik komandinės eilutės įrankis. Taigi „Windump“ naudojimas iš esmės yra tas pats, kaip naudoti jo „Unix“ ekvivalentą. Komandinės eilutės parinktys yra vienodos, o rezultatai taip pat beveik identiški. Iš „Windump“ išvestį taip pat galima išsaugoti faile, kad vėliau galėtumėte analizuoti naudodamiesi trečiosios šalies įrankiu.
Vienas esminių skirtumų su „tcpdump“ yra tas, kad „Windump“nėra įmontuota į „Windows“. Turėsite jį atsisiųsti iš „Windump“ svetainės. Programinė įranga pristatoma kaip vykdomasis failas ir jos nereikia diegti. Tačiau, kaip ir „tcpdump“ naudoja „libpcap“ biblioteką, „Windump“ naudoja „Winpcap“, kurią, kaip ir daugumą „Windows“ bibliotekų, reikia atsisiųsti ir įdiegti atskirai.
4. „Wireshark“
„Wireshark“ yra nuoroda į paketų šnabždesius. Tai tapo de facto standartu ir dauguma kitų priemonių yra linkusios jį mėgdžioti. Šis įrankis ne tik fiksuos srautą, bet ir turi gana galingas analizės galimybes. Toks galingas, kad daugelis administratorių naudodami „tcpdump“ ar „Windump“ surenka srautą į failą, tada įkelia failą į „Wireshark“ analizei. Tai yra toks įprastas „Wireshark“ naudojimo būdas, kad paleidus būsite paraginti atidaryti esamą „pcap“ failą arba pradėti fiksuoti srautą. Kitas „Wireshark“ privalumas yra visi jame esantys filtrai, kurie leidžia tiksliai atsidurti jus dominančiuose duomenyse.
Jei norite būti visiškai sąžiningi, ši priemonė pasižymi dideliu greičiumokymosi kreivė, tačiau ją verta mokytis. Tai vėl ir vėl pasirodys neįkainojama. Sužinoję, galėsite naudoti visur, nes ji buvo perkelta į beveik kiekvieną operacinę sistemą ir yra nemokama bei atvirojo kodo.
5. šarkas
Tsharkas yra tarsi kryžius tarp tcpdumpir Wireshark. Tai yra puikus dalykas, nes jie yra vieni iš geriausių pakuočių naikintojų. „Tshark“ yra tarsi tcpdump tuo, kad yra tik komandinės eilutės įrankis. Bet tai taip pat kaip „Wireshark“ tuo, kad ne tik fiksuoja, bet ir analizuoja srautą. „Tshark“ yra iš tų pačių kūrėjų kaip ir „Wireshark“. Tai daugiau ar mažiau yra „Wireshark“ komandinės eilutės versija. Jis naudoja to paties tipo filtravimą kaip ir „Wireshark“, todėl gali greitai atskirti tik srautą, kurį jums reikia analizuoti.
Bet kodėl, jūs galite paklausti, ar kas nors to norėtų?komandinės eilutės „Wireshark“ versija? Kodėl gi ne tik naudojant „Wireshark“; naudodamas savo grafinę sąsają, turi būti paprastesnis naudoti ir išmokti? Pagrindinė priežastis yra ta, kad tai leis jums naudoti jį ne GUI serveryje.
6. Tinklo kasytuvas
„Network Miner“ yra daugiau teismo medicinos įrankisnei tikras paketų naikintojas. „Network Miner“ stebės TCP srautą ir rekonstruos visą pokalbį. Tai tikrai vienas galingas įrankis. Jis gali veikti neprisijungus, kai norėtumėte importuoti kokį nors fiksavimo failą, kad „Network Miner“ dirbtų kaip stebuklinga. Tai naudinga funkcija, nes programinė įranga veikia tik „Windows“. Galite naudoti „tcpdump“ „Linux“, kad gautumėte srautą, ir „Network Miner“ sistemoje „Windows“, kad išanalizuotumėte.
„Network Miner“ galima įsigyti nemokamai, tačiau,Jei norite naudoti sudėtingesnes funkcijas, pvz., IP pagrįstą geografinę vietą ir scenarijus, turėsite įsigyti „Profesional“ licenciją. Kita patobulinta profesionalios versijos funkcija yra galimybė iššifruoti ir atkurti VoIP skambučius.
7. „Fiddler“ (HTTP)
Galbūt kai kurie iš mūsų daugiau žinių turintys skaitytojaiteigia, kad „Fiddler“ nėra paketų naikinimo priemonė, taip pat tinklo analizatorius. Jie tikriausiai yra teisūs, tačiau mes manėme, kad turėtume įtraukti šį įrankį į savo sąrašą, nes jis labai naudingas daugelyje situacijų. „Fiddler“ iš tikrųjų fiksuos srautą, bet ne bet kokį srautą. Tai veikia tik su HTTTP srautu. Galite įsivaizduoti, kokia ji gali būti vertinga, nepaisant jos ribotumo, kai manote, kad tiek daug programų šiandien veikia žiniatinklyje arba fone naudoja HTTP protokolą. O kadangi „Fiddler“ užfiksuos ne tik naršyklės srautą, bet ir bet kokį HTTP, tai yra labai naudinga šalinant triktis
Tokio įrankio kaip „Fiddler“ pranašumas prieš bona„Fidedler“ buvo sukurtas „suprasti“ HTTP srautą, pavyzdžiui, „Wireshark“. Pavyzdžiui, jis atras slapukus ir sertifikatus. Čia taip pat bus rasti faktiniai duomenys, gauti iš HTTP pagrįstų programų. „Fiddler“ yra nemokama, ją galima naudoti tik „Windows“, nors galima atsisiųsti beta versiją, skirtą OS X ir Linux (naudojant „Mono“ sistemą).
Išvada
Kai skelbiame sąrašus, tokius kaip šis, mes dažnaipaklausė, kuris yra geriausias. Esant tokiai konkrečiai situacijai, jei manęs paprašytų to klausimo, turėčiau atsakyti „visi jie“. Jie visi yra nemokami įrankiai ir visi turi savo vertę. Kodėl gi ne juos visus turint po ranka ir susipažįstant su kiekvienu iš jų. Kai pateksite į situaciją, kai turėsite jais naudotis, tai bus daug lengviau ir efektyviau. Net komandinės eilutės įrankiai turi didžiulę vertę. Pvz., Jie gali būti scenarijų ir suplanuoti. Įsivaizduokite, kad turite problemą, kuri nutinka kasdien 2:00 val. Galite suplanuoti darbą, kad paleistumėte „Windump“ tcpdump nuo 1:50 iki 2:10 ir kitą rytą išanalizuotumėte gaudymo failą. Nereikia visą naktį išlikti.
Komentarai