10 tinklo administratorių ir saugumo analitikų tinklo paketinių analizatorių

Jūsų tinklas yra jūsų verslo operacijų pagrindas. Įsitikinkite, kad žinote, kas vyksta giliai jo viduje.


Daugeliu atvejų skaitmeninio verslo aplinkoje įvyko revoliucija ar dvi. Kas prasidėjo taip paprastai CGI scenarijai parašyta „Perl“, dabar žydi į grupinius diegimus, veikiančius visiškai automatizuotuose Kunernetes ir kiti orkestravimo pagrindai (atsiprašau už sunkų žargoną – aš jo visiškai nesu kuriu; tai yra šiandienos reikalai!).

Tipiška sudėtinė, paskirstyta moderni interneto programa (šaltinis: medium.com)

Tačiau negaliu atsisakyti šypsenos, manydamas, kad pagrindai vis dar yra tokie patys, kokie jie buvo aštuntajame dešimtmetyje.

Viskas, ką turime, yra abstrakcijos, kurias palaiko kieti, fiziniai kabeliai, sudarantys tinklą (gerai, yra ir virtualių tinklų, gerai, bet jūs sugalvojate idėją). Jei norime išgalvoti, tinklą galime padalyti į sluoksnius, kaip numatyta OSI modelis, bet viskas, kas pasakyta ir padaryta, mes visada, visada turime reikalų TCP / IP protokolai (perspėjimas, sunkus skaitymas pirmyn!), pingai, maršrutizatoriai, kurie visi turi vieną bendrą tikslą – duomenų paketų perdavimas.

Taigi, kas yra tinklo paketas?

Nesvarbu, ką mes darome – bendraujame, transliuojame vaizdo įrašus, žaidžiame, naršome, perkame daiktus – tai iš esmės yra duomenų paketų mainai tarp dviejų kompiuterių (tinklų). „Paketas“ yra mažiausias informacijos, tekančios tinkle (arba tarp tinklų), vienetas. Yra tiksliai apibrėžtas tinklo paketų kūrimo ir tikrinimo metodas (už šio straipsnio taikymo srities ribų, bet jei jaučiatės avantiūristas, štai) daugiau).

Paketų srautas tinkle (šaltinis: training.ukdw.ac.id)

Kalbant paprasčiau, kiekvienas paketas žymi grandinės grandį ir yra tinkamai perduodamas šaltinyje ir patvirtinamas paskirties vietoje. Net jei vienas paketas išeina arba užsakomas, procesas sustabdomas, kol bus gauti visi teisinga tvarka išdėstyti paketai, ir tik tada jie bus sudedami taip, kad būtų suformuoti duomenys, kuriuos jie iš pradžių vaizdavo (pavyzdžiui, vaizdas)..

Dabar, kai suprantame, kas yra tinklas, tampa aišku, ką daro tinklo analizatorius. Tai įrankis, leidžiantis žvilgtelėti į atskirus tinklo paketus.

Bet kodėl jūs norėtumėte patekti į tą bėdą? Aptarsime tai vėliau.

Kodėl turime analizuoti paketus?

Panašu, kad paketai yra beveik pagrindiniai tinklo duomenų srauto elementai, panašiai kaip atomai yra visos materijos pagrindas (taip, aš žinau, tai nėra tikrosios pamatinės dalelės, tačiau tai yra pakankamai gera analogija mūsų tikslams) . Nagrinėdami medžiagas ar dujas, mes niekada nesijaudiname dėl to, ką daro atskiras atomas; Taigi, kodėl nerimauti dėl vieno tinklo paketo individualiame lygmenyje? Ką mes galime žinoti kitaip, nei mes jau žinome?

Sunku parodyti paketo lygio analizės svarbą, kai anksčiau nebuvote įkandęs atgal, bet aš pabandysiu.

Paketų analizė reiškia, kad nešvarios rankos ir nusileidimas prie pačios santechnikos norint ką nors išsiaiškinti. Paprastai reikia analizuoti tinklo paketus, kai visa kita nepavyko. Paprastai tai apima iš pažiūros beviltiškus scenarijus:

  • Nepaaiškinamas slaptų duomenų praradimas, nepaisant jokio akivaizdaus pažeidimo
  • Diagnozuokite lėtas programas, kai, atrodo, nėra jokių įrodymų
  • Įsitikinkite, kad jūsų kompiuteris / tinklas nebuvo pažeistas
  • Įrodyti ar paneigti, kad užpuolikas nėra piggybacking išjungtas jūsų „WiFi“ ryšys
  • Išsiaiškinkite, kodėl jūsų serveris yra kliūtis, nepaisant mažo srauto

Apskritai, paketų analizė priklauso nuo tam tikrų, sunkių įrodymų rūšių. Jei žinote, kaip atlikti paketų analizę, ir turite momentinę nuotrauką, galite apsisaugoti nuo neteisėto kaltinimo įsilaužimu ar tiesiog kaltinimo kaip nekompetentingo kūrėjo ar sistemos administratoriaus.

Viskas apie smegenis! (šaltinis: dailydot.com)

Kalbant apie tikrą istoriją, manau, šis rastas tinklaraščio komentaras čia yra išskirtinė (čia atkartojama kiekvienam atvejui):

Mano įmonei kritinė programa rodė efektyvumo problemas, ji susidūrė su klientų diegimu. Tai buvo vertybinių popierių kainų nustatymo programa, naudojama visame pasaulyje veikiančių bendrovių, naudojančių variklius, vadove. Jei apie 2000 m. Turėjote 401 (k), tai greičiausiai priklausė nuo šios programos. Išanalizavau jūsų aprašytą būdą, ypač TCP elgesį. Aš tiksliai nurodiau problemą kaip OS pardavėjo diegiamą TCP. Klaidingas elgesys buvo tas, kad siunčiančiam kaminui kontroliuojant grūstis, jis niekada neatsistatydavo. Dėl to atsirado komiškai mažas siuntimo langas, kartais tik keli MSS kartotiniai.

Prireikė šiek tiek laiko kovojant su paskyros valdytojais ir kūrėjų palaikymo žmonėmis prie OS tiekėjo, kuris nesuprato problemos, mano paaiškinimo arba kad problemos * negalėjo būti * programoje, nes programa palaimingai nežino apie TCP machinacijas. Tai buvo tarsi kalbėjimas prie sienos. Pradėjau viename kvadratėlyje su kiekvienu konferenciniu pokalbiu. Galiausiai paskambinau į telefoną su vaikinu, su kuriuo galėjau gerai diskutuoti. Pasirodo, kad jis įdėjo RFC1323 plėtinius į krūvą! Kitą dieną rankose turėjau OS pakeitimų paketą ir produktas nuo to laiko veikė nepriekaištingai.

Kūrėjas paaiškino, kad įvyko klaida, dėl kurios gaunami ACK * su naudingaisiais kroviniais * buvo netinkamai klasifikuojami kaip DUPACK, kai krūva buvo kontroliuojama spūsčių..

To niekada neatsitiks su pusiau dupleksinėmis programomis, tokiomis kaip HTTP, tačiau programa, kurią palaikiau, visą laiką siųsdavo duomenis į telefoną į abi puses dviem kryptimis..

Tuo metu aš neturėjo daug palaikymo iš vadovybės (mano vadybininkas net man rėkė, kad „visada noriu naudoti šnipinėjimą“, kad išspręstų problemas), ir niekas, išskyrus mane, žiūrėjo į OS pardavėjo TCP įgyvendinimą kaip šaltinį problemos. Pats imdamasis taisymo iš OS pardavėjo, ši pergalė tapo ypač miela, uždirbo man toną kapitalo, kad padaryčiau savo reikalus, ir privertė prie įdomiausių problemų pasirodyti ant mano stalo.

Protas išpūstas!

Jei nepatikėjote skaityti per tą teksto lentelę arba tam nebuvo prasmės, džentelmenas susidūrė su veiklos problemomis, dėl kurių kaltina jo paraiška, ir, kaip tikėtasi, vadovybė nesuteikė jokios paramos. Tik išsami paketų analizė įrodė, kad problema kilo ne programoje, o kaip operacinė sistema tvarkė tinklo protokolą.!

Pataisymas buvo ne programos pritaikymas, o operacinės sistemos kūrėjų pataisymas! ��

Berniukas, oi, berniukas. . . Kur, jūsų manymu, būtų šis asmuo be paketo lygio analizės? Tikriausiai iš darbo. Jei tai neįtikina jus apie paketų analizės (dar vadinamos paketų šnipinėjimu) svarbą, nežinau, kas bus. ��

Dabar, kai žinote, kad paketų analizė yra supervalstybė, turiu gerų naujienų: ne viskas yra sunku tai padaryti!

Galingų, tačiau paprastai naudojamų paketų analizatorių (šnabždesių) dėka išvalyti informaciją iš paketų lygio analizės gali būti taip paprasta, kaip skaityti pardavimo informacijos suvestinę. Nepaisant to, jums reikės šiek tiek daugiau nei paviršiaus lygio žinių apie tai, kas vyksta tinklo viduje. Bet vėlgi, čia nėra raketų mokslo, nėra susuktos logikos įsisavinti – tiesiog paprastas sveikas protas.

Jei pradėsite skaityti vieno iš šių įrankių dokumentus, kai juos naudosite savo tinkle, gana greitai būsite ekspertas. ��

„Wireshark“

„Wireshark“ yra senas projektas (jis prasidėjo dar 1998 m.), kuris yra beveik pramonės standartas, kai reikia nardyti giliai į tinklus. Tai įspūdinga, kai manote, kad tai yra tik savanorių vadovaujama organizacija, kuriai talkina didingi rėmėjai. „Wireshark“ išlieka atvirojo kodo (ne „GitHub“, bet kodą galima rasti čia) ir netgi turi tech konferencija jos vardui!

Tarp daugybės „Wireshark“ galimybių yra:

  • Palaikymas šimtams tinklo protokolų.
  • Suderinamas su daugeliu failų formatų („tcpdump“ (libpcap), „Pcap NG“, „Catapult DCT2000“, „Cisco Secure IDS iplog“, „Microsoft Network Monitor“, „Network General Sniffer®“ (suglaudintas ir nesuspaustas), „Sniffer® Pro“ ir „NetXray®“ ir kt.).
  • Vykdykite beveik visas platformas („Linux“, „Windows“, „MacOS“, „Solaris“, „FreeBSD“ ir dar daugiau)..
  • Tiesioginis duomenų skaitymas iš „Ethernet“, IEEE 802.11, PPP / HDLC, bankomatų, „Bluetooth“, USB, „Token Ring“ ir kt..
  • Gzip dekompresija skrydžio metu.
  • Palaikomos iššifravimo protokolų apkrovos (WPA / WPA2, SNMPv3 ir kt.)
  • Išsami VoIP analizė
  • Spalvinimo taisyklės greitesniam vaizdiniam nuskaitymui

Peržiūrėkite šį fantastišką internetinį kursą išmokyti išmokti Wireshark.

tcpdump

Jei esate sena mokykla (skaitykite sunkių komandų eilutės narkomaną), tcpdump yra skirtas tau.

Tai dar viena iš tų ikoniškų „Linux“ paslaugų (kaip „curl“), kuri išlieka tokia pati svarbi kaip niekada anksčiau, tiek, kad ant jos remiasi beveik visi kiti „mėgėjų“ įrankiai. Kaip jau sakiau anksčiau, nėra grafinės aplinkos, tačiau įrankis ją daugiau nei sudaro.

Bet jo įdiegimas gali būti skausmas; o „tcpdump“ yra komplektuojamas su moderniausiais „Linux“ paskirstymais, jei to nėra, jums teks kurti iš šaltinio.

„tcpdump“ komandos yra trumpos ir paprastos, skirtos išspręsti tam tikrą problemą, tokią kaip:

  • Rodomos visos galimos sąsajos
  • Fiksuojama tik viena iš sąsajų
  • Įrašytų paketų išsaugojimas faile
  • Fiksuojami tik nepavykę paketai

. . . ir taip toliau.

Jei jūsų poreikiai yra paprasti ir jums reikia atlikti greitą nuskaitymą, „tcpdump“ gali būti puiki galimybė apsvarstyti (ypač jei įvedate „tcpdump“ ir pastebite, kad jis jau įdiegtas!).

„NetworkMiner“

Reklamuoja save kaip kriminalistinio tinklo analizės įrankį (FNAT), „NetworkMiner“ yra vienas iš geriausių paketo lygio analizatorių, su kuriuo teko susidurti. Tai atvirojo kodo įrankis, galintis pasyviai analizuoti tinklą, pateikiamas su įspūdinga GUI sąsaja, skirta analizei, kuri gali parodyti atskirus vaizdus ir kitus perduotus failus.

Bet tai dar ne viskas. „NetworkMiner“ siūlo puikias kitas funkcijas, tokias kaip:

  • IPv6 palaikymas
  • PCAP failų analizė
  • Ištraukite X.509 sertifikatus iš užšifruoto SSL srauto
  • „Pcap-over-IP“
  • Veikia su kelių tipų srautu, pavyzdžiui, FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 ir kt..
  • OS pirštų atspaudai
  • Geo IP lokalizavimas
  • Komandinės eilutės scenarijų palaikymas

Atminkite, kad kai kurios iš šių funkcijų yra komercinėje versijoje.

Fiddleris

Skirtingai nuo kitų pasyvaus tinklo šnabždesių, Fiddleris yra kažkas, kas yra tarp jūsų įrenginio ir išorinio pasaulio, todėl jį reikia šiek tiek sukonfigūruoti (ar todėl jie pavadino jį „Fiddler“? ��).

Tai pritaikomas (naudojant „FiddlerScript“) nemokamas įrankis, turintis ilgą ir išskirtą istoriją, taigi, jei jūsų tikslas yra užuosti HTTP / HTTPS srautą kaip bosą, „Fiddler“ yra būdas.

Naudodamiesi „Fiddler“ galite nuveikti daugybę dalykų, ypač jei esate nusiteikę dovanoti įsilaužėlių kostiumą:

  • Sesijos manipuliacija: Nukopijuokite atidarytas HTTP antraštes ir sesijos duomenis, modifikuodami jas bet kokiu norimu būdu.
  • Saugumo bandymai: Leidžia modeliuoti vidurio puolimus ir iššifruoti visą HTTPS srautą.
  • Našumo bandymai: Išanalizuokite puslapio įkėlimo (arba API atsakymo) laiką ir sužinokite, kuri atsakymo dalis yra kliūtis.

Jei jaučiatės pasimetę, dokumentacija yra labai geras ir labai rekomenduojamas.

„WinDump“

Jei praleidote „tcpdump“ paprastumą ir norite jį pritaikyti „Windows“ sistemoms, sako labas „WinDump“. Įdiegus, jis veikia iš komandinės eilutės įvesdamas „tcpdump“ taip, kaip naudingumas veikia „Linux“ sistemose.

Atminkite, kad nėra ko įdiegti per se; „WinDump“ yra dvejetainis elementas, kurį galima paleisti iškart, jei turite įdiegtą „Pcap“ bibliotekos įgyvendinimą (npcap rekomenduojama, nes „winpcap“ nebėra kuriama).

„OmniPeek“

Didesniems tinklams, kurių duomenų srautas kas sekundę teka daugybe MB duomenų, visiems kitiems naudojami įrankiai gali pritrūkti. Jei susidursi su tuo pačiu, „OmniPeek“ galbūt verta ieškoti.

Tai našumo, analizės ir kriminalistikos įrankis tinklams analizuoti, ypač kai reikia tiek žemo lygio galimybių, tiek išsamių prietaisų skydelių..

Šaltinis: sniffwifi.com

Jei esate didesnė organizacija, ieškanti rimto pasiūlymo, galite įsigyti 30 dienų bandomąją versiją čia.

Kapsa

Jei jums rūpi tik „Windows“ platforma, Kapsa taip pat yra rimtas varžovas. Jis yra trijų versijų: nemokama, standartinė ir įmoninė, kiekviena turi skirtingas galimybes.

Beje, net nemokama versija palaiko daugiau nei 300 protokolų ir turi įdomių funkcijų, tokių kaip perspėjimai (suveikia, kai įvykdomos tam tikros sąlygos). Standartinis pasiūlymas yra aukščiau išdėstytas aukščiau, palaikantis daugiau nei 1000 protokolų ir leidžiantis analizuoti pokalbius bei rekonstruoti paketų srautus.

Apskritai, tvirta galimybė „Windows“ vartotojams.

„EtherApe“

Jei stebėsite galingomis vizualizacijomis ir atviruoju šaltiniu, „EtherApe“ yra puikus pasirinkimas. Nors iš anksto sukurtus dvejetainius failus galima įsigyti tik kelioms „Linux“ versijų versijoms, šaltinis galimas (tiek „SourceForge“, tiek „GitHub“), todėl galite sukurti jį savarankiškai..

Štai, kas, mano nuomone, daro „EtherApe“ puikiu:

  • Kelių mazgų, spalvų kodų stebėjimas.
  • Palaikymas daugybei paketinių formatų, tokių kaip ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN ir kt. (Iš tikrųjų daug, daug, dar daugiau).
  • Perskaitykite duomenis tiesiogiai iš „laido“ arba iš „tcpdump“ failo.
  • Palaiko standartinę vardo skiriamąją gebą
  • Kaip ir naujausios versijos, GUI buvo perkelta į GTK3, todėl patirtis bus malonesnė.

„CommView“

Jei esate „Windows“ parduotuvė ir vertinate prioritetinės pagalbos patogumą, „CommView“ yra rekomenduojama. Tai integruotas galingas tinklo srauto analizatorius su patobulintomis funkcijomis, tokiomis kaip VoIP analizė, nuotolinis stebėjimas ir kt.

Mane labiausiai sužavėjo gebėjimas eksportuoti duomenis į formatus, naudojamus keliuose atviruose ir patentuotuose formatuose, tokiuose kaip „Sniffer®“, „EtherPeek ™“, „AiroPeek ™“, „Observer®“, „NetMon“, „Wireshark / Tcpdump“ ir „Wireshark“ / „pcapng“ ir net paprastuose šešiakampiuose sąvartynuose..

„Wifi Explorer“

Paskutinis sąraše yra „Wifi Explorer“, kuriame yra nemokama „Windows“ versija ir standartinė „Windows“ ir „MacOS“ versija. Jei „Wi-Fi“ tinklo analizė yra viskas, ko jums reikia (tai šiomis dienomis yra beveik standartas), tada „Wifi Explorer“ palengvins gyvenimą.

Tai gražiai suprojektuotas ir turtingas įrankis, skirtas pjaustyti tiesiai į tinklo širdį.

Garbingas paminėjimas: Būtų drąsi uždaryti šį įrašą neminint „macOS“ tinklo analizatoriaus, į kurį įsmeigiau – Mažasis snukis. Jame yra įmontuota užkarda, taigi, tuoj pat turėsite galimybę tuoj pat puikiai valdyti visą eismą (kuris gali sukelti skausmą, bet ilgainiui yra didžiulis pelnas)..

Jei ketinate kurti tinklo ir saugumo karjerą, pasidomėkite kai kuriomis iš jų geriausi internetiniai kursai čia.

Niekas gyvenime nėra tobulas ar neišsamus, ir tas pats pasakytina apie šį sąrašą.

Esu įsitikinęs, kad yra daugybė kitų praleistų nemokamų / komercinių / neįgyvendinamų paketų analizatorių (šnipinėjimų). Jei taip, padėkite man patobulinti šį straipsnį, atsižvelgiant į jūsų pateiktus duomenis. ?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map