10 мрежних анализатора пакета за администраторе система и сигурносне аналитичаре

Ваша мрежа је окосница вашег пословања. Обавезно знате шта се дешава дубоко у њој.


На много начина, пејзаж дигиталних предузећа доживео је револуцију или две. Шта је почело једноставно ЦГИ скрипте написано на Перлу сада је процветало у кластерисане размештање које раде потпуно аутоматизовано Кунернетес и други оквири оркестрације (извините за тешки жаргон – уопште га не измишљам; управо је тако данас.).

Типична контејнерска дистрибуирана модерна веб апликација (извор: медиум.цом)

Али не могу да се не насмешим помисли да су темељи и даље исти као они у 1970-има.

Све што имамо је апстракција на апстракцијама подржаним чврстим, физичким кабловима који формирају мрежу (ок, постоје виртуелне мреже су добро, али имате идеју). Ако желимо да се замислимо, можемо да поделимо мрежу на слојеве по ОСИ модел, али све речено и урађено, увек смо се увек бавили ТЦП / ИП протоколи (упозорење, тешко читање напред!), пингови, рутери, сви који имају један заједнички циљ – преношење пакета података.

Дакле, шта је мрежни пакет?

Без обзира на то што радимо – ћаскање, стриминг видеа, игре, сурфовање, куповина ствари – у суштини је то размена пакета података између два рачунара (мреже). „Пакет“ је најмања јединица информација која тече у мрежи (или између мрежа) и постоји добро дефинисан начин конструкције и верификације мрежних пакета (ван оквира овог чланка, али ако се осећате авантуристички, ево вам више).

Ток пакета у мрежи (извор: траининг.укдв.ац.ид)

Једноставније речено, сваки пакет представља везу у ланцу и правилно се преноси на извору и потврђује на одредишту. Чак и ако један пакет изађе или наручи, процес се обуставља све док нису примљени сви пакети у исправном редоследу, а тек тада се састављају ради формирања података који су првобитно представљени (слика, на пример).

Сада када разумијемо шта је мрежа, постаје нам разумјевање шта мрежни анализатор ради. То је алат који вам омогућава да завирите у појединачне пакете своје мреже.

Али зашто бисте желели да упаднете у те проблеме? Хајде да разговарамо о томе следеће.

Зашто требамо анализирати пакете?

Изгледа да су пакети углавном основни градивни блокови у мрежном протоку података, баш као што су атоми основа сваке материје (да, знам, то нису истинске фундаменталне честице, али то је довољно добра аналогија за наше потребе) . А када је у питању анализа материјала или гасова, ми се никад не мучимо шта појединачни атом ради; па зашто се бринути о једном мрежном пакету на појединачном нивоу? Шта можемо знати осим што већ знамо?

Тешко је продати важност анализе нивоа пакета када вас претходно није угризао у леђа, али покушаћу.

Анализа пакета значи да вам се прљаве руке и спусте у сам водовод да нешто смислите. Генерално, морате анализирати мрежне пакете када сви остали не успију. Обично то укључује наизглед безнадежне сценарије како слиједи:

  • Необјашњив губитак тајних података упркос очигледном кршењу
  • Дијагностицирање спорих апликација када се чини да нема никаквих доказа
  • Уверите се да рачунар / мрежа нису угрожени
  • Доказивање или негирање нападача није пиггибацкинг искључен са ваше ВиФи
  • Откривање зашто је ваш сервер уско грло упркос малом промету

Све у свему, пакетна анализа подлеже одређеним, тешким врстама доказа. Ако знате како да спроведете анализу пакета и направите снимку, можете се спасити од погрешног оптуживања за хацк или једноставно бити оптужени као неспособни програмер или администратор система.

Све је у питању мозак! (извор: даилидот.цом)

Што се тиче стварне приче, мислим да је овај коментар на посту на блогу пронађен овде је изузетан (репродукован овде за сваки случај):

Апликација критична за моју компанију показала је проблеме са перформансама и падала је на његово лице у примени купаца. Била је то апликација за цене акција која се користила на челу фабрика за производњу берзи у финансијским компанијама широм света. Ако сте имали 401 (к) око 2000, то вероватно зависи од ове апликације. Направио сам анализу какву описујете, тачније понашање ТЦП-а. Означио сам проблем укључивањем ТЦП продавца у операцију ОС. Понашано понашање је било то да се сваки пут када је пошиљка слала у контролу загушења, никад није опоравила. То је резултирало у комично малом прозору за слање, понекад само неколико мултипле МСС-а.

Требало је да се борите са менаџерима налога и особама које подржавају програмере код продавца ОС који нису разумели проблем, моје објашњење или да проблем није могао бити * у апликацији јер апликација блажено не зна ТЦП махинације. Било је то као разговор са зидом. Почео сам са квадратом сваког конференцијског позива. На крају сам се јавио с момком с којим бих могао попричати. Испада да је ставио РФЦ1323 екстензије у стог! Следећег дана сам имао закрпу на ОС-у у рукама и производ је од тада напредовао савршено.

Програмер је објаснио да је дошло до грешке због које су долазни АЦК-ови * са корисним оптерећењем * били категорисани као ДУПАЦК-и када је сноп био у контроли загушења..

То се никада не би десило са полусуплекс апликацијама попут ХТТП-а, али апликација коју сам подржавао је у свако доба слала податке двосмерно на соцкет..

Тада нисам имао тону подршку менаџмента (мој менаџер је чак викао на мене да „увек желим да користим њушкало“ да решим проблеме) и нико осим мене није гледао на ТЦП имплементацију добављача ОС као на извор. проблема. Кад сам се изборио исправке добављача ОС-а, ову победу је учинио изузетно слатком, зарадио сам тону капитала да бих радио своје ствари и довео до најзанимљивијих проблема који су се појавили на мом столу.

Премоћно!

У случају да вам се није чинило читањем те плоче текста или ако то није имало смисла, овај господин се суочио са проблемима у вези са перформансама за које су окривљени у његовој пријави, а руководство је, како се очекивало, давало нулту подршку. Тек темељита анализа пакета показала је да проблем није у апликацији, већ у томе како је оперативни систем руковао мрежним протоколом!

Поправка није била прилагођавање апликације, већ закрпа произвођача оперативног система! ��

Дечко, ох, момче. . . Без анализе нивоа пакета, где мислите да би та особа била? Вероватно без посла. Ако вас ово не убеди у важност анализе пакета (која се такође назива њушкање пакета), не знам шта ћу. ��

Сада када знате да је анализа пакета суперсила, имам добре вести: није све тешко то учинити!

Захваљујући моћним, али једноставним анализаторима пакета (снифферс), провлачење информација из анализе нивоа пакета може бити једнако лако као и читање контролне табле. Уз то ће вам требати нешто више од површинског знања о ономе што се дешава унутар мреже. Али, опет, овде нема ракетне науке, нема искривљене логике за свладавање – само здрав разум.

Ако почнете да читате документацију једног од ових алата док их користите у мрежи, прилично брзо ћете постати стручњак. ��

Виресхарк

Виресхарк је стари пројекат (започет још 1998. године) који је прилично индустријски стандард када је у питању роњење дубоко у мреже. Импресивно је када узмете у обзир да се ради о чисто волонтерској организацији коју подржавају неки великодушни спонзори. Виресхарк остаје опен соурце (није на ГитХуб-у, али се може пронаћи код овде) и чак има и технологију конференција на његово име!

Међу многим могућностима Виресхарка су:

  • Подршка за стотине мрежних протокола.
  • Интероперабилни са многим форматима датотека (тцпдумп (либпцап), Пцап НГ, Цатапулт ДЦТ2000, Цисцо Сецуре ИДС иплог, Мицрософт Нетворк Монитор, Нетворк Генерал Сниффер® (компримовани и некомпримовани), Сниффер® Про, НетКсраи® и тако даље).
  • Покретање на готово свим платформама (Линук, Виндовс, мацОС, Соларис, ФрееБСД и још много тога).
  • Читање података уживо са Етхернета, ИЕЕЕ 802.11, ППП / ХДЛЦ, банкомата, Блуетоотх, УСБ, Токен Ринг, између осталих.
  • Летећа гзип декомпресија.
  • Подржани су пуно протокола дешифрирања (ВПА / ВПА2, СНМПв3, итд.)
  • Опсежна ВоИП анализа
  • Правила бојења за брже визуелно скенирање

Погледајте овај фантастични онлине курс на научим вас да савладате Виресхарк.

тцпдумп

Ако сте стара школа (прочитајте хардцоре наркоман хардцоре), тцпдумп је за тебе.

То је још један од оних икона Линук алата (попут цурл-а) који остаје релевантан као и увек, толико да се на њему граде готово сви други „фанциер“ алати. Као што сам рекао прије, не постоји графичко окружење, али алат више него што то надокнађује.

Али његово инсталирање може бити бол; док тцпдумп долази у пакету са већином модерних дистрибуција Линука, ако ваша не постоји, на крају ћете морати да правите из извора.

команде тцпдумп су кратке и једноставне, усмерене на решавање одређеног проблема као што су:

  • Приказивање свих расположивих интерфејса
  • Снимање само једног од интерфејса
  • Спремање заробљених пакета у датотеку
  • Снимање само неуспелих пакета

. . . и тако даље.

Ако су ваше потребе једноставне и требате покренути брзо скенирање, тцпдумп може бити одлична опција коју треба размотрити (посебно ако укуцате тцпдумп и откријете да је већ инсталиран!).

НетворкМинер

Промовисање себе као алат за форензичку анализу мреже (ФНАТ), НетворкМинер је један од најбољих анализатора нивоа пакета на које ћете наићи. То је алат отвореног кода који може пасивно анализирати мрежу и долази са импресивним ГУИ интерфејсом за анализу који може приказати појединачне слике и друге пренесене датотеке.

Али то није све. НетворкМинер долази са одличним осталим функцијама као што су:

  • ИПв6 подршка
  • Анализа ПЦАП датотека
  • Издвојите Кс.509 цертификате из ССЛ шифрованог промета
  • Пцап-овер-ИП
  • Ради са неколико врста саобраћаја, као што су ФТП, ТФТП, ХТТП, СМБ, СМБ2, СМТП, ПОП3, итд..
  • Отисак прста на ОС-у
  • Гео ИП локализација
  • Подршка за скрипте из командне линије

Имајте на уму да су неке од ових функција доступне у комерцијалној верзији.

Фиддлер

За разлику од других пасивних снајперских мрежа, Фиддлер је нешто што се налази између вашег уређаја и спољног света и стога захтева одређено подешавање (је ли то разлог зашто су га назвали „Фиддлер“? ��).

То је прилагодљив (помоћу ФиддлерСцрипт) бесплатног алата који има дугу и угледну историју, тако да ако је ваш циљ да њушите ХТТП / ХТТПС саобраћај као шеф, Фиддлер је пут.

Можете пуно да урадите са Фиддлером, нарочито ако сте расположени да навучете хакерски дуксер:

  • Сесија манипулација: Отворите ХТТП заглавља и податке сесија, мењајући их на било који начин.
  • Сигурносно тестирање: Омогућује вам да симулирате нападе ман-ин-средине и дешифрује сав ХТТПС саобраћај за вас.
  • Тестирање перформанси: Анализирајте времена учитавања странице (или АПИ одговора) и видите који је део одговора уско грло.

У случају да се осећате изгубљено, документацију је врло добар и топло се препоручује.

ВинДумп

Ако вам недостаје једноставност тцпдумп-а и желите да је унесете у своје Виндовс системе, поздравите ВинДумп. Једном инсталиран, он функционише из командне линије тако што упишете “тцпдумп” на исти начин на који услужни програм ради на Линук системима.

Имајте на уму да се по себи не може ништа инсталирати; ВинДумп је бинарни фајл који се може покренути одмах под условом да имате инсталирану Пцап библиотеку (нпцап препоручује се јер винпцап више није у развоју).

ОмниПеек

За веће мреже које имају на тоне МБ-а података који пролазе кроз њих сваке секунде, алати које сви остали могу изгубити мало паре. Ако се суочите са истим, ОмниПеек можда вреди погледати.

То је алат за перформансе, аналитику и форензику за анализу мрежа, посебно када су вам потребне како ниске могућности тако и свеобухватне контролне табле.

Извор: сниффвифи.цом

Ако сте већа организација која тражи озбиљну понуду, на располагању је пробно раздобље од 30 дана овде.

Цапса

Ако вас занима само Виндовс платформа, Цапса је такође озбиљан кандидат. Долази у три верзије: бесплатној, стандардној и компанијској, од којих свака има различите могућности.

Упркос томе, чак и бесплатна верзија подржава преко 300 протокола и има занимљиве функције попут упозорења (активира се када се испуне одређени услови). Стандардна понуда је изнад нивоа, подржава 1000+ протокола и омогућава вам да анализирате разговоре и реконструишете пакетне токове.

Све у свему, солидна опција за Виндовс кориснике.

ЕтхерАпе

Ако су снажне визуализације и отворени извори оно што тражите, ЕтхерАпе је одлична опција. Док су унапред уграђени бинарни подаци доступни само за неколико Линук дистрибуција, извор је доступан (и на СоурцеФорге и ГитХуб), тако да је самостално правити га.

Ево шта ЕтхерАпе чини по мом мишљењу:

  • Мулти-чвор, праћење у боји.
  • Подршка за тону формата пакета као што су ЕТХ_ИИ, 802.2, 803.3, ИП, ИПв6, АРП, Кс25Л3, РЕВАРП, АТАЛК, ААРП, ИПКС, ВИНЕС, ТРАИН, ЛООП, ВЛАН, итд. (Заправо, много, пуно, много више).
  • Читајте податке уживо са „жице“ или из тцпдумп датотеке.
  • Подржава стандардну резолуцију имена
  • Као и код најновијих верзија, ГУИ је премештен у ГТК3, што је резултирало угоднијим искуством.

ЦоммВиев

Ако сте продавница која укључује Виндовс и цените погодност приоритета подршке, ЦоммВиев препоручује. То је моћан анализатор мрежног саобраћаја са уграђеним напредним функцијама као што су ВоИП анализа, даљинско праћење итд.

Највише ме се дојмила његова способност извоза података у формате које користи неколико отворених и власничких формата, попут Сниффер®, ЕтхерПеек ™, АироПеек ™, Обсервер®, НетМон, Виресхарк / Тцпдумп и Виресхарк / пцапнг, па чак и обичних шестерокутних одлагалишта.

Вифи Екплорер

Последњи на листи је Вифи Екплорер, која има бесплатну верзију за Виндовс и стандардну верзију за Виндовс и мацОС. Ако је анализа ВиФи мреже све што вам је потребно (што је поприлично стандард ових дана), тада ће вам Вифи Екплорер олакшати живот.

То је дивно дизајниран и богат алат за резање право у срце мреже.

Почасни спомен: Било би штетно затворити овај пост без спомињања мацОС-овог ексклузивног мрежног анализатора на који сам наишао – Литтле Снитцх. Уграђен је заштитни зид, тако да добијате додатну корист што вам омогућава да савршено контролишете сав саобраћај (што може изгледати као да боли, али дугорочно представља огроман добитак).

Ако желите да изградите каријеру у мрежи и сигурности, погледајте неке од ових овде најбољи курсеви.

Ништа у животу није савршено или цјеловито, а исто је и с овом листом.

Сигурна сам да има доста других бесплатних / комерцијалних / анализатора пакета (снифферс) који нису у фази развоја и који су ми недостајали. Ако је тако, молим вас да ми помогнете да овај чланак учиним бољим са вашим подацима. ?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map