10 Netwerkpakketontleders vir stelseladministrateurs en sekuriteitsanaliste

U netwerk is die ruggraat van u sakebedrywighede. Maak seker dat u weet wat daar binne aangaan.


In baie opsigte het die landskap vir digitale ondernemings ‘n omwenteling of twee beleef. Wat so eenvoudig begin het CGI-skrifte geskryf in Perl het nou geblom in gegroepeerde ontplooiings wat ten volle outomaties loop Kunernetes en ander orkestrasie-raamwerke (jammer vir die swaar jargon – ek maak dit glad nie op nie; dit is net soos dinge deesdae is!).

‘N Tipiese verpakte, verspreide moderne webtoepassing (bron: medium.com)

Maar ek kan nie anders as om te glimlag oor die gedagte dat die grondbeginsels steeds dieselfde is as in die 1970’s nie.

Al wat ons het, is abstraksies op abstraksies wat ondersteun word deur harde, fisiese kabels wat die netwerk vorm (ok, daar is virtuele netwerke is wel, maar jy kry die idee). As ons fancy wil word, kan ons die netwerk in lae verdeel volgens die OSI-model, maar alles gesê en gedaan, ons is altyd besig met altyd TCP / IP-protokolle (waarskuwing, swaar lees vooruit!), pings, routers, wat almal een doel gemeen het – oordrag van datapakkette.

Dus, wat is ‘n netwerkpakket?

Ongeag wat ons doen – gesels, videostroom, spel, surf, dinge koop – dit is in wese ‘n uitruil van datapakkette tussen twee rekenaars (netwerke). ‘N’ Pakket ‘is die kleinste eenheid inligting wat in ‘n netwerk (of tussen netwerke) vloei, en daar is ‘n goed gedefinieerde metode om netwerkpakkies te konstrueer en te verifieer (buite die bestek van hierdie artikel, maar as u avontuurlik voel, is hier meer).

Pakkievloei in ‘n netwerk (bron: training.ukdw.ac.id)

In eenvoudiger terme stel elke pakkie ‘n skakel in die ketting voor, en word korrek by die bron oorgedra en op die bestemming gevalideer. Selfs al kom ‘n enkele pakket uit of bestel, word die proses opgeskort totdat al die pakkies in die regte volgorde ontvang is, en slegs dan word hulle saamgestel om die data te vorm wat hulle oorspronklik voorgestel het (byvoorbeeld ‘n beeld).

Noudat ons verstaan ​​wat ‘n netwerk is, word dit verstaan ​​wat ‘n netwerkanaliseerder doen. Dit is ‘n instrument waarmee u na individuele pakkies op u netwerk kan kyk.

Maar waarom sou u tot die moeilikheid wil gaan? Kom ons bespreek dit volgende.

Waarom moet ons pakkies ontleed??

Dit lyk asof pakkies die basiese boustene in ‘n netwerk-datavloei is, net soos atome die basis van alle materie is (ja, ek weet, dit is nie ware fundamentele deeltjies nie, maar dit is ‘n goeie analogie vir ons doeleindes) . En wat die ontleding van materiale of gasse betref, het ons nooit die moeite gedoen oor wat ‘n individuele atoom doen nie; ja, hoekom bekommerd wees oor ‘n enkele netwerkpakket op individuele vlak? Wat kan ons weet anders as wat ons reeds weet??

Dit is moeilik om die belangrikheid van pakkie-analise te verkoop as u nie vantevore in die rug gebyt is nie, maar ek sal probeer.

Pakkie-analise beteken om u hande vuil te maak en in die loodgieter te werk om iets uit te vind. Oor die algemeen moet u netwerkpakkies ontleed as al die ander dinge misluk het. Tipies bevat dit oënskynlik hopelose scenario’s soos volg:

  • Onverklaarbare verlies van geheime data ten spyte van geen duidelike oortreding nie
  • Die diagnose van stadige toepassings as daar geen bewyse is nie
  • Sorg dat u rekenaar / netwerk nie in die gedrang is nie
  • Bewys of te weerlê dat ‘n aanvaller nie is nie piggybacking van u WiFi af
  • Ontdek waarom u bediener die knelpunt is ondanks lae verkeer

Altesaam val pakkeanalise onder sekere, harde soorte bewyse. As u weet hoe om pakkeanalise uit te voer en ‘n momentopname te maak, kan u uself daarvan weerhou om verkeerdelik van ‘n hack beskuldig te word of bloot as ‘n onbevoegde ontwikkelaar of stelseladministrateur beskuldig word..

Dit gaan alles oor die brein! (bron: dailydot.com)

Wat ‘n regte verhaal betref, dink ek dat hierdie kommentaar op die blogpos gevind is hier is uitsonderlik (hier weergegee net vir geval):

‘N Toepassing vir my onderneming wat prestasieprobleme toon, het op die oog af geval tydens klantontplooiings. Dit was ‘n aandele-prysaansoek wat aan die hoof van ticker-aanlegte in finansiële maatskappye regoor die wêreld gebruik is. As u ongeveer 2000 ‘n 401 (k) gehad het, hang dit waarskynlik van hierdie toepassing af. Ek het ‘n ontleding gedoen van die soort wat u beskryf het, spesifiek TCP-gedrag. Ek het die probleem opgemerk as die implementering van TCP deur die ondernemingsverskaffer. Die foutiewe gedrag was dat dit nooit herstel het sodra die stuurstapel in beheer van opeenhoping was nie. Dit het gelei tot ‘n komiese klein stuurvenster, soms net ‘n paar veelvoude van MSS.

Dit het ‘n rukkie gesukkel met rekeningbestuurders en ondersteunersmense by die OS-ondernemer wat die probleem, my verduideliking, nie verstaan ​​het nie, of dat die probleem * nie * in die aansoek kan wees nie, omdat die toepassing op TCP-masjinerie onkundig is. Dit was soos om teen ‘n muur te praat. Ek begin by vierkant een met elke konferensieoproep. Uiteindelik is ek telefonies met ‘n man met wie ek ‘n goeie gesprek kon voer. Dit blyk dat hy die RFC1323-uitbreidings in die stapel gesit het! Die volgende dag het ek ‘n pleister aan die bedryfstelsel in my hande gehad en die produk het van daardie punt af uitstekend gewerk.

Die ontwikkelaar het verduidelik dat daar ‘n fout was wat veroorsaak het dat die inkomende ACK’s * met loonvragte * verkeerd gekategoriseer is as DUPACK’s toe die stapel in opeenhopingsbeheer was..

Dit sal nooit gebeur met halfdupleks-toepassings soos HTTP nie, maar die aansoek wat ek ondersteun het, het te alle tye data tweerigting op die aansluiting gestuur.

Ek het destyds nie veel ondersteuning van die bestuur gehad nie (my bestuurder het selfs vir my geskreeu dat ek altyd ‘n snuif wou gebruik ‘om probleme op te los), en niemand anders nie het na die TCP-implementering van die OS-verkoper as die bron gekyk. van die probleem. As ek self die fix van die OS-verkoper stoei, het dit ‘n besondere oorwinning vir my gemaak, my ‘n groot hoeveelheid kapitaal verdien om my eie ding te doen, en het gelei tot die interessantste probleme op my tafel.

Verstom!

In die geval dat u nie lus het om die teksblad deur te lees nie, of as dit nie veel sin maak nie, staan ​​hierdie man voor uitvoeringskwessies wat die aansoek om hom beskuldig en die bestuur, soos verwag, nulsteun verleen het. Dit was slegs ‘n deeglike pakketanalise wat bewys het dat die probleem nie in die toepassing was nie, maar dat die bestuurstelsel die netwerkprotokol hanteer!

Die oplossing was nie ‘n funksie in die toepassing nie, maar ‘n pleister deur die ontwikkelaars van die bedryfstelsel! ��

Seuntjie, o, seun. . . Sonder pakkie-vlak-analise, waar dink jy sou hierdie persoon wees? Waarskynlik uit sy werk. As dit u nie oortuig van die belangrikheid van pakkeanalise (ook pakkiesnuffel genoem) nie, weet ek nie wat dit sal doen nie. ��

Noudat u weet dat pakkeanalise ‘n supermag is, het ek goeie nuus: dit is nie alles moeilik om dit te doen nie!

Danksy kragtige, maar eenvoudig te gebruik pakkanaliseerders (snuffelaars), kan inligting oor die pakketvlakontleding so maklik wees soos om ‘n verkoopsdashboard te lees. Dit gesê, u het ‘n bietjie meer nodig as ‘n oppervlakkige kennis van wat binne ‘n netwerk aangaan. Maar dan is daar weer geen raketwetenskap nie, geen gedraaide logika om te bemeester nie – net gewone gesonde verstand.

As u die dokumentasie van een van hierdie instrumente begin deurlees terwyl u dit op u netwerk gebruik, sal u binnekort ‘n kenner wees. ��

Wireshark

Wireshark is ‘n ou projek (dit het al in 1998 begin) wat naastenby die industrie standaard is as dit diep in netwerke duik. Dit is indrukwekkend as u dink dat dit ‘n organisasie is wat vrywilligers bestuur, met ‘n paar vrygewige borge. Wireshark bly open source (nie op GitHub nie, maar die kode kan gevind word hier) en het selfs ‘n tegniese konferensie na sy naam!

Van die vele vermoëns van Wireshark is:

  • Ondersteuning vir honderde netwerkprotokolle.
  • Interoperabel met baie lêerformate (tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (gekomprimeerd en ongecomprimeerd), Sniffer® Pro en NetXray®, ensovoorts).
  • Hardloop op feitlik alle platforms daar buite (Linux, Windows, macOS, Solaris, FreeBSD, en meer).
  • Regstreekse datalesing vanaf Ethernet, IEEE 802.11, PPP / HDLC, OTM, Bluetooth, USB, Token Ring, o.a..
  • On-die-vlieg gzip-dekompressie.
  • Baie dekrypteringsprotokolle word ondersteun (WPA / WPA2, SNMPv3, ens.)
  • Uitgebreide VoIP-analise
  • Kleurreëls vir vinniger visuele skandering

Kyk na hierdie fantastiese aanlynkursus om leer jou om Wireshark te bemeester.

tcpdump

As u ‘n ou skool is (lees hardcore-opdragreël-junkie), tcpdump is vir jou.

Dit is nog een van die ikoniese Linux-hulpprogramme (soos krul) wat net so relevant soos altyd bly, soveel dat byna alle ander ‘fynere’ gereedskap daarop voortbou. Soos ek al voorheen gesê het, is daar nie ‘n grafiese omgewing nie, maar die instrument is meer as daarvoor.

Maar dit kan pynlik wees om dit te installeer; terwyl tcpdump saam met die meeste moderne Linux-verspreidings gelei word, as dit joune nie doen nie, sal jy uiteindelik van die bron af moet bou.

tcpdump-opdragte is kort en eenvoudig om die probleem op te los, soos:

  • Vertoon alle beskikbare koppelvlakke
  • Neem slegs een van die koppelvlakke vas
  • Stoor vasgelêde pakkies om in te lêer
  • Neem slegs mislukte pakkies vas

. . . en so aan.

As u behoeftes eenvoudig is en u vinnig moet skandeer, kan tcpdump ‘n goeie opsie wees om te oorweeg (veral as u tcpdump tik en vind dat dit reeds geïnstalleer is!).

NetworkMiner

Die bevordering van homself as ‘n forensiese netwerkanalise-instrument (FNAT), NetworkMiner is een van die beste pakkie-ontleders wat u teëkom. Dit is ‘n open source-instrument wat ‘n netwerk passief kan ontleed en met ‘n indrukwekkende GUI-koppelvlak is om te ontleed wat individuele prente en ander oorgedra lêers kan toon.

Maar dit is nie al nie. NetworkMiner kom met uitstekende ander funksies soos:

  • IPv6-ondersteuning
  • Die ontleding van PCAP-lêers
  • Onttrek X.509-sertifikate uit SSL-geïnkripteer verkeer
  • PCAP-over-IP
  • Werk met verskillende soorte verkeer, soos FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3, ens..
  • OS-vingerafdrukke
  • Geo IP-lokalisering
  • Ondersteuning vir opdraglynskripte

Let daarop dat sommige van hierdie funksies in die kommersiële weergawe beskikbaar is.

Fiddler

Anders as ander passiewe netwerksnuffels, Fiddler is iets wat tussen u toestel en die buitewêreld sit en daarom ‘n paar opstellings nodig (is dit hoekom hulle dit “Fiddler” noem? ��).

Dit is ‘n gratis aanpasbare (met behulp van FiddlerScript) gratis hulpmiddel wat ‘n lang en onderskeidende geskiedenis het, so as u doel is om HTTP / HTTPS-verkeer soos ‘n baas te versnuif, is Fiddler die manier om te gaan.

Daar is baie wat jy met Fiddler kan doen, veral as jy lus is om die kapmuts te skenk:

  • Sessie manipulasie: Trek HTTP-opskrifte en sessiedata oop en verander dit op enige manier wat u wil.
  • Sekuriteitstoetsing: Laat u ‘n mens-in-die-middel-aanval simuleer en alle HTTPS-verkeer vir u dekrypteer.
  • Prestasietoetsing: Analiseer tye (of API-respons) vir bladsye en kyk watter deel van die antwoord die bottelnek is.

As u verlore voel, sal die dokumentasie is baie goed en word sterk aanbeveel.

WinDump

As u die eenvoud van tcpdump mis en dit na u Windows-stelsels wil bring, sê hallo aan WinDump. Sodra dit geïnstalleer is, werk dit vanaf die opdragreël deur “tcpdump” in te tik op dieselfde manier as die nut op Linux-stelsels.

Let daarop dat daar op sigself niks is om te installeer nie; WinDump is ‘n binêre program wat onmiddellik bestuur kan word, mits u ‘n implementering van die Pcap-biblioteek geïnstalleer het (npcap word aanbeveel aangesien winpcap nie meer in ontwikkeling is nie).

OmniPeek

Vir groter netwerke met tonne MB’s data wat elke sekonde daardeur vloei, kan die instrumente wat almal anders gebruik, opraak. As u dieselfde het, OmniPeek kan die moeite werd wees om te kyk.

Dit is ‘n prestasie-, analitiese en forensiese instrument om netwerke te ontleed, veral as u ‘n lae vlak nodig het, sowel as omvattende dashboards..

Bron: sniffwifi.com

As u ‘n groter organisasie is wat op soek is na ‘n ernstige aanbod, is ‘n 30-dae-proeftydperk beskikbaar hier.

Capsa

As u net besorg is oor die Windows-platform, Capsa is ook ‘n ernstige aanspraakmaker. Dit kom in drie weergawes: gratis, standaard en onderneming, elk met verskillende vermoëns.

Dit gesê, selfs die gratis weergawe ondersteun meer as 300 protokolle en bevat interessante funksies soos waarskuwings (geaktiveer as aan sekere voorwaardes voldoen word). Die standaardaanbieding is ‘n kerf hierbo, en dit ondersteun 1000+ protokolle en stel u in staat om gesprekke te analiseer en pakkiestrome te rekonstrueer.

Alles in ag genome, ‘n soliede opsie vir Windows-gebruikers.

EtherApe

As daar kragtige visualiseringe en open source is waarna u soek, EtherApe is ‘n wonderlike opsie. Alhoewel voorafgeboude binaries slegs vir ‘n handjievol Linux-distros beskikbaar is, is die bron beskikbaar (op SourceForge en GitHub), dus is dit ‘n opsie om dit op u eie te bou.

Dit is wat volgens my mening EtherApe wonderlik maak:

  • Multi-nodige, kleurgekodeerde monitering.
  • Ondersteuning vir ‘n ton pakketformate soos ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN, ens. (Eintlik, baie, baie, meer).
  • Lees die data regstreeks van die “draad” of van ‘n tcpdump-lêer af.
  • Ondersteun standaard naamoplossing
  • Van die nuutste weergawes is die GUI na GTK3 verskuif, wat gelei het tot ‘n aangenamer ervaring.

Comm View

As u ‘n Windows-eksklusiewe winkel is en u die gemak van prioriteitsondersteuning waardeer, Comm View word aanbeveel. Dit is ‘n kragtige netwerkverkeersanaliseerder met gevorderde funksies soos VoIP-analise, opsporing op afstand, ens., Ingebou.

Wat my die meeste beïndruk het, is die vermoë om data uit te voer na formate wat deur verskillende oop en eie formate gebruik word, soos Sniffer®, EtherPeek ™, AiroPeek ™, Observer®, NetMon, Wireshark / Tcpdump, en Wireshark / pcapng, en selfs gewone hex-dumps.

Wifi Explorer

Laaste op die lys is Wifi Explorer, wat ‘n gratis weergawe vir Windows en ‘n standaardweergawe vir Windows en macOS het. As WiFi-netwerkanalise alles is wat u benodig (wat deesdae amper die standaard is), sal Wifi Explorer die lewe maklik maak.

Dit is ‘n pragtig ontwerpte en funksie-ryke instrument om direk na die hart van die netwerk te sny.

Eerbare vermelding: Dit sal ‘n ondeurdringing wees om hierdie pos te sluit sonder om ‘n macOS-eksklusiewe netwerkanaliseerder te noem waarop ek gestruikel het – Klein Snitch. Daar is ‘n ingeboude firewall, en die voordeel is dat u onmiddellik al die verkeer perfek kan laat beheer (wat kan lyk asof dit pynlik is, maar op lang termyn ‘n reuse-wins is).

As u op soek is na ‘n loopbaan in netwerk en sekuriteit, kan u die volgende besoek: beste aanlynkursusse hier.

Niks in die lewe is perfek of volledig nie, en dieselfde geld ook vir hierdie lys.

Ek is seker daar is baie ander gratis / kommersiële / onderontwikkeling-pakketanaliseerders (snuffelaars) wat ek gemis het. As dit so is, help my dan om hierdie artikel beter te maak met u insette. ?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map