10 Mrežni analizatori paketa za administratore sustava i sigurnosne analitičare

Vaša je mreža okosnica vašeg poslovanja. Obavezno znate što se događa duboko u njoj.


Na mnogo načina, krajolik za digitalne tvrtke doživio je revoluciju ili dvije. Što je počelo kao jednostavno CGI skripte napisano na Perlu sada je procvjetalo u klasterirane implementacije koje rade u potpunosti automatizirano Kunernetes i druge orkestralne okvire (oprosti zbog teškog žargona – to uopće ne izmišljam; danas je upravo takav slučaj!).

Tipična kontejnerska distribuirana moderna web aplikacija (izvor: medium.com)

Ali ne mogu se ne osmjehnuti pomisli da su temelji još uvijek isti kao u 1970-ima.

Sve što imamo su apstrakcije podržane čvrstim, fizičkim kablovima koji tvore mrežu (u redu, postoje virtualne mreže su dobro, ali imate ideju). Ako se želimo zamisliti, možemo podijeliti mrežu u slojeve po redu OSI model, ali sve rečeno i gotovo, uvijek smo se uvijek bavili TCP / IP protokoli (upozorenje, teško čitanje naprijed!), pingovi, usmjerivači, a svi imaju jedan zajednički cilj – prijenos podatkovnih paketa.

Dakle, što je mrežni paket?

Bez obzira na to što radimo – chat, video streaming, igre, surfanje, kupnja stvari – to je u osnovi razmjena paketa podataka između dva računala (mreže). “Paket” je najmanja jedinica informacija koja struji u mreži (ili između mreža) i postoji dobro definirana metoda konstruiranja i provjere mrežnih paketa (izvan okvira ovog članka, ali ako se osjećate avanturistički, evo više).

Tok paketa u mreži (izvor: training.ukdw.ac.id)

Jednostavnije rečeno, svaki paket predstavlja kariku u lancu i pravilno se šalje na izvoru i potvrđuje na odredištu. Čak i ako jedan paket izađe ili naruči, postupak se obustavlja sve dok nisu primljeni svi paketi u ispravnom redoslijedu, a tek tada se sastavljaju radi formiranja podataka koji su izvorno predstavljeni (slika, na primjer).

Sada kada razumijemo što je mreža, postaje nam razumjeti što radi mrežni analizator. To je alat koji vam omogućuje zaviriti u pojedinačne pakete na vašoj mreži.

Ali zašto biste htjeli ići u tu nevolju? Razgovarajmo o tome sljedeće.

Zašto trebamo analizirati pakete?

Izgleda da su paketi uglavnom osnovni blokovi u mrežnom protoku podataka, baš kao što su atomi osnova cijele materije (da, znam, to nisu istinske temeljne čestice, ali to je dovoljno dobra analogija za naše potrebe) , A kad je riječ o analizi materijala ili plinova, nikad se ne mučimo što pojedinačni atom radi; pa zašto se brinuti o jednom mrežnom paketu na pojedinačnoj razini? Što možemo znati osim što već znamo?

Teško je prodati važnost analize nivoa paketa kada vas prethodno nije ugrizao u leđa, ali pokušat ću.

Analiza paketa znači da vam se prljave ruke i spuste u sam vodovod da nešto smislite. Općenito, trebate analizirati mrežne pakete kada sve drugo ne uspije. To obično uključuje naizgled beznadežne scenarije kako slijedi:

  • Neobjašnjiv gubitak tajnih podataka usprkos očiglednom kršenju
  • Dijagnosticiranje sporih aplikacija kada se čini da nema nikakvih dokaza
  • Pazite da vaše računalo / mreža nisu ugroženi
  • Dokazivanje ili negiranje napadača nije slojevito dodavanje s vaše WiFi
  • Otkrivanje zašto je vaš poslužnik usko grlo usprkos malom prometu

Sve u svemu, paketna analiza potpada pod određene, tvrde vrste dokaza. Ako znate kako provesti analizu paketa i imate kratku fotografiju, možete se spasiti od pogrešnog optuživanja za hack ili jednostavno biti optuženi kao nesposobni programer ili administrator sustava.

Sve je u pitanju mozak! (izvor: dailydot.com)

Što se tiče prave priče, mislim da je ovaj komentar na postu na blogu pronađen ovdje je izuzetan (reproduciran ovdje za svaki slučaj):

Aplikacija kritična za moju tvrtku pokazala je probleme s performansama i padala je na lice u implementaciji kupaca. Bila je to aplikacija za određivanje cijene dionica koja se koristila na čelu tvornica sakupljača dionica u financijskim tvrtkama širom svijeta. Ako ste imali 401 (k) oko 2000, to vjerojatno ovisi o ovoj aplikaciji. Napravio sam analizu kakvu ste opisali, posebno ponašanje TCP-a. Označio sam problem uključivanjem TCP dobavljača u implementaciju TCP-a. Beggy ponašanje je bilo to da se, kad god je pošiljka slala u kontrolu zagušenja, nikad nije oporavila. To je rezultiralo u komično malom prozoru za slanje, ponekad i samo nekoliko multiple MSS-a.

Trebalo je borbe s upraviteljima računa i osobama koje podržavaju programere kod dobavljača OS-a koji nisu razumjeli problem, moje objašnjenje ili problem * ne može biti * u aplikaciji jer aplikacija blaženo ne zna TCP mahinacije. Bilo je to poput razgovora sa zidom. Počeo sam s kvadratom svakog konferencijskog poziva. Na kraju sam se javila s momkom s kojim bih mogla dobro razgovarati. Ispada da je RFC1323 ekstenzije stavio u stog! Sljedeći dan sam u rukama imao zakrpu na OS-u i proizvod je od te točke napredovao savršeno.

Programer je objasnio da je došlo do pogreške koja je dovela ACK-ove * s korisnim opterećenjima * da budu kategorizirani kao DUPACKs kada je snop bio u kontroli zagušenja..

To se nikada ne bi događalo s polusupleks aplikacijama poput HTTP-a, ali aplikacija koju sam podržavao je u svako doba slala podatke dvosmjerno na utičnicu..

Tada nisam imao tonu podršku uprave (moj menadžer je čak vikao na mene da “uvijek želim koristiti njuškalo” da riješim probleme), a nitko osim mene nije gledao na implementaciju TCP dobavljača OS-a kao na izvor. problema. Iščitavanje popravka od strane dobavljača OS-a učinilo je ovu pobjedu posebno slatkom, zaradio sam tonu kapitala da bih radio svoje stvari i doveo do najzanimljivijih problema koji su se pojavili na mom stolu.

Za oduševiti!

U slučaju da vam nije bilo drago čitati ploču teksta ili ako to nije imalo smisla, ovaj je gospodin bio suočen s problemima izvedbe koji su okrivljeni u njegovoj prijavi, a uprava je, kako se očekivalo, pružala nultu podršku. Bila je to samo temeljita analiza paketa koja je dokazala da problem nije u aplikaciji, već u tome kako je operativni sustav rukovao mrežnim protokolom.!

Popravak nije prilagodio program, već zakrpa od strane proizvođača operacijskog sustava! ��

Dječak, oh, momče. , , Bez analize nivoa paketa, gdje mislite da bi ta osoba bila? Vjerojatno bez posla. Ako vas ovo ne uvjeri u važnost analize paketa (koja se naziva i njuškanje paketa), ne znam što ću. ��

Sada kada znate da je analiza paketa supersila, imam dobre vijesti: nije sve tako teško!

Zahvaljujući snažnim, ali jednostavnim analizatorima paketa (njuškalo), prikupljanje podataka iz analize razine paketa može biti jednako lako kao i čitanje nadzorne ploče. Međutim, trebat će vam malo više od površinskog znanja o onome što se događa unutar mreže. Ali, opet, ovdje nema raketne znanosti, nema iskrivljene logike za svladavanje – samo zdrav razum.

Ako počnete čitati dokumentaciju jednog od ovih alata dok ih upotrebljavate na mreži, vrlo brzo ćete postati stručnjak. ��

Wireshark

Wireshark stari je projekt (započet još 1998. godine) koji je gotovo industrijski standard kada je u pitanju ronjenje duboko u mreže. Impresivno je kad uzmete u obzir da je riječ o isključivo volonterskoj organizaciji koju podržavaju velikodušni sponzori. Wireshark ostaje open source (nije na GitHub-u, ali se može pronaći kod ovdje) pa čak i ima tech konferencija na njegovo ime!

Među mnogim mogućnostima Wiresharka su:

  • Podrška za stotine mrežnih protokola.
  • Interoperabilan s mnogim formatima datoteka (tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (komprimirani i nekomprimirani), Sniffer® Pro, NetXray® i tako dalje).
  • Trčanje na gotovo svim platformama vani (Linux, Windows, macOS, Solaris, FreeBSD i još mnogo toga).
  • Čitanje podataka uživo s Etherneta, IEEE 802.11, PPP / HDLC, bankomata, Bluetooth, USB, tokenskog prstena, između ostalih.
  • Leteća gzip dekompresija.
  • Podržani su puno protokola dešifriranja (WPA / WPA2, SNMPv3, itd.)
  • Opsežna VoIP analiza
  • Pravila bojanja za brže vizualno skeniranje

Pogledajte ovaj fantastični internetski tečaj na naučiti te savladati Wireshark.

tcpdump

Ako ste stara škola (pročitajte hardcore narkoman hardcore), tcpdump za tebe je.

To je još jedan od onih ikona Linux alata (poput curl-a) koji ostaje aktivan kao i uvijek, toliko da se na njemu grade gotovo svi drugi “fancier” alati. Kao što sam rekao prije, ne postoji grafičko okruženje, ali alat više nego što to nadoknađuje.

Ali njegovo instaliranje može biti bol; dok tcpdump dolazi u paketu s većinom modernih distribucija Linuxa, ako vaš ne, tada ćete morati graditi iz izvora.

Naredbe tcpdump su kratke i jednostavne, usmjerene na rješavanje određenog problema kao što su:

  • Prikazivanje svih dostupnih sučelja
  • Snimanje samo jednog od sučelja
  • Spremanje zarobljenih paketa u datoteku
  • Hvatanje samo neuspjelih paketa

. . . i tako dalje.

Ako su vaše potrebe jednostavne i trebate pokrenuti brzo skeniranje, tcpdump može biti odlična opcija koju treba razmotriti (pogotovo ako ukucate tcpdump i otkrijete da je već instaliran!).

NetworkMiner

Promocija sebe kao alata za forenzičku analizu mreže (FNAT), NetworkMiner jedan je od najboljih analizatora nivoa paketa na koje ćete naići. To je alat otvorenog koda koji može pasivno analizirati mrežu i dolazi s impresivnim GUI sučeljem za analizu koje može prikazati pojedinačne slike i druge prenesene datoteke.

Ali to nije sve. NetworkMiner dolazi s odličnim ostalim značajkama kao što su:

  • IPv6 podrška
  • Analiza PCAP datoteka
  • Izdvojite X.509 certifikate iz SSL kriptiranog prometa
  • PCAP-over-IP
  • Radi s nekoliko vrsta prometa, kao što su FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3, itd..
  • Otisak prsta na OS-u
  • Geo IP lokalizacija
  • Podrška za skriptiranje naredbenog retka

Imajte na umu da su neke od ovih značajki dostupne u komercijalnoj verziji.

Violinista

Za razliku od drugih pasivnih mrežnih snaffersa, Violinista je nešto što sjedi između vašeg uređaja i vanjskog svijeta i stoga zahtijeva određeno podešavanje (je li to razlog zašto su ga nazvali “Fiddler”? ��).

To je prilagodljiv (pomoću FiddlerScript) besplatnog alata koji ima dugu i uglednu povijest, tako da ako je vaš cilj da njušite HTTP / HTTPS promet poput šefa, Fiddler je to put.

Puno toga možete učiniti s Fiddlerom, pogotovo ako ste raspoloženi za nanošenje hakerske haljine:

  • Sesija manipulacija: Otvorite HTTP zaglavlja i podatke sesija, mijenjajući ih na bilo koji način.
  • Sigurnosno testiranje: Omogućuje vam simulaciju napada čovjeka i u sredini i dešifrira sav HTTPS promet.
  • Ispitivanje performansi: Analizirajte vremena učitavanja stranice (ili API odgovora) i pogledajte koji je dio odgovora usko grlo.

U slučaju da se osjećate izgubljeno, dokumentacija vrlo je dobar i vrlo se preporučuje.

WinDump

Ako vam nedostaje jednostavnost tcpdump-a i želite je unijeti u svoje Windows sustave, pozdravite WinDump. Jednom instaliran, djeluje iz naredbenog retka upisivanjem “tcpdump” na isti način na koji program radi na Linux sustavima.

Imajte na umu da sam po sebi nema što instalirati; WinDump je binarni uređaj koji se može pokrenuti odmah pod uvjetom da imate instaliranu Pcap knjižnicu (npcap preporučuje se budući da winpcap više nije u razvoju).

OmniPeek

Za veće mreže koje imaju tone MB-a podataka koji kroz njih prolaze svake sekunde, alati koje svi drugi koriste mogu izgubiti malo pare. Ako se suočavate s istim, OmniPeek možda vrijedi pogledati.

To je alat za performanse, analitiku i forenziku za analizu mreža, posebno kad su vam potrebne i sposobnosti niske razine i sveobuhvatne nadzorne ploče..

Izvor: sniffwifi.com

Ako ste veća organizacija koja traži ozbiljnu ponudu, na raspolaganju je probno razdoblje od 30 dana ovdje.

Capsa

Ako vas sve zanima, platforma Windows, Capsa je također ozbiljan kandidat. Dolazi u tri verzije: besplatnoj, standardnoj i poduzetničkoj, od kojih svaka ima različite mogućnosti.

U skladu s tim, čak i besplatna verzija podržava preko 300 protokola i ima zanimljive značajke poput upozorenja (pokreću se kad se ispune određeni uvjeti). Standardna ponuda je iznad razine, podržava 1000+ protokola i omogućava analizu razgovora i rekonstrukciju paketa streama..

Sve u svemu, solidna opcija za Windows korisnike.

EtherApe

Ako su snažne vizualizacije i otvoreni izvori ono što tražite, EtherApe je sjajna opcija. Dok su unaprijed izgrađene binarne datoteke dostupne za samo nekoliko Linux distribucija, izvor je dostupan (i na SourceForge i GitHub), tako da je samostalno graditi opciju.

Evo što po mom mišljenju čini EtherApe odličnim:

  • Praćenje s više čvorova, u boji.
  • Podrška za tonu formata paketa kao što su ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN, itd. (Zapravo, mnogo, puno, puno više).
  • Čitajte podatke uživo s “žice” ili iz tcpdump datoteke.
  • Podržava standardnu ​​razlučivost imena
  • Kao i kod najnovijih verzija, GUI je premješten u GTK3, što rezultira ugodnijim doživljajem.

CommView

Ako ste trgovina koja uključuje Windows i cijenite pogodnost prioriteta podrške, CommView preporučuje se. To je snažni analizator mrežnog prometa s ugrađenim naprednim značajkama kao što su VoIP analiza, daljinsko praćenje itd.

Najviše me se dojmila njegova sposobnost izvoza podataka u formate koje koristi nekoliko otvorenih i vlasničkih formata, poput Sniffer®, EtherPeek ™, AiroPeek ™, Observer®, NetMon, Wireshark / Tcpdump i Wireshark / pcapng, pa čak i običnih šesterokutnih odlagališta.

Wifi Explorer

Posljednji na popisu je Wifi Explorer, koja ima besplatnu verziju za Windows i standardnu ​​verziju za Windows i macOS. Ako je analiza WiFi mreže sve što vam treba (što je poprilično uobičajeno u današnje vrijeme), tada će vam Wifi Explorer olakšati život.

To je prekrasno dizajniran i bogat značajkama alat za rezanje ravno u srce mreže.

Časni spomen: Bilo bi štetno zatvoriti ovaj post bez spominjanja macOS-ovog mrežnog analizatora na koji sam naišao – Mali trzaj. Ugrađen je vatrozid, pa vam nudi dodatnu prednost što vam omogućava da savršeno kontrolirate sav promet (što može izgledati kao da boli, ali dugoročno predstavlja ogroman dobitak).

Ako želite izgraditi karijeru u mreži i sigurnosti, pogledajte neke od ovih najbolji online tečajevi ovdje.

Ništa u životu nije savršeno ili cjelovito, a isto vrijedi i s ovim popisom.

Sigurna sam da ima puno drugih besplatnih / komercijalnih / analizatora paketa (sniffers) koji nisu u fazi razvoja i koji su mi nedostajali. Ako je tako, molim vas da mi pomognete da ovaj članak učinim boljim sa vašim podacima. ?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map