Packet Sniffing ist eine tiefgreifende Art der Netzwerkanalyse, bei der Details des Netzwerkverkehrs zur Analyse dekodiert werden. Dies ist eine der wichtigsten Fähigkeiten zur Fehlerbehebung, die jeder Netzwerkadministrator besitzen sollte. Die Analyse des Netzwerkverkehrs ist eine komplizierte Aufgabe. Um mit unzuverlässigen Netzwerken fertig zu werden, werden Daten nicht in einem kontinuierlichen Strom gesendet. Stattdessen wird es in Fragmente zerhackt, die einzeln gesendet werden. Die Analyse des Netzwerkverkehrs beinhaltet die Möglichkeit, diese Datenpakete zu sammeln und sie zu etwas Sinnvollem wieder zusammenzusetzen. Dies ist nichts, was Sie manuell tun können, daher wurden Paket-Sniffer und Netzwerkanalysatoren erstellt. Heute werfen wir einen Blick auf sieben der besten Packet Sniffer und Network Analyzer.
Wir beginnen die heutige Reise mit einigen Hintergrundinformationen darüber, was Paketschnüffler sind. Wir werden versuchen herauszufinden, was der Unterschied ist – oder ob es einen Unterschied gibt – zwischen einem Paket-Sniffer und einem Netzwerkanalysator. Wir werden dann zum Kern unseres Themas übergehen und jede unserer sieben Tipps nicht nur auflisten, sondern auch kurz überprüfen. Was wir für Sie haben, ist eine Kombination aus GUI-Tools und Befehlszeilen-Dienstprogrammen, die auf verschiedenen Betriebssystemen laufen.
Ein paar Worte über Packet Sniffer und Network Analyzer
Beginnen wir damit, etwas zu regeln. Für diesen Artikel gehen wir davon aus, dass Packet Sniffer und Network Analyzer ein und dasselbe sind. Einige werden argumentieren, dass sie anders sind und möglicherweise Recht haben. Aber im Kontext dieses Artikels werden wir sie zusammen betrachten, hauptsächlich weil sie, obwohl sie unterschiedlich funktionieren mögen – aber wirklich? – denselben Zweck erfüllen.
Paket-Sniffer machen normalerweise drei Dinge. Erstens erfassen sie alle Datenpakete, wenn sie eine Netzwerkschnittstelle betreten oder verlassen. Zweitens wenden sie optional Filter an, um einige der Pakete zu ignorieren und andere auf der Festplatte zu speichern. Sie führen dann eine Form der Analyse der erfassten Daten durch. In dieser letzten Funktion von Paket-Sniffern unterscheiden sie sich am meisten.
Für die eigentliche Erfassung der Datenpakete verwenden die meisten Tools ein externes Modul. Die gebräuchlichsten sind libpcap auf Unix/Linux-Systemen und Winpcap unter Windows. Sie müssen diese Tools normalerweise nicht installieren, da sie normalerweise von den verschiedenen Tools-Installern installiert werden.
Eine weitere wichtige Sache, die Sie wissen sollten, ist, dass Packet Sniffer – selbst der beste – nicht alles für Sie tun wird. Sie sind nur Werkzeuge. Es ist wie ein Hammer, der von selbst keinen Nagel schlägt. Sie müssen also sicherstellen, dass Sie lernen, wie Sie jedes Tool am besten verwenden. Der Paket-Sniffer lässt Sie nur den Verkehr sehen, aber es liegt an Ihnen, diese Informationen zu verwenden, um Probleme zu finden. Es gab ganze Bücher über die Verwendung von Paketerfassungstools. Ich selbst habe einmal einen dreitägigen Kurs zu diesem Thema gemacht. Ich versuche nicht, Sie zu entmutigen. Ich versuche nur, Ihre Erwartungen richtig zu stellen.
So verwenden Sie einen Paket-Sniffer
Wie wir bereits erklärt haben, erfasst und analysiert ein Paket-Sniffer den Verkehr. Wenn Sie also versuchen, ein bestimmtes Problem zu beheben – und aus diesem Grund verwenden Sie in der Regel ein solches Tool –, müssen Sie zunächst sicherstellen, dass der erfasste Datenverkehr der richtige ist. Stellen Sie sich eine Situation vor, in der sich alle Benutzer darüber beschweren, dass eine bestimmte Anwendung langsam ist. In einer solchen Situation ist es wahrscheinlich am besten, den Datenverkehr an der Netzwerkschnittstelle des Anwendungsservers zu erfassen. Sie stellen dann möglicherweise fest, dass Anfragen normal beim Server ankommen, der Server jedoch lange braucht, um Antworten zu senden. Das würde auf ein Serverproblem hinweisen.
Wenn Sie hingegen feststellen, dass der Server rechtzeitig reagiert, liegt das Problem möglicherweise irgendwo im Netzwerk zwischen dem Client und dem Server. Sie würden dann Ihren Paket-Sniffer einen Hop näher zum Client bewegen und prüfen, ob Antworten verzögert werden. Wenn dies nicht der Fall ist, bewegen Sie sich näher zum Client und so weiter und so weiter. Sie werden schließlich an die Stelle gelangen, an der es zu Verzögerungen kommt. Und sobald Sie den Ort des Problems identifiziert haben, sind Sie der Lösung einen großen Schritt näher gekommen.
Jetzt fragen Sie sich vielleicht, wie wir es schaffen, Pakete an einem bestimmten Punkt zu erfassen. Es ist ziemlich einfach, wir nutzen eine Funktion der meisten Netzwerk-Switches, die als Portspiegelung oder Replikation bezeichnet wird. Dies ist eine Konfigurationsoption, die den gesamten Datenverkehr in und aus einem bestimmten Switch-Port auf einen anderen Port auf demselben Switch repliziert. Angenommen, Ihr Server ist mit Port 15 eines Switches verbunden und dieser Port 23 desselben Switches ist verfügbar. Sie schließen Ihren Paket-Sniffer an Port 23 an und konfigurieren den Switch so, dass er den gesamten Verkehr von Port 15 zu Port 23 repliziert. Als Ergebnis erhalten Sie auf Port 23 ein Spiegelbild – daher der Name der Portspiegelung – dessen, was über Port 15 geht.
Die besten Packet Sniffer und Network Analyzer
Da Sie nun besser verstehen, was Paket-Sniffer und Netzwerkanalysatoren sind, sehen wir uns die sieben besten an, die wir finden konnten. Wir haben versucht, eine Mischung aus Befehlszeilen- und GUI-Tools sowie Tools einzubinden, die auf verschiedenen Betriebssystemen laufen. Schließlich verwenden nicht alle Netzwerkadministratoren Windows.
1. SolarWinds Deep Packet Inspection and Analysis Tool (KOSTENLOSE TESTVERSION)
SolarWinds ist bekannt für seine vielen nützlichen kostenlosen Tools und seine hochmoderne Netzwerkmanagement-Software. Eines seiner Tools heißt Deep Packet Inspection and Analysis Tool . Es ist eine Komponente des Flaggschiffprodukts von SolarWinds, dem Network Performance Monitor. Seine Funktionsweise unterscheidet sich stark von „herkömmlichen“ Paket-Sniffern, obwohl er einem ähnlichen Zweck dient.
Um die Funktionalität des Tools zusammenzufassen: Es hilft Ihnen, die Ursache von Netzwerklatenzen zu finden und zu beheben, betroffene Anwendungen zu identifizieren und festzustellen, ob die Verlangsamung durch das Netzwerk oder eine Anwendung verursacht wird. Die Software wird auch Deep Packet Inspection-Techniken verwenden, um die Antwortzeit für über zwölfhundert Anwendungen zu berechnen. Es klassifiziert auch den Netzwerkverkehr nach Kategorie, Geschäft im Vergleich zu sozialen Netzwerken und Risikostufe und hilft Ihnen, nicht geschäftlichen Verkehr zu identifizieren, der möglicherweise gefiltert oder auf andere Weise eliminiert werden muss.
Und vergessen Sie nicht, dass das SolarWinds Deep Packet Inspection and Analysis Tool Teil des Network Performace Monitor ist. NPM, wie es oft genannt wird, ist eine beeindruckende Software mit so vielen Komponenten, dass ihr ein ganzer Artikel gewidmet werden könnte. Im Kern ist es eine komplette Netzwerküberwachungslösung, die die besten Technologien wie SNMP und Deep Packet Inspection kombiniert, um so viele Informationen über den Zustand Ihres Netzwerks wie möglich bereitzustellen. Das Tool zu einem vernünftigen Preis wird mit einer kostenlosen 30-Tage-Testversion geliefert, damit Sie sich vergewissern können, dass es wirklich Ihren Anforderungen entspricht, bevor Sie es kaufen.
Offizieller Download-Link: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump ist wahrscheinlich DER ursprüngliche Paket-Sniffer. Es wurde 1987 gegründet. Seitdem wurde es gepflegt und verbessert, ist aber im Wesentlichen unverändert, zumindest in der Art und Weise, wie es verwendet wird. Es ist in praktisch jedem Unix-ähnlichen Betriebssystem vorinstalliert und hat sich zum De-facto-Standard entwickelt, wenn man ein schnelles Tool zum Erfassen von Paketen benötigt. Tcpdump verwendet die libpcap-Bibliothek für die eigentliche Paketerfassung.
Standardmäßig. tcpdump erfasst den gesamten Verkehr auf der angegebenen Schnittstelle und „dumpt“ ihn – daher sein Name – auf dem Bildschirm. Der Dump kann auch in eine Capture-Datei geleitet und später mit einem – oder einer Kombination – mehrerer verfügbarer Tools analysiert werden. Ein Schlüssel zur Stärke und Nützlichkeit von tcpdump ist die Möglichkeit, alle möglichen Filter anzuwenden und seine Ausgabe zur weiteren Filterung an grep – ein weiteres gängiges Unix-Kommandozeilen-Dienstprogramm – weiterzuleiten. Jemand mit guten Kenntnissen von tcpdump, grep und der Befehls-Shell kann es dazu bringen, genau den richtigen Verkehr für jede Debugging-Aufgabe zu erfassen.
3. Windump
Windump ist im Wesentlichen nur eine Portierung von tcpdump auf die Windows-Plattform. Als solche verhält es sich ähnlich. Es ist nicht ungewöhnlich, solche Portierungen erfolgreicher Dienstprogramme von einer Plattform auf eine andere zu sehen. Windump ist eine Windows-Anwendung, aber erwarten Sie keine schicke GUI. Dies ist ein Dienstprogramm nur über die Befehlszeile. Die Verwendung von Windump ist daher im Wesentlichen dasselbe wie die Verwendung seines Unix-Gegenstücks. Die Befehlszeilenoptionen sind gleich und die Ergebnisse sind auch fast identisch. Die Ausgabe von Windump kann auch zur späteren Analyse mit einem Drittanbieter-Tool in einer Datei gespeichert werden.
Ein wesentlicher Unterschied zu tcpdump besteht darin, dass Windump nicht in Windows integriert ist. Sie müssen es von der Windump-Website herunterladen . Die Software wird als ausführbare Datei geliefert und erfordert keine Installation. Genauso wie tcpdump die Bibliothek libpcap verwendet, verwendet Windump jedoch Winpcap, das wie die meisten Windows-Bibliotheken separat heruntergeladen und installiert werden muss.
4. Wireshark
Wireshark ist die Referenz für Paket-Sniffer. Es ist zum De-facto-Standard geworden und die meisten anderen Tools neigen dazu, es zu emulieren. Dieses Tool erfasst nicht nur den Datenverkehr, sondern verfügt auch über sehr leistungsstarke Analysefunktionen. So leistungsfähig, dass viele Administratoren tcpdump oder Windump verwenden, um den Datenverkehr zu einer Datei zu erfassen und die Datei dann zur Analyse in Wireshark zu laden. Dies ist eine so gängige Methode zur Verwendung von Wireshark, dass Sie beim Start aufgefordert werden, entweder eine vorhandene pcap-Datei zu öffnen oder mit der Erfassung des Datenverkehrs zu beginnen. Eine weitere Stärke von Wireshark sind all die integrierten Filter, die es Ihnen ermöglichen, genau die Daten zu erfassen, an denen Sie interessiert sind.
Um ganz ehrlich zu sein, hat dieses Tool eine steile Lernkurve, aber es lohnt sich, es zu lernen. Es wird sich immer wieder von unschätzbarem Wert erweisen. Und wenn Sie es einmal gelernt haben, können Sie es überall verwenden, da es auf fast jedes Betriebssystem portiert wurde und kostenlos und Open Source ist.
5. thai
Tshark ist eine Art Kreuzung zwischen tcpdump und Wireshark. Dies ist eine großartige Sache, da sie einige der besten Paketschnüffler auf dem Markt sind. Tshark ist wie tcpdump darin, dass es ein reines Befehlszeilen-Tool ist. Aber es ist wie Wireshark auch darin, dass es nicht nur den Verkehr erfasst, sondern auch analysiert. Tshark stammt von denselben Entwicklern wie Wireshark. Es ist mehr oder weniger die Kommandozeilenversion von Wireshark. Es verwendet die gleiche Filterart wie Wireshark und kann daher schnell nur den Verkehr isolieren, den Sie analysieren müssen.
Aber warum, fragen Sie sich vielleicht, möchte jemand eine Befehlszeilenversion von Wireshark? Warum nicht einfach Wireshark verwenden; mit seiner grafischen Oberfläche soll es einfacher zu bedienen und zu erlernen sein? Der Hauptgrund ist, dass Sie es auf einem Nicht-GUI-Server verwenden können.
6. Netzwerk-Miner
Network Miner ist eher ein forensisches Tool als ein echter Paket-Sniffer. Network Miner folgt einem TCP-Stream und rekonstruiert eine gesamte Konversation. Es ist wirklich ein mächtiges Werkzeug. Es kann im Offline-Modus arbeiten, in dem Sie einige Capture-Dateien importieren, damit Network Miner seine Magie entfalten kann. Dies ist eine nützliche Funktion, da die Software nur unter Windows läuft. Sie können tcpdump unter Linux verwenden, um einen Teil des Datenverkehrs zu erfassen, und Network Miner unter Windows, um ihn zu analysieren.
Network Miner ist in einer kostenlosen Version verfügbar, aber für erweiterte Funktionen wie IP-basierte Geolokalisierung und Skripterstellung müssen Sie eine professionelle Lizenz erwerben. Eine weitere erweiterte Funktion der Professional-Version ist die Möglichkeit, VoIP-Anrufe zu dekodieren und wiederzugeben.
7. Geiger (HTTP)
Einige unserer sachkundigeren Leser könnten argumentieren, dass Fiddler weder ein Paket-Sniffer noch ein Netzwerkanalysator ist. Sie haben wahrscheinlich Recht, aber wir waren der Meinung, dass wir dieses Tool in unsere Liste aufnehmen sollten, da es in vielen Situationen sehr nützlich ist. Fiddler erfasst tatsächlich den Verkehr, aber keinen Verkehr. Es funktioniert nur mit HTTP-Verkehr. Sie können sich vorstellen, wie wertvoll es trotz seiner Einschränkung sein kann, wenn man bedenkt, dass heute so viele Anwendungen webbasiert sind oder das HTTP-Protokoll im Hintergrund verwenden. Und da Fiddler nicht nur den Browser-Traffic, sondern fast jedes HTTP erfasst, ist es sehr nützlich bei der Fehlerbehebung
Der Vorteil eines Tools wie Fiddler gegenüber einem echten Paket-Sniffer wie beispielsweise Wireshark besteht darin, dass Fiddler darauf ausgelegt ist, HTTP-Verkehr zu „verstehen“. Es erkennt zum Beispiel Cookies und Zertifikate. Es findet auch tatsächliche Daten, die von HTTP-basierten Anwendungen stammen. Fiddler ist kostenlos und nur für Windows verfügbar, obwohl Beta-Builds für OS X und Linux (mit dem Mono-Framework) heruntergeladen werden können.
Fazit
Wenn wir Listen wie diese veröffentlichen, werden wir oft gefragt, welche die beste ist. In dieser besonderen Situation müsste ich, wenn mir diese Frage gestellt würde, „alle“ beantworten. Sie sind alle kostenlose Tools und alle haben ihren Wert. Warum nicht alle zur Hand haben und sich mit jedem vertraut machen. Wenn Sie in eine Situation geraten, in der Sie sie verwenden müssen, wird dies viel einfacher und effizienter. Sogar Befehlszeilentools haben einen enormen Wert. Sie können beispielsweise skriptgesteuert und geplant werden. Stellen Sie sich vor, Sie haben ein Problem, das täglich um 2:00 Uhr auftritt. Sie können einen Job so planen, dass tcpdump von Windump zwischen 1:50 und 2:10 ausgeführt wird und die Capture-Datei am nächsten Morgen analysiert wird. Sie müssen nicht die ganze Nacht wach bleiben.
Ping-Sweeps können auf viele Arten zu Ihrem Vorteil genutzt werden. Lesen Sie weiter, während wir besprechen, wie das geht, und die 10 besten Ping-Sweep-Tools vorstellen, die Sie finden können.
Websites sind wichtig und müssen ständig genau auf ihre angemessene Leistung überwacht werden. Hier sind einige der besten Tools zur Überwachung von Websites.
Der Markt für Netzwerkmanagement-Software ist sehr überfüllt. Verkürzen Sie Ihre Suche, indem Sie unseren Empfehlungen der besten Netzwerkverwaltungstools folgen.
Hier sehen Sie einige der besten Softwarebereitstellungstools, die Ihnen die Verwaltung einer beliebigen Anzahl von Maschinen erleichtern
Wenn Sie in der Gesundheitsbranche tätig sind oder irgendwie mit der IT in dieser Branche zu tun haben, haben Sie wahrscheinlich schon von HIPAA gehört. Die Übertragbarkeit der Krankenversicherung
sFlow ist ein Flow-Analyse-Protokoll, das in zahlreichen Netzwerkgeräte gebaut. Wir überprüfen die fünf besten Gratis sFlow Collectors und Analysatoren.
Administratoren müssen die Betriebsparameter jedes Servers im Auge behalten. Lesen Sie weiter, während wir die sechs besten Windows-Systemüberwachungstools überprüfen.
Um Ihnen bei der Auswahl des richtigen Tools zu helfen, stellen wir Ihnen die besten Tools zur agentenlosen Infrastrukturüberwachung vor und geben Ihnen einen kurzen Überblick über jedes einzelne.
E-Mail-Sicherheit ist eine wichtige Aufgabe von Managed Service Providern. Wir haben SolarWinds Mail Assure überprüft, eines der besten Tools für diesen Zweck.
Latenz scheint der größte Feind der Netzwerke zu sein. Diese Tools zur Latenzmessung lehren, wie man die Latenz testet, um Probleme zu erkennen, zu lokalisieren und zu beheben.
