Подуването на пакети е задълбочен тип мрежов анализ, при който се декодират подробности за мрежовия трафик, за да бъдат анализирани. Това е едно от най-важните умения за отстраняване на неизправности, които всеки мрежов администратор трябва да притежава. Анализирането на мрежовия трафик е сложна задача. За да се справят с ненадеждни мрежи, данните не се изпращат в един непрекъснат поток. Вместо това се нарязва на фрагменти, изпратени поотделно. Анализирането на мрежовия трафик включва възможността да събирате тези пакети данни и да ги сглобявате отново в нещо смислено. Това не е нещо, което можете да направите ръчно, така че бяха създадени снифери на пакети и мрежови анализатори. Днес ще разгледаме седем от най-добрите анализатори на пакети и мрежови анализатори.
Започваме днешното пътуване, като ви даваме основна информация за това какво представляват сниферите на пакети. Ще се опитаме да разберем каква е разликата – или дали има разлика – между анализатора на пакети и мрежовия анализатор. След това ще преминем към ядрото на нашата тема и не само да изброим, но и да прегледаме накратко всеки от нашите седем избрани. Това, което имаме за вас, е комбинация от GUI инструменти и помощни програми от командния ред, които работят на различни операционни системи.
Съдържание
Няколко думи за сниферите на пакети и мрежовите анализатори
Нека започнем с уреждане на нещо. В името на тази статия ще приемем, че анализаторите на пакети и мрежовите анализатори са едно и също. Някои ще твърдят, че са различни и може да са прави. Но в контекста на тази статия ще ги разгледаме заедно, главно защото въпреки че може да работят по различен начин – но наистина ли? – служат на една и съща цел.
Сниферите на пакети обикновено правят три неща. Първо, те улавят всички пакети данни, когато влизат или излизат от мрежов интерфейс. Второ, те по избор прилагат филтри, за да игнорират някои от пакетите и да запишат други на диск. След това те извършват някаква форма на анализ на заснетите данни. Именно в последната функция на сниферите на пакети те се различават най-много.
За действителното улавяне на пакетите данни повечето инструменти използват външен модул. Най-често срещаните са libpcap на Unix/Linux системи и Winpcap на Windows. Обикновено няма да се налага да инсталирате тези инструменти, тъй като те обикновено се инсталират от различните инсталатори на инструменти.
Друго важно нещо, което трябва да знаете, е, че Packet Sniffers – дори и най-добрият – няма да направи всичко вместо вас. Те са просто инструменти. Това е точно като чук, който сам няма да забие пирон. Така че трябва да се уверите, че сте научили как да използвате най-добре всеки инструмент. Сниферът за пакети просто ще ви позволи да видите трафика, но от вас зависи да използвате тази информация, за да намерите проблеми. Има цели книги за използването на инструменти за улавяне на пакети. Аз самият веднъж взех тридневен курс по темата. Не се опитвам да те обезкуражавам. Опитвам се само да изясня очакванията ви.
Как да използвате пакетен анализатор
Както обяснихме, сниферът за пакети ще улавя и анализира трафика. Така че, ако се опитвате да отстраните конкретен проблем – което обикновено е причината да използвате такъв инструмент – първо трябва да се уверите, че трафикът, който улавяте, е правилният трафик. Представете си ситуация, в която всички потребители се оплакват, че определено приложение е бавно. В такъв тип ситуация най-добрият залог вероятно би бил да улавяте трафик в мрежовия интерфейс на сървъра на приложения. Тогава може да разберете, че заявките пристигат на сървъра нормално, но че сървърът отнема много време, за да изпрати отговори. Това би означавало проблем със сървъра.
Ако, от друга страна, видите, че сървърът отговаря навреме, това вероятно означава, че проблемът е някъде в мрежата между клиента и сървъра. След това ще преместите своя пакетен анализатор с един скок по-близо до клиента и ще видите дали отговорите са забавени. Ако не е, вие се приближавате повече до клиента и така нататък и така нататък. В крайна сметка ще стигнете до мястото, където възникват закъснения. И след като идентифицирате местоположението на проблема, вие сте една голяма крачка по-близо до разрешаването му.
Сега може би се чудите как успяваме да улавяме пакети в конкретна точка. Доста е просто, ние се възползваме от функцията на повечето мрежови комутатори, наречена дублиране на портове или репликация. Това е опция за конфигурация, която ще репликира целия трафик в и от конкретен порт на комутатора към друг порт на същия комутатор. Да приемем, че вашият сървър е свързан към порт 15 на комутатор и този порт 23 на същия комутатор е наличен. Свързвате своя пакетен анализатор към порт 23 и конфигурирате превключвателя да репликира целия трафик от порт 15 към порт 23. Това, което получавате в резултат на порт 23, е огледален образ – оттук и името на дублирането на порта – на това, което преминава през порт 15.
Най-добрите анализатори на пакети и мрежови анализатори
Сега, след като разберете по-добре какво представляват анализаторите на пакети и мрежовите анализатори, нека да видим кои са седемте най-добри, които можем да намерим. Опитахме се да включим комбинация от инструменти за команден ред и GUI, както и инструменти, работещи на различни операционни системи. В крайна сметка не всички мрежови администратори работят с Windows.
1. Инструмент за дълбока проверка и анализ на пакети SolarWinds (БЕЗПЛАТЕН ПРОБЕН ПРОБЕН ПРОБЛЕМ)
SolarWinds е добре известен със своите много полезни безплатни инструменти и най-съвременния софтуер за управление на мрежата. Един от инструментите му се нарича Deep Packet Inspection and Analysis Tool. Той идва като компонент от водещия продукт на SolarWinds, монитора за производителност на мрежата. Неговата работа е доста различна от по-„традиционните“ снифери на пакети, въпреки че служи за подобна цел.
За да обобщим функционалността на инструмента: той ще ви помогне да намерите и разрешите причината за мрежовите закъснения, да идентифицирате засегнатите приложения и да определите дали забавянето е причинено от мрежата или приложение. Софтуерът също така ще използва техники за дълбока проверка на пакети, за да изчисли времето за реакция за над хиляда и дванадесет приложения. Той също така ще класифицира мрежовия трафик по категория, бизнес спрямо социално и ниво на риск, като ви помага да идентифицирате небизнес трафик, който може да се наложи да бъде филтриран или елиминиран по друг начин.
И не забравяйте, че инструментът за дълбока проверка и анализ на пакети SolarWinds идва като част от монитора на производителността на мрежата. NPM, както често го наричат, е впечатляващ софтуер с толкова много компоненти, че може да му бъде посветена цяла статия. В основата си това е цялостно решение за наблюдение на мрежата, което съчетава най-добрите технологии като SNMP и дълбока проверка на пакети, за да предостави възможно най-много информация за състоянието на вашата мрежа. Инструментът, който е на разумна цена, се предлага с 30-дневна безплатна пробна версия, така че можете да се уверите, че наистина отговаря на вашите нужди, преди да се ангажирате да го закупите.
Официален линк за изтегляне: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump вероятно е оригиналният анализатор на пакети. Създаден е през далечната 1987 г. Оттогава се поддържа и подобрява, но остава основно непроменен, поне по начина, по който се използва. Той е предварително инсталиран в почти всяка подобна на Unix операционна система и се превърна в де-факто стандарт, когато човек се нуждае от бърз инструмент за улавяне на пакети. Tcpdump използва библиотеката libpcap за действителното улавяне на пакети.
По подразбиране. tcpdump улавя целия трафик на посочения интерфейс и го „изхвърля“ – оттук и името му – на екрана. Дъмпингът може също да се прехвърли във файл за заснемане и да се анализира по-късно с помощта на един или комбинация от няколко налични инструмента. Ключ към силата и полезността на tcpdump е възможността да се прилагат всякакви филтри и да се предава изходът му към grep – друга обща помощна програма за командния ред на Unix – за по-нататъшно филтриране. Някой с добри познания по tcpdump, grep и командната обвивка може да го накара да улови точно правилния трафик за всяка задача за отстраняване на грешки.
3. Windump
Windump по същество е просто порт на tcpdump към платформата на Windows. Като такъв, той се държи по почти същия начин. Не е необичайно да видите такива портове на успешни помощни програми от една платформа на друга. Windump е приложение за Windows, но не очаквайте изискан графичен интерфейс. Това е помощна програма само за команден ред. Следователно използването на Windump е по същество същото като използването на неговия аналог Unix. Опциите на командния ред са еднакви и резултатите също са почти идентични. Резултатът от Windump може също да бъде запазен във файл за по-късен анализ с инструмент на трета страна.
Една основна разлика с tcpdump е, че Windump не е вграден в Windows. Ще трябва да го изтеглите от Уебсайт на Windump. Софтуерът се доставя като изпълним файл и не изисква инсталация. Въпреки това, точно както tcpdump използва библиотеката libpcap, Windump използва Winpcap, който, подобно на повечето библиотеки на Windows, трябва да бъде изтеглен и инсталиран отделно.
4. Wireshark
Wireshark е препратката в сниферите на пакети. Той се превърна в де-факто стандарт и повечето други инструменти са склонни да го подражават. Този инструмент не само ще улови трафик, но също така има доста мощни възможности за анализ. Толкова мощен, че много администратори ще използват tcpdump или Windump, за да уловят трафик към файл, след което да заредят файла в Wireshark за анализ. Това е толкова често срещан начин за използване на Wireshark, че при стартиране ще бъдете подканени или да отворите съществуващ pcap файл, или да започнете да улавяте трафик. Друга сила на Wireshark са всички филтри, които включва, които ви позволяват да се съсредоточите върху точно данните, които ви интересуват.
За да бъда напълно честен, този инструмент има стръмна крива на обучение, но си струва да научите. Това ще се окаже безценно отново и отново. И след като го научите, ще можете да го използвате навсякъде, тъй като е пренесен на почти всяка операционна система и е безплатен и с отворен код.
5. акула
Tshark е нещо като кръстоска между tcpdump и Wireshark. Това е страхотно нещо, тъй като те са едни от най-добрите снифери за пакети. Tshark е като tcpdump, тъй като е инструмент само за команден ред. Но също така е като Wireshark по това, че не само улавя, но и анализира трафика. Tshark е от същите разработчици като Wireshark. Това е повече или по-малко версията на Wireshark от командния ред. Той използва същия тип филтриране като Wireshark и следователно може бързо да изолира само трафика, който трябва да анализирате.
Но защо, може да попитате, някой би искал версия на Wireshark от команден ред? Защо просто не използвате Wireshark; с графичния си интерфейс, трябва да е по-лесно за използване и учене? Основната причина е, че ще ви позволи да го използвате на сървър без GUI.
6. Network Miner
Мрежов миньор е по-скоро криминалистичен инструмент, отколкото истински пакетен анализатор. Network Miner ще следва TCP поток и ще реконструира цял разговор. Това наистина е един мощен инструмент. Може да работи в офлайн режим, където бихте импортирали някакъв файл за заснемане, за да позволите на Network Miner да работи с магията си. Това е полезна функция, тъй като софтуерът работи само на Windows. Можете да използвате tcpdump на Linux за улавяне на трафик и Network Miner на Windows, за да го анализирате.
Network Miner се предлага в безплатна версия, но за по-разширените функции като IP-базирано геолокиране и скриптове, ще трябва да закупите професионален лиценз. Друга усъвършенствана функция на професионалната версия е възможността за декодиране и възпроизвеждане на VoIP разговори.
7. Fiddler (HTTP)
Някои от нашите по-осведомени читатели може да твърдят, че Fiddler не е анализатор на пакети, нито е мрежов анализатор. Вероятно са прави, но смятахме, че трябва да включим този инструмент в нашия списък, тъй като е много полезен в много ситуации. Цигулар всъщност ще улови трафик, но не и никакъв трафик. Работи само с HTTP трафик. Можете да си представите колко ценен може да бъде въпреки ограниченията си, като вземете предвид, че толкова много приложения днес са уеб-базирани или използват HTTP протокола във фонов режим. И тъй като Fiddler ще улови не само трафика на браузъра, но и почти всеки HTTP, той е много полезен при отстраняване на неизправности
Предимството на инструмент като Fiddler пред добросъвестния пакетен анализатор, като например Wireshark, е, че Fiddler е създаден да „разбира“ HTTP трафика. Той например ще открие бисквитки и сертификати. Той също така ще намери действителни данни, идващи от базирани на HTTP приложения. Fiddler е безплатен и е достъпен само за Windows, въпреки че бета версиите за OS X и Linux (с помощта на рамката Mono) могат да бъдат изтеглени.
Заключение
Когато публикуваме списъци като този, често ни питат кой е най-добрият. В тази конкретна ситуация, ако ми бъде зададен този въпрос, ще трябва да отговоря „всички“. Всички те са безплатни инструменти и всички имат своята стойност. Защо да не ги имате всички под ръка и да се запознаете с всеки един от тях. Когато стигнете до ситуация, в която трябва да ги използвате, ще бъде много по-лесно и ефективно. Дори инструментите на командния ред имат огромна стойност. Например, те могат да бъдат скриптирани и планирани. Представете си, че имате проблем, който се случва в 2:00 сутринта всеки ден. Можете да планирате задание за стартиране на tcpdump на Windump между 1:50 и 2:10 и да анализирате файла за заснемане на следващата сутрин. Няма нужда да оставате будни цяла нощ.