Wireshark, die zuvor als bekannt war Ätherischgibt es schon seit 20 jahren. Wenn nicht das beste, ist es sicherlich das beliebteste Netzwerk-Sniffing-Tool. Immer dann, wenn eine Paketanalyse erforderlich ist, ist dies für die meisten Administratoren das bevorzugte Tool. Allerdings so gut wie Wireshark kann sein, es gibt viele Alternativen da draußen. Einige von Ihnen fragen sich vielleicht, was mit Ihnen los ist Wireshark das würde es rechtfertigen, es zu ersetzen. Um ganz ehrlich zu sein, gibt es absolut nichts auszusetzen Wireshark und wenn Sie bereits ein zufriedener Benutzer sind, sehe ich neinGrund, warum Sie sich ändern müssen. Wenn Sie jedoch neu in der Szene sind, ist es möglicherweise eine gute Idee, vor der Auswahl einer Lösung zu prüfen, was verfügbar ist. Um Ihnen zu helfen, haben wir diese Liste der Besten zusammengestellt Wireshark Alternativen.
Wir beginnen unsere Erkundung mit einem Blick auf Wireshark. Schließlich, wenn wir Alternativen vorschlagen wollen,wir könnten das produkt genauso gut ein wenig kennenlernen. Wir werden dann kurz darauf eingehen, was Packet Sniffer oder Netzwerkanalysatoren, wie sie oft genannt werden, sind. Da Paket-Sniffer relativ komplex sein können, werden wir einige Zeit damit verbringen, zu diskutieren, wie sie verwendet werden. Dies ist keineswegs ein vollständiges Tutorial, aber es sollte Ihnen genügend Hintergrundinformationen bieten, um die bevorstehenden Produktbewertungen besser beurteilen zu können. Apropos Produktbewertungen, dies ist, was wir als nächstes haben werden. Wir haben mehrere Produkte mit sehr unterschiedlichen Typen identifiziert, die eine gute Alternative zu Wireshark darstellen könnten, und werden die jeweils besten Funktionen vorstellen.
Über Wireshark
Vor WiresharkDer Markt hatte im Wesentlichen einen Paketschnüffler, der treffend genannt wurde Schnüffler. Es war ein ausgezeichnetes Produkt, das darunter littEin großer Nachteil ist der Preis. In den späten 90ern kostete das Produkt etwa 1500 US-Dollar, mehr als sich viele leisten konnten. Dies veranlasste die Entwicklung von Ätherisch als kostenloser und quelloffener Packet Sniffer von einem UMKC-Absolventen genannt Gerald Combs Wer ist noch der Hauptbetreuer von Wireshark zwanzig Jahre später. Sprechen Sie über ernstes Engagement.
Heute, Wireshark ist DIE Referenz in Packet Sniffers geworden. Es ist der De-facto-Standard, und die meisten anderen Tools neigen dazu, ihn zu emulieren. Wireshark Im Wesentlichen macht zwei Dinge. Erstens erfasst es den gesamten Verkehr, den es auf seiner Schnittstelle sieht. Aber es hört nicht damit auf, das Produkt verfügt auch über recht leistungsstarke Analysefunktionen. Die Analysefunktionen des Tools sind so gut, dass Benutzer nicht selten andere Tools für die Paketerfassung verwenden und die Analyse mithilfe von ausführen Wireshark. Dies ist eine so gebräuchliche Verwendung Wireshark Nach dem Start werden Sie aufgefordert, entweder eine vorhandene Erfassungsdatei zu öffnen oder den Datenverkehr zu erfassen. Eine weitere Stärke von Wireshark sind alle darin enthaltenen Filter, mit denen Sie genau die Daten finden können, an denen Sie interessiert sind.
Informationen zu Netzwerkanalyse-Tools
Obwohl die Angelegenheit offen für Debatten warIn diesem Artikel wird davon ausgegangen, dass die Begriffe "Packet Sniffer" und "Network Analyzer" identisch sind. Einige werden argumentieren, dass es sich um zwei verschiedene Konzepte handelt, und obwohl sie möglicherweise richtig sind, werden wir sie zusammen betrachten, wenn auch der Einfachheit halber. Schließlich erfüllen sie einen ähnlichen Zweck, auch wenn sie möglicherweise anders funktionieren - aber wirklich?
Packet Sniffer machen im Wesentlichen drei Dinge. Erstens erfassen sie alle Datenpakete, wenn sie eine Netzwerkschnittstelle betreten oder verlassen. Zweitens wenden sie optional Filter an, um einige der Pakete zu ignorieren und andere auf der Festplatte zu speichern. Anschließend führen sie eine Analyse der erfassten Daten durch. In dieser letzten Funktion liegen die meisten Unterschiede zwischen den Produkten.
Die meisten Paket-Sniffer sind auf ein externes Modul angewiesenfür die eigentliche Erfassung der Datenpakete. Am häufigsten sind libpcap unter Unix / Linux und Winpcap unter Windows. In der Regel müssen Sie diese Tools jedoch nicht installieren, da sie normalerweise von den Installationsprogrammen des Paket-Sniffers installiert werden.
Eine andere wichtige Sache zu wissen, ist das so gutund so nützlich sie auch sind, Packet Sniffer werden nicht alles für Sie tun. Sie sind nur Werkzeuge. Sie können sich diese als einen Hammer vorstellen, der von sich aus keinen Nagel antreibt. Sie müssen sicherstellen, dass Sie lernen, wie Sie die einzelnen Tools am besten verwenden. Mit dem Paket-Sniffer können Sie den erfassten Datenverkehr analysieren. Sie müssen jedoch sicherstellen, dass die richtigen Daten erfasst werden und dass Sie diese zu Ihrem Vorteil nutzen können. Es wurden ganze Bücher über die Verwendung von Paketerfassungstools geschrieben. Ich habe einmal einen dreitägigen Kurs zu diesem Thema belegt.
Verwenden eines Paketsniffers
Wie wir gerade gesagt haben, wird ein PaketschnüfflerErfassen und Analysieren des Datenverkehrs Wenn Sie also versuchen, ein bestimmtes Problem zu beheben - eine typische Verwendung für ein solches Tool -, müssen Sie zunächst sicherstellen, dass der von Ihnen erfasste Datenverkehr der richtige ist. Stellen Sie sich einen Fall vor, in dem sich jeder einzelne Benutzer einer bestimmten Anwendung beschwert, dass sie langsam ist. In einer solchen Situation ist es wahrscheinlich am besten, den Datenverkehr über die Netzwerkschnittstelle des Anwendungsservers zu erfassen, da anscheinend alle Benutzer betroffen sind. Möglicherweise stellen Sie dann fest, dass Anforderungen normalerweise auf dem Server eingehen, der Server jedoch lange braucht, um Antworten zu senden. Dies würde eher auf eine Verzögerung auf dem Server hinweisen als auf ein Netzwerkproblem.
Auf der anderen Seite, wenn Sie den Server sehenWenn Sie rechtzeitig auf Anfragen reagieren, kann dies bedeuten, dass sich das Problem irgendwo im Netzwerk zwischen dem Client und dem Server befindet. Sie würden dann Ihren Paket-Sniffer einen Sprung näher an den Client heranbringen und prüfen, ob sich die Antworten verzögern. Wenn nicht, würden Sie sich dem Kunden mehr nähern und so weiter und so fort. Sie werden schließlich an die Stelle gelangen, an der Verzögerungen auftreten. Sobald Sie den Ort des Problems identifiziert haben, sind Sie der Lösung des Problems einen großen Schritt näher gekommen.
Mal sehen, wie wir es schaffen, Pakete zu erfassenein bestimmter Punkt eines Netzwerks. Eine einfache Möglichkeit, dies zu erreichen, besteht darin, die Funktion der meisten Netzwerk-Switches zu nutzen, die als Port-Spiegelung oder Replikation bezeichnet wird. Diese Konfigurationsoption repliziert den gesamten Datenverkehr von und zu einem bestimmten Switch-Port an einen anderen Port auf demselben Switch. Wenn Ihr Server beispielsweise an Port 15 eines Switches angeschlossen ist und Port 23 desselben Switches verfügbar ist. Sie verbinden Ihren Paket-Sniffer mit Port 23 und konfigurieren den Switch so, dass der gesamte Datenverkehr von und zu Port 15 auf Port 23 repliziert wird.
Die besten Wireshark-Alternativen
Jetzt wo du besser verstehst was Wireshark und andere Paketschnüffler und NetzwerkanalysatorenMal sehen, welche alternativen Produkte es gibt. Unsere Liste enthält eine Mischung aus Befehlszeilen- und GUI-Tools sowie Tools, die auf verschiedenen Betriebssystemen ausgeführt werden.
1. SolarWinds Deep Packet Inspection- und Analyse-Tool (KOSTENLOSE TESTPHASE)
SolarWinds ist bekannt für seine hochmodernen Netzwerkmanagement-Tools. Das Unternehmen gibt es seit ungefähr 20 Jahren und hat uns einige großartige Werkzeuge gebracht. Das Flaggschiff unter dem Namen SolarWinds Network Performance Monitor wird von den meisten als eines der besten Tools zur Überwachung der Netzwerkbandbreite anerkannt. SolarWinds ist auch dafür bekannt, eine Handvoll exzellenter kostenloser Tools zu erstellen, die jeweils auf einen bestimmten Bedarf von Netzwerkadministratoren zugeschnitten sind. Zwei Beispiele für diese Tools sind die SolarWinds TFTP Server und das Erweiterter Subnetzrechner.
Als mögliche Alternative zu Wireshark- und vielleicht die beste Alternative, da es sich um ein so anderes Tool handelt -SolarWinds schlägt das vor Deep Packet Inspektions- und Analyse-Tool. Es kommt als Bestandteil der SolarWinds Network Performance Monitor. Die Funktionsweise unterscheidet sich erheblich von herkömmlichen Paket-Sniffern, obwohl sie einem ähnlichen Zweck dienen.
- Kostenlose Testphase: SolarWinds Network Performance Monitor
- Offizieller Downloadlink: https://www.solarwinds.com/network-performance-monitor/registration
Das Deep Packet Inspektions- und Analyse-Tool ist weder ein Packet Sniffer noch ein Netzwerkanalyzer hilft Ihnen dabei, die Ursache für Netzwerklatenzen zu finden und zu beheben, betroffene Anwendungen zu identifizieren und festzustellen, ob das Netzwerk oder eine Anwendung die Langsamkeit verursacht. Da es einem ähnlichen Zweck dient wie Wireshark, hielten wir es für verdient, auf dieser Liste zu stehen. Das Tool verwendet Deep Packet Inspection-Techniken, um die Antwortzeit für über zwölfhundert Anwendungen zu berechnen. Außerdem wird der Netzwerkverkehr nach Kategorien (z. B. geschäftlich oder sozial) und Risikograd klassifiziert. Dies kann dazu beitragen, nicht geschäftlichen Datenverkehr zu identifizieren, der möglicherweise von einer Filterung oder einer irgendwie kontrollierten oder eliminierten Datenübertragung profitiert.
Das Deep Packet Inspektions- und Analyse-Tool ist ein wesentlicher Bestandteil der Netzwerk-Performance-Monitor oder NPM wie es oft genannt wird, ist das an sich einbeeindruckendes Stück Software mit so vielen Komponenten, dass ein ganzer Artikel darüber geschrieben werden könnte. Es handelt sich um eine vollständige Netzwerküberwachungslösung, die einige der besten Technologien wie SNMP und Deep Packet Inspection kombiniert, um so viele Informationen wie möglich über den Status Ihres Netzwerks bereitzustellen.
Preise für die SolarWinds Network Performance Monitor das beinhaltet die Deep Packet Inspektions- und Analyse-Tool Beginnen Sie bei 2 955 USD für bis zu 100 überwachte Elementeund steigt entsprechend der Anzahl der überwachten Elemente. Für das Tool steht eine kostenlose 30-Tage-Testversion zur Verfügung, mit der Sie sicherstellen können, dass es wirklich Ihren Anforderungen entspricht, bevor Sie es kaufen.
2. tcpdump
Tcpdump ist wahrscheinlich der ursprüngliche Paketschnüffler. Es wurde im Jahr 1987 erstellt. Das ist mehr als zehn Jahre zuvor Wireshark und noch vor Sniffer. Seit seiner ersten Veröffentlichung wurde das Tool gewartet und verbessert, es bleibt jedoch im Wesentlichen unverändert. Die Art und Weise, wie das Werkzeug verwendet wird, hat sich durch seine Entwicklung nicht wesentlich verändert. Es kann auf praktisch jedem Unix-ähnlichen Betriebssystem installiert werden und ist zum De-facto-Standard für ein schnelles Tool zum Erfassen von Paketen geworden. Wie die meisten ähnlichen Produkte auf * nix-Plattformen, tcpdump Verwendet die libpcap-Bibliothek für die eigentliche Paketerfassung.
Die Standardoperation von tcpdump ist relativ einfach. Es erfasst den gesamten Datenverkehr auf der angegebenen Schnittstelle und zeigt diesen - daher der Name - auf dem Bildschirm an. Als Standard * nix-Tool können Sie die Ausgabe mit dem Analysetool Ihrer Wahl an eine Erfassungsdatei weiterleiten, um sie später zu analysieren. Tatsächlich ist es nicht ungewöhnlich, dass Benutzer den Datenverkehr mit tcpdump für eine spätere Analyse in Wireshark erfassen. Einer der Schlüssel zu tcpdumpDie Stärke und Nützlichkeit vonWenden Sie Filter an und / oder leiten Sie die Ausgabe zur weiteren Filterung an grep weiter - ein weiteres gebräuchliches * nix-Befehlszeilendienstprogramm. Jemand, der tcpdump, grep und die Befehlsshell beherrscht, kann damit genau den richtigen Datenverkehr für jede Debugging-Aufgabe erfassen.
3. Windump
In einer Nussschale, Windump ist eine Portierung von tcpdump auf die Windows-Plattform. Als solches verhält es sich ähnlich. Dies bedeutet, dass Windows-basierten Computern ein Großteil der tcpdump-Funktionalität zur Verfügung steht. Windump ist möglicherweise eine Windows-Anwendung, erwartet jedoch keine ausgefallene Benutzeroberfläche. Es ist wirklich tcpdump unter Windows und als solches ein Kommandozeilen-Dienstprogramm.
Verwenden Windump ist im Grunde dasselbe wie die Verwendung seines * nix-Gegenstücks. Die Befehlszeilenoptionen sind nahezu identisch und auch die Ergebnisse sind nahezu identisch. Genau wie bei tcpdump wird die Ausgabe von Windump kann auch zur späteren Analyse mit einem Drittanbieter-Tool in einer Datei gespeichert werden. Grep ist jedoch normalerweise nicht auf Windows-Computern verfügbar, wodurch die Filtermöglichkeiten des Tools eingeschränkt werden.
Ein weiterer wichtiger Unterschied zwischen tcpdump und Windump ist, dass es so schnell wie möglich im Paket-Repository des Betriebssystems verfügbar ist. Sie müssen die Software von der herunterladen Windump Webseite. Es wird als ausführbare Datei geliefert und erfordert keine Installation. Als solches ist es ein tragbares Tool, das von einem USB-Stick gestartet werden kann. Genau wie tcpdump die libpcap-Bibliothek verwendet, Windump verwendet Winpcap, das separat heruntergeladen und installiert werden muss.
4. Tshark
Sie können sich vorstellen Tshark als Kreuzung zwischen tcpdump und Wireshark aber in Wirklichkeit ist es mehr oder weniger die Kommandozeilenversion von Wireshark. Es ist vom selben Entwickler wie Wireshark. Tshark hat Ähnlichkeit mit tcpdump, da es sich nur um ein Befehlszeilenprogramm handelt. Aber es ist auch so Wireshark dadurch wird nicht nur der Datenverkehr erfasst. Es hat auch die gleichen leistungsstarken Analysefunktionen wie Wireshark und verwendet die gleiche Art der Filterung. So kann der genaue Datenverkehr, den Sie analysieren müssen, schnell isoliert werden.
Tshark wirft jedoch eine Frage auf. Warum sollte jemand eine Kommandozeilenversion von wollen? Wireshark? Warum nicht einfach nutzen Wireshark? Die meisten Administratoren - in der Tat die meisten Leute - würdenstimmen darin überein, dass Tools mit grafischen Benutzeroberflächen im Allgemeinen oft einfacher zu bedienen und zu erlernen sowie intuitiver und benutzerfreundlicher sind. Ist das nicht der Grund, warum grafische Betriebssysteme so populär wurden? Der Hauptgrund, warum jemand wählen würde Tshark Über Wireshark ist, wenn sie nur eine schnelle Aufnahme machen wollendirekt auf einem Server zur Fehlerbehebung. Wenn Sie ein Leistungsproblem mit dem Server vermuten, möchten Sie möglicherweise lieber ein Tool ohne grafische Benutzeroberfläche verwenden, da es möglicherweise weniger Ressourcen beansprucht.
5. Network Miner
Network Miner ist eher ein forensisches Tool als ein Paketschnüffleroder Netzwerkanalysator. Dieses Tool folgt einem TCP-Stream und kann eine gesamte Konversation rekonstruieren. Es ist ein wirklich leistungsfähiges Tool für die eingehende Analyse des Datenverkehrs, auch wenn es schwer zu meistern ist. Das Tool kann in einem Offline-Modus ausgeführt werden, in dem eine Erfassungsdatei importiert wird, die möglicherweise mit einem der anderen getesteten Tools erstellt wurde Network Miner Arbeite seine Magie. Angesichts der Tatsache, dass die Software nur unter Windows läuft, ist die Möglichkeit, mit Capture-Dateien zu arbeiten, sicherlich von Vorteil. Sie können beispielsweise tcpdump unter Linux verwenden, um Datenverkehr zu erfassen, und Network Miner unter Windows, um ihn zu analysieren.
Network Miner ist in einer kostenlosen Version verfügbar, aber für mehrFür erweiterte Funktionen wie IP-Adress-basierte Geolokalisierung und Skripterstellung müssen Sie eine Professional-Lizenz erwerben, die Sie 900 US-Dollar kostet. Eine weitere erweiterte Funktion der Professional-Version ist die Möglichkeit, VoIP-Anrufe zu dekodieren und abzuspielen.
6. Geiger
Einige unserer Leser - insbesondere die sachkundigeren - werden versucht sein, darüber zu streiten Geiger, unser letzter Eintrag, ist weder ein Packet Sniffer nochein Netzwerkanalysator. Um ehrlich zu sein, können sie durchaus richtig sein, aber wir waren dennoch der Meinung, dass wir dieses Tool in unsere Liste aufnehmen sollten, da es in verschiedenen Situationen sehr nützlich sein kann.
Lassen Sie uns zuallererst die Dinge klarstellen, Geiger wird tatsächlich den Verkehr erfassen. Es wird jedoch nicht nur irgendein Verkehr erfasst. Es funktioniert nur mit HTTP-Verkehr. Wenn man bedenkt, dass so viele Anwendungen heutzutage webbasiert sind oder das HTTP-Protokoll im Hintergrund verwenden, ist es trotz dieser Einschränkung leicht zu erkennen, wie wertvoll ein Tool sein kann. Da das Tool nicht nur den Browserverkehr erfasst, sondern auch nahezu jedes HTTP, kann es bei der Fehlerbehebung bei verschiedenen Anwendungstypen sehr hilfreich sein.
Der Hauptvorteil eines Werkzeugs wie Geiger über einen "wahren" Packet Sniffer wie Wireshark, gehtdass es gebaut wurde, um HTTP-Verkehr zu "verstehen". So werden beispielsweise Cookies und Zertifikate entdeckt. Es werden auch aktuelle Daten aus HTTP-basierten Anwendungen gefunden. Geiger ist kostenlos und nur für Windows verfügbar. Betaversionen für OS X und Linux (unter Verwendung des Mono-Frameworks) können jedoch heruntergeladen werden.
Bemerkungen