2020 Pinakamahusay na Packet Sniffers (11 Sinuri ng Packet Analyzers)


Ang Packet Sniffing ay isang kolokyal na termino na tumutukoy sa sining ng pagsusuri sa trapiko sa network. Taliwas sa karaniwang kahulugan, ang mga bagay tulad ng email at mga web page ay hindi lumalakad sa internet sa isang piraso. Nahati sila sa libu-libong mga maliit na packet ng data at ipinadala sa buong internet sa paraang iyon.

Maraming, maraming mga tool sa labas na makokolekta ang trapiko sa network at karamihan sa mga ito ay gumagamit ng pcap (Unlike-system system) o libcap (Windows system) sa kanilang pangunahing gawin upang gawin ang aktwal na koleksyon. Ang isa pang hanay ng mga tool ay umiiral upang makatulong na pag-aralan ang data na iyon dahil kahit na ang isang maliit na halaga ng data ay maaaring magresulta sa libu-libong mga packet na maaaring mahirap mag-navigate. Halos lahat ng mga tool na ito ay nangolekta sa parehong paraan; ito ang pagsusuri na nag-iiba sa kanila.

Ang post na ito ay nakakakuha ng ilang detalye sa bawat isa sa mga tool na ginawa dito, ngunit kung maikli ka ng oras, narito ang aming listahan ng ang pinakamahusay na packet sniffer at network analyzers:

  1. Ang SolarWinds Deep Packet Inspection and Analysis Tool (FREE TRIAL) Ang isang de-kalidad na tool sa pagtatasa ng trapiko sa network na tumatakbo sa Windows Server at bahagi ng
  2. Paessler Packet Capture Tool (LIBRE PAGSUSULIT) Isang packet sniffer, isang NetFlow sensor, isang sFlow sensor, at isang J-Flow sensor na binuo sa Paessler PRTG.
  3. Pamahalaan angEngine NetFlow Analyzer (FREE TRIAL) Ang isang tool sa pagsusuri ng trapiko na gumagana sa NetFlow, J-Flow, sFlow Netstream, IPFIX, at AppFlow
  4. Omnipeek Network Protocol Analyzer Isang monitor ng network na maaaring mapalawak upang makuha ang mga packet.
  5. tcpdump Ang mahahalagang libreng tool ng pagkuha ng packet na nalalapit sa bawat tagapamahala ng network sa kanyang toolkit.
  6. Windump Isang libreng clone ng tcpdump na isinulat para sa mga Windows system.
  7. Wireshark Isang kilalang libreng packet capture at data analysis tool.
  8. tshark Isang magaan na sagot sa mga nais ng pag-andar ng Wireshark, ngunit ang slim profile ng tcpdump.
  9. Network Miner Ang isang network na naka-base sa network na may Windows na walang libreng bersyon.
  10. Fiddler Isang tool ng pagkuha ng packet na nakatuon sa trapiko ng HTTP.
  11. Capsa Nakasulat para sa Windows, ang libreng tool ng pagkuha ng packet ay maaaring mai-upgrade para sa pagbabayad upang idagdag sa mga tampok na analytical.

Mga kalamangan ng packet sniffing

Ang isang packet sniffer ay isang kapaki-pakinabang na tool upang paganahin ka upang maipatupad ang patakaran sa kapasidad ng network ng iyong kumpanya. Ang pangunahing pakinabang ay ang mga ito:

  • Kilalanin ang mga naka-link na link
  • Kilalanin ang mga application na bumubuo ng karamihan sa trapiko
  • Kolektahin ang data para sa mahulaan na pagsusuri
  • I-highlight ang mga peak at trough sa demand sa network

Ang mga pagkilos na iyong ginagawa ay nakasalalay sa iyong magagamit na badyet. Kung mayroon kang mga mapagkukunan upang mapalawak ang kapasidad ng network, mapapagana ka ng packet sniffer na mai-target ang mga bagong mapagkukunan nang mas epektibo. Kung wala kang badyet, ang pag-sniff ng packet ay makakatulong sa paghubog ng trapiko sa pamamagitan ng pag-prioritize ng trapiko ng aplikasyon, pag-laki ng laki ng mga subnets, pag-aayos ng mga kaganapan sa trapiko, paglilimita sa bandwidth para sa mga tiyak na aplikasyon, o pagpapalit ng mga application na may mas mahusay na mga kahalili.

Mode na promiscuous

Mahalagang maunawaan kung paano gumagana ang network card sa iyong computer kapag nag-install ka ng packet sniffing software. Ang interface mula sa iyong computer hanggang sa network ay tinatawag na “tagapamahala ng interface ng network,”O NIC. Ang iyong NIC ay kukuha lamang ng trapiko sa internet na tinutukoy sa MAC address nito.

Upang makuha ang pangkalahatang trapiko, kailangan mong ilagay ang iyong NIC sa “promiscuous mode.”Tinatanggal nito ang limitasyon ng pakikinig sa NIC. Sa mode ng promiscuous, kukunin ng iyong NIC ang lahat ng trapiko sa network. Karamihan sa mga sniffer ng packet ay may utility sa loob ng interface ng gumagamit na namamahala sa mode switch para sa iyo.

Mga uri ng trapiko sa network

Ang pagtatasa ng trapiko sa network ay nangangailangan ng isang pag-unawa sa kung paano gumagana ang networking. Walang tool na magically aalisin ang kinakailangan para sa isang analyst upang maunawaan ang mga pangunahing kaalaman ng networking tulad ng TCP three-way handshake na ginagamit upang simulan ang isang koneksyon sa pagitan ng dalawang aparato. Ang mga analyst ay dapat ding magkaroon ng ilang pag-unawa sa mga uri ng trapiko sa network na umiiral sa isang normal na gumaganang network tulad ng ARP at trapiko ng DHCP. Mahalaga ang kaalamang ito dahil ipapakita sa iyo ng pagsusuri ng mga tool kung ano ang iyong hinihiling – nasa sa iyo upang malaman kung ano ang hihilingin. Kung hindi ka sigurado kung paano normal ang hitsura ng iyong network, mahirap matiyak na naghuhukay ka para sa tamang bagay sa masa ng mga packet na iyong nakolekta.

Mga tool sa negosyo

Magsimula tayo sa tuktok at gampanan natin ang mga walang kwentang pangunahing kaalaman. Kung nakikipag-ugnayan ka sa isang network na antas ng negosyo, kakailanganin mo ang malaking baril. Habang halos lahat ay gumagamit ng tcpdump sa pangunahing (higit pa sa susunod na), ang mga tool sa antas ng enterprise ay maaaring magbigay ng iba pang mga pag-andar ng analytical tulad ng pagwawasto ng trapiko mula sa maraming mga server, pagbibigay ng mga intelihente na query sa query upang makita ang mga isyu, nakakaalerto sa mga kaso ng pagbubukod, at paggawa ng mga magagandang grap na hinihingi ng pamamahala.

Ang mga tool sa antas ng enterprise ay may posibilidad na magtuon sa daloy ng trapiko sa network kaysa sa paghusga ng nilalaman ng packet. Sa pamamagitan nito, ang ibig kong sabihin na ang pokus ng karamihan sa mga sysadmins sa isang negosyo ay upang mapanatili ang network na humming kasama nang walang mga bottlenecks. Kapag nangyari ang mga bottlenecks, ang layunin ay karaniwang upang matukoy kung ang problema ay ang network o isang aplikasyon sa network. Sa kabilang panig ng barya, ang mga kagamitang antas ng enterprise na ito ay karaniwang nakakakita ng maraming trapiko na makakatulong silang mahulaan kung ang isang segment ng network ay puspos na isang kritikal na elemento ng pamamahala ng kapasidad.

Mga tool sa hacker

Ang mga sniffer ng packet ay ginagamit din ng mga hacker. Maging kamalayan na ang mga tool na ito ay maaaring magamit upang atakehin ang iyong network pati na rin upang malutas ang mga problema. Ang mga sniffer ng packet ay maaaring magamit bilang wiretappers upang makatulong na magnakaw ng data sa pagbiyahe at maaari rin silang mag-ambag sa “lalaki sa gitna“Mga pag-atake na nagbabago ng data sa paglilipat at paglipat ng trapiko upang mapanlinlang ang isang gumagamit sa network. Mamuhunan sa mga sistema ng pagtuklas ng panghihimasok upang maprotektahan ang iyong network mula sa mga form na ito na hindi awtorisadong pag-access

Paano gumagana ang Packet Sniffers at Network Analyzers?

Ang pangunahing tampok ng isang packet sniffer na ito ay kumokopya ng data habang naglalakbay ito sa isang network at ginagawang magagamit para sa pagtingin. Kinokopya lamang ng aparato ng sniffing ang lahat ng data na nakikita nitong dumadaan sa isang network. Kapag ipinatupad sa isang switch, pinapayagan ng mga setting ng aparato ang pagpasa ng packet na maipadala sa isang pangalawang port pati na rin ang inilaan na patutunguhan, kaya nagdoble ng trapiko. Karaniwan, ang mga packet ng data na na-ani mula sa network ay kinopya sa isang file. Ang ilang mga tool ay magpapakita rin ng data na iyon sa isang dashboard. Gayunpaman, ang mga pack sniffer ay maaaring magtipon ng maraming data, na kasama ang naka-encode na impormasyon ng admin. Kailangan mong maghanap ng isang tool sa pagsusuri na makakatulong sa iyo na maging impormasyon sa paglabas sa paglalakbay ng mga packet sa katas at iba pang mga piraso ng impormasyon, tulad ng kaugnayan ng mga numero ng port na naglalakbay sa pagitan ng mga packet.

Ang isang diretso na packet sniffer ay makopya sa lahat ng mga packet na naglalakbay sa network. Maaari itong maging isang problema. Kung ang pag-load ng packet ay hindi naka-encrypt, magagawa mo ang mga kawani ng departamento ng IT na makakita ng sensitibong impormasyon sa negosyo habang naglalakbay ito sa network. Para sa kadahilanang ito, maraming mga sniffer ng packet ang maaaring limitado upang kopyahin lamang nila ang impormasyon sa header. Sa karamihan ng mga kaso, ang mga nilalaman ng packet ay hindi kinakailangan para sa pagtatasa ng pagganap ng network. Kung nais mong subaybayan ang paggamit ng network sa loob ng isang 24 na oras o sa loob ng ilang araw, pagkatapos itago ang bawat packet ay sakupin ang isang napakalaking halaga ng puwang ng disk – kahit na kumukuha ka lamang sa mga header ng packet. Sa mga sitwasyong ito, ipinapayong mag-sample ng mga packet, na nangangahulugang kopyahin ang bawat 10 o ika-20 na packet sa halip na kopyahin ang bawat solong.

Ang pinakamahusay na mga sniffer ng packet at mga analyzer ng network

Niranggo namin ang mga sumusunod na tool ayon sa mga sumusunod na pangkalahatang pagsasaalang-alang: mga kapaki-pakinabang na tampok, pagiging maaasahan, kadalian ng pag-install, pagsasama, at paggamit, dami ng tulong at suporta na inaalok, kung gaano kahusay ang software na na-update at pinapanatili at kung gaano kagalang-galang ang mga developer ay nasa ang industriya.

1. Ang SolarWinds Deep Packet Inspection and Analysis tool (FREE TRIAL)

Ang SolarWinds ay isang malawak na suite ng mga tool sa pamamahala ng IT. Ang tool na mas nauugnay sa artikulong ito ay ang tool ng Deep Packet Inspection and Analysis. Ang pagkolekta ng trapiko sa network ay medyo madali. Ang paggamit ng mga tool tulad ng WireShark, ang pagsusuri sa pangunahing antas ay hindi rin isang palabas sa palabas. Ngunit hindi lahat ng mga sitwasyon ay pinutol at tuyo. Sa isang abalang network, maaaring mahirap matukoy kahit na ang ilang mga pangunahing bagay tulad ng:

  • Anong application sa network ang lumilikha ng trapiko na ito?
  • Kung ang application ay kilala (sabihin, isang web browser) kung saan ang mga tao ay gumugugol ng karamihan sa kanilang oras?
  • Aling mga koneksyon ang tumagal ng pinakamahaba at nababalot sa network?

Karamihan sa mga aparato ng network ay gumagamit lamang ng metadata ng bawat pack upang matiyak na makukuha ang packet kung saan ito pupunta. Ang mga nilalaman ng packet ay hindi alam sa aparato ng network. Iba’t-ibang Inspeksyon ng Pakete ng Pakete nangangahulugan ito na ang aktwal na nilalaman ng packet ay siniyasat upang malaman ang higit pa tungkol dito. Ang impormasyong kritikal sa network na hindi mai-glean mula sa metadata ay maaaring natuklasan sa ganitong paraan. Ang mga tool tulad ng ibinigay ng SolarWinds ay maaaring magbigay ng mas makabuluhang data kaysa sa daloy lamang ng trapiko.

solarwindows-dpi-app-pagkilala

Ang iba pang mga pamamaraan para sa pamamahala ng mataas na dami ng network ay kasama ang NetFlow at sFlow. Ang bawat isa ay may mga kalakasan at kahinaan at maaari mong basahin ang higit pa tungkol sa NetFlow at sFlow na pamamaraan dito.

Ang pagtatasa ng network, sa pangkalahatan, ay isang advanced na paksa na kalahating karanasan at kalahating pagsasanay. Posible na sanayin ang isang tao na maunawaan ang bawat detalye tungkol sa mga packet ng network, ngunit maliban kung ang taong iyon ay may kaalaman din sa target na network, at ilang karanasan upang makilala ang mga anomalya, hindi sila makakakuha ng napakalayo. Ang mga tool na nakalista ko sa artikulong ito ay maaaring magamit ng mga nakaranasang mga admin ng network na alam na ang kanilang hinahanap, ngunit hindi sigurado kung aling mga tool ang pinakamahusay. Maaari rin silang magamit ng mas maraming mga junior sysadmins upang makakuha ng karanasan sa kung paano tumingin ang mga network sa pang-araw-araw na operasyon, na makakatulong na makilala ang mga isyu sa susunod.

PILIPINO NG EDITOR

Nagbibigay ang SolarWinds Network Performance Monitor ng detalyadong pananaw sa kung ano ang nagiging sanhi ng pagka-antala ng network at pinapayagan kang mabilis na malutas ang mga ugat na sanhi ng paggamit ng malalim na inspeksyon ng packet. Sa pamamagitan ng pagkilala sa trapiko sa pamamagitan ng aplikasyon, kategorya (negosyo kumpara sa panlipunan) at antas ng peligro maaari mong alisin at mai-filter ang problema sa trapiko at masukat ang oras ng pagtugon sa aplikasyon. Sa pamamagitan ng isang mahusay na interface ng gumagamit, ito ay isang mahusay na pagpipilian para sa packet sniffing at pagtatasa ng network.

I-download: Ganap na gumagana LIBRE 30 araw na pagsubok sa SolarWinds.com

Opisyal na Site: www.solarwinds.com/topics/deep-packet-inspection/

OS: Windows Server

2. Paessler Packet Capture Tool (FREE TRIAL)

Ang Paessler Packet-Capture-Tool PRTG: All-In-One-Monitoring ay isang pinag-isang tool sa pagsubaybay sa imprastruktura. Makakatulong ito sa iyo na pamahalaan ang iyong network at ang iyong mga server. Ang segment ng pagmamanman ng network ng utility ay sumasaklaw sa dalawang uri ng mga gawain. Ito ay isang monitor ng pagganap ng network, na sinusuri ang mga katayuan ng mga aparato sa network at isang analyst ng bandwidth ng network, na sumasaklaw sa daloy ng trapiko sa mga link sa network.

Ang bahagi ng pagsusuri ng bandwidth ng PRTG ay ipinatupad sa pamamagitan ng paggamit ng apat na magkakaibang mga tool ng pagkuha ng packet. Ito ang:

  •         Isang packet sniffer
  •         Isang sensor ng NetFlow
  •         Isang sensor ng SFlow
  •         Isang sensor ng J-Flow

Kinukuha lamang ng PRTG packet sniffer ang mga header ng mga packet na naglalakbay sa iyong network. Nagbibigay ito sa analyzer ng isang bentahe ng bilis at binabawasan din nito ang dami ng puwang sa imbakan na kinakailangan upang hawakan ang mga file ng pagkuha. Ang dashboard ng packet sniffer ay kinakategorya ang trapiko ayon sa uri ng aplikasyon. Kasama dito ang trapiko ng email, web packet, data ng trapiko ng chat app, at mga volume transfer packet volume.

Ang NetFlow ay isang napakalawak na ginagamit na sistema ng pagmemensahe ng daloy ng data. Nilikha ito ng mga Sistemang Cisco ngunit ginagamit din ito para sa kagamitan na ginawa ng iba pang mga tagagawa. Ang PRTG NetFlow sensor ay nakakakuha din ng mga mensahe ng IPFIX – ang pamantayang ito ng pagmemensahe ay isang kahalili na naka-sponsor na IETF sa NetFlow. Ang pamamaraan ng J-Flow ay isang katulad na sistema ng pagmemensahe na ginagamit ng Juniper Networks para sa kagamitan nito. Ang daloy ng sFlow standard na mga daloy ng trapiko, kaya kukunin nito ang bawat nth packet. Parehong nakukuha ng NetFlow at J-Flow ang tuluy-tuloy na mga sapa ng mga packet.

Pinagbibili ng Paessler ang PRTG software nito sa bilang ng mga “sensor” na isinaaktibo ang isang pagpapatupad. Ang isang sensor ay isang kondisyon ng system o sangkap ng hardware. Halimbawa, ang bawat isa sa apat na packet sniffer na inaalok ng Paessler ay binibilang bilang isang sensor ng PRTG. Malaya na gagamitin ang system kung buhayin mo ang 100 sensor o mas kaunti, kaya kung gagamitin mo lamang ang package na ito para sa mga interface ng snet na mga packet, hindi mo kailangang magbayad ng anumang bagay kay Paessler.

Ang sistema ng Paessler ay nagsasama ng maraming iba pang mga network at mga kakayahan sa pagsubaybay sa server kabilang ang isang virtualization monitor at isang monitor ng aplikasyon. Maaaring mai-install ang PRTG sa nasasakupang lugar o mai-access mo ito bilang isang serbisyo sa ulap. Ang software ay tumatakbo sa mga kapaligiran ng Windows at maaari mo itong makuha sa isang 30-araw na libreng pagsubok.

Paessler Packet Capture Tool PRTGDownload ng 30-araw na LIBRENG Pagsubok

3. Pamahalaan angEngine NetFlow Analyzer (FREE TRIAL)

Ang PamahalaanEngine NetFlow Analyzer tumatagal ng impormasyon sa trapiko mula sa iyong mga aparato sa network. Maaari kang pumili upang halimbawa ng trapiko, makuha ang buong daloy, o tipunin ang mga istatistika sa mga pattern ng trapiko gamit ang tool na ito.

Ang mga gumagawa ng mga aparato sa network ay hindi gumagamit ng parehong protocol para sa pakikipag-usap ng data ng trapiko. Kaya, ang NetFlow Analyzer ay may kakayahang gumamit ng iba’t ibang mga wika upang mangalap ng impormasyon. Kabilang dito Ang Cisco NetFlow, Juniper Networks J-Flow, at Huawei Netstream. May kakayahan din itong makipag-usap sa sFlow, IPFIX, at AppFlow pamantayan.

Ang monitor ay maaaring subaybayan ang pagkakapareho ng mga daloy ng data pati na rin ang pagkarga sa bawat aparato ng network. Hinahayaan ka ng mga pagsusuri sa trapiko tingnan ang mga packet habang dumadaan sila sa isang aparato at kinukuha ang mga ito upang mag-file. Ang kakayahang ito ay magbibigay-daan sa iyo upang makita kung aling mga aplikasyon ang chewing up ng karamihan sa iyong bandwidth at gumawa ng mga pagpapasya sa mga hakbang sa paghuhulma ng trapiko, tulad ng priority queuing o throttling.

PamahalaanEngine NetFlow Analyzer

Ang dashboard ng system ay nagtatampok ng mga graphic na naka-code na kulay, na ginagawang mas madali ang iyong gawain sa mga problema sa pagtutuklas. Ang kaakit-akit na hitsura at pakiramdam ng mga ugnayan sa console kasama ang iba pang mga tool sa pagsubaybay sa imprastraktura ng ManageEngine dahil lahat sila ay binuo sa isang pangkaraniwang platform. Ginagawa nitong isama sa ilang mga produkto ng ManageEngine. Halimbawa, napaka-pangkaraniwan para sa mga administrador ng network na bilhin ang pareho OpManager at ang NetFlow Analyzer mula sa Pamahalaan ang Engine.

Opsyonal na sinusubaybayan ng OpManager ang mga katayuan ng mga aparato SNMP mga pamamaraan, na ang NetFlow Analyzer ay nakatuon sa mga antas ng trapiko at mga pattern ng daloy ng packet.

I-install ang ManageEngine NetFlow Analyzer Windows, Windows Server, at RHEL, CentOS, Fedora, Debian, SINO, at Ubuntu Linux. Inaalok ang system sa dalawang edisyon.

Binibigyan ka ng Mahalagang edisyon ng pamantayan sa pag-andar ng trapiko sa network kasama ang isang pag-uulat at module ng pagsingil. Ang mas mataas na plano ay tinatawag na Enterprise Edition. Ito ay may lahat ng mga tampok ng Mahalagang Edition plus NBAR & CBQoS pagsubaybay, isang advanced na module ng seguridad ng seguridad, mga kagamitan sa pagpaplano ng kapasidad, at malalim na mga kakayahan sa inspeksyon ng packet. Kasama rin sa Edition na ito IP SLA at WLC pagsubaybay.

Maaari kang makakuha ng alinman sa edisyon ng NetFlow Analyzer sa isang 30-araw na libreng pagsubok.

Pamahalaan angEngine NetFlow AnalyzerDownload ang 30-araw na LIBRENG Pagsubok

4. Omnipeek Network Protocol Analyzer

LiveAction Omnipeek, dati ng isang produkto ng Savvius, ay isang network protocol analyzer na maaaring magamit upang makunan ang mga packet pati na rin makagawa ng pagsusuri ng protocol ng trapiko sa network.

Ang Omnipeek ay maaaring mapalawak ng mga plug-in. Hindi kinukuha ng pangunahing sistema ng Omipeek ang mga packet ng network. Gayunpaman, ang pagdaragdag ng Makuha ang Makina nakukuha ng plug-in ang pag-andar ng packet capture. Ang sistema ng Capture Engine ay nakakakuha ng mga packet sa isang wired network; isa pang extension, tinawag Wifi Adapter nagdaragdag ng mga wireless na kakayahan at nagbibigay-daan sa Wifi packet na makuha sa pamamagitan ng Omnipeek.

Ang mga pag-andar ng base Omnipeek Network Protocol Analyzer ay umaabot sa pagsubaybay sa pagganap ng network. Pati na rin ang paglista ng trapiko sa pamamagitan ng protocol, susukat sa software ang bilis ng paglilipat at pagiging regular ng trapiko, pagpapataas ng mga alerto kung bumabagal ang trapiko o dumaan ang mga biyahe sa mga kundisyong hangganan na itinakda ng administrator ng network.

Maaaring subaybayan ang traffic analyzer end-to-end ilipat ang pagganap sa isang buong network, o subaybayan lamang ang bawat isa link. Ang iba pang mga pag-andar ay sinusubaybayan ang mga interface, kabilang ang mga papasok na trapiko na darating sa mga web server mula sa labas ng network. Ang software ay partikular na interesado sa throughput ng trapiko at isang pagpapakita ng trapiko sa bawat protocol. Ang data ay maaaring matingnan bilang mga listahan ng mga protocol at ang kanilang throughput o bilang live na mga grap at tsart. Ang mga packet na nakunan gamit ang Capture Engine ay maaaring naka-imbak para sa pagtatasa o nai-replay sa buong network para sa kapasidad na pagsubok.

Ang pag-install ng Omnipeek sa Windows at Windows Server. Ang sistema ay hindi malayang gamitin. Gayunpaman, posible na makakuha ng Omnipeek sa isang 30-araw na libreng pagsubok.

5. tcpdump

Ang pangunahing tool ng halos lahat ng koleksyon ng trapiko sa network ay tcpdump. Ito ay isang bukas na mapagkukunan na application na mai-install sa halos lahat ng mga operating system na katulad ng Unix. Ang Tcpdump ay isang mahusay na tool sa koleksyon at kumpleto sa isang kumplikadong wika sa pag-filter. Mahalagang malaman kung paano i-filter ang data sa oras ng pagkolekta upang matapos ang isang pinamamahalaang tipak ng data upang pag-aralan. Ang pagkuha ng lahat ng data mula sa isang aparato sa network kahit na isang bagaman na abala sa network ay maaaring lumikha ng masyadong maraming data upang madaling pag-aralan.

Sa ilang mga bihirang kaso, na nagpapahintulot sa tcpdump na mag-output nang direkta sa iyong screen ay maaaring sapat upang mahanap kung ano ang iyong hinahanap. Halimbawa, sa pagsulat ng artikulong ito, nakuha ko ang ilang trapiko at napansin kong ang aking makina ay nagpapadala ng trapiko sa isang IP na hindi ko nakilala. Ito ay lumiliko na ang aking makina ay nagpadala ng data sa isang Google IP address na 172.217.11.142. Dahil wala akong anumang mga produktong Google na tumatakbo, o bukas ang Gmail, hindi ko alam kung bakit nangyari ito. Sinuri ko ang aking sistema at natagpuan ito:

[~] $ ps -ef | grep google
gumagamit noong 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome –type = serbisyo

Tila kahit na ang Chrome ay hindi tumatakbo sa harapan ay nananatili itong tumatakbo bilang isang serbisyo. Hindi ko sana napansin ito nang walang pagsusuri ng packet upang matanggal ako. Nakuha ko muli ang ilang higit pang tcpdump data ngunit sa oras na ito sinabi sa tcpdump na isulat ang data sa isang file na binuksan ko sa Wireshark (higit pa sa susunod na). Narito ang entry na:

wireshark-google

Ang Tcpdump ay isang paboritong tool sa mga sysadmins dahil ito ay isang tool na command-line. Nangangahulugan ito na hindi ito nangangailangan ng isang buong blown na desktop upang tumakbo. Ito ay hindi pangkaraniwan para sa mga server ng produksyon na magbigay ng isang desktop dahil sa mga mapagkukunan na magagawa, kaya ang mga tool sa command-line ay ginustong. Tulad ng maraming mga advanced na tool, ang tcpdump ay may isang napaka-mayaman at arcane na wika na nangangailangan ng ilang oras upang makabisado. Ang ilan sa mga pangunahing pangunahing utos ay nagsasangkot sa pagpili ng interface ng network kung saan mangolekta ng data, at pagsulat ng data na iyon sa isang file upang mai-export ito para sa pagsusuri sa ibang lugar. Ang -i at -w switch ay ginagamit para sa mga ito.

# tcpdump -i eth0 -w tcpdump_packets
tcpdump: pakikinig sa eth0, uri-link na EN10MB (Ethernet), makuha ang laki 262144 byte
^ Nakuha ang C51 packet

Gumagawa ito ng isang file ng pagkuha:

file tcpdump_packets
tcpdump_packets: tcpdump capture file (little-endian) – bersyon 2.4 (Ethernet, makuha ang haba 262144)

Ang karaniwang file ng pagkuha ng TCP ay isang file ng pcap. Hindi ito teksto kaya maaari lamang itong mabasa ng isang programa ng pagsusuri na alam kung paano basahin ang mga file ng pcap.

6. WinDump

Karamihan sa mga kapaki-pakinabang na bukas na tool na mapagkukunan sa kalaunan ay naka-clone sa iba pang mga operating system. Kapag nangyari ito, ang application ay sinabi na nai-ported sa. Ang WinDump ay isang daungan ng tcpdump at kumikilos sa magkatulad na paraan.

Ang isang pangunahing pagkakaiba sa pagitan ng WinDump at tcpdump ay kailangan ng Windump ang library ng WinpCap na na-install bago pa mapatakbo ang WinDump. Sa kabila ng parehong WinDump at WinpCap na ibinigay ng parehong tagapangalaga, hiwalay ang mga pag-download.

Ang WinpCap ay isang aktwal na aklatan na kailangang mai-install. Ngunit, sa sandaling mai-install ito, ang WinDump ay isang file na .exe na hindi nangangailangan ng pag-install upang makatakbo lamang ito. Iyon ay maaaring isang bagay na dapat tandaan kung nagpapatakbo ka ng isang Windows network. Hindi mo kailangan ng WinDump na naka-install sa bawat makina dahil maaari mo lamang itong kopyahin kung kinakailangan, ngunit nais mong mai-install ang WinpCap upang suportahan ang WinDump.

Tulad ng tcpdump, ang WinDump ay maaaring mag-output ng data sa network sa screen para sa pagsusuri, mai-filter sa parehong paraan, at magsulat din ng data sa isang file ng pcap para sa pagtatasa ng offsite.

7. Wireshark

Ang Wireshark ay marahil ang susunod na kilalang tool sa anumang toolkit ng sysadmin. Hindi lamang ito makukuha ng data, ngunit nagbibigay din ng ilang mga advanced na tool sa pagsusuri. Pagdaragdag sa apela nito, ang Wireshark ay bukas na mapagkukunan, at nai-portray sa halos bawat operating system ng server na umiiral. Simula sa buhay na nagngangalang Etheral, Wireshark ngayon ay tumatakbo sa lahat ng dako, kabilang ang bilang isang nakapag-iisang portable na app.

Kung sinusuri mo ang trapiko sa isang server na may naka-install na desktop, magagawa ito ng lahat para sa iyo. Maaari itong mangolekta ng data, at pagkatapos ay pag-aralan ang lahat sa isang lugar. Gayunpaman, ang mga desktop ay hindi pangkaraniwan sa mga server, kaya sa maraming kaso, gusto mong makuha ang data ng network nang malayuan at pagkatapos ay hilahin ang nagresultang pcap file sa Wireshark.

Sa unang paglulunsad, pinapayagan ka ng Wireshark na ma-load ang isang umiiral na file ng pcap, o simulan ang pagkuha. Kung pipiliin mong makuha ang trapiko sa network, maaari mong opsyonal na tukuyin ang mga filter upang ibagsak ang dami ng data na nakolekta ng Wireshark. Dahil napakahusay ng mga tool sa pagsusuri nito, hindi gaanong mahalaga upang matiyak na ikaw ay kilalanin ng kirurhiko ang data sa oras ng pagkolekta kasama ang Wireshark. Kung hindi mo tinukoy ang isang filter, mai-kolekta lamang ng Wireshark ang lahat ng data ng network na napansin ng iyong napiling interface.

paglulunsad ng wireshark

Ang isa sa mga pinaka kapaki-pakinabang na tool na ibinibigay ng Wireshark ay ang kakayahang sundin ang isang stream. Marahil na pinaka kapaki-pakinabang na isipin ang isang stream bilang isang buong pag-uusap. Sa screenshot sa ibaba maaari naming makita ang maraming data ay nakuha, ngunit ang pinaka-interesado ako ay ang Google IP. Maaari ko itong mai-right click at Sundin ang TCP Stream upang makita ang buong pag-uusap.

wireshark-follow-tcp-stream

Kung nakakuha ka ng trapiko sa ibang lugar, maaari mong mai-import ang pcap file gamit ang Wireshark’s File -> Buksan ang diyalogo. Ang parehong mga filter at tool na maaaring magamit para sa mga katutubong nakunan ng data ng network ay magagamit para sa mga mai-import na file.

wireshark-open-pcap

8. TShark

Ang TShark ay isang napaka-kapaki-pakinabang na krus sa pagitan ng tcpdump at Wireshark. Ang Tcpdump ay nangunguna sa pagkolekta ng data at maaaring maoperahan lamang ang pagkuha ng data na nais mo, gayunpaman ito ay limitado sa kung gaano kapaki-pakinabang ito para sa pagsusuri. Ang Wireshark ay may isang mahusay na trabaho sa parehong koleksyon at pagsusuri, ngunit dahil mayroon itong isang mabigat na interface ng gumagamit, hindi ito magamit sa mga walang ulo server. Ipasok ang TShark; kinukuha at pinag-aaralan ngunit ginagawa ang huli sa linya ng utos.

Ginagamit ng TShark ang parehong pag-filter ng mga kombensyon bilang Wireshark na hindi dapat sorpresa dahil sila ay kapareho ng parehong produkto. Ang utos na ito ay nagsasabi sa TShark na abala lamang ang pagkuha ng patutunguhang IP address pati na rin ang ilang iba pang mga kagiliw-giliw na patlang mula sa bahagi ng HTTP ng packet.

# tshark -i eth0 -Y http.request -T field -e ip.dst -e http.user_agent -e http.request.uri

172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico

Kung nais mong makunan sa isang file maaari mong gamitin ang -w switch upang isulat ito, at pagkatapos ay gamitin ang TShark’s -r (read mode) switch upang mabasa ito.

Kunan muna

# tshark -i eth0 -w tshark_packets
Pagkuha sa ‘eth0’
102 ^ C

Basahin ito, alinman sa parehong server, o ilipat ito sa ilang iba pang server ng pagtatasa.

# tshark -r tshark_packets -Y http.request -T mga patlang -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / contact
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / reserbasyon /
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /reservation/styles/styles.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/images/title.png

9. Network Miner

Ang Network Miner ay isang napaka-kagiliw-giliw na tool na mas mahuhulog sa kategorya ng isang forensic tool sa halip na isang straight-up packet sniffer. Ang larangan ng forensics ay karaniwang tumatalakay sa pagsisiyasat at koleksyon ng ebidensya at ginagawa ng Network Miner ang trabaho na iyon para sa trapiko sa network. Tulad ng WireShark ay maaaring sundin ang isang stream ng TCP upang mabawi ang isang buong pag-uusap sa TCP, maaaring sundin ng Network Miner ang isang stream upang muling mabuo ang mga file na ipinadala sa network.

Network-Miner

Upang makuha ang live na trapiko, ang Network Miner ay dapat na madiskarteng mailagay sa network upang ma-obserbahan at kolektahin ang trapiko na iyong kinagigiliwan. Hindi nito ipakilala ang alinman sa sarili nitong trapiko sa network, kaya’t nagpapatakbo ito nang napakalakas..

Maaari ring gumana ang Network Miner sa offline mode. Maaari mong gamitin ang sinubukan at totoong tool ng tcpdump upang mapahamak ang mga packet sa isang punto ng interes sa iyong network, at pagkatapos ay i-import ang mga file ng pcap sa Network Miner. Pagkatapos ay susubukan nitong muling mabuo ang anumang mga file o sertipiko na matatagpuan nito sa pagkuha ng file.

Ang Network Miner ay itinayo para sa Windows, ngunit sa pamamagitan ng paggamit ng Mono, maaari itong patakbuhin sa anumang OS na mayroong balangkas ng Mono tulad ng Linux at macOS.

Mayroong libreng bersyon upang makapagsimula ka na may disenteng hanay ng mga tampok. Kung nais mo ng higit pang mga advanced na kakayahan tulad ng lokasyon ng GeoIP at pasadyang pag-script, kakailanganin mong bumili ng isang propesyonal na lisensya.

10. Fiddler (HTTP)

Ang Fiddler ay hindi technically isang tool sa pagkuha ng packet ng network, ngunit ito ay kapani-paniwalang kapaki-pakinabang na ginawa nito ang listahan. Hindi tulad ng iba pang mga tool na nakalista dito na idinisenyo upang makuha ang trapiko ng ad-hoc sa network mula sa anumang mapagkukunan, ang Fiddler ay higit pa sa isang tool sa debugging sa desktop. Kinukuha nito ang trapiko ng HTTP at habang maraming mga browser ang mayroon nang kakayahang ito sa kanilang mga tool sa developer, ang Fiddler ay hindi limitado sa trapiko ng browser. Maaaring makuha ng Fiddler ang anumang trapiko sa HTTP sa desktop kasama na ang mga hindi aplikasyon sa web.

Fiddler

Maraming mga application sa desktop ang gumagamit ng HTTP upang kumonekta sa mga serbisyo sa web at walang isang tool tulad ng Fiddler, ang tanging paraan upang makuha ang trapiko para sa pagsusuri ay ang paggamit ng mga tool tulad ng tcpdump o WireShark. Gayunpaman, ang mga tool na ito ay nagpapatakbo sa antas ng packet kaya ang pagsusuri ay nagsasama ng muling pagtatayo ng mga packet na ito sa mga stream ng HTTP. Iyon ay maaaring maging isang pulutong ng trabaho upang maisagawa ang ilang simpleng pagsisiyasat sa HTTP at si Fiddler ay sumagip. Makakatulong ang Fiddler na matuklasan ang mga cookies, sertipiko, at data ng payload na papasok o wala sa mga apps na iyon.

Nakakatulong ito na ang Fiddler ay libre at, katulad ng Network Miner, maaari itong patakbuhin sa loob ng Mono sa anumang iba pang operating system na mayroong isang Mono framework.

11. Capsa

Ang Capsa Network Analyzer ay may maraming mga edisyon, bawat isa ay may iba’t ibang mga kakayahan. Sa unang antas, libre ang Capsa, ang software ay mahalagang nakakakuha lamang ng mga packet at pinapayagan ang ilang napaka-graphical na pagsusuri sa mga ito. Ang dashboard ay napaka natatangi at makakatulong sa mga baguhan ng mga isyu ng network ng mga sysadmins na matukoy ang network kahit na may kaunting aktwal na kaalaman sa packet. Ang libreng antas ay naglalayong sa mga taong nais na malaman ang higit pa tungkol sa mga packet at bumuo ng kanilang mga kasanayan sa mga ganap na analyst.

capsa

Alam ang libreng bersyon kung paano masubaybayan ang higit sa 300 mga protocol, pinapayagan nito para sa pagsubaybay sa email at ito rin ay nag-i-save ang nilalaman ng email at sinusuportahan din ang pag-trigger. Ang mga nag-trigger ay maaaring magamit upang magtakda ng mga alerto para sa mga tiyak na sitwasyon na nangangahulugang ang Capsa ay maaari ding magamit sa isang suportang suporta sa ilang sukat.

Magagamit lamang ang Capsa para sa Windows 2008 / Vista / 7/8 at 10.

Pangwakas na salita

Sa mga kasangkapan na nabanggit ko, hindi ito isang malaking pagtalon upang makita kung paano maaaring magtayo ang isang tagapangasiwa ng mga system ng isang in-demand na imprastraktura ng network ng pagmamanman. Ang Tcpdump, o Windump, ay maaaring mai-install sa lahat ng mga server. Ang isang scheduler, tulad ng cron o Windows scheduler, ay maaaring magsipa sa isang session ng koleksyon ng packet sa ilang oras ng interes at isulat ang mga koleksyon sa isang file ng pcap. Sa ibang oras, ang isang sysadmin ay maaaring ilipat ang mga packet sa isang gitnang makina at gamitin ang Wireshark upang pag-aralan ang mga ito. Kung ang network ay napakalaki na hindi ito magagawa, ang mga tool sa antas ng enterprise tulad ng suite ng SolarWinds ay makakatulong na talakayin ang lahat ng data ng network sa isang maaaring mailipat na data set.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map