- - Die besten Paketschnüffler und Netzwerkanalysatoren - Top 7 im Jahr 2019

Die besten Paket-Sniffer und Netzwerk-Analysatoren - Top 7 im Jahr 2019

Packet Sniffing ist eine tiefe Art von NetzwerkAnalyse, bei der Details des Netzwerkverkehrs zur Analyse dekodiert werden. Dies ist eine der wichtigsten Fähigkeiten zur Fehlerbehebung, die ein Netzwerkadministrator besitzen sollte. Die Analyse des Netzwerkverkehrs ist eine komplizierte Aufgabe. Um mit unzuverlässigen Netzwerken fertig zu werden, werden Daten nicht in einem kontinuierlichen Strom gesendet. Stattdessen wird es in Fragmente zerlegt, die einzeln gesendet werden. Zum Analysieren des Netzwerkverkehrs müssen diese Datenpakete gesammelt und zu etwas Bedeutendem zusammengefügt werden. Dies ist nicht manuell möglich, sodass Paket-Sniffer und Netzwerkanalysatoren erstellt wurden. Heute schauen wir uns sieben der besten Paket-Sniffer und Netzwerk-Analysatoren an.

Wir beginnen die heutige Reise mit einem GeschenkEinige Hintergrundinformationen darüber, was Packet Sniffer sind. Wir werden versuchen herauszufinden, was der Unterschied ist - oder ob es einen Unterschied gibt - zwischen einem Paket-Sniffer und einem Netzwerkanalysator. Wir werden uns dann mit dem Kern unseres Themas befassen und nicht nur eine Liste, sondern auch einen kurzen Überblick über jede unserer sieben Empfehlungen geben. Was wir für Sie bereithalten, ist eine Kombination aus GUI-Tools und Befehlszeilendienstprogrammen, die auf verschiedenen Betriebssystemen ausgeführt werden.

Ein paar Worte über Packet Sniffer und Network Analyzer

Beginnen wir damit, etwas zu regeln. In diesem Artikel wird davon ausgegangen, dass Paket-Sniffer und Netzwerkanalysatoren identisch sind. Einige werden argumentieren, dass sie anders sind und vielleicht Recht haben. Aber im Kontext dieses Artikels werden wir sie gemeinsam betrachten, hauptsächlich, weil sie, obwohl sie möglicherweise anders funktionieren - aber wirklich? - denselben Zweck erfüllen.

Packet Sniffer machen normalerweise drei Dinge. Erstens erfassen sie alle Datenpakete, wenn sie eine Netzwerkschnittstelle betreten oder verlassen. Zweitens wenden sie optional Filter an, um einige der Pakete zu ignorieren und andere auf der Festplatte zu speichern. Anschließend führen sie eine Analyse der erfassten Daten durch. In dieser letzten Funktion von Paket-Sniffern unterscheiden sie sich am meisten.

Für die eigentliche Erfassung der Datenpakete sind die meistenWerkzeuge verwenden ein externes Modul. Am häufigsten sind libpcap unter Unix / Linux und Winpcap unter Windows. Normalerweise müssen Sie diese Tools nicht installieren, da sie normalerweise von den verschiedenen Tools-Installationsprogrammen installiert werden.

Eine andere wichtige Sache zu wissen, ist das PaketSchnüffler - auch die Besten - werden nicht alles für Sie tun. Sie sind nur Werkzeuge. Es ist wie mit einem Hammer, der keinen Nagel von alleine antreibt. Sie müssen also sicherstellen, dass Sie lernen, wie Sie die einzelnen Tools am besten verwenden. Mit dem Paket-Sniffer können Sie nur den Datenverkehr anzeigen, aber Sie müssen diese Informationen verwenden, um Probleme zu finden. Es gab ganze Bücher über die Verwendung von Paketerfassungstools. Ich selbst habe einmal einen dreitägigen Kurs zu diesem Thema besucht. Ich versuche nicht, dich zu entmutigen. Ich versuche nur, Ihre Erwartungen zu klären.

So verwenden Sie einen Packet Sniffer

Wie wir bereits erklärt haben, erfasst ein Paket-Snifferund analysieren Sie den Verkehr. Wenn Sie also versuchen, ein bestimmtes Problem zu beheben - weshalb Sie normalerweise ein solches Tool verwenden -, müssen Sie zunächst sicherstellen, dass der von Ihnen erfasste Datenverkehr der richtige ist. Stellen Sie sich eine Situation vor, in der sich alle Benutzer beschweren, dass eine bestimmte Anwendung langsam ist. In solchen Situationen ist es wahrscheinlich am besten, den Datenverkehr über die Netzwerkschnittstelle des Anwendungsservers zu erfassen. Möglicherweise stellen Sie dann fest, dass Anforderungen normalerweise auf dem Server eingehen, der Server jedoch lange braucht, um Antworten zu senden. Das würde auf ein Serverproblem hinweisen.

Wenn Sie andererseits den Server sehenWenn Sie rechtzeitig reagieren, liegt das Problem möglicherweise irgendwo im Netzwerk zwischen dem Client und dem Server. Sie würden dann Ihren Paket-Sniffer einen Sprung näher an den Client heranbringen und prüfen, ob sich die Antworten verzögern. Wenn dies nicht der Fall ist, rücken Sie näher an den Kunden heran und so weiter und so fort. Sie werden schließlich an die Stelle gelangen, an der Verzögerungen auftreten. Sobald Sie den Ort des Problems identifiziert haben, sind Sie der Lösung des Problems einen großen Schritt näher gekommen.

Jetzt fragen Sie sich vielleicht, wie wir es schaffen, zu erfassenPakete an einem bestimmten Punkt. Es ist ziemlich einfach, wir nutzen eine Funktion der meisten Netzwerk-Switches, die als Port-Spiegelung oder Replikation bezeichnet wird. Dies ist eine Konfigurationsoption, mit der der gesamte Datenverkehr von und zu einem bestimmten Switch-Port an einen anderen Port auf demselben Switch repliziert wird. Angenommen, Ihr Server ist an Port 15 eines Switches angeschlossen und dieser Port 23 desselben Switches ist verfügbar. Sie verbinden Ihren Paket-Sniffer mit Port 23 und konfigurieren den Switch so, dass der gesamte Datenverkehr von Port 15 auf Port 23 repliziert wird. Als Ergebnis erhalten Sie auf Port 23 ein Spiegelbild (daher der Name der Port-Spiegelung) dessen, was über Port 15 übertragen wird.

Die besten Paketschnüffler und Netzwerkanalysatoren

Jetzt, da Sie besser verstehen, welches PaketSchauen wir uns die sieben besten an, die wir finden konnten. Wir haben versucht, eine Mischung aus Befehlszeilen- und GUI-Tools sowie Tools zu integrieren, die auf verschiedenen Betriebssystemen ausgeführt werden. Schließlich führen nicht alle Netzwerkadministratoren Windows aus.

1. SolarWinds Deep Packet Inspection- und Analyse-Tool (KOSTENLOSE TESTPHASE)

SolarWinds ist bekannt für seine vielen nützlichen kostenlosen Tools undseine State-of-the-Art-Netzwerk-Management-Software. Eines seiner Tools heißt Deep Packet Inspection and Analysis Tool. Es ist Bestandteil des SolarWinds-Flaggschiffs Network Performance Monitor. Die Funktionsweise unterscheidet sich erheblich von herkömmlichen Paket-Sniffern, obwohl sie einem ähnlichen Zweck dienen.

SolarWinds Deep Packet Analysis Dashboard

So fassen Sie die Funktionalität des Tools zusammen: Es hilft Ihnen dabei, die Ursache für Netzwerklatenzen zu finden und zu beheben, betroffene Anwendungen zu identifizieren und festzustellen, ob das Netzwerk oder eine Anwendung Langsamkeit verursacht. Die Software verwendet auch Deep Packet Inspection-Techniken, um die Antwortzeit für über zwölfhundert Anwendungen zu berechnen. Darüber hinaus wird der Netzwerkverkehr nach Kategorie, Unternehmen oder sozialem Umfeld sowie nach Risikograd klassifiziert. Auf diese Weise können Sie den nicht geschäftlichen Verkehr identifizieren, der möglicherweise gefiltert oder auf andere Weise beseitigt werden muss.

Und vergessen Sie nicht, dass das SolarWinds Deep PacketDas Inspektions- und Analyse-Tool ist Teil des Network Performace Monitor. NPM, wie es oft genannt wird, ist eine beeindruckende Software mit so vielen Komponenten, dass ein ganzer Artikel diesem Thema gewidmet sein könnte. Im Kern handelt es sich um eine umfassende Netzwerküberwachungslösung, die die besten Technologien wie SNMP und Deep Packet Inspection kombiniert, um so viele Informationen wie möglich über den Status Ihres Netzwerks bereitzustellen. Das kostengünstige Tool wird mit einer kostenlosen 30-Tage-Testversion geliefert, damit Sie sicherstellen können, dass es Ihren Anforderungen entspricht, bevor Sie es kaufen.

Offizieller Downloadlink: https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

Tcpdump ist wahrscheinlich der ursprüngliche Packet Sniffer. Es wurde im Jahr 1987 erstellt. Seitdem wurde es beibehalten und verbessert, bleibt jedoch im Wesentlichen unverändert, zumindest in der Art und Weise, wie es verwendet wird. Es ist in praktisch jedem Unix-ähnlichen Betriebssystem vorinstalliert und hat sich zum De-facto-Standard entwickelt, wenn ein schnelles Tool zum Erfassen von Paketen benötigt wird. Tcpdump verwendet die libpcap-Bibliothek für die eigentliche Paketerfassung.

TCPDump Screenshot

Standardmäßig. Mit tcpdump wird der gesamte Datenverkehr auf der angegebenen Schnittstelle erfasst und auf dem Bildschirm ausgegeben (daher der Name). Der Speicherauszug kann auch an eine Erfassungsdatei weitergeleitet und später mit einem oder einer Kombination mehrerer verfügbarer Tools analysiert werden. Ein Schlüssel für die Stärke und Nützlichkeit von tcpdump ist die Möglichkeit, alle Arten von Filtern anzuwenden und die Ausgabe zur weiteren Filterung an grep weiterzuleiten, ein weiteres gängiges Unix-Befehlszeilen-Dienstprogramm. Jemand mit guten Kenntnissen von tcpdump, grep und der Befehlsshell kann damit genau den richtigen Datenverkehr für jede Debugging-Aufgabe erfassen.

3. Windump

Windump ist im Grunde genommen nur eine Portierung von tcpdump zudie Windows-Plattform. Als solches verhält es sich ähnlich. Es ist nicht ungewöhnlich, dass solche Ports erfolgreicher Hilfsprogramme von einer Plattform auf eine andere übertragen werden. Windump ist eine Windows-Anwendung, erwartet jedoch keine ausgefallene Benutzeroberfläche. Dies ist ein Befehlszeilenprogramm. Die Verwendung von Windump ist daher im Grunde die gleiche wie die Verwendung seines Unix-Gegenstücks. Die Befehlszeilenoptionen sind identisch und auch die Ergebnisse sind nahezu identisch. Die Ausgabe von Windump kann auch zur späteren Analyse mit einem Drittanbieter-Tool in einer Datei gespeichert werden.

WinDump-Hilfe

Ein wesentlicher Unterschied zu tcpdump ist der Windumpist nicht in Windows integriert. Sie müssen es von der Windump-Website herunterladen. Die Software wird als ausführbare Datei geliefert und erfordert keine Installation. Genau wie tcpdump die libpcap-Bibliothek verwendet, verwendet Windump jedoch Winpcap, das wie die meisten Windows-Bibliotheken separat heruntergeladen und installiert werden muss.

4. Wireshark

Wireshark ist die Referenz für Packet Sniffer. Es ist zum De-facto-Standard geworden, und die meisten anderen Tools ahmen es nach. Dieses Tool erfasst nicht nur den Datenverkehr, sondern bietet auch leistungsstarke Analysefunktionen. So leistungsfähig, dass viele Administratoren tcpdump oder Windump verwenden, um den Datenverkehr in einer Datei zu erfassen, und die Datei dann zur Analyse in Wireshark laden. Dies ist eine so gebräuchliche Art der Verwendung von Wireshark, dass Sie beim Start aufgefordert werden, entweder eine vorhandene pcap-Datei zu öffnen oder den Datenverkehr zu erfassen. Eine weitere Stärke von Wireshark sind die integrierten Filter, mit denen Sie genau die Daten ermitteln können, an denen Sie interessiert sind.

Wireshark Screenshot

Um ganz ehrlich zu sein, hat dieses Tool eine steileLernkurve, aber es lohnt sich zu lernen. Es wird sich immer wieder als unschätzbar erweisen. Und wenn Sie es erst einmal gelernt haben, können Sie es überall verwenden, da es auf nahezu jedes Betriebssystem portiert wurde und kostenlos und Open Source ist.

5. Hai

Tshark ist eine Art Kreuzung zwischen tcpdumpund Wireshark. Dies ist eine großartige Sache, da sie einige der besten Paketschnüffler auf dem Markt sind. Tshark ist wie tcpdump, da es sich nur um ein Befehlszeilentool handelt. Es ist aber auch ähnlich wie Wireshark, indem es nicht nur den Verkehr erfasst, sondern auch analysiert. Tshark ist von den gleichen Entwicklern wie Wireshark. Es ist mehr oder weniger die Kommandozeilenversion von Wireshark. Es verwendet dieselbe Art der Filterung wie Wireshark und kann daher schnell nur den Datenverkehr isolieren, den Sie analysieren müssen.

Tshark-Ergebnisse

Aber warum, fragen Sie sich vielleicht, würde sich jemand eine wünschen?Kommandozeilenversion von Wireshark? Warum nicht einfach Wireshark verwenden? mit seiner grafischen Oberfläche muss es einfacher zu bedienen und zu lernen sein? Der Hauptgrund ist, dass Sie es auf einem Nicht-GUI-Server verwenden können.

6. Network Miner

Network Miner ist eher ein forensisches Toolals ein echter Paketschnüffler. Network Miner folgt einem TCP-Stream und rekonstruiert eine gesamte Konversation. Es ist wirklich ein mächtiges Werkzeug. Es kann im Offlinemodus ausgeführt werden, in dem Sie eine Erfassungsdatei importieren, damit Network Miner seine Wirkung entfalten kann. Dies ist eine nützliche Funktion, da die Software nur unter Windows ausgeführt wird. Sie könnten tcpdump unter Linux verwenden, um Datenverkehr zu erfassen, und Network Miner unter Windows, um ihn zu analysieren.

NetworkMiner Screenshot

Network Miner ist in einer kostenlosen Version verfügbar.Für die erweiterten Funktionen wie IP-basierte Geolokalisierung und Skripterstellung müssen Sie eine Profesional-Lizenz erwerben. Eine weitere erweiterte Funktion der Professional-Version ist die Möglichkeit, VoIP-Anrufe zu dekodieren und abzuspielen.

7. Geiger (HTTP)

Einige unserer kenntnisreicheren Leser könntenargumentieren, dass Fiddler weder ein Packet Sniffer noch ein Netzwerkanalysator ist. Sie haben wahrscheinlich recht, aber wir waren der Meinung, dass wir dieses Tool in unsere Liste aufnehmen sollten, da es in vielen Situationen sehr nützlich ist. Fiddler erfasst tatsächlich Verkehr, aber keinen Verkehr. Es funktioniert nur mit HTTTP-Verkehr. Sie können sich vorstellen, wie wertvoll es trotz seiner Einschränkungen sein kann, wenn Sie bedenken, dass heutzutage so viele Anwendungen webbasiert sind oder das HTTP-Protokoll im Hintergrund verwenden. Und da Fiddler nicht nur den Browser-Datenverkehr erfasst, sondern auch so ziemlich jedes HTTP, ist es sehr hilfreich bei der Fehlerbehebung

Screenshot zum Fiddler-Debugging

Der Vorteil eines Tools wie Fiddler gegenüber einem BonaFide Packet Sniffer wie zum Beispiel Wireshark ist, dass Fiddler gebaut wurde, um den HTTP-Verkehr zu „verstehen“. So werden beispielsweise Cookies und Zertifikate entdeckt. Es werden auch aktuelle Daten aus HTTP-basierten Anwendungen gefunden. Fiddler ist kostenlos und nur für Windows verfügbar, obwohl Betaversionen für OS X und Linux (unter Verwendung des Mono-Frameworks) heruntergeladen werden können.

Fazit

Wenn wir Listen wie diese veröffentlichen, sind wir häufiggefragt welches das beste ist. In dieser besonderen Situation müsste ich "alle" beantworten, wenn mir diese Frage gestellt würde. Sie sind alle kostenlose Tools und haben alle ihren Wert. Warum haben Sie nicht alle zur Hand und machen sich mit jedem vertraut? Wenn Sie zu einer Situation kommen, in der Sie sie benötigen, wird es viel einfacher und effizienter. Sogar Befehlszeilentools haben einen enormen Wert. Zum Beispiel können sie skriptgesteuert und geplant werden. Stellen Sie sich vor, Sie haben ein Problem, das täglich um 2:00 Uhr auftritt. Sie können einen Job einplanen, um tcpdump von Windump zwischen 1:50 und 2:10 auszuführen und die Erfassungsdatei am nächsten Morgen zu analysieren. Sie müssen nicht die ganze Nacht aufbleiben.

Lesen Sie auch

Was ist ein Netzwerk-Sniffer und wofür wird er verwendet?
Suchen von Dateien anhand der Größe mithilfe von Windows Explorer-Suchfiltern [Tipp]
Mit WebSiteSniffer heruntergeladene Daten aufspüren, anzeigen und erfassen
Anzeigen und Überprüfen des Netzwerkverkehrs mit SmartSniff
Die besten Open-Source-Tools zur Netzwerküberwachung
6 Die besten Wireshark-Alternativen zum Packet Sniffing
Die 15 besten Tools zur Netzwerküberwachung, die 2019 getestet wurden
Best Free sFlow Collectors and Analyzers Bewertet in 2019
Die 9 besten Tools zur Netzwerk-Fehlerbehebung, die wir im Jahr 2019 getestet haben
12 Beste Software und Tools zur Netzwerküberwachung im Jahr 2019
Best NetFlow Collectors and Analyzers für Windows: Überprüft im Jahr 2019
WireShark - Awesome Network Packet Sniffer

Bemerkungen