Pakket snuiven is een diep type netwerkanalyse waarin details van het netwerkverkeer worden gedecodeerd om te worden geanalyseerd. Het is een van de belangrijkste vaardigheden voor probleemoplossing die elke netwerkbeheerder zou moeten hebben. Het analyseren van netwerkverkeer is een ingewikkelde taak. Om onbetrouwbare netwerken aan te kunnen, worden gegevens niet in één continue stroom verzonden. In plaats daarvan wordt het opgedeeld in fragmenten die afzonderlijk worden verzonden. Het analyseren van netwerkverkeer houdt in dat u deze gegevenspakketten kunt verzamelen en opnieuw kunt samenvoegen tot iets zinvols. Dit is niet iets dat u handmatig kunt doen, zodat packet sniffers en netwerkanalysatoren zijn gemaakt. Vandaag bekijken we zeven van de beste packet sniffers en netwerkanalysatoren.
We beginnen de reis van vandaag door u te gevenenige achtergrondinformatie over wat packet sniffers zijn. We zullen proberen te achterhalen wat het verschil is - of als er een verschil is - tussen een packet sniffer en een netwerkanalysator. We zullen dan naar de kern van ons onderwerp gaan en niet alleen een lijst maken van, maar ook een beknopte beoordeling van elk van onze zeven keuzes. Wat we voor u hebben is een combinatie van GUI-tools en opdrachtregelprogramma's die op verschillende besturingssystemen worden uitgevoerd.
Een paar woorden over packet sniffers en netwerkanalysatoren
Laten we beginnen met iets te regelen. In het belang van dit artikel gaan we ervan uit dat packet sniffers en netwerkanalysatoren hetzelfde zijn. Sommigen zullen beweren dat ze anders zijn en dat ze misschien gelijk hebben. Maar in de context van dit artikel zullen we ze samen bekijken, vooral omdat hoewel ze misschien anders werken - maar werken ze echt? - ze hetzelfde doel dienen.
Packet Sniffers doen meestal drie dingen. Eerst leggen ze alle datapakketten vast wanneer ze een netwerkinterface binnenkomen of verlaten. Ten tweede passen ze optioneel filters toe om sommige pakketten te negeren en andere op schijf op te slaan. Ze voeren vervolgens een vorm van analyse van de vastgelegde gegevens uit. Het is in die laatste functie van pakket snuiven dat ze het meest verschillen.
Meestal voor het daadwerkelijk vastleggen van de datapakkettentools gebruiken een externe module. De meest voorkomende zijn libpcap op Unix / Linux-systemen en Winpcap op Windows. U hoeft deze hulpprogramma's meestal niet te installeren, omdat ze meestal worden geïnstalleerd door de verschillende hulpprogramma's.
Een ander belangrijk ding om te weten is dat PacketSniffers - zelfs de beste - zullen niet alles voor je doen. Het zijn slechts hulpmiddelen. Het is net als een hamer die op zichzelf geen spijker zal drijven. Je moet er dus voor zorgen dat je leert hoe je elke tool het beste kunt gebruiken. De packet sniffer laat je alleen het verkeer zien, maar het is aan jou om die informatie te gebruiken om problemen te vinden. Er zijn hele boeken over het gebruik van hulpmiddelen voor het vastleggen van pakketten. Ik heb zelf ooit een driedaagse cursus over dit onderwerp gevolgd. Ik probeer je niet te ontmoedigen. Ik probeer alleen je verwachtingen recht te zetten.
Een packet sniffer gebruiken
Zoals we hebben uitgelegd, wordt een packet sniffer vastgelegden verkeer analyseren. Dus als u probeert een specifiek probleem op te lossen - wat meestal de reden is waarom u zo'n tool zou gebruiken - moet u er eerst voor zorgen dat het verkeer dat u vastlegt het juiste verkeer is. Stel je een situatie voor waarin alle gebruikers klagen dat een bepaalde applicatie traag is. In dat soort situaties is het waarschijnlijk het beste om verkeer op de netwerkinterface van de applicatieserver vast te leggen. U beseft dan misschien dat aanvragen normaal op de server binnenkomen, maar dat het lang duurt voordat de server antwoorden verzendt. Dat duidt op een serverprobleem.
Als u daarentegen de server ziettijdig reageren, betekent dit mogelijk dat het probleem zich ergens in het netwerk tussen de client en de server bevindt. U verplaatst dan uw pakket één sprong dichter naar de client toe en kijkt of reacties worden vertraagd. Als dit niet het geval is, komt u meer hop dichter bij de klant, enzovoort, enzovoort. Je komt uiteindelijk op de plek waar vertragingen optreden. En als u eenmaal de locatie van het probleem hebt geïdentificeerd, bent u een grote stap dichter bij het oplossen ervan.
Nu vraag je je misschien af hoe we het vastleggenpakketten op een specifiek punt. Het is vrij eenvoudig, we maken gebruik van een functie van de meeste netwerkswitches genaamd port mirroring of replication. Dit is een configuratie-optie die al het verkeer in en uit een specifieke switch-poort repliceert naar een andere poort op dezelfde switch. Stel dat uw server is aangesloten op poort 15 van een switch en dat poort 23 van diezelfde switch beschikbaar is. U verbindt uw packet sniffer met poort 23 en configureert de schakelaar om al het verkeer van poort 15 naar poort 23 te repliceren. Wat u op poort 23 krijgt, is een spiegelbeeld - vandaar de naam van de poortspiegeling - van wat er door poort 15 gaat.
De beste packet sniffers en netwerkanalysatoren
Nu je beter begrijpt welk pakketsnuiven en netwerkanalysatoren zijn, laten we eens kijken wat de zeven beste zijn die we konden vinden. We hebben geprobeerd een combinatie van opdrachtregel- en GUI-tools op te nemen, evenals tools die op verschillende besturingssystemen worden uitgevoerd. Niet alle netwerkbeheerders draaien immers Windows.
1. SolarWinds Deep Packet Inspection and Analysis-tool (GRATIS PROEF)
SolarWinds staat bekend om zijn vele handige gratis tools ende nieuwste netwerkbeheersoftware. Een van de tools wordt de Deep Packet Inspection and Analysis Tool genoemd. Het wordt geleverd als onderdeel van het vlaggenschipproduct van SolarWinds, de Network Performance Monitor. De werking ervan is heel anders dan de meer "traditionele" pakket snuiven, hoewel het een soortgelijk doel dient.
Om de functionaliteit van de tool samen te vatten: het zal u helpen de oorzaak van netwerklatenties te vinden en op te lossen, getroffen toepassingen te identificeren en te bepalen of traagheid wordt veroorzaakt door het netwerk of een toepassing. De software zal ook diepe pakketinspectietechnieken gebruiken om de responstijd voor meer dan twaalfhonderd toepassingen te berekenen. Het classificeert netwerkverkeer ook op categorie, zakelijk versus sociaal en risiconiveau, zodat u niet-zakelijk verkeer kunt identificeren dat mogelijk moet worden gefilterd of anderszins moet worden geëlimineerd.
En vergeet niet dat het SolarWinds Deep PacketInspectie- en analysehulpprogramma wordt geleverd als onderdeel van de Network Performace Monitor. NPM, zoals het vaak wordt genoemd, is een indrukwekkend stuk software met zoveel componenten dat een heel artikel eraan kan worden gewijd. In de kern is het een complete oplossing voor netwerkbewaking die de beste technologieën zoals SNMP en diepe pakketinspectie combineert om zoveel mogelijk informatie over de status van uw netwerk te bieden. De tool, die redelijk geprijsd is, wordt geleverd met een gratis proefperiode van 30 dagen, zodat u ervoor kunt zorgen dat deze echt aan uw behoeften voldoet voordat u zich tot aanschaf verbindt.
Officiële downloadlink: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump is waarschijnlijk DE originele packet sniffer. Het werd opgericht in 1987. Sindsdien is het onderhouden en verbeterd, maar blijft het in wezen ongewijzigd, althans zoals het wordt gebruikt. Het is vooraf geïnstalleerd in vrijwel elk Unix-achtig besturingssysteem en is de de facto standaard geworden wanneer men een snel hulpmiddel nodig heeft om pakketten vast te leggen. Tcpdump gebruikt de libpcap-bibliotheek voor het daadwerkelijk vastleggen van pakketten.
Standaard. tcpdump vangt al het verkeer op de opgegeven interface en "dumpt" het - vandaar de naam - op het scherm. De dump kan ook worden doorgestuurd naar een opnamebestand en later worden geanalyseerd met een - of een combinatie - van verschillende beschikbare tools. Een sleutel tot de sterkte en bruikbaarheid van tcpdump is de mogelijkheid om allerlei filters toe te passen en de uitvoer naar grep te sturen - een ander veelgebruikt Unix-opdrachtregelprogramma - voor verder filteren. Iemand met een goede kennis van tcpdump, grep en de opdrachtshell kan ervoor zorgen dat het precies het juiste verkeer vastlegt voor elke foutopsporingstaak.
3. Windump
Windump is in wezen slechts een poort van tcpdumphet Windows-platform. Als zodanig gedraagt het zich op vrijwel dezelfde manier. Het is niet ongewoon om dergelijke poorten van succesvolle hulpprogramma's van het ene platform naar het andere te zien. Windump is een Windows-applicatie, maar verwacht geen chique GUI. Dit is alleen een opdrachtregelprogramma. Het gebruik van Windump is daarom in principe hetzelfde als het gebruik van zijn Unix-tegenhanger. De opdrachtregelopties zijn hetzelfde en de resultaten zijn ook bijna identiek. De uitvoer van Windump kan ook worden opgeslagen in een bestand voor latere analyse met een externe tool.
Een groot verschil met tcpdump is dat Windumpis niet ingebouwd in Windows. Je moet het downloaden van de Windump-website. De software wordt geleverd als een uitvoerbaar bestand en vereist geen installatie. Net zoals tcpdump echter de libpcap-bibliotheek gebruikt, gebruikt Windump Winpcap die, zoals de meeste Windows-bibliotheken, afzonderlijk moet worden gedownload en geïnstalleerd.
4. Wireshark
Wireshark is de referentie in pakket snuiven. Het is de de facto standaard geworden en de meeste andere tools hebben de neiging om het te evenaren. Deze tool zal niet alleen verkeer vastleggen, maar heeft ook behoorlijk krachtige analysemogelijkheden. Zo krachtig dat veel beheerders tcpdump of Windump zullen gebruiken om verkeer naar een bestand te vangen en het bestand vervolgens in Wireshark te laden voor analyse. Dit is een veel voorkomende manier om Wireshark te gebruiken, dat je bij het opstarten wordt gevraagd om een bestaand pcap-bestand te openen of om verkeer vast te leggen. Een andere kracht van Wireshark zijn alle filters die erin zijn verwerkt, zodat u precies kunt weten op welke gegevens u geïnteresseerd bent.
Om eerlijk te zijn, deze tool heeft een steile hellingleercurve maar het is de moeite van het leren waard. Het zal keer op keer van onschatbare waarde blijken te zijn. En als je het eenmaal hebt geleerd, kun je het overal gebruiken, omdat het is overgedragen naar bijna elk besturingssysteem en het is gratis en open-source.
5. tshark
Tshark is een soort kruising tussen tcpdumpen Wireshark. Dit is geweldig, want ze zijn enkele van de beste pakket snuffelaars die er zijn. Tshark lijkt op tcpdump omdat het alleen een opdrachtregelprogramma is. Maar het is ook zoals Wireshark omdat het niet alleen verkeer vastlegt maar ook analyseert. Tshark is van dezelfde ontwikkelaars als Wireshark. Het is min of meer de opdrachtregelversie van Wireshark. Het maakt gebruik van hetzelfde type filtering als Wireshark en kan daarom snel alleen het verkeer isoleren dat u moet analyseren.
Maar waarom, zou je kunnen vragen, zou iemand een willenopdrachtregelversie van Wireshark? Waarom niet gewoon Wireshark gebruiken; met zijn grafische interface, moet het eenvoudiger te gebruiken en te leren zijn? De belangrijkste reden is dat u het op een niet-GUI-server zou kunnen gebruiken.
6. Netwerkminer
Network Miner is meer een forensisch hulpmiddel meerdan een echte packet sniffer. Network Miner volgt een TCP-stream en reconstrueert een volledig gesprek. Het is echt een krachtig hulpmiddel. Het kan werken in de offline modus, waar u een vastlegbestand zou importeren om Network Miner zijn magie te laten werken. Dit is een handige functie omdat de software alleen op Windows draait. Je zou tcpdump op Linux kunnen gebruiken om wat verkeer vast te leggen en Network Miner op Windows om het te analyseren.
Network Miner is beschikbaar in een gratis versie, maarvoor de meer geavanceerde functies zoals op IP gebaseerde geolocatie en scripting, moet u een Profesional-licentie aanschaffen. Een andere geavanceerde functie van de professionele versie is de mogelijkheid om VoIP-oproepen te decoderen en af te spelen.
7. Fiddler (HTTP)
Sommige van onze beter geïnformeerde lezers misschienbeweren dat Fiddler geen packet sniffer is, noch een netwerkanalysator. Ze hebben waarschijnlijk gelijk, maar we vonden dat we dit hulpmiddel op onze lijst moesten opnemen, omdat het in veel situaties erg handig is. Fiddler zal daadwerkelijk verkeer vastleggen, maar geen verkeer. Het werkt alleen met HTTTP-verkeer. Je kunt je voorstellen hoe waardevol het ondanks zijn beperking kan zijn als je bedenkt dat tegenwoordig zoveel applicaties webgebaseerd zijn of het HTTP-protocol op de achtergrond gebruiken. En omdat Fiddler niet alleen browserverkeer maar zo ongeveer elke HTTP zal vastleggen, is het zeer nuttig bij het oplossen van problemen
Het voordeel van een tool als Fiddler ten opzichte van een bonafide packet sniffer zoals bijvoorbeeld Wireshark, is dat Fiddler is gebouwd om HTTP-verkeer te 'begrijpen'. Het zal bijvoorbeeld cookies en certificaten ontdekken. Het zal ook feitelijke gegevens vinden die afkomstig zijn van op HTTP gebaseerde applicaties. Fiddler is gratis en het is alleen beschikbaar voor Windows, hoewel bèta-builds voor OS X en Linux (met behulp van het Mono-framework) kunnen worden gedownload.
Gevolgtrekking
Wanneer we dergelijke lijsten publiceren, zijn we dat vaakgevraagd welke de beste is. In deze specifieke situatie, als mij die vraag zou worden gesteld, zou ik "allemaal" moeten beantwoorden. Ze zijn allemaal gratis tools en hebben allemaal hun waarde. Waarom zou u ze niet allemaal bij de hand hebben en vertrouwd raken met elk ervan. Wanneer u in een situatie komt waarin u ze moet gebruiken, zal dit veel eenvoudiger en efficiënter zijn. Zelfs opdrachtregelprogramma's hebben een enorme waarde. Ze kunnen bijvoorbeeld worden gescript en gepland. Stel je voor dat je een probleem hebt dat dagelijks om 02.00 uur gebeurt. U kunt een taak plannen om tcpdump van Windump uit te voeren tussen 1:50 en 2:10 en de volgende ochtend het opnamebestand te analyseren. Het is niet nodig om de hele nacht op te blijven.
Comments