10 сетевых анализаторов пакетов для системных администраторов и аналитиков безопасности

Ваша сеть является основой ваших бизнес-операций. Убедитесь, что вы знаете, что происходит глубоко внутри него.


Во многом ландшафт цифрового бизнеса пережил революцию или две. Что началось так просто CGI-скрипты написанный на Perl, теперь превратился в кластерное развертывание, полностью автоматизированное на Kunernetes и другие структуры оркестровки (извините за тяжелый жаргон – я не придумываю это; это просто так, как сейчас!).

Типичное контейнерное распределенное современное веб-приложение (источник: medium.com)

Но я не могу не улыбнуться при мысли, что основы остаются такими же, какими они были в 1970-х годах..

Все, что у нас есть, это абстракции на абстракциях, поддерживаемые жесткими физическими кабелями, которые образуют сеть (хорошо, есть виртуальные сети, но вы понимаете). Если мы хотим стать модными, мы можем разделить сеть на слои в соответствии с Модель OSI, но все сказано и сделано, мы всегда, всегда имеем дело с Протоколы TCP / IP (предупреждение, большое чтение впереди!), эхо-запросы, маршрутизаторы, все из которых имеют одну общую цель – передача пакетов данных.

Итак, что такое сетевой пакет?

Неважно, что мы делаем – общаемся, транслируем видео, играем, серфим, покупаем вещи – по сути, это обмен пакетами данных между двумя компьютерами (сетями). «Пакет» – это наименьшая единица информации, передаваемой в сети (или между сетями), и существует четко определенный метод построения и проверки сетевых пакетов (выходящий за рамки данной статьи, но если вы чувствуете себя авантюрным, вот Больше).

Поток пакетов в сети (источник: training.ukdw.ac.id)

Проще говоря, каждый пакет представляет собой ссылку в цепочке и должным образом передается в источнике и проверяется в пункте назначения. Даже если один пакет поступает или заказывает, процесс приостанавливается до тех пор, пока все пакеты в правильном порядке не будут получены, и только тогда они собираются вместе, чтобы сформировать данные, которые они первоначально представляли (например, изображение).

Теперь, когда мы понимаем, что такое сеть, становится понятно, что делает сетевой анализатор. Это инструмент, который позволяет вам просматривать отдельные пакеты в вашей сети.

Но почему вы хотите пойти на эту проблему? Давайте обсудим это дальше.

Зачем нам анализировать пакеты?

Похоже, что пакеты в значительной степени являются основными строительными блоками в потоке сетевых данных, подобно тому, как атомы являются основой всей материи (да, я знаю, это не настоящие фундаментальные частицы, но это достаточно хорошая аналогия для наших целей) , И когда дело доходит до анализа материалов или газов, мы никогда не беспокоимся о том, что делает отдельный атом; Итак, зачем беспокоиться об одном сетевом пакете на индивидуальном уровне? Что мы можем знать, кроме того, что мы уже знаем?

Трудно продать важность анализа на уровне пакетов, когда вы не были укушены ранее, но я попытаюсь.

Пакетный анализ означает, что ваши руки пачкаются и уходят в самую канализацию, чтобы что-то выяснить. Как правило, вам нужно анализировать сетевые пакеты, когда все остальное не удалось. Как правило, это включает в себя, казалось бы, безнадежные сценарии следующим образом:

  • Необъяснимая потеря секретных данных, несмотря на отсутствие явного нарушения
  • Диагностика медленных приложений, когда нет никаких доказательств
  • Убедитесь, что ваш компьютер / сеть не были скомпрометированы
  • Доказать или опровергнуть, что злоумышленник не продажа с нагрузкой от вашего WiFi
  • Выяснить, почему ваш сервер является узким местом, несмотря на низкий трафик

В общем, анализ пакетов подпадает под определенные, жесткие доказательства. Если вы знаете, как проводить анализ пакетов и у вас есть моментальный снимок, вы можете уберечь себя от неправомерного обвинения во взломе или просто обвинения в качестве некомпетентного разработчика или системного администратора..

Это все о мозгах! (источник: dailydot.com)

Что касается реальной истории, я думаю, что этот комментарий на блоге найден Вот Исключительно (воспроизведено здесь на всякий случай):

Приложение, критически важное для моей компании, демонстрировало проблемы с производительностью, падало на ноги при развертывании клиентов. Это было приложение для ценообразования на акциях, которое использовалось во главе финансовых компаний во всем мире. Если у вас был 401 (k) около 2000 года, это, вероятно, зависело от этого приложения. Я провел анализ того типа, который вы описывали, в частности, поведение TCP. Я обнаружил, что проблема заключается в реализации TCP от поставщика ОС. Поведение глючило так: всякий раз, когда отправляющий стек переходил в управление перегрузкой, он никогда не восстанавливался. Это привело к комично маленькому окну отправки, иногда всего несколько кратных MSS.

Потребовалось некоторое время, чтобы бороться с менеджерами по работе с клиентами и специалистами по поддержке разработчиков в поставщике ОС, которые не понимали проблему, мое объяснение или то, что проблема * не могла быть * в приложении, потому что приложение, к счастью, не знает о махинациях TCP. Это было похоже на разговор со стеной. Я начинал с нуля с каждой телефонной конференцией. В конце концов я связался по телефону с парнем, с которым я мог хорошо поговорить. Оказывается, он положил расширения RFC1323 в стек! На следующий день у меня в руках был патч для ОС, и с этого момента продукт работал отлично.

Разработчик объяснил, что была ошибка, из-за которой входящие ACK * с полезными нагрузками * были неверно классифицированы как DUPACK, когда стек находился в контроле перегрузки.

Этого никогда не произойдет с полудуплексными приложениями, такими как HTTP, но приложение, которое я поддерживал, всегда отправляло данные в сокете двунаправленно.

В то время у меня не было тонны поддержки со стороны руководства (мой менеджер даже кричал на меня за то, что «я всегда хотел использовать сниффер» для решения проблем), и никто, кроме меня, не рассматривал реализацию TCP поставщика ОС как источник проблемы. Самостоятельная борьба с решением производителя ОС сделала эту победу особенно сладкой, я заработал кучу денег, чтобы заняться своими делами, и привел к появлению самых интересных проблем на моем столе..

Унесенные разумом!

В случае, если вам не хотелось читать этот кусок текста, или если это не имело особого смысла, этот джентльмен сталкивался с проблемами производительности, которые обвиняли в его приложении, и руководство, как и ожидалось, оказывало нулевую поддержку. Только тщательный анализ пакетов показал, что проблема не в приложении, а в том, как операционная система обрабатывает сетевой протокол.!

Исправление было не настройкой приложения, а патчем от разработчиков операционной системы! ��

Мальчик, о, мальчик. , , Как вы думаете, где этот человек будет без анализа на уровне пакетов? Вероятно, из его работы. Если это не убедит вас в важности анализа пакетов (также называемого анализом пакетов), я не знаю, что будет. ��

Теперь, когда вы знаете, что анализ пакетов является сверхдержавой, у меня есть хорошие новости: это не так сложно сделать.!

Благодаря мощным, но простым в использовании анализаторам пакетов (снифферам), сбор информации из анализа на уровне пакетов может быть таким же простым, как чтение панели мониторинга продаж. Тем не менее, вам потребуется немного больше, чем поверхностное знание того, что происходит внутри сети. Но опять же, здесь нет ракетостроения, нет извращенной логики – просто здравый смысл.

Если вы начнете читать документацию одного из этих инструментов по мере их использования в своей сети, довольно скоро вы станете экспертом. ��

Wireshark

Wireshark Это старый проект (он начался еще в 1998 году), который в значительной степени является отраслевым стандартом, когда речь идет о погружении в сети. Это впечатляет, если учесть, что это чисто добровольная организация, поддерживаемая некоторыми щедрыми спонсорами. Wireshark остается открытым исходным кодом (не на GitHub, но код можно найти Вот) и даже имеет технику конференция к его названию!

Среди множества возможностей Wireshark:

  • Поддержка сотен сетевых протоколов.
  • Совместим со многими форматами файлов (tcpdump (libpcap), Pcap NG, Catapult DCT2000, iplog Cisco Secure IDS, Microsoft Network Monitor, Network General Sniffer® (сжатый и несжатый), Sniffer® Pro, NetXray® и т. Д.).
  • Работать практически на всех платформах (Linux, Windows, macOS, Solaris, FreeBSD и др.).
  • Чтение данных в реальном времени из Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring и других.
  • Декомпрессия gzip на лету.
  • Поддерживается множество протоколов расшифровки (WPA / WPA2, SNMPv3 и т. Д.)
  • Обширный анализ VoIP
  • Правила раскраски для более быстрого визуального сканирования

Проверьте этот фантастический онлайн курс научить вас овладевать Wireshark.

ТСРйитр

Если ты старая школа (читай хардкорный наркоман из командной строки), ТСРйитр для вас.

Это еще одна из этих знаковых утилит Linux (например, curl), которая остается такой же актуальной, как и прежде, настолько, что на ней основываются почти все другие «более интересные» инструменты. Как я уже говорил, графической среды нет, но инструмент более чем компенсирует это.

Но установка может быть болезненной; В то время как tcpdump поставляется в комплекте с большинством современных дистрибутивов Linux, если у вас его нет, вам придется в конечном итоге собирать из исходного кода.

Команды tcpdump являются короткими и простыми и направлены на решение определенной проблемы, такой как:

  • Отображение всех доступных интерфейсов
  • Захват только одного из интерфейсов
  • Сохранение перехваченных пакетов в файл
  • Захват только неудачных пакетов

. . . и так далее.

Если ваши потребности просты, и вам нужно запустить быстрое сканирование, tcpdump может быть отличным вариантом (особенно, если вы наберете tcpdump и обнаружите, что он уже установлен!).

NetworkMiner

Продвигать себя в качестве инструмента анализа судебной сети (FNAT), NetworkMiner является одним из лучших анализаторов уровня пакетов, с которыми вы когда-либо сталкивались. Это инструмент с открытым исходным кодом, который может анализировать сеть пассивно и поставляется с впечатляющим графическим интерфейсом для анализа, который может отображать отдельные изображения и другие файлы, передаваемые.

Но это не все. NetworkMiner поставляется с отличными другими функциями, такими как:

  • Поддержка IPv6
  • Разбор файлов PCAP
  • Извлечение сертификатов X.509 из зашифрованного трафика SSL
  • Pcap поверх IP
  • Работает с несколькими типами трафика, такими как FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 и т. Д..
  • ОС дактилоскопия
  • Гео IP локализация
  • Поддержка сценариев командной строки

Обратите внимание, что некоторые из этих функций доступны в коммерческой версии.

обманщик

В отличие от других пассивных сетевых снифферов, обманщик это то, что находится между вашим устройством и внешним миром и, следовательно, требует некоторой настройки (вот почему они назвали это «Fiddler»? ��).

Это настраиваемый (с использованием FiddlerScript) бесплатный инструмент, имеющий длинную и выдающуюся историю, поэтому, если ваша цель состоит в том, чтобы перехватывать HTTP / HTTPS-трафик, как босс, Fiddler – это то, что нужно.

С Fiddler вы можете многое сделать, особенно если у вас есть желание надеть хакерскую толстовку:

  • Манипуляция сессией: Разрывать заголовки HTTP и данные сеанса, изменяя их так, как вы хотите.
  • Тестирование безопасности: Позволяет моделировать атаки типа «человек посередине» и расшифровывает весь трафик HTTPS..
  • Тестирование производительности: Проанализируйте время загрузки страницы (или ответ API) и посмотрите, какая часть ответа является узким местом.

Если вы чувствуете себя потерянным, документация очень хорошо и очень рекомендуется.

WinDump

Если вы упустили простоту tcpdump и хотите перенести ее в свои системы Windows, передайте привет WinDump. После установки он работает из командной строки, набирая «tcpdump» так же, как утилита работает в системах Linux.

Обратите внимание, что устанавливать по сути нечего; WinDump – это двоичный файл, который можно запустить сразу, если у вас установлена ​​реализация библиотеки Pcap (npcap рекомендуется, так как winpcap больше не находится в разработке).

OmniPeek

Для больших сетей, в которых через каждую секунду проходят тонны МБ данных, инструменты, которые все остальные используют, могут выдыхаться. Если вы сталкиваетесь с тем же, OmniPeek может быть стоит посмотреть.

Это инструмент для анализа производительности, аналитики и криминалистики, особенно когда вам нужны как низкоуровневые возможности, так и комплексные панели мониторинга..

Источник: sniffwifi.com

Если ваша организация ищет серьезное предложение, доступна 30-дневная пробная версия. Вот.

Capsa

Если вас беспокоит только платформа Windows, Capsa также серьезный соперник. Он поставляется в трех версиях: бесплатной, стандартной и корпоративной, каждая с различными возможностями..

Тем не менее, даже бесплатная версия поддерживает более 300 протоколов и имеет интересные функции, такие как оповещения (срабатывает при выполнении определенных условий). Стандартное предложение выше, поддерживает более 1000 протоколов и позволяет анализировать разговоры и восстанавливать потоки пакетов..

В общем, хороший вариант для пользователей Windows.

EtherApe

Если вам нужны мощные визуализации и открытый исходный код, EtherApe отличный вариант. Хотя готовые двоичные файлы доступны только для небольшого числа дистрибутивов Linux, исходный код доступен (как на SourceForge, так и на GitHub), поэтому его сборка самостоятельно.

Вот что делает EtherApe великолепным на мой взгляд:

  • Многоузловой мониторинг с цветовой кодировкой.
  • Поддержка множества форматов пакетов, таких как ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN и т. Д. (На самом деле, многие, многие, больше).
  • Чтение данных в реальном времени из «провода» или из файла tcpdump.
  • Поддерживает стандартное разрешение имен
  • В последних версиях графический интерфейс был перенесен на GTK3, что привело к более приятным впечатлениям.

CommView

Если вы магазин для Windows и цените удобство приоритетной поддержки, CommView Рекомендовано. Это мощный анализатор сетевого трафика с расширенными функциями, такими как анализ VoIP, дистанционное отслеживание и т. Д., Встроенный в.

Больше всего меня поразила его способность экспортировать данные в форматы, используемые несколькими открытыми и проприетарными форматами, такими как Sniffer®, EtherPeek ™, AiroPeek ™, Observer®, NetMon, Wireshark / Tcpdump и Wireshark / pcapng, и даже простые шестнадцатеричные дампы.

Wifi Explorer

Последний в списке Wifi Explorer, которая имеет бесплатную версию для Windows и стандартную версию для Windows и macOS. Если анализ WiFi-сети – это все, что вам нужно (что в наши дни является стандартом), то Wifi Explorer сделает жизнь проще.

Это красиво разработанный и многофункциональный инструмент для резки прямо в сердце сети.

Похвальный отзыв: Было бы плохо закрывать этот пост, не упоминая macOS-эксклюзивный сетевой анализатор, на который я наткнулся – Маленькая снитч. В него встроен брандмауэр, поэтому он дает дополнительное преимущество, позволяя немедленно контролировать весь трафик (что может показаться болезненным, но в долгосрочной перспективе это огромный выигрыш).

Если вы хотите построить карьеру в сети и безопасности, то посмотрите некоторые из лучшие онлайн-курсы здесь.

Ничто в жизни не является совершенным или полным, и то же самое относится и к этому списку..

Я уверен, что есть много других бесплатных / коммерческих / разрабатываемых анализаторов пакетов (анализаторов), которые я пропустил. Если да, пожалуйста, помогите мне улучшить эту статью с вашими комментариями. ?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map