10 nätverkspaketanalysatorer för systemadministratörer och säkerhetsanalytiker

Ditt nätverk är ryggraden i din affärsverksamhet. Se till att du vet vad som händer djupt inne i det.


På många sätt har landskapet för digitala företag haft en revolution eller två. Vad började som enkelt CGI-skript skriven i Perl har nu blommat in i grupperade distributioner som körs helt automatiserade Kunernetes och andra orkestrationsramar (ledsen för den tunga jargongen – jag gör det inte alls; det är precis som det är idag!).

En typisk containeriserad, distribuerad modern webbapplikation (källa: medium.com)

Men jag kan inte låta bli att tänka på tanken att de grundläggande faktorerna fortfarande är desamma som på 1970-talet.

Allt vi har är abstraktioner på abstraktioner som stöds av hårda, fysiska kablar som bildar nätverket (okej, det finns virtuella nätverk är bra, men du får idén). Om vi ​​vill bli snygga kan vi dela upp nätverket i lager enligt OSI-modell, men allt sagt och gjort, vi har alltid, alltid att göra med TCP / IP-protokoll (varning, tung läsning framöver!), pingar, routrar, som alla har ett gemensamt mål – överföring av datapaket.

Så vad är ett nätverkspaket?

Oavsett vad vi gör – chatta, videoströmning, spel, surfa, köpa saker – är det i huvudsak ett utbyte av datapaket mellan två datorer (nätverk). Ett “paket” är den minsta informationsenheten som flyter i ett nätverk (eller mellan nätverk), och det finns en väldefinierad metod för att konstruera och verifiera nätverkspaket (utanför artikelns räckvidd, men om du känner dig äventyrlig, här är Mer).

Paketflöde i ett nätverk (källa: training.ukdw.ac.id)

I enklare termer representerar varje paket en länk i kedjan och överförs korrekt vid källan och valideras vid destinationen. Även om ett enda paket kommer ut eller beställer, avbryts processen tills alla paket i rätt ordning har tagits emot, och först då sätts de samman för att bilda de data de ursprungligen representerade (till exempel en bild).

Nu när vi förstår vad ett nätverk är, blir det att förstå vad en nätverksanalysator gör. Det är ett verktyg som låter dig titta i enskilda paket i ditt nätverk.

Men varför skulle du vilja gå till det problemet? Låt oss diskutera det nästa.

Varför måste vi analysera paket?

Det ser ut som att paket är ganska mycket de grundläggande byggstenarna i ett nätverksdataflöde, ungefär som atomer är grunden för all materia (ja, jag vet, det här är inte sanna grundläggande partiklar, men det är en tillräckligt bra analogi för våra ändamål) . Och när det gäller att analysera material eller gaser, bryr vi oss aldrig om vad en enskild atom gör; så varför oroa dig för ett enda nätverkspaket på en individuell nivå? Vad kan vi veta annat än vi redan vet?

Det är svårt att sälja vikten av paketnivåanalys när du inte har blivit biten i ryggen tidigare, men jag kommer att försöka.

Paketanalys betyder att du blir smutsig på händerna och når ner i själva VVS för att räkna ut något. Generellt måste du analysera nätverkspaket när allt annat har misslyckats. Vanligtvis inkluderar detta till synes hopplösa scenarier enligt följande:

  • Oförklarlig förlust av hemliga data trots inget tydligt intrång
  • Diagnoser långsamma applikationer när det verkar inte finnas några som helst bevis
  • Se till att din dator / nätverk inte har äventyrats
  • Att bevisa eller motbevisa att en angripare inte är det piggybacking av din WiFi
  • Räkna ut varför din server är flaskhalsen trots låg trafik

Sammantaget faller paketanalys under vissa, hårda typer av bevis. Om du vet hur du utför paketanalys och har en stillbild kan du rädda dig själv från att felaktigt anklagas för en hack eller helt enkelt skyllas som en inkompetent utvecklare eller systemadministratör.

Det handlar om hjärnorna! (källa: dailydot.com)

När det gäller en riktig historia tror jag att den här kommentaren på blogginlägget hittades här är exceptionellt (återges här för fall):

En applikation som är avgörande för mitt företag uppvisade prestandaproblem, föll på ansiktet i kundinstallationer. Det var en applikationsprissättning som användes i spetsen för tickeranläggningar i finansiella företag över hela världen. Om du hade en 401 (k) runt 2000, berodde det antagligen på denna applikation. Jag analyserade den typ du har beskrivit, specifikt TCP-beteende. Jag konstaterade att problemet var i OS-leverantörens implementering av TCP. Det buggya beteendet var att när den sändande stacken gick i trängselkontroll så återhämtade den sig aldrig. Detta resulterade i ett komiskt litet skickfönster, ibland bara några multiplar av MSS.

Det tog lite tid att kämpa med kontohanterare och supportpersonal hos OS-leverantören som inte förstod problemet, min förklaring, eller att problemet * inte kunde * vara i applikationen eftersom applikationen är okunnig om TCP-maskiner. Det var som att prata med en vägg. Jag började på fyrkant ett med varje konferenssamtal. Så småningom kom jag i telefon med en kille som jag kunde ha en bra diskussion med. Det visar sig att han satte RFC1323-tillägg i stacken! Nästa dag hade jag en patch till OS i mina händer och produkten fungerade perfekt från den punkten framåt.

Utvecklaren förklarade att det fanns ett fel som orsakade att inkommande ACK: er * med nyttolast * felkategoriserades som DUPACK när stacken var i överbelastningskontroll.

Detta skulle aldrig hända med halvduplex-applikationer som HTTP, men applikationen som jag stöttade skickade data i två riktningar på uttaget hela tiden.

Jag hade inte massor av support från ledningen på den tiden (min chef skrek till och med på mig för att “alltid ville använda en sniffer” för att fixa problem), och ingen utom mig såg OS-leverantörens TCP-implementering som källa av problemet. Att bryta fixet från OS-leverantören av mig själv gjorde denna seger särskilt söt, fick mig massor av kapital för att göra min egen sak och ledde till de mest intressanta problemen som dykte upp på mitt skrivbord.

Överväldigad!

Om du inte känner för att läsa igenom texten, eller om det inte vore mycket meningsfullt stod den här mannen inför prestationsfrågor som skyllades på hans ansökan och ledningen gav som förväntat nollstöd. Det var bara en grundlig paketanalys som bevisade att problemet inte fanns i applikationen utan i hur operativsystemet hanterade nätverksprotokollet!

Fixet var inte en justering i applikationen, utan en patch av operativsystemutvecklarna! ��

Pojke, åh, pojke. . . Utan paketnivåanalys, var tror du att den här personen skulle vara? Förmodligen av hans jobb. Om detta inte övertygar dig om vikten av paketanalys (även kallad paket snifning), vet jag inte vad som kommer att göra det. ��

Nu när du vet att paketanalys är en superkraft har jag goda nyheter: det är inte allt svårt att göra det!

Tack vare kraftfulla men ändå enkla att använda paketanalysatorer (sniffare) kan skräpningsinformation från paketnivåanalys vara lika enkelt som att läsa en försäljningsinstrumentpanel. Som sagt kommer du att behöva lite mer än en yttre kunskap om vad som händer i ett nätverk. Men än en gång, det finns ingen raketvetenskap här, ingen tvinnad logik att behärska – helt enkelt sunt förnuft.

Om du börjar läsa igenom dokumentationen till ett av dessa verktyg när du använder dem i ditt nätverk, är du snart en expert. ��

Wireshark

Wireshark är ett gammalt projekt (det började redan 1998) som är ganska mycket industristandarden när det gäller att dyka djupt in i nätverk. Det är imponerande när du tänker på att det är rent en volontärstyrd organisation, stödd av några generösa sponsorer. Wireshark förblir öppen källkod (inte på GitHub men koden kan hittas här) och har till och med en teknik konferens till dess namn!

Bland de många kapaciteterna i Wireshark är:

  • Stöd för hundratals nätverksprotokoll.
  • Interoperabelt med många filformat (tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (komprimerad och okomprimerad), Sniffer® Pro och NetXray®, och så vidare).
  • Kör på praktiskt taget alla plattformar där ute (Linux, Windows, macOS, Solaris, FreeBSD och mer).
  • Live dataläsning från Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, bland andra.
  • On-the-fly gzip-dekomprimering.
  • Massor av dekrypteringsprotokoll som stöds (WPA / WPA2, SNMPv3, etc.)
  • Omfattande VoIP-analys
  • Färgningsregler för snabbare visuell skanning

Kolla in denna fantastiska online-kurs till lär dig att behärska Wireshark.

tcpdump

Om du är gammal skola (läs hardcore kommandoradssjunkie), tcpdump är för dig.

Det är ett annat av de ikoniska Linuxverktygen (som curl) som förblir lika relevanta som någonsin, så mycket att nästan alla andra “snyggare” verktyg bygger på det. Som jag sa tidigare finns det inte en grafisk miljö, men verktyget utgör mer än det.

Men att installera det kan vara ont; medan tcpdump levereras med de flesta moderna Linux-distributioner, om du inte gör det så kommer du att behöva bygga från källan.

tcpdump-kommandon är korta och enkla och syftar till att lösa ett visst problem som:

  • Visar alla tillgängliga gränssnitt
  • Fånga bara ett av gränssnitten
  • Sparar fångade paket att arkivera
  • Fånga bara misslyckade paket

. . . och så vidare.

Om dina behov är enkla och du behöver köra en snabb skanning kan tcpdump vara ett bra alternativ att tänka på (särskilt om du skriver tcpdump och upptäcker att det redan är installerat!).

Network

Främja sig själv som ett förensisk nätverksanalysverktyg (FNAT), Network är en av de bästa paketnivåanalysatorerna du kommer över. Det är ett öppet källverktyg som kan analysera ett nätverk passivt och kommer med ett imponerande GUI-gränssnitt för analys som kan visa enskilda bilder och andra överförda filer.

Men det är inte allt. NetworkMiner har utmärkta andra funktioner som:

  • IPv6-stöd
  • Analys av PCAP-filer
  • Extrahera X.509-certifikat från SSL-krypterad trafik
  • PCAP-over-IP
  • Fungerar med flera typer av trafik, såsom FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3, etc..
  • OS-fingeravtryck
  • Geo IP-lokalisering
  • Kommandoradsskriptstöd

Observera att vissa av dessa funktioner är tillgängliga i den kommersiella versionen.

Fifflare

Till skillnad från andra passiva nätverkssniffer, Fifflare är något som sitter mellan din enhet och omvärlden och därmed kräver en viss inställning (är det därför de kallade den “Fiddler”? ��).

Det är ett anpassningsbart (med FiddlerScript) gratis verktyg som har en lång och utmärkt historik, så om ditt mål är att sniffa HTTP / HTTPS-trafik som en chef, är Fiddler vägen att gå.

Det finns mycket du kan göra med Fiddler, speciellt om du är på humör för att donera hackerhuven:

  • Session manipulation: Rippa öppna HTTP-rubriker och sessiondata, ändra dem på vilket sätt du vill.
  • Säkerhetstest: Låter dig simulera attacker mellan mitten och mitten och dekrypterar all HTTPS-trafik åt dig.
  • Prestandatester: Analysera sidbelastnings- (eller API-svar) gånger och se vilken del av svaret som är flaskhalsen.

Om du känner dig förlorad, dokumentation är mycket bra och rekommenderas starkt.

WinDump

Om du missar enkelheten i tcpdump och vill ta den till dina Windows-system, säger hej till WinDump. När den har installerats fungerar den från kommandoraden genom att skriva “tcpdump” på samma sätt som verktyget fungerar på Linux-system.

Observera att det inte finns något att installera i sig; WinDump är en binär som kan köras direkt om du har installerat en Pcap-biblioteksimplementering (npcap rekommenderas eftersom winpcap inte längre är under utveckling).

OmniPeek

För större nätverk som har massor av MBs data som strömmar genom dem varje sekund kan de verktyg som alla andra använder slut på ånga. Om du står inför samma sak, OmniPeek kanske är värt en titt.

Det är ett verktyg för prestanda, analys och kriminalteknik för att analysera nätverk, särskilt när du behöver både lågnivåfunktioner och omfattande instrumentpaneler.

Källa: sniffwifi.com

Om du är en större organisation som letar efter ett allvarligt erbjudande finns en 30-dagars rättegång här.

Capsa

Om allt du är bekymrad över är Windows-plattformen, Capsa är också en allvarlig utmanare. Det finns i tre versioner: gratis, standard och företag, var och en med olika funktioner.

Som sagt, även gratisversionen stöder över 300 protokoll och har intressanta funktioner som varningar (utlösta när vissa villkor är uppfyllda). Standarderbjudandet är ett hack ovan, som stöder 1000+ protokoll och gör att du kan analysera konversationer och rekonstruera paketströmmar.

Sammantaget ett fast alternativ för Windows-användare.

etherape

Om kraftfulla visualiseringar och open source är det du letar efter, etherape är ett bra alternativ. Medan förbyggda binärer är tillgängliga för bara en handfull Linux-distros, är källan tillgänglig (på både SourceForge och GitHub), så att bygga den på egen hand är ett alternativ.

Det här är vad som gör EtherApe bra enligt min mening:

  • Flernod, färgkodad övervakning.
  • Stöd för massor av paketformat som ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN, etc. (faktiskt många, många, fler).
  • Läs data direkt från “tråden” eller från en tcpdump-fil.
  • Stöder standardnamnupplösning
  • Som med de senaste versionerna har GUI flyttats till GTK3, vilket resulterar i en trevligare upplevelse.

CommView

Om du är en Windows-exklusiv butik och värdesätter bekvämligheten med prioritetsstöd, CommView rekommenderas. Det är en kraftfull analysator för nätverkstrafik med avancerade funktioner som VoIP-analys, fjärrspårning, etc., inbyggd.

Det som imponerade mig mest är dess förmåga att exportera data till format som används av flera öppna och proprietära format, som Sniffer®, EtherPeek ™, AiroPeek ™, Observer®, NetMon, Wireshark / Tcpdump och Wireshark / pcapng och till och med vanliga hexdumpar.

Wifi Explorer

Senast på listan är Wifi Explorer, som har en gratisversion för Windows och en standardversion för Windows och macOS. Om WiFi-nätverksanalys är allt du behöver (vilket är ganska mycket standarden i dag), kommer Wifi Explorer att göra livet enkelt.

Det är ett vackert designat och funktionsrikt verktyg för att skära direkt till hjärtat av nätverket.

Hedersomnämnande: Det skulle vara en tjänst att stänga det här inlägget utan att nämna en macOS-exklusiv nätverksanalysator som jag snubblat på – Little Snitch. Den har en inbyggd brandvägg, så kommer med den extra fördelen att du omedelbart låter dig styra all trafik perfekt (vilket kan tyckas vara ont, men är en massiv vinst på lång sikt).

Om du vill bygga en karriär inom nätverk och säkerhet, kolla in några av dessa bästa online-kurser här.

Ingenting i livet är perfekt eller komplett, och samma sak gäller denna lista.

Jag är säker på att det finns massor av andra paketanalysatorer (sniffare) gratis / kommersiell / under utveckling som jag har missat. Om så är fallet, snälla hjälp mig med att göra den här artikeln bättre med dina input. ?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector