/

Найкращі пакетні снайпери 2023 (переглянуто 11 пакетних аналізаторів)

Pani Sniffing – це розмовний термін, який відноситься до мистецтва аналізу мережевого трафіку. Всупереч здоровому глузду, такі речі, як електронні листи та веб-сторінки, не пересувають Інтернет в єдиному куточку. Вони розбиваються на тисячі невеликих пакетів даних і таким чином надсилаються через Інтернет.

Існує багато, багато інструментів, які збирають мережевий трафік, і більшість з них використовують pcap (Unix-подібні системи) або libcap (системи Windows), щоб зробити фактичну колекцію. Існує ще один набір інструментів, який допомагає аналізувати ці дані, оскільки навіть невеликий обсяг даних може призвести до тисяч пакетів, які важко орієнтуватися. Майже всі ці засоби збирають однаково; це аналіз, який їх відрізняє.

У цій публікації детально описується кожен із інструментів, які тут були зроблені, але якщо вам не вистачає часу, ось наш список найкращі сніфери для пакетів та мережеві аналізатори:

  1. Інструмент глибокого огляду та аналізу SolarWinds (безкоштовне випробування) Якісний інструмент аналізу мережевого трафіку, який працює на Windows Server і є частиною програми
  2. Інструмент захоплення пакетів Paessler (БЕЗКОШТОВНА ПРОБЛЕМА) Снайпер пакету, датчик NetFlow, датчик sFlow і датчик J-Flow, вбудований в Paessler PRTG.
  3. ManageEngine NetFlow Analyzer (БЕЗКОШТОВНА ПРОБЛЕМА) Інструмент аналізу трафіку, який працює з NetFlow, J-Flow, sFlow Netstream, IPFIX та AppFlow
  4. Аналізатор мережевих протоколів Omnipeek Мережевий монітор, який можна розширити для захоплення пакетів.
  5. tcpdump Основний інструмент безкоштовного захоплення пакетів, який потребує кожен менеджер мережі у своєму наборі інструментів.
  6. Windump Безкоштовний клон tcpdump написаний для систем Windows.
  7. Wireshark Добре відомий безкоштовний інструмент для збору пакетів та аналізу даних.
  8. царкву Легка відповідь для тих, хто хоче функціональності Wireshark, але тонкий профіль tcpdump.
  9. Мережний майнер Мережевий аналізатор на базі Windows з безкоштовною версією.
  10. Фіддлер Засіб захоплення пакетів, що фокусується на HTTP-трафіку.
  11. Capsa Написаний для Windows, безкоштовний інструмент захоплення пакетів може бути оновлений для оплати, щоб додати аналітичні функції.

Переваги обнюхування пакетів

Снайпер пакету – це корисний інструмент, який дозволяє вам реалізовувати політику щодо мережевих можливостей вашої компанії. Основні переваги полягають у тому, що вони:

  • Визначте переповнені посилання
  • Визначте програми, які генерують найбільше трафіку
  • Зберіть дані для прогнозного аналізу
  • Виділіть вершини та корита в попиті на мережу

Дії, які ви вживаєте, залежать від вашого доступного бюджету. Якщо у вас є ресурси для розширення ємності мережі, sniffer пакетів дозволить ефективніше орієнтувати нові ресурси. Якщо у вас немає бюджету, нюхання пакетів допоможе формувати трафік шляхом визначення пріоритетності трафіку додатків, зміни розміру підмереж, перепланування подій з великим трафіком, обмеження пропускної здатності для конкретних програм або заміни програм більш ефективними альтернативами.

Ремісний режим

Важливо зрозуміти, як працює мережева карта на вашому комп’ютері під час встановлення програмного забезпечення для обнюхання пакетів. Інтерфейс від комп’ютера до мережі називається “контролер мережевого інтерфейсу,”Або NIC. Ваш NIC буде отримувати лише Інтернет-трафік, адресований його MAC-адресі.

Щоб зайняти загальний трафік, потрібно поставити свій NIC в “розбещений режим.”Це знімає обмеження прослуховування в NIC. У безладному режимі ваш NIC забиратиме весь мережевий трафік. Більшість sniffers пакетів має утиліту в інтерфейсі користувача, який управляє перемикачем режимів для вас.

Типи мережевого трафіку

Аналіз мережевого трафіку вимагає розуміння того, як працює мережа. Не існує жодного інструменту, який би магічно усунув потребу аналітику зрозуміти основи мереж, як-от тристоронній рукостискання TCP, який використовується для ініціювання зв’язку між двома пристроями. Аналітики також повинні мати певне розуміння типів мережевого трафіку, які існують у нормально функціонуючій мережі, такі як трафік ARP та DHCP. Ці знання є найважливішими, оскільки аналіз інструментів просто покаже вам, про що ви просите, – ви самі повинні знати, що просити. Якщо ви не впевнені, як ваша мережа виглядає нормально, може бути важко переконатися, що ви копаєте потрібну річ у масі зібраних пакетів.

Інструменти підприємства

Почнемо з самого верху і попрацюємо вниз до основ азотно-зернистого. Якщо ви маєте справу з мережею на рівні підприємства, вам знадобляться великі гармати. Хоча майже все використовує tcpdump в своїй основі (докладніше про це пізніше), інструменти на рівні підприємства можуть надавати інші аналітичні функції, такі як співвідношення трафіку з багатьох серверів, надання інтелектуальних інструментів запитів для виявлення проблем, оповіщення про випадки виключення та створення приємних графіків, які вимоги управління.

Інструменти на рівні підприємства, як правило, зосереджуються на потоці мережевого трафіку, а не судять про вміст пакетів. Маючи на увазі, я маю на увазі, що в центрі уваги більшості системних адміністраторів підприємства – підтримувати мережу гудіння без вузьких місць. При виникненні вузьких місць, як правило, метою є встановити, чи проблема є мережею або додатком у мережі. З іншого боку монети, ці інструменти на рівні підприємства, як правило, здатні бачити стільки трафіку, що може допомогти передбачити, коли наситить мережевий сегмент, що є критичним елементом управління потенціалом.

Хакерські інструменти

Пакетні сніфери також використовуються хакерами. Майте на увазі, що ці інструменти можна використовувати для нападу на вашу мережу, а також для вирішення проблем. Пакетні сніфери можна використовувати як прослуховувачі допомогти вкрасти дані в дорозі, і вони також можуть сприяти “людина в середині“Атаки, які змінюють дані під час транзиту та перенаправляють трафік, щоб обманювати користувача в мережі. Інвестуйте в системи виявлення вторгнень, щоб захистити вашу мережу від цих форм несанкціонованого доступу

Як працюють Pani Sniffers та мережеві аналізатори?

The Основна особливість пакету сніферів полягає в тому, що він копіює дані під час подорожі по мережі та робить їх доступними для перегляду. Нюхаючий пристрій просто копіює всі дані, які він бачить, переходячи по мережі. Коли вони реалізовані на комутаторі, налаштування пристрою дозволяють відправляти пакет, що передає, на другий порт, а також за призначенням, таким чином, дублюючи трафік. Зазвичай пакети даних, отримані з мережі, копіюються у файл. Деякі інструменти також показують ці дані на інформаційній панелі. Однак, sniffers пакетів може зібрати безліч даних, що включає кодовану інформацію адміністратора. Вам потрібно буде знайти інструмент аналізу, який допоможе вам перенаправити інформацію про подорож пакетів у витязі та інші відомості, такі як відповідність номерів портів, між якими пакети пересуваються.

Безпосередній сніффер пакетів копіюватиме всі пакети, що подорожують по мережі. Це може бути проблемою. Якщо корисна навантаження пакетів не зашифрована, ви дозволятимете працівникам ІТ-відділу бачити конфіденційну інформацію про бізнес під час подорожі по мережі. З цієї причини багато sniffers пакетів можуть бути обмежені, щоб вони копіювали лише інформацію в заголовку. У більшості випадків вміст пакету не потрібен для аналізу продуктивності мережі. Якщо ви хочете відслідковувати використання мережі протягом 24 годин або протягом декількох днів, то зберігання кожного пакету займе дуже велику кількість дискового простору – навіть якщо ви займаєте лише заголовки пакетів. У цих сценаріях доцільно проводити вибірку пакетів, що означає копіювання кожного 10-го або 20-го пакету, а не копіювання над кожним.

Кращі сніфери для пакетів та мережеві аналізатори

Ми класифікували такі інструменти відповідно до таких загальних міркувань: корисні функції, надійність, простота установки, інтеграція та використання, кількість пропонованої допомоги та підтримки, наскільки добре оновлено та підтримується програмне забезпечення та наскільки надійні розробники. галузь.

1. Інструмент глибокого огляду та аналізу SolarWinds (безкоштовне випробування)

SolarWinds – це дуже широкий набір засобів управління ІТ. Інструмент, більш відповідний цій статті, – це інструмент глибокої перевірки та аналізу пакетів. Зібрати мережевий трафік досить просто. Використовуючи такі інструменти, як WireShark, аналіз базового рівня також не є пробкою для показу. Але не всі ситуації бувають нарізаними та висушеними. У дуже напруженій мережі може бути важко визначити навіть деякі дуже основні речі, такі як:

  • Який додаток у мережі створює цей трафік?
  • Якщо програма відома (скажімо, веб-браузер), де люди проводять більшу частину свого часу?
  • Які з’єднання займають найдовший термін і занурюються в мережу?

Більшість мережевих пристроїв просто використовують метадані кожного пакета, щоб переконатися, що пакет потрапляє туди, куди він йде. Вміст пакету невідомий мережевому пристрою. Глибока перевірка пакетів відрізняється; це означає, що фактичний вміст пакета перевіряється, щоб дізнатися більше про нього. Критична мережева інформація, яку неможливо зібрати з метаданих, може бути виявлена ​​таким чином. Такі інструменти, як ті, що надаються SolarWinds, можуть надати більш значущі дані, ніж просто потік трафіку.

solarwindows-dpi-ідентифікація додатків

Інші методи управління мережами з великим обсягом включають NetFlow та sFlow. У кожного є свої сильні та слабкі сторони, і ви можете прочитати більше про методи NetFlow та sFlow тут.

Мережевий аналіз, загалом, є розширеною темою, яка є наполовину досвідом і наполовину навчанням. Можна навчити когось розуміти кожну деталь про мережеві пакети, але якщо ця людина також не має знань про цільову мережу та певний досвід виявлення аномалій, вона не зайде дуже далеко. Інструменти, які я перерахував у цій статті, можуть використовувати досвідчені адміністратори мережі, які вже знають, що шукають, але не впевнені, які інструменти найкращі. Вони також можуть бути використані більш молодшими сисадмінами для отримання досвіду того, як виглядають мережі під час щоденних операцій, що допоможе визначити проблеми пізніше.

ВИБОР редактора

Монітор продуктивності мережі SolarWinds дає детальну інформацію про те, що спричиняє повільність мережі та дозволяє швидко вирішити першопричини за допомогою глибокої перевірки пакетів. Ідентифікуючи трафік за додатком, категорією (бізнес та соціальний) та рівнем ризику, ви можете усунути та відфільтрувати проблемний трафік та виміряти час реакції програми. Завдяки чудовому інтерфейсу користувача, це відмінний вибір для нюхання пакетів та аналізу мережі.

Завантажити: Повністю функціональна 30-денна пробна версія на SolarWinds.com

Офіційний сайт: www.solarwinds.com/topics/deep-packet-inspection/

ОС: Windows Server

2. Інструмент захоплення пакетів Paessler (БЕЗКОШТОВНА ПРОБЛЕМА)

Paessler Packet-Capture-Tool PRTG: “Універсальний моніторинг” – це єдиний інструмент моніторингу інфраструктури. Це допомагає вам керувати вашою мережею та своїми серверами. Сегмент моніторингу мережі утиліти охоплює два типи завдань. Це монітор ефективності роботи мережі, який вивчає стан мережевих пристроїв та аналізатор пропускної здатності мережі, який охоплює потік трафіку по посиланнях у мережі.

Частина аналізу пропускної здатності PRTG реалізована за допомогою використання чотирьох різних інструментів захоплення пакетів. Це:

  •         Снайпер пакету
  •         Датчик NetFlow
  •         Датчик sFlow
  •         Датчик J-потоку

Sniffer пакетів PRTG фіксує лише заголовки пакетів, що подорожують по вашій мережі. Це дає перевагу швидкості аналізатора, а також зменшує кількість місця для зберігання, необхідне для зберігання файлів захоплення. Інформаційна панель sniffer пакетів класифікує трафік за типом програми. Сюди входять трафік електронної пошти, веб-пакети, дані про трафік додатків для чату та обсяги пакетів передачі файлів.

NetFlow – це дуже широко застосовувана система обміну даними потоку даних. Він був створений Cisco Systems, але він також використовується для обладнання інших виробників. Датчик PRTG NetFlow також приймає повідомлення IPFIX – цей стандарт обміну повідомленнями є правонаступником NetFlow, який спонсорується IETF. Метод J-Flow – це аналогічна система обміну повідомленнями, що використовується Juniper Networks для свого обладнання. Стандартний sFlow проби трафіку протікає, тому він збиратиме кожен n-й пакет. І NetFlow, і J-Flow захоплюють безперервні потоки пакетів.

Paessler цінує своє програмне забезпечення PRTG на кількість «датчиків», які активує впровадження. Датчик – це стан системи або апаратний компонент. Наприклад, кожен з чотирьох нюхачів пакетів, запропонованих Paessler, вважається одним датчиком PRTG. Система вільна для використання, якщо ви активуєте 100 датчиків або менше, тож якщо ви використовуєте лише цей пакет для його нюхаючих інтерфейсів пакетів, вам не доведеться платити Paessler нічого.

Система Paessler включає в себе безліч інших можливостей мережевого та серверного моніторингу, включаючи монітор віртуалізації та монітор додатків. PRTG можна встановити локально або ви можете отримати доступ до нього як хмарний сервіс. Програмне забезпечення працює в середовищі Windows, і ви можете отримати його 30-денну безкоштовну пробну версію.

Інструмент захоплення пакетів Paessler PRTGЗавантажте 30-денну безкоштовну пробну версію

3. ManageEngine NetFlow Analyzer (БЕЗКОШТОВНА ПРОБЛЕМА)

The ManageEngine NetFlow Analyzer приймає інформацію про трафік з ваших мережевих пристроїв. За допомогою цього інструменту ви можете вибрати вибірку трафіку, захопити цілі потоки або зібрати статистику щодо схем трафіку.

Виробники мережевих пристроїв не всі використовують один і той же протокол для передачі даних про трафік. Таким чином, аналізатор NetFlow здатний використовувати різні мови для збору інформації. До них відносяться Cisco NetFlow, Ялівцеві мережі J-Flow, і Huawei Netstream. Він також здатний спілкуватися з представниками sFlow, IPFIX, і AppFlow стандарти.

Монітор здатний відстежувати послідовність потоків даних, а також навантаження на кожен мережевий пристрій. Можливості аналізу трафіку дозволяють див. пакети як вони проходять через пристрій і захоплюють їх для подачі. Ця видимість дозволить вам побачити, які програми пережовують більшу частину вашої пропускної здатності та приймати рішення щодо заходів щодо формування трафіку, наприклад, черги за пріоритетом чи дроселювання.

ManageEngine NetFlow Analyzer

На приладовій панелі системи розміщена кольорова графіка, яка значно полегшує ваше завдання виявлення проблем. Привабливий зовнішній вигляд консолі пов’язаний з іншими інструментами моніторингу інфраструктури ManageEngine, оскільки всі вони побудовані на загальній платформі. Це змушує її інтегруватися з кількома продуктами ManageEngine. Наприклад, дуже часто для мережевих адміністраторів купують обидва OpManager та аналізатор NetFlow від Manage Engine.

OpManager відстежує статуси пристроїв за допомогою SNMP процедури, в яких NetFlow Analyzer зосереджується на рівнях трафіку та моделях потоку пакетів.

ManageEngine NetFlow Analyzer встановлюється на Windows, Windows Server, і RHEL, CentOS, Fedora, Debian, СУЗА, і Ubuntu Linux. Система пропонується у двох виданнях.

Видання Essential пропонує стандартні функції моніторингу мережевого трафіку плюс модуль звітності та виставлення рахунків. Вищий план називається Enterprise Edition. У цьому є всі функції Essential Edition плюс НБАР & CBQoS моніторинг, сучасний модуль аналітики безпеки, утиліти планування потужностей та можливості глибокої перевірки пакетів. Це видання також включає IP SLA і WLC моніторинг.

Ви можете отримати будь-яке видання аналізатора NetFlow на 30-денній безкоштовній пробній версії.

ManageEngine NetFlow AnalyzerЗавантажте 30-денну безкоштовну пробну версію

4. Omnipeek Аналізатор мережевих протоколів

LiveAction Omnipeek, раніше продукт від Саввій, – це аналізатор мережевих протоколів, який можна використовувати для зйомки пакетів, а також для аналізу протоколу мережевого трафіку.

Omnipeek можна розширити плагінами. Основна система Omipeek не захоплює мережеві пакети. Однак додаток до Захоплення двигуна плагін отримує функцію захоплення пакетів. Система Capture Engine збирає пакети по дротовій мережі; інше розширення, зване WiFi адаптер додає бездротові можливості та дозволяє захоплювати пакети Wi-Fi через Omnipeek.

Функції базового аналізатора мережевих протоколів Omnipeek поширюються на моніторинг продуктивності мережі. Крім перерахування трафіку за протоколом, програмне забезпечення вимірює швидкість передачі та регулярність трафіку, підвищення сигналів якщо трафік сповільнюється або відключення пройшли граничні умови, встановлені адміністратором мережі.

Аналізатор руху може відстежувати кінець в кінець передавати продуктивність по всій мережі або просто контролювати кожну посилання. Інші функції контролюють інтерфейси, включаючи вхідний трафік, що надходить на веб-сервери з-за меж мережі. Програмне забезпечення особливо зацікавлене в пропускній здатності трафіку та відображенні трафіку за протоколом. Дані можна розглядати як списки протоколів та їх пропускну здатність або як живі графіки та діаграми. Пакети, захоплені за допомогою механізму Capture Engine, можуть бути зберігається для аналізу або відтворено по всій мережі для тестування ємності.

Omnipeek встановлюється на Windows та Windows Server. Система не вільна у використанні. Однак отримати Omnipeek можна на 30-денній безкоштовній пробній версії.

5. tcpdump

Основним інструментом майже всього збору мережевого трафіку є tcpdump. Це програма з відкритим кодом, яка встановлюється практично на всіх операційних системах, схожих на Unix. Tcpdump – це чудовий інструмент збору та в комплекті з дуже складною мовою фільтрування. Важливо знати, як фільтрувати дані під час збору, щоб у результаті отримати керований фрагмент даних для аналізу. Захоплення всіх даних з мережевого пристрою в навіть помірно зайнятій мережі може створити занадто багато даних, щоб легко проаналізувати.

У деяких рідкісних випадках дозволити tcpdump вивести його захоплення безпосередньо на ваш екран може бути достатньо, щоб знайти те, що ви шукаєте. Наприклад, написавши цю статтю, я зафіксував деякий трафік і помітив, що моя машина відправляє трафік в IP, який я не впізнавав. Виявляється, моя машина надсилала дані на IP-адресу Google 172.217.11.142. Оскільки у мене не було запущених продуктів Google, ані Gmail, я не знав, чому це відбувається. Я вивчив свою систему і виявив таке:

[~] $ ps -ef | grep google
користувач 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome –type = послуга

Здається, що навіть коли Chrome не працює на передньому плані, він залишається запущеним як служба. Я б не обов’язково помічав це без аналізу пакетів, щоб підказати мені. Я знову зафіксував ще кілька даних tcpdump, але цього разу сказав tcpdump записати дані у файл, який я відкрив у Wireshark (докладніше про це пізніше). Ось цей запис:

wireshark-google

Tcpdump є улюбленим інструментом серед sysadmins, оскільки це інструмент командного рядка. Це означає, що для роботи не потрібен повноцінний робочий стіл. На виробничих серверах незвично надавати робочий стіл через ресурси, які знадобляться, тому інструменти командного рядка є кращими. Як і в багатьох сучасних інструментах, tcpdump має дуже багату і нецензурну мову, яка потребує певного часу для освоєння. Кілька самих основних команд передбачають вибір мережевого інтерфейсу, з якого збирати дані, та записування цих даних у файл, щоб вони могли бути експортовані для аналізу в інше місце. Для цього використовуються перемикачі -i та -w.

# tcpdump -i eth0 -w tcpdump_packets
tcpdump: прослуховування на eth0, тип посилання EN10MB (Ethernet), розмір захоплення 262144 байт
^ Захоплені пакети C51

Це створює файл захоплення:

файл tcpdump_packets
tcpdump_packets: файл захоплення tcpdump (little-endian) – версія 2.4 (Ethernet, довжина захоплення 262144)

Стандартний файл захоплення TCP – це файл pcap. Це не текст, тому його може читати лише програма аналізу, яка вміє читати файли pcap.

6. WinDump

Більшість корисних інструментів з відкритим кодом з часом клонуються до інших операційних систем. Коли це відбувається, кажуть, що додаток перенесено. WinDump – порт tcpdump і поводиться дуже схожим чином.

Однією з головних відмінностей між WinDump та tcpdump є те, що Windump потребує бібліотеки WinpCap, встановленої до того, як зможе запустити WinDump. Незважаючи на те, що WinDump і WinpCap надаються одним і тим самим обслуговуючим інструментом, вони завантажуються окремо.

WinpCap – це фактична бібліотека, яку потрібно встановити. Але після його встановлення WinDump – це .exe-файл, який не потребує встановлення, і він може просто працювати. Про це можна пам’ятати, якщо ви працюєте в мережі Windows. Вам не потрібно встановлювати WinDump на кожній машині, оскільки ви можете просто скопіювати його за необхідності, але ви хочете, щоб WinpCap був встановлений для підтримки WinDump.

Як і у випадку з tcpdump, WinDump може виводити мережеві дані на екран для аналізу, фільтруватися таким же чином, а також записувати дані у файл pcap для аналізу в офісі.

7. Wireshark

Wireshark – це, мабуть, наступний найвідоміший інструмент будь-якого інструментарію sysadmin. Він не тільки може фіксувати дані, але й надає деякі передові інструменти аналізу. Додавши до своєї привабливості, Wireshark є відкритим кодом та переноситься майже на всі існуючі операційні системи сервера. Починаючи життя на ім’я Etheral, Wireshark тепер працює всюди, в тому числі як окремий портативний додаток.

Якщо ви аналізуєте трафік на сервері із встановленим робочим столом, Wireshark може зробити це все за вас. Він може зібрати дані, а потім проаналізувати все в одному місці. Однак настільні комп’ютери нечасто зустрічаються на серверах, тому в багатьох випадках вам доведеться віддалено захоплювати мережеві дані, а потім перетягувати отриманий файл pcap у Wireshark.

При першому запуску Wireshark дозволяє або завантажити наявний файл pcap, або почати захоплення. Якщо ви вирішили захопити мережевий трафік, ви можете додатково вказати фільтри, щоб зменшити кількість даних, які збирає Wireshark. Оскільки інструменти його аналізу настільки хороші, менш важливо забезпечити хірургічне визначення даних під час збору за допомогою Wireshark. Якщо ви не вказали фільтр, Wireshark просто збиратиме всі мережеві дані, за якими дотримується вибраний інтерфейс.

проводка-запуск

Один з найкорисніших інструментів, який надає Wireshark, – це можливість стежити за потоком. Напевно, найкорисніше думати про потік як про всю розмову. На скріншоті нижче ми бачимо, що було зафіксовано багато даних, але мене найбільше цікавить те, що Google IP. Я можу клацнути правою кнопкою миші та прослідкувати за потоком TCP, щоб побачити всю розмову.

wireshark-follow-tcp-stream

Якщо ви захопили трафік в іншому місці, ви можете імпортувати файл pcap за допомогою файлу Wireshark -> Відкритий діалог. Для імпортованих файлів доступні ті ж фільтри та інструменти, які можна використовувати для власних захоплених мережевих даних.

wireshark-open-pcap

8. Цхарк

TShark – дуже корисний перехрес між tcpdump та Wireshark. Tcpdump відмінне у збиранні даних і може дуже хірургічно витягти лише потрібні вами дані, однак він обмежений тим, наскільки він може бути корисним для аналізу. Wireshark чудово справляється і в зборі, і в аналізі, але оскільки він має великий інтерфейс користувача, його не можна використовувати на безголівкових серверах. Введіть TShark; він фіксує та аналізує, але робить останнє в командному рядку.

TShark використовує ті ж умови фільтрування, що і Wireshark, і це не дивно, оскільки вони по суті є одним і тим же продуктом. Ця команда повідомляє TShark лише турбувати захоплення IP-адреси призначення, а також деякі інші цікаві поля з HTTP-частини пакету.

# tshark -i eth0 -Y http.request -T поля -e ip.dst -e http.user_agent -e http.request.uri

172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico

Якщо ви хочете зафіксувати файл, ви можете скористатися перемикачем -w для його запису, а потім скористатися перемикачем TShark -r (режим читання), щоб прочитати його.

Зробіть спочатку:

# tshark -i eth0 -w tshark_packets
Захоплення на “eth0”
102 ^ С

Прочитайте його на тому ж сервері або перенесіть його на якийсь інший сервер аналізу.

# tshark -r tshark_packets -Y http.request -T поля -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / контакт
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / бронювання /
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /reservation/styles/styles.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/images/title.png

9. Мережний майнер

Мережевий майнер – це дуже цікавий інструмент, який більше підпадає до категорії криміналістичного інструменту, а не прямолінійного снайпера пакетів. Поле криміналістики зазвичай стосується розслідування та збору доказів. Мережевий майнер виконує цю роботу добре для мережевого трафіку. Так само, як WireShark може стежити за потоком TCP, щоб відновити всю розмову TCP. Мережевий майнер може стежити за потоком, щоб відновити файли, надіслані по мережі.

Мережа-майнер

Для захоплення прямого трафіку мережевий майнер повинен бути стратегічно розміщений у мережі, щоб він міг спостерігати та збирати трафік, який вас цікавить. Він не вноситиме жодного власного трафіку в мережу, тому він працює дуже прискіпливо..

Мережевий майнер також може працювати в режимі офлайн. Ви можете скористатися випробуваним і справжнім інструментом tcpdump для того, щоб здійснити захоплення пакетів у цікавій точці вашої мережі, а потім імпортувати файли pcap у Network Miner. Потім він спробує відновити будь-які файли чи сертифікати, знайдені у файлі захоплення.

Мережний майнер побудований для Windows, але, використовуючи Mono, його можна запустити на будь-якій ОС, яка має рамки Mono, такі як Linux та macOS.

Для запуску є безкоштовна версія, яка має пристойний набір функцій. Якщо ви хочете досконаліших можливостей, таких як географічне місцезнаходження та користувацькі сценарії, вам потрібно буде придбати професійну ліцензію.

10. Fiddler (HTTP)

Fiddler технічно не є інструментом захоплення мережевих пакетів, але настільки неймовірно корисний, що склав список. На відміну від інших перерахованих тут інструментів, які призначені для збору спеціального трафіку в мережі з будь-якого джерела, Fiddler – це більше інструмент налагодження на робочому столі. Він фіксує трафік HTTP, і хоча багато браузери вже мають цю можливість у своїх інструментах для розробників, Fiddler не обмежується трафіком браузера. Fiddler може захоплювати будь-який HTTP-трафік на робочому столі, включаючи не-веб-додатки.

Фіддлер

Багато настільних додатків використовують HTTP для підключення до веб-служб і без такого інструменту, як Fiddler, єдиний спосіб залучення трафіку для аналізу – це використання таких інструментів, як tcpdump або WireShark. Однак ці інструменти працюють на рівні пакетів, тому аналіз включає реконструкцію цих пакетів у потоки HTTP. Це може бути багато роботи, щоб виконати просте розслідування HTTP, і Fiddler приходить на допомогу. Fiddler може допомогти виявити файли cookie, сертифікати та дані про корисне навантаження, що надходять або виходять із цих програм.

Це допомагає Fiddler безкоштовно і, як і Network Miner, його можна запускати в рамках Mono на будь-якій іншій операційній системі, яка має рамку Mono.

11. Капса

Capsa Network Analyzer має кілька видань, кожне з яких відрізняється можливостями. На першому рівні, без Capsa, програмне забезпечення по суті просто захоплює пакети і дозволяє зробити дуже графічний аналіз їх. Приладова панель дуже унікальна і може допомогти новачкам sysadmins швидко визначити проблеми з мережею, навіть не маючи фактичних знань про пакет. Вільний рівень орієнтований на людей, які хочуть дізнатися більше про пакети та переробити свої вміння у повноцінних аналітиків.

капса

Безкоштовна версія знає, як контролювати понад 300 протоколів, вона дозволяє здійснювати моніторинг електронної пошти, а також вона здатна зберігати вміст електронної пошти, а також підтримує тригер. Тригери можна використовувати для встановлення сповіщень для конкретних ситуацій, а це означає, що Capsa також може бути використаний в якості підтримки в деякій мірі.

Capsa доступна лише для Windows 2008 / Vista / 7/8 та 10.

Заключні слова

Згадані вами інструменти не є великим стрибком у тому, щоб зрозуміти, як системний адміністратор міг би побудувати інфраструктуру моніторингу мережі за запитом. Tcpdump або Windump можна встановити на всіх серверах. Планувальник, такий як cron або планувальник Windows, може на певний час запустити сеанс збору пакетів і записати ці колекції у файл pcap. На якийсь пізній час системний адміністратор може перенести ці пакети на центральну машину та використовувати Wireshark для їх аналізу. Якщо мережа настільки велика, що це неможливо, тоді інструменти на рівні підприємства, такі як пакет SolarWinds, можуть допомогти приручити всі ці мережеві дані до керованого набору даних.