10 võrgupaketi analüsaatorit süsteemiadministraatoritele ja turbeanalüütikutele

Teie võrk on teie äritegevuse selgroog. Veenduge, et teate, mis toimub selle sügaval sisemuses.


Mitmel moel on digiettevõtete maastik näinud revolutsiooni või kahte. Mis sai alguse nii lihtsast CGI skriptid kirjutatud Perlis, on nüüd õitsenud rühmitunud juurutustes, mis töötavad täielikult automatiseeritud Kunernetes ja muud orkestratsiooniraamistikud (vabandust raske kõnepruuki pärast – ma ei moodusta seda üldse; tänapäeval on asi lihtsalt nii!).

Tüüpiline konteineriga jaotatud kaasaegne veebirakendus (allikas: medium.com)

Kuid ma ei saa midagi muud teha, kui naerata mõtte peale, et põhialused on ikka samad, mis 1970. aastatel.

Meil on ainult abstraktsioonid abstraktsioonide tegemisel, mida toetavad kõvad füüsilised kaablid, mis moodustavad võrgu (okei, virtuaalsed võrgud on ka olemas, aga saate idee kätte). Kui tahame väljamõeldist saada, võime võrgu jagada kihtideks vastavalt OSI mudel, aga kõik öeldud ja tehtud, tegeleme alati, alati TCP / IP-protokollid (hoiatus, raske lugemine ees!), pingid, ruuterid, millel kõigil on üks ühine eesmärk – andmepakettide edastamine.

Mis on võrgupakett??

Pole tähtis, mida me teeme – vestlus, video voogesitus, mängimine, surfamine, asjade ostmine -, see on sisuliselt andmepakettide vahetamine kahe arvuti (võrkude) vahel. Pakett on väikseim võrgus (või võrkude vahel) voolav teabeühik ning seal on hästi määratletud meetod võrgupakettide konstrueerimiseks ja kontrollimiseks (väljaspool selle artikli rakendusala, kuid kui tunnete seikluslikkust, siis siin on järgmine) rohkem).

Pakettvoog võrgus (allikas: training.ukdw.ac.id)

Lihtsamalt öeldes tähistab iga pakett lüli ahelas ning edastatakse lähtekohas õigesti ja valideeritakse sihtkohta. Isegi kui üks pakett saabub välja või tellib, peatatakse protsess, kuni kõik õiges järjekorras paketid on vastu võetud, ja alles siis pannakse need kokku, et moodustada andmed, mida nad algselt esindasid (näiteks pilt).

Nüüd, kui oleme aru saanud, mis võrk on, saab aru, mida võrguanalüsaator teeb. See on tööriist, mis võimaldab teil uurida oma võrgu üksikuid pakette.

Aga miks sa tahaksid sellesse häda minna? Arutleme selle üle järgmisena.

Miks peame pakette analüüsima??

Paistab, et paketid on võrgu andmevoo põhiosad, nagu aatomid on kogu aine aluseks (jah, ma tean, need ei ole tõelised põhiosakesed, kuid see on meie jaoks piisavalt hea analoogia) . Ja materjalide või gaaside analüüsimisel ei vaeva me kunagi seda, mida üksik aatom teeb; Niisiis, miks muretseda üksiku võrgupaketi pärast individuaalsel tasemel? Mida me muud teame, kui me juba teame?

Kui teid pole varem tagant hammustatud, on raske müüa paketitasandi analüüsi olulisust, kuid ma üritan.

Pakettanalüüs tähendab käte määrdumist ja väga torustikku jõudmist, et midagi välja mõelda. Üldiselt peate analüüsima võrgupakette, kui kõik muu pole õnnestunud. Tavaliselt hõlmab see näiliselt lootusetuid stsenaariume järgmiselt:

  • Salajaste andmete seletamatu kadu vaatamata ilmsele rikkumisele
  • Aeglaste rakenduste diagnoosimine, kui pole mingeid tõendeid
  • Veenduge, et teie arvutis / võrgus pole ohtu sattunud
  • Selle tõestamine või ümberlükkamine, et ründaja pole piggybacking WiFi-st eemal
  • Saate teada, miks on teie server vaatamata väikesele liiklusele kitsaskoht

Kokkuvõttes kuulub pakettide analüüs teatud raskete tõendite alla. Kui teate, kuidas pakettide analüüsi läbi viia ja teil on hetktõmmis, saate end päästa, kui teid süüdistatakse alusetult häkkimises või süüdistatakse ebakompetentses arendajas või süsteemiadministraatoris..

See kõik on seotud ajudega! (allikas: dailydot.com)

Päris loo osas arvan, et see kommentaar leitud blogipostitusele leidis siin on erandlik (korratakse siin igaks juhuks):

Minu ettevõtte jaoks kriitilise tähtsusega rakendus näitas toimimisprobleeme, langes klientide juurutamisel näole. See oli aktsiate hinnakujundusrakendus, mida kasutati kogu maailmas asuvate finantsettevõtete tickerite eesotsas. Kui teil oli 2000. aasta paiku 401 (k), sõltus see tõenäoliselt sellest rakendusest. Analüüsisin seda, mida teie kirjeldasite, eriti TCP käitumist. Ma tuvastasin probleemi täpselt OS-i müüja TCP-i juurutamisel. Lollakas käitumine oli see, et alati, kui saatev virn läks ummikute kontrolli alla, ei taastunud see kunagi. Selle tulemuseks oli koomiliselt väike saatmisaken, mõnikord vaid mõni kord MSS.

Võttis veidi aega võitlus kontohaldurite ja arendaja tugiteenuste pakkujatega OS-i müüja juures, kes ei saanud probleemist aru, minu seletusest või sellest, et probleem * ei saanud * rakenduses olla, kuna rakendus on õndsas teadmatuses TCP mahhinatsioonide kohta. See oli nagu seinaga rääkimine. Alustasin iga konverentskõnega esimesel väljal. Lõpuks sain telefoni ühe mehega, kellega sain head vestlust pidada. Selgub, et ta pani RFC1323 pikendused virna! Järgmisel päeval oli mul käes OS-i plaaster ja toode töötas sellest hetkest suurepäraselt.

Arendaja selgitas, et oli viga, mis põhjustas sissetulevate ACK-de * koos koormustega * liigitamise DUPACK-ideks valesti, kui virn oli ummikute kontrolli all.

Seda ei juhtu kunagi poolduplekssete rakenduste (nt HTTP) korral, kuid rakendus, mida ma toetasin, saatis andmeid alati kahesuunaliselt pistikupesas.

Mul polnud toona juhtkonnalt väga palju tuge (mu haldur isegi karjus mulle, et tahan probleemide lahendamiseks alati nuusutajat kasutada) ja keegi peale minu ei vaadanud allikana OS-i müüja TCP rakendust probleemist. Enda enda tehtud paranduse maadlemine OS-i müüja poolt tegi selle võidu eriti armsaks, teenis mulle tonni kapitali enda asjade tegemiseks ja viis minu lauale ilmumiseni kõige huvitavamate probleemideni.

Mõistus puhutud!

Juhul, kui te ei tundnud end selle tekstilõigu läbi lugedes või kui see ei olnud eriti mõttekas, seisis see härrasmees silmitsi jõudlusprobleemidega, mida süüdistati tema taotluses ja juhtkond, nagu arvatakse, ei andnud tuge. Alles põhjalik paketianalüüs tõestas, et probleem ei olnud rakenduses, vaid selles, kuidas operatsioonisüsteem võrguprotokolli haldas.!

Parandus ei olnud rakenduse häälestamine, vaid opsüsteemi arendajate tehtud plaaster! ��

Poiss, oh, poiss. . . Kus te arvate, kus see inimene oleks ilma paketitasandi analüüsita? Ilmselt tema töölt väljas. Kui see ei veenda teid paketi analüüsi (mida nimetatakse ka pakettide nuusutamiseks) olulisuses, ei tea ma, mis saab. ��

Nüüd, kui teate, et pakettanalüüs on suurriik, on mul häid uudiseid: see pole kõik keeruline!

Tänu võimsatele, kuid samas hõlpsasti kasutatavatele pakettanalüsaatoritele (nuusutajatele) võib paketttasandite analüüsist saadava teabe kogumine olla sama lihtne kui müügi juhtpaneeli lugemine. Sellegipoolest vajate natuke rohkem kui pinnatasemel teadmisi võrgu sees toimuvast. Kuid siis pole siin jälle mingit raketiteadust ega keerulist loogikat – lihtsalt tavaline mõistus.

Kui hakkate läbi lugema ühe neist tööriistadest dokumentatsiooni, kui kasutate neid oma võrgus, saate üsna pea asjatundjaks. ��

Wireshark

Wireshark on vana projekt (see algas juba 1998. aastal), mis võrkudesse sügavale sukeldumisel on üsna suuresti tööstustandard. See on muljetavaldav, kui mõelda, et see on puhtalt vabatahtlike juhitav organisatsioon, mida toetavad mõned helded sponsorid. Wireshark on endiselt avatud lähtekoodiga (mitte GitHubis, kuid koodi leiate siin) ja tal on isegi tehnika konverents oma nimele!

Wiresharki paljude võimaluste hulgas on:

  • Tugi sadadele võrguprotokollidele.
  • Koostalitlusvõimeline paljude failivormingutega (tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (tihendatud ja tihendamata), Sniffer® Pro ja NetXray® jne).
  • Käitage praktiliselt kõigil platvormidel (Linux, Windows, macOS, Solaris, FreeBSD ja palju muud).
  • Andmete reaalajas lugemine muu hulgas Ethernetilt, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring.
  • Gipi lennunduse dekompressioon lennul.
  • Toetatud dekrüpteerimisprotokollide koormus (WPA / WPA2, SNMPv3 jne)
  • Ulatuslik VoIP-analüüs
  • Värvireeglid visuaalse skannimise kiirendamiseks

Vaadake seda fantastilist veebikursust õpetame sulle Wiresharki valdama.

tcpdump

Kui olete vana kool (lugege hardcore käsurida junkie), tcpdump on sinu jaoks.

See on veel üks neist ikoonilistest Linuxi utiliitidest (nagu curl), mis on endiselt sama aktuaalne kui kunagi varem, sedavõrd, et sellele toetuvad peaaegu kõik muud „fännide” tööriistad. Nagu ma juba ütlesin, pole olemas graafilist keskkonda, kuid tööriist rohkem kui selle korvab.

Kuid selle paigaldamine võib põhjustada valu; kuigi tcpdump on komplekteeritud moodsaimate Linuxi distributsioonidega, kui teie oma seda ei tee, peate lõpuks ehitama lähtekoodist.

tcpdump-käsud on lühikesed ja lihtsad, suunatud konkreetse probleemi lahendamiseks, näiteks:

  • Kõigi saadaolevate liideste kuvamine
  • Ainult ühe liidese hõivamine
  • Salvestatud pakettide salvestamine faili
  • Ainult ebaõnnestunud pakettide hõivamine

. . . ja nii edasi.

Kui teie vajadused on lihtsad ja peate käivitama kiirskaneerimise, võib tcpdump olla hea võimalus, mida kaaluda (eriti kui kirjutate tcpdump ja leiate, et see on juba installitud!).

NetworkMiner

Enda tutvustamine kohtuekspertiisi võrgustiku analüüsivahendina (FNAT), NetworkMiner on üks parimaid paketitasandi analüsaatoreid, millega kokku puutute. See on avatud lähtekoodiga tööriist, mis suudab võrku passiivselt analüüsida ja millel on muljetavaldav GUI-liides analüüsimiseks, mis võib näidata üksikuid pilte ja muid edastatud faile.

Kuid see pole veel kõik. NetworkMiner pakub suurepäraseid muid funktsioone, näiteks:

  • IPv6 tugi
  • PCAP-failide parsimine
  • Kaevandage X.509 sertifikaadid SSL-i krüptitud liiklusest
  • Pcap-over-IP
  • Töötab mitut tüüpi liiklusega, näiteks FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 jne..
  • OS-i sõrmejäljed
  • Geo IP lokaliseerimine
  • Käsurea skriptimise tugi

Pange tähele, et mõned neist funktsioonidest on saadaval kommertsversioonis.

Viiuldaja

Erinevalt teistest passiivsetest võrgu nuusutajatest, Viiuldaja on midagi, mis asub teie seadme ja välismaailma vahel ja nõuab seetõttu teatavat seadistamist (kas sellepärast nad nimetasid seda “viiuldajaks”? ��).

See on kohandatav (kasutades FiddlerScripti) tasuta tööriist, millel on pikk ja eristuv ajalugu, nii et kui teie eesmärk on nuusutada HTTP / HTTPS-i liiklust nagu boss, on Fiddler tee.

Fiddleriga saab teha palju, eriti kui tunnete häkkerist kapuutsi kinkida:

  • Sessiooniga manipuleerimine: Avage HTTP päised ja seansi andmed, muutke neid mis tahes viisil.
  • Turvakontroll: Saate simuleerida kesktaseme rünnakuid ja dekrüpteerida kogu HTTPS-liikluse teie jaoks.
  • Jõudluskontroll: Analüüsige lehe laadimise (või API-vastuse) aegu ja vaadake, milline vastuse osa on kitsaskoht.

Juhul, kui tunnete end kadununa, dokumentatsioon on väga hea ja väga soovitatav.

WinDump

Kui te unustate tcpdumpi lihtsusest ja soovite selle oma Windowsi süsteemidesse tuua, ütleb tere WinDump. Pärast installimist töötab see käsurealt, tippides „tcpdump” samamoodi, nagu utiliit töötab Linuxi süsteemides.

Pange tähele, et iseenesest pole midagi installida; WinDump on binaarne fail, mida saab kohe käivitada, kui olete installinud Pcapi teegi rakenduse (npcap on soovitatav, kuna winpcapi pole enam arendamisel).

OmniPeek

Suuremate võrkude puhul, mille kaudu voolab igal sekundil tonni MB andmeid, võivad kõik teised kasutatavad tööriistad auru otsa saada. Kui olete sama ees, OmniPeek võiks olla vaatamist väärt.

See on jõudluse, analüüsi ja kohtuekspertiisi tööriist võrkude analüüsimiseks, eriti kui vajate nii madala taseme võimalusi kui ka põhjalikke armatuurlaudu.

Allikas: sniffwifi.com

Kui olete suurem organisatsioon, kes otsib tõsist pakkumist, on saadaval 30-päevane prooviversioon siin.

Capsa

Kui muretsete ainult Windowsi platvormi pärast, Capsa on ka tõsine pretendent. See on saadaval kolmes versioonis: tasuta, tava- ja ettevõtlusversioon, millel on erinevad võimalused.

Isegi tasuta versioon toetab üle 300 protokolli ja sellel on huvitavaid funktsioone, näiteks märguanded (käivitatakse siis, kui teatud tingimused on täidetud). Tavapakkumine on ülaltoodud notch, mis toetab üle 1000 protokolli ja võimaldab teil vestlusi analüüsida ning paketivooge rekonstrueerida.

Kokkuvõttes: kindel võimalus Windowsi kasutajatele.

EtherApe

Kui olete võimsate visualiseerimiste ja avatud lähtekoodiga, siis on see, mille järele olete, EtherApe on suurepärane võimalus. Kui eelinstalleeritud binaarfailid on saadaval ainult käputäiele Linuxi distrodele, on allikas saadaval (nii SourceForge’is kui ka GitHubis), nii et selle iseseisvaks loomine on võimalus.

EtherApe on minu arvates suurepäraseks teinud järgmiselt:

  • Mitmesõlmeline, värvikoodiga seire.
  • Toetus mitmele paketivormingule, näiteks ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VIINAD, Rong, LOOP, VLAN jne (tegelikult palju, palju, palju muud).
  • Lugege andmeid otse juhtmest või tcpdump-failist.
  • Toetab nime standardset eraldusvõimet
  • Alates viimastest versioonidest on GUI viidud üle GTK3-le, mille tulemuseks on meeldivam kogemus.

CommView

Kui olete Windowsi eksklusiivne pood ja hindate prioriteetse toe mugavust, CommView on soovitatav. See on sisseehitatud võimas võrguliikluse analüsaator koos täiustatud funktsioonidega, näiteks VoIP-analüüs, kaugjälgimine jne.

Kõige rohkem avaldas mulle muljet see, kui oskasin andmeid eksportida vormingutesse, mida kasutavad mitmed avatud ja patenteeritud vormingud, näiteks Sniffer®, EtherPeek ™, AiroPeek ™, Observer®, NetMon, Wireshark / Tcpdump ja Wireshark / pcapng ning isegi lihtsad heksprofiilid..

Wifi Explorer

Viimane nimekirjas on Wifi Explorer, millel on Windowsi jaoks tasuta versioon ja Windowsi ning macOSi jaoks tavaline versioon. Kui WiFi-võrgu analüüs on kõik, mida vaja (mis on tänapäeval üsna tavaline), siis teeb Wifi Explorer elu lihtsaks.

See on kaunilt kujundatud ja funktsioonirikas tööriist otse võrgu südamesse lõikamiseks.

Austatud märkus: Oleks karuteene see postitus sulgeda, mainimata makro-eksklusiivset võrguanalüsaatorit, mille otsa ma komistasin – Väike toss. Sellel on sisseehitatud tulemüür, nii et sellega kaasneb täiendav eelis, mis võimaldab teil kohe kogu liiklust täiuslikult juhtida (mis võib tunduda valus, kuid pikas perspektiivis tohutu kasu).

Kui soovite luua karjääri võrgu- ja turbe alal, siis tutvuge mõnega järgmistest parimad veebikursused siin.

Miski elus pole täiuslik ega täielik ja sama kehtib ka selle nimekirjaga.

Olen kindel, et mul on palju muid tasuta / kaubanduslikku / arendamisel olevaid pakettide analüüsijaid (nuusutajaid). Kui jah, siis aidake mul seda artiklit teie sisenditega paremaks muuta. ?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map