- - Beste pakkesniffere og nettverksanalysatorer - Topp 7 anmeldt i 2019

Beste pakkesniffere og nettverksanalysatorer - Topp 7 anmeldt i 2019

Pakkesniffing er en dyp type nettverkanalyse der detaljer om nettverkstrafikken dekodes for å bli analysert. Det er en av de viktigste feilsøkingsferdighetene som en nettverksadministrator bør ha. Å analysere nettverkstrafikk er en komplisert oppgave. For å takle upålitelige nettverk, blir ikke data sendt i en kontinuerlig strøm. I stedet blir det hakket opp i fragmenter som er sendt individuelt. Å analysere nettverkstrafikk innebærer å kunne samle disse pakkene med data og samle dem om til noe meningsfullt. Dette er ikke noe du kan gjøre manuelt slik at pakkesniffere og nettverksanalysatorer ble opprettet. I dag ser vi på syv av de beste pakkesnifferne og nettverksanalysatorene.

Vi starter dagens reise med å gi deglitt bakgrunnsinformasjon om hva pakkesniffere er. Vi vil prøve å finne ut hva forskjellen er - eller om det er en forskjell - mellom en pakkesniffer og en nettverksanalysator. Vi vil deretter gå videre til kjernen i faget vårt og ikke bare liste, men også kort gjennomgå alle de syv valgene våre. Det vi har for deg er en kombinasjon av GUI-verktøy og kommandolinjeværktøy som kjører på forskjellige operativsystemer.

Noen få ord om pakkesniffere og nettverksanalysatorer

La oss begynne med å ordne opp noe. Av hensyn til denne artikkelen antar vi at pakkesniffere og nettverksanalysatorer er det samme. Noen vil hevde at de er forskjellige og at de kan ha rett. Men i sammenheng med denne artikkelen, skal vi se på dem sammen, hovedsakelig fordi selv om de kanskje fungerer annerledes - men gjør de virkelig? - tjener de samme formål.

Packet Sniffers gjør vanligvis tre ting. Først fanger de alle datapakker når de går inn i eller går ut fra et nettverksgrensesnitt. For det andre bruker de eventuelt filtre for å ignorere noen av pakkene og lagre andre på disk. De utfører deretter en form for analyse av dataene som er fanget. Det er i den siste funksjonen til pakkesniffere at de skiller seg mest ut.

For den faktiske fangsten av datapakkene, mestverktøy bruker en ekstern modul. De vanligste er libpcap på Unix / Linux-systemer og Winpcap på Windows. Du trenger vanligvis ikke å installere disse verktøyene, ettersom de vanligvis er installert av de forskjellige verktøyinstallatørene.

En annen viktig ting å vite er at pakkenSniffere - selv den beste - vil ikke gjøre alt for deg. De er bare verktøy. Det er akkurat som en hammer som ikke driver noen spiker av seg selv. Så du må sørge for at du lærer hvordan du best kan bruke hvert verktøy. Pakkesniffen lar deg se trafikken, men det er opp til deg å bruke denne informasjonen til å finne problemer. Det har vært hele bøker om bruk av pakkefangstverktøy. Jeg har selv en gang tatt et tredagers kurs om emnet. Jeg prøver ikke å fraråde deg. Jeg prøver bare å rette forventningene dine.

Hvordan bruke en pakkesniffer

Som vi har forklart, fanger en pakkesnifferog analysere trafikk. Så hvis du prøver å feilsøke et bestemt problem - som vanligvis er grunnen til at du vil bruke et slikt verktøy - må du først sørge for at trafikken du tar er riktig trafikk. Se for deg en situasjon der alle brukere klager over at en bestemt applikasjon går tregt. I den type situasjoner vil det beste alternativet sannsynligvis være å fange trafikk på applikasjonsserverens nettverksgrensesnitt. Du vil kanskje innse at forespørsler ankommer serveren normalt, men at serveren tar lang tid å sende ut svar. Det skulle indikere et serverproblem.

Hvis du derimot ser serverenå svare på en riktig måte, betyr det muligens at problemet er et sted i nettverket mellom klienten og serveren. Du ville deretter flytte pakkesnifferen ett hopp nærmere klienten og se om svarene er forsinket. Hvis det ikke er, flytter du mer hop nærmere klienten, og så videre og så videre. Du kommer etter hvert til stedet der det oppstår forsinkelser. Og når du har identifisert plasseringen av problemet, er du et stort skritt nærmere å løse det.

Nå lurer du kanskje på hvordan vi klarer å fange opppakker på et bestemt punkt. Det er ganske enkelt. Vi drar fordel av en funksjon i de fleste nettverksbrytere som kalles portspeiling eller replikering. Dette er et konfigurasjonsalternativ som vil gjenskape all trafikk inn og ut av en spesifikk bryterport til en annen port på den samme bryteren. La oss si at serveren din er koblet til port 15 på en bryter, og at port 23 til den samme bryteren er tilgjengelig. Du kobler pakkesnifferen til port 23 og konfigurerer bryteren til å gjenskape all trafikk fra port 15 til port 23. Det du får som resultat på port 23 er et speilbilde - derav navnet på portspeilingen - av hva som går gjennom port 15.

De beste pakkesniffere og nettverksanalysatorer

Nå som du bedre forstår hvilken pakkesniffere og nettverksanalysatorer er, la oss se hva som er de syv beste vi kunne finne. Vi har prøvd å inkludere en blanding av kommandolinje- og GUI-verktøy, samt inkludere verktøy som kjører på forskjellige operativsystemer. Tross alt kjører ikke alle nettverksadministratorer Windows.

1. SolarWinds Deep Packet Inspection and Analysis verktøy (GRATIS PRØVEPERIODE)

Solarwinds er kjent for sine mange nyttige gratis verktøy ogsin topp moderne programvare for nettverksadministrasjon. Et av verktøyene kalles Deep Packet Inspection and Analysis Tool. Det kommer som en del av SolarWinds flaggskipprodukt, Network Performance Monitor. Driften er ganske forskjellig fra mer “tradisjonelle” pakkesniffere, selv om det tjener et lignende formål.

SolarWinds Deep Packet Analysis Dashboard

Slik oppsummerer du verktøyets funksjonalitet: det vil hjelpe deg å finne og løse årsaken til nettverksforsinkelser, identifisere påvirkede applikasjoner og bestemme om treghet er forårsaket av nettverket eller et program. Programvaren vil også bruke dype pakkeinspeksjonsteknikker for å beregne responstid for over tolv hundre applikasjoner. Det vil også klassifisere nettverkstrafikk etter kategori, virksomhet kontra sosialt og risikonivå, og hjelpe deg med å identifisere ikke-forretningstrafikk som kan trenge å bli filtrert eller på annen måte eliminert.

Og ikke glem at SolarWinds Deep PacketInspeksjon og analyseverktøy kommer som en del av Network Performace Monitor. NPM, som det ofte kalles, er et imponerende programvare med så mange komponenter at en hel artikkel kan vies den. I kjernen er det en komplett nettverksovervåkningsløsning som kombinerer de beste teknologiene som SNMP og dyp pakkeinspeksjon for å gi så mye informasjon om tilstanden til nettverket ditt som mulig. Verktøyet, som er rimelig, leveres med en 30-dagers gratis prøveperiode, slik at du kan sørge for at det virkelig passer dine behov før du går inn på å kjøpe det.

Offisiell nedlastingslenke: https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

Tcpdump er antagelig DEN originale pakkesnifferen. Den ble opprettet i 1987. Siden den gang har den blitt opprettholdt og forbedret, men forblir i det vesentlige uendret, i det minste slik den brukes. Det er forhåndsinstallert i praktisk talt alle Unix-lignende operativsystemer og har blitt de-facto-standarden når man trenger et raskt verktøy for å fange pakker. Tcpdump bruker libpcap-biblioteket for selve pakkefangst.

TCPDump-skjermbilde

Som standard. tcpdump fanger all trafikk på det angitte grensesnittet og "dumper" den - derav navnet - på skjermen. Dumpen kan også ledes til en fangstfil og analyseres senere ved bruk av ett - eller en kombinasjon - av flere tilgjengelige verktøy. En nøkkel til styrken og nytten av tcpdump er muligheten til å bruke alle slags filtre og til å føre utdataene til grep - et annet vanlig Unix-kommandolinjeprogram - for videre filtrering. Noen med god kunnskap om tcpdump, grep og kommandoskallet kan få det til å fange opp nøyaktig riktig trafikk for enhver feilsøkingsoppgave.

3. Windump

Windump er egentlig bare en havn med tcpdump tilWindows-plattformen. Som sådan oppfører den seg på samme måte. Det er ikke uvanlig å se slike porter med vellykkede verktøy fra en plattform til en annen. Windump er et Windows-program, men forvent ikke et fancy GUI. Dette er bare et kommandolinjeverktøy. Å bruke Windump er derfor i utgangspunktet det samme som å bruke Unix-motstykket. Kommandolinjealternativene er de samme, og resultatene er også nesten identiske. Utgangen fra Windump kan også lagres i en fil for senere analyse med et tredjepartsverktøy.

WinDump Hjelp

En stor forskjell med tcpdump er at Windumper ikke innebygd i Windows. Du må laste den ned fra Windump-nettstedet. Programvaren leveres som en kjørbar fil og krever ingen installasjon. Imidlertid, akkurat som tcpdump bruker libpcap-biblioteket, bruker Windump Winpcap som, som de fleste Windows-biblioteker, må lastes ned og installeres separat.

4. Wireshark

Wireshark er referansen i pakkesniffere. Det har blitt de-facto-standarden, og de fleste andre verktøy har en tendens til å etterligne den. Dette verktøyet vil ikke bare fange trafikk, det har også ganske kraftige analysemuligheter. Så kraftig at mange administratorer vil bruke tcpdump eller Windump for å fange trafikk til en fil og deretter laste filen inn i Wireshark for analyse. Dette er en så vanlig måte å bruke Wireshark at du ved oppstart blir bedt om å enten åpne en eksisterende pcap-fil eller begynne å fange trafikk. En annen styrke til Wireshark er alle filtrene den inneholder, som lar deg nullstille nøyaktig dataene du er interessert i.

Wireshark Skjermbilde

For å være helt ærlig har dette verktøyet en brattlæringskurve, men det er vel verdt å lære. Det vil vise seg uvurderlig gang på gang. Når du først har lært det, vil du kunne bruke det overalt slik det er blitt portert til nesten alle operativsystemer, og det er gratis og åpen kildekode.

5. tark

Tshark er liksom en krysning mellom tcpdumpog Wireshark. Dette er en flott ting, ettersom de er noen av de beste pakkesnifferne der ute. Tshark er som tcpdump ved at det er et eneste kommandolinjeverktøy. Men det er også som Wireshark ved at den ikke bare fanger opp, men også analyserer trafikken. Tshark er fra de samme utviklerne som Wireshark. Det er mer eller mindre kommandolinjeversjonen av Wireshark. Den bruker samme type filtrering som Wireshark og kan derfor raskt isolere bare trafikken du trenger å analysere.

Tshark-resultater

Men hvorfor, kan du spørre, ville noen ønske seg etkommandolinjeversjon av Wireshark? Hvorfor ikke bare bruke Wireshark; med det grafiske grensesnittet, må det være enklere å bruke og å lære? Hovedårsaken er at den tillater deg å bruke den på en ikke-GUI-server.

6. Network Miner

Network Miner er mer et kriminalteknisk verktøy merenn en ekte pakkesniffer. Network Miner vil følge en TCP-strøm og rekonstruere en hel samtale. Det er virkelig et kraftig verktøy. Den kan fungere i frakoblet modus der du vil importere noen fangstfil for å la Network Miner arbeide sin magi. Dette er en nyttig funksjon da programvaren bare kjører på Windows. Du kan bruke tcpdump på Linux for å fange opp litt trafikk og Network Miner på Windows for å analysere den.

NetworkMiner-skjermbilde

Network Miner er tilgjengelig i en gratis versjon, men,for de mer avanserte funksjonene som IP-basert geolokering og skripting, må du kjøpe en Profesional-lisens. En annen avansert funksjon av den profesjonelle versjonen er muligheten for å avkode og spille av VoIP-anrop.

7. Fiddler (HTTP)

Noen av våre kunnskapsrike lesere kan dethevder at Fiddler ikke er en pakkesniffer og heller ikke er en nettverksanalysator. De har sannsynligvis rett, men vi følte at vi burde ta med dette verktøyet på listen vår, da det er veldig nyttig i mange situasjoner. Fiddler vil faktisk fange trafikk, men ikke trafikk. Det fungerer bare med HTTTP-trafikk. Du kan forestille deg hvor verdifull det kan være til tross for begrensningen når du vurderer at så mange applikasjoner i dag er nettbaserte eller bruker HTTP-protokollen i bakgrunnen. Og siden Fiddler ikke bare vil fange nettlesertrafikk, men omtrent hvilken som helst HTTP, er den veldig nyttig i feilsøking

Skjermbilde av feilsøking av feiling

Fordelen med et verktøy som Fiddler fremfor en bonafide-pakkesniffer som for eksempel Wireshark, er at Fiddler ble bygget for å "forstå" HTTP-trafikk. Det vil for eksempel oppdage informasjonskapsler og sertifikater. Den vil også finne faktiske data som kommer fra HTTP-baserte applikasjoner. Fiddler er gratis, og den er bare tilgjengelig for Windows, selv om beta-bygginger for OS X og Linux (ved hjelp av Mono-rammeverket) kan lastes ned.

Konklusjon

Når vi publiserer lister som denne, er vi ofte detspurte hvilken som er best. I denne spesielle situasjonen, hvis jeg ble spurt om det spørsmålet, måtte jeg svare "alle sammen". De er alle gratis verktøy, og alle har sin verdi. Hvorfor ikke ha dem alle for hånden og bli kjent med hver enkelt. Når du kommer til en situasjon hvor du trenger å bruke dem, vil det være mye enklere og effektiv. Selv verktøy for kommandolinjer har en enorm verdi. For eksempel kan de skriptes og planlegges. Se for deg at du har et problem som skjer klokka 02.00 daglig. Du kan planlegge en jobb for å kjøre tcpdump av Windump mellom 1:50 og 2:10 og analysere fangstfilen neste morgen. Ingen grunn til å holde deg oppe hele natten.

Les også

Hva er en nettverkssnekker og hva brukes den til?
Finn filer basert på størrelse ved hjelp av Windows Explorer-søkefiltre [Tips]
Snuse, se og fange nedlastede data på nettstedet ved hjelp av WebSiteSniffer
Se og inspiser nettverkstrafikk med SmartSniff
De beste open source nettverksovervåkningsverktøyene
6 beste Wireshark-alternativer for pakkesniffing
15 beste verktøy for nettverksovervåking satt på prøve i 2019
Beste gratis sFlow samlere og analysatorer anmeldt i 2019
9 beste verktøy for feilsøking av nettverk vi har evaluert i 2019
12 Beste programvare og verktøy for nettverksovervåking anmeldt i 2019
Beste NetFlow samlere og analysatorer for Windows: Evaluert i 2019
WireShark - Awesome Network Packet Sniffer

kommentarer