2023 Sniffers gói tốt nhất (11 phân tích gói được đánh giá)

Packet Sniffing là một thuật ngữ thông tục để chỉ nghệ thuật phân tích lưu lượng mạng. Trái với lẽ thường, những thứ như email và trang web không thể truy cập internet trong một mảnh. Chúng được chia thành hàng ngàn gói dữ liệu nhỏ và được gửi qua internet theo cách đó.

Có rất nhiều, rất nhiều công cụ sẽ thu thập lưu lượng mạng và hầu hết trong số họ sử dụng pcap (hệ thống giống Unix) hoặc libcap (hệ thống Windows) để làm bộ sưu tập thực tế. Một bộ công cụ khác tồn tại để giúp phân tích dữ liệu đó bởi vì ngay cả một lượng nhỏ dữ liệu cũng có thể dẫn đến hàng ngàn gói có thể khó điều hướng. Hầu như tất cả các công cụ này thu thập theo cùng một cách; nó phân tích phân tích mà phân biệt chúng.

Bài đăng này được trình bày chi tiết về từng công cụ đã tạo ra nó ở đây, nhưng nếu bạn không có thời gian, thì đây là danh sách của chúng tôi về các trình thám thính gói và phân tích mạng tốt nhất:

  1. Công cụ phân tích và kiểm tra gói sâu của SolarWinds (THỬ MIỄN PHÍ) Công cụ phân tích lưu lượng mạng chất lượng cao chạy trên Windows Server và là một phần của
  2. Công cụ chụp gói Paessler (THỬ MIỄN PHÍ) Một sniffer gói, cảm biến NetFlow, cảm biến sFlow và cảm biến J-Flow được tích hợp trong Paessler PRTG.
  3. ManageEngine NetFlow Phân tích (THỬ MIỄN PHÍ) Một công cụ phân tích lưu lượng hoạt động với NetFlow, J-Flow, sFlow Netstream, IPFIX và AppFlow
  4. Trình phân tích giao thức mạng Omnipeek Một màn hình mạng có thể được mở rộng để chụp các gói.
  5. tcpdump Công cụ chụp gói miễn phí cần thiết mà mọi nhà quản lý mạng đều có trong bộ công cụ của mình.
  6. Cơn gió Một bản sao miễn phí của tcpdump được viết cho các hệ thống Windows.
  7. Dây đeo Một công cụ thu thập và phân tích dữ liệu miễn phí nổi tiếng.
  8. vỏ cây Một câu trả lời nhẹ cho những ai muốn chức năng của Wireshark, nhưng cấu hình mỏng của tcpdump.
  9. Công cụ khai thác mạng Một bộ phân tích mạng dựa trên Windows với phiên bản miễn phí không rườm rà.
  10. Fiddler Một công cụ chụp gói tập trung vào lưu lượng HTTP.
  11. Capsa Được viết cho Windows, công cụ chụp gói miễn phí có thể được nâng cấp để thanh toán để thêm vào các tính năng phân tích.

Ưu điểm của việc đánh hơi gói

Một sniffer gói là một công cụ hữu ích để cho phép bạn thực hiện chính sách dung lượng mạng của công ty bạn. Những lợi ích chính là chúng:

  • Xác định các liên kết tắc nghẽn
  • Xác định các ứng dụng tạo ra lưu lượng truy cập nhiều nhất
  • Thu thập dữ liệu để phân tích dự đoán
  • Làm nổi bật các đỉnh và đáy trong nhu cầu mạng

Các hành động bạn thực hiện phụ thuộc vào ngân sách có sẵn của bạn. Nếu bạn có tài nguyên để mở rộng dung lượng mạng, trình thám thính gói sẽ cho phép bạn nhắm mục tiêu tài nguyên mới hiệu quả hơn. Nếu bạn không có ngân sách, việc đánh hơi gói sẽ giúp định hình lưu lượng thông qua việc ưu tiên lưu lượng ứng dụng, thay đổi kích thước mạng con, sắp xếp lại các sự kiện lưu lượng lớn, giới hạn băng thông cho các ứng dụng cụ thể hoặc thay thế các ứng dụng bằng các lựa chọn thay thế hiệu quả hơn.

Chế độ lăng nhăng

Điều quan trọng là phải hiểu cách card mạng trên máy tính của bạn hoạt động khi bạn cài đặt phần mềm đánh hơi gói. Giao diện từ máy tính của bạn đến mạng được gọi là Giao diệnbộ điều khiển giao diện mạng,NÓI hoặc NIC. NIC của bạn sẽ chỉ nhận lưu lượng truy cập internet được gửi đến địa chỉ MAC của nó.

Để nắm bắt lưu lượng truy cập chung, bạn cần đặt NIC của mình vào trongchế độ lăng nhăng.Điều này loại bỏ giới hạn nghe trên NIC. Trong chế độ lăng nhăng, NIC của bạn sẽ nhận tất cả lưu lượng truy cập mạng. Hầu hết các trình thám thính gói có một tiện ích trong giao diện người dùng quản lý công tắc chế độ cho bạn.

Các loại lưu lượng mạng

Phân tích lưu lượng mạng đòi hỏi sự hiểu biết về cách thức hoạt động của mạng. Không có công cụ nào có thể loại bỏ một cách kỳ diệu yêu cầu nhà phân tích phải hiểu những điều cơ bản về kết nối mạng như bắt tay ba bước TCP được sử dụng để bắt đầu kết nối giữa hai thiết bị. Các nhà phân tích cũng cần có một số hiểu biết về các loại lưu lượng mạng tồn tại trên một mạng hoạt động bình thường như lưu lượng ARP và DHCP. Kiến thức này rất cần thiết bởi vì các công cụ phân tích sẽ chỉ cho bạn thấy những gì bạn yêu cầu – nó phụ thuộc vào bạn để biết những gì cần yêu cầu. Nếu bạn không chắc chắn mạng của bạn trông bình thường như thế nào, có thể khó đảm bảo bạn đang đào tìm đúng thứ trong khối lượng các gói bạn đã thu thập được.

Công cụ doanh nghiệp

Hãy để Lốc bắt đầu từ trên đỉnh và tìm đường vào những điều cơ bản khó chịu. Nếu bạn làm việc với một mạng cấp doanh nghiệp, bạn sẽ cần những khẩu súng lớn. Mặc dù hầu hết mọi thứ đều sử dụng tcpdump ở cốt lõi của nó (nhiều hơn về sau), các công cụ cấp doanh nghiệp có thể cung cấp các chức năng phân tích khác như tương quan lưu lượng truy cập từ nhiều máy chủ, cung cấp các công cụ truy vấn thông minh để phát hiện các vấn đề, cảnh báo về các trường hợp ngoại lệ và tạo ra các biểu đồ đẹp nhu cầu quản lý.

Các công cụ cấp doanh nghiệp có xu hướng tập trung vào lưu lượng truy cập mạng thay vì đánh giá nội dung gói. Do đó, ý tôi là trọng tâm của hầu hết các sysadins trong một doanh nghiệp là giữ cho mạng hoạt động tốt mà không bị tắc nghẽn về hiệu suất. Khi xảy ra tắc nghẽn, mục tiêu thường là xác định xem sự cố là mạng hay ứng dụng trên mạng. Ở phía bên kia của đồng tiền, các công cụ cấp doanh nghiệp này thường có thể thấy lưu lượng truy cập lớn đến mức họ có thể giúp dự đoán khi nào một phân đoạn mạng sẽ bão hòa, đó là một yếu tố quan trọng của quản lý năng lực.

Công cụ hack

Gói sniffers cũng được sử dụng bởi tin tặc. Hãy lưu ý rằng những công cụ này có thể được sử dụng để tấn công mạng của bạn cũng như để giải quyết các vấn đề. Gói sniffers có thể được sử dụng như máy nghe lén để giúp đánh cắp dữ liệu trong quá cảnh và họ cũng có thể đóng góp cho hệ thốngngười đàn ông ở giữaCác cuộc tấn công của người dùng làm thay đổi dữ liệu trong quá trình và chuyển hướng lưu lượng truy cập để lừa đảo người dùng trên mạng. Đầu tư vào các hệ thống phát hiện xâm nhập để bảo vệ mạng của bạn khỏi các hình thức truy cập trái phép này

Làm thế nào để Sniffers Sniffers và Network Phân tích mạng hoạt động?

Các Tính năng chính của trình thám thính gói là nó sao chép dữ liệu khi nó truyền qua mạng và làm cho nó có sẵn để xem. Thiết bị đánh hơi chỉ đơn giản là sao chép tất cả dữ liệu mà nó nhìn thấy khi truyền qua mạng. Khi được thực hiện trên một công tắc, các cài đặt của thiết bị cho phép gói tin được gửi đến cổng thứ hai cũng như đích đến, do đó sẽ nhân đôi lưu lượng. Thông thường, các gói dữ liệu được gặt từ mạng được sao chép vào một tệp. Một số công cụ cũng sẽ hiển thị dữ liệu đó trong bảng điều khiển. Tuy nhiên, trình thám thính gói có thể thu thập rất nhiều dữ liệu, bao gồm thông tin quản trị được mã hóa. Bạn sẽ cần đến tìm một công cụ phân tích có thể giúp bạn là thông tin hội nghị trên hành trình của các gói trong trích xuất và các mẩu thông tin khác, chẳng hạn như sự liên quan của số cổng mà các gói đi giữa.

Một trình thám thính gói đơn giản sẽ sao chép tất cả các gói đi trên mạng. Đây có thể là một vấn đề. Nếu tải trọng gói được mã hóa, bạn sẽ cho phép nhân viên phòng CNTT xem thông tin kinh doanh nhạy cảm khi nó di chuyển qua mạng. Vì lý do này, nhiều trình thám thính gói có thể bị giới hạn để chúng chỉ sao chép qua thông tin tiêu đề. Trong hầu hết các trường hợp, nội dung của gói không cần thiết cho phân tích hiệu suất mạng. Nếu bạn muốn theo dõi việc sử dụng mạng trong khoảng thời gian 24 giờ hoặc trong một vài ngày, thì việc lưu trữ mọi gói sẽ chiếm một lượng không gian đĩa rất lớn – ngay cả khi bạn chỉ lấy các tiêu đề gói. Trong các kịch bản này, nên lấy mẫu các gói, có nghĩa là sao chép mọi gói thứ 10 hoặc 20 thay vì sao chép trên mỗi gói..

Các trình thám thính gói và phân tích mạng tốt nhất

Chúng tôi đã xếp hạng các công cụ sau theo các cân nhắc chung sau: tính năng hữu ích, độ tin cậy, dễ cài đặt, tích hợp và sử dụng, số lượng trợ giúp và hỗ trợ được cung cấp, phần mềm được cập nhật và bảo trì tốt như thế nào và nhà phát triển có uy tín như thế nào ngành công nghiệp.

1. Công cụ phân tích và kiểm tra gói sâu của SolarWinds (THỬ MIỄN PHÍ)

SolarWinds là một bộ công cụ quản lý CNTT rất rộng. Công cụ phù hợp hơn với bài viết này là công cụ Phân tích và Kiểm tra Gói sâu. Thu thập lưu lượng mạng khá dễ dàng. Sử dụng các công cụ như WireShark, phân tích cấp độ cơ bản cũng không phải là một công cụ chặn hiển thị. Nhưng không phải tất cả các tình huống là cắt và sấy khô. Trong một mạng rất bận rộn, có thể khó xác định ngay cả một số điều rất cơ bản như:

  • Ứng dụng nào trên mạng đang tạo lưu lượng này?
  • Nếu ứng dụng được biết đến (giả sử, một trình duyệt web), nơi mọi người dành phần lớn thời gian của họ?
  • Những kết nối nào mất nhiều thời gian nhất và làm chậm mạng?

Hầu hết các thiết bị mạng chỉ sử dụng mỗi siêu dữ liệu gói dữ liệu để đảm bảo gói được đến nơi nó sẽ đến. Nội dung của gói không xác định đối với thiết bị mạng. Kiểm tra gói sâu là khác nhau; nó có nghĩa là nội dung thực tế của gói được kiểm tra để tìm hiểu thêm về nó. Thông tin mạng quan trọng không thể lượm lặt được từ siêu dữ liệu có thể được phát hiện theo cách này. Các công cụ như được cung cấp bởi SolarWinds có thể cung cấp dữ liệu có ý nghĩa hơn là lưu lượng truy cập đơn giản.

nhận dạng ứng dụng năng lượng mặt trời

Các kỹ thuật khác để quản lý mạng khối lượng lớn bao gồm NetFlow và sFlow. Mỗi cái đều có điểm mạnh và điểm yếu và bạn có thể đọc thêm về các kỹ thuật NetFlow và sFlow tại đây.

Phân tích mạng, nói chung, là một chủ đề nâng cao là một nửa kinh nghiệm và một nửa đào tạo. Nó có thể đào tạo ai đó để hiểu mọi chi tiết về các gói mạng, nhưng trừ khi người đó cũng có kiến ​​thức về mạng đích và một số kinh nghiệm để xác định sự bất thường, họ đã giành chiến thắng rất xa. Các công cụ mà tôi đã liệt kê trong bài viết này có thể được sử dụng bởi các quản trị viên mạng có kinh nghiệm, những người đã biết những gì họ đang tìm kiếm, nhưng aren chắc chắn công cụ nào là tốt nhất. Chúng cũng có thể được sử dụng bởi nhiều sysadins cơ sở hơn để tích lũy kinh nghiệm với cách các mạng trông như thế nào trong các hoạt động hàng ngày, điều này sẽ giúp xác định các vấn đề sau này.

LỰA CHỌN CỦA NGƯỜI BIÊN TẬP

SolarWinds Network Performance Monitor cung cấp thông tin chi tiết về nguyên nhân gây chậm mạng và cho phép bạn giải quyết nhanh chóng các nguyên nhân gốc bằng cách sử dụng kiểm tra gói sâu. Bằng cách xác định lưu lượng truy cập theo ứng dụng, danh mục (kinh doanh so với xã hội) và mức độ rủi ro, bạn có thể loại bỏ và lọc lưu lượng truy cập có vấn đề và đo thời gian phản hồi của ứng dụng. Với giao diện người dùng tuyệt vời, đây là một lựa chọn tuyệt vời để đánh hơi gói và phân tích mạng.

Tải xuống: Thử nghiệm đầy đủ 30 ngày MIỄN PHÍ tại SolarWinds.com

Trang điện tử chính thức: www.solarwinds.com/topics/deep-packet-inspection/

HĐH: máy chủ Windows

2. Công cụ chụp gói Paessler (THỬ MIỄN PHÍ)

Công cụ Paessler Packet-Capture-Tool PRTG: All-In-One-Monitor là một công cụ giám sát cơ sở hạ tầng thống nhất. Nó giúp bạn quản lý mạng và máy chủ của bạn. Phân đoạn giám sát mạng của tiện ích bao gồm hai loại nhiệm vụ. Đây là một bộ theo dõi hiệu suất mạng, kiểm tra trạng thái của các thiết bị mạng và bộ phân tích băng thông mạng, bao gồm lưu lượng lưu lượng truy cập qua các liên kết trong mạng.

Phần phân tích băng thông của PRTG được thực hiện thông qua việc sử dụng bốn công cụ chụp gói khác nhau. Đó là:

  •         Một sniffer gói
  •         Một cảm biến NetFlow
  •         Một cảm biến sFlow
  •         Cảm biến J-Flow

Gói sniffer PRTG chỉ chụp các tiêu đề của các gói đi qua mạng của bạn. Điều này mang lại cho máy phân tích lợi thế về tốc độ và nó cũng làm giảm dung lượng lưu trữ cần thiết để giữ các tệp chụp. Bảng điều khiển của gói sniffer phân loại lưu lượng theo loại ứng dụng. Chúng bao gồm lưu lượng email, gói web, dữ liệu lưu lượng ứng dụng trò chuyện và khối lượng gói truyền tệp.

NetFlow là một hệ thống nhắn tin luồng dữ liệu được sử dụng rất rộng rãi. Nó được tạo bởi Cisco Systems nhưng nó cũng được sử dụng cho các thiết bị được sản xuất bởi các nhà sản xuất khác. Cảm biến PRFG NetFlow cũng nhận các tin nhắn IPFIX – tiêu chuẩn nhắn tin này là sự kế thừa do IETF tài trợ cho NetFlow. Phương pháp J-Flow là một hệ thống nhắn tin tương tự được Juniper Networks sử dụng cho thiết bị của mình. Tiêu chuẩn sFlow lấy mẫu lưu lượng, vì vậy nó sẽ thu thập mọi gói thứ n. Cả NetFlow và J-Flow đều thu được các luồng gói liên tục.

Paessler định giá phần mềm PRTG của mình dựa trên số lượng cảm biến trên máy ảnh mà một triển khai kích hoạt. Một cảm biến là một điều kiện hệ thống hoặc thành phần phần cứng. Ví dụ: mỗi trong số bốn trình thám thính gói được cung cấp bởi Paessler được tính là một cảm biến PRTG. Hệ thống này được sử dụng miễn phí nếu bạn kích hoạt 100 cảm biến hoặc ít hơn, vì vậy nếu bạn chỉ sử dụng gói này cho các giao diện đánh hơi gói của nó, bạn đã giành chiến thắng phải trả cho Paessler bất cứ điều gì.

Hệ thống Paessler bao gồm rất nhiều khả năng giám sát mạng và máy chủ khác bao gồm màn hình ảo hóa và màn hình ứng dụng. PRTG có thể được cài đặt tại chỗ hoặc bạn có thể truy cập nó dưới dạng dịch vụ đám mây. Phần mềm chạy trên môi trường Windows và bạn có thể dùng thử miễn phí 30 ngày.

Công cụ chụp gói Paessler PRTG Tải xuống bản dùng thử MIỄN PHÍ 30 ngày

3. ManageEngine NetFlow Phân tích (THỬ MIỄN PHÍ)

Các Trình phân tích ManageEngine NetFlow lấy thông tin giao thông từ các thiết bị mạng của bạn. Bạn có thể chọn lấy mẫu lưu lượng truy cập, nắm bắt toàn bộ luồng hoặc thu thập số liệu thống kê về các mẫu lưu lượng truy cập bằng công cụ này.

Tất cả các nhà sản xuất thiết bị mạng don don đều sử dụng cùng một giao thức để truyền dữ liệu lưu lượng. Do đó, Bộ phân tích NetFlow có khả năng sử dụng các ngôn ngữ khác nhau để thu thập thông tin. Bao gồm các Cisco NetFlow, Juniper Networks J-Flow, và Mạng Huawei. Nó cũng có khả năng giao tiếp với slow, IPFIX, và Ứng dụng nhanh tiêu chuẩn.

Màn hình có thể theo dõi tính nhất quán của các luồng dữ liệu cũng như tải trên mỗi thiết bị mạng. Khả năng phân tích lưu lượng cho phép bạn xem các gói khi chúng đi qua một thiết bị và bắt chúng để tập tin. Khả năng hiển thị này sẽ cho phép bạn xem ứng dụng nào đang chiếm phần lớn băng thông của mình và đưa ra quyết định về các biện pháp định hình lưu lượng truy cập, chẳng hạn như xếp hàng ưu tiên hoặc điều chỉnh.

Trình phân tích ManageEngine NetFlow

Bảng điều khiển của hệ thống có đồ họa được mã hóa màu, giúp cho công việc phát hiện vấn đề của bạn dễ dàng hơn rất nhiều. Giao diện hấp dẫn của giao diện điều khiển gắn với các công cụ giám sát cơ sở hạ tầng ManageEngine khác vì tất cả chúng đều được xây dựng trên một nền tảng chung. Điều này làm cho nó tích hợp với một số sản phẩm ManageEngine. Ví dụ: rất phổ biến cho các quản trị viên mạng để mua cả Người quản lý và Trình phân tích NetFlow từ Manage Engine.

OpManager giám sát các thiết bị trạng thái trên mạng với SNMP các quy trình, mà NetFlow Phân tích tập trung vào mức lưu lượng và các mẫu luồng gói.

Trình phân tích ManageEngine NetFlow cài đặt trên các cửa sổ, máy chủ Windows, và BẠC, CentOS, Fedora, Debian, Con chuột, và Ubuntu Linux. Hệ thống được cung cấp trong hai phiên bản.

Phiên bản Essential cung cấp cho bạn các chức năng giám sát lưu lượng mạng tiêu chuẩn cộng với mô-đun báo cáo và thanh toán. Gói cao hơn được gọi là Phiên bản doanh nghiệp. Điều này có tất cả các tính năng của Essential Edition plus NBAR & CBQoS giám sát, một mô-đun phân tích bảo mật nâng cao, tiện ích lập kế hoạch dung lượng và khả năng kiểm tra gói sâu. Phiên bản này cũng bao gồm IP SLAWLC giám sát.

Bạn có thể nhận được một trong hai phiên bản của Trình phân tích NetFlow trong bản dùng thử miễn phí 30 ngày.

ManageEngine NetFlow Phân tích Tải xuống bản dùng thử MIỄN PHÍ 30 ngày

4. Trình phân tích giao thức mạng Omnipeek

LiveAction Omnipeek, trước đây là sản phẩm của Cứu tinh, là một bộ phân tích giao thức mạng có thể được sử dụng để chụp các gói cũng như phân tích giao thức của lưu lượng mạng.

Omnipeek có thể được mở rộng bằng các trình cắm. Hệ thống Omipeek cốt lõi không bắt giữ các gói mạng. Tuy nhiên, việc bổ sung Động cơ chụp trình cắm thêm có chức năng chụp gói. Hệ thống Capture Engine chọn các gói trên mạng có dây; một phần mở rộng khác, được gọi là Bộ chuyển đổi Wifi thêm khả năng không dây và cho phép các gói Wifi được thu qua Omnipeek.

Các chức năng của Trình phân tích giao thức mạng Omnipeek cơ sở mở rộng đến giám sát hiệu suất mạng. Cũng như liệt kê lưu lượng theo giao thức, phần mềm sẽ đo tốc độ truyền và tính đều đặn của lưu lượng, nâng cao cảnh báo nếu lưu lượng truy cập chậm lại hoặc các chuyến đi vượt qua các điều kiện biên được đặt bởi quản trị viên mạng.

Bộ phân tích giao thông có thể theo dõi đầu cuối truyền hiệu suất trên toàn bộ mạng hoặc chỉ giám sát từng mạng liên kết. Các chức năng khác giám sát giao diện, bao gồm lưu lượng đến đến các máy chủ web từ bên ngoài mạng. Phần mềm này đặc biệt quan tâm đến thông lượng lưu lượng và hiển thị lưu lượng trên mỗi giao thức. Dữ liệu có thể được xem như danh sách các giao thức và thông lượng của chúng hoặc dưới dạng biểu đồ và biểu đồ trực tiếp. Các gói được chụp bằng Công cụ chụp có thể là lưu trữ để phân tích hoặc phát lại trên mạng cho kiểm tra năng lực.

Omnipeek cài đặt trên Windows và Windows Server. Hệ thống này không được sử dụng miễn phí. Tuy nhiên, có thể nhận được Omnipeek trong bản dùng thử miễn phí 30 ngày.

5. tcpdump

Công cụ cơ bản của hầu hết tất cả các bộ sưu tập lưu lượng mạng là tcpdump. Đây là một ứng dụng mã nguồn mở được cài đặt trên hầu hết các hệ điều hành giống Unix. Tcpdump là một công cụ thu thập tuyệt vời và hoàn thiện với ngôn ngữ lọc rất phức tạp. Điều quan trọng là phải biết cách lọc dữ liệu tại thời điểm thu thập để kết thúc với một khối dữ liệu có thể quản lý để phân tích. Nắm bắt tất cả dữ liệu từ một thiết bị mạng trên một mạng bận rộn vừa phải có thể tạo ra quá nhiều dữ liệu để phân tích dễ dàng.

Trong một số trường hợp hiếm hoi, cho phép tcpdump xuất trực tiếp bản chụp của nó lên màn hình của bạn có thể đủ để tìm thấy những gì bạn đang tìm kiếm. Ví dụ, khi viết bài viết này, tôi đã nắm bắt được một số lưu lượng truy cập và nhận thấy rằng máy của tôi đang gửi lưu lượng truy cập đến một IP mà tôi không nhận ra. Hóa ra máy của tôi đã gửi dữ liệu đến địa chỉ IP của Google là 172.217.11.142. Vì tôi không có bất kỳ sản phẩm nào của Google đang chạy, cũng như Gmail không mở, tôi không biết tại sao điều này lại xảy ra. Tôi đã kiểm tra hệ thống của mình và tìm thấy điều này:

[~] $ ps -ef | grep google
người dùng 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome –type = dịch vụ

Có vẻ như ngay cả khi Chrome không chạy ở nền trước, nó vẫn chạy như một dịch vụ. Tôi sẽ không nhất thiết phải nhận thấy điều này nếu không có một phân tích gói để giúp tôi hiểu. Tôi đã bắt lại một số dữ liệu tcpdump khác nhưng lần này đã bảo tcpdump ghi dữ liệu vào một tệp mà tôi đã mở trong Wireshark (sẽ nói thêm về điều đó sau). Đây là mục nhập:

wireshark-google

Tcpdump là một công cụ yêu thích của các sysadins vì nó là một công cụ dòng lệnh. Điều này có nghĩa là nó không yêu cầu một máy tính để bàn đầy đủ để chạy. Việc các máy chủ sản xuất cung cấp máy tính để bàn là điều bất thường vì các tài nguyên sẽ sử dụng, vì vậy các công cụ dòng lệnh được ưa thích. Cũng như nhiều công cụ tiên tiến, tcpdump có một ngôn ngữ rất phong phú và phức tạp, cần một chút thời gian để thành thạo. Một số lệnh rất cơ bản liên quan đến việc chọn giao diện mạng để thu thập dữ liệu và ghi dữ liệu đó vào một tệp để có thể xuất ra để phân tích ở nơi khác. Các công tắc -i và -w được sử dụng cho việc này.

# tcpdump -i eth0 -w tcpdump_packets
tcpdump: nghe trên eth0, EN10MB loại liên kết (Ethernet), kích thước chụp 262144 byte
^ Các gói C51 bị bắt

Điều này tạo ra một tập tin chụp:

tập tin tcpdump_packets
tcpdump_packets: tệp chụp tcpdump (little endian) – phiên bản 2.4 (Ethernet, độ dài chụp 262144)

Tệp chụp TCP chuẩn là tệp pcap. Nó không phải là văn bản nên chỉ có thể được đọc bởi một chương trình phân tích biết cách đọc các tệp pcap.

6. WinDump

Hầu hết các công cụ nguồn mở hữu ích cuối cùng được sao chép vào các hệ điều hành khác. Khi điều này xảy ra, ứng dụng được cho là đã được chuyển qua. WinDump là một cổng của tcpdump và hành xử theo những cách rất giống nhau.

Một điểm khác biệt lớn giữa WinDump và tcpdump là Windump cần thư viện WinpCap được cài đặt trước khi có thể chạy WinDump. Mặc dù cả WinDump và WinpCap đều được cung cấp bởi cùng một nhà bảo trì, chúng là các phần tải xuống riêng biệt.

WinpCap là một thư viện thực tế cần được cài đặt. Nhưng, một khi nó được cài đặt, WinDump là một tệp .exe không cần cài đặt để nó có thể chạy. Đó có thể là điều cần lưu ý nếu bạn đang chạy một mạng Windows. Bạn không nhất thiết phải cài đặt WinDump trên mọi máy vì bạn chỉ có thể sao chép nó khi cần, nhưng bạn sẽ muốn cài đặt WinpCap để hỗ trợ WinDump.

Như với tcpdump, WinDump có thể xuất dữ liệu mạng ra màn hình để phân tích, được lọc theo cách tương tự và cũng ghi dữ liệu vào tệp pcap để phân tích ngoại vi.

7. Dây đeo

Wireshark có lẽ là công cụ nổi tiếng tiếp theo trong bất kỳ bộ công cụ sysadmin nào. Nó không chỉ có thể thu thập dữ liệu mà còn cung cấp một số công cụ phân tích nâng cao. Thêm vào sự hấp dẫn của nó, Wireshark là nguồn mở và đã được chuyển đến hầu hết mọi hệ điều hành máy chủ tồn tại. Bắt đầu cuộc sống có tên Etheral, Wireshark hiện chạy khắp mọi nơi, bao gồm cả một ứng dụng di động độc lập.

Nếu bạn phân tích lưu lượng truy cập trên máy chủ có cài đặt máy tính để bàn, Wireshark có thể làm tất cả cho bạn. Nó có thể thu thập dữ liệu, và sau đó phân tích tất cả trong một điểm. Tuy nhiên, máy tính để bàn không phổ biến trên các máy chủ, vì vậy, trong nhiều trường hợp, bạn sẽ muốn thu thập dữ liệu mạng từ xa và sau đó kéo tệp pcap kết quả vào Wireshark.

Ở lần khởi chạy đầu tiên, Wireshark cho phép bạn tải tệp pcap hiện có hoặc bắt đầu chụp. Nếu bạn chọn để nắm bắt lưu lượng mạng, bạn có thể tùy ý chỉ định các bộ lọc để giảm bớt lượng dữ liệu mà Wireshark thu thập. Vì các công cụ phân tích của nó rất tốt, nên nó ít quan trọng hơn để đảm bảo bạn phẫu thuật xác định dữ liệu tại thời điểm thu thập với Wireshark. Nếu bạn không chỉ định bộ lọc, Wireshark sẽ chỉ thu thập tất cả dữ liệu mạng mà giao diện bạn đã chọn quan sát.

khởi động

Một trong những công cụ hữu ích nhất mà Wireshark cung cấp là khả năng theo dõi luồng. Nó có lẽ hữu ích nhất khi nghĩ về một luồng như một toàn bộ cuộc trò chuyện. Trong ảnh chụp màn hình bên dưới, chúng ta có thể thấy rất nhiều dữ liệu đã được ghi lại, nhưng điều tôi quan tâm nhất là Google IP. Tôi có thể nhấp chuột phải vào nó và theo dõi luồng TCP để xem toàn bộ cuộc hội thoại.

wireshark-follow-tcp-stream

Nếu bạn đã lưu lượng truy cập bị bắt ở nơi khác, bạn có thể nhập tệp pcap bằng Tệp Wireshark từ -> Đối thoại cởi mở. Các bộ lọc và công cụ tương tự có thể được sử dụng cho dữ liệu mạng được chụp tự nhiên có sẵn cho các tệp đã nhập.

wireshark-open-pcap

8. Tarkark

TShark là một giao thoa rất hữu ích giữa tcpdump và Wireshark. Tcpdump vượt trội trong việc thu thập dữ liệu và rất có thể chỉ trích xuất dữ liệu bạn muốn, tuy nhiên nó bị hạn chế về mức độ hữu ích của việc phân tích. Wireshark làm rất tốt cả việc thu thập và phân tích, nhưng vì nó có giao diện người dùng nặng, nên nó có thể được sử dụng trên các máy chủ không đầu. Nhập TShark; nó nắm bắt và phân tích nhưng sau này trên dòng lệnh.

TShark sử dụng các quy ước lọc tương tự như Wireshark, điều này không có gì đáng ngạc nhiên vì về cơ bản chúng là cùng một sản phẩm. Lệnh này yêu cầu TShark chỉ bận tâm đến việc nắm bắt địa chỉ IP đích cũng như một số trường thú vị khác từ phần HTTP của gói.

# tshark -i eth0 -Y http.request -T lĩnh vực -e ip.dst -e http.user_agent -e http.request.uri

172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Tắc kè / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Tắc kè / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Tắc kè / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Tắc kè / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Tắc kè / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Tắc kè / 20100101 Firefox / 57.0 /favicon.ico
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Tắc kè / 20100101 Firefox / 57.0 /favicon.ico

Nếu bạn muốn chụp vào một tập tin, bạn có thể sử dụng công tắc -w để ghi nó, sau đó sử dụng công tắc TShark tựa -r (chế độ đọc) để đọc nó.

Chụp trước:

# tshark -i eth0 -w tshark_packets
Chụp trên ‘eth0’
102 ^ C

Đọc nó, trên cùng một máy chủ hoặc chuyển nó sang một số máy chủ phân tích khác.

# tshark -r tshark_packets -Y http.request -T lĩnh vực -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Tắc kè / 20100101 Firefox / 57.0 / liên hệ
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Tắc kè / 20100101 Firefox / 57.0 / đặt chỗ /
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Tắc kè / 20100101 Firefox / 57.0 /reservations/styles/styles.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Tắc kè / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Tắc kè / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Tắc kè / 20100101 Firefox / 57.0 /res/images/title.png

9. Công cụ khai thác mạng

Network Miner là một công cụ rất thú vị, thuộc nhiều loại công cụ pháp y hơn là một sniffer gói thẳng. Lĩnh vực pháp y thường xử lý việc điều tra và thu thập bằng chứng và Network Miner thực hiện công việc đó tốt cho lưu lượng mạng. Giống như WireShark có thể theo luồng TCP để khôi phục toàn bộ cuộc hội thoại TCP, Công cụ khai thác mạng có thể theo dõi luồng để xây dựng lại các tệp được gửi qua mạng.

Công cụ khai thác mạng

Để nắm bắt lưu lượng truy cập trực tiếp, Network Miner phải được đặt một cách chiến lược trên mạng để có thể quan sát và thu thập lưu lượng truy cập mà bạn quan tâm. Nó đã giành được bất kỳ lưu lượng truy cập nào của mình lên mạng, vì vậy nó hoạt động rất lén lút.

Công cụ khai thác mạng cũng có thể hoạt động ở chế độ ngoại tuyến. Bạn có thể sử dụng công cụ tcpdump đã thử và đúng để catpure các gói tại một điểm quan tâm trên mạng của bạn, sau đó nhập tệp pcap vào Network Miner. Sau đó, nó sẽ cố gắng xây dựng lại bất kỳ tệp hoặc chứng chỉ nào nó tìm thấy trong tệp chụp.

Network Miner được xây dựng cho Windows, nhưng bằng cách sử dụng Mono, nó có thể chạy trên bất kỳ HĐH nào có khung Mono như Linux và macOS.

Có một phiên bản miễn phí để giúp bạn bắt đầu với một loạt các tính năng. Nếu bạn muốn các khả năng nâng cao hơn như vị trí GeoIP và tập lệnh tùy chỉnh, bạn sẽ cần phải mua giấy phép chuyên nghiệp.

10. Trình điều khiển (HTTP)

Fiddler về mặt kỹ thuật không phải là một công cụ chụp gói mạng, nhưng nó cực kỳ hữu ích đến nỗi nó đã lọt vào danh sách này. Không giống như các công cụ khác được liệt kê ở đây được thiết kế để nắm bắt lưu lượng truy cập đặc biệt trên mạng từ bất kỳ nguồn nào, Fiddler là một công cụ gỡ lỗi trên máy tính để bàn. Nó nắm bắt lưu lượng HTTP và trong khi nhiều trình duyệt đã có khả năng này trong các công cụ dành cho nhà phát triển của họ, Fiddler không giới hạn lưu lượng trình duyệt. Fiddler có thể nắm bắt bất kỳ lưu lượng HTTP nào trên máy tính để bàn, bao gồm cả các ứng dụng không phải web.

Fiddler

Nhiều ứng dụng máy tính để bàn sử dụng HTTP để kết nối với các dịch vụ web và không có công cụ như Fiddler, cách duy nhất để nắm bắt lưu lượng truy cập đó để phân tích là sử dụng các công cụ như tcpdump hoặc WireShark. Tuy nhiên, các công cụ đó hoạt động ở cấp gói để phân tích bao gồm việc xây dựng lại các gói đó thành luồng HTTP. Đó có thể là rất nhiều công việc để thực hiện một số điều tra HTTP đơn giản và Fiddler đến giải cứu. Fiddler có thể giúp khám phá cookie, chứng chỉ và dữ liệu tải trọng vào hoặc ra khỏi các ứng dụng đó.

Nó giúp Fiddler miễn phí và, giống như Network Miner, nó có thể được chạy trong Mono trên bất kỳ hệ điều hành nào khác có khung Mono.

11. Capsa

Capsa Network Analyzer có một số phiên bản, mỗi phiên bản có khả năng khác nhau. Ở cấp độ đầu tiên, Capsa miễn phí, phần mềm về cơ bản chỉ ghi lại các gói và cho phép một số phân tích đồ họa của chúng. Bảng điều khiển rất độc đáo và có thể giúp người mới làm quen xác định các vấn đề mạng nhanh chóng ngay cả với ít kiến ​​thức gói thực tế. Cấp độ miễn phí nhắm vào những người muốn biết thêm về các gói và xây dựng các kỹ năng của họ thành các nhà phân tích chính thức.

capsa

Phiên bản miễn phí biết cách giám sát hơn 300 giao thức, nó cho phép theo dõi email và cũng có thể lưu nội dung email và cũng hỗ trợ kích hoạt. Các kích hoạt có thể được sử dụng để đặt cảnh báo cho các tình huống cụ thể, điều đó có nghĩa là Capsa cũng có thể được sử dụng trong khả năng hỗ trợ ở một mức độ nào đó.

Capsa chỉ khả dụng cho Windows 2008 / Vista / 7/8 và 10.

Từ cuối cùng

Với các công cụ tôi đã đề cập, việc xem quản trị viên hệ thống có thể xây dựng cơ sở hạ tầng giám sát mạng theo yêu cầu không phải là một bước nhảy lớn. Tcpdump, hoặc Windump, có thể được cài đặt trên tất cả các máy chủ. Bộ lập lịch, chẳng hạn như cron hoặc bộ lập lịch Windows, có thể khởi động phiên thu thập gói tại một thời điểm quan tâm và ghi các bộ sưu tập đó vào tệp pcap. Vào một lúc sau, một sysadmin có thể chuyển các gói đó sang một máy trung tâm và sử dụng Wireshark để phân tích chúng. Nếu mạng quá lớn, điều này không khả thi, thì các công cụ cấp doanh nghiệp như bộ SolarWinds có thể giúp chế ngự tất cả dữ liệu mạng đó thành một tập dữ liệu có thể quản lý được.