Вашата мрежа е основата на вашите бизнес операции. Уверете се, че знаете какво става дълбоко в него.


В много отношения пейзажът за дигиталните бизнеси видя революция или две. Какво започна като просто CGI скриптове написано на Perl сега е разцъфнало в клъстерирани разгръщания, работещи напълно автоматизирани Kunernetes и други рамки за оркестрация (извинявай за тежкия жаргон – изобщо не го измислям, просто е нещата в наши дни!).

Типично контейнерно разпространено модерно уеб приложение (източник: medium.com)

Но не мога да не се усмихна на мисълта, че основите все още са същите, каквито бяха през 70-те.

Всичко, което имаме, са абстракции върху абстракции, поддържани от твърди, физически кабели, които формират мрежата (добре, има виртуални мрежи, добре е, но разбирате идеята). Ако искаме да се представим, можем да разделим мрежата на слоеве според OSI модел, но всичко казано и направено, ние винаги сме, винаги се занимаваме TCP / IP протоколи (предупреждение, тежко четене напред!), пингове, рутери, всички от които имат една обща цел – предаване на пакети данни.

И така, какво е мрежов пакет?

Без значение какво правим – чат, стрийминг на видео, игри, сърфиране, купуване на неща – това е по същество обмен на пакети данни между два компютъра (мрежи). „Пакет“ е най-малката единица информация, преминаваща в мрежа (или между мрежи) и има добре дефиниран метод за конструиране и проверка на мрежови пакети (извън обхвата на тази статия, но ако се чувствате приключенски, ето Повече ▼).

Пакетен поток в мрежа (източник: training.ukdw.ac.id)

По-просто казано, всеки пакет представлява връзка във веригата и се предава правилно в източника и валидиран в местоназначението. Дори ако един пакет излезе или поръча, процесът се преустановява, докато не бъдат получени всички пакети в правилния ред и едва тогава те се събират, за да образуват данните, които първоначално са представени (изображение например).

След като разбрахме какво е дадена мрежа, става разбирането какво прави мрежовият анализатор. Това е инструмент, който ви позволява да надникнете в отделни пакети в мрежата си.

Но защо бихте искали да отидете на този проблем? Нека да обсъдим това по-нататък.

Защо трябва да анализираме пакетите?

Изглежда, че пакетите са почти основните градивни елементи в мрежовия поток от данни, подобно на атомите са основата на цялата материя (да, знам, това не са истински фундаментални частици, но това е достатъчно добра аналогия за нашите цели) , А що се отнася до анализирането на материали или газове, ние никога не се притесняваме какво прави отделен атом; така, защо да се притеснявате за един мрежов пакет на индивидуално ниво? Какво можем да знаем, освен че вече знаем?

Трудно е да продадеш значението на анализа на ниво пакет, когато не си бил ухапан отзад, но ще се опитам.

Анализът на пакети означава да изцапате ръцете си и да стигнете до самия водопровод, за да измислите нещо. По принцип трябва да анализирате мрежовите пакети, когато всичко останало е неуспешно. Обикновено това включва привидно безнадеждни сценарии, както следва:

  • Неописуема загуба на секретни данни, въпреки очевидно нарушение
  • Диагностициране на бавни приложения, когато изглежда няма никакви доказателства
  • Уверете се, че компютърът / мрежата ви не е била нарушена
  • Доказване или опровержение, че нападател не е верижното изключен от вашата WiFi
  • Разберете защо вашият сървър е тясното място, въпреки ниския трафик

Като цяло, пакетният анализ попада под определени, твърди видове доказателства. Ако знаете как да провеждате анализ на пакети и имате моментна снимка, можете да се спасите от грешно обвинение в хак или просто да бъдете обвинени като некомпетентен програмист или системен администратор.

Всичко е за мозъците! (източник: dailydot.com)

Относно истинска история, мисля, че този коментар към публикацията в блога е намерен тук е изключителен (възпроизведен тук за всеки случай):

Приложение, критично важно за моята компания, показваше проблеми с производителността, падаше на лицето си при внедряването на клиенти. Това беше приложение за ценообразуване на акции, използвано начело на заводи за тикър във финансови компании по целия свят. Ако сте имали 401 (k) около 2000 г., това вероятно зависи от това приложение. Направих анализ на вида, който вие описвате, по-специално поведението на TCP. Отбелязах проблема, че е в прилагането на TCP от продавача на ОС. Поведението на бъгито беше, че всеки път, когато изпращащият стек влиза в контрол на задръстванията, той никога не се възстановява. Това доведе до комично малък прозорец за изпращане, понякога само няколко кратни MSS.

Отне известно време да се биеш с мениджърите на акаунти и хората, които поддържат програмисти при доставчика на ОС, които не разбираха проблема, моето обяснение или че проблемът не можеше да бъде * в приложението, тъй като приложението е блажено не познава TCP машинациите. Това беше все едно да разговаряш със стена. Започнах на площад с всеки конферентен разговор. В крайна сметка се обадих по телефона с човек, с когото можех да обсъдя добре. Оказва се, че той постави разширенията RFC1323 в стека! На следващия ден имах лепенка към ОС в ръцете си и продуктът работеше перфектно от този момент нататък.

Програмистът обясни, че е имало грешка, която е причинила входящите ACK * с полезни товари * да бъдат категоризирани като DUPACK, когато стекът е бил в контрол на задръстванията.

Това никога няма да се случи с полудуплексни приложения като HTTP, но приложението, което поддържах, изпращаше данни двупосочно по сокета по всяко време.

Тогава нямах тона поддръжка от ръководството (мениджърът ми дори ми викаше, че „винаги искам да използвам смъркач“, за да коригирам проблеми) и никой освен мен не гледаше на TCP внедряването на доставчика на ОС като източник. на проблема. Борбата с поправката от доставчика на ОС от мен направи тази победа особено сладка, спечели ми тон капитал, за да направя своето нещо и доведе до най-интересните проблеми, които се появяват на бюрото ми.

Ум издухан!

В случай, че не ви се е случвало да четете тази плоча с текст или ако не е имало много смисъл, този джентълмен е бил изправен пред проблеми с изпълнението, които са обвинявани в молбата му, а ръководството, както се очакваше, е дало нулева подкрепа. Само задълбочен анализ на пакети доказа, че проблемът не е в приложението, а в това как операционната система обработва мрежовия протокол!

Поправката не беше настройване на приложението, а корекция от разработчиците на операционната система! ��

Момче, о, момче. , , Без анализ на ниво пакет, къде мислите, че би бил този човек? Вероятно без работа. Ако това не ви убеждава в важността на анализа на пакетите (наричан още подслушване на пакети), не знам какво ще стане. ��

Сега, когато знаете, че анализът на пакети е суперсила, имам добри новини: не всичко е трудно да го направите!

Благодарение на мощните, но лесни за използване пакети анализатори (sniffers), извличането на информация от анализа на ниво пакет може да бъде толкова лесно, колкото четенето на таблото за продажби. Това каза, че ще ви трябват малко повече от познания на повърхностно ниво какво се случва в една мрежа. Но тогава, отново, тук няма ракетна наука, няма изкривена логика, която да овладее – просто здрав разум.

Ако започнете да четете документацията на един от тези инструменти, докато ги използвате в мрежата си, доста скоро ще бъдете експерт. ��

Wireshark

Wireshark е стар проект (започнал още през 1998 г.), който е почти стандартът за индустрията, когато става дума за гмуркане дълбоко в мрежите. Впечатляващо е, когато смятате, че това е чисто организация, управлявана от доброволци, подкрепена от някои щедри спонсори. Wireshark остава с отворен код (не на GitHub, но кодът може да бъде намерен тук) и дори има тех конференция на неговото име!

Сред многото възможности на Wireshark са:

  • Поддръжка на стотици мрежови протоколи.
  • Оперативно съвместим с много файлови формати (tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (компресиран и некомпресиран), Sniffer® Pro и NetXray® и т.н.).
  • Работете на почти всички платформи там (Linux, Windows, macOS, Solaris, FreeBSD и други).
  • Данни за четене на живо от Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, наред с други.
  • Декомпресия на gzip в движение.
  • Поддържат се множество протоколи за декриптиране (WPA / WPA2, SNMPv3 и т.н.)
  • Обширен VoIP анализ
  • Правила за оцветяване за по-бързо визуално сканиране

Вижте този фантастичен онлайн курс към научавам те да овладяваш Wireshark.

Tcpdump

Ако сте стар училище (прочетете хардкор наркоман команден ред), Tcpdump е за теб.

Това е друга от онези емблематични помощни програми за Linux (като къдряне), които остават актуални както винаги, толкова много, че почти всички други „по-фантастични“ инструменти се надграждат върху нея. Както казах преди, няма графична среда, но инструментът повече от това го компенсира.

Но инсталирането му може да бъде болка; докато tcpdump се предлага в комплект с повечето съвременни дистрибуции на Linux, ако вашата не е, тогава ще трябва да изградите от източника.

tcpdump командите са кратки и прости, насочени към решаване на конкретен проблем като:

  • Показване на всички налични интерфейси
  • Заснемане само на един от интерфейсите
  • Запазване на заснетите пакети във файл
  • Заснемане само на неуспешни пакети

. . . и така нататък.

Ако вашите нужди са прости и трябва да стартирате бързо сканиране, tcpdump може да бъде чудесен вариант за обмисляне (особено ако въведете tcpdump и установите, че вече е инсталиран!).

NetworkMiner

Популяризиране на себе си като инструмент за съдебномедицински анализ (FNAT), NetworkMiner е един от най-добрите анализатори на ниво пакети, на които ще попаднете. Това е инструмент с отворен код, който може да анализира пасивно мрежата и се предлага с впечатляващ GUI интерфейс за анализ, който може да показва отделни изображения и други прехвърлени файлове.

Но това не е всичко. NetworkMiner се предлага с отлични други функции като:

  • IPv6 поддръжка
  • Разбор на PCAP файлове
  • Извадете X.509 сертификати от криптиран SSL трафик
  • PCAP спрямо същия период на IP
  • Работи с няколко типа трафик, като FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 и т.н..
  • Отпечатване на ОС
  • Geo IP локализация
  • Поддръжка за скриптове на командния ред

Имайте предвид, че някои от тези функции се предлагат в търговската версия.

цигулар

За разлика от другите смъртоносни пасивни мрежи, цигулар е нещо, което се намира между вашето устройство и външния свят и следователно изисква известна настройка (затова те го кръстиха „Fiddler“? ��).

Това е персонализиран (използвайки FiddlerScript) безплатен инструмент, който има дълга и отлична история, така че ако целта ви е да подушите HTTP / HTTPS трафик като шеф, Fiddler е начинът да вървите.

Има много неща, които можете да направите с Fiddler, особено ако сте в настроение да носите хакерското худи:

  • Сесия манипулация: Изтрийте отворени HTTP заглавки и данни от сесията, като ги променяте по какъвто и да е начин.
  • Тестове за сигурност: Позволява ви да симулирате атаки между хора и декриптира целия HTTPS трафик за вас.
  • Тестване на производителността: Анализирайте времената на зареждане на страницата (или API на отговора на API) и вижте коя част от отговора е препятствието.

В случай, че се чувствате изгубени, документация е много добър и силно се препоръчва.

WinDump

Ако пропуснете простотата на tcpdump и искате да го пренесете във вашите Windows системи, привет WinDump. Веднъж инсталиран, той работи от командния ред, като напише „tcpdump“ по същия начин, по който полезността работи в Linux системите.

Имайте предвид, че няма нищо за инсталиране само по себе си; WinDump е двоичен файл, който може да се стартира веднага, при условие че имате инсталирана Pcap библиотека реализация (npcap се препоръчва, тъй като winpcap вече не се развива).

OmniPeek

За по-големи мрежи, които имат тонове MB MB данни, преминаващи през тях всяка секунда, инструментите, които всички останали използват, може да изчезнат. Ако сте изправени пред същото, OmniPeek може да си струва да погледнете.

Това е инструмент за ефективност, анализи и криминалистика за анализ на мрежи, особено когато се нуждаете както от ниско ниво, така и от всеобхватни табла за управление.

Източник: sniffwifi.com

Ако сте по-голяма организация, която търси сериозно предложение, е на разположение 30-дневен пробен период тук.

Capsa

Ако всичко, което ви интересува, е платформата на Windows, Capsa също е сериозен претендент. Той се предлага в три версии: безплатна, стандартна и корпоративна, всяка с различни възможности.

Въпреки това, дори безплатната версия поддържа над 300 протокола и има интересни функции като сигнали (задейства се, когато са изпълнени определени условия). Стандартното предлагане е отрязък по-горе, като поддържа 1000+ протокола и ви позволява да анализирате разговори и да реконструирате пакетни потоци.

Като цяло, солидна опция за потребителите на Windows.

EtherApe

Ако търсите мощни визуализации и отворен код, EtherApe е чудесен вариант. Докато предварително изградените двоични файлове са достъпни само за няколко Linux дистрибутора, източникът е достъпен (както за SourceForge, така и за GitHub), така че да го изградите самостоятелно е опция.

Ето какво прави EtherApe страхотен според мен:

  • Мулти-възел, цветно кодиран мониторинг.
  • Поддръжка за тон пакети формати като ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN и др. (Всъщност много, много, много повече).
  • Прочетете данните на живо извън „телта“ или от tcpdump файл.
  • Поддържа стандартна разделителна способност
  • Като най-новите версии, графичният интерфейс е преместен в GTK3, което води до по-приятно изживяване.

CommView

Ако сте магазин, изключително за Windows и цените удобството на приоритетната поддръжка, CommView се препоръчва. Това е мощен анализатор на мрежов трафик с вградени разширени функции като VoIP анализ, дистанционно проследяване и т.н..

Това, което ме впечатли най-много, е способността му да експортира данни във формати, използвани от няколко отворени и собствени формати, като Sniffer®, EtherPeek ™, AiroPeek ™, Observer®, NetMon, Wireshark / Tcpdump и Wireshark / pcapng и дори обикновени шестнадесетични демпфери.

Wifi Explorer

Последно в списъка е Wifi Explorer, която има безплатна версия за Windows и стандартна версия за Windows и macOS. Ако анализът на WiFi мрежата е всичко, от което се нуждаете (което е почти стандартното в наши дни), тогава Wifi Explorer ще направи живота лесен.

Това е красиво проектиран и богат на функции инструмент за рязане направо в сърцето на мрежата.

Почетно споменаване: Би било удоволствие да затворя този пост, без да споменавам изключителен мрежов анализатор, за когото се натъкнах – Малкият доносник. Той има вградена защитна стена, така че идва с допълнителното предимство незабавно да ви позволи да контролирате целия трафик перфектно (което може да изглежда болка, но е масивна печалба в дългосрочен план).

Ако искате да изградите кариера в мрежата и сигурността, след това разгледайте някои от най-добрите онлайн курсове тук.

Нищо в живота не е идеално или пълно и същото важи и с този списък.

Сигурен съм, че има много други безплатни / комерсиални / анализатори за недостатъчно развитие (sniffers), които съм пропуснал. Ако е така, моля, помогнете ми да подобря тази статия с вашите данни. ?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me