10 Analizoare de pachete de rețea pentru administratorii de sistem și analiștii de securitate

Rețeaua dvs. este coloana vertebrală a operațiunilor dvs. de afaceri. Asigurați-vă că știți ce se întâmplă în interiorul său.


În multe privințe, peisajul pentru întreprinderile digitale a cunoscut o revoluție sau două. Ce a început la fel de simplu Scripturi CGI scris în Perl a înflorit acum în implementări grupate care rulează complet automatizate Kunernetes și alte cadre de orchestrare (îmi pare rău pentru jargonul greoi – nu mă rezolv deloc, ci doar așa stau lucrurile în aceste zile!).

O aplicație web tipică containerizată și distribuită modern (sursa: medium.com)

Dar nu mă pot abține să zâmbesc la gândul că elementele fundamentale sunt în continuare aceleași ca în anii ’70.

Tot ce avem este abstracții de la abstracții suportate de cabluri fizice dure, care formează rețeaua (bine, există rețele virtuale sunt bine, dar ai ideea). Dacă dorim să ne înfățișăm, putem împărți rețeaua în straturi conform Model OSI, dar toate cele spuse și făcute, ne ocupăm întotdeauna Protocoale TCP / IP (avertizare, citire intensă!), ping-uri, routere, toate având un obiectiv în comun – transmiterea pachetelor de date.

Deci, ce este un pachet de rețea?

Indiferent ce facem – chat, streaming video, jocuri, navigare, cumpărare de lucruri – este în esență un schimb de pachete de date între două computere (rețele). Un „pachet” este cea mai mică unitate de informații care curge într-o rețea (sau între rețele) și există o metodă bine definită de construire și verificare a pachetelor de rețea (dincolo de obiectul acestui articol, dar dacă vă simțiți aventuros, iată Mai Mult).

Fluxul de pachete într-o rețea (sursa: training.ukdw.ac.id)

În termeni mai simpli, fiecare pachet reprezintă o legătură în lanț și este transmis corect la sursă și validat la destinație. Chiar dacă un singur pachet iese sau comandă, procesul este suspendat până când toate pachetele din ordinea corectă au fost primite și numai atunci sunt alcătuite pentru a forma datele pe care le-au reprezentat inițial (o imagine, de exemplu).

Acum că am înțeles ce este o rețea, devine să înțelegem ce face un analizator de rețea. Este un instrument care vă permite să aruncați o privire în pachete individuale din rețeaua dvs..

Dar de ce ai vrea să te duci la acea problemă? Să discutăm în continuare.

De ce trebuie să analizăm pachetele?

Se pare că pachetele sunt aproape blocurile de bază dintr-un flux de date din rețea, la fel ca atomii stau la baza întregii materii (da, știu, acestea nu sunt adevărate particule fundamentale, dar este o analogie suficient de bună pentru scopurile noastre) . Și când vine vorba de analiza materialelor sau gazelor, nu ne deranjăm niciodată ce face un atom individual; deci, de ce să vă faceți griji pentru un singur pachet de rețea la nivel individual? Ce putem ști altceva decât știm deja?

Este greu să vinzi importanța analizei la nivel de pachete atunci când nu ai mai fost mușcat în spate înainte, dar voi încerca.

Analiza pachetelor înseamnă să-ți murdărești mâinile și să ajungi în plumbing pentru a-ți da seama de ceva. În general, trebuie să analizați pachetele de rețea atunci când toate celelalte au eșuat. De obicei, aceasta include scenarii aparent lipsite de speranță, după cum urmează:

  • Pierderea inexplicabilă a datelor secrete, în ciuda unei încălcări evidente
  • Diagnosticarea aplicațiilor lente atunci când se pare că nu există nicio dovadă
  • Asigurați-vă că computerul / rețeaua dvs. nu a fost compromisă
  • Dovada sau respingerea faptului că un atacator nu este piggybacking oprit din WiFi
  • Înțeleg de ce serverul tău este blocajul, în ciuda traficului redus

În total, analiza pachetelor se încadrează în anumite tipuri de dovezi dificile. Dacă știți să efectuați o analiză de pachete și să aveți o instantanee, vă puteți salva de a fi acuzat greșit de un hack sau pur și simplu de a fi blamat ca un dezvoltator incompetent sau administrator de sistem.

Este vorba despre creier! (sursa: dailydot.com)

În ceea ce privește o poveste reală, cred că acest comentariu la postarea de pe blog a fost găsit aici este excepțional (reprodus aici în caz):

O aplicație critică pentru compania mea a prezentat probleme de performanță, a căzut pe fața sa în implementarea clienților. A fost o aplicație de stabilire a prețurilor pe acțiuni folosită în fruntea fabricilor de marcat în companii financiare din întreaga lume. Dacă aveți un 401 (k) în jurul anului 2000, probabil că depindea de această aplicație. Am făcut o analiză a tipului pe care l-ați descris, în special comportamentul TCP. Am identificat problema ca fiind în implementarea TCP de către vânzătorul de sistem. Comportamentul buggy a fost că, de fiecare dată când stiva de trimitere a intrat în controlul congestiei, nu s-a recuperat niciodată. Aceasta a dus la o fereastră de trimitere comic mică, uneori doar câțiva multipli de MSS.

A durat ceva timp luptându-mă cu managerii de cont și cu oamenii de asistență pentru dezvoltatori de la furnizorul de sisteme de operare care nu au înțeles problema, explicația mea sau că problema * nu ar putea fi * în aplicație, deoarece aplicația ignoră în mod fericit mașinile TCP. Era ca și cum ai vorbi cu un zid. Am început la pătratul unu cu fiecare convorbire. Până la urmă am ajuns la telefon cu un tip cu care aș putea avea o discuție bună. Se dovedește că a pus extensiile RFC1323 în stivă! A doua zi am avut un plasture la sistemul de operare în mâini, iar produsul a funcționat perfect din acel moment.

Dezvoltatorul a explicat că a existat o eroare care a determinat ACK-urile primite * cu sarcini utile * să fie clasificate incorect ca DUPACK-uri atunci când stiva era în control de congestie.

Acest lucru nu s-ar întâmpla niciodată cu aplicații semi-duplex, cum ar fi HTTP, dar aplicația pe care o susțineam a trimis date bidirecțional pe soclu în orice moment..

Nu am avut o tonă de sprijin din partea managementului la acea vreme (managerul meu chiar mi-a strigat pentru „a dori întotdeauna să folosească un sniffer” pentru a remedia problemele) și nimeni în afară de mine nu privea implementarea TCP a vânzătorului de sistem ca sursă a problemei. Lupta de soluționare de la vânzătorul de sistem de operare a făcut ca această victorie să fie deosebit de dulce, mi-a câștigat o tonă de capital pentru a face propriul meu lucru și a dus la cele mai interesante probleme apărute pe biroul meu.

Mintea suflată!

În cazul în care nu vi s-a părut că ați citit această placă de text sau dacă nu a avut prea mult sens, acest domn s-a confruntat cu probleme de performanță care au fost acuzați de aplicația sa, iar conducerea, așa cum era de așteptat, a acordat sprijin zero. A fost doar o analiză minuțioasă a pachetelor care a dovedit că problema nu se află în aplicație, ci în modul în care sistemul de operare gestiona protocolul de rețea!

Soluția nu a fost un reglaj în aplicație, ci un patch al dezvoltatorilor de sisteme de operare! ��

Băiete, băiete. . . Fără analize la nivel de pachete, unde credeți că ar fi această persoană? Probabil că nu mai este de serviciu. Dacă acest lucru nu vă convinge despre importanța analizei pachetelor (numită și adulmecarea pachetelor), nu știu ce va face. ��

Acum, că știți că analiza pachetelor este o superputere, am o veste bună: nu este deloc dificil să fac acest lucru!

Datorită analizatorilor de pachete (sniffers) puternici, dar ușor de utilizat, informațiile culese din analiza la nivel de pachete pot fi la fel de ușoare precum citirea unui tablou de bord de vânzări. Acestea fiind spuse, veți avea nevoie de ceva mai mult decât de o cunoaștere la nivel de suprafață a ceea ce se întâmplă în interiorul unei rețele. Dar, din nou, nu există nici o știință a rachetelor aici, nici o logică răsucită pentru a stăpâni – doar bunul simț comun.

Dacă începeți să citiți documentația unuia dintre aceste instrumente pe măsură ce le utilizați în rețeaua dvs., în curând veți fi un expert. ��

Wireshark

Wireshark este un proiect vechi (a început mult în 1998), care este în mare parte standardul industriei când vine vorba de scufundări în rețele. Este impresionant când consideri că este doar o organizație condusă de voluntari, susținută de unii sponsori generoși. Wireshark rămâne open source (nu pe GitHub, dar se poate găsi codul aici) și chiar are o tehnologie conferinţă la numele ei!

Printre numeroasele capabilități ale Wireshark se numără:

  • Asistență pentru sute de protocoale de rețea.
  • Interoperabil cu multe formate de fișiere (tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (comprimat și necomprimat), Sniffer® Pro și NetXray®, etc..
  • Rulați pe toate platformele de acolo (Linux, Windows, macOS, Solaris, FreeBSD și multe altele).
  • Citirea datelor în direct de la Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, printre altele.
  • Decompresia gzip on-the-fly.
  • Sunt acceptate o mulțime de protocoale de decriptare (WPA / WPA2, SNMPv3, etc.)
  • Analiză VoIP extinsă
  • Reguli de colorat pentru o scanare vizuală mai rapidă

Consultați acest curs online fantastic pentru te învață să stăpânești Wireshark.

tcpdump

Dacă ești școală veche (citește linia de comandă a hardcore-ului), tcpdump este pentru tine.

Este o alta dintre aceste utilități iconice Linux (precum curl), care rămâne la fel de relevantă ca oricând, atât de mult încât aproape toate celelalte instrumente „mai fantastice” se bazează pe el. Așa cum am mai spus, nu există un mediu grafic, ci instrumentul este mai mult decât compensează.

Dar instalarea acesteia poate fi o durere; în timp ce tcpdump vine la pachet cu majoritatea distribuțiilor Linux moderne, dacă nu a ta, atunci va trebui să construiești din sursă.

Comenzile tcpdump sunt scurte și simple, menite să rezolve o anumită problemă, cum ar fi:

  • Afișarea tuturor interfețelor disponibile
  • Capturarea uneia dintre interfețe
  • Salvarea pachetelor capturate în fișier
  • Capturarea numai a pachetelor eșuate

. . . si asa mai departe.

Dacă nevoile dvs. sunt simple și trebuie să rulați o scanare rapidă, tcpdump poate fi o opțiune excelentă de luat în considerare (mai ales dacă tastați tcpdump și găsiți că este deja instalat!).

NetworkMiner

Promovarea ca instrument criminalistic de rețea criminalistică (FNAT), NetworkMiner este unul dintre cei mai buni analizatori la nivel de pachet. Este un instrument open source care poate analiza pasiv o rețea și vine cu o interfață GUI impresionantă pentru analiză care poate afișa imagini individuale și alte fișiere transferate.

Dar asta nu este tot. NetworkMiner vine cu alte funcții excelente, cum ar fi:

  • Asistență IPv6
  • Analizarea fișierelor PCAP
  • Extrageți certificatele X.509 din traficul criptat SSL
  • Pcap-over-IP
  • Funcționează cu mai multe tipuri de trafic, precum FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3, etc..
  • Amprentarea sistemelor de operare
  • Localizare IP geo
  • Suport de script pentru linia de comandă

Rețineți că unele dintre aceste funcții sunt disponibile în versiunea comercială.

Lăutar

Spre deosebire de alte sniffere pasive din rețea, Lăutar este ceva care se află între dispozitivul dvs. și lumea exterioară și, prin urmare, necesită o configurare (de aceea l-au numit „Fiddler”? ��).

Este un instrument gratuit personalizabil (folosind FiddlerScript) care are o istorie lungă și distinsă, așa că dacă obiectivul tău este să adulci traficul HTTP / HTTPS precum un șef, Fiddler este calea de urmat..

Aveți multe lucruri de făcut cu Fiddler, mai ales dacă aveți chef de a da capucă hackerului:

  • Manipularea sesiunii: Extrageți anteturile HTTP deschise și datele sesiunii, modificându-le în orice mod doriți.
  • Testare de securitate: Vă permite să simulați atacurile omului în mijloc și decriptați tot traficul HTTPS pentru dvs..
  • Test de performanta: Analizați timpii de încărcare a paginii (sau răspunsul API) și vedeți ce parte a răspunsului este gâtul de blocare.

În cazul în care te simți pierdut, documentație este foarte bun și este foarte recomandat.

WinDump

Dacă vă lipsește simplitatea tcpdump și doriți să o aduceți la sistemele dvs. Windows, spune salut WinDump. Odată instalat, funcționează de la linia de comandă tastând „tcpdump” la fel cum funcționează utilitatea pe sistemele Linux.

Rețineți că nu există nimic de instalat în sine; WinDump este un binar care poate fi rulat imediat, cu condiția să aveți instalată o implementare a bibliotecii Pcap (npcap este recomandat deoarece winpcap nu mai este în dezvoltare).

OmniPeek

Pentru rețelele mai mari care au tone de MB de date care trec prin ele în fiecare secundă, instrumentele pe care le folosesc toți ceilalți pot rămâne fără aburi. Dacă vă confruntați la fel, OmniPeek s-ar putea să merite o privire.

Este un instrument performant, de analiză și criminalistică pentru analiza rețelelor, mai ales atunci când aveți nevoie atât de capacități la nivel scăzut, cât și de tablouri de bord complexe.

Sursa: sniffwifi.com

Dacă sunteți o organizație mai mare care caută o ofertă serioasă, un proces de 30 de zile este disponibil aici.

Capsa

Dacă tot ce vă preocupă este platforma Windows, Capsa este de asemenea un pretendent serios. Este disponibil în trei versiuni: gratuit, standard și enterprise, fiecare având capacități diferite.

Acestea fiind spuse, chiar și versiunea gratuită acceptă peste 300 de protocoale și are caracteristici interesante precum alertele (declanșate atunci când sunt îndeplinite anumite condiții). Oferta standard este o notă de mai sus, care acceptă 1000+ protocoale și vă permite să analizați conversațiile și să reconstruiți fluxurile de pachete.

În total, o opțiune solidă pentru utilizatorii Windows.

EtherApe

Dacă sunt vizualizări puternice și open source, EtherApe este o opțiune excelentă. În timp ce binarele preconstruite sunt disponibile doar pentru o mână de distros Linux, sursa este disponibilă (atât la SourceForge, cât și la GitHub), deci construirea de unul singur este o opțiune.

Iată ce face EtherApe grozav după părerea mea:

  • Monitorizare cu mai multe noduri, cu coduri de culori.
  • Asistență pentru o tonă de formate de pachete precum ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN etc. (de fapt, multe, multe, mai multe).
  • Citiți datele în direct de pe „fir” sau dintr-un fișier tcpdump.
  • Suportă rezoluția standard a numelor
  • Începând cu cele mai recente versiuni, GUI a fost mutată în GTK3, rezultând o experiență mai plăcută.

CommView

Dacă sunteți un magazin exclusiv pentru Windows și apreciați comoditatea asistenței prioritare, CommView este recomandat. Este un analizator puternic de trafic de rețea, cu funcții avansate, cum ar fi analiza VoIP, urmărirea de la distanță etc..

Ceea ce m-a impresionat cel mai mult este capacitatea sa de a exporta date în formate utilizate de mai multe formate deschise și proprietate, cum ar fi Sniffer®, EtherPeek ™, AiroPeek ™, Observer®, NetMon, Wireshark / Tcpdump și Wireshark / pcapng, și chiar groapă cu hex..

Wifi Explorer

Ultimul pe listă este Wifi Explorer, care are o versiune gratuită pentru Windows și o versiune Standard pentru Windows și macOS. Dacă analiza rețelei WiFi este tot ceea ce aveți nevoie (care este practic standard în zilele noastre), atunci Wifi Explorer vă va ușura viața.

Este un instrument frumos proiectat și bogat în funcții pentru a tăia drept în inima rețelei.

Menționare onorabilă: Ar fi un diserviciu să închidem această postare fără a menționa un analizator de rețea exclusiv macOS pe care l-am păcălit – Micul Snitch. Are un firewall încorporat, astfel că aduce avantajul suplimentar de a vă permite imediat să controlați perfect traficul (ceea ce poate părea o durere, dar este un câștig masiv pe termen lung).

Dacă doriți să vă construiți o carieră în rețea și securitate, consultați o parte din cele mai bune cursuri online aici.

Nimic din viață nu este perfect sau complet și același lucru este valabil și cu această listă.

Sunt sigur că există o mulțime de alți analizatori de pachete (sniffers) gratuite / comerciale / în curs de dezvoltare. Dacă da, vă rugăm să mă ajutați să îmbunătățesc acest articol cu ​​ajutorul intrărilor dvs.. ?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map