2020 Ən Yaxşı Paket Sniffers (11 Paket Analizatoru nəzərdən keçirilmişdir)


Paket Sniffing, şəbəkə trafikinin təhlili sənətinə aid bir danışıq terminidir. Sağlam düşüncənin əksinə olaraq, e-poçt və veb səhifələr kimi şeylər interneti bir parçada keçmir. Onlar minlərlə kiçik məlumat paketinə bölünür və bu şəkildə internet üzərindən göndərilir.

Orada şəbəkə trafikini toplayacaq çox sayda vasitə var və əksəriyyəti əsl kolleksiyanı etmək üçün pcap (Unix kimi sistemlər) və ya libcap (Windows sistemləri) istifadə edir. Məlumatların təhlilinə kömək etmək üçün başqa bir alət dəsti mövcuddur, çünki hətta kiçik bir miqdarda məlumat minlərlə gedə bilmək çətin olan minlərlə paketlə nəticələnə bilər. Bu vasitələrin demək olar ki, hamısı eyni şəkildə yığılır; onları fərqləndirən analizdir.

Bu yazı burada hazırlayan vasitələrin hər biri haqqında bir qədər ətraflı məlumat əldə edir, ancaq vaxtınız azdırsa, bizim siyahı ən yaxşı paket iyləyicilər və şəbəkə analizatorları:

  1. SolarWinds Dərin Paket Təftiş və Təhlil Aləti (PULSUZ Sınaq) Windows Server-də işləyən və tərkib hissəsi olan yüksək keyfiyyətli bir şəbəkə trafik analizi vasitəsidir
  2. Paessler Paket Tutma Aləti (PULSUZ Sınaq) Paket sniffer, bir NetFlow sensoru, sFlow sensor və Paessler PRTG daxilində quraşdırılmış J-Flow sensoru.
  3. ManageEngine NetFlow Analyzer (PULSUZ Sınaq) NetFlow, J-Flow, sFlow Netstream, IPFIX və AppFlow ilə işləyən bir yol analizi vasitəsi
  4. Omnipeek Şəbəkə Protokolu Analizatoru Paketləri ələ keçirmək üçün uzadıla bilən bir şəbəkə monitoru.
  5. tcpdump Hər bir şəbəkə menecerinin alətlər dəstində ne4eds olan əsas pulsuz paket ələ keçirmə vasitəsidir.
  6. Külək Windows sistemləri üçün yazılmış pulsuz bir tcpdump klon.
  7. Wireshark Tanınmış bir pulsuz paket ələ keçirmə və məlumat analizi vasitəsidir.
  8. tshark Wiresharkın işləməsini istəyən, ancaq tcpdump’ın incə profilini istəyənlərə yüngül bir cavab.
  9. Şəbəkə Miner Sərbəst buraxılmayan pulsuz bir versiyası olan Windows əsaslı bir şəbəkə analizatoru.
  10. Fiddler HTTP trafikinə yönəlmiş bir paket ələ keçirmə vasitəsidir.
  11. Capsa Windows üçün yazılmış, pulsuz paket toplama aləti analitik xüsusiyyətlərə əlavə etmək üçün ödəniş üçün təkmilləşdirilə bilər.

Paket ətirinin üstünlükləri

Bir paket sniffer şirkətinizin şəbəkə gücü siyasətini həyata keçirməyə imkan verən faydalı bir vasitədir. Əsas üstünlükləri bunlardır:

  • Tutulan əlaqələri müəyyənləşdirin
  • Ən çox trafik yaradan tətbiqləri təyin edin
  • Proqnoz təhlili üçün məlumat toplayın
  • Şəbəkə tələbindəki zirvələri və novları vurğulamaq

Görəcəyiniz tədbirlər mövcud büdcənizdən asılıdır. Şəbəkə potensialını genişləndirmək üçün mənbələriniz varsa, paket sniffer yeni mənbələri daha effektiv hədəfləməyinizə imkan verəcəkdir. Heç bir büdcəniz yoxdursa, paket sındırma tətbiq trafikini prioritetləşdirmək, alt şəbəkələrin ölçüsünü dəyişdirmək, ağır nəqliyyat hadisələrini yenidən planlaşdırmaq, xüsusi tətbiqlər üçün bant genişliyini məhdudlaşdırmaq və ya tətbiqləri daha səmərəli alternativlərlə əvəz etmək yolu ilə trafikin formalaşmasına kömək edəcəkdir..

Xəyanətkar rejim

Paket çırpma proqramı qurarkən kompüterinizdəki şəbəkə kartının necə işlədiyini başa düşmək vacibdir. Kompüterinizdən şəbəkəyə olan interfeys “şəbəkə interfeysi nəzarətçisi,”Və ya NIC. NIC yalnız MAC ünvanına göndərilən internet trafikini alacaq.

Ümumi trafik ələ keçirmək üçün NIC-i “xəyanətkar rejim.”Bu NIC-də dinləmə həddini qaldırır. Fərqli rejimdə NIC bütün şəbəkə trafikini alacaq. Çox paket iyləyicilər sizin üçün rejim açarını idarə edən istifadəçi interfeysi içərisində bir fayda var.

Şəbəkə trafik növləri

Şəbəkə trafikinin təhlili şəbəkənin necə işlədiyini başa düşməyi tələb edir. İki cihaz arasında bir əlaqə qurmaq üçün istifadə edilən TCP üç tərəfli əl bağlantısı kimi şəbəkənin əsaslarını anlamaq üçün bir analitikin tələbini sehrli şəkildə aradan qaldıracaq bir vasitə yoxdur. Analitiklər, ARP və DHCP trafikləri kimi normal işləyən bir şəbəkədə mövcud olan şəbəkə trafikinin növləri barədə də müəyyən bir məlumata sahib olmalıdırlar. Bu bilik vacibdir, çünki alətləri təhlil etmək yalnız xahiş etdiyinizi göstərəcəkdir – nə soruşacağınıza bağlıdır. Şəbəkənizin normal göründüyünə əmin deyilsinizsə, topladığınız paketin kütləsində düzgün şey qazmağınızı təmin etmək çətin ola bilər..

Müəssisə vasitələri

Gəlin yuxarıdan başlayaq və yaraşıqlı əsaslara doğru yola davam edək. Müəssisə səviyyəsində bir şəbəkə ilə əlaqəli olsanız, böyük silahlara ehtiyacınız olacaq. Demək olar ki, hər şey öz əsasını tcpdump-dan istifadə etsə də (daha sonra daha çox) müəssisə səviyyəli alətlər bir çox serverdən gələn trafikin əlaqələndirilməsi, problemlərin yerini tapmaq üçün ağıllı sorğu alətləri təmin etmək, istisna hallar barədə xəbərdarlıq etmək və gözəl qrafiklər hazırlamaq kimi digər analitik funksiyaları təmin edə bilər. rəhbərlik tələbləri.

Müəssisə səviyyəsində alətlər paket məzmununu qiymətləndirməkdən daha çox şəbəkə trafikinin axınına diqqət yetirir. Bununla, demək istərdim ki, bir müəssisədəki əksər sysadminslərin diqqəti, şəbəkə fəaliyyətini çətinləşdirmədən hönkürtməkdir. Çatışmalar meydana gəldikdə, məqsəd ümumiyyətlə problemin şəbəkə və ya şəbəkədəki bir tətbiq olub olmadığını müəyyən etməkdir. Sikkənin digər tərəfində, müəssisə səviyyəsində olan bu alətlər ümumiyyətlə o qədər trafik görməyə qadirdir ki, şəbəkə seqmentinin tutumun idarə edilməsinin vacib elementi olacağını təxmin etməyə kömək edə bilər..

Haker alətləri

Paket atıcıları hakerlər tərəfindən də istifadə olunur. Unutmayın ki, bu vasitələr şəbəkənizə hücum etmək üçün, həmçinin problemləri həll etmək üçün istifadə edilə bilər. Paket iyləyənlər kimi istifadə edilə bilər qulaqcıqlar tranzitdə məlumatların oğurlanmasına kömək etmək və bunlar da “kömək edə bilər”ortada adam“Şəbəkədə bir istifadəçini aldatmaq üçün tranzitdə məlumatları dəyişdirən və trafiki yönləndirən hücumlar. Şəbəkənizi bu icazəsiz girişlərdən qorumaq üçün müdaxilə aşkarlama sistemlərinə investisiya qoyun

Paket Sniffers və Şəbəkə Analizatorları necə işləyir?

The Bir paket sınıfının əsas xüsusiyyəti, məlumatları bir şəbəkə boyunca kopyalama və görüntüləməyə təqdim etməsidir. Büzüşdürən cihaz sadəcə şəbəkə üzərindən gördüyü bütün məlumatları kopyalayır. Bir keçiddə tətbiq edildikdə, cihazın parametrləri keçən paketin ikinci limana, eləcə də nəzərdə tutulan təyinat yerinə göndərilməsinə imkan verir və bununla da trafiki artırır. Adətən, şəbəkədən yığılmış məlumat paketləri bir sənədə köçürülür. Bəzi alətlər də məlumatları tablosunda göstərəcəkdir. Lakin, Paket tökənlər kodlu admin məlumatlarını daxil edən bir çox məlumat toplaya bilər. Lazım olacaq məlumatların əlçatmaz olmasına kömək edə biləcək bir analiz vasitəsi tapın Çıxarışdakı paketlərin və digər məlumatların, məsələn, paketlərin arasında səyahət etdiyi port nömrələrinin aktuallığı kimi.

Düzgün bir paket sniffer, şəbəkədə gəzən bütün paketlərin üzərində kopyalayacaqdır. Bu problem ola bilər. Paket yükü şifrələnməzsə, IT şöbəsi işçilərinə şəbəkə üzərindən gəzərkən həssas iş məlumatlarını görmək imkanı verəcəksiniz. Bu səbəblə, bir çox paket ətirli məhsul məhdud ola bilər ki, yalnız başlıq məlumatları üzərində kopyalayın. Əksər hallarda paketin məzmunu şəbəkə fəaliyyətinin təhlili üçün lazım deyil. 24 saat müddətində və ya bir neçə gün ərzində şəbəkə istifadəsini izləmək istəyirsinizsə, onda hər paketin saxlanması çox böyük miqdarda disk yerini tutacaq – yalnız paket başlıqlarını götürsən də. Bu ssenarilərdə hər birini üzərində kopyalamaq əvəzinə hər 10-cu və ya 20-ci paketin surətini çıxarmaq deməkdir..

Ən yaxşı paket atıcılar və şəbəkə analizatorları

Aşağıdakı alətləri aşağıdakı ümumi mülahizələrə görə sıraladıq: faydalı xüsusiyyətlər, etibarlılıq, quraşdırmanın asanlığı, inteqrasiya və istifadəsi, təklif olunan yardım və dəstək miqdarı, proqramın nə qədər yenilənməsi və saxlanılması və inkişaf etdiricilərin nə qədər nüfuzlu olması sənayedə.

1. SolarWinds Dərin Paket Təftiş və Təhlil vasitəsi (PULSUZ Sınaq)

SolarWinds çox geniş bir İT idarəetmə vasitəsidir. Bu yazıya daha çox uyğun gələn vasitə Dərin Paket Təftiş və Təhlil vasitəsidir. Şəbəkə trafikini toplamaq olduqca asandır. WireShark kimi alətlərdən istifadə etməklə əsas səviyyəli analiz həm də şou dayandırıcı deyil. Ancaq bütün vəziyyətlər kəsilmiş və qurudulmuş deyil. Çox məşğul bir şəbəkədə, hətta bəzi əsas şeyləri müəyyən etmək çətin ola bilər:

  • Şəbəkədəki hansı tətbiq bu trafik yaradır?
  • Tətbiq məlumdursa (deyin bir veb brauzeri), insanların çox vaxtının harada keçirildiyi?
  • Hansı bağlantılar ən uzun çəkir və şəbəkəni batırır?

Əksər şəbəkə cihazları paketin hara getdiyini təmin etmək üçün hər paketin metadatasından istifadə edir. Paketin tərkibi şəbəkə cihazına məlum deyil. Dərin paket yoxlaması fərqlidir; paketin əsl məzmunu haqqında daha çox məlumat əldə etmək üçün yoxlanıldığını bildirir. Metadata toplanmayan kritik şəbəkə məlumatları bu şəkildə aşkar edilə bilər. SolarWinds tərəfindən təmin olunanlar kimi alətlər sadəcə nəqliyyat axınından daha mənalı məlumat verə bilər.

solarwindows-dpi-app identifikasiyası

Yüksək həcmli şəbəkələrin idarə olunması üçün digər üsullara NetFlow və sFlow daxildir. Hər birinin güclü və zəif tərəfləri var və burada NetFlow və sFlow üsulları haqqında daha ətraflı oxuya bilərsiniz.

Şəbəkə təhlili, ümumiyyətlə, yarım təcrübə və yarı məşq olan inkişaf etmiş bir mövzudur. Şəbəkə paketləri haqqında hər təfərrüatı anlamaq üçün kimisə öyrətmək mümkündür, ancaq o şəxsin hədəf şəbəkəsi haqqında məlumatı və anomaliyaları müəyyənləşdirmək təcrübəsi olmadıqda, o qədər də uzaqlaşmaz. Bu yazıda sadaladığım vasitələrdən, axtardıqlarını artıq bilən, lakin hansı vasitələrin ən yaxşı olduğunu bilmirlər. Bundan əlavə, daha kiçik yaş qrupları tərəfindən şəbəkələrin gündəlik əməliyyatlar zamanı necə göründüyünə dair təcrübə qazanmaq üçün istifadə edilə bilər ki, bu da sonrakı problemləri müəyyən etməyə kömək edəcəkdir..

RƏHBƏRLİ SEÇİM

SolarWinds Şəbəkə Performansı Monitoru, şəbəkənin ləng getməsinə səbəb olanlar və dərin paket yoxlamasından istifadə edərək kök səbəblərini tez bir zamanda həll etməyə imkan verir. Tətbiqi, kateqoriyanı (sosial və s.) Və risk səviyyəsini təyin edərək trafik problem problemlərini aradan qaldıra və süzgəcdən keçirə və tətbiqə cavab vaxtını ölçə bilərsiniz. Mükəmməl bir istifadəçi interfeysi ilə bu paket iyləmək və şəbəkə təhlili üçün əla seçimdir.

Yükləyin: SolarWinds.com-da tam işləyən PULSUZ 30 günlük sınaq

Rəsmi sayt: www.solarwinds.com/topics/deep-packet-inspection/

OS: Windows Server

2. Paessler Paket Tutma Aləti (PULSUZ Sınaq)

Paessler Paket-Capture-Tool PRTG: Hamısı In-Bir-Monitorinq vahid infrastrukturun monitorinqi vasitəsidir. Şəbəkənizi və serverlərinizi idarə etməyə kömək edir. Faydalı şəbəkənin izləmə seqmenti iki növ vəzifəni əhatə edir. Bunlar şəbəkə cihazlarının və şəbəkədəki bağlantılar üzərindəki trafik axını əhatə edən bir şəbəkə bant genişliyi analizatorunun vəziyyətini araşdıran bir şəbəkə performans monitorudur..

PRTG’nin bant genişliyi analiz hissəsi dörd müxtəlif paket ələ keçirmə vasitələrindən istifadə etməklə həyata keçirilir. Bunlar:

  •         Bir paket sniffer
  •         NetFlow sensoru
  •         Bir sFlow sensoru
  •         J-axın sensoru

PRTG paket sniffer yalnız şəbəkənizdə gəzən paketlərin başlıqlarını çəkir. Bu analizatora sürətli bir üstünlük verir və ələ keçirmə sənədlərini tutmaq üçün lazım olan saxlama yerinin miqdarını azaldır. Paket sniffer-in tablosu tətbiq növünə görə trafikləri təsnif edir. Bunlara e-poçt trafiki, veb paketlər, söhbət tətbiq trafik məlumatları və fayl ötürmə paket həcmləri daxildir.

NetFlow çox geniş yayılmış məlumat axını mesajlaşma sistemidir. Cisco Systems tərəfindən yaradılmışdır, lakin digər istehsalçıların istehsal etdiyi avadanlıqlarda da istifadə olunur. PRTG NetFlow sensoru da IPFIX mesajları yığır – bu mesajlaşma standartı NetFlow-un İETF tərəfindən maliyyələşdirilən varisidir. J-Flow metodu, Juniper Networks tərəfindən avadanlıq üçün istifadə edilən oxşar mesajlaşma sistemidir. SFlow standartı trafik axınlarını nümunə göstərir, buna görə hər nth paketi toplayacaqdır. NetFlow və J-Flow ikisi də paketlərin davamlı axınlarını ələ keçirir.

Paessler, PRTG proqramını bir tətbiqetmənin aktivləşdirdiyi “sensorlar” sayına qiymət qoyur. Sensor bir sistem vəziyyəti və ya hardware hissəsidir. Məsələn, Paessler tərəfindən təklif olunan dörd paket ətirşahın hər biri bir PRTG sensoru sayılır. 100 və ya daha az sensoru işə salsanız, sistem istifadə üçün pulsuzdur, buna görə də yalnız bu paketi paket qarışıq interfeyslər üçün istifadə etsəniz, Paesslerə heç bir şey ödəməli olmazsınız.

Paessler sistemi, bir virtualizasiya və bir tətbiq monitoru da daxil olmaqla bir çox digər şəbəkə və server izləmə imkanlarını ehtiva edir. PRTG yerli olaraq quraşdırıla bilər və ya bulud xidməti olaraq daxil ola bilərsiniz. Proqram Windows mühitində işləyir və onu 30 günlük pulsuz sınaq müddətində əldə edə bilərsiniz.

Paessler Paket Capture Tool PRTGDownload 30 günlük PULSUZ sınaq

3. ManagEngine NetFlow Analyzer (PULSUZ Sınaq)

The İdarə etmə NetFlow analizatoru şəbəkə cihazlarınızdan trafik məlumatlarını götürür. Bu vasitə ilə trafikdən nümunə götürməyi, axınların hamısını çəkməyi və ya trafik nümunələri haqqında statistika toplamağı seçə bilərsiniz.

Şəbəkə cihazları istehsalçıları hamısı trafik məlumatlarını ötürmək üçün eyni protokoldan istifadə etmirlər. Beləliklə, NetFlow Analyzer məlumat toplamaq üçün müxtəlif dillərdən istifadə edə bilir. Bunlara daxildir Cisco NetFlow, Ardıc şəbəkələri J-axını, və Huawei Netstream. Bununla yanaşı ünsiyyət qurmağa qadirdir sFlow, IPFIX, və AppFlow standartlar.

Monitor məlumat axınlarının ardıcıllığını, eləcə də hər şəbəkə cihazındakı yükü izləyə bilir. Trafik təhlili imkanları sizə imkan verir paketlərə baxın bir cihazdan keçdikdən və sənəd tutmaq üçün. Bu görmə qabiliyyəti, hansı tətbiqlərin bant genişliyinizi ən çox çeynədiyini görməyə və prioritet növbə və ya sıxışdırma kimi nəqliyyatın formalaşdırılması tədbirləri ilə bağlı qərar qəbul etməyə imkan verəcəkdir.

İdarə etmə NetFlow analizatoru

Sistemin tablosunda rəngli kodlu qrafikalar mövcuddur ki, bu da problemlərin həllini tapmağı asanlaşdırır. Konsolun cəlbedici görünüşü və hissi digər ManagEngine infrastruktur izləmə vasitələri ilə əlaqəlidir, çünki hamısı ümumi bir platformada qurulmuşdur. Bu bir neçə idarəetmə məhsulu ilə inteqrasiya edir. Məsələn, şəbəkə rəhbərlərinin hər ikisini satın alması çox yaygındır OpManager və İdarəetmə Mühərrikindən NetFlow Analizatoru.

OpManager cihazların vəziyyətini izləyir SNMP NetFlow Analyzer-in trafik səviyyəsi və paket axını nümunələrinə diqqət yetirdiyi prosedurlar.

ManageEngine NetFlow Analyzer quraşdırır Windows, Windows Server, və RHEL, CentOS, Fedora, Debian, SUSE, və Ubuntu Linux. Sistem iki nəşrdə təklif olunur.

Essential nəşr standart şəbəkə trafikinə nəzarət funksiyaları və hesabat və göndərmə modulu verir. Daha yüksək plan Enterprise Edition adlanır. Bu Essential Edition artı bütün xüsusiyyətlərinə malikdir NBAR & CBQoS monitorinq, inkişaf etmiş bir təhlükəsizlik analitik modulu, tutum planlaşdırma proqramları və dərin paket yoxlama imkanları. Bu nəşr də daxildir IP SLAWLC monitorinq.

NetFlow Analizatorunun hər iki nəşrini 30 günlük pulsuz sınaq müddətində əldə edə bilərsiniz.

ManageEngine NetFlow AnalyzerDownload 30 günlük PULSUZ sınaq

4. Omnipeek Şəbəkə Protokolu Analizatoru

LiveAction Omnipeek, əvvəllər bir məhsuldur Savvius, paketləri ələ keçirmək, habelə şəbəkə trafikinin protokol analizini hazırlamaq üçün istifadə edilə bilən bir şəbəkə protokolu analizatorudur.

Omnipeek plug-ins tərəfindən uzadıla bilər. Əsas Omipeek sistemi şəbəkə paketlərini tutmur. Bununla birlikdə, əlavə Mühərriki ələ keçirin plug-in paket ələ keçirmə funksiyasını alır. Capture Mühərrik sistemi simli bir şəbəkədə paket alır; adlı başqa bir uzantı Wifi Adapter simsiz imkanlar əlavə edir və Wifi paketlərini Omnipeek vasitəsilə ələ keçirməyə imkan verir.

Baza Omnipeek Network Protocol Analyzer funksiyaları şəbəkə fəaliyyətinin monitorinqinə qədər uzanır. Protokola görə trafikin siyahısına əlavə olaraq, proqram ötürmə sürətini və trafikin müntəzəmliyini ölçəcəkdir, siqnallar artırmaq trafik yavaşlayırsa və ya şəbəkə rəhbərinin təyin etdiyi sərhəd şərtlərindən keçərsə.

Trafik analizatoru izləyə bilər sonuna performansınızı bir şəbəkə boyunca köçürün və ya sadəcə hər birini izləyin link. Digər funksiyalar şəbəkə xaricindən veb serverlərə gələn trafik daxil olmaqla interfeysləri izləyir. Proqram xüsusilə trafikin ötürülməsi və hər protokola görə trafikin göstərilməsində maraqlıdır. Məlumat protokollar siyahıları və onların ötürmə qabiliyyəti və ya canlı qrafiklər və qrafiklər kimi baxıla bilər. Capture Mühərriki ilə tutulan paketlər ola bilər analiz üçün saxlanılır və ya şəbəkə boyunca təkrarlandı gücü sınamaq.

Omnipeek Windows və Windows Server-də quraşdırılır. Sistem istifadə üçün pulsuz deyil. Bununla birlikdə, Omnipeek’i 30 günlük pulsuz sınaq müddətində almaq mümkündür.

5. tcpdump

Demək olar ki, bütün şəbəkə trafikinin toplanması üçün əsas vasitə tcpdump-dır. Demək olar ki, bütün Unix kimi əməliyyat sistemlərində quraşdırılmış açıq mənbəli bir tətbiqdir. Tcpdump əla toplama vasitəsidir və çox mürəkkəb filtrasiya dili ilə tamamlanır. Təhlil etmək üçün məlumatların idarə oluna bilən bir hissəsi ilə başa çatmaq üçün məlumatların toplanması vaxtında necə süzülməsini bilmək vacibdir. Bir şəbəkə cihazından bütün məlumatları hətta orta səviyyədə işləyən bir şəbəkədə çəkmək asanlıqla təhlil etmək üçün çox məlumat yarada bilər.

Bəzi nadir hallarda, tcpdump-ın ələ keçirməsini birbaşa ekrana çıxartmasına imkan verdiyinizi tapmaq üçün kifayət ola bilər. Məsələn, bu yazını yazarkən bəzi trafikləri ələ keçirdim və maşınımın tanımadığım bir IP-yə trafik göndərdiyini gördüm. Məlum olub ki, maşınım 172.217.11.142 nömrəli bir Google IP ünvanına məlumat göndərib. Heç bir Google məhsulu işlətmədiyim və ya Gmail açmadığım üçün bunun nə üçün baş verdiyini bilmirdim. Sistemimi araşdırdım və tapdım:

[~] $ ps -ef | grep google
istifadəçi 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome – tip = xidmət

Göründüyü kimi, Chrome ön planda işləməsə də bir xidmət olaraq işləyir. Məni yola vermək üçün bir paket təhlili olmadan bunu mütləq hiss etməzdim. Daha çox tcpdump məlumatlarını yenidən çəkdim, amma bu dəfə tcpdump-a məlumatları Wireshark-da açdığım bir fayla yazmağı bildirdim (daha sonra bu barədə). Budur giriş:

wireshark-google

Tcpdump, əmr satırı vasitəsi olduğu üçün sysadmins arasında ən sevilən bir vasitədir. Bu o deməkdir ki, tam işlənmiş masaüstünün işə salınması tələb olunmur. İstehsal serverlərinin alacaq qaynaqları səbəbindən masaüstünü təmin etməsi qeyri-adi haldır, buna görə də əmr satırı alətlərinə üstünlük verilir. Bir çox qabaqcıl alətlərdə olduğu kimi, tcpdump da çox zəngin və arcane dilinə sahibdir ki, mənimsənilməsi üçün müəyyən vaxt tələb olunur. Ən əsas əmrlərdən bir neçəsi, məlumat toplaya biləcək şəbəkə interfeysinin seçilməsini və başqa bir yerə təhlil üçün ixrac oluna biləcəyini bir fayla yazmağı əhatə edir. Bunun üçün -i və -w açarları istifadə olunur.

# tcpdump -i eth0 -w tcpdump_packets
tcpdump: eth0 dinləmək, keçid tipli EN10MB (Ethernet), ələ keçirmə ölçüsü 262144 bayt
^ C51 paket tutuldu

Bu ələ keçirmə faylı hazırlayır:

tcpdump_packetlər
tcpdump_packets: tcpdump ələ keçirmə faylı (az-yeni) – versiya 2.4 (Ethernet, çəkmə uzunluğu 262144)

Standart TCP ələ keçirmə faylı bir pcap sənədidir. Mətn deyil, ona görə yalnız pcap fayllarını necə oxumağı bilən bir analiz proqramı tərəfindən oxuna bilər.

6. WinDump

Ən faydalı açıq mənbə vasitələri sonda digər əməliyyat sistemlərinə klonlaşdırılır. Bu baş verdikdə, tətbiqin təhvil verildiyi deyilir. WinDump tcpdump bir limandır və çox oxşar şəkildə davranır.

WinDump və tcpdump arasındakı əsas fərq, Winump-un WinDump-u işə salmadan əvvəl quraşdırılmış WinpCap kitabxanasına ehtiyacı olmasıdır. Həm WinDump, həm də WinpCap eyni texniki təminatçı tərəfindən təmin olunsa da, onlar ayrıca yükləmələrdir.

WinpCap quraşdırılmalı olan aktual bir kitabxanadır. Ancaq bir dəfə quraşdırıldıqdan sonra WinDump, işə başlaması üçün heç bir quraşdırmaya ehtiyacı olmayan bir .exe sənədidir. Windows şəbəkəsini işlədirsinizsə, yadda saxlamağınız bir şey ola bilər. Hər maşında quraşdırılmış WinDump-a ehtiyacınız yoxdur, çünki sadəcə lazım olduqda onu kopyalaya bilərsiniz, ancaq WinDump-ı dəstəkləmək üçün WinpCap-ın quraşdırılmasını istəyəcəksiniz.

Tcpdumpda olduğu kimi, WinDump analiz üçün şəbəkə məlumatlarını ekrana çıxara bilər, eyni qaydada süzülə bilər və analiz saytı üçün bir pcap faylına da yaza bilər.

7. Wireshark

Wireshark, ehtimal ki, hər hansı bir sysadmin alətlər dəstindəki ən yaxşı tanınan bir vasitədir. Yalnız məlumatları əldə edə bilməz, həm də bəzi inkişaf etmiş təhlil vasitələrini təmin edə bilər. Öz müraciətinə əlavə olaraq, Wireshark açıq mənbəyidir və mövcud olan demək olar ki, hər bir server əməliyyat sisteminə ötürülmüşdür. Etheral adlı həyat başlayan Wireshark, indi müstəqil portativ bir proqram kimi daxil olmaqla hər yerdə çalışır.

Bir masaüstü quraşdırılmış bir serverdə trafiki təhlil edirsinizsə, Wireshark bunu hamınız üçün edə bilər. Məlumatları toplaya bilər və sonra hamısını bir nöqtədə təhlil edə bilər. Bununla yanaşı, masaüstü kompüterlər serverlərdə çox yayılmır, buna görə də bir çox hallarda şəbəkə məlumatlarını uzaqdan ələ keçirmək və sonra ortaya çıxan pcap faylını Wireshark-a çəkmək istəyərsiniz.

İlk istifadəyə verildikdə, Wireshark ya mövcud pcap faylını yükləməyə, ya da ələ keçirməyə başlamağa imkan verir. Şəbəkə trafikini çəkmək üçün seçsəniz, Wireshark-ın topladığı məlumatların miqdarını azaltmaq üçün filtrləri təyin edə bilərsiniz. Təhlil alətləri çox yaxşı olduğundan, məlumatları Wireshark ilə toplanması vaxtında cərrahi olaraq müəyyənləşdirməyiniz daha az vacibdir. Bir filtr göstərməmisinizsə, Wireshark sadəcə seçilmiş interfeysin izlədiyi bütün şəbəkə məlumatlarını toplayacaqdır.

wireshark-başlamaq

Wireshark təmin etdiyi ən faydalı vasitələrdən biri axını izləmək bacarığıdır. Bir axını bütöv bir söhbət kimi düşünmək, bəlkə də ən faydalıdır. Aşağıdakı ekran görüntüsündə çox sayda məlumatın ələ keçirildiyini görə bilərik, amma məni ən çox maraqlandıran məqam Google IP-dir. Bunu sağa vurub bütün danışıqları görmək üçün TCP axınını izləyə bilərəm.

teleshark-təqib tcp-axın

Əgər başqa yerdə trafik ələ keçirmisinizsə, Wiresharkın Faylından istifadə edərək pcap faylını idxal edə bilərsiniz -> Açıq dialoq. Yerli tutulan şəbəkə məlumatları üçün istifadə edilə bilən eyni filtrlər və alətlər, idxal edilən fayllar üçün mövcuddur.

wireshark-açıq-pcap

8. TShark

TShark tcpdump və Wireshark arasında çox faydalı bir keçiddir. Tcpdump məlumat toplamaqdan üstündür və çox istədiyiniz məlumatları çox cərrahi olaraq çıxara bilər, lakin analiz üçün nə qədər faydalı olacağı ilə məhdudlaşır. Wireshark həm toplanması, həm də təhlili baxımından çox yaxşı bir iş görür, ancaq ağır istifadəçi interfeysi olduğundan, başsız serverlərdə istifadə edilə bilməz. TShark daxil edin; ələ keçirir və analiz edir, lakin əmr xəttində sonuncunu edir.

TShark Wireshark ilə eyni süzgəc konvensiyasından istifadə edir, çünki onlar eyni məhsuldur, çünki heç bir sürpriz olmamalıdır. Bu əmr TShark’a yalnız təyinat IP ünvanını və paketin HTTP hissəsindən bəzi digər maraqlı sahələri əldə etməklə narahat olmağı söyləyir..

# tshark -i eth0 -Y http.request -T sahələri -e ip.dst -e http.user_agent -e http.request.uri

172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico

Bir faylı əldə etmək istəyirsinizsə, onu yazmaq üçün -w keçidindən istifadə edə bilərsiniz və sonra oxumaq üçün TShark -ın -r (oxumaq rejimi) düyməsini istifadə edin.

Əvvəlcə çəkin:

# tshark -i eth0 -w tshark_packets
‘Eth0’ üzərində ələ keçirmək
102 ^ C

Bunu ya eyni serverdə oxuyun, ya da başqa bir analiz serverinə köçürün.

# tshark -r tshark_packets -Y http.request -T sahələri -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / əlaqə
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / rezervasyonları /
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /reservations/styles/styles.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/images/title.png

9. Şəbəkə Miner

Şəbəkə Miner, düz bir paket paketi əvəzinə bir məhkəmə vasitə kateqoriyasına daha çox girən çox maraqlı bir vasitədir. Ədliyyə sahəsi adətən araşdırma və sübutların toplanması ilə məşğul olur və Şəbəkə Miner şəbəkə trafiki üçün yaxşı iş görür. WireShark, bütün TCP söhbətini bərpa etmək üçün bir TCP axınını izləyə bilər, Şəbəkə Miner, şəbəkə üzərindən göndərilən faylları yenidən qurulması üçün bir axını izləyə bilər..

Şəbəkə-Miner

Canlı trafik çəkmək üçün Network Miner, maraqlı olduğunuz trafiki izləyə və toplaya bilmək üçün strateji olaraq şəbəkəyə yerləşdirilməlidir. Şəbəkəyə öz trafikini təqdim etmir, buna görə də çox dayanıqlı işləyir..

Şəbəkə Miner də oflayn rejimdə işləyə bilər. Paketləri şəbəkənizdəki maraq nöqtəsində sındırmaq üçün sınanmış və həqiqi tcpdump alətindən istifadə edə bilərsiniz və sonra pcap fayllarını Network Miner-ə idxal edə bilərsiniz. Daha sonra ələ keçirmə sənədində tapdığı hər hansı bir fayl və ya sertifikatı yenidən qurmağa cəhd edəcəkdir.

Şəbəkə Miner Windows üçün qurulmuşdur, lakin Mono istifadə edərək Linux və MacOS kimi Mono çərçivəsi olan hər hansı bir OS-də işləyə bilər.

Başlamaq üçün layiqli bir sıra xüsusiyyətlərə sahib bir pulsuz versiya var. GeoIP yeri və xüsusi skriptləmə kimi daha inkişaf etmiş imkanlar istəyirsinizsə, peşəkar bir lisenziya almalı olacaqsınız.

10. İddiaçı (HTTP)

Fiddler texniki olaraq bir şəbəkə paketi ələ keçirmə vasitəsi deyil, ancaq siyahı hazırladığı qədər faydalıdır. Şəbəkədəki ad-hoc trafikini hər hansı bir mənbədən çəkmək üçün hazırlanan digər siyahılardan fərqli olaraq, Fiddler daha çox masaüstü ayıklama vasitəsidir. Bu HTTP trafikini ələ keçirir və bir çox brauzerin öz geliştirici vasitələrində bu qabiliyyəti olmasına baxmayaraq, Fiddler brauzer trafiki ilə məhdudlaşmır. Fiddler, qeyri-internet tətbiqləri də daxil olmaqla masaüstündəki hər hansı bir HTTP trafikini çəkə bilər.

Fiddler

Bir çox masaüstü tətbiqetmə, veb xidmətlərinə qoşulmaq üçün HTTP istifadə edir və Fiddler kimi bir vasitə olmadan, analiz üçün trafik çəkməyin yeganə yolu tcpdump və ya WireShark kimi vasitələrdən istifadə edir. Bununla birlikdə, bu alətlər paket səviyyəsində işləyir, buna görə analiz HTTP axınlarına yenidən daxil olmağı planlaşdırır. Bəzi sadə HTTP istintaqını aparmaq üçün bir çox iş ola bilər və Fiddler qurtarmağa gəlir. Fiddler, bu tətbiqlərə daxil olan və ya olmayan peçenye, sertifikat və yükləmə məlumatlarını aşkar etməyə kömək edə bilər.

Fiddler’in pulsuz olmasına kömək edir və Şəbəkə Miner kimi, Mono çərçivəsində bir Mono çərçivəsi olan hər hansı digər əməliyyat sistemində işləyə bilər.

11. Capsa

Capsa Network Analyzer, hər biri müxtəlif qabiliyyətlərə malik bir neçə nəşrə malikdir. Birinci səviyyədə, Capsa pulsuz, proqram yalnız paketləri çəkir və bunların çox qrafik analizinə imkan verir. Tablosuna çox bənzərsiz və təcrübəsiz sysadmins şəbəkə məsələlər hətta az faktiki paket bilik ilə tez kömək edə bilər. Pulsuz səviyyə paketlər haqqında daha çox bilmək və bacarıqlarını tam hüquqlu analitiklərə çevirmək istəyən insanlara yönəlib.

kapsa

Pulsuz versiya 300-dən çox protokolu necə izləməyi bilir, e-poçtun monitorinqi üçün imkan yaradır və e-poçt məzmununu saxlaya bilir və həmçinin tetikleyicini dəstəkləyir. Tetikleyicilər, müəyyən vəziyyətlərdə siqnal təyin etmək üçün istifadə edilə bilər.

Capsa yalnız Windows 2008 / Vista / 7/8 və 10 üçün mövcuddur.

Son sözlər

Qeyd etdiyim vasitələrlə, bir sistem inzibatçısının tələb olunan şəbəkə izləmə infrastrukturunu necə qura biləcəyini görmək böyük bir sıçrayış deyil. Tcpdump və ya Windump bütün serverlərdə quraşdırıla bilər. Cron və ya Windows planlayıcısı kimi bir planlayıcı, maraqlandığı zaman paket toplama sessiyasını başlatdı və bu koleksiyonları bir pcap faylına yaza bilər. Sonradan bir sysadmin həmin paketləri mərkəzi bir maşına köçürə bilər və Wireshark’ı analiz etmək üçün istifadə edə bilər. Şəbəkə o qədər böyükdür ki, bu mümkün deyilsə, SolarWinds dəsti kimi müəssisə səviyyəli alətlər bütün şəbəkə məlumatlarını idarə olunan məlumat toplusuna yığmağa kömək edə bilər.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map