A detecção de pacotes é um tipo profundo de redeanálise na qual os detalhes do tráfego da rede são decodificados para serem analisados. É uma das habilidades mais importantes para solução de problemas que qualquer administrador de rede deve possuir. Analisar o tráfego da rede é uma tarefa complicada. Para lidar com redes não confiáveis, os dados não são enviados em um fluxo contínuo. Em vez disso, é picado em fragmentos enviados individualmente. A análise do tráfego de rede envolve a capacidade de coletar esses pacotes de dados e remontá-los em algo significativo. Isso não é algo que você pode fazer manualmente, para que farejadores de pacotes e analisadores de rede sejam criados. Hoje, analisamos sete dos melhores detectores de pacotes e analisadores de rede.
Estamos começando a jornada de hoje, dando a vocêalgumas informações básicas sobre o que são os farejadores de pacotes. Vamos tentar descobrir qual é a diferença - ou se há uma diferença - entre um farejador de pacotes e um analisador de rede. Em seguida, prosseguiremos para o assunto principal e não apenas listaremos, mas também revisaremos brevemente cada uma de nossas sete escolhas. O que temos para você é uma combinação de ferramentas da GUI e utilitários de linha de comando que são executados em vários sistemas operacionais.
Algumas palavras sobre sniffers de pacotes e analisadores de rede
Vamos começar estabelecendo algo. Para o propósito deste artigo, presumiremos que os farejadores de pacotes e os analisadores de rede são o mesmo. Alguns argumentam que são diferentes e podem estar certos. Mas, no contexto deste artigo, vamos analisá-los juntos, principalmente porque, embora eles possam operar de maneira diferente - mas será que realmente? - eles servem ao mesmo propósito.
Os farejadores de pacotes geralmente fazem três coisas. Primeiro, eles capturam todos os pacotes de dados quando entram ou saem de uma interface de rede. Em segundo lugar, eles opcionalmente aplicam filtros para ignorar alguns pacotes e salvar outros no disco. Eles então realizam alguma forma de análise dos dados capturados. É nessa última função dos farejadores de pacotes que eles diferem mais.
Para a captura real dos pacotes de dados, a maioriaferramentas usam um módulo externo. Os mais comuns são libpcap em sistemas Unix / Linux e Winpcap no Windows. Normalmente, você não precisa instalar essas ferramentas, pois geralmente são instaladas pelos diferentes instaladores de ferramentas.
Outra coisa importante a saber é que o pacoteOs farejadores - mesmo os melhores - não farão tudo por você. Eles são apenas ferramentas. É como um martelo que não vai pregar sozinho. Portanto, você precisa aprender a melhor maneira de usar cada ferramenta. O farejador de pacotes permitirá que você veja o tráfego, mas depende de você usar essas informações para encontrar problemas. Existem livros inteiros sobre o uso de ferramentas de captura de pacotes. Eu próprio fiz um curso de três dias sobre o assunto. Não estou tentando desencorajar você. Estou apenas tentando definir suas expectativas.
Como usar um sniffer de pacotes
Como explicamos, um farejador de pacotes capturae analise o tráfego. Portanto, se você estiver tentando solucionar um problema específico (motivo pelo qual costuma usar essa ferramenta), primeiro é necessário garantir que o tráfego capturado seja o tráfego certo. Imagine uma situação em que todos os usuários estejam reclamando que um aplicativo específico é lento. Nesse tipo de situação, sua melhor aposta provavelmente seria capturar tráfego na interface de rede do servidor de aplicativos. Você pode perceber que as solicitações chegam ao servidor normalmente, mas que o servidor demora muito para enviar respostas. Isso indicaria um problema no servidor.
Se, por outro lado, você vir o servidorrespondendo em tempo hábil, isso possivelmente significa que o problema está em algum lugar na rede entre o cliente e o servidor. Você então moveria o sniffer de pacotes um salto para mais perto do cliente e veria se as respostas estão atrasadas. Caso contrário, você se aproxima mais do cliente e assim por diante. Você chegará ao local onde ocorrem os atrasos. E depois de identificar a localização do problema, você estará um grande passo mais próximo para resolvê-lo.
Agora você pode estar se perguntando como conseguimos capturarpacotes em um ponto específico. É bem simples, aproveitamos um recurso da maioria dos comutadores de rede chamado espelhamento de porta ou replicação. Essa é uma opção de configuração que replicará todo o tráfego de entrada e saída de uma porta de switch específica para outra porta no mesmo switch. Digamos que seu servidor esteja conectado à porta 15 de um comutador e que a porta 23 desse mesmo comutador esteja disponível. Você conecta seu sniffer de pacotes à porta 23 e configura o switch para replicar todo o tráfego da porta 15 à porta 23. O resultado obtido na porta 23 é uma imagem em espelho - daí o nome do espelhamento de porta - do que está passando pela porta 15.
Os melhores farejadores de pacotes e analisadores de rede
Agora que você entende melhor o pacotesniffers e analisadores de rede, vamos ver quais são os sete melhores que pudemos encontrar. Tentamos incluir uma mistura de ferramentas de linha de comando e GUI, além de ferramentas em execução em vários sistemas operacionais. Afinal, nem todos os administradores de rede estão executando o Windows.
1. Ferramenta de inspeção e análise profunda de pacotes da SolarWinds (TESTE GRÁTIS)
SolarWinds é bem conhecido por suas muitas ferramentas gratuitas úteis eseu software de gerenciamento de rede de última geração. Uma de suas ferramentas é chamada de Deep Packet Inspection and Analysis Tool. Ele vem como um componente do principal produto da SolarWinds, o Network Performance Monitor. Sua operação é bem diferente dos farejadores de pacotes mais “tradicionais”, embora sirva a um objetivo semelhante.
Para resumir a funcionalidade da ferramenta: ajudará você a encontrar e resolver a causa das latências da rede, identificar aplicativos afetados e determinar se a lentidão é causada pela rede ou por um aplicativo. O software também usará técnicas de inspeção profunda de pacotes para calcular o tempo de resposta para mais de mil e duzentas aplicações. Ele também classificará o tráfego de rede por categoria, comercial x social e nível de risco, ajudando a identificar o tráfego não comercial que talvez precise ser filtrado ou eliminado.
E não esqueça que o SolarWinds Deep PacketA Ferramenta de inspeção e análise faz parte do Monitor de desempenho de rede. O NPM, como costuma ser chamado, é um software impressionante com tantos componentes que um artigo inteiro pode ser dedicado a ele. Na sua essência, é uma solução completa de monitoramento de rede que combina as melhores tecnologias, como SNMP e inspeção profunda de pacotes, para fornecer o máximo de informações possível sobre o estado da sua rede. A ferramenta, com preços razoáveis, vem com uma avaliação gratuita de 30 dias para que você possa se certificar de que realmente se adapta às suas necessidades antes de se comprometer a comprá-la.
Link para download oficial: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump é provavelmente o sniffer de pacote original. Foi criado em 1987. Desde então, ele foi mantido e aprimorado, mas permanece essencialmente inalterado, pelo menos da maneira como é usado. Ele é pré-instalado em praticamente todos os sistemas operacionais do tipo Unix e se tornou o padrão de fato quando é preciso uma ferramenta rápida para capturar pacotes. O Tcpdump usa a biblioteca libpcap para a captura de pacotes real.
Por padrão. O tcpdump captura todo o tráfego na interface especificada e a despeja - daí o nome - na tela. O despejo também pode ser canalizado para um arquivo de captura e analisado posteriormente usando uma - ou uma combinação - de várias ferramentas disponíveis. Uma chave para a força e a utilidade do tcpdump é a possibilidade de aplicar todos os tipos de filtros e canalizar sua saída para grep - outro utilitário comum de linha de comando Unix - para filtragem adicional. Alguém com um bom conhecimento do tcpdump, grep e do shell de comando pode capturar com precisão o tráfego certo para qualquer tarefa de depuração.
3. Windump
Windump é essencialmente apenas uma porta do tcpdump paraa plataforma Windows. Como tal, ele se comporta da mesma maneira. Não é incomum ver essas portas de programas utilitários bem-sucedidos de uma plataforma para outra. Windump é um aplicativo do Windows, mas não espere uma GUI sofisticada. Este é um utilitário somente de linha de comando. Usar Windump, portanto, é basicamente o mesmo que usar seu equivalente no Unix. As opções da linha de comando são as mesmas e os resultados também são quase idênticos. A saída do Windump também pode ser salva em um arquivo para análise posterior com uma ferramenta de terceiros.
Uma grande diferença com o tcpdump é que o Windumpnão está embutido no Windows. Você precisará fazer o download no site Windump. O software é entregue como um arquivo executável e não requer instalação. No entanto, assim como o tcpdump usa a biblioteca libpcap, o Windump usa o Winpcap, que, como a maioria das bibliotecas do Windows, precisa ser baixado e instalado separadamente.
4. Wireshark
Wireshark é a referência em farejadores de pacotes. Tornou-se o padrão de fato e a maioria das outras ferramentas tendem a imitá-lo. Essa ferramenta não apenas captura o tráfego, mas também possui recursos de análise bastante poderosos. Tão poderoso que muitos administradores usarão o tcpdump ou o Windump para capturar o tráfego em um arquivo e carregá-lo no Wireshark para análise. Essa é uma maneira tão comum de usar o Wireshark que, na inicialização, você é solicitado a abrir um arquivo pcap existente ou começar a capturar tráfego. Outra força do Wireshark são todos os filtros que ele incorpora, permitindo que você se concentre exatamente nos dados de seu interesse.
Para ser perfeitamente honesto, esta ferramenta tem uma inclinaçãocurva de aprendizado, mas vale a pena aprender. Isso será inestimável uma e outra vez. E uma vez que você o tenha aprendido, poderá usá-lo em qualquer lugar, pois ele foi portado para quase todos os sistemas operacionais e é gratuito e de código aberto.
5. tshark
Tshark é como um cruzamento entre tcpdumpe Wireshark. Isso é ótimo, pois são alguns dos melhores farejadores de pacotes existentes no mercado. O Tshark é como o tcpdump, pois é uma ferramenta apenas de linha de comando. Mas também é como o Wireshark, que não apenas captura, mas também analisa o tráfego. Tshark é dos mesmos desenvolvedores que o Wireshark. É, mais ou menos, a versão em linha de comando do Wireshark. Ele usa o mesmo tipo de filtragem que o Wireshark e, portanto, pode isolar rapidamente apenas o tráfego que você precisa analisar.
Mas por que, você pode perguntar, alguém iria querer umversão em linha de comando do Wireshark? Por que não usar apenas o Wireshark; com sua interface gráfica, precisa ser mais simples de usar e aprender? O principal motivo é que isso permitiria que você o usasse em um servidor não GUI.
6. Mineiro de Rede
O Network Miner é mais uma ferramenta forense maisdo que um verdadeiro sniffer de pacotes. O Network Miner seguirá um fluxo TCP e reconstruirá toda a conversa. É realmente uma ferramenta poderosa. Ele pode funcionar no modo offline, onde você importaria algum arquivo de captura para permitir que o Network Miner funcionasse. Esse é um recurso útil, pois o software é executado apenas no Windows. Você pode usar o tcpdump no Linux para capturar algum tráfego e o Network Miner no Windows para analisá-lo.
O Network Miner está disponível em uma versão gratuita, mas,para os recursos mais avançados, como geolocalização e script com base em IP, você precisará adquirir uma licença profissional. Outra função avançada da versão profissional é a possibilidade de decodificar e reproduzir chamadas VoIP.
7. Violinista (HTTP)
Alguns de nossos leitores mais informados podemargumentam que o Fiddler não é um farejador de pacotes nem um analisador de rede. Eles provavelmente estão certos, mas achamos que deveríamos incluir essa ferramenta em nossa lista, pois é muito útil em muitas situações. O Fiddler realmente capturará o tráfego, mas não o tráfego. Funciona apenas com tráfego HTTTP. Você pode imaginar o quanto isso pode ser valioso, apesar de sua limitação, quando você considera que muitos aplicativos hoje são baseados na Web ou usam o protocolo HTTP em segundo plano. E como o Fiddler captura não apenas o tráfego do navegador, mas praticamente qualquer HTTP, é muito útil na solução de problemas
A vantagem de uma ferramenta como o Fiddler sobre um bonaUm farejador de pacotes confiável, como, por exemplo, o Wireshark, é que o Fiddler foi criado para "entender" o tráfego HTTP. Ele irá, por exemplo, descobrir cookies e certificados. Ele também encontrará dados reais provenientes de aplicativos baseados em HTTP. O Fiddler é gratuito e está disponível apenas para Windows, embora as versões beta para OS X e Linux (usando a estrutura Mono) possam ser baixadas.
Conclusão
Quando publicamos listas como essa, geralmente somosperguntou qual é o melhor. Nessa situação específica, se me fizessem essa pergunta, teria que responder "todos eles". Todas são ferramentas gratuitas e todas têm seu valor. Por que não tê-los à mão e se familiarizar com cada um deles? Quando você chega a uma situação em que precisa usá-los, será muito mais fácil e eficiente. Até as ferramentas de linha de comando têm um valor tremendo. Por exemplo, eles podem ser programados e programados. Imagine que você tem um problema que acontece diariamente às 2:00 da manhã. Você pode agendar um trabalho para executar o tcpdump do Windump entre 1:50 e 2:10 e analisar o arquivo de captura na manhã seguinte. Não há necessidade de ficar acordado a noite toda.
Comentários