5 поўных інструментаў захопу і аналізу пакетаў для малых і вялікіх сетак

Захоп і аналіз пакетаў надзвычай карысны для вывучэння сеткавых узаемадзеянняў і выяўлення неэфектыўных перадач, а таксама небяспечных кіберпагроз.

Захоп пакетаў адносіцца да перахопу і збору пакета даных падчас яго перамяшчэння па сеткавым злучэнні. Пакеты даных запісваюцца і правяраюцца для ідэнтыфікацыі і ліквідацыі праблем сеткі, такіх як высокая затрымка і збоі. Інфармацыя, атрыманая ў выніку аналізу пакетаў, выкарыстоўваецца, каб дапамагчы сеткаваму адміністратару ў пошуку і выпраўленні няспраўнасцяў сеткі за больш кароткі прамежак часу.

Аналіз пакетаў выкарыстоўваецца для некаторых з наступных задач.

  • Выяўленне рызык бяспекі
  • Пошук і ліквідацыю праблем з DNS
  • Выяўленне і вырашэнне праблем з падключэннем да сеткі
  • Выяўленне збояў у сетцы
  • Выяўленне і выпраўленне ўцечкі пакетаў
  • Выяўленне і прафілактыка шкоднасных праграм

Можна захапіць поўныя пакеты дадзеных або асобныя сегменты пакета. Поўны пакет дадзеных складаецца з дзвюх частак: карыснай нагрузкі і загалоўка. Сегмент карыснай нагрузкі змяшчае фактычнае змесціва пакета, тады як сегмент загалоўка змяшчае такую ​​інфармацыю, як адрасы крыніцы і прызначэння пакета.

Мы склалі спіс з некалькіх прыкладанняў для выканання поўнага захопу і аналізу пакетаў.

Давайце катацца.

Colasoft Capsa

Капса гэта партатыўны сеткавы аналізатар, інструмент маніторынгу і дыягностыкі ў рэжыме рэальнага часу для правадных і бесправадных сетак. Праверкі пакетаў даных можна запланаваць на зададзены час, напрыклад, рэгулярна або штомесяц. Рэгулярнае сканаванне гарантуе, што вы не прапусціце ніякіх праблем з прадукцыйнасцю, якія ўзнікнуць. Калі вы ў канчатковым выніку што-небудзь прапусціце, апавяшчэнні па электроннай пошце і гукавыя сігналы будуць апавяшчаць вас кожны раз, калі адбудзецца сеанс працы з сеткай, які патрабуе вашага ўдзелу.

Capsa дапамагае карыстальніку быць у курсе ўразлівасцяў і пагроз, якія могуць прывесці да збояў у абслугоўванні. Усе важныя паказчыкі VoIP (пратакол перадачы голасу праз Інтэрнэт), такія як тып кодэка выкліку і размеркаванне падзей, добра адсочваюцца з дапамогай гэтага інструмента. Гэта выдатны інструмент для асоб, якія хочуць удзельнічаць у праверцы пакетаў і даведацца, як выяўляць праблемы з сеткай і паляпшаць сеткавую бяспеку.

Праверце гэта:  Як выправіць спробы ўваходу ў Outlook, якія блакіруюць Gmail

Асаблівасці:

  • Бясплатныя ўбудаваныя ўтыліты для стварэння і прайгравання пакетаў, а таксама для сканавання і праверкі IP-адрасоў.
  • Аўтаматычна дыягнастуе праблемы з сеткай і прапануе рашэнні.
  • Падтрымлівае аналіз патоку VoIP і TCP, які можна выкарыстоўваць для дыягностыкі праблем з сеткай, такіх як павольны час водгуку і транзакцыі CRM (кіраванне ўзаемаадносінамі з кліентамі).
  • Можна выявіць DDoS-атаку, ARP-атаку і сканаванне TCP-порта, а таксама дазваляе карыстальніку выявіць тэхнічныя збоі ў сетцы.
  • Гэты інструмент падтрымлівае больш за 1800 пратаколаў, што дазваляе лёгка даследаваць пратаколы ў сетцы і разумець, што адбываецца.
  • Ён збірае ўсе пакеты даных і паказвае поўную інфармацыю аб паслядоўнасці пакетаў у шаснаццатковым і фармаце ASCII. (Паглыбленае дэкадаваньне пакетаў)
  • Інфармацыя аб сеткавым трафіку і прапускной здольнасці можа быць адлюстравана ў фарматах графікаў.

Colasoft прадастаўляе іншыя інструменты, такія як сістэма аналізу прадукцыйнасці сеткі (nChronos) і адзінае рашэнне для кіравання прадукцыйнасцю (Colasoft UPM). Ён забяспечвае 30-дзённую бясплатную пробную версію, каб праверыць функцыі перад купляй.

TCPDump

TCPDump гэта магутны інструмент аналізатара пакетаў каманднага радка з адкрытым зыходным кодам, які фіксуе такія пратаколы, як TCP, UDP і ICMP (пратакол паведамленняў кіравання Інтэрнэтам). Гэты інструмент прадусталяваны на ўсіх Unix-падобных аперацыйных сістэмах. TCPDump выпушчаны пад ліцэнзіяй BSD. Вы можаце лёгка праверыць загалоўкі пакетаў TCP/IP з дапамогай tcpdump. Ён выводзіць інфармацыю для кожнай перадачы дадзеных, і скрыпт працуе, пакуль вы не спыніце яго з дапамогай опцыі Ctrl+C.

Tcpdump вельмі просты ў наладзе, і калі вы вывучыце выкарыстанне інструмента, сцягі і аргументы, вы зможаце выкарыстоўваць гэты інструмент для ліквідацыі праблем з падключэннем і бяспекі сеткі. Запісаныя пакеты дадзеных будуць захаваны ў файл для далейшага аналізу з дапамогай tcpdump. Ён захоўвае файл у фармаце пашырэння PCAP, які можна лёгка праверыць з дапамогай tcpdump або Wireshark, якія счытваюць файлы ў фармаце PCAP (абрэвіятура ад packet capture).

Асаблівасці:

  • Магчымая фільтрацыя захопленых пакетаў дадзеных па крыніцы, прызначэнні і пратаколе.
  • Бясплатна і з адкрытым зыходным кодам

Вось артыкул пра тое, як захопліваць і аналізаваць сеткавы трафік з дапамогай tcpdump.

Праверце гэта:  Як адкрыць спасылкі ў VLC Player з кантэкстнага меню ў Firefox

PRTG Песслера

Адным з самых папулярных інструментаў маніторынгу сеткі і аналізу трафіку з’яўляецца Paessler PRTG Network Monitor. Гэты інструмент дае важную інфармацыю аб інфраструктуры вашай сеткі і яе прадукцыйнасці.

Ён сумяшчальны з Windows. Ён уключае мноства варыянтаў маніторынгу, уключаючы маніторынг прапускной здольнасці і аналіз трафіку. Даступная бясплатная версія Paessler PRTG. Каб паведаміць паказчыкі прадукцыйнасці сеткі, ён выкарыстоўвае камбінацыю сніфера пакетаў, WMI і SNMP.

Асаблівасці:

  • Гнуткае абвестка – PRTG мае больш за дзесяць распрацаваных тэхналогій, уключаючы SMS, push-апавяшчэнні, электронную пошту, запуск HTTP-запытаў і г.д.
  • Некалькі карыстальніцкіх інтэрфейсаў – пабудаваны на AJAX з высокімі патрабаваннямі бяспекі, высокая прадукцыйнасць дзякуючы тэхналогіі Single Page Application (SPA),
  • Рашэнне для пераключэння пры збоі кластара – гэта крыху павышанае рашэнне для маніторынгу.
  • Карты і прыборныя панэлі – выкарыстоўвайце карты ў рэжыме рэальнага часу з бягучай інфармацыяй у рэальным часе для візуалізацыі сеткі.
  • Размеркаваны маніторынг – з дапамогай партатыўных перахопнікаў вы можаце кантраляваць шматлікія сеткі ў розных месцах і некалькі сетак у вашай арганізацыі.
  • Глыбокая справаздачнасць у выглядзе лічбаў, статыстыкі і графікаў

Гэты інструмент падтрымлівае розныя метады абвесткі, у тым ліку SMS, электронную пошту і староннія падключэнні да такіх платформаў, як Slack. PRTG даступны ў неабмежаванай версіі на працягу 30 дзён. Пасля бясплатнага перыяду ён вернецца да бясплатнай формы.

Wireshark

Wireshark гэта бясплатны аналізатар пакетаў з адкрытым зыходным кодам, які дазваляе даследаваць сеткавыя перадачы дадзеных у рэжыме рэальнага часу. Гэты інструмент дазваляе сеткавым менеджэрам даследаваць сетку на мікраскапічным узроўні, каб дакладна вызначыць крыніцу праблем з трафікам і памылак. Гэта выдатны інструмент, які патрабуе глыбокага разумення сеткавых канцэпцый.

Асаблівасці:

  • Ён практычна працуе з любой аперацыйнай сістэмай, уключаючы Windows, дыстрыбутывы Linux, Mac OS X і г.д.
  • Стварэнне справаздач на аснове бягучых статыстычных даных.
  • Фільтрацыю вываду можна зрабіць з дапамогай розных опцый, такіх як таймеры і фільтры.
  • Візуалізуйце сеткавыя пакеты з дапамогай графікаў і дыяграм IO.
  • Ён таксама можа запісваць трафік USB.
  • Ён прапануе шырокі спектр выкарыстанняў, уключаючы адбіткі пальцаў несанкцыянаванага трафіку, налады фільтрацыі пакетаў і гэтак далей.
  • Правілы каляровага кадавання могуць прымяняцца для ідэнтыфікацыі тыпаў трафіку.
  • Дэталёвае даследаванне VoIP (пратакол перадачы голасу праз Інтэрнэт).
Праверце гэта:  Цэтлікі Chrome, якія вы павінны ведаць

Страта пакетаў даных, праблемы з затрымкай у сетцы, залежнасці прыкладанняў і неэфектыўныя памеры вокнаў – агульныя праблемы пры ліквідацыі непаладак, з якімі можа дапамагчы Wireshark. Гэты інструмент дазваляе кантраляваць сеткавы трафік і забяспечвае механізмы для пошуку і дакладнага вызначэння крыніцы праблемы.

Аднаадрасны (без злучэння) трафік, які не адпраўляецца на інтэрфейс MAC-адрасу сеткі, таксама можна кантраляваць з дапамогай інструмента Wireshark.

Не саромейцеся наведаць гэты артыкул аб ліквідацыі затрымкі сеткі з Wireshark.

Аркімэ

Аркімэ працуе ў супрацоўніцтве з існуючай сістэмай бяспекі для збору і індэксацыі сеткавага трафіку і перадачы даных у стандартным фармаце PCAP.

Усе запісаныя пакеты даных захоўваюцца і экспартуюцца ў звычайным фармаце PCAP, што дазваляе вам выкарыстоўваць у вашым аналітычным працэсе вашы любімыя інструменты апрацоўкі PCAP, такія як Wireshark або tcpdump.

Утрыманне PCAP вызначаецца аб’ёмам даступнай дыскавай прасторы датчыка, у той час як утрыманне API вызначаецца памерам кластара Elasticsearch. Абодва гэтыя параметры можна змяніць у любы момант.

Arkime распрацаваны для працы ў некалькіх сістэмах і маштабах для размяшчэння дзясяткаў гігабіт у секунду трафіку. Усе файлы ў фармаце PCAP, якія захоўваюцца на датчыках Arkime, могуць быць устаноўлены і даступныя толькі праз вэб-інтэрфейс або API Arkime. Файлы PCAP можна зашыфраваць у спакоі з дапамогай Arkime.

Асаблівасці:

  • Забяспечвае зручны вэб-інтэрфейс для вывучэння, пошуку і здабывання файлаў PCAP.
  • Бясплатна і з адкрытым зыходным кодам
  • Дазваляе іншым інструментам паглынання PCAP правяраць захаваныя файлы PCAP.

Даныя PCAP і даныя транзакцый у фармаце JSON можна атрымаць непасрэдна праз API. Праглядзець поўную дакументацыю па API Arkime тут.

Заключэнне

Аналіз дадзеных перахопу пакетаў звычайна патрабуе высокага ўзроўню тэхнічных ведаў, што можа быць дасягнута з дапамогай гэтых інструментаў.

Спадзяюся, вы знайшлі гэты артыкул вельмі карысным для вывучэння інструментаў поўнага захопу і аналізу пакетаў для малых і вялікіх сетак.

Магчыма, вам таксама будзе цікава даведацца аб лепшых інструментах Wi-Fi Analyzer Software.