10 analyzátorov sieťových paketov pre správcov systému a bezpečnostných analytikov

Vaša sieť je chrbtovou kosťou vašich obchodných operácií. Uistite sa, že viete, čo sa deje vo vnútri.


V mnohých ohľadoch sa situácia v oblasti digitálnych podnikov stala revolúciou alebo dvoma. Čo začalo ako jednoduché Skripty CGI napísané v Perlu teraz rozkvitlo do zoskupených nasadení, ktoré sú plne automatizované Kunernetes a ďalšie orchestračné rámce (ospravedlňujem sa za ťažký žargón – vôbec si to nevymyslím; je to presne tak, ako sú tieto dni!).

Typická kontajnerová, distribuovaná moderná webová aplikácia (zdroj: medium.com)

Nemôžem si však pomôcť, ale usmievať sa na myšlienku, že základy sú stále rovnaké ako v sedemdesiatych rokoch.

Máme iba abstrakcie za abstrakcie podporované tvrdými fyzickými káblami, ktoré tvoria sieť (dobre, virtuálne siete sú v poriadku, ale získate predstavu). Ak chceme získať chuť, môžeme sieť rozdeliť do vrstiev podľa Model OSI, ale všetci hovorili a robili, vždy sa budeme zaoberať Protokoly TCP / IP (varovanie, náročné čítanie dopredu!), pingy, smerovače, ktoré majú spoločný cieľ – prenos dátových paketov.

Čo je to sieťový paket?

Bez ohľadu na to, čo robíme – chatovanie, streamovanie videa, hranie hier, surfovanie, nákup vecí – ide v podstate o výmenu dátových paketov medzi dvoma počítačmi (siete). „Paket“ je najmenšia jednotka informácií, ktorá tečie v sieti (alebo medzi sieťami) a existuje dobre definovaná metóda vytvárania a overovania sieťových paketov (nad rámec tohto článku, ale ak sa cítite dobrodružne, tu je viac).

Tok paketov v sieti (zdroj: training.ukdw.ac.id)

Zjednodušene povedané, každý paket predstavuje odkaz v reťazci a je správne prenášaný v zdroji a validovaný v cieľovom mieste. Aj keď príde alebo objedná jeden paket, proces sa pozastaví, kým sa neprijmú všetky pakety v správnom poradí, a až potom sa dajú dohromady, aby vytvorili údaje, ktoré pôvodne reprezentovali (napríklad obrázok)..

Keď teraz chápeme, čo je sieť, rozumie sa tomu, čo robí sieťový analyzátor. Je to nástroj, ktorý vám umožňuje nahliadnuť do jednotlivých paketov vo vašej sieti.

Ale prečo by si chcel ísť na ten problém? Poďme o tom diskutovať ďalej.

Prečo musíme analyzovať pakety?

Vyzerá to, že pakety sú do značnej miery základnými stavebnými kameňmi v sieťovom toku údajov, podobne ako atómy sú základom všetkej záležitosti (áno, viem, nie sú to skutočné základné častice, ale pre naše účely je to dosť dobrá analógia). , A pokiaľ ide o analýzu materiálov alebo plynov, nikdy sa neobťažujeme s tým, čo robí jeden atóm; tak prečo sa obávať jedného sieťového paketu na individuálnej úrovni? Čo môžeme vedieť inak, ako už vieme?

Je ťažké predať dôležitosť analýzy na úrovni paketov, keď ste neboli predtým pokousaní do chrbta, ale pokúsim sa o to.

Analýza paketov znamená, že vaše ruky sú zašpinené a siahajú dolu do samotného potrubia, aby zistili niečo. Vo všeobecnosti je potrebné analyzovať sieťové pakety, keď zlyhali všetky ostatné. Zvyčajne to zahŕňa zdanlivo beznádejné scenáre:

  • Nevysvetliteľná strata tajných údajov napriek zjavnému porušeniu
  • Diagnostika pomalých aplikácií, keď sa zdá, že neexistujú žiadne dôkazy
  • Uistite sa, že váš počítač / sieť nebola ohrozená
  • Preukázanie alebo vyvrátenie skutočnosti, že útočník nie je vezú z vašej WiFi
  • Zistiť, prečo je váš server prekážkou aj napriek nízkej návštevnosti

Celkovo vzaté, analýza paketov spadá pod určité tvrdé typy dôkazov. Ak viete, ako vykonávať analýzu paketov a máte prehľad, môžete sa chrániť pred neoprávneným obviňovaním z hacku alebo jednoducho obviňovaním z nekompetentného vývojára alebo správcu systému..

Je to všetko o mozgu! (zdroj: dailydot.com)

Pokiaľ ide o skutočný príbeh, myslím, že tento komentár k nájdenému blogovému príspevku tu je výnimočný (reprodukovaný tu len pre prípad):

Aplikácia kritická pre moju spoločnosť mala problémy s výkonom, upadala v nasadení zákazníkov. Bola to aplikácia na oceňovanie akcií, ktorá sa používa v čele závodov s tikajúcimi financiami vo finančných spoločnostiach na celom svete. Ak ste mali okolo 401 (k) okolo roku 2000, pravdepodobne to záviselo od tejto aplikácie. Urobil som analýzu druhu, ktorý ste opísali, konkrétne správanie TCP. Zistil som problém ako v implementácii protokolu TCP dodávateľa operačného systému. Buggyho správanie bolo, že kedykoľvek sa odosielajúci zásobník dostal do kontroly preťaženia, nikdy sa neobnovil. Výsledkom bolo komicky malé okno na odosielanie, niekedy len niekoľko násobkov MSS.

Trvalo chvíľu bojovať so správcami účtov a ľuďmi podpory vývojárov u dodávateľa OS, ktorí nerozumeli problému, môjmu vysvetleniu alebo že problém * nemohol byť v aplikácii, pretože táto aplikácia blažene ignoruje TCP machinácie. Bolo to ako hovoriť k stene. S každým konferenčným hovorom som začal na prvom mieste. Nakoniec som telefonoval s mužom, s ktorým som mohol mať dobrú diskusiu. Ukazuje sa, že rozšírenia RFC1323 vložil do zásobníka! Nasledujúci deň som mal v rukách záplatu na operačný systém a produkt od tej chvíle fungoval dokonale.

Vývojár vysvetlil, že došlo k chybe, ktorá spôsobila, že prichádzajúce ACK * s užitočným zaťažením * boli nesprávne klasifikované ako DUPACK, keď bol zásobník v kontrole preťaženia..

To by sa nikdy nestalo s poloduplexnými aplikáciami, ako je HTTP, ale aplikácia, ktorú som podporoval, poslala údaje obojsmerne na sokete.

V tom čase som nemal veľa podpory od vedenia (môj manažér na mňa dokonca kričal, že „vždy chce na vyriešenie problémov použiť sniffera“) a nikto okrem mňa sa ako zdroj pozeral na implementáciu TCP dodávateľa OS. problému. Zápas o opravu od predajcu OS sám toto víťazstvo zvlášť sladký, získal mi tonu kapitálu robiť svoju vlastnú vec, a viedli k najzaujímavejším problémom objavujú na mojom stole.

Myseľ fúkaná!

V prípade, že by ste sa nechceli čítať cez tú tabuľu textu, alebo ak by to nedávalo zmysel, tento pán čelil problémom s výkonom, ktoré boli obviňované z jeho žiadosti, a vedenie, ako sa očakávalo, požičiavalo nulovú podporu. Bola to iba dôkladná analýza paketov, ktorá dokázala, že problém nebol v aplikácii, ale v tom, ako operačný systém spracovával sieťový protokol.!

Oprava nebola vylepšením aplikácie, ale opravou vývojárov operačného systému! ��

Chlapče, oh, chlapče. , , Kde si myslíte, že by bez tejto analýzy na úrovni paketov nebol? Pravdepodobne z práce. Ak vás to nepresvedčí o dôležitosti analýzy paketov (nazývanej tiež šňupanie paketov), ​​neviem, čo bude. ��

Teraz, keď viete, že analýza paketov je superveľmocou, mám dobrú správu: nie je to ťažké urobiť!

Vďaka výkonným, ale ľahko použiteľným analyzátorom paketov (sniffers) môžu byť informácie získané pri analýze na úrovni paketov rovnako ľahké ako čítanie informačného panela predaja. To znamená, že budete potrebovať viac ako len povrchovú znalosť toho, čo sa deje vo vnútri siete. Ale opäť tu nie je žiadna raketová veda, žiadna zvrátená logika, ktorú by bolo možné zvládnuť – len obyčajný zdravý rozum.

Ak začnete čítať dokumentáciu jedného z týchto nástrojov pri ich používaní v sieti, skoro budete odborníkom. ��

Wireshark

Wireshark je starý projekt (začal sa už v roku 1998), ktorý je takmer priemyselným štandardom, pokiaľ ide o potápanie hlboko v sieťach. Je to pôsobivé, keď si uvedomíte, že ide výlučne o dobrovoľnícku organizáciu podporovanú veľkorysými sponzormi. Wireshark zostáva otvoreným zdrojom (nie na GitHub, ale kód nájdete) tu) a má dokonca aj technickú podporu konferencie k svojmu názvu!

Medzi mnoho možností Wireshark patrí:

  • Podpora stoviek sieťových protokolov.
  • Interoperabilné s mnohými formátmi súborov (tcpdump (libpcap), Pcap NG, Catapult DCT2000, iplog Cisco Secure IDS, Microsoft Network Monitor, Network General Sniffer® (komprimované a nekomprimované), Sniffer® Pro a NetXray® atď.).
  • Beží prakticky na všetkých platformách (Linux, Windows, MacOS, Solaris, FreeBSD a ďalšie).
  • Čítanie živých údajov z Ethernetu, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring.
  • Dekompresia gzipov za behu.
  • Podporované množstvo dešifrovacích protokolov (WPA / WPA2, SNMPv3 atď.)
  • Rozsiahla analýza VoIP
  • Pravidlá sfarbenia pre rýchlejšie vizuálne skenovanie

Vyskúšajte tento fantastický online kurz vás naučí zvládnuť Wireshark.

tcpdump

Ak ste stará škola (prečítajte si hardcore feťák z príkazového riadku), tcpdump je pre teba.

Je to ďalší z tých ikonických linuxových utilít (ako je curl), ktorý zostáva rovnako dôležitý ako kedykoľvek predtým, natoľko, že na ňom stavajú takmer všetky ostatné „vynikajúce“ nástroje. Ako som už povedal, neexistuje grafické prostredie, ale nástroj na to nie je určený.

Jeho inštaláciou však môže byť bolesť; zatiaľ čo program tcpdump je dodávaný s najmodernejšou distribúciou systému Linux, ak sa tak nestane, budete musieť budovať zo zdroja.

Príkazy tcpdump sú krátke a jednoduché a ich cieľom je vyriešiť konkrétny problém, napríklad:

  • Zobrazujú sa všetky dostupné rozhrania
  • Zachytáva sa iba jedno z rozhraní
  • Uloženie zachytených paketov do súboru
  • Zachytávanie iba zlyhaných paketov

. . . a tak ďalej.

Ak sú vaše potreby jednoduché a potrebujete spustiť rýchle skenovanie, tcpdump môže byť skvelou možnosťou zvážiť (najmä ak zadáte tcpdump a zistíte, že je už nainštalovaný!).

NetworkMiner

Propagácia ako nástroj forenznej analýzy siete (FNAT), NetworkMiner je jedným z najlepších analyzátorov na úrovni paketov, s ktorými sa stretnete. Ide o nástroj s otvoreným zdrojom, ktorý dokáže pasívne analyzovať sieť a prichádza s pôsobivým rozhraním GUI pre analýzu, ktoré dokáže zobraziť jednotlivé prenesené obrázky a ďalšie súbory..

Ale to nie je všetko. NetworkMiner prichádza s vynikajúcimi ďalšími funkciami, ako napríklad:

  • Podpora IPv6
  • Analýza súborov PCAP
  • Extrahujte certifikáty X.509 z prenosu šifrovaného pomocou SSL
  • PCAP-over-IP
  • Funguje s niekoľkými typmi prenosu, napríklad FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 atď..
  • Odtlačky prstov OS
  • Lokalizácia Geo IP
  • Podpora skriptovania príkazového riadka

Upozorňujeme, že niektoré z týchto funkcií sú dostupné v komerčnej verzii.

huslista

Na rozdiel od iných pasívnych sieťových snifferov, huslista je niečo, čo sa nachádza medzi zariadením a vonkajším svetom, a preto si vyžaduje určité nastavenie (preto ho nazvali „Šumař“? ��).

Je to prispôsobiteľný (pomocou nástroja FiddlerScript) bezplatný nástroj, ktorý má dlhú a rozlíšiteľnú históriu, takže ak je vaším cieľom čichať prenos HTTP / HTTPS ako šéf, Fiddler je spôsob, ako ísť.

S Fiddlerom môžete urobiť veľa, najmä ak máte náladu na hackerskú mikinu:

  • Manipulácia s reláciami: Roztrhnite otvorené hlavičky HTTP a údaje relácie a upravte ich ľubovoľným spôsobom.
  • Testovanie bezpečnosti: Umožňuje vám simulovať útoky typu človek v strede a dešifrovať všetok prenos HTTPS.
  • Testovanie výkonu: Analyzujte časy načítania stránky (alebo odpovede API) a zistite, ktorá časť odpovede je prekážkou.

V prípade, že sa cítite stratený, dokumentácia je veľmi dobrý a dôrazne sa odporúča.

WinDump

Ak vám chýba jednoduchosť tcpdump a chcete ju priniesť do svojich systémov Windows, hovorí Ahoj WinDump. Po inštalácii to funguje z príkazového riadku zadaním „tcpdump“ rovnakým spôsobom, ako tento nástroj funguje v systémoch Linux.

Všimnite si, že nie je čo inštalovať samo o sebe; WinDump je binárny súbor, ktorý je možné spustiť ihneď, ak máte nainštalovanú implementáciu knižnice Pcap (npcap sa odporúča, pretože winpcap sa už vyvíja).

OmniPeek

Pri väčších sieťach, ktoré cez ne prechádzajú každú sekundu tony MB údajov, môžu nástroje, ktoré používajú všetci ostatní, dôjsť k nedostatku pary. Ak sa pozeráte na to isté, OmniPeek môže sa oplatiť pozrieť.

Je to výkonný, analytický a forenzný nástroj na analýzu sietí, najmä ak potrebujete nízkoúrovňové funkcie aj komplexné dashboardy..

Zdroj: sniffwifi.com

Ak ste väčšia organizácia, ktorá hľadá serióznu ponuku, je k dispozícii 30-dňová skúšobná verzia tu.

Capsa

Ak vás znepokojuje iba platforma Windows, Capsa je tiež vážnym uchádzačom. Dodáva sa v troch verziách: bezplatná, štandardná a podniková, každá s rôznymi funkciami.

To znamená, že aj bezplatná verzia podporuje viac ako 300 protokolov a má zaujímavé vlastnosti, ako sú výstrahy (spustené pri splnení určitých podmienok). Štandardná ponuka je vyššie uvedená, podporuje 1000+ protokolov a umožňuje analyzovať konverzácie a rekonštruovať toky paketov.

Celkovo vzaté, solídna voľba pre používateľov Windows.

EtherApe

Ak sú výkonné vizualizácie a otvorený zdroj tým, po čom ste, EtherApe je skvelá voľba. Zatiaľ čo preddefinované binárne súbory sú k dispozícii iba pre niekoľko distribúcií systému Linux, zdroj je k dispozícii (na zdrojoch SourceForge aj GitHub), takže je možné ich budovať aj samostatne..

Podľa môjho názoru je EtherApe podľa môjho názoru vynikajúci:

  • Monitorovanie s viacerými uzlami, farebne odlíšené.
  • Podpora pre tony paketových formátov, ako sú ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN atď. (V skutočnosti veľa, veľa, viac).
  • Čítajte údaje naživo z „drôtu“ alebo zo súboru tcpdump.
  • Podporuje rozlíšenie štandardného názvu
  • Od najnovších verzií bolo GUI presunuté do GTK3, čo viedlo k príjemnejšiemu zážitku.

CommView

Ak ste predajňa exkluzívna pre Windows a oceňujete pohodlie prednostnej podpory, CommView sa odporúča. Je to výkonný analyzátor sieťového prenosu s integrovanými pokročilými funkciami, ako je analýza VoIP, vzdialené sledovanie atď.

Čo ma najviac zaujalo, je jeho schopnosť exportovať údaje do formátov používaných niekoľkými otvorenými a chránenými formátmi, ako sú Sniffer®, EtherPeek ™, AiroPeek ™, Observer®, NetMon, Wireshark / Tcpdump a Wireshark / pcapng a dokonca obyčajné hexadecimálne výpisy..

Prieskumník Wifi

Posledný na zozname je Prieskumník Wifi, ktorý má bezplatnú verziu pre Windows a štandardnú verziu pre Windows a MacOS. Ak je analýza siete WiFi všetko, čo potrebujete (čo je v dnešnej dobe do značnej miery štandardné), potom život v sieti Wifi uľahčí život.

Je to krásne navrhnutý a bohatý nástroj na rezanie priamo do srdca siete.

Čestné uznanie: Bolo by neslušné zavrieť tento príspevok bez toho, aby som spomenul sieťový analyzátor exkluzívny pre MacOS, na ktorý som narazil – Little Snitch. Má zabudovaný firewall, takže prichádza s ďalšou výhodou okamžitého dokonalého ovládania celej premávky (čo sa môže javiť ako bolesť, ale z dlhodobého hľadiska je to obrovský zisk).

Ak hľadáte budovanie kariéry v oblasti sietí a bezpečnosti, pozrite sa na niektoré z najlepšie online kurzy tu.

Nič v živote nie je dokonalé alebo úplné a to isté platí aj pre tento zoznam.

Som si istý, že existuje veľa ďalších bezplatných / komerčných / nedostatočne vyvíjaných analyzátorov paketov (sniffers), ktoré mi chýbali. Ak áno, pomôžte mi vylepšiť tento článok pomocou vašich vstupov. ?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map