Сниффинг пакета је дубока врста анализе мреже у којој се детаљи мрежног саобраћаја декодирају да би се анализирали. То је једна од најважнијих вештина за решавање проблема које сваки мрежни администратор треба да поседује. Анализа мрежног саобраћаја је компликован задатак. Да би се носили са непоузданим мрежама, подаци се не шаљу у једном континуираном току. Уместо тога, он се исецка на фрагменте који се шаљу појединачно. Анализа мрежног саобраћаја укључује могућност прикупљања ових пакета података и поновног састављања у нешто значајно. Ово није нешто што можете да урадите ручно, па су направљени њушкари пакета и мрежни анализатори. Данас ћемо погледати седам најбољих њушкања пакета и анализатора мреже.
Данашње путовање почињемо тако што ћемо вам дати неке основне информације о томе шта су њушкари пакета. Покушаћемо да схватимо која је разлика – или постоји ли разлика – између њушкача пакета и мрежног анализатора. Затим ћемо прећи на срж наше теме и не само листу, већ и укратко прегледати сваки од наших седам избора. Оно што имамо за вас је комбинација ГУИ алата и услужних програма командне линије који раде на различитим оперативним системима.
Преглед садржаја
Неколико речи о њушкању пакета и мрежним анализаторима
Хајде да почнемо тако што ћемо нешто да решимо. Зарад овог чланка, претпоставићемо да су њушкање пакета и анализатори мреже једно те исто. Неки ће тврдити да су другачији и да су можда у праву. Али у контексту овог чланка, погледаћемо их заједно, углавном зато што, иако можда раде другачије – али да ли заиста? – служе истој сврси.
Пакетни њушкачи обично раде три ствари. Прво, они хватају све пакете података док улазе или излазе из мрежног интерфејса. Друго, они опционо примењују филтере да игноришу неке пакете и сачувају друге на диск. Затим врше неки облик анализе ухваћених података. У тој последњој функцији њушкања пакета они се највише разликују.
За стварно хватање пакета података, већина алата користи екстерни модул. Најчешћи су либпцап на Уник/Линук системима и Винпцап на Виндовс-у. Обично нећете морати да инсталирате ове алате јер их обично инсталирају различити инсталатери алата.
Још једна важна ствар коју треба знати је да њушкање пакета – чак ни оно најбоље – неће учинити све за вас. Они су само алати. То је исто као чекић који неће сам забити ексер. Дакле, морате бити сигурни да сте научили како најбоље користити сваки алат. Снифер пакета ће вам само омогућити да видите саобраћај, али на вама је да користите те информације да бисте пронашли проблеме. Постоје читаве књиге о коришћењу алата за хватање пакета. И ја сам једном похађао тродневни курс на ту тему. Не покушавам да те обесхрабрим. Само покушавам да исправим ваша очекивања.
Како се користи њушкало пакета
Као што смо објаснили, њушкало пакета ће ухватити и анализирати саобраћај. Дакле, ако покушавате да решите одређени проблем – што је обично разлог зашто бисте користили такву алатку – прво морате да се уверите да је саобраћај који снимате прави саобраћај. Замислите ситуацију у којој се сви корисници жале да је одређена апликација спора. У таквој ситуацији, најбоље би било да ухватите саобраћај на мрежном интерфејсу сервера апликација. Тада можете схватити да захтеви нормално стижу на сервер, али да серверу треба много времена да пошаље одговоре. То би указивало на проблем са сервером.
Ако, с друге стране, видите да сервер реагује на време, то можда значи да је проблем негде на мрежи између клијента и сервера. Затим бисте померили свој њушкач пакета за један скок ближе клијенту и видели да ли су одговори одложени. Ако није, померате више скокова ближе клијенту, и тако даље и тако даље. На крају ћете доћи до места где долази до кашњења. А када једном идентификујете локацију проблема, један сте велики корак ближе његовом решавању.
Сада се можда питате како успевамо да ухватимо пакете у одређеном тренутку. Прилично је једноставно, користимо предности већине мрежних прекидача које се називају пресликавање портова или репликација. Ово је опција конфигурације која ће реплицирати сав саобраћај који улази и излази из одређеног порта комутатора на други порт на истом прекидачу. Рецимо да је ваш сервер повезан на порт 15 комутатора и да је порт 23 тог истог прекидача доступан. Повезујете њушкало пакета на порт 23 и конфигуришете прекидач да реплицира сав саобраћај са порта 15 на порт 23. Оно што добијате као резултат на порту 23 је слика у огледалу – отуда и назив пресликавања порта – онога што пролази кроз порт 15.
Најбољи њушкари пакета и мрежни анализатори
Сада када боље разумете шта су њушкари пакета и мрежни анализатори, хајде да видимо којих седам најбољих можемо да пронађемо. Покушали смо да укључимо мешавину командне линије и ГУИ алата, као и алате који раде на различитим оперативним системима. На крају крајева, не користе сви администратори мреже Виндовс.
1. СоларВиндс алатка за дубоку инспекцију и анализу пакета (БЕСПЛАТНА ПРОБА)
СоларВиндс је познат по многим корисним бесплатним алатима и најсавременијем софтверу за управљање мрежом. Један од његових алата се зове Дееп Пацкет Инспецтион анд Аналисис Тоол. Долази као компонента водећег производа СоларВиндс-а, Монитора мрежних перформанси. Његов рад се прилично разликује од „традиционалнијих“ њушкања пакета иако служи сличној сврси.
Да резимирамо функционалност алата: помоћи ће вам да пронађете и решите узрок кашњења мреже, идентификујете апликације на које утиче и утврди да ли је спорост узрокована мрежом или апликацијом. Софтвер ће такође користити технике дубоке инспекције пакета за израчунавање времена одговора за преко хиљаду стотина апликација. Такође ће класификовати мрежни саобраћај по категорији, пословном наспрам друштвеног и нивоу ризика, помажући вам да идентификујете непословни саобраћај који ће можда морати да се филтрира или на други начин елиминише.
И не заборавите да СоларВиндс алатка за дубоку инспекцију и анализу пакета долази као део монитора мрежних перформанси. НПМ, како га често називају, је импресиван комад софтвера са толико компоненти да би му могао бити посвећен цео чланак. У својој сржи, то је комплетно решење за надгледање мреже које комбинује најбоље технологије као што су СНМП и дубока инспекција пакета како би се пружило што више информација о стању ваше мреже. Алат, који има разумну цену, долази са бесплатним пробним периодом од 30 дана, тако да можете да се уверите да заиста одговара вашим потребама пре него што га купите.
Званична веза за преузимање: хттпс://ввв.соларвиндс.цом/топицс/дееп-пацкет-инспецтион
2. тцпдумп
Тцпдумп вероватно је оригинални њушкало пакета. Настао је далеке 1987. Од тада је одржаван и унапређиван али је у суштини остао непромењен, барем на начин на који се користи. Он је унапред инсталиран у скоро сваком оперативном систему сличан Уник-у и постао је де-факто стандард када је потребна брза алатка за хватање пакета. Тцпдумп користи библиотеку либпцап за стварно хватање пакета.
Подразумевано. тцпдумп хвата сав саобраћај на наведеном интерфејсу и „избацује“ га – отуда и његово име – на екран. Думп се такође може послати у датотеку за снимање и касније анализирати коришћењем једног – или комбинације – неколико доступних алата. Кључ за снагу и корисност тцпдумп-а је могућност примене свих врста филтера и слања његовог излаза у греп – још један уобичајени услужни програм Уник командне линије – за даље филтрирање. Неко ко добро познаје тцпдумп, греп и командну љуску може га натерати да ухвати тачно прави саобраћај за било који задатак отклањања грешака.
3. Виндумп
Виндумп је у суштини само порт тцпдумп на Виндовс платформи. Као такав, понаша се на скоро исти начин. Није неуобичајено видети такве портове успешних услужних програма са једне платформе на другу. Виндумп је Виндовс апликација, али не очекујте фенси ГУИ. Ово је услужни програм само за командну линију. Према томе, коришћење Виндумп-а је у основи исто као и коришћење његовог Уник-а. Опције командне линије су исте, а резултати су такође скоро идентични. Излаз из Виндумп-а се такође може сачувати у датотеку за каснију анализу помоћу алата треће стране.
Једна велика разлика са тцпдумпом је та што Виндумп није уграђен у Виндовс. Мораћете да га преузмете са Веб локација Виндумп. Софтвер се испоручује као извршна датотека и не захтева инсталацију. Међутим, баш као што тцпдумп користи библиотеку либпцап, Виндумп користи Винпцап који, као и већина Виндовс библиотека, треба посебно да се преузме и инсталира.
4. Виресхарк
Виресхарк је референца у снифферима пакета. Постао је де-факто стандард и већина других алата има тенденцију да га опонаша. Овај алат не само да ће ухватити саобраћај, већ има и прилично моћне могућности анализе. Толико моћан да ће многи администратори користити тцпдумп или Виндумп да би ухватили саобраћај до датотеке, а затим учитали датотеку у Виресхарк ради анализе. Ово је толико уобичајен начин коришћења Виресхарка да се по покретању од вас тражи да отворите постојећу пцап датотеку или почнете да снимате саобраћај. Још једна предност Виресхарк-а су сви филтери које он укључује и који вам омогућавају да прецизно одредите податке који вас занимају.
Да будем потпуно искрен, овај алат има стрму криву учења, али је вредан учења. То ће се изнова и изнова показати непроцењивим. А када га научите, моћи ћете да га користите свуда јер је пренет на скоро сваки оперативни систем и бесплатан је и отвореног кода.
5. тсхарк
Тсхарк је нешто попут крста између тцпдумп и Виресхарк. Ово је сјајна ствар јер су они једни од најбољих њушкача пакета. Тсхарк је као тцпдумп по томе што је алат само за командну линију. Али такође је као Виресхарк по томе што не само да снима већ и анализира саобраћај. Тсхарк је од истих програмера као и Виресхарк. То је, мање-више, верзија Виресхарка са командне линије. Користи исти тип филтрирања као Виресхарк и стога може брзо изоловати само саобраћај који треба да анализирате.
Али зашто би, можда ћете се питати, неко желео верзију Виресхарка са командне линије? Зашто једноставно не користите Виресхарк; са својим графичким интерфејсом, мора да буде једноставнији за коришћење и учење? Главни разлог је тај што би вам омогућио да га користите на серверу који није ГУИ.
6. Мрежни рудар
Нетворк Минер је више форензички алат него прави њушкало пакета. Нетворк Минер ће пратити ТЦП ток и реконструисати цео разговор. То је заиста један моћан алат. Може да ради у офлајн режиму где бисте увезли неку датотеку за снимање да бисте дозволили да Нетворк Минер ради своју магију. Ово је корисна функција јер софтвер ради само на Виндовс-у. Можете користити тцпдумп на Линук-у да ухватите део саобраћаја и Нетворк Минер на Виндовс-у да га анализирате.
Нетворк Минер је доступан у бесплатној верзији, али за напредније функције као што су геолокација заснована на ИП-у и скриптовање, мораћете да купите Професионал лиценцу. Још једна напредна функција професионалне верзије је могућност декодирања и репродукције ВоИП позива.
7. Фиддлер (ХТТП)
Неки од наших упућенијих читалаца могли би тврдити да Фиддлер није њушкало пакета нити је мрежни анализатор. Вероватно су у праву, али сматрали смо да треба да уврстимо овај алат на нашу листу јер је веома користан у многим ситуацијама. Фиддлер ће заправо ухватити саобраћај, али не било какав саобраћај. Ради само са ХТТП саобраћајем. Можете замислити колико може бити драгоцено упркос ограничењима када узмете у обзир да је толико много апликација данас засновано на вебу или да користе ХТТП протокол у позадини. А пошто ће Фиддлер ухватити не само саобраћај прегледача већ скоро сваки ХТТП, веома је користан у решавању проблема
Предност алата као што је Фиддлер у односу на веродостојни њушкач пакета као што је, на пример, Виресхарк, је у томе што је Фиддлер направљен да „разуме“ ХТТП саобраћај. То ће, на пример, открити колачиће и сертификате. Такође ће пронаћи стварне податке који долазе из апликација заснованих на ХТТП-у. Фиддлер је бесплатан и доступан је само за Виндовс иако се могу преузети бета верзије за ОС Кс и Линук (користећи Моно оквир).
Закључак
Када објављујемо листе попут ове, често нас питају која је најбоља. У овој конкретној ситуацији, да ми је постављено то питање, морао бих да одговорим „свима“. Сви су бесплатни алати и сви имају своју вредност. Зашто их не бисте имали све при руци и упознали се са сваким. Када дођете у ситуацију да их морате користити, биће много лакше и ефикасније. Чак и алати командне линије имају огромну вредност. На пример, они могу бити скриптовани и заказани. Замислите да имате проблем који се дешава у 2:00 сата дневно. Можете да закажете задатак да покренете тцпдумп Виндумп између 1:50 и 2:10 и анализирате датотеку за снимање следећег јутра. Нема потребе да останете будни целу ноћ.