10 máy phân tích gói mạng cho quản trị viên hệ thống và nhà phân tích bảo mật

Mạng của bạn là xương sống của hoạt động kinh doanh của bạn. Hãy chắc chắn rằng bạn biết những gì diễn ra sâu bên trong nó.


Theo nhiều cách, cảnh quan cho các doanh nghiệp kỹ thuật số đã chứng kiến ​​một hoặc hai cuộc cách mạng. Những gì bắt đầu đơn giản Kịch bản CGI được viết bằng Perl giờ đã nở rộ thành các triển khai phân cụm chạy hoàn toàn tự động trên Côn trùng và các khuôn khổ dàn nhạc khác (xin lỗi vì biệt ngữ nặng nề – Tôi không hoàn toàn làm được điều đó; nó chỉ là cách mọi thứ diễn ra trong những ngày này!).

Một ứng dụng web hiện đại được phân phối, đóng gói điển hình (nguồn: Medium.com)

Nhưng tôi có thể giúp đỡ nhưng mỉm cười khi nghĩ rằng các nguyên tắc cơ bản vẫn giống như những năm 1970.

Tất cả những gì chúng ta có là sự trừu tượng dựa trên sự trừu tượng được hỗ trợ bởi các dây cáp cứng, vật lý tạo thành mạng (không sao, có mạng ảo là tốt, nhưng bạn hiểu ý). Nếu chúng ta muốn có được sự ưa thích, chúng ta có thể chia mạng thành các lớp theo Mô hình OSI, Nhưng tất cả đã nói và làm, chúng tôi luôn luôn, luôn luôn xử lý Giao thức TCP / IP (cảnh báo, đọc nặng về phía trước!), ping, bộ định tuyến, tất cả đều có một mục tiêu chung – truyền gói dữ liệu.

Vậy, gói mạng là gì?

Bất kể chúng tôi đang làm gì – trò chuyện, truyền phát video, chơi game, lướt web, mua đồ – đó thực chất là một cuộc trao đổi các gói dữ liệu giữa hai máy tính (mạng). Một gói tin dữ liệu là một đơn vị thông tin nhỏ nhất trong mạng (hoặc giữa các mạng) và có một phương pháp được xác định rõ ràng về xây dựng và xác minh các gói mạng (ngoài phạm vi của bài viết này, nhưng nếu bạn cảm thấy phiêu lưu, thì ở đây hơn).

Luồng gói trong một mạng (nguồn: training.ukdw.ac.id)

Nói một cách đơn giản hơn, mỗi gói đại diện cho một liên kết trong chuỗi và được truyền chính xác tại nguồn và được xác nhận hợp lệ tại đích. Ngay cả khi một gói duy nhất xuất hiện hoặc đặt hàng, quy trình sẽ bị đình chỉ cho đến khi tất cả các gói theo đúng thứ tự đã được nhận và chỉ sau đó chúng được kết hợp để tạo thành dữ liệu ban đầu (ví dụ như một hình ảnh).

Bây giờ chúng ta đã hiểu một mạng là gì, nó trở thành để hiểu những gì một nhà phân tích mạng làm. Nó có một công cụ cho phép bạn xem lén các gói riêng lẻ trên mạng của bạn.

Nhưng tại sao bạn lại muốn đi đến rắc rối đó? Hãy để thảo luận về điều đó tiếp theo.

Tại sao chúng ta cần phân tích các gói?

Có vẻ như các gói gần như là các khối xây dựng cơ bản trong luồng dữ liệu mạng, giống như các nguyên tử là nền tảng của mọi vật chất (vâng, tôi biết, đây không phải là các hạt cơ bản thực sự, nhưng đó là một sự tương tự đủ tốt cho mục đích của chúng ta) . Và khi phân tích vật liệu hoặc khí, chúng ta không bao giờ bận tâm về những gì một nguyên tử riêng lẻ đang làm; Vì vậy, tại sao phải lo lắng về một gói mạng ở cấp độ cá nhân? Những gì chúng ta có thể biết khác hơn chúng ta đã biết?

Thật khó để bán tầm quan trọng của phân tích cấp độ gói khi bạn đã bị cắn ở phía trước, nhưng tôi đã cố gắng.

Phân tích gói có nghĩa là làm bẩn tay bạn và thò tay vào ống nước để tìm ra thứ gì đó. Nói chung, bạn cần phân tích các gói mạng khi tất cả các lỗi khác đều thất bại. Thông thường, điều này bao gồm các kịch bản dường như vô vọng như sau:

  • Mất dữ liệu bí mật không thể giải thích mặc dù không có vi phạm rõ ràng
  • Chẩn đoán các ứng dụng chậm khi dường như không có bằng chứng nào
  • Đảm bảo máy tính / mạng của bạn không bị xâm phạm
  • Chứng minh hoặc từ chối rằng kẻ tấn công không phải là người cõng tắt WiFi của bạn
  • Tìm hiểu tại sao máy chủ của bạn là nút cổ chai mặc dù lưu lượng truy cập thấp

Tất cả trong tất cả, phân tích gói thuộc các loại bằng chứng nhất định, cứng. Nếu bạn biết cách tiến hành phân tích gói và có ảnh chụp nhanh, bạn có thể tự cứu mình khỏi bị buộc tội sai vì hack hoặc đơn giản là bị đổ lỗi là nhà phát triển hoặc quản trị viên hệ thống bất tài.

Nó có tất cả về bộ não! (nguồn: dailydot.com)

Về một câu chuyện có thật, tôi nghĩ bình luận này trên bài đăng trên blog được tìm thấy đây là ngoại lệ (được sao chép ở đây chỉ trong trường hợp):

Một ứng dụng quan trọng đối với công ty của tôi thể hiện các vấn đề về hiệu suất, đã rơi vào mặt của nó trong việc triển khai của khách hàng. Đó là một ứng dụng định giá cổ phiếu được sử dụng ở đầu các nhà máy ticker trong các công ty tài chính trên toàn thế giới. Nếu bạn có một khoản 401 (k) vào khoảng năm 2000, có lẽ nó phụ thuộc vào ứng dụng này. Tôi đã phân tích loại sắp xếp mà bạn đã mô tả, cụ thể là hành vi TCP. Tôi đã xác định vấn đề là trong quá trình triển khai TCP của nhà cung cấp hệ điều hành. Hành vi lỗi là bất cứ khi nào ngăn xếp gửi đi vào kiểm soát tắc nghẽn, nó không bao giờ phục hồi. Điều này dẫn đến một cửa sổ gửi nhỏ hài hước, đôi khi chỉ là một vài bội số của MSS.

Phải mất một thời gian chiến đấu với những người quản lý tài khoản và những người hỗ trợ nhà phát triển tại nhà cung cấp hệ điều hành đã không hiểu vấn đề, lời giải thích của tôi, hoặc vấn đề * không thể * trong ứng dụng vì ứng dụng này không biết gì về các mưu đồ TCP. Nó giống như nói chuyện với một bức tường. Tôi bắt đầu tại một trong những cuộc gọi hội nghị. Cuối cùng, tôi đã nói chuyện điện thoại với một người mà tôi có thể thảo luận tốt. Hóa ra anh ta đã đặt các phần mở rộng RFC1323 vào ngăn xếp! Ngày hôm sau tôi có một bản vá cho HĐH trong tay và sản phẩm hoạt động hoàn hảo từ thời điểm đó trở đi.

Nhà phát triển giải thích rằng có một lỗi khiến ACK đến * với tải trọng * bị phân loại thành DUPACK khi ngăn xếp trong kiểm soát tắc nghẽn.

Điều này sẽ không bao giờ xảy ra với các ứng dụng bán song công như HTTP, nhưng ứng dụng tôi đang hỗ trợ đã gửi dữ liệu hai chiều trên ổ cắm mọi lúc.

Lúc đó tôi không có nhiều sự hỗ trợ từ ban quản lý (người quản lý của tôi thậm chí còn mắng tôi vì đã luôn muốn sử dụng một sniffer để khắc phục sự cố), và không ai ngoài tôi nhìn vào việc triển khai TCP của nhà cung cấp hệ điều hành như là nguồn của vấn đề. Tự mình sửa lỗi từ nhà cung cấp hệ điều hành đã tạo ra chiến thắng này đặc biệt ngọt ngào, kiếm cho tôi rất nhiều vốn để làm việc của riêng mình và dẫn đến những vấn đề thú vị nhất xuất hiện trên bàn làm việc của tôi.

Tâm trí thổi!

Trong trường hợp bạn không cảm thấy như đọc qua bản văn bản đó, hoặc nếu nó không có ý nghĩa gì thì người đàn ông này đang đối mặt với các vấn đề về hiệu suất đang bị đổ lỗi cho ứng dụng của mình và ban quản lý, như mong đợi, là cho vay không hỗ trợ. Đó chỉ là một phân tích gói kỹ lưỡng chứng minh rằng vấn đề không nằm ở ứng dụng, mà là cách hệ điều hành xử lý giao thức mạng!

Bản sửa lỗi không phải là bản chỉnh sửa trong ứng dụng, mà là bản vá của các nhà phát triển hệ điều hành! ��

Hỡi cậu bé . . . Nếu không có phân tích cấp độ gói, bạn nghĩ người này sẽ ở đâu? Có lẽ là ra khỏi công việc của mình. Nếu điều này không thuyết phục được bạn về tầm quan trọng của phân tích gói (còn gọi là đánh hơi gói), thì tôi không biết điều gì sẽ xảy ra. ��

Bây giờ bạn đã biết phân tích gói là một siêu năng lực, tôi có một tin tốt: nó không khó để làm điều đó!

Nhờ các bộ phân tích gói (sniffers) mạnh mẽ nhưng dễ sử dụng, việc thu thập thông tin từ phân tích cấp gói có thể dễ dàng như đọc bảng điều khiển bán hàng. Điều đó nói rằng, bạn sẽ cần nhiều hơn một chút kiến ​​thức cấp độ bề mặt về những gì diễn ra trong mạng. Nhưng sau đó, một lần nữa, không có khoa học tên lửa ở đây, không có logic xoắn để làm chủ – chỉ là lẽ thường.

Nếu bạn bắt đầu đọc qua tài liệu của một trong những công cụ này khi bạn sử dụng chúng trên mạng của mình, bạn sẽ sớm trở thành một chuyên gia. ��

Dây đeo

Dây đeo là một dự án cũ (bắt đầu từ năm 1998), gần như là tiêu chuẩn của ngành khi đi sâu vào mạng lưới. Nó rất ấn tượng khi bạn nghĩ rằng nó hoàn toàn là một tổ chức tình nguyện, được hỗ trợ bởi một số nhà tài trợ hào phóng. Wireshark vẫn là nguồn mở (không phải trên GitHub nhưng mã có thể được tìm thấy đây) và thậm chí có một công nghệ hội nghị với tên của nó!

Trong số nhiều khả năng của Wireshark là:

  • Hỗ trợ hàng trăm giao thức mạng.
  • Có thể tương tác với nhiều định dạng tệp (tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (nén và không nén), Sniffer® Pro và NetXray®, v.v.).
  • Chạy trên hầu hết tất cả các nền tảng ngoài kia (Linux, Windows, macOS, Solaris, FreeBSD, v.v.).
  • Đọc dữ liệu trực tiếp từ Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, trong số những người khác.
  • Giải nén gzip khi đang bay.
  • Tải các giao thức giải mã được hỗ trợ (WPA / WPA2, SNMPv3, v.v.)
  • Phân tích VoIP mở rộng
  • Quy tắc tô màu để quét hình ảnh nhanh hơn

Kiểm tra khóa học trực tuyến tuyệt vời này để dạy bạn thành thạo Wireshark.

tcpdump

Nếu bạn là trường cũ (đọc dòng lệnh Hardcore), tcpdump Dành cho bạn.

Nó khác một trong những tiện ích Linux mang tính biểu tượng (như curl) vẫn còn phù hợp hơn bao giờ hết, đến nỗi hầu như tất cả các công cụ khác của Fancier khác đều được xây dựng trên đó. Như tôi đã nói trước đây, có một môi trường đồ họa, nhưng công cụ này không chỉ bù đắp cho nó.

Nhưng cài đặt nó có thể là một nỗi đau; trong khi tcpdump đi kèm với hầu hết các bản phân phối Linux hiện đại, nếu bạn không có thì bạn sẽ phải xây dựng từ nguồn.

Các lệnh tcpdump ngắn và đơn giản, nhằm giải quyết một vấn đề cụ thể như:

  • Hiển thị tất cả các giao diện có sẵn
  • Chỉ chụp một trong các giao diện
  • Lưu các gói bị bắt vào tập tin
  • Chỉ chụp các gói không thành công

. . . và như thế.

Nếu nhu cầu của bạn đơn giản và bạn cần chạy quét nhanh, tcpdump có thể là một lựa chọn tuyệt vời để xem xét (đặc biệt là nếu bạn gõ tcpdump và thấy rằng nó đã cài đặt rồi!).

NetworkMiner

Quảng bá bản thân như một Công cụ Phân tích Mạng Pháp y (FNAT), NetworkMiner là một trong những máy phân tích cấp gói tốt nhất mà bạn sẽ gặp. Nó có một công cụ nguồn mở có thể phân tích mạng một cách thụ động và đi kèm với giao diện GUI ấn tượng để phân tích có thể hiển thị các hình ảnh riêng lẻ và các tệp khác được truyền.

Nhưng đó không phải là tất cả. NetworkMiner đi kèm với các tính năng tuyệt vời khác như:

  • Hỗ trợ IPv6
  • Phân tích tệp PCAP
  • Trích xuất chứng chỉ X.509 từ lưu lượng được mã hóa SSL
  • Pcap-over-IP
  • Hoạt động với một số loại lưu lượng, chẳng hạn như FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3, v.v..
  • Hệ điều hành vân tay
  • Địa phương hóa IP
  • Hỗ trợ kịch bản dòng lệnh

Xin lưu ý rằng một số tính năng này có sẵn trong phiên bản thương mại.

Fiddler

Không giống như các trình thám thính mạng thụ động khác, Fiddler là một cái gì đó nằm giữa thiết bị của bạn và thế giới bên ngoài và do đó yêu cầu một số thiết lập (đó có phải là lý do tại sao họ đặt tên cho nó là Fiddler không?).

Nó có một công cụ miễn phí có thể tùy chỉnh (sử dụng FiddlerScript) có lịch sử lâu đời và nổi bật, vì vậy nếu mục tiêu của bạn là đánh hơi lưu lượng HTTP / HTTPS như một ông chủ, Fiddler là cách để đi.

Có rất nhiều thứ bạn có thể làm với Fiddler, đặc biệt là nếu bạn có tâm trạng muốn tặng áo hoodie cho hacker:

  • Thao tác phiên: Rip mở các tiêu đề HTTP và dữ liệu phiên, sửa đổi chúng theo bất kỳ cách nào bạn muốn.
  • Kiểm tra bảo mật: Cho phép bạn mô phỏng các cuộc tấn công trung gian và giải mã tất cả lưu lượng HTTPS cho bạn.
  • Kiểm tra năng suất: Phân tích thời gian tải trang (hoặc phản hồi API) và xem phần nào của phản hồi là nút cổ chai.

Trong trường hợp bạn cảm thấy bị mất, tài liệu là rất tốt và rất khuyến khích.

WinDump

Nếu bạn bỏ lỡ sự đơn giản của tcpdump và muốn mang nó đến các hệ thống Windows của mình, hãy nói xin chào với WinDump. Sau khi cài đặt, nó hoạt động từ dòng lệnh bằng cách gõ vào tcpdump, giống như cách tiện ích hoạt động trên các hệ thống Linux.

Lưu ý rằng không có gì để cài đặt mỗi se; WinDump là một nhị phân có thể được chạy ngay lập tức với điều kiện bạn đã cài đặt thư viện Pcap (npcap được khuyến nghị vì winpcap không còn được phát triển).

OmniPeek

Đối với các mạng lớn hơn có hàng tấn MB dữ liệu chảy qua chúng mỗi giây, các công cụ mà mọi người khác sử dụng có thể hết hơi. Nếu bạn phải đối mặt như vậy, OmniPeek Có thể là một giá trị.

Nó có một công cụ hiệu suất, phân tích và pháp y để phân tích mạng, đặc biệt là khi bạn cần cả khả năng cấp thấp cũng như bảng điều khiển toàn diện.

Nguồn: sniffwifi.com

Nếu bạn là một tổ chức lớn hơn đang tìm kiếm một đề nghị nghiêm túc, bản dùng thử 30 ngày có sẵn đây.

Capsa

Nếu tất cả những gì bạn quan tâm là nền tảng Windows, Capsa cũng là một ứng cử viên nghiêm trọng Nó có ba phiên bản: miễn phí, tiêu chuẩn và doanh nghiệp, mỗi phiên bản có khả năng khác nhau.

Điều đó nói rằng, ngay cả phiên bản miễn phí hỗ trợ hơn 300 giao thức và có các tính năng thú vị như cảnh báo (được kích hoạt khi đáp ứng một số điều kiện nhất định). Việc cung cấp tiêu chuẩn là một notch ở trên, hỗ trợ hơn 1000 giao thức và cho phép bạn phân tích các cuộc hội thoại và xây dựng lại các luồng gói.

Nói chung, một lựa chọn chắc chắn cho người dùng Windows.

EtherApe

Nếu trực quan hóa mạnh mẽ và nguồn mở là những gì bạn Phục hồi sau, EtherApe là một lựa chọn tuyệt vời. Mặc dù các tệp nhị phân dựng sẵn chỉ có sẵn cho một số bản phân phối Linux, nhưng nguồn này có sẵn (trên cả SourceForge và GitHub), do đó, tự mình xây dựng nó là một tùy chọn.

Theo tôi, điều gì làm cho EtherApe trở nên tuyệt vời theo ý kiến ​​của tôi:

  • Giám sát đa nút, mã màu.
  • Hỗ trợ rất nhiều định dạng gói như ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, Akv, IPX, VINES, TRAIN, LOOP, Vlan, v.v. (thực tế, nhiều, nhiều, nhiều hơn nữa).
  • Đọc dữ liệu trực tiếp trên mạng của dây điện tử hoặc từ tệp tcpdump.
  • Hỗ trợ độ phân giải tên tiêu chuẩn
  • Kể từ phiên bản mới nhất, GUI đã được chuyển sang GTK3, mang lại trải nghiệm thú vị hơn.

CommView

Nếu bạn là một cửa hàng độc quyền của Windows và đánh giá cao sự tiện lợi của hỗ trợ ưu tiên, CommView được khuyến khích. Nó là một công cụ phân tích lưu lượng mạng mạnh mẽ với các tính năng nâng cao như phân tích VoIP, theo dõi từ xa, v.v., được tích hợp sẵn.

Điều khiến tôi ấn tượng nhất là khả năng xuất dữ liệu thành các định dạng được sử dụng bởi một số định dạng mở và độc quyền, như Sniffer®, EtherPeek ™, AiroPeek ™, Observer®, NetMon, Wireshark / Tcpdump và Wireshark / pcapng, và thậm chí cả hex.

Khám phá Wifi

Cuối cùng trong danh sách là Khám phá Wifi, trong đó có phiên bản miễn phí cho Windows và phiên bản Tiêu chuẩn cho Windows và macOS. Nếu phân tích mạng WiFi là tất cả những gì bạn cần (gần như là tiêu chuẩn hiện nay), thì Wifi Explorer sẽ giúp cuộc sống trở nên dễ dàng.

Nó là một công cụ được thiết kế đẹp mắt và giàu tính năng để cắt thẳng vào trung tâm của mạng.

Đề cập đến danh dự: Sẽ là một sự bất lợi khi đóng bài đăng này mà không đề cập đến một bộ phân tích mạng độc quyền macOS mà tôi tình cờ thấy – Snitch nhỏ. Nó có một tường lửa được tích hợp sẵn, vì vậy đi kèm với lợi ích bổ sung là ngay lập tức cho phép bạn kiểm soát tất cả lưu lượng truy cập một cách hoàn hảo (có vẻ là một nỗi đau, nhưng là một lợi ích lớn trong thời gian dài).

Nếu bạn đang muốn xây dựng một sự nghiệp về mạng và bảo mật, thì hãy xem một số khóa học trực tuyến tốt nhất ở đây.

Không có gì trong cuộc sống là hoàn hảo hay trọn vẹn, và điều tương tự cũng xảy ra với danh sách này.

Tôi chắc chắn có rất nhiều máy phân tích gói miễn phí / thương mại / phát triển (sniffers) khác mà tôi đã bỏ lỡ. Nếu vậy, hãy giúp tôi làm cho bài viết này tốt hơn với đầu vào của bạn. ?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map