5 инструмента за улавяне и анализ на пълни пакети за малки до големи мрежи

от

Улавянето и анализирането на пакети е изключително полезно за изследване на мрежовите взаимодействия и идентифициране на неефективни предавания, както и на опасни киберзаплахи.

Улавянето на пакети се отнася до прихващане и събиране на пакет от данни, докато той пътува през мрежова връзка. Пакетите с данни се записват и проверяват, за да се идентифицират и управляват мрежови проблеми като висока латентност и проблеми. Информацията, получена от анализа на пакетите, се използва за подпомагане на мрежовия администратор при отстраняване на неизправности и коригиране на мрежови грешки за по-кратко време.

Пакетният анализ се използва за някои от следните задачи.

  • Откриване на рискове за сигурността
  • Отстраняване на проблеми с DNS
  • Идентифициране и разрешаване на проблеми с мрежовата свързаност
  • Откриване на мрежови проблеми
  • Откриване и коригиране на изтичане на пакети
  • Откриване и предотвратяване на зловреден софтуер

Възможно е да се заснемат пълни пакети с данни или определени сегменти от пакет. Пълният пакет данни се състои от две части: полезен товар и заглавка. Сегментът на полезния товар съдържа действителното съдържание на пакета, докато сегментът на заглавието съдържа информация като адресите на източника и местоназначението на пакета.

Обобщихме списък с няколко приложения за извършване на пълно улавяне и анализ на пакети.

Да се ​​търкаляме.

Colasoft Capsa

Капса е преносим мрежов анализатор в реално време, инструмент за наблюдение и диагностика както за кабелни, така и за безжични мрежи. Инспекциите на пакети с данни могат да бъдат планирани да се изпълняват в определено време, например редовно или месечно. Редовните сканирания гарантират, че няма да пропуснете възникнали проблеми с производителността. Ако в крайна сметка пропуснете нещо, имейл и аудио сигнали ще ви уведомят, когато възникне мрежова сесия, изискваща вашето участие.

Capsa помага на потребителя да бъде информиран за уязвимостите и заплахите, които могат да доведат до прекъсване на услугата. Всички критични показатели за VoIP (Voice over Internet Protocol), като тип кодек за повикване и разпространение на събития, се проследяват добре с помощта на този инструмент. Това е отличен инструмент за хора, които искат да участват в проверка на пакети и да се научат как да откриват мрежови проблеми и да подобряват мрежовата сигурност.

  Как да коригирате бутон на Xbox One контролер

Характеристика:

  • Безплатни вградени помощни програми за създаване и възпроизвеждане на пакети, както и сканиране и пингване на IP адреси.
  • Диагностицира мрежови проблеми и автоматично препоръчва решения.
  • Поддържа VoIP и TCP анализ на потока, който може да се използва за диагностициране на мрежови проблеми като бавно време за реакция и CRM (Управление на взаимоотношенията с клиенти) транзакции.
  • DDoS атака, ARP атака и сканиране на TCP портове могат да бъдат открити и също така позволява на потребителя да забележи техническите проблеми в мрежата.
  • Този инструмент поддържа над 1800 протокола, което улеснява изследването на протоколи в мрежа и разбирането на случващото се.
  • Той събира всички пакети с данни и показва пълна информация за последователността на пакетите в шестнадесетичен и ASCII формат. (Задълбочено декодиране на пакети)
  • Информацията за мрежовия трафик и пропускателна способност може да се показва във формати на графики.

Colasoft предоставя други инструменти като System Performance Analysis System (nChronos) и Unified Performance Management Solution (Colasoft UPM). Предоставя 30-дневен безплатен пробен период, за да проверите функциите преди покупка.

TCPDump

TCPDump е мощен инструмент за анализатор на пакети от команден ред с отворен код, който улавя протоколи като TCP, UDP и ICMP (Internet Control Message Protocol). Този инструмент се предлага предварително инсталиран на всички Unix-подобни операционни системи. TCPDump се пуска под BSD лиценз. Можете лесно да проверявате заглавките на TCP/IP пакетите с tcpdump. Той извежда информацията за всяко предаване на данни и скриптът работи, докато не го прекратите с опцията Ctrl+C.

Tcpdump е много лесен за настройка и ако научите използването на инструмента, флаговете и аргументите, можете да използвате този инструмент за отстраняване на проблеми със свързването и защита на мрежата. Записаните пакети данни ще бъдат запазени във файл за по-нататъшен анализ с tcpdump. Той записва файла във формат с разширение PCAP, който може лесно да бъде проверен с tcpdump или Wireshark, които четат файлове във формат PCAP (съкращение от packet capture).

Характеристика:

  • Възможно е филтриране на заснетите пакети данни по източник, дестинация и протокол.
  • Безплатен и с отворен код

Ето статия за това как да уловите и анализирате мрежовия трафик с tcpdump.

Paessler PRTG

Един от най-популярните инструменти за наблюдение на мрежата и анализ на трафика е Paessler PRTG Network Monitor. Този инструмент предоставя важна информация за инфраструктурата на вашата мрежа и нейната производителност.

  Как да инсталирате SuperRepo на Kodi

Съвместим е с Windows. Той включва различни опции за наблюдение, включително наблюдение на честотната лента и анализ на трафика. Налична е безплатна версия на Paessler PRTG. За да отчете показатели за мрежова производителност, той използва комбинация от снифър за пакети, WMI и SNMP.

Характеристика:

  • Гъвкаво предупреждение – PRTG има над десет проектирани технологии, включително SMS, насочени известия, имейли, задействане на HTTP заявки и др.
  • Множество потребителски интерфейси – изградени на AJAX със силни изисквания за сигурност, високопроизводителни благодарение на технологията Single Page Application (SPA),
  • Решение за преодоляване на клъстера – Да представлява леко повишено решение за наблюдение.
  • Карти и табла за управление – Използвайте карти в реално време, включващи текуща информация на живо, за да визуализирате мрежата.
  • Разпределено наблюдение – Използвайки Portable Interceptors, можете да наблюдавате множество мрежи на различни места и множество мрежи във вашата организация.
  • Задълбочено отчитане под формата на числа, статистики и графики

Този инструмент поддържа различни методи за предупреждение, включително SMS, имейли и връзки на трети страни към платформи като Slack. PRTG се предлага в неограничена версия за 30 дни. След безплатния период той ще се върне към свободната форма.

Wireshark

Wireshark е безплатен анализатор на пакети с отворен код, който ви позволява да изследвате мрежовите предавания на данни в реално време. Този инструмент позволява на мрежовите мениджъри да изследват мрежата на микроскопично ниво, за да определят точно източника на проблеми с трафика и грешки. Това е страхотен инструмент, който изисква солидно разбиране на концепциите за работа в мрежа.

Характеристика:

  • Практически работи с всяка операционна система, включително Windows, Linux дистрибуции, Mac OS X и др.
  • Създавайте отчети въз основа на текущи статистически данни.
  • Филтрирането на изхода може да се извърши с различни опции, като таймери и филтри.
  • Визуализирайте мрежовите пакети с IO графики и диаграми.
  • Може също да записва USB трафик.
  • Той предлага широка гама от приложения, включително отпечатване на неоторизиран трафик, настройки за филтриране на пакети и т.н.
  • Правилата за цветно кодиране могат да се прилагат за идентифициране на видовете трафик.
  • Подробно проучване на VoIP (Voice over Internet Protocol).
  Добавете правила, за да промените URL адресите и вземете QR кодове за тях от лентата за URL адреси

Загубени пакети данни, проблеми с мрежовото забавяне, зависимостите на приложенията и неефективните размери на прозорците са често срещаните предизвикателства при отстраняване на неизправности, с които Wireshark може да помогне. Този инструмент ви позволява да наблюдавате мрежовия трафик и предоставя механизми за търсене и определяне на източника на проблем.

Уникаст (без връзка) трафик, който не е изпратен към интерфейса на MAC адреса на мрежата, също може да се наблюдава с инструмента Wireshark.

Чувствайте се свободни да посетите тази статия за отстраняване на проблеми с латентността на мрежата с Wireshark.

Аркиме

Аркиме работи в сътрудничество със съществуващата система за сигурност, за да събира и индексира мрежовия трафик и предаването на данни в стандартен PCAP формат.

Всички записани пакети данни се съхраняват и експортират в обикновен PCAP формат, което ви позволява да използвате любимите си инструменти за поглъщане на PCAP, като Wireshark или tcpdump във вашия аналитичен процес.

Задържането на PCAP се определя от количеството налично дисково пространство на сензора, докато задържането на API се определя от размера на клъстера Elasticsearch. И двата параметъра могат да бъдат променени по всяко време.

Arkime е проектиран да работи в няколко системи и мащаби, за да поеме десетки гигабита в секунда трафик. Всички файлове във формат PCAP, които се записват на сензорите на Arkime, могат да бъдат инсталирани и могат да бъдат достъпни само чрез уеб интерфейса или API на Arkime. PCAP файловете могат да бъдат криптирани в покой с Arkime.

Характеристика:

  • Осигурява удобен за потребителя уеб интерфейс за разглеждане, намиране и извличане на PCAP файлове.
  • Безплатен и с отворен код
  • Позволява на други инструменти за поглъщане на PCAP да проверяват запазените PCAP файлове.

PCAP данните и JSON-форматираните данни за транзакциите могат да бъдат извлечени директно чрез API. Вижте пълната документация за API на Arkime тук.

Заключение

Анализът на данните за улавяне на пакети обикновено изисква високо ниво на техническа експертиза, което може да бъде постигнато с помощта на тези инструменти.

Надявам се, че сте намерили тази статия за много полезна при изучаването на инструментите за пълно улавяне и анализ на пакети за малки до големи мрежи.

Може също да ви е интересно да научите за най-добрите софтуерни инструменти за Wi-Fi анализатор.