Net Admin

11 Bedste Packet Sniffers i 2022



Pakkesnusninger et almindeligt udtryk, der refererer til kunsten at analysere netværkstrafik.

Der er mange kraftfulde værktøjer derude, der indsamler netværkstrafikaktivitet, og de fleste af dem brugerpcap(Unix-lignende systemer) ellerlibcap(Windows-systemer) i deres kerne til at gøre den faktiske indsamling.



Packet sniffing software er designet til at hjælpe med at analysere disse indsamlede pakker, fordi selv en lille mængde data kan resultere i tusindvis af pakker, som kan være svære at navigere.

Vi har rangeret følgende pakkeanalysatorer i henhold til følgende generelle overvejelser: nyttige funktioner, pålidelighed, nem installation, integration, brug, mængden af ​​tilbudt hjælp og support, hvor godt softwaren er opdateret og vedligeholdt, og hvor velrenommerede udviklerne er i industrien.



Her er vores liste over de bedste pakkesniffere:

  1. SolarWinds Deep Packet Inspection and Analysis Tool REDAKTØRENS VALGGiver detaljeret indsigt i, hvad der forårsager netværkets langsomhed og bruger dyb pakkeinspektion for at give dig mulighed for at løse de grundlæggende årsager. Du kan identificere trafik efter applikation, kategori og risikoniveau for at eliminere og filtrere problemtrafik. Med en fantastisk brugergrænseflade er denne fremragende pakkesniffningssoftware perfekt til netværksanalyse. Download en 30-dages gratis prøveperiode.
  2. ManageEngine NetFlow Analyzer Et trafikanalyseværktøj, der fungerer med NetFlow, J-Flow, sFlow Netstream, IPFIX og AppFlow
  3. Paessler Packet Capture ToolEn pakkesniffer, en NetFlow-sensor, en sFlow-sensor og en J-Flow-sensor indbygget i Paessler PRTG.
  4. Omnipeek Network Protocol Analyzer En netværksmonitor, der kan udvides til at fange pakker.
  5. tcpdumpDet essentielle gratis pakkefangstværktøj, som enhver netværksadministrator har brug for i sit værktøjssæt.
  6. VinddumpEn gratis klon af tcpdump skrevet til Windows-systemer.
  7. WiresharkEt velkendt gratis pakkeopsamlings- og dataanalyseværktøj.
  8. hajEt letvægts svar til dem, der ønsker Wiresharks funktionalitet, men den slanke profil af tcpdump.
  9. NetworkMinerEn Windows-baseret netværksanalysator med en gratis version uden dikkedarer.
  10. ViolinistEt pakkefangstværktøj, der fokuserer på HTTP-trafik.
  11. CapsaSkrevet til Windows, det gratis pakkeopsamlingsværktøj kan opgraderes mod betaling for at tilføje analytiske funktioner.

Fordele ved packet sniffing

En pakkesniffer er et nyttigt værktøj til at sætte dig i stand til at implementere din virksomheds netværkskapacitetspolitik. De vigtigste fordele er, at de:

  • Identificer overbelastede links
  • Identificer applikationer, der genererer mest trafik
  • Indsaml data til prædiktiv analyse
  • Fremhæv toppe og lavpunkter i netværksefterspørgslen

De handlinger, du foretager, afhænger af dit tilgængelige budget. Hvis du har ressourcerne til at udvide netværkskapaciteten, vil pakkesnifferen gøre dig i stand til at målrette nye ressourcer mere effektivt. Hvis du ikke har noget budget, vil packet sniffing hjælpe med at forme trafikken gennem prioritering af programtrafik, ændring af størrelse på undernet, omlægning af begivenheder med tung trafik, begrænsning af båndbredde for specifikke applikationer eller udskiftning af applikationer med mere effektive alternativer.

Promiskuøs tilstand

Det er vigtigt at forstå, hvordan netværkskortet på din computer fungerer, når du installerer software til pakkesniffing. Grænsefladen fra din computer til netværket kaldes 'netværksinterface controller' eller NIC. Dit NIC vil kun opfange internettrafik, der er adresseret til dens MAC-adresse.

For at fange generel trafik skal du sætte dit NIC i 'promiskuøs tilstand”. Dette fjerner lyttegrænsen på NIC. I promiskuøs tilstand vil dit NIC opfange al netværkstrafik. De fleste pakkesniffere har et værktøj i brugergrænsefladen, der styrer tilstandsskiftet for dig.

Netværkstrafiktyper

Netværkstrafikanalyse kræver en forståelse af, hvordan netværk fungerer. Der er intet værktøj, der på magisk vis fjerner kravet om, at en analytiker skal forstå det grundlæggende i netværk, såsom TCP-trevejshåndtrykket, som bruges til at starte en forbindelse mellem to enheder. Analytikere bør også have en vis forståelse af de typer netværkstrafik, der findes på et normalt fungerende netværk, såsom ARP- og DHCP-trafik. Denne viden er vigtig, fordi analyseværktøjer bare vil vise dig, hvad du beder om - det er op til dig at vide, hvad du skal bede om. Hvis du ikke er sikker på, hvordan dit netværk ser ud normalt, kan det være svært at sikre, at du graver efter det rigtige i massen af ​​pakker, du har indsamlet.

Virksomhedsværktøjer

Lad os starte på toppen og arbejde os ned i det nøgne basale. Hvis du har at gøre med et netværk på virksomhedsniveau, har du brug for de store kanoner. Mens næsten alt bruger tcpdump i sin kerne (mere om det senere), kan værktøjer på virksomhedsniveau give andre analytiske funktioner såsom at korrelere trafik fra mange servere, levere intelligente forespørgselsværktøjer til at spotte problemer, advare om undtagelsestilfælde og producere flotte grafer, der ledelseskrav.

Værktøjer på virksomhedsniveau har en tendens til at fokusere på netværkstrafikflow frem for at bedømme pakkeindhold. Med det mener jeg, at fokus for de fleste sysadmins i en virksomhed er at holde netværket nynnende uden præstationsflaskehalse. Når der opstår flaskehalse, er målet normalt at afgøre, om problemet er netværket eller en applikation på netværket. På den anden side af medaljen er disse værktøjer på virksomhedsniveau normalt i stand til at se så meget trafik, at de kan hjælpe med at forudsige, hvornår et netværkssegment vil mættes, hvilket er et kritisk element i kapacitetsstyring.

Hacker værktøjer

Pakkesniffer bruges også af hackere. Vær opmærksom på, at disse værktøjer kan bruges til at angribe dit netværk samt til at løse problemer. Pakkesniffer kan bruges somaflytterefor at hjælpe med at stjæle data under transport, og de kan også bidrage til 'mand i midten” angreb, der ændrer data i transit og omdirigerer trafik for at bedrage en bruger på netværket. Investere i indbrudsdetektion systemer til at beskytte dit netværk mod disse former for uautoriseret adgang

Hvordan fungerer Packet Sniffers og Network Analyzere?

Pakkesnifferdiagram

Detnøglefunktion ved en pakkesniffer er, at den kopierer data, mens den bevæger sig over et netværk og gør den tilgængelig til visning. Sniffenheden kopierer simpelthen alle de data, som den ser passere over et netværk. Når de er implementeret på en switch, tillader indstillingerne af enheden, at den passerende pakke sendes til en anden port såvel som den tilsigtede destination, hvilket duplikerer trafikken. Normalt bliver de datapakker, der høstes fra netværket, kopieret til en fil. Nogle værktøjer vil også vise disse data i et dashboard. Imidlertid,pakkesniffer kan samle en masse data, som inkluderer kodet admin information. Det bliver du nødt tilfinde et analyseværktøj, der kan hjælpe dig med at dereferere informationom rejsen af ​​pakkerne i uddraget og andre oplysninger, såsom relevansen af ​​de portnumre, som pakkerne rejser imellem.

En ligetil pakkesniffer kopierer over alle de pakker, der rejser på netværket.Dette kan være et problem. Hvis dette er tilfældet, er indholdet af pakken ikke nødvendigt til analyse af netværkets ydeevne. Hvis du ønsker at spore netværksbrug over en 24 timers periode eller over et par dage, så vil lagring af hver pakke optage en meget stor mængde diskplads - også selvom du kun tager pakkehovederne ind. I disse scenarier er det tilrådeligt at prøve pakker, hvilket betyder at kopiere hver 10. eller 20. pakke i stedet for at kopiere over hver enkelt.

De bedste pakkesniffere

De værktøjer, jeg har angivet i denne artikel, kan bruges af erfarne netværksadministratorer, som allerede ved, hvad de leder efter, men som ikke er sikre på, hvilke værktøjer der er bedst. De kan også bruges af mere junior sysadmins til at få erfaring med, hvordan moderne netværk ser ud under den daglige drift, hvilket vil hjælpe med at identificere netværksproblemer senere.

Vores metode til at vælge en pakkesniffer

Vi gennemgik markedet for pakkesniffere og analyserede mulighederne ud fra følgende kriterier:

  • Evnen til at læse pakkehoveder og identificere kilde- og destinationsadresser
  • En protokolanalysator, der kan kategorisere trafik efter app
  • Muligheden for at fange alle pakker eller prøve hver n'te pakke
  • Evnen til at kommunikere med switche og routere gennem NetFlow og andre trafikanalyseprotokolsprog
  • Værktøjer til kapacitetsplanlægning og trafikformning
  • En gratis prøveperiode eller pengene-tilbage-garanti for ingen risikovurdering
  • Et gratis værktøj, der er værd at installere eller et betalt værktøj, der er prisen værd

Næsten alle disse værktøjer samles på samme måde; det er analysen, der adskiller dem.

1. SolarWinds Deep Packet Inspection and Analysis Tool (GRATIS PRØVE)

SolarWinds NPM QoE DPI-pakkeinspektion

SolarWindser en omfattende suite af IT-administrationsværktøjer. Det værktøj, der er mere relevant for denne artikel, erDeep Packet Inspection and Analysis værktøj.

Nøglefunktioner:

  • Kategoriserer netværkstrafik
  • Protokolstakanalysator
  • Live overvågning
  • Understøtter trafikformning
  • 30 dages gratis prøveperiode

Indsamling af netværkstrafikaktivitet er relativt ligetil. Ved at bruge værktøjer som WireShark er grundlæggende niveauanalyse heller ikke en showstopper. Men ikke alle situationer er så skåret og tørret. I et travlt netværk kan det være svært at bestemme selv nogle grundlæggende ting som:

  • Hvilken applikation på det lokale netværk skaber denne trafik?
  • Hvis applikationen er kendt (f.eks. en webbrowser), hvor bruger folk det meste af deres tid?
  • Hvilke forbindelser tager længst tid og hænger sammen med netværket?

De fleste netværksenheder bruger bare hver pakkes metadata for at sikre, at pakken når, hvor den skal hen. Indholdet af pakken er ukendt for netværksenheden. Deep Packet Inspection er anderledes; det betyder, at det faktiske indhold af pakken bliver inspiceret for at lære mere om det.

Kritisk netværksinformation, der ikke kan hentes fra metadataene, kan opdages på denne måde. Værktøjer som dem, der leveres af SolarWinds, kan give mere meningsfulde data end blot trafikflow.

solarwindows-dpi-app-identifikation

Andre teknikker til styring af højvolumenetværk omfatter NetFlow og sFlow. Hver har sine styrker og svagheder, og du kan læse mere om NetFlow og sFlow teknikker her .

Netværksanalyse er generelt et avanceret emne, der er halvt erfaring og halvt træning. Det er muligt at træne nogen til at forstå alle detaljer om netværkspakker. Alligevel, medmindre denne person også har kendskab til målnetværket og en vis erfaring til at identificere uregelmæssigheder, kommer de ikke ret langt.

SolarWinds NPM QoE Node tærskler

Fordele:

  • Tilbyder en kombination af DPI- og analysefunktioner, hvilket gør dette til en fantastisk alt-i-en mulighed for detaljeret fejlfinding og sikkerhedsrevision
  • Suiten er bygget til virksomheden og tilbyder robust dataindsamling og en række muligheder for at visualisere og søge i indsamlede data
  • Understøtter både NetFlow- og sFlow-samling, hvilket giver den mere fleksibilitet til netværk med større volumen
  • Farvekodning og andre visuelle spor hjælper administratorer med at finde problemer hurtigt før en dybdegående analyse

Ulemper:

  • Meget avanceret værktøj, bygget med netværksprofessionelle i tankerne, ikke ideelt til hjemmebrugere eller hobbyfolk

REDAKTØRENS VALG

SolarWinds Network Performance Monitor-tilstand giver detaljeret indsigt i, hvad der forårsager netværkets langsomhed og giver dig mulighed for hurtigt at løse hovedårsagerne ved hjælp af dyb pakkeinspektion. Ved at identificere trafik efter applikation, kategori (forretning vs. social) og risikoniveau kan du eliminere og filtrere problemtrafik og måle applikationens responstid. Med en fantastisk brugergrænseflade er denne fremragende pakkesniffningssoftware perfekt til netværksanalyse.

Få 30 dages gratis prøveperiode:www.solarwinds.com/topics/deep-packet-inspection/

DU:Microsoft Windows Server 2016 & 2019

2. Paessler Packet Capture Tool (GRATIS PRØVE)

Paessler PRTG-kort til Packet Sniffing

Paessler Packet-Capture-Tool PRTG: All-In-One-Monitoring er et samlet infrastrukturovervågningsværktøj. Det hjælper dig med at administrere dit netværk og dine servere. Netværksovervågningssegmentet af hjælpeprogrammet dækker to typer opgaver. Disse er en netværksydelsesmonitor, som undersøger statussen af ​​netværksenheder og en netværksbåndbreddeanalysator, som dækker strømmen af ​​trafik over links i netværket.

Nøglefunktioner:

  • Fire pakkefangstsensorer
  • Live trafik grafer
  • Fejlfinding af ydeevne
  • Trafikalarmer

Båndbreddeanalysedelen af ​​PRTG implementeres ved brug af fire forskellige pakkefangstværktøjer. Disse er:

  • En pakkesniffer
  • En NetFlow-sensor
  • sFlow-sensoren
  • En J-Flow sensor

PRTG-pakkesnifferen fanger kun overskrifterne på de pakker, der rejser på tværs af dit netværk. Dette giver pakkeanalysatoren en hastighedsfordel, og det reducerer også mængden af ​​lagerplads, der er nødvendig for at opbevare optagelsesfiler. Pakkesnifferens dashboard kategoriserer trafik efter applikationstype. Disse omfatter e-mail-trafik, webpakker, chat-app trafikdata og filoverførselspakkevolumener.

Paessler Packet Sniffer Sensor

NetFlow er et meget udbredt dataflow-meddelelsessystem. Det blev skabt af Cisco Systems, men det bruges også til udstyr produceret af andre producenter. PRTG NetFlow-sensoren opfanger også IPFIX-meddelelser — denne meddelelsesstandard er en IETF -sponsoreret efterfølger til NetFlow. J-Flow-metoden er et lignende meddelelsessystem, der bruges af Juniper Networks til sit udstyr. sFlow-standarden prøver trafikstrømme, så den vil indsamle hver n'te pakke. NetFlow og J-Flow fanger begge kontinuerlige strømme af pakker.

Paessler PRTG Switch Port Spejling

Paessler priser sin PRTG-software på antallet af 'sensorer', som en implementering aktiverer. En sensor er en systemtilstand eller hardwarekomponent. For eksempel tæller hver af de fire pakkesniffere, der tilbydes af Paessler, som én PRTG-sensor. Systemet er gratis at bruge, hvis du aktiverer 100 sensorer eller derunder, så hvis du kun bruger denne pakke til dens pakkesnif-grænseflader, skal du ikke betale Paessler noget.

Fordele:

  • Designet til at være et infrastrukturovervågningsværktøj, der understøtter flere sensortyper såsom NetFlow, sFlow og J-Flow
  • Giver brugerne mulighed for at tilpasse sensorer baseret på den type applikation eller server, de tester
  • Optager kun pakkehoveder, hjælper med at fremskynde analysen og holde lageromkostningerne nede til langsigtet indsamling
  • Bruger enkel, men intuitiv graftegning til trafikvisualisering

Ulemper:

  • Meget detaljeret platform - tager tid at lære og fuldt ud udnytte alle de tilgængelige funktioner

Paessler-systemet inkluderer mange andre netværks- og serverovervågningsfunktioner, herunder en virtualiseringsmonitor og en applikationsmonitor. PRTG kan installeres på stedet, eller du kan få adgang til det som en cloud-tjeneste. Softwaren kører på Windows-miljøer, og du kan få den på en30 dages gratis prøveperiode.

Paessler Packet Capture Tool PRTG Download 30-dages GRATIS prøveversion

3. ManageEngine NetFlow Analyzer

ManageEngine NetFlow Analyzer DetManageEngine NetFlow Analyzertager trafikoplysninger fra dine netværksenheder. Du kan vælge at prøve trafik, fange hele strømme eller indsamle statistik om trafikmønstre med dette værktøj.

Nøglefunktioner:

  • SNMP-baseret
  • Trafikformning
  • NetFlow, IPFIX, sFlow, J-Flow, NetStream, AppFlow

Producenterne af netværksenheder bruger ikke alle den samme protokol til at kommunikere trafikdata. NetFlow Analyzer er således i stand til at bruge forskellige sprog til at indsamle information. Disse omfatter Cisco NetFlow , Juniper Networks J-Flow , og Huawei Netstream . Den er også i stand til at kommunikere med sFlow , IPFIX , og AppFlow standarder.

Monitoren er i stand til at spore konsistensen af ​​datastrømme såvel som belastningen på hver netværksenhed. Trafikanalysefunktioner giver dig mulighed for se pakker når de passerer gennem en enhed og fanger dem til fil. Denne synlighed vil gøre dig i stand til at se, hvilke netværksapplikationer, der tygger det meste af din båndbredde, og tage beslutninger om trafikformende foranstaltninger, såsom prioritetskø eller drosling.

Systemets dashboard har farvekodet grafik, som gør din opgave med at opdage problemer meget nemmere. Det attraktive udseende og følelse af konsollen hænger sammen med andre ManageEngine-infrastrukturovervågningsværktøjer, fordi de alle var bygget på en fælles platform. Dette gør, at den kan integreres med flere ManageEngine-produkter. For eksempel er det meget almindeligt, at netværksadministratorer køber bådePå lederog NetFlow Analyzer fra Manage Engine.

OpManager overvåger enhedernes status med SNMP procedurer, som NetFlow Analyzer fokuserer på trafikniveauer og pakkeflowmønstre.

ManageEngine NetFlow Analyzer installeres på Windows , Windows Server , og RHEL , CentOS , Fedora , Debian , SUSE , og Ubuntu Linux . Systemet tilbydes i to udgaver.

Essential-udgaven giver dig standardnetværkstrafikovervågningsfunktioner plus et rapporterings- og faktureringsmodul. Den højere plan kaldes Enterprise Edition. Dette har alle funktionerne i Essential Edition plus N.B.A.R & CBQoS overvågning, et avanceret sikkerhedsanalysemodul, kapacitetsplanlægningsværktøjer og dybe pakkeinspektionsfunktioner. Denne udgave inkluderer også IP SLA og WLC overvågning.

Fordele:

  • Fremragende brugergrænseflade, nem at navigere og forbliver overskuelig, selv når den bruges på højvolumenetværk
  • Understøtter flere netværksteknologier såsom Cisco Netflow, Juniper Networks J-Flow og Huawei Netstream, hvilket gør det til en hardware-agnostisk løsning
  • Forudbyggede skabeloner giver dig mulighed for at hente indsigt fra pakkeoptagelse med det samme
  • Installeres på Windows såvel som på flere varianter af Linux
  • Bygget til virksomheden og tilbyder SLA-sporings- og overvågningsfunktioner

Ulemper:

  • Bygget til virksomhedsvirksomheder, der behandler mange data, ikke det bedste til små LAN'er eller hjemmebrugere

Du kan få begge udgaver af NetFlow Analyzer på en 30-dages gratis prøveperiode .

4. Omnipeek Network Protocol Analyzer

Omnipeek Network Protocol Analyzer

LiveAction Omnipeek, tidligere et produkt af Savvius , er en netværksprotokolanalysator, der kan bruges til at fange pakker samt producere protokolanalyse af netværkstrafik.

Nøglefunktioner:

  • Protokolanalysator
  • Pakkefangstværktøj
  • Også til trådløse netværk

Omnipeek kan udvides med plug-ins. Det centrale Omnipeek-system fanger ikke netværkspakker. Men tilføjelsen af Capture Engine plug-in får pakkefangst fungere. Capture Engine-systemet opfanger pakker på et kablet netværk; en anden udvidelse, kaldet Wifi Adapter tilføjer trådløse muligheder og gør det muligt at fange Wifi-pakker gennem Omnipeek.

Funktionerne i basis Omnipeek Network Protocol Analyzer udvides til overvågning af netværkets ydeevne. Ud over at angive trafik efter protokol, vil softwaren måle overførselshastigheden og regelmæssigheden af ​​trafikken, rejsning af alarmer hvis trafikken går langsommere eller kører forbi grænsebetingelser fastsat af netværksadministratoren.

Trafikanalysatoren kan spore ende til ende overføre ydeevne på tværs af et helt netværk, eller bare overvåge hvert netværk link . Andre funktioner overvåger grænseflader, herunder indgående trafik, der ankommer til webservere uden for netværket. Softwaren er især interesseret i trafikgennemstrømning og en visning af trafik pr. protokol. Data kan ses som lister over protokoller og deres gennemløb eller som levende grafer og diagrammer. Pakker fanget med Capture Engine kan være gemt til analyse eller afspilles på tværs af netværket for kapacitetstest .

Fordele:

  • Letvægtsinstallation, yderligere funktioner kan udvides gennem plug-ins
  • Understøtter ethernet og trådløs pakkeoptagelse
  • Tilbyder pakkeafspilning til test og kapacitetsplanlægning

Ulemper:

  • Grænsefladen kunne forbedres, især omkring værktøjslinjesektionen

Omnipeek installeres på Windows og Windows Server. Systemet er ikke gratis at bruge. Det er dog muligt at få Omnipeek på en 30-dages gratis prøveperiode.

5. tcpdump

Det grundlæggende værktøj til næsten al netværkstrafikindsamling er tcpdump . Det er en open source-applikation, der kommer installeret på næsten alle Unix-lignende operativsystemer. Tcpdump er et fremragende indsamlingsværktøj og leveres komplet med et meget komplekst filtreringssprog. Det er vigtigt at vide, hvordan man filtrerer dataene på indsamlingstidspunktet for at ende med en håndterbar del af data at analysere. Indfangning af alle data fra en netværksenhed på selv et moderat travlt netværk kan skabe for mange data til at kunne analyseres effektivt.

Nøglefunktioner:

  • Kommandolinjeværktøj
  • Pakkefangst
  • Gratis at bruge

I nogle sjældne tilfælde kan det være nok at tillade tcpdump at udsende sin optagelse direkte på din skærm til at finde det, du leder efter. For eksempel, da jeg skrev denne artikel, fangede jeg noget trafik og bemærkede, at min maskine sendte trafik til en IP-adresse, jeg ikke genkendte. Det viser sig, at min maskine sendte data til en Google IP-adresse på 172.217.11.142. Da jeg ikke havde nogen Google-produkter kørende eller Gmail åben, vidste jeg ikke, hvorfor dette skete. Jeg undersøgte mit system og fandt dette:

|_+_|

Det ser ud til, at selv når Chrome ikke kører i forgrunden, forbliver den kørende som en tjeneste. Jeg ville ikke nødvendigvis have bemærket dette uden en pakkeanalyse til at tippe mig. Jeg genfangede nogle flere tcpdump-data, men denne gang bad tcpdump om at skrive dataene til en fil, som jeg åbnede i Wireshark (mere om det senere). Her er denne post:

wireshark-google tcpdump

Tcpdump er et yndet værktøj blandt sysadmins, fordi det er et kommandolinjeværktøj. Dette betyder, at det ikke kræver et fuldt udbygget skrivebord for at køre. Det er usædvanligt, at produktionsservere har et skrivebord på grund af de ressourcer, der ville tage, så kommandolinjeværktøjer foretrækkes. Som med mange avancerede værktøjer har tcpdump et meget rigt og mystisk sprog, der tager lidt tid at mestre.

Fordele:

  • Open source-værktøj understøttet af et stort og dedikeret fællesskab
  • Letvægtsapplikation – bruger CLI til de fleste kommandoer
  • Helt gratis

Ulemper:

  • Er ikke så brugervenlig som andre muligheder
  • Bruger et kompliceret forespørgselssprog til filtrering
  • Pakkefangst kan kun læses af programmer, der kan læse pcap-filer, ikke gemt i almindelige tekstfiler

Nogle få af de helt basale kommandoer involverer at vælge netværksgrænsefladen, hvorfra der skal indsamles data, og at skrive disse data til en fil, så de kan eksporteres til analyse andre steder. Den |_+_| og |_+_| kontakter bruges til dette.

|_+_|

Dette producerer en optagelsesfil:

|_+_|

Standard TCP-opsamlingsfilen er en |_+_| fil. Det er ikke tekst, så det kan kun læses af et analyseprogram, der ved, hvordan man læser pcap-filer.

6. WinDump

De fleste nyttige open source-værktøjer klones til sidst til andre operativsystemer. Når dette sker, siges ansøgningen at have væretporteretover. WinDump er en port af tcpdump og opfører sig på meget lignende måder.

Nøglefunktioner:

  • Tcpdump til Windows
  • Virker med WinPcap
  • Gratis at bruge

En stor forskel mellem WinDump og tcpdump er, at Windump skal have WinpCap-biblioteket installeret, før det kan køre WinDump. På trods af at både WinDump og WinpCap leveres af den samme vedligeholder, er de separate downloads.

WinpCap er et egentligt bibliotek, der skal installeres. Men når først den er installeret, er WinDump en .exe-fil, der ikke behøver nogen installation, så den kan bare køre. Det kan være noget at huske på, hvis du kører et Windows-netværk. Du behøver ikke nødvendigvis WinDump installeret på hver maskine, da du bare kan kopiere den over efter behov, men du vil have WinpCap installeret for at understøtte WinDump.

Som med tcpdump kan WinDump udlæse netværksdata til skærmen til analyse, filtreres på samme måde og også skrive data til en pcap-fil til analyse offsite.

Fordele:

  • Open source-værktøj, meget lig tcpdump med hensyn til grænseflade og funktionalitet
  • Kører via eksekverbar, ingen lange installationer er nødvendige
  • Stort støttende fællesskab

Ulemper:

  • Er ikke så brugervenlig som andre muligheder
  • Kræver WinpCap-bibliotek installeret på Windows-systemer
  • Bruger et kompliceret forespørgselssprog til filtrering

7. Wireshark

Wireshark er sandsynligvis det næstmest kendte værktøj i enhver sysadmins værktøjskasse. Det kan ikke kun fange data, men giver også nogle avancerede analyseværktøjer. Ud over sin appel er Wireshark open source og er blevet overført til næsten alle serveroperativsystemer, der eksisterer. Wireshark starter livet med navnet Ethereal og kører nu overalt, inklusive som en selvstændig bærbar app.

Nøglefunktioner:

  • Væsentligt værktøj til netværk
  • Forespørgselssprog
  • Gratis at bruge

Hvis du analyserer trafik på en server med en desktop installeret, kan Wireshark gøre det hele for dig. De indsamlede pakker kan derefter analyseres på ét sted. Desktops er dog ikke almindelige på servere, så i mange tilfælde vil du gerne fange netværksdatapakkerne eksternt og derefter trække den resulterende pcap-fil ind i Wireshark.

Ved første lancering giver Wireshark dig mulighed for enten at indlæse en eksisterende pcap-fil eller begynde at optage. Hvis du vælger at fange netværkstrafik, kan du eventuelt angive filtre for at reducere mængden af ​​data, som Wireshark indsamler. Da dets analyseværktøjer er så gode, er det mindre vigtigt at sikre, at du kirurgisk identificerer dataene ved indsamlingstidspunktet med Wireshark. Hvis du ikke angiver et filter, vil Wireshark simpelthen indsamle alle netværksdata, som din valgte grænseflade observerer.

wireshark-lancering

Et af de mest nyttige værktøjer, Wireshark giver, er evnen til at følge enstrøm. Det er nok mest nyttigt at tænke på en strøm som en hel samtale. På skærmbilledet nedenfor kan vi se, at en masse data er blevet fanget, men det, jeg er mest interesseret i, er den Google IP-adresse. Jeg kan højreklikke på den ogFølge efterTCP-strømmen for at se hele samtalen.

wireshark-follow-tcp-stream

Hvis du har fanget trafik andre steder, kan du importere pcap-filen ved hjælp af WiresharksFil->Åbendialog. De samme filtre og værktøjer, som kan bruges til indbyggede netværksdata, er tilgængelige for importerede filer.

wireshark-open-pcap

Fordele:

  • Et af de mest populære snifferværktøjer med et massivt fællesskab bag sig
  • Open source-projekt, der tilføjer nye funktioner og plugins
  • Understøtter pakkeindsamling og analyse i det samme program

Ulemper:

  • Har en stejl indlæringskurve, designet til netværksprofessionelle
  • Filtrering kan tage tid at lære, samler alt som standard, hvilket kan være overvældende på store netværk

8. Haj

Haj er en praktisk krydsning mellem tcpdump og Wireshark. Tcpdump udmærker sig ved at indsamle datapakker og kan meget kirurgisk kun udtrække de data, du ønsker, men det er begrænset i, hvor nyttigt det kan være til analyse. Wireshark gør et godt stykke arbejde med både indsamling og analyse, men da den har en tung brugergrænseflade, kan den ikke bruges på hovedløse servere. Indtast TShark; den fanger og analyserer, men gør det sidste på kommandolinjen.

Nøglefunktioner:

  • Kommandolinje
  • Baseret på Wireshark
  • Gratis at bruge

TShark bruger de samme filtreringskonventioner som Wireshark, hvilket ikke burde være nogen overraskelse, da de i det væsentlige er det samme produkt. Denne kommando fortæller TShark kun at besvære at fange destinations-IP-adressen samt nogle andre interessante felter fra HTTP-delen af ​​pakken.

|_+_|

Hvis du vil fange til en fil, kan du bruge |_+_| skift for at skrive det, og brug derefter TSharks |_+_| (læsetilstand) skifte for at læse den.

Optag først:

|_+_|

Læs den, enten på den samme server, eller overfør den til en anden analyseserver.

|_+_|

Fordele:

  • Giver mulighed for mere præcis dataindsamling, hvilket tillader nemmere filtreringsmuligheder end lignende værktøjer
  • Fungerer på samme måde som Wireshark, hvilket gør det nemmere at bruge for dem, der har brugt Wireshark
  • Mere CLI-fokuseret, hvilket gør det til et populært valg for dem, der foretrækker færre grænseflader

Ulemper:

  • Begrænsede analyseværktøjer indbygget
  • Ikke bruger-/begyndervenlig

9. NetworkMiner

NetworkMinerer et fascinerende værktøj, der falder mere ind under kategorien et retsmedicinsk værktøj frem for en direkte netværkssniffer. Det retsmedicinske felt beskæftiger sig typisk med efterforskning og indsamling af beviser, og Network Miner gør det godt for netværkstrafik. Ligesom WireShark kan følge en TCP-stream for at gendanne en hel TCP-samtale, kan Network Miner følge en stream for at rekonstruere filer, der blev sendt over netværket.

Netværk-miner

For at fange live trafik, bør Network Miner være strategisk placeret på netværket for at kunne observere og indsamle den trafik, du er interesseret i. Den vil ikke introducere nogen af ​​sin egen trafik på netværket, så den fungerer meget snigende.

Nøglefunktioner:

  • Analyseværktøj
  • Brugervenlig grænseflade
  • Gratis version

Network Miner kan også fungere i offlinetilstand. Du kan bruge det afprøvede og sandetcpdumpværktøj til at fange pakker på et interessepunkt på dit netværk, og derefter importere pcap-filerne til Network Miner. Den vil derefter forsøge at rekonstruere alle filer eller certifikater, den finder i opsamlingsfilen.

Network Miner er bygget til Windows, men af ved at bruge Mono, kan det køres på ethvert OS, der har en Mono-ramme såsom Linux og macOS.

Der er en gratis version til at komme i gang, der har et anstændigt udvalg af funktioner. Hvis du ønsker mere avancerede funktioner såsom GeoIP-placering og tilpasset scripting, skal du købe en professionel licens.

Fordele:

  • Fungerer som et retsmedicinsk værktøj såvel som en pakkesniffer
  • Kan rekonstruere filer og pakker over TCP-streams
  • Introducerer ingen støj til netværket, mens det er i brug, godt til at undgå krydskontaminering
  • Gratis at bruge, inkluderer en betalt version for mere avancerede funktioner
  • Tilbyder en GUI i stedet for kun CLI

Ulemper:

  • Interfacet er forældet og kan til tider være svært at navigere

10. Fiddler (HTTP)

Fiddler er teknisk set ikke et netværkspakkefangstværktøj, men det er så utroligt nyttigt, at det kom på listen. I modsætning til de andre værktøjer, der er anført her, som er designet til at fange ad-hoc-trafik på netværket fra enhver kilde, er Fiddler mere et skrivebordsfejlfindingsværktøj. Det fanger HTTP-trafik, og selvom mange browsere allerede har denne mulighed i deres udviklerværktøjer, er Fiddler ikke begrænset til browsertrafik. Fiddler kan fange enhver HTTP-trafik på skrivebordet, inklusive den fra ikke-webapplikationer.

Violinist

Mange desktop-netværksapplikationer bruger HTTP til at oprette forbindelse til webtjenester og uden et værktøj som Fiddler, er den eneste måde at fange den trafik til analyse ved at bruge værktøjer som tcpdump eller WireShark. Disse værktøjer fungerer dog på pakkeniveau, så analyse inkluderer rekonstruktion af disse pakker til HTTP-strømme. Det kan være meget arbejde at udføre en simpel HTTP-undersøgelse, og Fiddler kommer til undsætning. Fiddler kan hjælpe med at opdage cookies, certifikater og pakkedata, der kommer ind eller ud af disse apps.

Nøglefunktioner:

  • Viser HTTP-trafik
  • Hjælp til fejlretning
  • Gratis at bruge

Det hjælper, at Fiddler er gratis, og ligesom NetworkMiner kan den køres i Mono på et hvilket som helst andet operativsystem med en Mono-ramme.

Fordele:

  • Fokuseret på kun at fange HTTP-trafik, hvilket giver mulighed for en mere fokuseret og mindre kompleks løsning
  • Ideel til dem, der ser på sikkerheden og kommunikationen af ​​HTTP-protokollen
  • Kan opdage al HTTP-trafik, ikke kun begrænset til browsere
  • Er helt gratis
  • Tilbyder en GUI til dem, der ønsker mere end et CLI-værktøj

Ulemper:

  • Stejl indlæringskurve
  • Det kan være svært at finde støtte til visse problemer

11.capsa

Capsa Network Analyzer har flere udgaver, hver med forskellige muligheder. På det første niveau, Capsa gratis, fanger softwaren i det væsentlige bare pakker og tillader nogle meget grafiske analyser af dem. Dashboardet er meget unikt og kan hjælpe nybegyndere sysadmins med at lokalisere netværksproblemer hurtigt selv med lidt faktisk pakkeviden. Det gratis niveau henvender sig til folk, der ønsker at vide mere om pakker og opbygge deres færdigheder til fuldgyldige analytikere.

capsa

Den gratis version ved, hvordan man overvåger over 300 protokoller, den giver mulighed for e-mail-overvågning, og den kan også gemme e-mail-indhold og understøtter også triggere. Udløserne kan bruges til at indstille alarmer til specifikke situationer, hvilket betyder, at Capsa-standarden også kan bruges i en støttekapacitet til en vis grad.

Nøglefunktioner:

  • Analyserer 300 protokoller
  • Fortolker data til grafer
  • Gratis version

Capsa er kun tilgængelig til Windows 2008/Vista/7/8 og 10.

Fordele:

  • Har indbyggede trafikanalyseværktøjer og grafer til live visualisering
  • Mere intuitiv grænseflade end lignende værktøjer
  • Bedre mulighed for junior sysadmins, nemmere at lære platformen
  • Gratis version understøtter over 300 forskellige protokoller, hvilket gør det til en robust gratis mulighed

Ulemper:

  • Ikke så let som andre CLI-værktøjer
  • Fagfolk kan finde grænsefladen omfangsrig og ikke så effektiv

Valg af en pakkesniffer

Med de pakkesnifningsværktøjer, jeg har nævnt, er det ikke et stort spring at se, hvordan en systemadministrator kunne bygge en on-demand netværksovervågningsinfrastruktur.

Hvis netværket er så stort, at dette ikke er muligt, så er værktøjer på virksomhedsniveau som f.eksSolarWinds suite og dens 30-dages gratis prøveperiodekan hjælpe med at tæmme alle de netværksdata til et overskueligt datasæt.

Tcpdump, eller Windump, kunne installeres på alle servere. En skemalægger, såsom cron eller Windows skemalægger, kunne starte en pakkeindsamlingssession på et tidspunkt af interesse og skrive disse samlinger til en pcap-fil.

På et senere tidspunkt kan en sysadmin overføre disse pakker til en central maskine og bruge Wireshark til at analysere dem.

Ofte stillede spørgsmål om Packet Sniffers

Hvad gør PCAP-værktøjer?

PCAP er en forkortelse af 'pakkefangst'. Et PCAP-værktøj kopierer pakker, når de rejser rundt på netværket. De optagne pakker vises i en fremviser i værktøjet, gemt i en fil eller begge dele. Nogle PCAP-værktøjer kopierer hele hver pakke, inklusive dens datanyttelast, mens andre kun viser og/eller gemmer pakkeoverskrifter. PCAP-værktøjer, der fanger pakker i deres helhed, skaber meget store filer og gemmes med .pcap-udvidelsen.

Hvad er de bedste værktøjer til analyse af netværkstrafik?

Vores forskning viser, at de bedste værktøjer til netværkstrafikanalyse er SolarWinds Deep Packet Inspection and Analysis Tool, Paessler Packet Capture Tool, ManageEngine NetFlow Analyzer og Omnipeek Network Protocol Analyzer. Der er også nogle industrifavoritter såsom tcpdump, Windump og Wireshark.

Hvordan fungerer en pakkeanalysator?

En pakkeanalysator fanger pakker, når de rejser rundt på netværket. Dette kan implementeres som en selvstændig pakkeopsamlingsenhed, der fungerer som en TAP eller software, der får adgang til netværksadapteren på sin værtscomputer i 'promiskuøs tilstand'. Ud over at kopiere netværkspakker skal en pakkeanalysator tilbyde et værktøj til at se, søge og filtrere pakkedata. Nogle pakkeanalysatorer inkluderer også mere sofistikerede analyseværktøjer.

Kan pakkesnifning detekteres?

Pakkesnusning kan detekteres under visse omstændigheder. Løsningen til at finde pakkefangst afhænger af placeringen af ​​pakkesnifferen og den metode, den bruger. Et softwarepakkesniffningsværktøj kræver, at værtscomputerens netværksadapter er i promiskuøs tilstand. Udstedelse af et Ping med den rigtige IP-adresse, men den forkerte MAC-adresse for hver computer på netværket, bør opdage de værter, der er i promiskuøs tilstand og derfor sandsynligvis vil blive brugt til pakkesniffing.

Hvad er fuld pakkefangst?

Fuld pakkefangst kopierer hele en pakke inklusive datanyttelasten. Typisk bliver pakkefangstdata gemt i en fil med filtypenavnet .pcap. Virksomheder kan ikke lide netværksprofessionelle, der bruger denne metode, fordi indholdet af pakken muligvis ikke er krypteret. At tillade IT-afdelingens personale at bruge fuld pakkeopsamlingsfunktioner kan bryde fortroligheden af ​​data, som virksomheden opbevarer, og ugyldiggøre overholdelse af datasikkerhedsstandarder.

^