أفضل أدوات شمع الحزمة وأجهزة تحليل الشبكة - أفضل 7 أجهزة تم استعراضها في عام 2021

يعد استنشاق الحزمة نوعًا عميقًا من تحليل الشبكة يتم فيه فك تشفير تفاصيل حركة مرور الشبكة لتحليلها. إنها واحدة من أهم مهارات استكشاف الأخطاء وإصلاحها التي يجب أن يمتلكها أي مسؤول شبكة. يعد تحليل حركة مرور الشبكة مهمة معقدة. من أجل التعامل مع الشبكات غير الموثوقة ، لا يتم إرسال البيانات في دفق واحد مستمر. بدلاً من ذلك ، يتم تقطيعه إلى أجزاء مرسلة بشكل فردي. يتضمن تحليل حركة مرور الشبكة القدرة على جمع حزم البيانات هذه وإعادة تجميعها في شيء ذي معنى. هذا ليس شيئًا يمكنك القيام به يدويًا ، لذلك تم إنشاء برامج متشمم الحزم ومحللات الشبكة. اليوم ، نلقي نظرة على سبعة من أفضل متشممي الحزم ومحللي الشبكات.

نبدأ رحلة اليوم بإعطائك بعض المعلومات الأساسية حول ماهية متشمم الحزم. سنحاول معرفة الفرق - أو ما إذا كان هناك فرق - بين متلصص الحزم ومحلل الشبكة. سننتقل بعد ذلك إلى جوهر موضوعنا وليس فقط القائمة ولكن أيضًا مراجعة مختصرة لكل من اختياراتنا السبعة. ما لدينا من أجلك هو مجموعة من أدوات واجهة المستخدم الرسومية والأدوات المساعدة لسطر الأوامر التي تعمل على أنظمة تشغيل مختلفة.

بضع كلمات عن متشمم الحزم ومحللات الشبكة

لنبدأ بتسوية شيء ما. من أجل هذه المقالة ، سنفترض أن متشممي الحزم ومحللي الشبكة متماثلان. قد يجادل البعض بأنهم مختلفون وقد يكونون على حق. لكن في سياق هذه المقالة ، سننظر إليهم معًا ، ويرجع ذلك أساسًا إلى أنه على الرغم من أنهما قد يعملان بشكل مختلف - لكن هل هما حقًا؟ - يخدمان نفس الغرض.

عادة ما يقوم متشمموا العبوات بثلاثة أشياء. أولاً ، يلتقطون جميع حزم البيانات عند دخولهم أو خروجهم من واجهة الشبكة. ثانيًا ، يطبقون المرشحات اختياريًا لتجاهل بعض الحزم وحفظ البعض الآخر على القرص. ثم يقومون بإجراء بعض أشكال تحليل البيانات الملتقطة. إنها في تلك الوظيفة الأخيرة لمتشمم الحزم التي تختلف كثيرًا.

من أجل الالتقاط الفعلي لحزم البيانات ، تستخدم معظم الأدوات وحدة خارجية. الأكثر شيوعًا هي libpcap على أنظمة Unix / Linux و Winpcap على Windows. لن تضطر عادةً إلى تثبيت هذه الأدوات حيث يتم تثبيتها عادةً بواسطة مُثبِّت الأدوات المختلفة.

شيء آخر مهم يجب معرفته هو أن Packet Sniffers - حتى الأفضل منها - لن تفعل كل شيء من أجلك. إنها مجرد أدوات. إنها تمامًا مثل المطرقة التي لن تدفع أي مسمار بمفردها. لذلك ، تحتاج إلى التأكد من تعلم كيفية استخدام كل أداة على أفضل وجه. سيسمح لك برنامج شم الحزم برؤية حركة المرور ولكن الأمر متروك لك لاستخدام هذه المعلومات للعثور على المشكلات. كانت هناك كتب كاملة عن استخدام أدوات التقاط الحزم. أنا ، بنفسي ، أخذت مرة دورة تدريبية لمدة ثلاثة أيام حول هذا الموضوع. أنا لا أحاول أن أحبطك. أنا أحاول فقط أن أضع توقعاتك في نصابها الصحيح.

كيفية استخدام علبة الشم

كما أوضحنا ، سوف يلتقط متلصص الحزم حركة المرور ويحللها. لذلك ، إذا كنت تحاول استكشاف مشكلة معينة وإصلاحها - وهذا هو سبب استخدامك لهذه الأداة - فأنت بحاجة أولاً إلى التأكد من أن حركة المرور التي تلتقطها هي حركة المرور الصحيحة. تخيل موقفًا يشكو فيه جميع المستخدمين من بطء تطبيق معين. في هذا النوع من المواقف ، من المحتمل أن يكون أفضل رهان لك هو التقاط حركة المرور على واجهة شبكة خادم التطبيق. قد تدرك بعد ذلك أن الطلبات تصل إلى الخادم بشكل طبيعي ولكن الخادم يستغرق وقتًا طويلاً لإرسال الردود. هذا من شأنه أن يشير إلى مشكلة الخادم.

من ناحية أخرى ، إذا رأيت الخادم يستجيب في الوقت المناسب ، فربما يعني ذلك أن المشكلة في مكان ما على الشبكة بين العميل والخادم. يمكنك بعد ذلك نقل أداة شم الحزم الخاصة بك قفزة واحدة أقرب إلى العميل ومعرفة ما إذا كانت الردود قد تأخرت. إذا لم يكن الأمر كذلك ، فإنك تقترب أكثر من العميل ، وهكذا دواليك. ستصل في النهاية إلى المكان الذي تحدث فيه التأخيرات. وبمجرد تحديد موقع المشكلة ، تكون قد اقتربت خطوة كبيرة من حلها.

الآن قد تتساءل كيف نتمكن من التقاط الحزم في نقطة معينة. الأمر بسيط جدًا ، فنحن نستفيد من ميزة معظم محولات الشبكة تسمى انعكاس المنفذ أو النسخ المتماثل. هذا هو خيار التكوين الذي سيقوم بتكرار كل حركة المرور داخل وخارج منفذ تبديل معين إلى منفذ آخر على نفس المحول. لنفترض أن الخادم الخاص بك متصل بالمنفذ 15 من المحول وأن المنفذ 23 من نفس المحول متاح. تقوم بتوصيل حزمة الشم الخاصة بك بالمنفذ 23 وتكوين المحول لنسخ كل حركة المرور من المنفذ 15 إلى المنفذ 23. ما تحصل عليه نتيجة لذلك على المنفذ 23 هو صورة معكوسة - ومن هنا اسم المنفذ المتطابق - لما يمر عبر المنفذ 15.

أفضل أدوات شم الرزم وأجهزة تحليل الشبكة

الآن بعد أن فهمت بشكل أفضل ماهية متشممي الحزم ومحللي الشبكة ، دعنا نرى ما هي أفضل سبعة يمكن أن نجدها. لقد حاولنا تضمين مزيج من أدوات سطر الأوامر وواجهة المستخدم الرسومية بالإضافة إلى تضمين أدوات تعمل على أنظمة تشغيل مختلفة. بعد كل شيء ، ليس كل مسؤولي الشبكة يستخدمون Windows.

1. أداة فحص وتحليل الحزمة العميقة من SolarWinds (إصدار تجريبي مجاني)

تشتهر SolarWinds بالعديد من الأدوات المجانية المفيدة وبرامج إدارة الشبكة الحديثة. إحدى أدواته تسمى أداة فحص وتحليل الحزمة العميق . يأتي كمكون من منتج SolarWinds الرائد ، مراقب أداء الشبكة. يختلف تشغيله تمامًا عن متشمم الحزم "التقليديين" على الرغم من أنه يخدم غرضًا مشابهًا.

لتلخيص وظائف الأداة: ستساعدك في العثور على سبب اختفاء الشبكة وحلها ، وتحديد التطبيقات المتأثرة ، وتحديد ما إذا كان البطء ناتجًا عن الشبكة أو أحد التطبيقات. سيستخدم البرنامج أيضًا تقنيات فحص الحزمة العميق لحساب وقت الاستجابة لأكثر من ١٢٠٠ تطبيق. سيصنف أيضًا حركة مرور الشبكة حسب الفئة ، والعمل مقابل المستوى الاجتماعي ، ومستوى المخاطر ، مما يساعدك على تحديد حركة المرور غير التجارية التي قد تحتاج إلى تصفيتها أو إزالتها بطريقة أخرى.

ولا تنس أن أداة SolarWinds Deep Packet Inspection and Analysis Tool تأتي كجزء من Network Performace Monitor. NPM ، كما يطلق عليه غالبًا ، هو برنامج مثير للإعجاب يحتوي على العديد من المكونات بحيث يمكن تخصيص مقالة كاملة له. في جوهره ، هو حل كامل لمراقبة الشبكة يجمع بين أفضل التقنيات مثل SNMP والتفتيش العميق للحزم لتوفير أكبر قدر ممكن من المعلومات حول حالة شبكتك قدر الإمكان. تأتي الأداة ، ذات الأسعار المعقولة ، مع نسخة تجريبية مجانية مدتها 30 يومًا حتى تتمكن من التأكد من أنها تناسب احتياجاتك بالفعل قبل الالتزام بشرائها.

رابط التنزيل الرسمي:  https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

من المحتمل أن تكون Tcpdump هي أداة الشم الأصلية للحزمة. تم إنشاؤه مرة أخرى في عام 1987. ومنذ ذلك الحين ، تم صيانته وتحسينه ولكنه لم يتغير بشكل أساسي ، على الأقل بالطريقة التي يتم استخدامه بها. تم تثبيته مسبقًا في كل نظام تشغيل يشبه Unix تقريبًا وأصبح المعيار الفعلي عندما يحتاج المرء إلى أداة سريعة لالتقاط الحزم. يستخدم Tcpdump مكتبة libpcap لالتقاط الحزمة الفعلي.

بشكل افتراضي. يلتقط tcpdump جميع حركات المرور على الواجهة المحددة ويقوم "بتفريغها" - ومن هنا اسمها - على الشاشة. يمكن أيضًا نقل التفريغ إلى ملف الالتقاط وتحليله لاحقًا باستخدام واحد - أو مجموعة - من العديد من الأدوات المتاحة. المفتاح لقوة وفائدة tcpdump هو إمكانية تطبيق جميع أنواع المرشحات وتوصيل مخرجاتها إلى grep - أداة سطر أوامر يونكس شائعة أخرى - لمزيد من التصفية. يمكن لأي شخص لديه معرفة جيدة بـ tcpdump و grep و command shell الحصول عليه لالتقاط حركة المرور الصحيحة بدقة لأي مهمة تصحيح.

3. Windump

Windump هو في الأساس مجرد منفذ tcpdump إلى نظام Windows الأساسي. على هذا النحو ، فإنه يتصرف بنفس الطريقة إلى حد كبير. ليس من غير المألوف رؤية مثل هذه المنافذ لبرامج المرافق الناجحة من منصة إلى أخرى. Windump هو أحد تطبيقات Windows ولكن لا تتوقع واجهة مستخدم رسومية رائعة. هذه أداة مساعدة لسطر الأوامر فقط. لذلك ، فإن استخدام Windump هو في الأساس نفس استخدام نظيره في نظام Unix. خيارات سطر الأوامر هي نفسها والنتائج متطابقة تقريبًا أيضًا. يمكن أيضًا حفظ الإخراج من Windump في ملف لتحليله لاحقًا باستخدام أداة خارجية.

أحد الاختلافات الرئيسية مع tcpdump هو أن Windump غير مضمن في Windows. سيتعين عليك تنزيله من موقع Windump على الويب . يتم تسليم البرنامج كملف قابل للتنفيذ ولا يتطلب أي تثبيت. ومع ذلك ، تمامًا مثل استخدام tcpdump لمكتبة libpcap ، يستخدم Windump برنامج Winpcap الذي ، مثل معظم مكتبات Windows ، يحتاج إلى تنزيله وتثبيته بشكل منفصل.

4. Wireshark

Wireshark هو المرجع في متشمم الحزم. لقد أصبح المعيار الواقعي وتميل معظم الأدوات الأخرى إلى محاكاته. لن تلتقط هذه الأداة حركة المرور فحسب ، بل تتمتع أيضًا بقدرات تحليل قوية جدًا. قوي جدًا لدرجة أن العديد من المسؤولين سيستخدمون tcpdump أو Windump لالتقاط حركة المرور إلى ملف ثم تحميل الملف في Wireshark لتحليله. هذه طريقة شائعة لاستخدام Wireshark بحيث تتم مطالبتك عند بدء التشغيل إما بفتح ملف pcap موجود أو البدء في التقاط حركة المرور. قوة أخرى لـ Wireshark هي جميع المرشحات التي يتضمنها والتي تسمح لك بالتركيز على البيانات التي تهتم بها على وجه التحديد.

لكي نكون صادقين تمامًا ، تحتوي هذه الأداة على منحنى تعليمي حاد ولكنها تستحق التعلم. سيثبت أنه لا يقدر بثمن مرارًا وتكرارًا. وبمجرد أن تتعلمه ، ستتمكن من استخدامه في كل مكان حيث تم نقله إلى كل نظام تشغيل تقريبًا وهو مجاني ومفتوح المصدر.

5. tshark

Tshark هو نوع من التهجين بين tcpdump و Wireshark. هذا شيء رائع لأنهم من أفضل متشممي الحزم هناك. تشبه Tshark tcpdump من حيث أنها أداة سطر أوامر فقط. ولكنه أيضًا مثل Wireshark من حيث أنه لا يلتقط حركة المرور فحسب ، بل يحللها أيضًا. Tshark من نفس مطوري Wireshark. إنه ، بشكل أو بآخر ، إصدار سطر الأوامر من Wireshark. يستخدم نفس نوع التصفية مثل Wireshark وبالتالي يمكنه عزل حركة المرور التي تحتاج إلى تحليلها بسرعة.

ولكن قد تتساءل لماذا قد يرغب أي شخص في إصدار سطر أوامر من Wireshark؟ لماذا لا تستخدم Wireshark فقط ؛ مع واجهته الرسومية ، يجب أن يكون أسهل في الاستخدام والتعلم؟ السبب الرئيسي هو أنه سيسمح لك باستخدامه على خادم بخلاف واجهة المستخدم الرسومية.

6. عامل منجم الشبكة

يعد Network Miner أداة جنائية أكثر من كونها أداة شم حقيقية للحزم. سيتبع Network Miner دفق TCP ويعيد بناء محادثة كاملة. إنها حقًا أداة قوية. يمكن أن تعمل في وضع عدم الاتصال حيث يمكنك استيراد بعض ملفات الالتقاط للسماح لـ Network Miner بعمل سحرها. هذه ميزة مفيدة لأن البرنامج يعمل فقط على Windows. يمكنك استخدام tcpdump على Linux لالتقاط بعض حركة المرور و Network Miner على Windows لتحليلها.

يتوفر Network Miner في إصدار مجاني ، ولكن بالنسبة إلى الميزات الأكثر تقدمًا مثل تحديد الموقع الجغرافي والبرمجة المستندة إلى IP ، ستحتاج إلى شراء ترخيص احترافي. وظيفة متقدمة أخرى للإصدار الاحترافي هي إمكانية فك تشفير وتشغيل مكالمات VoIP.

7. Fiddler (HTTP)

قد يجادل بعض قرائنا الأكثر خبرة بأن Fiddler ليس متشمم حزم ولا هو محلل شبكة. ربما يكونون على حق ولكننا شعرنا أنه يجب علينا تضمين هذه الأداة في قائمتنا لأنها مفيدة جدًا في العديد من المواقف. سوف يقوم Fiddler في الواقع بالتقاط حركة المرور ولكن ليس أي حركة مرور. إنه يعمل فقط مع حركة مرور HTTTP. يمكنك أن تتخيل مدى أهميته على الرغم من قيوده عندما تفكر في أن العديد من التطبيقات اليوم تعتمد على الويب أو تستخدم بروتوكول HTTP في الخلفية. ونظرًا لأن Fiddler لن يلتقط حركة مرور المتصفح فحسب ، بل يلتقط أي HTTP تقريبًا ، فهو مفيد جدًا في استكشاف الأخطاء وإصلاحها

تكمن ميزة أداة مثل Fiddler على متلقي الحزم الحقيقي مثل Wireshark ، على سبيل المثال ، في أن Fiddler تم إنشاؤه "لفهم" حركة مرور HTTP. سيكتشف ، على سبيل المثال ، ملفات تعريف الارتباط والشهادات. سيجد أيضًا البيانات الفعلية القادمة من التطبيقات المستندة إلى HTTP. Fiddler مجاني ومتاح لنظام التشغيل Windows فقط على الرغم من أنه يمكن تنزيل إصدارات بيتا لنظامي التشغيل OS X و Linux (باستخدام إطار عمل Mono).

استنتاج

عندما ننشر قوائم مثل هذه ، غالبًا ما يُسألون أيها هو الأفضل. في هذه الحالة بالذات ، إذا تم طرح هذا السؤال علي ، فسيتعين علي الإجابة "كل منهم". كلها أدوات مجانية وكلها لها قيمتها. لماذا لا تجعلهم جميعًا في متناول اليد وتتعرف على كل منها. عندما تصل إلى موقف تحتاج فيه إلى استخدامها ، فسيكون ذلك أسهل وفعالية. حتى أدوات سطر الأوامر لها قيمة هائلة. على سبيل المثال ، يمكن كتابتها وجدولتها. تخيل أن لديك مشكلة تحدث في الساعة 2:00 صباحًا يوميًا. يمكنك جدولة مهمة لتشغيل tcpdump of Windump بين 1:50 و 2:10 وتحليل ملف الالتقاط في صباح اليوم التالي. لا حاجة للسهر طوال الليل.