10 آنالایزر شبکه بسته برای سیستمهای مدیریت و تحلیلگران امنیتی

شبکه شما ستون فقرات عملیات تجاری شماست. اطمینان حاصل کنید که می دانید آنچه در اعماق آن جریان دارد.


از بسیاری جهات ، چشم انداز مشاغل دیجیتالی شاهد یک یا دو انقلاب است. چه ساده شروع شد اسکریپت های CGI نوشته شده در پرل ، اکنون در اعزامهای خوشه ای کاملاً خودکار روی کار رفته است کانرنتس و چهارچوبهای دیگر ارکسترشن (با عرض پوزش برای زنگار سنگین – من به هیچ وجه درست نمی کنم ؛ این روزها فقط به همین شکل است!).

یک برنامه وب مدرن حاوی کانتینر شده و توزیع شده (منبع: medium.com)

اما من نمی توانم کمکی بکنم اما با این فکر که بنیادها هنوز همانند دهه 1970 هستند ، لبخند نمی زنم.

تمام آنچه که ما داریم این است که انتزاعات در مورد انتزاع های کابل های سخت و جسمی که شبکه را تشکیل می دهند (خوب ، شبکه های مجازی نیز خوب هستند ، اما شما این ایده را می گیرید). اگر می خواهیم فانتزی شویم ، می توانیم شبکه را طبق لایه ها تقسیم کنیم مدل OSI, اما همه گفتیم و انجام دادیم ، همیشه همیشه ، همیشه با آنها سر و کار داریم پروتکل های TCP / IP (هشدار ، خواندن سنگین در آینده!) ، پینگ ، روتر ، که همه آنها یک هدف مشترک دارند – انتقال بسته های داده.

بنابراین ، بسته شبکه چیست?

مهم نیست که چه کاری انجام می دهیم – گپ زدن ، پخش فیلم ، بازی ، گشت و گذار ، خرید چیزهای دیگر – در اصل این تبادل بسته های داده بین دو رایانه (شبکه) است. “بسته” کوچکترین واحد اطلاعاتی است که در یک شبکه (یا بین شبکه ها) جریان دارد ، و روش خوبی برای ساخت و تأیید بسته های شبکه وجود دارد (فراتر از محدوده این مقاله ، اما اگر احساس پرماجرا می کنید ، اینجا هستید. بیشتر).

جریان بسته در یک شبکه (منبع: train.ukdw.ac.id)

به عبارت ساده تر ، هر بسته یک لینک در زنجیره را نشان می دهد و به درستی در منبع منتقل می شود و در مقصد اعتبار می یابد. حتی اگر یک بسته از خارج خارج شود یا سفارش دهد ، این فرآیند متوقف می شود تا زمانی که تمام بسته ها به ترتیب صحیح دریافت شده اند ، و تنها در این صورت آنها را تشکیل می دهند تا داده هایی را که در ابتدا نشان داده شده اند تشکیل دهند (مثلاً یک تصویر).

حالا که فهمیدیم شبکه چیست ، می فهمیم که یک تحلیلگر شبکه چه کاری انجام می دهد. این ابزاری است که به شما امکان می دهد بسته های جداگانه در شبکه خود را ببینید.

اما چرا می خواهید به آن دردسر بروید؟ بیایید در مورد بعدی بحث کنیم.

چرا ما نیاز به تجزیه و تحلیل بسته ها داریم?

به نظر می رسد که بسته ها تقریباً بلوک های اصلی ساخت و ساز در یک جریان داده شبکه هستند ، دقیقاً مانند اتم ها پایه و اساس همه ماده هستند (بله ، من می دانم ، این ذرات بنیادی واقعی نیستند ، اما این یک قیاس کافی برای اهداف ما است). . و هنگامی که نوبت به تجزیه و تحلیل مواد یا گازها می رسد ، هرگز به آنچه اتم فردی انجام می دهد ، زحمت نمی کشیم. بنابراین ، چرا نگران یک بسته شبکه تک در سطح فردی هستید؟ چه می توانیم غیر از آنچه که قبلاً می دانیم ، بدانیم?

هنگامی که قبلاً گزیده نشده اید ، اهمیت تحلیل سطح بسته را سخت می فروشید ، اما من تلاش خواهم کرد.

تجزیه و تحلیل بسته ها به معنای کثیف شدن دستها و رسیدن به لوله کشی برای یافتن چیزی است. به طور کلی ، شما باید بسته های شبکه را وقتی همه چیز شکست خورده است ، تجزیه و تحلیل کنید. به طور معمول ، این شامل حالات به ظاهر ناامید کننده به شرح زیر است:

  • از دست دادن غیر قابل توصیف داده های مخفی علیرغم هیچ نقض آشکار
  • تشخیص کاربردهای کند هنگامی که به نظر می رسد هیچ مدرکی وجود ندارد
  • مطمئن شوید رایانه / شبکه شما به خطر نیفتاده است
  • اثبات یا نادیده گرفتن اینکه یک مهاجم نیست پیگیری خاموش WiFi خود را
  • بدانید که چرا سرور شما با وجود ترافیک کم ، تنگنای شماست

در کل ، تجزیه و تحلیل بسته ها تحت شواهد و مدارکی سخت و خاص وجود دارد. اگر می دانید چگونه می توانید تجزیه و تحلیل بسته ها را انجام داده و عکس فوری بگیرید ، می توانید خود را از اشتباه بودن متهم به هک نجات دهید یا به عنوان یک توسعه دهنده بی کفایت یا مدیر سیستم مقصر شوید..

این همه چیز در مورد مغز است! (منبع: Dailydot.com)

با توجه به یک داستان واقعی ، فکر می کنم این نظر در مورد پست وبلاگ پیدا شده است اینجا استثنایی است (فقط در صورت تکثیر در اینجا):

برنامه ای که برای شرکت من دارای مشکلات عملکردی مهم است ، در استقرار مشتری رو به رو می شود. این یک برنامه قیمت گذاری سهام بود که در شرکتهای مالی در سرتاسر جهان مورد استفاده قرار گرفت. اگر در حدود سال 2000 401 (k) داشتید ، احتمالاً به این برنامه بستگی داشت. من تجزیه و تحلیل مرتب سازی بر اساس توصیف شما ، به ویژه رفتار TCP را انجام دادم. من این مشکل را در اجرای فروشنده سیستم عامل TCP عنوان کردم. رفتار حشره انگیز این بود که هر زمان که پشته ارسال به کنترل تراکم می رفت ، هرگز بهبود نمی یافت. این منجر به یک پنجره ارسال کاملاً کوچک ، گاهی اوقات فقط چند برابر MSS شد.

مدتی طول کشید که با مدیر حساب و افراد پشتیبانی توسعهدهنده در فروشنده سیستم عامل که مشکل را درک نکردند ، توضیح من یا اینکه مسئله * نمی تواند * در برنامه باشد برخورد می کند زیرا این برنامه با خوشحالی از ماشین های TCP نادان است. مثل صحبت با دیوار بود. من با هر تماس کنفرانسی در میدان یک شروع کردم. سرانجام با پسری با او تماس گرفتم که می توانم بحث خوبی داشته باشم. معلوم است که او پسوندهای RFC1323 را داخل پشته قرار داده است! روز بعد من یک دست و پا به سیستم عامل داشتم و محصول از آن نقطه به بعد کاملاً کار می کرد.

توسعه دهنده توضیح داد که یک اشکال وجود دارد که باعث شده تا ACK های ورودی * با بار * به عنوان DUPACK طبقه بندی شوند وقتی پشته در کنترل تراکم قرار داشت.

این هرگز با برنامه های نیمه دوتایی مانند HTTP اتفاق نمی افتد ، اما برنامه ای که من از آن پشتیبانی می کردم داده ها به صورت دو طرفه بر روی سوکت است..

من در آن زمان از مدیریت پشتیبانی چندانی نداشتم (مدیر من حتی به من فریاد زد که “همیشه مایل به استفاده از خرگوش هستم” برای برطرف کردن مشکلات) ، و کسی جز من به دنبال منبع TCP فروشنده سیستم عامل نبود. از مشکل مبارزه با فروشنده سیستم عامل توسط این فروشنده ، این پیروزی را به خصوص شیرین کرد ، وام سرمایه ای را برای انجام کار خود به من بدست آورد و به جالب ترین مشکلات نشان داد که روی میز من است..

ذهن دمیده!

در صورتی که احساس نمی کردید از طریق آن صفحه متن را بخوانید ، یا اگر این حس را حس نمی کردید این آقا با مسائل مربوط به عملکرد روبرو بوده اند که تقصیر در برنامه او بوده است و مدیریت ، همانطور که انتظار می رفت ، پشتیبانی صفر را از آن خود کرد. این فقط یک بسته بندی کامل بود که ثابت کرد مشکل در برنامه نیست ، بلکه در نحوه اجرای سیستم عامل پروتکل شبکه است.!

رفع یک تنظیم دقیق در برنامه نبود ، بلکه یک تکه توسط توسعه دهندگان سیستم عامل بود! ��

پسر ، اوه ، پسر. . . بدون تجزیه و تحلیل سطح بسته ، به نظر شما این شخص کجا خواهد بود؟ احتمالاً از کارش خارج شده است. اگر این مسئله شما را از اهمیت تجزیه و تحلیل بسته ها (که به آن بسته بندی بسته نیز گفته می شود) متقاعد نکنید ، نمی دانم چه خواهد شد. ��

اکنون که می دانید تجزیه و تحلیل بسته یک ابرقدرت است ، من خبر خوبی دارم: انجام این کار دشوار نیست!

با تشکر از آنالایزرهای بسته قدرتمند و در عین حال کاربردی ساده (اسنایپرها) ، اطلاعات حاصل از تجزیه و تحلیل سطح بسته ها می تواند به راحتی خواندن داشبورد فروش باشد. گفته می شود ، شما نیاز به کمی بیش از دانش سطح در مورد آنچه در داخل یک شبکه اتفاق می افتد ، خواهید بود. اما پس از آن ، دوباره ، هیچ علم موشکی در اینجا وجود ندارد ، هیچ منطقی پیچیده ای برای تسلط داشتن وجود ندارد – فقط یک عقل سلیم ساده.

اگر خواندن اسناد یکی از این ابزارها را هنگام استفاده از آنها در شبکه خود شروع کنید ، به زودی یک متخصص خواهید بود. ��

Wireshark

Wireshark یک پروژه قدیمی است. وقتی فکر می کنید که این سازمان کاملاً داوطلبانه است و مورد حمایت برخی حامیان سخاوتمندانه قرار دارد ، تأثیرگذار است. Wireshark همچنان منبع باز (نه در GitHub اما کد را می توان در آن یافت) اینجا) و حتی دارای یک فناوری است کنفرانس به نامش!

از جمله بسیاری از قابلیت های Wireshark می توان به موارد زیر اشاره کرد:

  • پشتیبانی از صدها پروتکل شبکه.
  • با بسیاری از قالب های پرونده (tcpdump (libpcap) ، Pcap NG ، Catapult DCT2000 ، Cisco Secure IDS iplog ، مانیتور شبکه مایکروسافت ، شبکه عمومی Sniffer® (فشرده و فشرده نشده) ، Sniffer® Pro و NetXray® و غیره قابل تعامل است..
  • تقریباً تمام سیستم عامل های موجود در آنجا (لینوکس ، ویندوز ، macOS ، Solaris ، FreeBSD و موارد دیگر) را اجرا کنید.
  • خواندن داده های زنده از اترنت ، IEEE 802.11 ، PPP / HDLC ، دستگاه خودپرداز ، بلوتوث ، USB ، حلقه توکن ، از جمله دیگر.
  • رفع فشار gzip در پرواز.
  • پروتکل های رمزگشایی پشتیبانی می شوند (WPA / WPA2 ، SNMPv3 ، و غیره)
  • تجزیه و تحلیل گسترده VoIP
  • قوانین رنگ آمیزی برای اسکن بصری سریعتر

این دوره آنلاین فوق العاده را ببینید به شما تسلط می دهد به Wireshark.

tcpdump

اگر مدرسه قدیمی هستید (ناخواسته خط فرمان سخت را بخوانید), tcpdump برای تو است.

این یکی دیگر از ابزارهای نمادین لینوکس (مانند حلقه) است که مثل همیشه مرتبط است ، به اندازه ای که تقریباً همه ابزارهای “خیالی تر” روی آن ساخته شده اند. همانطور که قبلاً گفتم ، محیط گرافیکی وجود ندارد ، بلکه ابزاری بیشتر از آن است که ایجاد کند.

اما نصب آن می تواند دردناک باشد؛ اگر tcpdump با بیشترین توزیع های مدرن لینوکس همراه باشد ، اگر مال شما اینگونه نباشد ، باید از منبع استفاده کنید.

دستورات tcpdump کوتاه و ساده هستند ، با هدف حل یک مشکل خاص مانند:

  • نمایش همه رابطهای موجود
  • گرفتن تنها یکی از رابط ها
  • در حال ذخیره بسته های ضبط شده برای ثبت نام
  • گرفتن بسته های ناموفق

. . . و غیره.

اگر نیازهای شما ساده است و شما نیاز به اسکن سریع دارید ، tcpdump می تواند گزینه خوبی برای در نظر گرفتن باشد (به خصوص اگر tcpdump را تایپ کنید و متوجه شوید که قبلاً نصب شده است!).

NetworkMiner

تبلیغ خود به عنوان یک ابزار تجزیه و تحلیل شبکه پزشکی قانونی (FNAT), NetworkMiner یکی از بهترین آنالایزرهای سطح بسته بندی است که با آن روبرو می شوید. این یک ابزار منبع باز است که می تواند یک شبکه را به صورت انفعالی تجزیه و تحلیل کند و دارای یک رابط کاربری GUI چشمگیر برای تجزیه و تحلیل است که می تواند تصاویر فردی و سایر فایلهای منتقل شده را نشان دهد.

اما این همه چیز نیست NetworkMiner دارای ویژگی های عالی دیگری مانند:

  • پشتیبانی IPv6
  • تجزیه فایلهای PCAP
  • گواهی های X.509 را از ترافیک رمزگذاری شده SSL استخراج کنید
  • Pcap بیش از IP
  • با چندین نوع ترافیک مانند FTP ، TFTP ، HTTP ، SMB ، SMB2 ، SMTP ، POP3 و غیره کار می کند.
  • اثر انگشت سیستم عامل
  • محلی سازی IP Geo
  • پشتیبانی از برنامه نویسی خط فرمان

توجه داشته باشید که برخی از این ویژگی ها در نسخه تجاری موجود است.

فیدلر

بر خلاف سایر تک تیراندازهای شبکه منفعل, فیدلر آیا چیزی است که بین دستگاه شما و دنیای خارج قرار دارد و از این رو به برخی تنظیمات احتیاج دارد (به همین دلیل است که آنها آن را “فیدلر” گذاشتند؟ ��).

این یک ابزار رایگان قابل تنظیم (با استفاده از FiddlerScript) است که دارای سابقه ای طولانی و برجسته است ، بنابراین اگر هدف شما خراب کردن ترافیک HTTP / HTTPS مانند یک رئیس است ، راه فیدلر است.

با فیدلر می توانید کارهای زیادی انجام دهید ، به ویژه اگر شما روحیه اهدا هدی هدی را ندارید:

  • دستکاری جلسه: هدرهای HTTP و داده های جلسه را باز کرده و آنها را به هر روشی که می خواهید تغییر دهید.
  • تست امنیتی: به شما امکان می دهد تا حملات درون انسان را شبیه سازی کنید و تمام ترافیک HTTPS را برای شما رمزگشایی کنید.
  • تست عملکرد: بار بار صفحه (یا پاسخ API) را تجزیه و تحلیل کرده و ببینید کدام قسمت از پاسخ گلوگاه است.

در صورت احساس گم شدن ، مستندات بسیار خوب است و بسیار توصیه می شود.

WinDump

اگر سادگی tcpdump را از دست دادید و می خواهید آن را به سیستم های ویندوز خود وارد کنید ، سلام می گوید WinDump. پس از نصب ، از خط فرمان با تایپ کردن “tcpdump” به همان روشی که ابزار روی سیستم های لینوکس کار می کند ، کار می کند.

توجه داشته باشید که هیچ چیز برای نصب وجود ندارد. WinDump یک باینری است که می توانید آنرا اجرا کنید به شرط نصب کتابخانه Pcap (npcap توصیه می شود زیرا winpcap دیگر در مرحله توسعه نیست).

OmniPeek

برای شبکه های بزرگتر که تعداد مگابایت مگابایت داده در هر ثانیه از طریق آنها جریان دارد ، ابزاری که همه افراد دیگر از آنها استفاده می کنند ممکن است از کار بیفتد. اگر با هم روبرو هستید, OmniPeek باید ارزش دیدن داشته باشد.

این یک ابزار عملکردی ، تحلیلی و پزشکی قانونی برای تجزیه و تحلیل شبکه ها است ، به خصوص هنگامی که به توانایی های سطح پایین و همچنین داشبورد جامع احتیاج دارید.

منبع: sniffwifi.com

اگر یک سازمان بزرگتر هستید که به دنبال یک پیشنهاد جدی هستید ، یک آزمایش 30 روزه در دسترس است اینجا.

کپسا

اگر تمام آنچه شما نگران هستید ، بستر Windows است, کپسا همچنین یک مدعی جدی است. در سه نسخه ارائه می شود: رایگان ، استاندارد و سازمانی که هر کدام قابلیت های مختلفی دارند.

گفته می شود ، حتی نسخه رایگان بیش از 300 پروتکل را پشتیبانی می کند و دارای ویژگی های جالبی همچون هشدار است (در صورت برطرف شدن شرایط خاص). ارائه استاندارد یک سطح بالا است ، از پروتکل 1000+ پشتیبانی می کند و به شما امکان می دهد مکالمات را تجزیه و تحلیل کرده و جریان های بسته را بازسازی کنید.

در کل ، یک گزینه مناسب برای کاربران ویندوز است.

EtherApe

اگر تجسمات قدرتمند و منبع باز همان چیزی است که بعد از آن هستید, EtherApe گزینه عالی است در حالی که باینری های از پیش ساخته فقط برای تعداد انگشت شماری از توزیعهای لینوکس در دسترس هستند ، منبع در دسترس است (از هر دو SourceForge و GitHub) ، بنابراین ساختن آن به تنهایی شما گزینه ای است..

آنچه در نظر من EtherApe عالی است:

  • مانیتورینگ چند گره و رنگی.
  • پشتیبانی از یک تن از قالب های بسته بندی مانند ETH_II ، 802.2 ، 803.3 ، IP ، IPv6 ، ARP ، X25L3 ، REVARP ، ATALK ، AARP ، IPX ، VINES ، قطار ، LOOP ، VLAN و غیره (در واقع ، بسیاری ، بسیاری ، بیشتر).
  • داده ها را بصورت زنده از “سیم” یا از یک پرونده tcpdump بخوانید.
  • وضوح نام استاندارد را پشتیبانی می کند
  • طبق آخرین نسخه ها ، رابط کاربری گرافیکی به GTK3 منتقل شده است ، و در نتیجه تجربه خوشایندی را تجربه می کند.

CommView

اگر یک فروشگاه منحصر به فرد در ویندوز هستید و به راحتی از پشتیبانی اولویت برخوردار هستید, CommView توصیه می شود این یک آنالایزر قدرتمند ترافیک شبکه با ویژگی های پیشرفته مانند تجزیه و تحلیل VoIP ، ردیابی از راه دور و غیره است که در داخل ساخته شده است.

آنچه بیشتر از همه مرا تحت تأثیر قرار داده است توانایی آن در صادرات داده به قالبهایی است که از چندین قالب باز و اختصاصی استفاده شده است ، مانند Sniffer® ، EtherPeek ™ ، AiroPeek ™ ، Observer® ، NetMon ، Wireshark / Tcpdump و Wireshark / pcapng و حتی دزدگیرهای ساده..

Wifi Explorer

آخرین لیست در لیست است Wifi Explorer, که دارای نسخه رایگان برای ویندوز و نسخه استاندارد برای Windows و macOS است. اگر تجزیه و تحلیل شبکه WiFi تمام چیزهایی باشد که شما نیاز دارید (که این روزها تقریباً استاندارد است) ، سپس Wifi Explorer زندگی را آسان می کند.

این یک ابزار زیبا و طراحی زیبا و غنی است که مستقیماً به قلب شبکه می آید.

ذکر محترم: بستن این پست بدون ذکر یک آنالایزر شبکه اختصاصی macOS که من به آن گیر افتادم بسیار مشکل خواهد بود – خرگوش کوچک. این فایروال در آن ساخته شده است ، بنابراین می تواند فوراً به شما اجازه دهد تمام ترافیک ها را به طور کامل کنترل کنید (که به نظر می رسد یک درد است ، اما در دراز مدت یک افزایش عظیم است)..

اگر به دنبال ایجاد حرفه ای در شبکه و امنیت هستید ، برخی از موارد را بررسی کنید بهترین دوره های آنلاین در اینجا.

هیچ چیز در زندگی کامل یا کامل نیست و همین مورد با این لیست هم پیش می رود.

من مطمئن هستم که بسیاری از آنالایزرهای بسته رایگان / تجاری / تحت توسعه (اسنایپر) وجود دارند که من از دست ندهم. اگر چنین است ، لطفاً به من کمک کنید تا این مقاله را با ورودی های خود بهتر کنم. ?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map