5 алата за снимање и анализу комплетног пакета за мале до велике мреже

by
Tweet
Share
Share
Pin

Analiza i hvatanje paketa predstavljaju ključne procese za detaljno istraživanje mrežnih aktivnosti, otkrivanje neefikasnih prenosa i identifikaciju potencijalnih sajber pretnji.

Snimanje paketa podrazumeva presretanje i prikupljanje paketa podataka tokom njihovog kretanja kroz mrežu. Ovi paketi se zatim analiziraju kako bi se identifikovali i rešili različiti mrežni problemi, kao što su kašnjenja i prekidi u radu. Informacije dobijene analizom paketa su od velike pomoći administratorima mreže pri rešavanju problema i brzom otklanjanju grešaka.

Analiza paketa se koristi u sledećim oblastima:

  • Detekcija sigurnosnih rizika
  • Rešavanje problema sa DNS-om
  • Identifikacija i rešavanje problema sa mrežnom povezanošću
  • Otkrivanje grešaka u mreži
  • Otkrivanje i popravljanje curenja paketa
  • Detekcija i prevencija zlonamernog softvera

Moguće je snimiti kompletne pakete podataka ili samo određene segmente. Kompletan paket podataka sastoji se od dva dela: korisnog opterećenja i zaglavlja. Korisno opterećenje sadrži stvarni sadržaj paketa, dok zaglavlje sadrži informacije kao što su izvorna i odredišna adresa paketa.

U nastavku predstavljamo listu nekoliko aplikacija za snimanje i analizu paketa.

Krenimo!

Colasoft Capsa

Capsa je prenosivi mrežni analizator, alat za praćenje i dijagnostiku u realnom vremenu, namenjen kako za žičane, tako i za bežične mreže. Inspekcije paketa podataka mogu se zakazati za određene vremenske periode, kao što je redovno ili mesečno skeniranje. Redovno skeniranje osigurava da se ne propusti nijedan problem u vezi sa performansama. Ukoliko se problem ipak pojavi, obaveštenja putem e-pošte i audio notifikacije će vas upozoriti da je potrebno vaše učešće u rešavanju mrežnih problema.

Capsa pomaže korisnicima da budu u toku sa svim ranjivostima i pretnjama koje mogu dovesti do prekida u pružanju usluga. Svi ključni parametri VoIP-a (Voice over Internet Protocol), kao što su tip kodeka i distribucija događaja, se prate uz pomoć ovog alata. Capsa je odličan alat za sve one koji žele da se uključe u inspekciju paketa i nauče kako da detektuju mrežne probleme i poboljšaju sigurnost svoje mreže.

Karakteristike:

  • Besplatni ugrađeni alati za kreiranje i reprodukciju paketa, kao i skeniranje i pingovanje IP adresa.
  • Automatski dijagnostikuje mrežne probleme i preporučuje rešenja.
  • Podržava analizu VoIP i TCP protoka, koja se može koristiti za dijagnostikovanje mrežnih problema kao što su spora vremena odziva i CRM (Customer Relationship Management) transakcije.
  • Može da detektuje DDoS napade, ARP napade i skeniranje TCP portova, a omogućava i korisnicima da uoče tehničke probleme u mreži.
  • Ovaj alat podržava više od 1800 protokola, što olakšava ispitivanje protokola u mreži i razumevanje procesa koji se odvijaju.
  • Prikuplja sve pakete podataka i prikazuje detaljne informacije o redosledu paketa u Hex i ASCII formatu (duboko dekodiranje paketa).
  • Informacije o mrežnom saobraćaju i propusnom opsegu mogu se prikazati u grafičkom formatu.

Colasoft nudi i druge alate, kao što su sistem za analizu mrežnih performansi (nChronos) i Unified Performance Management Solution (Colasoft UPM). Dostupna je i 30-dnevna besplatna probna verzija, kako bi korisnici mogli da isprobaju sve mogućnosti pre kupovine.

TCPDump

TCPDump je open-source i moćan alat za analizu paketa putem komandne linije, koji hvata protokole kao što su TCP, UDP i ICMP (Internet Control Message Protocol). Ovaj alat je već instaliran na svim operativnim sistemima koji su slični Unix-u. TCPDump je objavljen pod BSD licencom. Omogućava pregled zaglavlja TCP/IP paketa. Pruža informacije za svaki prenos podataka, a skripta se izvršava sve dok je korisnik ne zaustavi pritiskom na Ctrl+C.

TCPDump je vrlo jednostavan za podešavanje, a uz poznavanje osnovnih komandi, oznaka i argumenata, može se koristiti za rešavanje problema sa povezivanjem i osiguravanje mrežne bezbednosti. Snimljeni paketi se čuvaju u datoteci, u svrhu dalje analize. Datoteke se čuvaju u PCAP formatu (skraćenica od Packet Capture), koji se lako može pregledati pomoću TCPDump-a ili WireShark-a.

Karakteristike:

  • Filtriranje uvaćenih paketa podataka prema izvoru, odredištu i protokolu.
  • Besplatan i otvorenog koda

U nastavku možete pronaći članak o tome kako uhvatiti i analizirati mrežni saobraćaj pomoću TCPDump-a.

Paessler PRTG

Paessler PRTG Network Monitor je jedan od najpopularnijih alata za praćenje mreže i analizu saobraćaja. Ovaj alat pruža ključne informacije o infrastrukturi mreže i njenim performansama.

Kompatibilan je sa Windows operativnim sistemom. Uključuje različite opcije za praćenje, uključujući praćenje propusnog opsega i analizu saobraćaja. Dostupna je besplatna verzija Paessler PRTG-a. Za praćenje mrežnih performansi koristi kombinaciju tehnika kao što su njuškanje paketa, WMI i SNMP.

Karakteristike:

  • Fleksibilno upozoravanje – PRTG nudi preko deset različitih tehnologija za obaveštavanje, uključujući SMS, push notifikacije, e-poštu, pokretanje HTTP zahteva itd.
  • Višestruki korisnički interfejsi – zasnovani na AJAX-u, sa visokim sigurnosnim zahtevima i efikasnošću zahvaljujući tehnologiji Single Page Application (SPA).
  • Rešenje za prelazak na grešku klastera – napredno rešenje za nadgledanje.
  • Mape i kontrolne table – korišćenje mapa u realnom vremenu za vizuelizaciju mreže.
  • Distribuirano praćenje – pomoću prenosivih presretača, možete nadgledati brojne mreže na različitim lokacijama i unutar svoje organizacije.
  • Detaljno izveštavanje u obliku brojčanih podataka, statistika i grafikona.

Ovaj alat podržava različite metode upozoravanja, uključujući SMS, e-poštu i integracije sa platformama kao što je Slack. PRTG je dostupan u neograničenoj verziji tokom 30 dana, nakon čega se vraća na besplatnu formu.

Wireshark

Wireshark je besplatan analizator paketa otvorenog koda, koji omogućava uvid u mrežni prenos podataka u realnom vremenu. Ovaj alat pomaže mrežnim administratorima da ispitaju mrežu na detaljnom nivou, kako bi precizno odredili uzrok problema i grešaka u saobraćaju. Odličan je alat koji zahteva dobro razumevanje koncepata umrežavanja.

Karakteristike:

  • Radi na svim popularnim operativnim sistemima, uključujući Windows, Linux distribucije, Mac OS X itd.
  • Kreiranje izveštaja na osnovu trenutnih statističkih podataka.
  • Filtriranje izlaza sa različitim opcijama, kao što su tajmeri i filteri.
  • Vizualizacija mrežnih paketa pomoću IO grafikona.
  • Takođe, može da snima USB saobraćaj.
  • Nudi širok spektar upotreba, uključujući pronalaženje neovlašćenog saobraćaja, podešavanja filtera za pakete itd.
  • Pravila kodiranja bojama mogu se primeniti za identifikaciju različitih vrsta saobraćaja.
  • Detaljna analiza VoIP (Voice over Internet Protocol) prenosa.

Izgubljeni paketi podataka, problemi sa kašnjenjem mreže, zavisnosti od aplikacija i neefikasne veličine prozora su česti izazovi u rešavanju mrežnih problema, u čemu Wireshark može da pomogne. Ovaj alat omogućava praćenje mrežnog saobraćaja i pruža mehanizme za pretragu i preciziranje izvora problema.

Unicast (bez veze) saobraćaj koji se ne šalje na mrežni interfejs MAC adrese takođe se može nadgledati pomoću WireShark alata.

Slobodno posetite ovaj članak o rešavanju problema sa kašnjenjem mreže uz pomoć WireShark-a.

Arkime

Arkime funkcioniše u saradnji sa postojećim sigurnosnim sistemom, prikupljajući i indeksirajući mrežni saobraćaj i prenose podataka u standardnom PCAP formatu.

Svi snimljeni paketi podataka se čuvaju i izvoze u standardnom PCAP formatu, što omogućava korisnicima da koriste svoje omiljene PCAP alate, kao što su WireShark ili TCPDump, u procesu analize podataka.

Zadržavanje PCAP datoteka zavisi od količine dostupnog prostora na disku, dok zadržavanje API-ja zavisi od veličine Elasticsearch klastera. Oba parametra se mogu promeniti.

Arkime je dizajniran za rad na različitim sistemima i skalama, kako bi se prilagodio protoku od više desetina gigabita u sekundi. Sve PCAP datoteke sačuvane na Arkime senzorima mogu se instalirati i dostupne su isključivo putem Arkime web interfejsa ili API-ja. PCAP datoteke se mogu šifrovati u stanju mirovanja pomoću Arkime-a.

Karakteristike:

  • Pruža korisnički prilagođen web interfejs za ispitivanje, pronalaženje i izdvajanje PCAP datoteka.
  • Besplatan i otvorenog koda
  • Omogućava drugim alatima za PCAP datoteke da pregledaju sačuvane PCAP datoteke.

PCAP podaci i podaci o transakcijama u JSON formatu mogu se preuzeti direktno putem API-ja. Kompletnu dokumentaciju za Arkime API možete pronaći ovde.

Zaključak

Analiza podataka dobijenih hvatanjem paketa obično zahteva visok nivo tehničke stručnosti, koja se može steći korišćenjem ovih alata.

Nadam se da vam je ovaj članak bio koristan u upoznavanju sa alatima za snimanje i analizu kompletnih paketa, koji su korisni kako za male, tako i za velike mreže.

Možda će vas zanimati i članak o najboljim softverskim alatima za Wi-Fi analizatore.