10 analitzadors de paquets de xarxa per a administradors del sistema i analistes de seguretat

La vostra xarxa és l’eix vertebrador de les vostres operacions empresarials. Assegureu-vos de saber què hi ha al vostre interior.


En molts sentits, el paisatge de les empreses digitals ha vist una revolució o dues. Allò que va començar tan senzill Scripts CGI ara escrit a Perl ha florit en desplegaments agrupats en funcionament completament automatitzats Kunernetes i altres marcs d’orquestració (disculpeu l’argot pesat; no ho resoldré en absolut; és com són les coses en aquests dies!).

Una típica aplicació web distribuïda amb contenidors, distribuïda (font: medium.com)

Però no puc deixar de somriure amb el pensament que els fonaments continuen sent els mateixos que els anys setanta.

Tot el que tenim són abstraccions sobre abstraccions suportades per cables físics durs que formen la xarxa (d’acord, hi ha xarxes virtuals bé, però us en feu la idea). Si volem entranyar, podem dividir la xarxa en capes segons el Model OSI, però tot el que hem dit i fet, sempre ho hem fet Protocols TCP / IP (advertència, llarga lectura!), pings, encaminadors, tots els quals tenen un objectiu en comú: la transmissió de paquets de dades.

Per tant, què és un paquet de xarxa?

No importa el que fem: xerrar, transmetre vídeos, jugar, navegar, comprar coses, és essencialment un intercanvi de paquets de dades entre dos ordinadors (xarxes). Un “paquet” és la unitat més petita d’informació que circula en una xarxa (o entre xarxes) i hi ha un mètode ben definit per construir i verificar paquets de xarxa (més enllà de l’abast d’aquest article, però si us sentiu aventurers, aquí hi ha més).

Flux de paquets en una xarxa (font: training.ukdw.ac.id)

En termes més senzills, cada paquet representa un enllaç a la cadena i es transmet adequadament a l’origen i es valida a la destinació. Tot i que surt un paquet o comanda, el procés se suspèn fins que no s’hagin rebut tots els paquets de l’ordre correcte i només aleshores es reuneixen per formar les dades que representaven originalment (per exemple, una imatge).

Ara que entenem què és una xarxa, s’entén el que fa un analitzador de xarxa. És una eina que us permet analitzar paquets individuals de la vostra xarxa.

Però, per què voldríeu anar a aquest problema? Anem a discutir-ho a continuació.

Per què necessitem analitzar paquets?

Sembla que els paquets són pràcticament els blocs bàsics bàsics en un flux de dades de xarxa, igual que els àtoms són la base de tota la matèria (sí, ho sé, no són partícules fonamentals veritables, però és una analogia suficient per als nostres propòsits) . I a l’hora d’analitzar materials o gasos, no ens preocupem mai del que fa un àtom individual; Per tant, per què us preocupeu per un paquet de xarxa individual a nivell individual? Què podem saber que no siguem ja coneguts?

És difícil vendre la importància de l’anàlisi a nivell de paquets quan no t’havies mossegat al darrere, però intentaré.

L’anàlisi de paquets significa embrutar-se les mans i arribar a la plomeria per descobrir alguna cosa. En general, heu d’analitzar els paquets de xarxa quan la resta ha fallat. Típicament, això inclou escenaris aparentment desesperançats de la manera següent:

  • Pèrdua inexplicable de dades secretes, tot i que no hi ha cap incompliment evident
  • Diagnosticar aplicacions lentes quan sembla que no hi ha cap prova
  • Assegureu-vos que el vostre ordinador / xarxa no ha estat compromès
  • Provar o rebutjar que un atacant no ho és piggybacking desactivat el WiFi
  • Esbrinar per què és el coll d’ampolla el vostre servidor malgrat el trànsit baix

Tot plegat, l’anàlisi de paquets es troba sota certs tipus de proves dures. Si sabeu realitzar l’anàlisi de paquets i teniu una instantània, podeu estalviar-vos que se us acusa erròniament d’un pirateig o simplement se us culpa com a desenvolupador o administrador del sistema incompetent.

Tot tracta del cervell! (font: dailydot.com)

Respecte a una història real, crec que s’ha trobat aquest comentari a la publicació del bloc aquí és excepcional (reproduït aquí per si de cas):

Una aplicació crítica per a la meva empresa presentava problemes de rendiment i estava caient a la cara en els desplegaments de clients. Es tracta d’una aplicació de preus d’accions que s’utilitzava al capdavant de plantes de ticker en empreses financeres d’arreu del món. Si teníeu un 401 (k) al voltant del 2000, probablement depenia d’aquesta aplicació. Vaig fer anàlisis del tipus que heu descrit, concretament del comportament TCP. Vaig identificar el problema com a part de la implementació de TCP per part del venedor del sistema operatiu. El comportament de buggy era que cada vegada que la pila d’enviament passava al control de la congestió, mai es recuperava. Això va donar lloc a una finestra d’enviament còmicament petita, de vegades només alguns múltiples de MSS.

Ha trigat un temps a barallar-se amb els gestors de comptes i els assistents per a desenvolupadors del venedor del sistema operatiu que no han entès el problema, la meva explicació o que el problema * no podia * aparèixer a l’aplicació perquè l’aplicació ignora de manera flagrant les maquinacions TCP. Era com parlar amb un mur. Vaig començar a la plaça 1 amb cada trucada en conferència. Al final em vaig posar per telèfon amb un tipus amb qui podia tenir una bona discussió. Resulta que va posar les extensions RFC1323 a la pila! L’endemà vaig tenir un pegat al sistema operatiu a les mans i el producte funcionava perfectament a partir d’aquest moment.

El desenvolupador va explicar que hi havia un error que va provocar que els ACK entrants * amb càrregues útils * es classifiquessin com a DUPACK quan la pila estava en control de congestió..

Això no passaria mai amb les aplicacions semipúplex com l’HTPTP, però l’aplicació que suportava enviava dades de manera bidireccional al socket en tot moment..

No tenia una gran quantitat de suport de la direcció en aquell moment (el meu gestor fins i tot em va cridar per “voler utilitzar sempre un sniffer” per solucionar problemes) i ningú més que jo mirava la implementació TCP del venedor del sistema operatiu com a font. del problema. Lluitar per la correcció del venedor del sistema operatiu per mi mateix va fer que aquesta victòria fos especialment dolça, em va guanyar un munt de capital per fer les meves coses i em va portar als problemes més interessants al meu escriptori..

La ment bufa!

En cas que no tingués ganes de llegir aquesta llosa de text, o si no tenia gaire sentit, aquest senyor afrontava problemes de rendiment que se’ls culpava de la seva aplicació i la direcció, com era d’esperar, prestaria suport zero. Va ser només una anàlisi minuciós de paquets que va demostrar que el problema no estava en l’aplicació, sinó en la forma en què el sistema operatiu manejava el protocol de xarxa!

La solució no va ser una solució a l’aplicació, sinó un pegat per part dels desenvolupadors del sistema operatiu. ��

Noi, oh, noi. . . Sense l’anàlisi a nivell de paquets, on creus que seria aquesta persona? Probablement fora del seu lloc de treball. Si això no us convenç de la importància de l’anàlisi de paquets (també anomenat sniffing de paquets), no sé què serà. ��

Ara que sabeu que l’anàlisi de paquets és una superpotència, tinc bones notícies: no és difícil fer-ho!

Gràcies a potents analitzadors de paquets (sniffers) potents, però senzills d’utilitzar, la informació recopilada d’anàlisi a nivell de paquets pot ser tan fàcil com llegir un tauler de vendes. Dit això, necessitareu una mica més que un coneixement a nivell superficial del que passa dins d’una xarxa. Però llavors, de nou, no hi ha ciència de coets aquí, ni una lògica retorçada per dominar, sinó un sentit comú.

Si comenceu a llegir la documentació d’una d’aquestes eines a mesura que les utilitzeu a la xarxa, aviat seràs expert. ��

Wireshark

Wireshark és un antic projecte (que va començar el 1998) i és una mica pràctic de l’estàndard de la indústria a l’hora de submarinisme a les xarxes. És impressionant quan considereu que és només una organització dirigida per voluntaris, recolzada per uns patrocinadors generosos. Wireshark continua sent el codi obert (no a GitHub, però es pot trobar el codi aquí) i fins i tot té tecnologia conferència al seu nom!

Entre les moltes capacitats de Wireshark hi ha:

  • Suport per a centenars de protocols de xarxa.
  • Interoperable amb molts formats de fitxers (tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (comprimit i sense comprimir), Sniffer® Pro i NetXray®, etc..
  • Executeu pràcticament totes les plataformes que hi ha (Linux, Windows, macOS, Solaris, FreeBSD i molt més).
  • Lectura de dades en directe des d’Ethernet, IEEE 802.11, PPP / HDLC, caixer automàtic, Bluetooth, USB, token ring, entre d’altres.
  • Descompressió gzip a la marxa.
  • S’admeten càrregues de protocols de desxifració (WPA / WPA2, SNMPv3, etc.)
  • Anàlisi de VoIP àmplia
  • Regles per acolorir una exploració visual més ràpida

Doneu un cop d’ull a aquest fantàstic curs en línia t’ensenya a dominar Wireshark.

tcpdump

Si teniu la vella escola (llegiu la línia de comandaments de la sessió de hardcore), tcpdump és per a tu.

És una altra d’aquestes utilitats icòniques de Linux (com el curl) que segueix sent rellevant com sempre, tant que gairebé totes les altres eines “fantàstiques” es basen en ell. Com he dit abans, no hi ha un entorn gràfic, sinó l’eina que ho compensa.

Però instal·lar-lo pot ser un dolor; mentre que tcpdump s’ofereix amb la majoria de distribucions de Linux modernes, si les vostres no ho fan, haureu d’aconseguir crear des de l’origen.

Les ordres tcpdump són curtes i senzilles, destinades a resoldre un problema concret com ara:

  • Es mostren totes les interfícies disponibles
  • Capturar només una de les interfícies
  • Desant paquets capturats al fitxer
  • Capturar només els paquets fallits

. . . etcètera.

Si les vostres necessitats són senzilles i necessiteu fer una exploració ràpida, tcpdump pot ser una bona opció a considerar (sobretot si escriviu tcpdump i veieu que ja està instal·lat!).

NetworkMiner

La seva promoció com a eina d’anàlisi de la xarxa forense (FNAT), NetworkMiner és un dels millors analitzadors de nivell de paquets que heu trobat. És una eina de codi obert que pot analitzar de forma passiva una xarxa i inclou una impressionant interfície gràfica per a anàlisis que pot mostrar imatges individuals i altres fitxers transferits.

Però no és tot. NetworkMiner ofereix altres excel·lents funcions com:

  • Suport IPv6
  • Analització dels fitxers PCAP
  • Extreu els certificats X.509 del trànsit xifrat SSL
  • Pcap-over-IP
  • Funciona amb diversos tipus de trànsit, com ara FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3, etc..
  • Empremta digital del sistema operatiu
  • Localització geo IP
  • Suport d’escriptura de línia de comandaments

Tingueu en compte que algunes d’aquestes funcions estan disponibles a la versió comercial.

Porter

A diferència d’altres sniffers passius de xarxa, Porter és quelcom que està entre el vostre dispositiu i el món exterior i, per tant, necessita una certa configuració (per això l’han nomenat “Fiddler”? ��).

És una eina gratuïta personalitzable (amb FiddlerScript) que té un historial llarg i distingit, de manera que si el vostre objectiu és arrasar el trànsit HTTP / HTTPS com un cap, Fiddler és el camí a seguir..

Hi ha moltes coses que podeu fer amb Fiddler, sobretot si teniu l’ànim de no donar caputxa als pirates informàtics:

  • Manipulació de sessions: Extreu les capçaleres i les dades de sessió HTTP obertes, modificant-les de la forma que desitgeu.
  • Prova de seguretat: Us permet simular atacs intermitjos i desxifrar tot el trànsit HTTPS.
  • Proves de rendiment: Analitzeu els temps de càrrega de pàgina (o resposta API) i vegeu quina part de la resposta és el coll d’ampolla.

En cas que us sentiu perduts, el documentació és molt bo i és molt recomanable.

WinDump

Si us perdeu la simplicitat de tcpdump i voleu portar-lo als vostres sistemes de Windows, saluda WinDump. Un cop instal·lat, funciona des de la línia d’ordres escrivint “tcpdump” de la mateixa manera que funciona la utilitat en sistemes Linux.

Tingueu en compte que no hi ha res a instal·lar per si mateix; WinDump és un binari que es pot executar de forma immediata sempre que tinguis instal·lada una implementació de la biblioteca Pcap (npcap es recomana ja que winpcap ja no està en desenvolupament).

OmniPeek

Per a les xarxes més grans que tinguin tones de MB de dades que hi circulen cada segon, les eines que utilitzen els altres poden quedar sense vapor. Si us trobeu igual, OmniPeek potser val la pena mirar-lo.

És una eina de rendiment, analítica i forense per analitzar xarxes, especialment quan necessiteu capacitats de baix nivell i taulers de comandament.

Font: sniffwifi.com

Si sou una organització més gran que busca una oferta seriosa, hi haurà disponible una prova de 30 dies aquí.

Capsa

Si només us preocupa la plataforma Windows, Capsa també és un contendent seriós. Es presenta en tres versions: gratuïta, estàndard i empresarial, cadascuna amb diferents capacitats.

Dit això, fins i tot la versió gratuïta admet més de 300 protocols i té funcions interessants com les alertes (que es desencadenen quan es compleixen algunes condicions). L’oferta estàndard és una altra versió anterior, que dóna suport a 1.000 protocols i permet analitzar converses i reconstruir fluxos de paquets.

Tot plegat, una opció sòlida per als usuaris de Windows.

EtherApe

Si seguiu les visualitzacions potents i el codi obert, EtherApe és una gran opció. Tot i que els binaris preconstruits només estan disponibles per a un bon grapat de distros de Linux, la font està disponible (tant a SourceForge com a GitHub), de manera que construir-la per compte és una opció..

Aquí és el que fa que EtherApe sigui excel·lent al meu entendre:

  • Supervisió amb diversos nodes i codificat per colors.
  • Assistència per a un munt de formats de paquets com ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN, etc. (en realitat, molts, molts, més).
  • Llegiu les dades en directe des del “cable” o des d’un fitxer tcpdump.
  • Admet la resolució de nom estàndard
  • A partir de les darreres versions, la GUI s’ha traslladat a GTK3, donant lloc a una experiència més agradable.

CommView

Si sou una botiga exclusiva de Windows i valoreu la comoditat de l’assistència prioritària, CommView es recomana És un potent analitzador de trànsit de xarxa amb funcions avançades, com ara anàlisi de VoIP, seguiment remot, etc..

El que més m’ha impressionat és la seva capacitat d’exportar dades a formats utilitzats per diversos formats oberts i propietaris, com ara Sniffer®, EtherPeek ™, AiroPeek ™, Observer®, NetMon, Wireshark / Tcpdump i Wireshark / pcapng i, fins i tot, els dipòsits hexagonal..

Wifi Explorer

L’últim de la llista és Wifi Explorer, que té una versió gratuïta per a Windows i una versió estàndard per a Windows i macOS. Si l’anàlisi de la xarxa WiFi és tot el que necessiteu (que és pràcticament l’estàndard en aquests dies), Wifi Explorer us facilitarà la vida.

És una eina que ofereix un disseny excel·lent i molt ric per oferir funcions directes al cor de la xarxa.

Menció d’honor: Seria un servici tancar aquesta publicació sense esmentar un analitzador de xarxa exclusiu de macOS en què em vaig topar. Petit Snitch. Té un tallafoc integrat, de manera que obté l’avantatge afegit de permetre immediatament controlar perfectament tot el trànsit (que pot semblar un dolor, però és un guany massiu a llarg termini).

Si voleu crear una carrera professional en seguretat i xarxa, feu una ullada a alguns millors cursos en línia aquí.

Res a la vida és perfecte ni complet, i el mateix passa amb aquesta llista.

Estic segur que hi he faltat molts altres analitzadors de paquets gratuïts / comercials / en subdesenvolupament (sniffers). En cas afirmatiu, ajudeu-me a millorar aquest article amb les vostres entrades. ?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map