12 Αναλυτές πακέτων δικτύου για Sysadmin και αναλυτές ασφαλείας

Το δίκτυό σας είναι η ραχοκοκαλιά των εργασιών της επιχείρησής σας. Βεβαιωθείτε ότι γνωρίζετε τι συμβαίνει βαθιά μέσα του.

Από πολλές απόψεις, το τοπίο για τις ψηφιακές επιχειρήσεις έχει δει μια επανάσταση ή δύο. Αυτό που ξεκίνησε τόσο απλό Σενάρια CGI γραμμένο σε Perl έχει πλέον ανθίσει σε ομαδοποιημένες αναπτύξεις που λειτουργούν πλήρως αυτοματοποιημένα σε Kubernetes και άλλα πλαίσια ενορχήστρωσης (συγγνώμη για τη βαριά ορχηστρική γλώσσα — δεν το επινοώ καθόλου, είναι ακριβώς όπως είναι τα πράγματα σήμερα!).

Μια τυπική, διανεμημένη σύγχρονη εφαρμογή ιστού με κοντέινερ (πηγή: medium.com)

Αλλά δεν μπορώ παρά να χαμογελάσω στη σκέψη ότι τα θεμελιώδη είναι ακόμα τα ίδια όπως ήταν στη δεκαετία του 1970.

Το μόνο που έχουμε είναι αφαιρέσεις πάνω σε αφαιρέσεις που υποστηρίζονται από σκληρά, φυσικά καλώδια που σχηματίζουν το δίκτυο (εντάξει, υπάρχουν εικονικά δίκτυα είναι καλά, αλλά καταλαβαίνετε την ιδέα). Αν θέλουμε να είμαστε φανταχτεροί, μπορούμε να χωρίσουμε το δίκτυο σε επίπεδα σύμφωνα με το μοντέλο OSI, αλλά όλα ειπώθηκαν και έγιναν, πάντα, πάντα ασχολούμαστε με Πρωτόκολλα TCP/IP (προειδοποίηση, βαριά ανάγνωση!), ping, δρομολογητές, τα οποία έχουν έναν κοινό στόχο – τη μετάδοση πακέτων δεδομένων.

Λοιπόν, τι είναι ένα πακέτο δικτύου;

Ανεξάρτητα από το τι κάνουμε — συνομιλία, ροή βίντεο, παιχνίδια, σερφάρισμα, αγορά πραγμάτων — είναι ουσιαστικά μια ανταλλαγή πακέτων δεδομένων μεταξύ δύο υπολογιστών (δικτύων). Ένα “πακέτο” είναι η μικρότερη μονάδα πληροφοριών που ρέει σε ένα δίκτυο (ή μεταξύ δικτύων) και υπάρχει μια καλά καθορισμένη μέθοδος κατασκευής και επαλήθευσης πακέτων δικτύου (πέρα από το πεδίο εφαρμογής αυτού του άρθρου, αλλά αν αισθάνεστε περιπετειώδεις, δείτε εδώ περισσότερο).

Ροή πακέτων σε ένα δίκτυο (πηγή: training.ukdw.ac.id)

Με απλούστερους όρους, κάθε πακέτο αντιπροσωπεύει έναν κρίκο στην αλυσίδα και μεταδίδεται σωστά στην πηγή και επικυρώνεται στον προορισμό. Ακόμα κι αν ένα μεμονωμένο πακέτο φτάσει ή παραγγελθεί, η διαδικασία αναστέλλεται έως ότου ληφθούν όλα τα πακέτα με τη σωστή σειρά και μόνο τότε συναρμολογούνται για να σχηματίσουν τα δεδομένα που αρχικά αντιπροσώπευαν (μια εικόνα, για παράδειγμα).

Τώρα που καταλαβαίνουμε τι είναι ένα δίκτυο, κατανοούμε τι κάνει ένας αναλυτής δικτύου. Είναι ένα εργαλείο που σας επιτρέπει να κοιτάζετε σε μεμονωμένα πακέτα στο δίκτυό σας.

Αλλά γιατί θα θέλατε να μπείτε σε αυτό το πρόβλημα; Ας το συζητήσουμε στη συνέχεια.

Γιατί χρειάζεται να αναλύουμε πακέτα;

Φαίνεται ότι τα πακέτα είναι σχεδόν τα βασικά δομικά στοιχεία σε μια ροή δεδομένων δικτύου, όπως τα άτομα είναι η βάση όλης της ύλης (ναι, ξέρω, αυτά δεν είναι αληθινά θεμελιώδη σωματίδια, αλλά είναι μια αρκετά καλή αναλογία για τους σκοπούς μας) . Και όταν πρόκειται για την ανάλυση υλικών ή αερίων, δεν ασχολούμαστε ποτέ με το τι κάνει ένα μεμονωμένο άτομο. Επομένως, γιατί να ανησυχείτε για ένα μόνο πακέτο δικτύου σε μεμονωμένο επίπεδο; Τι μπορούμε να ξέρουμε εκτός από αυτό που ήδη γνωρίζουμε;

Είναι δύσκολο να πουλήσεις τη σημασία της ανάλυσης σε επίπεδο πακέτου όταν δεν σε έχουν δαγκώσει στο πίσω μέρος πριν, αλλά θα προσπαθήσω.

Ανάλυση πακέτων σημαίνει να λερώσετε τα χέρια σας και να φτάνετε κάτω στα υδραυλικά για να καταλάβετε κάτι. Γενικά, πρέπει να αναλύετε πακέτα δικτύου όταν όλα τα άλλα έχουν αποτύχει. Συνήθως, αυτό περιλαμβάνει φαινομενικά απελπιστικά σενάρια ως εξής:

  • Ανεξήγητη απώλεια μυστικών δεδομένων παρά την απουσία εμφανούς παραβίασης
  • Διάγνωση αργών εφαρμογών όταν φαίνεται να μην υπάρχει κανένα απολύτως στοιχείο
  • Βεβαιωθείτε ότι ο υπολογιστής/το δίκτυό σας δεν έχει παραβιαστεί
  • Απόδειξη ή απόρριψη ότι ένας εισβολέας δεν είναι γουρουνάκι εκτός του WiFi σας
  • Καταλαβαίνετε γιατί ο διακομιστής σας είναι το σημείο συμφόρησης παρά τη χαμηλή επισκεψιμότητα

Συνολικά, η ανάλυση πακέτων εμπίπτει σε συγκεκριμένους, σκληρούς τύπους αποδεικτικών στοιχείων. Εάν ξέρετε πώς να διεξάγετε ανάλυση πακέτων και να έχετε ένα στιγμιότυπο, μπορείτε να γλυτώσετε τον εαυτό σας από το να κατηγορηθείτε άδικα για hack ή απλώς να κατηγορηθείτε ως ανίκανος προγραμματιστής ή διαχειριστής δικτύου.

Όλα είναι θέμα εγκεφάλου! (πηγή: dailydot.com)

Όσον αφορά μια πραγματική ιστορία, νομίζω ότι βρέθηκε αυτό το σχόλιο στην ανάρτηση του ιστολογίου εδώ είναι εξαιρετικό (αναπαράγεται εδώ για κάθε περίπτωση):

Μια κρίσιμη εφαρμογή για την εταιρεία μου παρουσίαζε προβλήματα απόδοσης, έπεφτε με τα μούτρα στις αναπτύξεις πελατών. Ήταν μια εφαρμογή τιμολόγησης μετοχών που χρησιμοποιήθηκε ως επικεφαλής εργοστασίων σε χρηματοοικονομικές εταιρείες σε όλο τον κόσμο. Εάν είχατε ένα 401(k) γύρω στο 2000, πιθανότατα εξαρτιόταν από αυτήν την εφαρμογή. Έκανα ανάλυση του είδους που περιγράφατε, συγκεκριμένα τη συμπεριφορά TCP. Εντόπισα το πρόβλημα ως την υλοποίηση του TCP από τον προμηθευτή του λειτουργικού συστήματος. Η συμπεριφορά σφαλμάτων ήταν ότι όποτε η στοίβα αποστολής έμπαινε σε έλεγχο συμφόρησης, δεν επανήλθε ποτέ. Αυτό είχε ως αποτέλεσμα ένα κωμικά μικρό παράθυρο αποστολής, μερικές φορές μόνο μερικά πολλαπλάσια του MSS.

Χρειάστηκε λίγος χρόνος για να παλέψουμε με τους διαχειριστές λογαριασμών και τους ανθρώπους υποστήριξης προγραμματιστών στον προμηθευτή του λειτουργικού συστήματος που δεν κατάλαβαν το πρόβλημα, την εξήγησή μου ή ότι το ζήτημα *δεν μπορούσε* να είναι στην εφαρμογή επειδή η εφαρμογή αγνοεί ευχαρίστως τις μηχανορραφίες του TCP. Ήταν σαν να μιλάς σε τοίχο. Ξεκίνησα στην πρώτη πλατεία με κάθε τηλεδιάσκεψη. Τελικά πήρα τηλέφωνο με έναν τύπο με τον οποίο θα μπορούσα να κάνω μια καλή συζήτηση. Αποδεικνύεται ότι έβαλε τις επεκτάσεις RFC1323 στη στοίβα! Την επόμενη μέρα είχα ένα patch στο λειτουργικό σύστημα στα χέρια μου και το προϊόν λειτούργησε τέλεια από εκείνο το σημείο και μετά.

  Πώς να μειώσετε το θόρυβο φόντου και την ηχώ στα φωνητικά μηνύματα iPhone

Ο προγραμματιστής εξήγησε ότι υπήρχε ένα σφάλμα που έκανε τα εισερχόμενα ACK *με ωφέλιμα φορτία* να κατηγοριοποιηθούν εσφαλμένα ως DUPACK όταν η στοίβα ήταν υπό έλεγχο συμφόρησης.

Αυτό δεν θα συνέβαινε ποτέ με εφαρμογές half-duplex όπως το HTTP, αλλά η εφαρμογή που υποστήριζα έστελνε δεδομένα αμφίδρομα στην υποδοχή ανά πάσα στιγμή.

Δεν είχα πολλή υποστήριξη από τη διοίκηση εκείνη τη στιγμή (ο διευθυντής μου μού φώναξε ακόμη και ότι «πάντα ήθελα να χρησιμοποιήσω ένα sniffer» για να διορθώσω προβλήματα) και κανείς εκτός από εμένα δεν κοίταζε την εφαρμογή TCP του προμηθευτή λειτουργικού συστήματος ως πηγή του προβλήματος. Το να παλέψω μόνος μου την επιδιόρθωση από τον προμηθευτή του λειτουργικού συστήματος έκανε αυτή τη νίκη ιδιαίτερα γλυκιά, μου κέρδισε έναν τόνο κεφαλαίων για να κάνω τα δικά μου πράγματα και οδήγησε στο να εμφανιστούν τα πιο ενδιαφέροντα προβλήματα στο γραφείο μου.

Σε περίπτωση που δεν είχατε όρεξη να διαβάσετε αυτήν την πλάκα κειμένου ή αν δεν είχε πολύ νόημα, αυτός ο κύριος αντιμετώπιζε προβλήματα απόδοσης που κατηγορούνταν για την αίτησή του και η διοίκηση, όπως ήταν αναμενόμενο, παρείχε μηδενική υποστήριξη . Ήταν μόνο μια ενδελεχής ανάλυση πακέτων που απέδειξε ότι το πρόβλημα δεν ήταν στην εφαρμογή, αλλά στο πώς το λειτουργικό σύστημα χειριζόταν το πρωτόκολλο δικτύωσης!

Η επιδιόρθωση δεν ήταν μια ρύθμιση στην εφαρμογή, αλλά μια ενημέρωση κώδικα από τους προγραμματιστές του λειτουργικού συστήματος! 😮

Αγόρι, ω, αγόρι. . . Χωρίς ανάλυση σε επίπεδο πακέτου, πού πιστεύετε ότι θα ήταν αυτό το άτομο; Μάλλον εκτός δουλειάς. Εάν αυτό δεν σας πείσει για τη σημασία της ανάλυσης πακέτων (που ονομάζεται επίσης sniffing πακέτων), δεν ξέρω τι θα κάνει. 🙂

Τώρα που ξέρετε ότι η ανάλυση πακέτων είναι μια υπερδύναμη, έχω καλά νέα: δεν είναι δύσκολο να το κάνετε!

Χάρη στα ισχυρά αλλά απλά στη χρήση εργαλεία ανίχνευσης πακέτων, η συλλογή πληροφοριών από την ανάλυση σε επίπεδο πακέτου μπορεί να είναι τόσο εύκολη όσο η ανάγνωση ενός πίνακα εργαλείων πωλήσεων. Τούτου λεχθέντος, θα χρειαστείτε κάτι περισσότερο από μια επιφανειακή γνώση του τι συμβαίνει μέσα σε ένα δίκτυο. Αλλά και πάλι, δεν υπάρχει καμία επιστήμη πυραύλων εδώ, καμία διεστραμμένη λογική για να κυριαρχήσει – απλά η κοινή λογική.

Εάν αρχίσετε να διαβάζετε την τεκμηρίωση ενός από αυτά τα εργαλεία καθώς τα χρησιμοποιείτε στο δίκτυό σας, σύντομα θα γίνετε ειδικός. 😀

Wireshark

Wireshark είναι ένα παλιό έργο (ξεκίνησε πολύ πίσω το 1998) που είναι λίγο πολύ το πρότυπο του κλάδου όσον αφορά τη βαθιά κατάδυση στα δίκτυα. Είναι εντυπωσιακό αν σκεφτεί κανείς ότι είναι ένας καθαρά εθελοντικός οργανισμός, που υποστηρίζεται από κάποιους γενναιόδωρους χορηγούς. Το Wireshark παραμένει ανοιχτού κώδικα (όχι στο GitHub, αλλά ο κώδικας μπορεί να βρεθεί εδώ) και μάλιστα έχει τεχν διάσκεψη στο όνομά του!

Μεταξύ των πολλών δυνατοτήτων του Wireshark είναι:

  • Υποστήριξη για εκατοντάδες πρωτόκολλα δικτύου.
  • Διαλειτουργικό με πολλές μορφές αρχείων (tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (συμπιεσμένο και μη συμπιεσμένο), Sniffer® Pro και NetXray® κ.λπ.
  • Εκτελέστε σχεδόν όλες τις πλατφόρμες εκεί έξω (Linux, Windows, macOS, Solaris, FreeBSD και άλλα).
  • Ζωντανή ανάγνωση δεδομένων από Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, μεταξύ άλλων.
  • Αποσυμπίεση gzip on-the-fly.
  • Υποστηρίζονται πολλά πρωτόκολλα αποκρυπτογράφησης (WPA/WPA2, SNMPv3, κ.λπ.)
  • Εκτεταμένη ανάλυση VoIP
  • Κανόνες χρωματισμού για ταχύτερη οπτική σάρωση

Δείτε αυτό το φανταστικό διαδικτυακό μάθημα για να σας διδάξει να κατακτήσετε το Wireshark.

Ψάχνετε για Wireshark στο τερματικό σας; Φυσικά, δοκιμάστε Termshark

tcpdump

Εάν είστε παλιό σχολείο (διαβάστε σκληροπυρηνικός εθισμένος στη γραμμή εντολών), tcpdump ειναι για σενα.

Είναι ένα άλλο από αυτά τα εμβληματικά βοηθητικά προγράμματα Linux (όπως το curl) που παραμένει τόσο επίκαιρο όσο ποτέ, τόσο πολύ που σχεδόν όλα τα άλλα «πιο φανταχτερά» εργαλεία βασίζονται σε αυτό. Όπως είπα προηγουμένως, δεν υπάρχει γραφικό περιβάλλον, αλλά το εργαλείο υπερκαλύπτει αυτό.

Αλλά η εγκατάστασή του μπορεί να είναι ένας πόνος. Ενώ το tcpdump συνοδεύεται από τις περισσότερες σύγχρονες διανομές Linux, αν η δική σας δεν έχει, τότε θα πρέπει να καταλήξετε να δημιουργήσετε από την πηγή.

Οι εντολές tcpdump είναι σύντομες και απλές και στοχεύουν στην επίλυση ενός συγκεκριμένου προβλήματος όπως:

  • Εμφάνιση όλων των διαθέσιμων διεπαφών
  • Καταγραφή μόνο μιας από τις διεπαφές
  • Αποθήκευση πακέτων που έχουν συλληφθεί σε αρχείο
  • Καταγραφή μόνο αποτυχημένων πακέτων
  Τρόπος χρήσης της ενσωματωμένης δυνατότητας γεωγραφίας στο Microsoft Excel

. . . και ούτω καθεξής.

Εάν οι ανάγκες σας είναι απλές και πρέπει να εκτελέσετε μια γρήγορη σάρωση, το tcpdump μπορεί να είναι μια εξαιρετική επιλογή που πρέπει να εξετάσετε (ειδικά αν πληκτρολογήσετε tcpdump και διαπιστώσετε ότι είναι ήδη εγκατεστημένο!). Ρίξτε μια ματιά σε αυτήν την ανάρτηση για μερικά παραδείγματα εντολών tcpdump σε πραγματικό χρόνο.

Tproxy

Tproxy είναι ένα απλό, ανοιχτού κώδικα, εργαλείο γραμμής εντολών για τη διαμεσολάβηση συνδέσεων TCP μέσω του δικτύου. Το Tproxy είναι γραμμένο στη γλώσσα προγραμματισμού Go και είναι ένα εργαλείο γραμμής εντολών Go και συσκευάζεται ως δυαδικό Go, ώστε να είναι διαθέσιμο σε όλες τις σύγχρονες πλατφόρμες Linux και macOS.

Η παρακάτω εικόνα δείχνει τη γραμμή εντολών για την παρακολούθηση των συνδέσεων Mysql:

Η κύρια περίπτωση χρήσης του είναι να παρέχει συνδέσεις HTTP μεσολάβησης και να επιθεωρεί τα περιεχόμενα του αιτήματος HTTP και τις απαντήσεις. Μπορεί επίσης να χρησιμοποιηθεί για τη διαμεσολάβηση άλλων πρωτοκόλλων, όπως το SOCKS ή το TCP. Μπορεί να χρησιμοποιηθεί για τη διαμεσολάβηση συνδέσεων TCP μεταξύ δύο κεντρικών υπολογιστών ή για την ανάλυση της κίνησης σε μια ζωντανή σύνδεση. Είναι χρήσιμο για τον εντοπισμό σφαλμάτων και τη δοκιμή εφαρμογών που χρησιμοποιούν το TCP ως πρωτόκολλο μεταφοράς και για τη δημιουργία υπηρεσιών διακομιστή μεσολάβησης TCP.

Γράφτηκε με στόχο την παροχή μιας εύχρηστης διεπαφής στο βοηθητικό πρόγραμμα γραμμής εντολών tcpdump, επιτρέποντας στους χρήστες να κάνουν proxy συνδέσεις TCP και να εκτελούν άλλες προηγμένες αναλύσεις δικτύου χωρίς να χρειάζεται να κατανοήσουν το υποκείμενο πρωτόκολλο TCP.

Η παρακάτω γραμμή εντολών εμφανίζει συνδέσεις gRPC:

Λειτουργεί ως διακομιστής μεσολάβησης TCP, επιτρέποντάς σας να συνδεθείτε σε απομακρυσμένες υπηρεσίες και εφαρμογές σαν να βρίσκεστε στο τοπικό μηχάνημα. Επιτρέπει τη δημιουργία προσαρμοσμένων υπηρεσιών TCP σε απομακρυσμένους κεντρικούς υπολογιστές, παρόμοιο με έναν αντίστροφο διακομιστή μεσολάβησης TCP που επιτρέπει μια ποικιλία βελτιώσεων ασφάλειας, αντιμετώπισης προβλημάτων και απόδοσης όταν ασχολούμαστε με εφαρμογές που χρησιμοποιούν TCP.

Παρακάτω είναι μερικές ακόμη χρήσεις του Tproxy

  • Είναι χρήσιμο για τον εντοπισμό σφαλμάτων και τη βελτιστοποίηση των συνδέσεων TCP.
  • Είναι επίσης χρήσιμο για την κατανόηση του τρόπου λειτουργίας άλλων προγραμμάτων διακομιστή μεσολάβησης, όπως το Burp Suite και το ZAP.
  • Μπορεί να χρησιμοποιηθεί για τη διαμεσολάβηση συνδέσεων TCP μεταξύ δύο κεντρικών υπολογιστών ή μεταξύ ενός κεντρικού υπολογιστή και μιας απομακρυσμένης υπηρεσίας TCP, όπως μια βάση δεδομένων ή μια υπηρεσία Ιστού.
  • Παρακολουθήστε τις συνδέσεις MySQL και τις συνδέσεις gRPC και επίσης ελέγχει την αξιοπιστία της σύνδεσης όσον αφορά τον ρυθμό Retrans και το RTT

Οι περισσότεροι χρήστες θα διαπιστώσουν ότι το Tproxy απλοποιεί τη ροή εργασιών τους και τους επιτρέπει να εκτελούν σύνθετη ανάλυση δικτύου και να αναλύουν εφαρμογές Ιστού χωρίς να χρειάζεται να αλλάξουν την εφαρμογή ή το ίδιο το δίκτυο. Μπορείτε να κατεβάσετε το εργαλείο από GitHub.

NetworkMiner

Προβάλλοντας τον εαυτό του ως Εργαλείο ανάλυσης εγκληματολογικού δικτύου (FNAT), NetworkMiner είναι ένας από τους καλύτερους αναλυτές σε επίπεδο πακέτων που θα συναντήσετε. Είναι ένα εργαλείο ανοιχτού κώδικα που μπορεί να αναλύσει ένα δίκτυο παθητικά και διαθέτει μια εντυπωσιακή διεπαφή GUI για ανάλυση που μπορεί να δείξει μεμονωμένες εικόνες και άλλα αρχεία που μεταφέρονται.

Αλλά δεν είναι μόνο αυτό. Το NetworkMiner έρχεται με εξαιρετικά άλλα χαρακτηριστικά όπως:

  • Υποστήριξη IPv6
  • Ανάλυση αρχείων PCAP
  • Εξαγωγή πιστοποιητικών X.509 από κρυπτογραφημένη κίνηση SSL
  • Pcap-over-IP
  • Λειτουργεί με διάφορους τύπους κίνησης, όπως FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 κ.λπ.
  • Δακτυλικά αποτυπώματα λειτουργικού συστήματος
  • Τοπική προσαρμογή γεωγραφικής IP
  • Υποστήριξη δέσμης ενεργειών γραμμής εντολών

Λάβετε υπόψη ότι ορισμένες από αυτές τις λειτουργίες είναι διαθέσιμες στην εμπορική έκδοση.

Βιολιτζής

Σε αντίθεση με άλλους παθητικούς ανιχνευτές δικτύου, Βιολιτζής είναι κάτι που βρίσκεται ανάμεσα στη συσκευή σας και τον έξω κόσμο και ως εκ τούτου απαιτεί κάποια ρύθμιση (γι’ αυτό το ονόμασαν “Fiddler”; 😉 ).

Είναι ένα προσαρμόσιμο (χρησιμοποιώντας το FiddlerScript) δωρεάν εργαλείο που έχει μακρά και ξεχωριστή ιστορία, οπότε αν ο στόχος σας είναι να μυρίσετε την επισκεψιμότητα HTTP/HTTPS σαν αφεντικό, το Fiddler είναι ο καλύτερος τρόπος.

Υπάρχουν πολλά που μπορείτε να κάνετε με το Fiddler, ειδικά αν έχετε τη διάθεση να φορέσετε το κουκούλα των χάκερ:

  • Χειρισμός περιόδου λειτουργίας: Αντιγράψτε ανοιχτές κεφαλίδες HTTP και δεδομένα περιόδου σύνδεσης, τροποποιώντας τα με όποιον τρόπο θέλετε.
  • Δοκιμή ασφαλείας: Σας επιτρέπει να προσομοιώνετε επιθέσεις τύπου “man-in-the-middle” και να αποκρυπτογραφείτε όλη την κίνηση HTTPS για εσάς.
  • Δοκιμή απόδοσης: Αναλύστε τους χρόνους φόρτωσης σελίδας (ή απόκρισης API) και δείτε ποιο μέρος της απόκρισης είναι το σημείο συμφόρησης.

Σε περίπτωση που νιώσετε χαμένοι, το τεκμηρίωση είναι πολύ καλό και συνιστάται ανεπιφύλακτα.

WinDump

Αν σας λείπει η απλότητα του tcpdump και θέλετε να το μεταφέρετε στα συστήματα Windows σας, πείτε ένα γεια στο WinDump. Μόλις εγκατασταθεί, λειτουργεί από τη γραμμή εντολών πληκτρολογώντας «tcpdump» με τον ίδιο τρόπο που λειτουργεί το βοηθητικό πρόγραμμα σε συστήματα Linux.

Σημειώστε ότι δεν υπάρχει τίποτα για εγκατάσταση από μόνο του. Το WinDump είναι ένα δυαδικό αρχείο που μπορεί να εκτελεστεί αμέσως, με την προϋπόθεση ότι έχετε εγκαταστήσει μια εφαρμογή βιβλιοθήκης Pcap (npcap συνιστάται καθώς το winpcap δεν είναι πλέον υπό ανάπτυξη).

  Πώς να διαγράψετε μια οριζόντια γραμμή στο Word

BruteShark

BruteShark είναι ένα αποτελεσματικό Εργαλείο Δικανικής Ανάλυσης Δικτύου (NFAT) που μπορείτε να χρησιμοποιήσετε για να επεξεργαστείτε και να επιθεωρήσετε την κίνηση του δικτύου, όπως αρχεία PCAP και να καταγράψετε απευθείας από τις διεπαφές δικτύου.

Περιλαμβάνει ανακατασκευή περιόδων σύνδεσης TCP, δημιουργία χαρτών δικτύου, εξαγωγή κατακερματισμών ισχυρά κρυπτογραφημένων κωδικών πρόσβασης, μετατροπή κατακερματισμών σε μορφή Hashcat για την εκτέλεση επίθεσης Brute Force εκτός σύνδεσης.

Η κύρια πρόθεση πίσω από αυτό το έργο είναι να βοηθήσει τους διαχειριστές δικτύων και τους ερευνητές ασφάλειας που είναι υπεύθυνοι για την ανάλυση της κυκλοφορίας του δικτύου και τον εντοπισμό αδυναμιών.

Υπάρχουν δύο διαθέσιμες εκδόσεις του BruteShark: μια εφαρμογή που βασίζεται σε γραφικό περιβάλλον χρήστη (GUI) για Windows και ένα εργαλείο CLI για Linux και Windows. Ορισμένα από τα έργα που περιλαμβάνονται σε αυτήν τη λύση μπορούν ακόμη και να χρησιμοποιηθούν ανεξάρτητα για την ανάλυση της κυκλοφορίας δικτύου σε μηχανές Windows και Linux.

Το BruteShark μπορεί επίσης να εκτελέσει διάφορες λειτουργίες όπως εξαγωγή ερωτημάτων DNS, χάραξη αρχείων, εξαγωγή κλήσεων VoIP (SIP, RTP), δημιουργία διαγράμματος δικτύου για χρήστες και κόμβους δικτύου, εξαγωγή κατακερματισμών ελέγχου ταυτότητας χρησιμοποιώντας Hashcat (NTLM, HTTP-Digest, CRAM-MD5, Kerberos, κ.λπ.), και ανάκτηση και κωδικοποίηση κωδικών πρόσβασης και ονομάτων χρήστη.

Όλα τα έργα υλοποιούνται μέσω .Net Standard και .Net Core για cross-platform και σύγχρονη υποστήριξη. Αυτή η λύση προσφέρει αρχιτεκτονική τριών επιπέδων και περιλαμβάνει ένα ή περισσότερα έργα, συμπεριλαμβανομένων των PL, BLL και DAL σε κάθε επίπεδο.

Μέσω του DAL (Data Access Layer), το έργο βοηθά στην ανάγνωση πρωτογενών αρχείων του PCAP χρησιμοποιώντας προγράμματα οδήγησης όπως WinPcap, libpcap και βιβλιοθήκες περιτυλίγματος όπως το SharpPcap. Ομοίως, το BLL (Business Logic Layer) είναι υπεύθυνο για την ανάλυση πληροφοριών δικτύου (TCP, πακέτο κ.λπ.) και το PL χρησιμοποιεί ένα εγκάρσιο έργο και αναφέρεται τόσο στα επίπεδα BLL όσο και στα επίπεδα DAL.

OmniPeek

Για μεγαλύτερα δίκτυα που έχουν τόνους MB δεδομένων που ρέουν μέσα από αυτά κάθε δευτερόλεπτο, τα εργαλεία που χρησιμοποιούν όλοι οι άλλοι μπορεί να εξαντληθούν. Αν αντιμετωπίζεις το ίδιο, OmniPeek ίσως αξίζει μια ματιά.

Είναι ένα εργαλείο απόδοσης, ανάλυσης και εγκληματολογίας για την ανάλυση δικτύων, ειδικά όταν χρειάζεστε δυνατότητες χαμηλού επιπέδου καθώς και ολοκληρωμένους πίνακες εργαλείων.

Πηγή: sniffwifi.com

Capsa

Εάν το μόνο που σας απασχολεί είναι η πλατφόρμα των Windows, Capsa είναι επίσης σοβαρός υποψήφιος. Διατίθεται σε τρεις εκδόσεις: δωρεάν, τυπική και επιχείρηση, η καθεμία με διαφορετικές δυνατότητες.

Τούτου λεχθέντος, ακόμη και η δωρεάν έκδοση υποστηρίζει πάνω από 300 πρωτόκολλα και έχει ενδιαφέροντα χαρακτηριστικά όπως ειδοποιήσεις (ενεργοποιούνται όταν πληρούνται ορισμένες προϋποθέσεις). Η τυπική προσφορά είναι μια εγκοπή παραπάνω, υποστηρίζει 1000+ πρωτόκολλα και σας επιτρέπει να αναλύετε συνομιλίες και να ανακατασκευάζετε ροές πακέτων.

Συνολικά, μια σταθερή επιλογή για χρήστες Windows.

EtherApe

Εάν αναζητάτε ισχυρές οπτικοποιήσεις και ανοιχτού κώδικα, EtherApe είναι μια εξαιρετική επιλογή. Ενώ τα προκατασκευασμένα δυαδικά αρχεία είναι διαθέσιμα μόνο για λίγες διανομές Linux, η πηγή είναι διαθέσιμη (τόσο στο SourceForge όσο και στο GitHub), επομένως η δημιουργία του από μόνος σας είναι μια επιλογή.

Να τι κάνει το EtherApe υπέροχο κατά τη γνώμη μου:

  • Παρακολούθηση πολλαπλών κόμβων, έγχρωμη κωδικοποίηση.
  • Υποστήριξη για έναν τόνο μορφών πακέτων όπως ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN, κ.λπ. (στην πραγματικότητα, πολλά, πολλά, άλλα) .
  • Διαβάστε τα δεδομένα ζωντανά από το “wire” ή από ένα αρχείο tcpdump.
  • Υποστηρίζει τυπική ανάλυση ονόματος
  • Από τις τελευταίες εκδόσεις, το GUI έχει μεταφερθεί στο GTK3, με αποτέλεσμα μια πιο ευχάριστη εμπειρία.

CommView

Εάν είστε κατάστημα αποκλειστικά για Windows και εκτιμάτε την άνεση της υποστήριξης κατά προτεραιότητα, CommView προτείνεται. Είναι ένας ισχυρός αναλυτής κίνησης δικτύου με ενσωματωμένες προηγμένες δυνατότητες όπως ανάλυση VoIP, απομακρυσμένη παρακολούθηση κ.λπ.

Αυτό που με εντυπωσίασε περισσότερο είναι η ικανότητά του να εξάγει δεδομένα σε μορφές που χρησιμοποιούνται από πολλές ανοιχτές και ιδιόκτητες μορφές, όπως Sniffer®, EtherPeek™, AiroPeek™, Observer®, NetMon, Wireshark/Tcpdump και Wireshark/pcapng, ακόμη και απλές δεκαεξαδικές αποθήκες .

Wifi Explorer

Το τελευταίο στη λίστα είναι Wifi Explorer, το οποίο διαθέτει μια δωρεάν έκδοση για Windows και μια τυπική έκδοση για Windows και macOS. Εάν η ανάλυση δικτύου WiFi είναι το μόνο που χρειάζεστε (που είναι σχεδόν το πρότυπο αυτές τις μέρες), τότε ο Wifi Explorer θα κάνει τη ζωή εύκολη.

Είναι ένα όμορφα σχεδιασμένο και πλούσιο σε χαρακτηριστικά εργαλείο για κοπή κατευθείαν στην καρδιά του δικτύου.

Τιμητική αναφορά: Θα ήταν κακό να κλείσω αυτήν την ανάρτηση χωρίς να αναφέρω έναν αναλυτή δικτύου αποκλειστικό για macOS που έπεσα πάνω — Little Snitch. Έχει ενσωματωμένο τείχος προστασίας, επομένως έρχεται με το πρόσθετο πλεονέκτημα ότι σας επιτρέπει να ελέγχετε αμέσως όλη την κυκλοφορία τέλεια (που μπορεί να φαίνεται ότι είναι επώδυνο, αλλά είναι ένα τεράστιο κέρδος μακροπρόθεσμα).

Τι έπεται?

Θα πρέπει επίσης να εξερευνήσετε αυτό το λογισμικό παρακολούθησης δικτύου για καλύτερη ορατότητα της υποδομής. Αν θέλετε να δημιουργήσετε μια καριέρα στο δίκτυο και την ασφάλεια, τότε δείτε μερικά από αυτά τα καλύτερα διαδικτυακά μαθήματα εδώ.