5 Εργαλεία καταγραφής και ανάλυσης πλήρους πακέτων για μικρό έως μεγάλο δίκτυο

Το Packet Capture and Analysis είναι εξαιρετικά χρήσιμο για την εξέταση των αλληλεπιδράσεων δικτύου και τον εντοπισμό αναποτελεσματικών μεταδόσεων καθώς και επικίνδυνων απειλών στον κυβερνοχώρο.

Το Packet Capture αναφέρεται στην υποκλοπή και τη συλλογή ενός πακέτου δεδομένων καθώς αυτό ταξιδεύει μέσω μιας σύνδεσης δικτύου. Τα πακέτα δεδομένων καταγράφονται και ελέγχονται για τον εντοπισμό και τη διαχείριση προβλημάτων δικτύου όπως η υψηλή καθυστέρηση και οι δυσλειτουργίες. Οι πληροφορίες που λαμβάνονται από την ανάλυση πακέτων χρησιμοποιούνται για να βοηθήσουν έναν Διαχειριστή Δικτύου στην αντιμετώπιση προβλημάτων και τη διόρθωση σφαλμάτων δικτύου σε μικρότερο χρονικό διάστημα.

Η Ανάλυση πακέτων χρησιμοποιείται για ορισμένες από τις ακόλουθες εργασίες.

  • Ανίχνευση κινδύνων για την ασφάλεια
  • Αντιμετώπιση προβλημάτων DNS
  • Προσδιορισμός και επίλυση προβλημάτων συνδεσιμότητας δικτύου
  • Ανίχνευση δυσλειτουργιών δικτύου
  • Ανίχνευση και διόρθωση διαρροής πακέτων
  • Ανίχνευση και πρόληψη κακόβουλου λογισμικού

Είναι δυνατό να συλληφθούν πλήρη πακέτα δεδομένων ή συγκεκριμένα τμήματα ενός πακέτου. Ένα πλήρες πακέτο δεδομένων αποτελείται από δύο μέρη: ένα ωφέλιμο φορτίο και μια κεφαλίδα. Το τμήμα ωφέλιμου φορτίου περιέχει το πραγματικό περιεχόμενο του πακέτου, ενώ το τμήμα κεφαλίδας περιέχει πληροφορίες όπως οι διευθύνσεις προέλευσης και προορισμού του πακέτου.

Συνοψίσαμε μια λίστα με μερικές εφαρμογές για την εκτέλεση Πλήρους Καταγραφής και Ανάλυσης Πακέτων.

Πάμε να κυλήσουμε.

Colasoft Capsa

Capsa είναι ένας φορητός αναλυτής δικτύου σε πραγματικό χρόνο, εργαλείο παρακολούθησης και διάγνωσης τόσο για ενσύρματα όσο και για ασύρματα δίκτυα. Οι επιθεωρήσεις πακέτων δεδομένων μπορούν να προγραμματιστούν να εκτελούνται σε μια καθορισμένη ώρα, όπως τακτικά ή μηνιαία. Οι τακτικές σαρώσεις διασφαλίζουν ότι δεν θα χάσετε κανένα πρόβλημα απόδοσης που προκύψει. Εάν καταλήξετε να χάσετε οτιδήποτε, οι ειδοποιήσεις μέσω email και ήχου θα σας ειδοποιούν κάθε φορά που μια περίοδος σύνδεσης δικτύωσης απαιτεί τη συμμετοχή σας.

Το Capsa βοηθά τον χρήστη να ενημερώνεται για ευπάθειες και απειλές που θα μπορούσαν να οδηγήσουν σε διακοπή της υπηρεσίας. Όλες οι κρίσιμες μετρήσεις VoIP (Voice over Internet Protocol), όπως ο τύπος κωδικοποιητή κλήσεων και η διανομή συμβάντων, παρακολουθούνται καλά χρησιμοποιώντας αυτό το εργαλείο. Είναι ένα εξαιρετικό εργαλείο για άτομα που θέλουν να ασχοληθούν με την επιθεώρηση πακέτων και να μάθουν πώς να εντοπίζουν προβλήματα δικτύου και να βελτιώνουν την ασφάλεια του δικτύου.

  Τι είναι το Reddit Karma και πώς μπορώ να το αποκτήσω;

Χαρακτηριστικά:

  • Δωρεάν ενσωματωμένα βοηθητικά προγράμματα για τη δημιουργία και την επανάληψη πακέτων, καθώς και για σάρωση και ping διευθύνσεων IP.
  • Διαγνώσει προβλήματα δικτύου και προτείνει λύσεις αυτόματα.
  • Υποστηρίζει ανάλυση ροής VoIP και TCP, η οποία μπορεί να χρησιμοποιηθεί για τη διάγνωση προβλημάτων δικτύου, όπως ο αργός χρόνος απόκρισης και οι συναλλαγές CRM (Customer Relationship Management).
  • Η επίθεση DDoS, η επίθεση ARP και η σάρωση θύρας TCP μπορούν να ανιχνευθούν και επίσης επιτρέπει στον χρήστη να εντοπίσει τις τεχνικές δυσλειτουργίες στο δίκτυο.
  • Αυτό το εργαλείο υποστηρίζει πάνω από 1800 πρωτόκολλα, καθιστώντας εύκολη την εξέταση των πρωτοκόλλων σε ένα δίκτυο και την κατανόηση του τι συμβαίνει.
  • Συλλέγει όλα τα πακέτα δεδομένων και εμφανίζει πλήρεις πληροφορίες αλληλουχίας πακέτων σε μορφή Hex και ASCII. (Σε βάθος αποκωδικοποίηση πακέτων)
  • Οι πληροφορίες κίνησης δικτύου και διεκπεραίωσης μπορούν να εμφανίζονται σε μορφές γραφημάτων.

Η Colasoft παρέχει άλλα εργαλεία, όπως Σύστημα Ανάλυσης Απόδοσης Δικτύου (nChronos) και Ενοποιημένη Λύση Διαχείρισης Απόδοσης (Colasoft UPM). Παρέχει μια δωρεάν δοκιμή 30 ημερών για να ελέγξετε τις δυνατότητες πριν από την αγορά.

TCPDump

TCPDump είναι ένα ανοιχτού κώδικα και ισχυρό εργαλείο ανάλυσης πακέτων γραμμής εντολών που καταγράφει πρωτόκολλα όπως TCP, UDP και ICMP (Internet Control Message Protocol). Αυτό το εργαλείο είναι προεγκατεστημένο σε όλα τα λειτουργικά συστήματα που μοιάζουν με Unix. Το TCPDump κυκλοφορεί με την άδεια BSD. Μπορείτε να επιθεωρήσετε εύκολα τις κεφαλίδες των πακέτων TCP/IP με το tcpdump. Εξάγει τις πληροφορίες για κάθε μετάδοση δεδομένων και το σενάριο εκτελείται μέχρι να το τερματίσετε με την επιλογή Ctrl+C.

Το Tcpdump είναι πολύ απλό στη ρύθμιση και εάν μάθετε τη χρήση του εργαλείου, τις σημαίες και τα ορίσματα, μπορείτε να χρησιμοποιήσετε αυτό το εργαλείο για την αντιμετώπιση προβλημάτων συνδεσιμότητας και την ασφάλεια του δικτύου. Τα καταγεγραμμένα πακέτα δεδομένων θα αποθηκευτούν σε ένα αρχείο για περαιτέρω ανάλυση με το tcpdump. Αποθηκεύει το αρχείο σε μορφή επέκτασης PCAP, η οποία μπορεί εύκολα να επιθεωρηθεί με το tcpdump ή το Wireshark που διαβάζει αρχεία μορφής PCAP (συντομογραφία λήψης πακέτων).

Χαρακτηριστικά:

  • Είναι δυνατό το φιλτράρισμα των συλλεγόμενων πακέτων δεδομένων κατά πηγή, προορισμό και πρωτόκολλο.
  • Δωρεάν και ανοιχτού κώδικα

Ακολουθεί ένα άρθρο σχετικά με τον τρόπο λήψης και ανάλυσης της επισκεψιμότητας δικτύου με το tcpdump.

Paessler PRTG

Ένα από τα πιο δημοφιλή εργαλεία παρακολούθησης δικτύου και ανάλυσης κίνησης είναι το Paessler PRTG Network Monitor. Αυτό το εργαλείο παρέχει κρίσιμες πληροφορίες για την υποδομή του δικτύου σας και την απόδοσή του.

  Πώς να αφαιρέσετε τις επαφές από το φύλλο κοινής χρήσης σε iPhone ή iPad

Είναι συμβατό με Windows. Περιλαμβάνει μια ποικιλία επιλογών παρακολούθησης, συμπεριλαμβανομένης της παρακολούθησης εύρους ζώνης και της ανάλυσης κυκλοφορίας. Διατίθεται δωρεάν έκδοση του Paessler PRTG. Για την αναφορά μετρήσεων απόδοσης δικτύου, χρησιμοποιεί έναν συνδυασμό ανιχνευτή πακέτων, WMI και SNMP.

Χαρακτηριστικά:

  • Ευέλικτη ειδοποίηση – Το PRTG διαθέτει πάνω από δέκα σχεδιασμένες τεχνολογίες, συμπεριλαμβανομένων SMS, ειδοποιήσεων push, email, ενεργοποίησης αιτημάτων HTTP κ.λπ.
  • Πολλαπλές διεπαφές χρήστη – χτισμένες σε AJAX με ισχυρές απαιτήσεις ασφαλείας, υψηλής απόδοσης που αποδίδονται στην τεχνολογία Εφαρμογής Μονής Σελίδας (SPA),
  • Λύση αποτυχίας συμπλέγματος – Για να αποτελέσει μια ελαφρώς αυξημένη λύση παρακολούθησης.
  • Χάρτες και πίνακες εργαλείων – Χρησιμοποιήστε χάρτες σε πραγματικό χρόνο με τρέχουσες ζωντανές πληροφορίες για να οπτικοποιήσετε το δίκτυο.
  • Κατανεμημένη παρακολούθηση – Χρησιμοποιώντας φορητές συσκευές παρακολούθησης, μπορείτε να παρακολουθείτε πολλά δίκτυα σε διάφορες τοποθεσίες και πολλαπλά δίκτυα εντός του οργανισμού σας.
  • Αναφορές σε βάθος με τη μορφή αριθμών, στατιστικών στοιχείων και γραφημάτων

Αυτό το εργαλείο υποστηρίζει μια ποικιλία μεθόδων ειδοποίησης, όπως SMS, email και συνδέσεις τρίτων σε πλατφόρμες όπως το Slack. Το PRTG είναι διαθέσιμο σε απεριόριστη έκδοση για 30 ημέρες. Μετά την ελεύθερη περίοδο, θα επανέλθει στην ελεύθερη μορφή.

Wireshark

Wireshark είναι ένας δωρεάν αναλυτής πακέτων ανοιχτού κώδικα που σας επιτρέπει να εξετάζετε τις μεταδόσεις δεδομένων δικτύου σε πραγματικό χρόνο. Αυτό το εργαλείο δίνει τη δυνατότητα στους διαχειριστές δικτύου να διερευνήσουν το δίκτυο σε μικροσκοπικό επίπεδο, προκειμένου να εντοπίσουν την πηγή των προβλημάτων και των λαθών στην κυκλοφορία. Είναι ένα εξαιρετικό εργαλείο που απαιτεί πλήρη κατανόηση των εννοιών δικτύωσης.

Χαρακτηριστικά:

  • Πρακτικά λειτουργεί με οποιοδήποτε λειτουργικό σύστημα, συμπεριλαμβανομένων των διανομών Windows, Linux, Mac OS X κ.λπ.
  • Δημιουργήστε αναφορές με βάση τα τρέχοντα στατιστικά δεδομένα.
  • Το φιλτράρισμα της εξόδου μπορεί να γίνει με μια ποικιλία επιλογών, όπως χρονόμετρα και φίλτρα.
  • Οπτικοποιήστε τα πακέτα δικτύου με γραφήματα και γραφήματα IO.
  • Μπορεί επίσης να καταγράφει κίνηση USB.
  • Προσφέρει ένα ευρύ φάσμα χρήσεων, όπως λήψη δακτυλικών αποτυπωμάτων μη εξουσιοδοτημένης κυκλοφορίας, ρυθμίσεις φιλτραρίσματος πακέτων κ.λπ.
  • Μπορούν να εφαρμοστούν κανόνες χρωματικής κωδικοποίησης για τον προσδιορισμό των τύπων κυκλοφορίας.
  • Λεπτομερής έρευνα VoIP (Voice over Internet Protocol).

Τα χαμένα πακέτα δεδομένων, τα προβλήματα καθυστέρησης δικτύου, οι εξαρτήσεις εφαρμογών και τα αναποτελεσματικά μεγέθη παραθύρων είναι οι συνήθεις προκλήσεις αντιμετώπισης προβλημάτων που μπορεί να βοηθήσει το Wireshark. Αυτό το εργαλείο σάς επιτρέπει να παρακολουθείτε την κυκλοφορία του δικτύου και παρέχει μηχανισμούς για την αναζήτηση και τον εντοπισμό της πηγής ενός προβλήματος.

  Πώς να διορθώσετε μια εφαρμογή που δεν μπορεί να ανοίξει επειδή δεν μπορεί να επαληθευτεί ο προγραμματιστής

Η κίνηση Unicast (χωρίς σύνδεση) που δεν αποστέλλεται στη διεπαφή διεύθυνσης MAC του δικτύου μπορεί επίσης να παρακολουθείται με το εργαλείο Wireshark.

Μη διστάσετε να επισκεφθείτε αυτό το άρθρο σχετικά με την αντιμετώπιση προβλημάτων λανθάνοντος χρόνου δικτύου με το Wireshark.

Arkime

Arkime λειτουργεί σε συνεργασία με το υπάρχον σύστημα ασφαλείας για τη συλλογή και ευρετηρίαση της κυκλοφορίας του δικτύου και των μεταδόσεων δεδομένων σε τυπική μορφή PCAP.

Όλα τα πακέτα καταγεγραμμένων δεδομένων αποθηκεύονται και εξάγονται σε συνηθισμένη μορφή PCAP, επιτρέποντάς σας να χρησιμοποιείτε τα αγαπημένα σας εργαλεία απορρόφησης PCAP, όπως το Wireshark ή το tcpdump στην αναλυτική σας διαδικασία.

Η διατήρηση του PCAP καθορίζεται από την ποσότητα του διαθέσιμου χώρου του δίσκου του αισθητήρα, ενώ η διατήρηση του API καθορίζεται από το μέγεθος του συμπλέγματος Elasticsearch. Και οι δύο αυτές παράμετροι μπορούν να αλλάξουν ανά πάσα στιγμή.

Το Arkime έχει σχεδιαστεί για να λειτουργεί σε διάφορα συστήματα και κλίμακες για να φιλοξενεί δεκάδες gigabit ανά δευτερόλεπτο κίνησης. Όλα τα αρχεία μορφής PCAP που είναι αποθηκευμένα στους αισθητήρες Arkime μπορούν να εγκατασταθούν και είναι προσβάσιμα μόνο μέσω της διεπαφής ιστού Arkime ή του API. Τα αρχεία PCAP μπορούν να κρυπτογραφηθούν σε κατάσταση ηρεμίας με το Arkime.

Χαρακτηριστικά:

  • Παρέχει μια φιλική προς το χρήστη διεπαφή ιστού για την εξέταση, εύρεση και εξαγωγή αρχείων PCAP.
  • Δωρεάν και ανοιχτού κώδικα
  • Επιτρέπει σε άλλα εργαλεία απορρόφησης PCAP να επιθεωρήσουν τα αποθηκευμένα αρχεία PCAP.

Τα δεδομένα PCAP και τα δεδομένα συναλλαγών με μορφή JSON μπορούν να ανακτηθούν απευθείας μέσω API. Δείτε την πλήρη τεκμηρίωση του API του Arkime εδώ.

συμπέρασμα

Η ανάλυση των δεδομένων σύλληψης πακέτων απαιτεί συνήθως υψηλό επίπεδο τεχνικής εξειδίκευσης, η οποία μπορεί να επιτευχθεί χρησιμοποιώντας αυτά τα εργαλεία.

Ελπίζω να βρήκατε αυτό το άρθρο πολύ χρήσιμο για την εκμάθηση των εργαλείων λήψης και ανάλυσης πλήρους πακέτων για μικρά έως μεγάλα δίκτυα.

Μπορεί επίσης να σας ενδιαφέρει να μάθετε για τα καλύτερα εργαλεία λογισμικού Wi-Fi Analyzer.