10 hálózati csomag analizátor a rendszergazdák és a biztonsági elemzők számára

Hálózata az üzleti tevékenységek gerince. Győződjön meg róla, hogy tudja, mi folyik benne.


Sok szempontból a digitális vállalkozások helyzete két vagy két forradalmat jelentett. Mi kezdődött egyszerűen CGI szkriptek A Perl-ben írt fürtözött csoportokba már teljesen automatizált futó telepítések nyíltak Kunernetes és más hangszerelési keretek (sajnálom a nehéz zsargonot – egyáltalán nem állom ki; ez manapság csak így van!).

Egy tipikus, konténeres, elosztott modern webalkalmazás (forrás: medium.com)

De nem tudok segíteni, csak elmosolyodom azon a gondolaton, hogy az alapok továbbra is ugyanazok, mint az 1970-es években.

Csak absztrakciók vannak absztrakciókon, amelyeket kemény, fizikai kábelek támogatnak, amelyek a hálózatot alkotják (oké, vannak virtuális hálózatok is, de megkapod az ötletet). Ha szeretnénk divatossá válni, akkor a hálózatot rétegekre oszthatjuk, az egy szerint OSI modell, de mindazt, amit mondtak és tettünk, mindig, mindig foglalkozunk TCP / IP protokollok (figyelmeztetés, nehéz olvasás előre!), ping-ek, útválasztók, amelyeknek mindkettőnek van egy közös célja – az adatcsomagok továbbítása.

Szóval, mi az a hálózati csomag?

Nem számít, mit csinálunk – beszélgetünk, video-streaming, játék, szörfözés, cucc vásárlás – ez lényegében adatcserék cseréje két számítógép (hálózat) között. A „csomag” a hálózatban (vagy a hálózatok között) áramló információ legkisebb egysége, és van egy jól meghatározott módszer a hálózati csomagok létrehozására és ellenőrzésére (e cikk hatályán kívül esik, de ha kalandosnak érzi magát, itt van) több).

Csomagáramlás hálózatban (forrás: training.ukdw.ac.id)

Egyszerűbben fogalmazva: minden csomag egy linket képvisel a láncban, és megfelelően továbbítja a forrásnál, és érvényesíti a rendeltetési helyen. Még ha egyetlen csomag is megjelenik vagy megrendelésre kerül, a folyamat felfüggesztésre kerül, amíg az összes csomag a megfelelő sorrendben meg nem érkezik, és csak akkor kerülnek összeállításra, hogy az eredetileg képviselt adatok legyenek (például egy kép).

Most, hogy megértjük, mi a hálózat, megértjük, hogy mit tesz a hálózati elemző. Ez egy olyan eszköz, amely lehetővé teszi a hálózat egyes csomagjainak betekintését.

De miért akarna menni ebbe a bajba? Beszéljünk erről a következőről.

Miért kell elemeznünk a csomagokat??

Úgy tűnik, hogy a csomagok nagyjából a hálózati adatáramlás alapvető építőelemei, hasonlóan ahhoz, hogy az atomok minden anyag alapját képezik (igen, tudom, ezek nem igazi alapvető részecskék, de célunk számára elég jó analógia) . És amikor az anyagokat vagy gázokat elemezzük, soha nem zavarjuk, hogy az egyes atomok mit csinálnak; Szóval, miért kell aggódnia egyetlen hálózati csomag miatt egyéni szinten? Mit tudhatunk más, mint amit már tudunk??

Nehéz eladni a csomagszintű elemzés fontosságát, ha korábban még nem haraptak be, de megpróbálom.

A csomagok elemzése azt jelenti, hogy a kezed koszos lesz, és a vízvezetékbe kerülve kitalál valamit. Általában elemeznie kell a hálózati csomagokat, ha minden más meghiúsult. Általában ez magában foglalja a látszólag reménytelen forgatókönyveket, az alábbiak szerint:

  • A titkos adatok megmagyarázhatatlan elvesztése annak nyilvánvaló megsértése ellenére
  • A lassú alkalmazások diagnosztizálása, ha úgy tűnik, hogy nincs bizonyíték
  • Ellenőrizze, hogy a számítógépe / hálózata nem került veszélybe
  • Annak bizonyítása vagy megcáfolása, hogy a támadó nem ráültetéséért ki a WiFi-ről
  • Megtudhatja, hogy miért akadályozza a kiszolgáló az alacsony forgalom ellenére

Összességében a csomagok elemzése bizonyos, nehéz bizonyítékok alá tartozik. Ha tudja, hogyan kell elvégezni a csomag elemzését, és pillanatfelvételt készíthet, megmentheti magát attól, hogy tévesen vádolják a hacket, vagy egyszerűen inkompetens fejlesztőként vagy rendszergazdává válnak..

Az agyról szól! (forrás: dailydot.com)

Ami egy igaz történetet illeti, azt hiszem, ez a megjegyzés a blogbejegyzésben található itt kivételes (itt minden esetre átadásra kerül):

A vállalkozásom számára kritikus alkalmazás teljesítményproblémákat mutatott, és az ügyfelek telepítésekor esett szembe. A tőzsdei árképzési alkalmazás a világ minden tájáról működő pénzügyi vállalatok cégeknél volt használt. Ha 2000 körül 401 (k) volt, akkor ez valószínűleg az alkalmazástól függ. Megvizsgáltam a már ismertetet, különösen a TCP viselkedését. Megállapítottam, hogy a probléma az operátor gyártójának a TCP megvalósításában rejlik. A hibás viselkedés az volt, hogy amikor a küldő verem torlódáscsökkentésbe került, soha nem állt helyre. Ez egy komikusan kicsi küldési ablakot eredményezett, néha csak az MSS néhány párosát.

Beletelt egy ideig ahhoz, hogy küzdjünk a fiókkezelőkkel és a fejlesztői támogató emberekkel az operációs rendszer szállítójánál, akik nem értették a problémát, magyarázatomat vagy azt, hogy a probléma * nem lehet * az alkalmazásban, mert az alkalmazás szerencsésen tudatlan a TCP machinációkkal. Olyan volt, mint egy falnak beszélni. Minden konferenciahívással az első téren kezdtem. Végül felvettem a telefont egy fickóval, akivel jó párbeszédet folytathattam. Kiderül, hogy az RFC1323 kiterjesztéseket a verembe helyezte! Másnap javítással volt a kezemben az operációs rendszer, és a termék ettől a ponttól tökéletesen működött.

A fejlesztő kifejtette, hogy volt egy hiba, amely miatt a beérkező ACK-kat * a hasznos terheléssel * tévesen kategorizálták DUPACK-ekké, amikor a verem torlódásvezérlésben volt.

Ez soha nem fog megtörténni olyan félduplex alkalmazások esetén, mint például a HTTP, de az általam támogatott alkalmazás mindig kétirányú adatokat küldött a foglalaton..

Abban az időben nem volt egy csomó támogatás a menedzsmenttől (a menedzser rám kiabált, hogy „mindig szeretnék szippantót használni” a problémák kijavításához), és senki más, csak én az OS gyártójának TCP megvalósítását vizsgáltam forrásként. a probléma. A javítás birkózása az operációs rendszer gyártójától nagyon kedvesé tette ezt a győzelmet, rengeteg tőkét keresett nekem a saját dolgom elvégzéséhez, és a legérdekesebb problémákhoz vezetett az asztalomon.

Az elme fújt!

Abban az esetben, ha nem érezte, hogy olvassa el ezt a szöveges táblát, vagy ha nem volt értelme, ez az úriember olyan teljesítményproblémákkal néz szembe, amelyeket az ő jelentkezésében hibáztattak, és a menedzsment, ahogy az várható volt, nulla támogatást nyújtott. Csak egy alapos csomag elemzése bizonyította, hogy a probléma nem az alkalmazásban, hanem az, hogy az operációs rendszer hogyan kezeli a hálózati protokollt!

A javítás nem az alkalmazás hangolása volt, hanem az operációs rendszer fejlesztői által végzett javítás! ��

Fiú, ó, fiú. . . Csomagszintű elemzés nélkül Ön szerint hol lenne ez a személy? Valószínűleg kihagyta a munkáját. Ha ez nem győz meg téged a csomag elemzés (más néven csomag szippantás) fontosságáról, nem tudom, mi fog. ��

Most, hogy tudod, hogy a csomagok elemzése szuperhatalom, jó hír van: nem minden nehéz ezt megtenni!

A nagy teljesítményű, mégis egyszerűen használható csomag analizátoroknak (szimatolóknak) köszönhetően a csomagszintű elemzésből származó információk gyűjtése olyan egyszerű lehet, mint az értékesítési irányítópult olvasása. Ennek ellenére egy kicsit többre lesz szüksége, mint felszíni szintű ismeretekre a hálózaton belül zajló eseményekről. De itt megint itt nincs rakétatudomány, nincs csavart logika a mester elsajátításához – csak a józan ész.

Ha elkezdi elolvasni ezen eszközök egyikének dokumentációját, amikor azokat a hálózatán használja, akkor hamarosan szakértő lesz. ��

Wireshark

Wireshark egy régi projekt (1998-ban kezdődött), amely nagyjából megfelel az iparági szabványnak, amikor mélyre merül a hálózatok. Lenyűgöző, ha úgy gondolja, hogy tisztán önkéntes szervezetet képvisel, amelyet néhány nagylelkű szponzor támogat. A Wireshark továbbra is nyílt forrású (nem a GitHubon, de a kód megtalálható) itt) és még van egy technikája konferencia a nevére!

A Wireshark számos lehetősége között megtalálhatók:

  • Támogatás több száz hálózati protokollhoz.
  • Számos fájlformátummal együtt használható (tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (tömörített és tömörítetlen), Sniffer® Pro és NetXray® stb.).
  • Futtatás szinte minden platformon (Linux, Windows, macOS, Solaris, FreeBSD és egyebek).
  • Élő adatolvasás Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring segítségével.
  • Repülés közben gzip dekompresszió.
  • Támogatott dekódolási protokollok tömege (WPA / WPA2, SNMPv3 stb.)
  • Kiterjedt VoIP elemzés
  • Színezési szabályok a gyorsabb vizuális beolvasáshoz

Nézze meg ezt a fantasztikus online tanfolyamot megtanuljuk Wireshark elsajátítására.

tcpdump

Ha régi iskolád vagy (olvassa el a hardcore parancssori drogot), tcpdump neked.

Ez egy olyan ikonikus Linux segédprogram (mint a curl), amely továbbra is releváns, mint valaha, annyira, hogy szinte minden más „rajongó” eszköz ehhez épít. Mint már korábban mondtam, nincs grafikus környezet, de az eszköz több, mint helyettesíti.

De a telepítése fájdalmat okozhat; míg a tcpdump a legújabb Linux disztribúciókhoz tartozik, ha nem a sajátod, akkor a forrásból kell építened.

A tcpdump parancsok rövidek és egyszerűek, amelyek célja egy adott probléma megoldása, például:

  • Az összes elérhető interfész megjelenítése
  • Csak az egyik felület rögzítése
  • A rögzített csomagok mentése fájlba
  • Csak a sikertelen csomagok rögzítése

. . . stb.

Ha az Ön igényei egyszerűek és gyors vizsgálatot kell végezni, a tcpdump remek lehetőség lehet fontolóra venni (különösen, ha a tcpdump gépet írja, és úgy találja, hogy már telepítve van!).

NetworkMiner

Hirdesse magát kriminalisztikai hálózati elemző eszközként (FNAT), NetworkMiner az egyik legjobb csomagszintű elemző, amellyel felmerült. Ez egy nyílt forráskódú eszköz, amely passzív módon képes elemezni a hálózatot, és egy lenyűgöző grafikus felhasználói felülettel rendelkezik elemzésre, amely képes megjeleníteni az egyes képeket és más átvitt fájlokat.

De ez még nem minden. A NetworkMiner kiváló egyéb funkciókkal rendelkezik, például:

  • IPv6 támogatás
  • A PCAP fájlok elemzése
  • Bontsa ki az X.509 tanúsítványokat az SSL titkosított forgalomból
  • Pcap-over-IP
  • Többféle forgalommal működik, például FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 stb..
  • Operációs rendszer ujjlenyomata
  • Geo IP lokalizáció
  • Parancssori szkriptek támogatása

Vegye figyelembe, hogy ezeknek a szolgáltatásoknak a némelyike ​​elérhető a kereskedelmi verzióban.

Hegedűs

Más passzív hálózati szippantókkal ellentétben, Hegedűs valami olyan, ami a készülék és a külvilág között helyezkedik el, és ezért bizonyos beállításokat igényel (miért nevezték ezt “Hegedérnek”? ��).

Ez egy testreszabható (FiddlerScript használatával) ingyenes eszköz, amelynek hosszú és megkülönböztetett előzményei vannak, tehát ha a cél az, hogy a HTTP / HTTPS forgalmat szaglik, mint egy főnök, akkor a Fiddler az út.

Sok mindent megtehetsz a Fiddler-rel, főleg ha úgy érzi, hogy el akarja adni a hackert.

  • Munkamenet manipuláció: Nyissa meg a HTTP fejléceket és a munkamenet adatait, bármilyen módon módosítva.
  • Biztonsági tesztelés: Lehetővé teszi a közép-középső támadások szimulálását és az összes HTTPS-forgalom dekódolását az Ön számára.
  • Teljesítményfelmérés: Elemezze az oldalbetöltési (vagy API-válasz) időket és ellenőrizze, hogy a válasz melyik része a szűk keresztmetszet.

Ha elveszettnek érzi magát, a dokumentáció nagyon jó és nagyon ajánlott.

WinDump

Ha elfelejti a tcpdump egyszerűségét, és el akarja vinni a Windows rendszereire, mondja hello WinDump. A telepítés után a parancssorból működik úgy, hogy beírja a „tcpdump” parancsot, ugyanúgy, ahogyan a segédprogram Linux rendszereken működik.

Vegye figyelembe, hogy önmagában semmit sem kell telepíteni; A WinDump egy bináris fájl, amely azonnal futtatható, ha telepítve van a Pcap könyvtár implementáció (npcap ajánlott, mivel a winpcap már nem fejlesztés alatt áll).

OmniPeek

Nagyobb hálózatok esetén, amelyek rengeteg MB-os adatátvitel folyik át rajtuk másodpercenként, az összes eszköz által használt eszközök elfogyhatnak. Ha ugyanazzal szembesülsz, OmniPeek érdemes megnézni.

Ez egy teljesítmény-, elemzési és kriminalisztikai eszköz a hálózatok elemzéséhez, különösen akkor, ha mind alacsony szintű képességekre, mind átfogó műszerfalakra van szüksége.

Forrás: sniffwifi.com

Ha nagyobb szervezet vagy, amely komoly ajánlatot keres, akkor 30 napos próbaverzió áll rendelkezésre itt.

Capsa

Ha csak aggódsz, a Windows platform, Capsa szintén komoly versenyző. Három változatban érkezik: ingyenes, szabványos és vállalati, mindegyik különféle képességekkel.

De még az ingyenes verzió több mint 300 protokollt támogat, és érdekes funkciókkal rendelkezik, mint például riasztások (bizonyos feltételek teljesülése esetén indul el). A szokásos ajánlat egy fenti bevágás, amely több mint 1000 protokollt támogat, és lehetővé teszi a beszélgetések elemzését és a csomagfolyamok rekonstruálását..

Összességében egy jó lehetőség a Windows felhasználók számára.

EtherApe

Ha erőteljes vizualizációk és nyílt forráskódúak vagytok, akkor utána jársz, EtherApe remek lehetőség. Míg az előre beépített bináris fájlok csak néhány Linux disztróhoz érhetők el, a forrás rendelkezésre áll (mind a SourceForge, mind a GitHub oldalán), így a saját fejlesztése lehetősége.

Íme, ami véleményem szerint az EtherApe-t nagyszerűvé teszi:

  • Több csomópontú, színes kódolású megfigyelés.
  • Tonna olyan csomag formátum támogatása, mint például ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, BOROK, VONAT, LOOP, VLAN stb. (Valójában sok, sok, még sok más).
  • Olvassa el az adatokat közvetlenül a „huzalról” vagy egy tcpdump fájlból.
  • Támogatja a szabványos névfelbontást
  • A legújabb verzióktól kezdve a GUI-t áthelyezték a GTK3-ra, így kellemesebb élményt nyújtanak.

CommView

Ha kizárólag Windows üzlet vagy, és értékeli a prioritási támogatás kényelmét, CommView ajánlott. Ez egy nagy teljesítményű hálózati forgalom elemző, fejlett funkciókkal, például VoIP elemzéssel, távoli követéssel stb., Beépítve.

A leginkább lenyűgözte az a képessége, hogy adatokat exportál több olyan nyílt és védett formátumban, mint például a Sniffer®, EtherPeek ™, AiroPeek ™, Observer®, NetMon, Wireshark / Tcpdump és Wireshark / pcapng, valamint sima hexadecimált formátumokba..

Wifi Explorer

Utoljára a listán van Wifi Explorer, amelynek ingyenes verziója van a Windows számára, és egy szabványos verziója a Windows és a macOS számára. Ha a WiFi hálózat elemzéséhez mindenre van szüksége (ami manapság nagyjából a szokásos), akkor a Wifi Explorer megkönnyíti az életet.

Egy gyönyörűen megtervezett és funkciókban gazdag eszköz, amely egyenesen a hálózat szívébe vág.

Tiszteletteljes megemlítés: Kézbesítés lenne bezárni ezt a bejegyzést anélkül, hogy megemlítenék egy olyan MacOS-exkluzív hálózati elemzőt, amelybe beleakadtam – Kis orr. Beépített tűzfallal rendelkezik, tehát azzal jár, hogy azonnal lehetővé teszi az összes forgalom tökéletes irányítását (ami fájdalomnak tűnik, de hosszú távon jelentős haszonnal jár)..

Ha karrierépítést szeretne létrehozni a hálózati és biztonságtechnika területén, akkor nézzen meg néhányat legjobb online tanfolyamok itt.

Az élet egyetlen sem tökéletes, sem teljes, és ugyanez vonatkozik erre a listára.

Biztos vagyok benne, hogy rengeteg más ingyenes / kereskedelmi / fejlesztés alatt álló csomag-elemző (szippantó) van, amelyekről hiányoztam. Ha igen, kérlek, segítsen nekem jobbá tenni ezt a cikket az Ön bemeneteivel. ?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map