Adormirea pachetelor este un tip profund de rețeaanaliza în care detaliile traficului de rețea sunt decodate pentru a fi analizate. Este una dintre cele mai importante abilități de rezolvare a problemelor pe care ar trebui să le dețină un administrator de rețea. Analizarea traficului de rețea este o sarcină complicată. Pentru a face față rețelelor nesigure, datele nu sunt trimise într-un flux continuu. În schimb, este tăiat în fragmente trimise individual. Analiza traficului de rețea presupune posibilitatea de a colecta aceste pachete de date și de a le reasambla în ceva semnificativ. Acest lucru nu poate fi făcut manual, astfel încât s-au creat sniffere de pachete și analizoare de rețea. Astăzi, aruncăm o privire la șapte dintre cei mai buni snifferi de pachete și analizoare de rețea.
Începem călătoria de astăzi oferindu-văcâteva informații de fundal despre ce sunt snifferii de pachete. Vom încerca să identificăm care este diferența - sau dacă există o diferență - între un sniffer de pachete și un analizator de rețea. Vom trece apoi la nucleul subiectului nostru și nu numai o listă, dar vom examina pe scurt fiecare din cele șapte opțiuni ale noastre. Ceea ce avem pentru dvs. este o combinație de instrumente GUI și utilități din linia de comandă care rulează pe diverse sisteme de operare.
Câteva cuvinte despre sniffere de pachete și analizoare de rețea
Să începem prin a rezolva ceva. În numele acestui articol, presupunem că snifferele de pachete și analizatorii de rețea sunt unul și același. Unii vor argumenta că sunt diferiți și pot avea dreptate. Dar, în contextul acestui articol, le vom analiza împreună, în principal pentru că, chiar dacă ar putea să funcționeze diferit - dar chiar? - Ele servesc același scop.
Pachetele Sniffers fac de obicei trei lucruri. În primul rând, captează toate pachetele de date pe măsură ce intră sau ies din interfața de rețea. În al doilea rând, opțional aplică filtre pentru a ignora unele dintre pachete și pentru a salva altele pe disc. Apoi efectuează o formă de analiză a datelor capturate. În ultima funcție a snifferelor de pachete este cea care diferă cel mai mult.
Pentru captarea reală a pachetelor de date, majoritateainstrumentele folosesc un modul extern. Cele mai frecvente sunt libpcap pe sistemele Unix / Linux și Winpcap pe Windows. În mod obișnuit, nu trebuie să instalați aceste instrumente, deoarece de obicei sunt instalate de diferiți instalatori de instrumente.
Un alt lucru important de știut este acel pachetSniffers - chiar și cel mai bun - nu va face totul pentru tine. Sunt doar instrumente. Este exact ca un ciocan care nu va conduce singur unghia. Deci, trebuie să vă asigurați că învățați cum să utilizați cel mai bine fiecare instrument. Snifferul de pachete vă va lăsa doar să vedeți traficul, dar depinde de dvs. să utilizați aceste informații pentru a găsi probleme. Au fost cărți întregi despre utilizarea instrumentelor de captare a pachetelor. Eu, am făcut odată un curs de trei zile pe această temă. Nu încerc să te descurajez. Încerc doar să vă stabilesc așteptările.
Cum să folosiți un sniffer de pachete
După cum am explicat, va fi capturat un sniffer de pacheteși analizați traficul. Așadar, dacă încercați să rezolvați o problemă specifică - care este de obicei motivul pentru care utilizați un astfel de instrument - trebuie mai întâi să vă asigurați că traficul pe care îl capturați este cel potrivit. Imaginează-ți o situație în care toți utilizatorii se plâng că o anumită aplicație este lentă. În acest tip de situație, cel mai bun pariu ar fi, probabil, captarea traficului pe interfața de rețea a serverului de aplicație. Vă puteți da seama apoi că solicitările ajung în mod normal la server, dar că serverul necesită mult timp pentru a trimite răspunsuri. Aceasta ar indica o problemă de server.
Dacă, pe de altă parte, vedeți serverulrăspunzând în timp util, înseamnă că problema se află undeva în rețea, între client și server. Apoi, vă mutați snifferul de pachete un hop mai aproape de client și veți vedea dacă răspunsurile întârzie să apară. Dacă nu, vă mutați mai mult hop mai aproape de client și așa mai departe. În cele din urmă, veți ajunge la locul în care apar întârzieri. Și după ce ați identificat locația problemei, sunteți cu un pas mai mare spre rezolvarea acesteia.
Acum este posibil să vă întrebați cum reușim să surprindempachete la un anumit punct. Este destul de simplu, profităm de o caracteristică a majorității comutatoarelor de rețea numite oglindire sau replicare port. Aceasta este o opțiune de configurare care va reproduce tot traficul de intrare și ieșire dintr-un port de comutare specific către un alt port de pe același comutator. Să presupunem că serverul dvs. este conectat la portul 15 al unui comutator și că portul 23 al aceluiași switch este disponibil. Conectați snifferul de pachete la portul 23 și configurați comutatorul pentru a reproduce tot traficul de la portul 15 la portul 23. Ceea ce obțineți ca rezultat în portul 23 este o imagine în oglindă - de unde și numele de oglindire a portului - a ceea ce trece prin port 15.
Cele mai bune pachete de sniffere și analizoare de rețea
Acum că înțelegeți mai bine ce pachetsniffers și analizoare de rețea sunt, să vedem care sunt cele șapte cele mai bune pe care le-am putea găsi. Am încercat să includem un amestec de linii de comandă și instrumente GUI, precum și să includem instrumente care rulează pe diverse sisteme de operare. La urma urmei, nu toți administratorii de rețea rulează Windows.
1. Instrumentul de analiză și analiză Deep Packet DeepWinds (ÎNCERCARE GRATUITĂ)
SolarWinds este binecunoscut pentru numeroasele sale instrumente gratuite utile șisoftware-ul său de management al rețelei de ultimă generație. Unul dintre instrumentele sale se numește instrumentul de analiză și analiză a pachetelor profunde. Acesta vine ca o componentă a produsului principal al SolarWinds, Network Performance Monitor. Funcționarea sa este destul de diferită de cea mai „tradițională” sniffers de pachete, deși servește un scop similar.
Pentru a rezuma funcționalitatea instrumentului: aceasta vă va ajuta să găsiți și să rezolvați cauza latențelor rețelei, să identificați aplicațiile cu impact și să determinați dacă încetinirea este cauzată de rețea sau de o aplicație. Programul va utiliza, de asemenea, tehnici de inspecție profundă a pachetelor pentru a calcula timpul de răspuns pentru peste douăsprezece sute de aplicații. De asemenea, va clasifica traficul de rețea pe categorii, afaceri vs. social și nivel de risc, ajutându-vă să identificați traficul non-business care ar putea fi necesar să fie filtrat sau eliminat în alt mod.
Și nu uitați că SolarWinds Deep PacketInstrumentul de inspecție și analiză vine ca parte a monitorului de perfecționare a rețelei. NPM, cum este adesea numit este un software impresionant cu atât de multe componente încât un articol întreg i-ar putea fi dedicat. La baza sa, este o soluție completă de monitorizare a rețelei care combină cele mai bune tehnologii precum SNMP și inspecția profundă a pachetelor pentru a oferi cât mai multe informații despre starea rețelei tale. Instrumentul, care are un preț rezonabil, vine cu o probă gratuită de 30 de zile, astfel încât să vă asigurați că se potrivește cu adevărat nevoilor dvs. înainte de a vă angaja să îl achiziționați.
Link oficial de descărcare: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump este probabil THE sniffer original de pachete. A fost creat în 1987. De atunci, a fost menținut și îmbunătățit, dar rămâne esențial neschimbat, cel puțin modul în care este utilizat. Este preinstalat în aproape fiecare sistem de operare similar Unix și a devenit standardul de facto atunci când este nevoie de un instrument rapid pentru a capta pachete. Tcpdump utilizează biblioteca libpcap pentru capturarea pachetelor efective.
În mod implicit. tcpdump surprinde tot traficul de pe interfața specificată și îl „aruncă” - de unde și numele acestuia - pe ecran. Descărcarea poate fi, de asemenea, conectată la un fișier de captare și analizată ulterior folosind unul sau o combinație - a mai multor instrumente disponibile. O cheie pentru rezistența și utilitatea tcpdump este posibilitatea de a aplica tot felul de filtre și de a canaliza ieșirea sa la grep - o altă utilitate comună a liniei de comandă Unix - pentru filtrarea ulterioară. Cineva cu cunoștințe bune despre tcpdump, grep și shell-ul de comandă îl poate face să surprindă exact traficul potrivit pentru orice sarcină de depanare.
3. Vântură
Windump este în esență doar un port al tcpdump cătreplatforma Windows. Ca atare, se comportă în același mod. Nu este neobișnuit să vezi astfel de porturi de programe utilitare de succes de la o platformă la alta. Windump este o aplicație Windows, dar nu vă așteptați la o interfață grafică elegantă. Acesta este un utilitar pentru linia de comandă. Prin urmare, utilizarea Windump este practic aceeași cu omologul său Unix. Opțiunile din linia de comandă sunt aceleași, iar rezultatele sunt, de asemenea, aproape identice. Ieșirea de la Windump poate fi salvată și într-un fișier pentru analiză ulterioară cu un instrument terț.
O diferență majoră cu tcpdump este că Windumpnu este încorporat în Windows. Va trebui să îl descărcați de pe site-ul Windump. Software-ul este livrat ca fișier executabil și nu necesită nicio instalare. Cu toate acestea, la fel cum tcpdump folosește biblioteca libpcap, Windump folosește Winpcap care, la fel ca majoritatea bibliotecilor Windows, trebuie descărcat și instalat separat.
4. Wireshark
Wireshark este referința în sniffers de pachete. A devenit standardul de facto și majoritatea celorlalte instrumente tind să-l imite. Acest instrument nu numai că va capta trafic, ci are și capacități de analiză destul de puternice. Atât de puternic încât mulți administratori vor folosi tcpdump sau Windump pentru a captura trafic într-un fișier, apoi vor încărca fișierul în Wireshark pentru analiză. Acesta este un mod atât de obișnuit de a utiliza Wireshark, încât la pornire, vi se solicită să deschideți un fișier pcap existent sau să începeți să capturați trafic. Un alt punct forte al Wireshark îl reprezintă toate filtrele pe care le încorporează, care vă permit să introduceți zero pe exact datele de care vă interesați.
Pentru a fi perfect sincer, acest instrument are un abruptcurba de învățare, dar merită învățat. Se va dovedi o dată neprețuită din nou. Și după ce ați aflat-o, veți putea să o utilizați peste tot, deoarece a fost portată la aproape toate sistemele de operare și este gratuită și open-source.
5. tshark
Tshark este ca un fel de cruce între Tcpdumpși Wireshark. Acesta este un lucru minunat, deoarece sunt unele dintre cele mai bune sniffers de pachete de acolo. Tshark este ca tcpdump prin faptul că este un instrument numai pentru linia de comandă. Dar este de asemenea ca Wireshark prin faptul că nu numai că captează, dar și analizează traficul. Tshark este de la aceiași dezvoltatori ca Wireshark. Este, mai mult sau mai puțin, versiunea pentru linia de comandă a Wireshark. Utilizează același tip de filtrare ca Wireshark și, prin urmare, poate izola rapid doar traficul pe care trebuie să îl analizezi.
Dar de ce, s-ar putea să întrebați, cineva ar dori unversiunea de linie de comandă a Wireshark? De ce nu folosiți doar Wireshark; cu interfața sa grafică, trebuie să fie mai simplu de utilizat și de învățat? Motivul principal este că acesta vă va permite să-l utilizați pe un server non-GUI.
6. Miner de rețea
Network Miner este mai mult un instrument criminalisticdecât un adevărat sniffer de pachete. Network Miner va urma un flux TCP și va reconstrui o întreagă conversație. Este cu adevărat un instrument puternic. Poate funcționa în modul offline, unde importați un fișier de captare pentru a permite Network Miner să-și creeze magia. Aceasta este o caracteristică utilă, deoarece software-ul rulează numai pe Windows. Puteți utiliza tcpdump pe Linux pentru a captura ceva trafic și Network Miner pe Windows pentru a-l analiza.
Network Miner este disponibil într-o versiune gratuită, dar,pentru funcțiile mai avansate, cum ar fi geolocalizarea și scripturile bazate pe IP, va trebui să achiziționați o licență Profesional. O altă funcție avansată a versiunii profesionale este posibilitatea de decodare și redare a apelurilor VoIP.
7. Fiddler (HTTP)
S-ar putea ca unii dintre cititorii noștri mai informațisusțin că Fiddler nu este un sniffer de pachete și nici nu este un analizator de rețea. Probabil au dreptate, dar am considerat că ar trebui să includem acest instrument pe lista noastră, deoarece este foarte util în multe situații. Fiddler va capta de fapt traficul, dar nu orice trafic. Funcționează numai cu trafic HTTTP. Vă puteți imagina cât de valoroasă poate fi în ciuda limitării sale atunci când considerați că atât de multe aplicații de astăzi sunt bazate pe web sau utilizează protocolul HTTP în fundal. Și din moment ce Fiddler va captura nu numai traficul browserului, ci doar orice HTTP, este foarte util în depanarea
Avantajul unui instrument precum Fiddler față de o bonaFide packet sniffer, cum ar fi, de exemplu, Wireshark, este că Fiddler a fost construit pentru a „înțelege” traficul HTTP. De exemplu, va descoperi cookie-uri și certificate. De asemenea, va găsi date care provin din aplicațiile bazate pe HTTP. Fiddler este gratuit și este disponibil doar pentru Windows, deși versiunile beta pentru OS X și Linux (folosind cadrul Mono) pot fi descărcate.
Concluzie
Când publicăm liste de genul acesta, suntem deseoria întrebat care este cel mai bun. În această situație particulară, dacă mi s-ar fi pus această întrebare, ar trebui să răspund „tuturor”. Toate sunt instrumente gratuite și toate au valoarea lor. De ce să nu le aveți pe toate la îndemână și să vă familiarizați cu fiecare în parte. Când ajungeți într-o situație în care trebuie să le utilizați, va fi mult mai ușor și mai eficient. Chiar și instrumentele din linia de comandă au o valoare extraordinară. De exemplu, pot fi scriptate și programate. Imaginați-vă că aveți o problemă care se întâmplă la 2:00 am pe zi. Puteți programa un loc de muncă pentru a rula tcpdump de Windump între 1:50 și 2:10 și analiza fișierul de captare a doua zi dimineață. Nu este nevoie să stai toată noaptea.
Comentarii