Η ανίχνευση πακέτων είναι ένας βαθύς τύπος ανάλυσης δικτύου στην οποία αποκωδικοποιούνται λεπτομέρειες της κίνησης του δικτύου για να αναλυθούν. Είναι μια από τις πιο σημαντικές δεξιότητες αντιμετώπισης προβλημάτων που πρέπει να διαθέτει οποιοσδήποτε διαχειριστής δικτύου. Η ανάλυση της κυκλοφορίας του δικτύου είναι μια περίπλοκη εργασία. Για την αντιμετώπιση αναξιόπιστων δικτύων, τα δεδομένα δεν αποστέλλονται σε μία συνεχή ροή. Αντίθετα, κόβεται σε κομμάτια που αποστέλλονται μεμονωμένα. Η ανάλυση της κυκλοφορίας του δικτύου περιλαμβάνει τη δυνατότητα συλλογής αυτών των πακέτων δεδομένων και τη συναρμολόγηση τους σε κάτι ουσιαστικό. Αυτό δεν είναι κάτι που μπορείτε να κάνετε με το χέρι, έτσι δημιουργήθηκαν sniffer πακέτων και αναλυτές δικτύου. Σήμερα, ρίχνουμε μια ματιά σε επτά από τους καλύτερους ανιχνευτές πακέτων και αναλυτές δικτύου.
Ξεκινάμε το σημερινό ταξίδι δίνοντάς σας κάποιες βασικές πληροφορίες σχετικά με το τι είναι τα packet sniffers. Θα προσπαθήσουμε να καταλάβουμε ποια είναι η διαφορά –ή αν υπάρχει διαφορά– ανάμεσα σε έναν ανιχνευτή πακέτων και έναν αναλυτή δικτύου. Στη συνέχεια, θα προχωρήσουμε στον πυρήνα του θέματός μας και όχι μόνο θα απαριθμήσουμε αλλά και θα εξετάσουμε εν συντομία κάθε μία από τις επτά επιλογές μας. Αυτό που έχουμε για εσάς είναι ένας συνδυασμός εργαλείων GUI και βοηθητικών προγραμμάτων γραμμής εντολών που εκτελούνται σε διάφορα λειτουργικά συστήματα.
Πίνακας περιεχομένων
Λίγα λόγια για τα Packet Sniffers και τους Network Analyzers
Ας ξεκινήσουμε διευθετώντας κάτι. Για χάρη αυτού του άρθρου, θα υποθέσουμε ότι οι ανιχνευτές πακέτων και οι αναλυτές δικτύου είναι ένα και το αυτό. Κάποιοι θα υποστηρίξουν ότι είναι διαφορετικοί και μπορεί να έχουν δίκιο. Αλλά στο πλαίσιο αυτού του άρθρου, θα τα δούμε μαζί, κυρίως επειδή, παρόλο που μπορεί να λειτουργούν διαφορετικά –αλλά μήπως πραγματικά;– εξυπηρετούν τον ίδιο σκοπό.
Τα Packet Sniffer συνήθως κάνουν τρία πράγματα. Πρώτον, καταγράφουν όλα τα πακέτα δεδομένων καθώς εισέρχονται ή εξέρχονται από μια διεπαφή δικτύου. Δεύτερον, εφαρμόζουν προαιρετικά φίλτρα για να αγνοήσουν ορισμένα από τα πακέτα και να αποθηκεύσουν άλλα στο δίσκο. Στη συνέχεια εκτελούν κάποια μορφή ανάλυσης των δεδομένων που συλλέγονται. Είναι σε αυτήν την τελευταία λειτουργία των πακέτων sniffer που διαφέρουν περισσότερο.
Για την πραγματική σύλληψη των πακέτων δεδομένων, τα περισσότερα εργαλεία χρησιμοποιούν μια εξωτερική μονάδα. Τα πιο συνηθισμένα είναι το libpcap σε συστήματα Unix/Linux και το Winpcap στα Windows. Συνήθως δεν χρειάζεται να εγκαταστήσετε αυτά τα εργαλεία, καθώς συνήθως εγκαθίστανται από διαφορετικούς εγκαταστάτες εργαλείων.
Ένα άλλο σημαντικό πράγμα που πρέπει να γνωρίζετε είναι ότι τα Packet Sniffers –ακόμα και τα καλύτερα– δεν θα κάνουν τα πάντα για εσάς. Είναι απλά εργαλεία. Είναι ακριβώς σαν ένα σφυρί που δεν θα καρφώσει από μόνο του. Επομένως, πρέπει να βεβαιωθείτε ότι μάθετε πώς να χρησιμοποιείτε καλύτερα κάθε εργαλείο. Ο ανιχνευτής πακέτων θα σας επιτρέψει απλώς να δείτε την κίνηση, αλλά εξαρτάται από εσάς να χρησιμοποιήσετε αυτές τις πληροφορίες για να βρείτε προβλήματα. Έχουν κυκλοφορήσει ολόκληρα βιβλία σχετικά με τη χρήση εργαλείων καταγραφής πακέτων. Εγώ, ο ίδιος, κάποτε παρακολούθησα ένα τριήμερο μάθημα για το θέμα. Δεν προσπαθώ να σε αποθαρρύνω. Απλώς προσπαθώ να ξεκαθαρίσω τις προσδοκίες σας.
Πώς να χρησιμοποιήσετε ένα Packet Sniffer
Όπως έχουμε εξηγήσει, ένας ανιχνευτής πακέτων θα καταγράφει και θα αναλύει την κυκλοφορία. Επομένως, εάν προσπαθείτε να αντιμετωπίσετε ένα συγκεκριμένο ζήτημα –για το οποίο συνήθως θα χρησιμοποιούσατε ένα τέτοιο εργαλείο–, πρέπει πρώτα να βεβαιωθείτε ότι η επισκεψιμότητα που καταγράφετε είναι η σωστή επισκεψιμότητα. Φανταστείτε μια κατάσταση όπου όλοι οι χρήστες παραπονιούνται ότι μια συγκεκριμένη εφαρμογή είναι αργή. Σε αυτόν τον τύπο κατάστασης, το καλύτερο στοίχημά σας θα ήταν πιθανώς να καταγράψετε την κίνηση στη διεπαφή δικτύου του διακομιστή εφαρμογών. Μπορεί τότε να συνειδητοποιήσετε ότι τα αιτήματα φτάνουν στον διακομιστή κανονικά, αλλά ότι ο διακομιστής χρειάζεται πολύ χρόνο για να στείλει απαντήσεις. Αυτό θα υποδηλώνει πρόβλημα διακομιστή.
Εάν, από την άλλη πλευρά, δείτε τον διακομιστή να ανταποκρίνεται έγκαιρα, αυτό πιθανώς σημαίνει ότι το πρόβλημα βρίσκεται κάπου στο δίκτυο μεταξύ του πελάτη και του διακομιστή. Στη συνέχεια, θα μετακινούσατε το sniffer πακέτων σας ένα βήμα πιο κοντά στον πελάτη και θα δείτε εάν καθυστερούν οι απαντήσεις. Εάν δεν είναι, μετακινείστε περισσότερο άλμα πιο κοντά στον πελάτη, και ούτω καθεξής και ούτω καθεξής. Θα φτάσετε τελικά στο σημείο όπου υπάρχουν καθυστερήσεις. Και μόλις εντοπίσετε τη θέση του προβλήματος, βρίσκεστε ένα μεγάλο βήμα πιο κοντά στην επίλυσή του.
Τώρα ίσως αναρωτιέστε πώς καταφέρνουμε να συλλάβουμε πακέτα σε ένα συγκεκριμένο σημείο. Είναι αρκετά απλό, εκμεταλλευόμαστε μια δυνατότητα των περισσότερων μεταγωγέων δικτύου που ονομάζεται κατοπτρισμός θυρών ή αναπαραγωγή. Αυτή είναι μια επιλογή διαμόρφωσης που θα αναπαράγει όλη την κίνηση μέσα και έξω από μια συγκεκριμένη θύρα μεταγωγέα σε μια άλλη θύρα στον ίδιο διακόπτη. Ας υποθέσουμε ότι ο διακομιστής σας είναι συνδεδεμένος στη θύρα 15 ενός μεταγωγέα και ότι η θύρα 23 του ίδιου διακόπτη είναι διαθέσιμη. Συνδέετε το packet sniffer σας στη θύρα 23 και διαμορφώνετε τον διακόπτη ώστε να αναπαράγει όλη την κίνηση από τη θύρα 15 στη θύρα 23. Αυτό που λαμβάνετε ως αποτέλεσμα στη θύρα 23 είναι μια κατοπτρική εικόνα –εξ ου και το όνομα κατοπτρισμού θύρας– του τι διέρχεται από τη θύρα 15.
Οι καλύτεροι ανιχνευτές πακέτων και αναλυτές δικτύου
Τώρα που καταλαβαίνετε καλύτερα τι είναι οι ανιχνευτές πακέτων και οι αναλυτές δικτύου, ας δούμε ποια είναι τα επτά καλύτερα που μπορούσαμε να βρούμε. Προσπαθήσαμε να συμπεριλάβουμε έναν συνδυασμό εργαλείων γραμμής εντολών και GUI, καθώς και εργαλεία που εκτελούνται σε διάφορα λειτουργικά συστήματα. Εξάλλου, δεν εκτελούν Windows όλοι οι διαχειριστές δικτύου.
1. Εργαλείο επιθεώρησης και ανάλυσης πακέτων SolarWinds Deep Packet (ΔΩΡΕΑΝ ΔΟΚΙΜΗ)
Η SolarWinds είναι γνωστή για τα πολλά χρήσιμα δωρεάν εργαλεία της και το υπερσύγχρονο λογισμικό διαχείρισης δικτύου της. Ένα από τα εργαλεία του ονομάζεται Deep Packet Inspection and Analysis Tool. Έρχεται ως στοιχείο του κορυφαίου προϊόντος της SolarWinds, του Network Performance Monitor. Η λειτουργία του είναι αρκετά διαφορετική από τους πιο «παραδοσιακούς» sniffer πακέτων, αν και εξυπηρετεί παρόμοιο σκοπό.
Για να συνοψίσουμε τη λειτουργικότητα του εργαλείου: θα σας βοηθήσει να βρείτε και να επιλύσετε την αιτία των καθυστερήσεων δικτύου, να εντοπίσετε εφαρμογές που επηρεάζονται και να προσδιορίσετε εάν η βραδύτητα προκαλείται από το δίκτυο ή μια εφαρμογή. Το λογισμικό θα χρησιμοποιήσει επίσης τεχνικές επιθεώρησης πακέτων σε βάθος για τον υπολογισμό του χρόνου απόκρισης για περισσότερες από 1200 εφαρμογές. Θα ταξινομήσει επίσης την κυκλοφορία δικτύου ανά κατηγορία, επιχειρηματικό έναντι κοινωνικού επιπέδου και επίπεδο κινδύνου, βοηθώντας σας να προσδιορίσετε μη επιχειρηματική επισκεψιμότητα που μπορεί να χρειαστεί να φιλτραριστεί ή με άλλο τρόπο να εξαλειφθεί.
Και μην ξεχνάτε ότι το SolarWinds Deep Packet Inspection and Analysis Tool διατίθεται ως μέρος του Network Performace Monitor. Το NPM, όπως αποκαλείται συχνά, είναι ένα εντυπωσιακό κομμάτι λογισμικού με τόσα πολλά στοιχεία που θα μπορούσε να αφιερωθεί ένα ολόκληρο άρθρο σε αυτό. Στον πυρήνα της, είναι μια ολοκληρωμένη λύση παρακολούθησης δικτύου που συνδυάζει τις καλύτερες τεχνολογίες όπως το SNMP και η βαθιά επιθεώρηση πακέτων για να παρέχει όσο το δυνατόν περισσότερες πληροφορίες σχετικά με την κατάσταση του δικτύου σας. Το εργαλείο, το οποίο έχει λογική τιμή, συνοδεύεται από δωρεάν δοκιμή 30 ημερών, ώστε να μπορείτε να βεβαιωθείτε ότι ταιριάζει πραγματικά στις ανάγκες σας προτού δεσμευτείτε να το αγοράσετε.
Επίσημος σύνδεσμος λήψης: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump είναι πιθανώς Ο αρχικός ανιχνευτής πακέτων. Δημιουργήθηκε το 1987. Έκτοτε, έχει διατηρηθεί και βελτιωθεί αλλά παραμένει ουσιαστικά αμετάβλητο, τουλάχιστον όπως χρησιμοποιείται. Είναι προεγκατεστημένο σχεδόν σε κάθε λειτουργικό σύστημα που μοιάζει με Unix και έχει γίνει το de-facto πρότυπο όταν χρειάζεται ένα γρήγορο εργαλείο για τη σύλληψη πακέτων. Το Tcpdump χρησιμοποιεί τη βιβλιοθήκη libpcap για την πραγματική σύλληψη πακέτων.
Από προεπιλογή. Το tcpdump καταγράφει όλη την επισκεψιμότητα στην καθορισμένη διεπαφή και την “αποβάλλει” -εξ ου και το όνομά της- στην οθόνη. Η απόρριψη μπορεί επίσης να διοχετευτεί σε ένα αρχείο καταγραφής και να αναλυθεί αργότερα χρησιμοποιώντας ένα –ή συνδυασμό– πολλών διαθέσιμων εργαλείων. Ένα κλειδί για τη δύναμη και τη χρησιμότητα του tcpdump είναι η δυνατότητα εφαρμογής όλων των ειδών φίλτρων και διοχέτευσης της εξόδου του σε grep –ένα άλλο κοινό βοηθητικό πρόγραμμα γραμμής εντολών Unix– για περαιτέρω φιλτράρισμα. Κάποιος με καλή γνώση του tcpdump, του grep και του κελύφους εντολών μπορεί να το κάνει να καταγράφει ακριβώς τη σωστή κίνηση για οποιαδήποτε εργασία εντοπισμού σφαλμάτων.
3. Αλεξίπτωτο
Windump είναι ουσιαστικά απλώς μια θύρα tcpdump στην πλατφόρμα των Windows. Ως εκ τούτου, συμπεριφέρεται σχεδόν με τον ίδιο τρόπο. Δεν είναι ασυνήθιστο να βλέπουμε τέτοιες θύρες επιτυχημένων βοηθητικών προγραμμάτων από τη μια πλατφόρμα στην άλλη. Το Windump είναι μια εφαρμογή Windows, αλλά μην περιμένετε ένα φανταχτερό GUI. Αυτό είναι ένα βοηθητικό πρόγραμμα μόνο στη γραμμή εντολών. Η χρήση του Windump, επομένως, είναι βασικά η ίδια με τη χρήση του αντίστοιχου Unix. Οι επιλογές της γραμμής εντολών είναι οι ίδιες και τα αποτελέσματα είναι επίσης σχεδόν ίδια. Η έξοδος από το Windump μπορεί επίσης να αποθηκευτεί σε ένα αρχείο για μεταγενέστερη ανάλυση με ένα εργαλείο τρίτου κατασκευαστή.
Μια σημαντική διαφορά με το tcpdump είναι ότι το Windump δεν είναι ενσωματωμένο στα Windows. Θα πρέπει να το κατεβάσετε από το Ιστοσελίδα Windump. Το λογισμικό παραδίδεται ως εκτελέσιμο αρχείο και δεν απαιτεί εγκατάσταση. Ωστόσο, ακριβώς όπως το tcpdump χρησιμοποιεί τη βιβλιοθήκη libpcap, το Windump χρησιμοποιεί το Winpcap το οποίο, όπως οι περισσότερες βιβλιοθήκες των Windows, πρέπει να ληφθεί και να εγκατασταθεί ξεχωριστά.
4. Wireshark
Wireshark είναι η αναφορά στα packet sniffers. Έχει γίνει το de-facto πρότυπο και τα περισσότερα άλλα εργαλεία τείνουν να το μιμούνται. Αυτό το εργαλείο δεν θα καταγράφει μόνο την επισκεψιμότητα, αλλά έχει επίσης πολύ ισχυρές δυνατότητες ανάλυσης. Τόσο ισχυρό που πολλοί διαχειριστές θα χρησιμοποιήσουν το tcpdump ή το Windump για να καταγράψουν την κυκλοφορία σε ένα αρχείο και στη συνέχεια να φορτώσουν το αρχείο στο Wireshark για ανάλυση. Αυτός είναι ένας τόσο συνηθισμένος τρόπος χρήσης του Wireshark που κατά την εκκίνηση, σας ζητείται είτε να ανοίξετε ένα υπάρχον αρχείο pcap είτε να αρχίσετε να καταγράφετε επισκεψιμότητα. Ένα άλλο πλεονέκτημα του Wireshark είναι όλα τα φίλτρα που ενσωματώνει τα οποία σας επιτρέπουν να μηδενίζετε ακριβώς τα δεδομένα που σας ενδιαφέρουν.
Για να είμαστε απόλυτα ειλικρινείς, αυτό το εργαλείο έχει μια απότομη καμπύλη εκμάθησης, αλλά αξίζει να το μάθετε. Θα αποδειχθεί ανεκτίμητο ξανά και ξανά. Και μόλις το μάθετε, θα μπορείτε να το χρησιμοποιείτε παντού, καθώς έχει μεταφερθεί σχεδόν σε κάθε λειτουργικό σύστημα και είναι δωρεάν και ανοιχτού κώδικα.
5. καρχαρίας
Tshark είναι κάτι σαν διασταύρωση μεταξύ tcpdump και Wireshark. Αυτό είναι υπέροχο, καθώς είναι μερικά από τα καλύτερα packet sniffers εκεί έξω. Το Tshark είναι σαν το tcpdump καθώς είναι ένα εργαλείο μόνο στη γραμμή εντολών. Αλλά είναι επίσης σαν το Wireshark καθώς όχι μόνο καταγράφει αλλά και αναλύει την κυκλοφορία. Το Tshark είναι από τους ίδιους προγραμματιστές με το Wireshark. Είναι, λίγο πολύ, η έκδοση γραμμής εντολών του Wireshark. Χρησιμοποιεί τον ίδιο τύπο φιλτραρίσματος με το Wireshark και ως εκ τούτου μπορεί να απομονώσει γρήγορα μόνο την κίνηση που πρέπει να αναλύσετε.
Αλλά γιατί, ίσως ρωτήσετε, θα ήθελε κάποιος μια έκδοση γραμμής εντολών του Wireshark; Γιατί να μην χρησιμοποιήσετε απλώς το Wireshark. με τη γραφική του διεπαφή, πρέπει να είναι πιο απλό στη χρήση και στην εκμάθηση; Ο κύριος λόγος είναι ότι θα σας επέτρεπε να το χρησιμοποιήσετε σε διακομιστή που δεν είναι GUI.
6. Network Miner
Network Miner είναι περισσότερο ένα εγκληματολογικό εργαλείο παρά ένας αληθινός ανιχνευτής πακέτων. Το Network Miner θα ακολουθήσει μια ροή TCP και θα ανακατασκευάσει μια ολόκληρη συνομιλία. Είναι πραγματικά ένα ισχυρό εργαλείο. Μπορεί να λειτουργήσει σε λειτουργία εκτός σύνδεσης, όπου θα εισάγατε κάποιο αρχείο λήψης για να αφήσετε το Network Miner να κάνει τα μαγικά του. Αυτή είναι μια χρήσιμη δυνατότητα καθώς το λογισμικό εκτελείται μόνο σε Windows. Θα μπορούσατε να χρησιμοποιήσετε το tcpdump στο Linux για να καταγράψετε κάποια κίνηση και το Network Miner στα Windows για να το αναλύσετε.
Το Network Miner είναι διαθέσιμο σε δωρεάν έκδοση, αλλά, για τις πιο προηγμένες δυνατότητες, όπως ο γεωγραφικός εντοπισμός και το σενάριο που βασίζεται σε IP, θα χρειαστεί να αγοράσετε μια άδεια Profesional. Μια άλλη προηγμένη λειτουργία της επαγγελματικής έκδοσης είναι η δυνατότητα αποκωδικοποίησης και αναπαραγωγής κλήσεων VoIP.
7. Fiddler (HTTP)
Μερικοί από τους πιο ενημερωμένους αναγνώστες μας μπορεί να υποστηρίξουν ότι το Fiddler δεν είναι sniffer πακέτων ούτε αναλυτής δικτύου. Μάλλον έχουν δίκιο, αλλά θεωρήσαμε ότι πρέπει να συμπεριλάβουμε αυτό το εργαλείο στη λίστα μας, καθώς είναι πολύ χρήσιμο σε πολλές περιπτώσεις. Βιολιτζής θα καταγράψει πραγματικά την κίνηση αλλά όχι οποιαδήποτε κίνηση. Λειτουργεί μόνο με κίνηση HTTTP. Μπορείτε να φανταστείτε πόσο πολύτιμο μπορεί να είναι παρά τον περιορισμό του, αν σκεφτείτε ότι τόσες πολλές εφαρμογές σήμερα βασίζονται στον ιστό ή χρησιμοποιούν το πρωτόκολλο HTTP στο παρασκήνιο. Και δεδομένου ότι το Fiddler θα καταγράφει όχι μόνο την κίνηση του προγράμματος περιήγησης αλλά σχεδόν οποιοδήποτε HTTP, είναι πολύ χρήσιμο για την αντιμετώπιση προβλημάτων
Το πλεονέκτημα ενός εργαλείου όπως το Fiddler έναντι ενός καλόπιστου ανιχνευτή πακέτων όπως, για παράδειγμα, το Wireshark, είναι ότι το Fiddler κατασκευάστηκε για να «κατανοεί» την κυκλοφορία HTTP. Για παράδειγμα, θα ανακαλύψει cookies και πιστοποιητικά. Θα βρει επίσης πραγματικά δεδομένα που προέρχονται από εφαρμογές που βασίζονται σε HTTP. Το Fiddler είναι δωρεάν και είναι διαθέσιμο μόνο για Windows, αν και είναι δυνατή η λήψη εκδόσεων beta για OS X και Linux (χρησιμοποιώντας το πλαίσιο Mono).
συμπέρασμα
Όταν δημοσιεύουμε λίστες όπως αυτή, μας ρωτούν συχνά ποια είναι η καλύτερη. Σε αυτή τη συγκεκριμένη περίπτωση, αν μου έκαναν αυτή την ερώτηση, θα έπρεπε να απαντήσω «σε όλες». Είναι όλα δωρεάν εργαλεία και όλα έχουν την αξία τους. Γιατί να μην τα έχετε όλα στη διάθεσή σας και να εξοικειωθείτε με το καθένα. Όταν φτάσετε σε μια κατάσταση όπου πρέπει να τα χρησιμοποιήσετε, θα είναι πολύ πιο εύκολο και αποτελεσματικό. Ακόμη και τα εργαλεία γραμμής εντολών έχουν τεράστια αξία. Για παράδειγμα, μπορούν να γραφτούν και να προγραμματιστούν. Φανταστείτε ότι έχετε ένα πρόβλημα που συμβαίνει στις 2:00 π.μ. καθημερινά. Θα μπορούσατε να προγραμματίσετε μια εργασία για να εκτελέσετε το tcpdump του Windump μεταξύ 1:50 και 2:10 και να αναλύσετε το αρχείο λήψης το επόμενο πρωί. Δεν χρειάζεται να μείνετε ξύπνιοι όλη τη νύχτα.