Њушкање пакета је дубока врста мрежеанализа у којој се детаљи декодираног мрежног промета декодирају како би се анализирали. То је једна од најважнијих вештина за решавање проблема коју би сваки администратор мреже требало да поседује. Анализа мрежног промета је компликован задатак. Да би се носили са непоузданим мрежама, подаци се не шаљу у једном непрекидном току. Уместо тога, он је исечен на фрагменте послате појединачно. Анализа мрежног промета укључује могућност прикупљања ових пакета података и њихово састављање у нешто смислено. То није нешто што можете урадити ручно, тако да су створени сниффери за пакете и мрежни анализатори. Данас ћемо погледати седам најбољих снајпера за пакете и мрежне анализаторе.
Данашњим путем крећемо тако што ћемо вам га датинеке позадинске информације о томе шта су снафферс пакет. Покушаћемо да схватимо која је разлика - или постоји разлика - између снајпера за пакет и мрежног анализатора. Затим ћемо прећи на срж теме и не само пописати, већ и укратко прегледати сваки од наших седам избора. Оно што имамо за вас је комбинација ГУИ алата и услужних програма наредбеног ретка који се покрећу на различитим оперативним системима.
Неколико речи о Пацкет Снифферс и мрежним анализаторима
Кренимо од слагања нечега. За потребе овог чланка, претпоставићемо да су снафферс пакети и мрежни анализатори једно те исто. Неки ће тврдити да су различити и можда су у праву. Али у контексту овог чланка, гледаћемо их заједно, углавном зато што иако могу радити другачије - али заиста? - служе истој сврси.
Пацкет Снифферс обично раде три ствари. Прво, они снимају све пакете података приликом уласка или изласка из мрежног интерфејса. Друго, они опционо примењују филтере како би занемарили неке пакете и спремили друге на диск. Затим обављају неки облик анализе заробљених података. Управо се у тој последњој функцији снајперских пакета највише разликују.
За стварно снимање пакета податакаалати користе спољни модул. Најчешћи су либпцап на Уник / Линук системима и Винпцап за Виндовс. Обично нећете морати да инсталирате ове алате јер их обично инсталирају различити инсталатори алата.
Још једна важна ствар је знати да је пакетЊушкало - чак и најбољи - неће учинити све за вас. Они су само оруђе. То је попут чекића који сам неће убити нокат. Дакле, морате бити сигурни да сте научили како најбоље користити сваки алат. Њушкало за пакет ће вам само омогућити да видите саобраћај, али на вама је да користите те информације за проналажење проблема. Било је читавих књига о кориштењу алата за хватање пакета. И ја сам једном похађао тродневни курс на ту тему. Не покушавам да вас обесхрабрим. Само покушавам да поставим ваша очекивања.
Како се користи Пацкет Сниффер
Као што смо објаснили, сниффер пакет ће снимитии анализирати саобраћај. Дакле, ако покушавате да решите одређени проблем - који је обично разлог зашто користите такав алат - прво морате да се уверите да је саобраћај који снимате прави саобраћај. Замислите ситуацију у којој се сви корисници жале да је одређена апликација спора. У таквој врсти ситуације, најбоље би вам било да заузмете промет на мрежном интерфејсу сервера апликација. Тада ћете можда схватити да захтеви стижу на сервер обично, али да серверу треба дуго времена да пошаље одговоре. То би указало на проблем са сервером.
Ако са друге стране видите серверправовремено реаговање, вероватно значи да је проблем негде на мрежи између клијента и сервера. Затим бисте померили пакет сниффер једном скоком ближе клијенту и видели да ли ће одговори каснити. Ако није, приближите се клијенту ближе, и тако даље, и тако даље. На крају ћете стићи на место где долази до кашњења. И након што утврдите локацију проблема, један сте велики корак ближе његовом решавању.
Сада се можда питате како успевамо да снимимопакети у одређеној тачки. Прилично је једноставно, ми користимо карактеристику већине мрежних прекидача званих зрцаљење или репликација прикључака. Ово је опција конфигурације која ће реплицирати сав промет из одређеног прекидачког порта у други порт на истој склопци. Рецимо да је ваш сервер повезан на улаз 15 прекидача и да је порт 23 тог истог прекидача доступан. Спајате снаффер пакета на порт 23 и конфигуришете прекидач да реплицира сав промет од прикључка 15 до прикључка 23. Оно што добијете као резултат на прикључку 23 је зрцална слика - отуда и име зрцаљења порта - онога што пролази кроз порт 15.
Најбољи пакетски ножеви и мрежни анализатори
Сад кад боље разумете који пакетњушкице и мрежни анализатори, да видимо шта је седам најбољих које можемо да нађемо. Покушали смо да укључимо комбинацију алата за командну линију и ГУИ као и алате који раде на различитим оперативним системима. Уосталом, нису сви мрежни администратори у систему Виндовс.
1. Алат за дубинску инспекцију и анализу пакета СоларВиндс (БЕСПЛАТНА РЕКЛАМА)
СоларВиндс је позната по многим корисним бесплатним алатима ињегов најсавременији софтвер за управљање мрежама. Један од његових алата назива се алатком за дубинску инспекцију и анализу пакета. Долази као саставни део водећег производа компаније СоларВиндс, мрежног монитора перформанси. Његов рад се поприлично разликује од традиционалнијих "снифферс" пакета иако има сличну сврху.
Да бисте сумирали функционалност алата: то ће вам помоћи да пронађете и решите узрок кашњења у мрежи, идентификујете оштећене апликације и утврдите да ли спорост узрокује мрежа или апликација. Софтвер ће такође користити технике дубинске провере пакета за израчунавање времена одзива за преко дванаест стотина апликација. Такође ће класификовати мрежни саобраћај по категоријама, пословном насупрот друштвеном и нивоу ризика, помажући вам да идентификујете не-пословни саобраћај који ће можда требати да буде филтриран или на други начин елиминисан.
И не заборавите да је СоларВиндс Дееп ПацкетАлат за инспекцију и анализу долази као део мрежног праћења перформанси. НПМ, како се често назива импресиван комад софтвера са толико компоненти да би му могао бити посвећен цео чланак. У основи је комплетно решење за надгледање мреже које комбинује најбоље технологије као што су СНМП и дубинска инспекција пакета како би пружили што више информација о стању ваше мреже. Алат по повољним ценама садржи 30-дневно бесплатно пробно раздобље, тако да можете бити сигурни да заиста одговара вашим потребама пре него што се обавежете на куповину.
Званична веза за преузимање: https://www.solarwinds.com/topics/deep-packet-inspection
2. тцпдумп
Тцпдумп је вероватно оригинални њушкало за пакет. Направљен је давне 1987. Од тада је одржаван и унапређен, али у суштини остаје непромењен, барем онако како се користи. Унапријед је инсталиран у готово сваком Уник оперативном систему и постао је де-фацто стандард када је потребан брзи алат за хватање пакета. Тцпдумп користи библиотеку либпцап за стварно снимање пакета.
Подразумевано. тцпдумп биљежи сав промет на наведеном интерфејсу и “одбацује” га - отуда и његово име - на екран. Депонија се такође може пренети у датотеку за хватање и касније анализирати помоћу једног или комбинације више доступних алата. Кључно за снагу и корисност тцпдумп-а је могућност примене свих врста филтера и постављање његовог излаза на греп - још један уобичајени услужни програм Уник командне линије - за даље филтрирање. Неко ко добро познаје тцпдумп, греп и наредбену љуску може га добити управо да прикупи прави промет за било који задатак отклањања грешака.
3. Виндумп
Виндумп је у суштини само лука тцпдумп уВиндовс платформу. Као такво, понаша се на исти начин. Није неуобичајено да такве портове успешних услужних програма можете видети са једне платформе на другу. Виндумп је Виндовс апликација, али не очекујте фанси ГУИ. Ово је само услужни програм командне линије. Коришћење Виндумп-а је, дакле, у основи исто као и коришћење његове Уник-ове колеге. Опције командне линије су исте, а резултати су скоро идентични. Излаз из Виндумпа се такође може сачувати у датотеку за каснију анализу помоћу алата треће стране.
Главна разлика код тцпдумп је онај Виндумпније уграђен у Виндовс. Морате да је преузмете са веб локације Виндумп. Софтвер се испоручује као извршна датотека и не захтева инсталацију. Међутим, баш као што тцпдумп користи библиотеку либпцап, Виндумп користи Винпцап који, као и већина Виндовс библиотека, треба одвојено преузети и инсталирати.
4. Виресхарк
Виресхарк је референца у пакетима њушкало. То је постао стандард де-фацто и већина других алата га има могућност опонашати. Овај алат неће само заробити саобраћај, већ има и прилично моћне могућности анализе. Толико моћан да ће многи администратори користити тцпдумп или Виндумп за хватање саобраћаја у датотеку, а затим је учитати у Виресхарк на анализу. Ово је тако чест начин коришћења Виресхарка да ће се након покретања од вас затражити да отворите постојећу пцап датотеку или започнете хватање промета. Још једна снага Виресхарк-а су сви филтри које садржи и који вам омогућавају да уђете у нулу тачно у податке који вас занимају.
Да будем потпуно искрен, овај алат има стрминукрива учења, али вредно је учења. Изнова ће се показати и непроцењивим. А након што га научите, моћи ћете да га користите свуда јер је преношен у скоро сваки оперативни систем и доступан је бесплатно и са отвореним кодом.
5. тсхарк
Тсхарк је некако попут укрштања између тцпдумп-аи Виресхарк. Ово је сјајна ствар јер су они неки од најбољих снајперских снајпера. Тсхарк је попут тцпдумп у томе што је то само командна линија. Али такође је сличан Виресхарку по томе што не само да снима, већ и анализира саобраћај. Тсхарк је од истих програмера као и Виресхарк. То је, мање-више, верзија Виресхарка из командне линије. Користи исту врсту филтрирања као Виресхарк и зато може брзо изоловати само саобраћај који требате анализирати.
Али зашто, можете питати, да ли би неко желеоВерзија командне линије Виресхарка? Зашто једноставно не користите Виресхарк; са својим графичким интерфејсом, то мора бити једноставније за употребу и учење? Главни разлог је тај што ће вам омогућити да га користите на не-ГУИ серверу.
6. Мрежни рудар
Мрежни рудар више је више форензички алатнего прави њушкало за пакет. Мрежни рудар ће пратити ТЦП ток и реконструисати читав разговор. То је заиста једно моћно средство. Може да ради у офлајн режиму где увезете неку датотеку за снимање да би Нетворк Минер радио своју магију. Ово је корисна функција јер се софтвер покреће само у оперативном систему Виндовс. Можете користити тцпдумп на Линуку да бисте снимили нешто саобраћаја и Нетворк Минер у Виндовс-у да бисте га анализирали.
Нетворк Минер је доступан у бесплатној верзији, али,за напредније функције као што су геолокација заснована на ИП-у и скриптирање, морат ћете купити лиценцу Професионал. Још једна напредна функција професионалне верзије је могућност декодирања и репродукције ВоИП позива.
7. Фиддлер (ХТТП)
Неки од наших најпознатијих читалаца могутврде да Фиддлер није снајпер за пакете нити је мрежни анализатор. Вјероватно су у праву, али сматрали смо да ово средство треба укључити на нашу листу, јер је корисно у многим ситуацијама. Фиддлер ће уствари заробити саобраћај, али не и саобраћај. Ради само са ХТТТП саобраћајем. Можете замислити колико то може бити драгоцено упркос ограничењима када узмете у обзир да се данас толико апликација темељи на мрежи или користе ХТТП протокол у позадини. А будући да ће Фиддлер прикупити не само саобраћај већ и било који ХТТП, веома је користан у решавању проблема
Предност алата попут Фиддлера над бономфиде сниффер пакета као што је, на пример, Виресхарк, је тај што је Фиддлер изграђен да „разуме“ ХТТП саобраћај. Откриће, на пример, колачиће и сертификате. Такође ће се наћи стварни подаци који долазе из ХТТП-ових апликација. Фиддлер је бесплатан и доступан је само за Виндовс иако бета верзије за ОС Кс и Линук (помоћу Моно оквира) могу бити преузете.
Закључак
Када објављујемо спискове попут ове, често смопитали који је најбољи. У овој конкретној ситуацији, да су ми поставили то питање, морао бих да одговорим на „све њих“. Сви су бесплатни алати и сви имају своју вредност. Зашто их не бисте имали при руци и упознали се са сваким од њих. Када дођете у ситуацију да требате да их употребите, биће много лакше и ефикасније. Чак и алати наредбеног ретка имају огромну вредност. На пример, они могу бити скриптирани и заказани. Замислите да имате проблем који се дешава у 2 сата ујутро сваког дана. Могли бисте заказати посао да покренете тцпдумп Виндумп-а између 1:50 и 2:10 и анализирате датотеку за снимање следећег јутра. Нема потребе да будите цијелу ноћ.
Коментари