Čichanie paketov je hlboký typ sieteanalýza, v ktorej sú dekódované podrobnosti sieťového prenosu, ktoré sa majú analyzovať. Je to jedna z najdôležitejších zručností pri riešení problémov, ktorú by mal mať správca siete. Analýza sieťovej prevádzky je zložitá úloha. S cieľom zvládnuť nespoľahlivé siete sa údaje neodosielajú v jednom súvislom toku. Namiesto toho sa naseká na fragmenty odoslané jednotlivo. Analýza sieťového prenosu vyžaduje, aby tieto pakety údajov bolo možné zozbierať a znova ich zostaviť do niečoho zmysluplného. Toto nie je niečo, čo môžete urobiť manuálne, takže boli vytvorené paketové sniffre a sieťové analyzátory. Dnes sa pozeráme na sedem najlepších snifferov a sieťových analyzátorov.
Začíname dnešnú cestu tým, že vám dámeniektoré základné informácie o tom, čo sú paketové chrápače. Pokúsime sa zistiť, aký je rozdiel - alebo ak je rozdiel - medzi identifikátorom paketov a sieťovým analyzátorom. Potom prejdeme k jadru našej témy a nielen uvedieme, ale aj stručne preskúmame každú z našich siedmich tipov. Máme pre vás kombináciu nástrojov GUI a nástrojov príkazového riadka, ktoré bežia na rôznych operačných systémoch.
Niekoľko slov o paketových snifferoch a sieťových analyzátoroch
Začnime s riešením niečoho. V záujme tohto článku predpokladáme, že sniffery paketov a sieťové analyzátory sú rovnaké. Niektorí budú argumentovať, že sú iní a môžu mať pravdu. Ale v kontexte tohto článku sa na ne pozrieme spoločne, hlavne preto, že aj keď by mohli fungovať inak, ale naozaj? - slúžia rovnakému účelu.
Packet Sniffers zvyčajne robia tri veci. Najprv zachytia všetky dátové pakety pri vstupe alebo výstupe zo sieťového rozhrania. Po druhé, voliteľne aplikujú filtre, aby ignorovali niektoré pakety a ostatné uložili na disk. Potom vykonajú nejakú formu analýzy zachytených údajov. To je v tej poslednej funkcii paketov sniffers, že sa líšia najviac.
Na skutočné zachytenie dátových paketov najviacnástroje používajú externý modul. Najbežnejšie sú libpcap na systémoch Unix / Linux a Winpcap na Windows. Tieto nástroje zvyčajne nebudete musieť inštalovať, pretože ich zvyčajne inštalujú rôzni inštalatéri nástrojov.
Ďalšou dôležitou vecou, ktorú treba vedieť, je ten paketSniffers - aj ten najlepší - neurobí pre vás všetko. Sú to len nástroje. Je to ako kladivo, ktoré samo o sebe nebude jazdiť na klinec. Preto sa musíte uistiť, že sa naučíte, ako najlepšie používať každý nástroj. Čipovač paketov vám umožní iba vidieť prenos, ale je len na vás, aby ste tieto informácie použili na vyhľadanie problémov. Existujú celé knihy o používaní nástrojov na zachytávanie paketov. Ja sám som raz absolvoval trojdňový kurz na túto tému. Nesnažím sa vás odradiť. Snažím sa iba splniť vaše očakávania.
Ako používať paketový sniffer
Ako sme už vysvetlili, zachytí sa zachytávač paketova analyzovať prevádzku. Ak sa teda pokúšate vyriešiť konkrétny problém - čo je zvyčajne dôvod, prečo by ste takýto nástroj mali používať - musíte sa najprv ubezpečiť, že prenos, ktorý zachytíte, je správny. Predstavte si situáciu, keď si všetci používatelia sťažujú, že konkrétna aplikácia je pomalá. V takomto prípade by bolo najlepšou voľbou zachytiť prenos v sieťovom rozhraní aplikačného servera. Potom by ste si mohli uvedomiť, že požiadavky prichádzajú na server normálne, ale že odosielanie odpovedí trvá dlho. To by naznačovalo problém servera.
Ak naopak vidíte servervčasná reakcia, pravdepodobne to znamená, že problém je niekde v sieti medzi klientom a serverom. Potom by ste presunuli svoje pakety o jeden hop bližšie ku klientovi a zistili, či sú odpovede oneskorené. Ak to tak nie je, presuniete sa viac hopu bližšie ku klientovi, atď. Nakoniec sa dostanete na miesto, kde dôjde k oneskoreniu. Akonáhle ste identifikovali umiestnenie problému, ste o jeden veľký krok bližšie k jeho vyriešeniu.
Teraz sa možno pýtate, ako sa nám podarí zachytiťpakety v konkrétnom bode. Je to veľmi jednoduché, využívame funkciu väčšiny sieťových prepínačov, ktoré sa nazývajú zrkadlenie portov alebo replikácia. Toto je konfiguračná možnosť, ktorá replikuje všetku komunikáciu dovnútra a von z konkrétneho portu prepínača na iný port na rovnakom prepínači. Povedzme, že váš server je pripojený k portu 15 prepínača a je k dispozícii port 23 tohto prepínača. Pripojíte svoj identifikátor paketov k portu 23 a nakonfigurujete prepínač tak, aby replikoval všetku komunikáciu z portu 15 na port 23. Výsledkom, ktorý získate na porte 23, je zrkadlový obraz - odtiaľ názov zrkadlenia portov - toho, čo prechádza portom 15.
Najlepšie paketové sniffre a sieťové analyzátory
Teraz, keď lepšie pochopíte, aký paketsniffery a sieťové analyzátory sú, pozrime sa, aké sú najlepšie sedem, ktoré sme našli. Pokúsili sme sa zahrnúť kombináciu nástrojov príkazového riadku a GUI, ako aj nástrojov bežiacich na rôznych operačných systémoch. Koniec koncov, nie všetci správcovia siete používajú systém Windows.
1. Nástroj SolarWinds na hĺbkovú kontrolu a analýzu paketov (SKÚŠKA ZADARMO)
SolarWinds je známy svojimi mnohými užitočnými bezplatnými nástrojmi ajeho najmodernejší softvér na správu siete. Jedným z jeho nástrojov je nástroj na kontrolu a analýzu hlbokých paketov. Dodáva sa ako súčasť vlajkového produktu SolarWinds, monitora výkonnosti siete. Jeho prevádzka je úplne odlišná od „tradičných“ paketových chráničov, hoci slúži na podobný účel.
Zhrnutie funkčnosti nástroja: pomôže vám nájsť a vyriešiť príčinu latencie siete, identifikovať ovplyvnené aplikácie a zistiť, či je sieť alebo aplikácia spôsobená pomalosťou. Softvér tiež použije techniky hĺbkovej kontroly paketov na výpočet času odozvy pre viac ako dvanásť stoviek aplikácií. Bude tiež klasifikovať sieťový prenos podľa kategórie, firmy verzus sociálna úroveň a úroveň rizika, čo vám pomôže identifikovať nepodnikovú komunikáciu, ktorá môže byť potrebné filtrovať alebo inak vylúčiť.
A nezabudnite, že balík SolarWinds Deep PacketNástroj na kontrolu a analýzu je súčasťou programu Network Performanceace Monitor. NPM, ako sa často nazýva, je pôsobivý softvér s toľkými komponentmi, že by sa mu mohol venovať celý článok. Vo svojom jadre je to kompletné riešenie na monitorovanie siete, ktoré kombinuje najlepšie technológie, ako napríklad SNMP a hĺbkovú kontrolu paketov, aby poskytlo čo najviac informácií o stave vašej siete. Tento nástroj, ktorý je za primeranú cenu, sa dodáva s 30-dňovou bezplatnou skúšobnou verziou, aby ste sa uistili, že skutočne vyhovuje vašim potrebám skôr, ako sa rozhodnete ho kúpiť.
Odkaz na stiahnutie: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump je pravdepodobne pôvodný identifikátor paketov. Bola vytvorená už v roku 1987. Od tej doby sa udržiava a vylepšuje, ale v podstate zostáva nezmenená, prinajmenšom to, ako sa používa. Je predinštalovaný prakticky vo všetkých operačných systémoch podobných Unixu a stal sa de-facto štandardom, keď človek potrebuje rýchly nástroj na zachytávanie paketov. Tcpdump používa knižnicu libpcap na skutočné zachytenie paketov.
Predvolene. tcpdump zachytáva všetku komunikáciu na určenom rozhraní a „vypíše“ ju - odtiaľ názov - na obrazovku. Výpis môže byť tiež prenesený do súboru na zaznamenanie a analyzovaný neskôr pomocou jedného - alebo kombinácie - niekoľkých dostupných nástrojov. Kľúčom k sile a užitočnosti tcpdump je možnosť použiť všetky druhy filtrov a priviesť jeho výstup do grep - ďalšieho bežného nástroja príkazového riadku Unix - na ďalšie filtrovanie. Niekto, kto má dobrú znalosť tcpdump, grep a príkazového shellu, môže získať zachytenie správneho prenosu pre každú úlohu ladenia.
3. Windump
Windump je v podstate iba prístav tcpdump doplatformu Windows. Ako taký sa správa podobne. Nie je neobvyklé vidieť také porty úspešných obslužných programov z jednej platformy na druhú. Windump je aplikácia pre Windows, ale neočakávajte fantastické GUI. Toto je iba pomôcka pre príkazový riadok. Používanie Windump je preto v podstate rovnaké ako pri použití jeho náprotivku Unix. Možnosti príkazového riadku sú rovnaké a výsledky sú takmer rovnaké. Výstup z Windump možno tiež uložiť do súboru na neskoršiu analýzu pomocou nástroja tretej strany.
Jedným z hlavných rozdielov tcpdump je Windumpnie je zabudovaný do systému Windows. Budete si ho musieť stiahnuť z webu Windump. Softvér sa dodáva ako spustiteľný súbor a nevyžaduje inštaláciu. Avšak, rovnako ako tcpdump používa knižnicu libpcap, Windump používa Winpcap, ktorý, rovnako ako väčšina knižníc Windows, je potrebné stiahnuť a nainštalovať osobitne.
4. Wireshark
Wireshark je referencia v snifferoch paketov. Stala sa de facto štandardom a väčšina ostatných nástrojov ju má tendenciu napodobňovať. Tento nástroj nielen zachytí prenos, ale má aj dosť silné analytické schopnosti. Tak silný, že veľa správcov použije tcpdump alebo Windump na zachytenie prenosu do súboru a potom ho na analýzu načíta do Wireshark. Toto je bežný spôsob použitia Wireshark, že po spustení sa zobrazí výzva na otvorenie existujúceho súboru pcap alebo na začatie zaznamenávania prenosu. Ďalšou silnou stránkou Wireshark sú všetky filtre, ktoré obsahuje, ktoré vám umožňujú vynechať presne tie údaje, ktoré vás zaujímajú.
Aby som bol úprimný, tento nástroj má strmý priebehkrivka učenia, ale oplatí sa to naučiť. Znovu a znovu sa to ukáže ako neoceniteľná. Akonáhle ste sa to dozvedeli, budete ho môcť používať všade, pretože bol prenesený do takmer každého operačného systému a je bezplatný a otvorený.
5. žralok
Tshark je niečo ako kríženie medzi tcpdumpa Wireshark. To je skvelá vec, pretože sú to jedny z najlepších čuchacích balíčkov. Tshark je ako tcpdump v tom, že je to iba nástroj príkazového riadku. Je to však rovnako ako Wireshark v tom, že nielen zachytáva, ale aj analyzuje premávku. Tshark je od rovnakých vývojárov ako Wireshark. Je to viac-menej verzia príkazového riadku Wireshark. Používa rovnaký typ filtrovania ako Wireshark, a preto môže rýchlo izolovať iba prenos, ktorý potrebujete analyzovať.
Ale prečo by ste sa mohli opýtať, chcel by niektoverzia príkazového riadku Wireshark? Prečo používať Wireshark? s jeho grafickým rozhraním, musí byť jednoduchšie používať a učiť sa? Hlavným dôvodom je to, že by ste ho mohli používať na serveri iného ako GUI.
6. Sieťový baník
Network Miner je skôr forenzným nástrojomako skutočný sniffer. Network Miner bude sledovať tok TCP a rekonštruovať celú konverzáciu. Je to skutočne jeden mocný nástroj. Môže fungovať v režime offline, v ktorom by ste importovali nejaký súbor na zachytenie, aby program Network Miner umožnil jeho kúzlo. Toto je užitočná funkcia, pretože softvér sa spúšťa iba v systéme Windows. V systéme Linux by ste mohli použiť tcpdump na zachytenie určitej premávky a program Network Miner v systéme Windows na jeho analýzu.
Network Miner je k dispozícii v bezplatnej verzii,pre pokročilejšie funkcie, ako je geolokácia a skriptovanie na základe IP, musíte si kúpiť licenciu Profesional. Ďalšou rozšírenou funkciou profesionálnej verzie je možnosť dekódovania a prehrávania hovorov VoIP.
7. Fiddler (HTTP)
Niektorí z našich skúsenejších čitateľov môžutvrdia, že Fiddler nie je identifikátor paketov ani sieťový analyzátor. Pravdepodobne majú pravdu, ale mysleli sme si, že by sme tento nástroj mali zahrnúť do nášho zoznamu, pretože je v mnohých situáciách veľmi užitočný. Šumař skutočne zachytí premávku, ale nie žiadnu premávku. Funguje to iba s prenosom HTTTP. Môžete si predstaviť, aké cenné to môže byť napriek jeho obmedzeniu, keď si uvedomíte, že toľko aplikácií dnes je založených na webe alebo na pozadí používajú protokol HTTP. A pretože nástroj Fiddler zachytí nielen prenos z prehliadača, ale aj o HTTP, je veľmi užitočný pri riešení problémov
Výhoda nástroja, ako je Šumař, v dobrej viereFide packet sniffer, ako napríklad Wireshark, je ten, že Fiddler bol postavený na „porozumenie“ HTTP prevádzky. Napríklad objaví cookies a certifikáty. Nájdete tiež aktuálne údaje pochádzajúce z aplikácií založených na HTTP. Fiddler je zadarmo a je k dispozícii iba pre Windows, aj keď si môžete stiahnuť beta verzie pre OS X a Linux (pomocou rámca Mono).
záver
Keď zverejňujeme takéto zoznamy, často smespýtal sa, ktorý z nich je najlepší. Keby som bol v tejto konkrétnej situácii požiadaný o túto otázku, musel by som odpovedať „všetkým z nich“. Všetky sú bezplatné nástroje a všetky majú svoju hodnotu. Prečo ich nemáte všetky po ruke a zoznámte sa s každým z nich. Keď sa dostanete do situácie, keď ich potrebujete použiť, bude to oveľa jednoduchšie a efektívnejšie. Dokonca aj nástroje príkazového riadku majú obrovskú hodnotu. Napríklad môžu byť skriptované a naplánované. Predstavte si, že máte problém, ktorý sa stane každý deň o 2:00. Úlohu by ste mohli naplánovať tak, aby spustili tcpdump of Windump medzi 1:50 a 2:10 a analyzovali súbor na snímanie nasledujúce ráno. Nie je potrebné zostať hore celú noc.
Komentáre