Le reniflage de paquets est un type approfondi d'analyse de réseau dans lequel les détails du trafic réseau sont décodés pour être analysés. C'est l'une des compétences de dépannage les plus importantes que tout administrateur réseau doit posséder. L'analyse du trafic réseau est une tâche compliquée. Afin de faire face aux réseaux peu fiables, les données ne sont pas envoyées en un seul flux continu. Au lieu de cela, il est découpé en fragments envoyés individuellement. L'analyse du trafic réseau implique d'être capable de collecter ces paquets de données et de les réassembler en quelque chose de significatif. Ce n'est pas quelque chose que vous pouvez faire manuellement, donc des renifleurs de paquets et des analyseurs de réseau ont été créés. Aujourd'hui, nous examinons sept des meilleurs renifleurs de paquets et analyseurs de réseau.
Nous commençons le voyage d'aujourd'hui en vous donnant quelques informations générales sur ce que sont les renifleurs de paquets. Nous allons essayer de comprendre quelle est la différence – ou s'il y a une différence – entre un renifleur de paquets et un analyseur de réseau. Nous passerons ensuite au cœur de notre sujet et non seulement à la liste, mais également à chacun de nos sept choix. Ce que nous avons pour vous, c'est une combinaison d'outils d'interface graphique et d'utilitaires de ligne de commande qui s'exécutent sur divers systèmes d'exploitation.
Quelques mots sur les renifleurs de paquets et les analyseurs de réseau
Commençons par régler quelque chose. Pour les besoins de cet article, nous supposerons que les renifleurs de paquets et les analyseurs de réseau sont une seule et même chose. Certains diront qu'ils sont différents et qu'ils ont peut-être raison. Mais dans le contexte de cet article, nous les examinerons ensemble, principalement parce que même s'ils peuvent fonctionner différemment - mais le font-ils vraiment ? - ils servent le même objectif.
Les renifleurs de paquets font généralement trois choses. Premièrement, ils capturent tous les paquets de données lorsqu'ils entrent ou sortent d'une interface réseau. Deuxièmement, ils appliquent éventuellement des filtres pour ignorer certains des paquets et en enregistrer d'autres sur le disque. Ils effectuent ensuite une certaine forme d'analyse des données capturées. C'est dans cette dernière fonction des renifleurs de paquets qu'ils diffèrent le plus.
Pour la capture réelle des paquets de données, la plupart des outils utilisent un module externe. Les plus courants sont libpcap sur les systèmes Unix/Linux et Winpcap sur Windows. Vous n'aurez généralement pas à installer ces outils car ils sont généralement installés par les différents installateurs d'outils.
Une autre chose importante à savoir est que Packet Sniffers, même le meilleur, ne fera pas tout à votre place. Ce ne sont que des outils. C'est comme un marteau qui n'enfoncera aucun clou tout seul. Vous devez donc vous assurer d'apprendre à utiliser au mieux chaque outil. Le renifleur de paquets vous permettra simplement de voir le trafic, mais c'est à vous d'utiliser ces informations pour trouver les problèmes. Il y a eu des livres entiers sur l'utilisation des outils de capture de paquets. J'ai moi-même suivi une fois un cours de trois jours sur le sujet. Je n'essaye pas de te décourager. J'essaie seulement de mettre vos attentes au clair.
Comment utiliser un renifleur de paquets
Comme nous l'avons expliqué, un renifleur de paquets capturera et analysera le trafic. Ainsi, si vous essayez de résoudre un problème spécifique, ce qui est généralement la raison pour laquelle vous utilisez un tel outil, vous devez d'abord vous assurer que le trafic que vous capturez est le bon. Imaginez une situation où tous les utilisateurs se plaignent de la lenteur d'une application particulière. Dans ce type de situation, votre meilleur pari serait probablement de capturer le trafic au niveau de l'interface réseau du serveur d'applications. Vous pourriez alors vous rendre compte que les requêtes arrivent normalement au serveur mais que le serveur met beaucoup de temps à envoyer des réponses. Cela indiquerait un problème de serveur.
Si, en revanche, vous voyez le serveur répondre en temps opportun, cela signifie peut-être que le problème se situe quelque part sur le réseau entre le client et le serveur. Vous déplaceriez ensuite votre renifleur de paquets d'un bond plus près du client et verriez si les réponses sont retardées. Si ce n'est pas le cas, vous vous rapprochez davantage du client, et ainsi de suite. Vous finirez par arriver à l'endroit où les retards se produisent. Et une fois que vous avez identifié l'emplacement du problème, vous êtes un grand pas vers sa résolution.
Maintenant, vous vous demandez peut-être comment nous parvenons à capturer des paquets à un point spécifique. C'est assez simple, nous profitons d'une fonctionnalité de la plupart des commutateurs réseau appelée mise en miroir ou réplication de port. Il s'agit d'une option de configuration qui répliquera tout le trafic entrant et sortant d'un port de commutateur spécifique vers un autre port sur le même commutateur. Disons que votre serveur est connecté au port 15 d'un commutateur et que le port 23 de ce même commutateur est disponible. Vous connectez votre renifleur de paquets au port 23 et configurez le commutateur pour répliquer tout le trafic du port 15 au port 23. Le résultat obtenu sur le port 23 est une image miroir (d'où le nom de mise en miroir du port) de ce qui passe par le port 15.
Les meilleurs renifleurs de paquets et analyseurs de réseau
Maintenant que vous comprenez mieux ce que sont les renifleurs de paquets et les analyseurs de réseau, voyons quels sont les sept meilleurs que nous ayons pu trouver. Nous avons essayé d'inclure un mélange d'outils de ligne de commande et d'interface graphique, ainsi que des outils s'exécutant sur divers systèmes d'exploitation. Après tout, tous les administrateurs réseau n'exécutent pas Windows.
1. Outil SolarWinds Deep Packet Inspection and Analysis (ESSAI GRATUIT)
SolarWinds est bien connu pour ses nombreux outils gratuits utiles et son logiciel de gestion de réseau de pointe. L'un de ses outils s'appelle Deep Packet Inspection and Analysis Tool . Il fait partie du produit phare de SolarWinds, le Network Performance Monitor. Son fonctionnement est assez différent des renifleurs de paquets plus «traditionnels», bien qu'il serve un objectif similaire.
Pour résumer les fonctionnalités de l'outil : il vous aidera à trouver et à résoudre la cause des latences du réseau, à identifier les applications impactées et à déterminer si la lenteur est causée par le réseau ou une application. Le logiciel utilisera également des techniques d'inspection approfondie des paquets pour calculer le temps de réponse de plus de douze cents applications. Il classera également le trafic réseau par catégorie, entreprise par rapport au social et niveau de risque, vous aidant à identifier le trafic non commercial qui peut avoir besoin d'être filtré ou éliminé d'une autre manière.
Et n'oubliez pas que l'outil SolarWinds Deep Packet Inspection and Analysis fait partie de Network Performace Monitor. NPM, comme on l'appelle souvent, est un logiciel impressionnant avec tellement de composants qu'un article entier pourrait lui être consacré. À la base, il s'agit d'une solution complète de surveillance du réseau qui combine les meilleures technologies telles que SNMP et l'inspection approfondie des paquets pour fournir autant d'informations que possible sur l'état de votre réseau. L'outil, dont le prix est raisonnable, est livré avec un essai gratuit de 30 jours afin que vous puissiez vous assurer qu'il correspond vraiment à vos besoins avant de vous engager à l'acheter.
Lien de téléchargement officiel : https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump est probablement LE renifleur de paquets d'origine. Il a été créé en 1987. Depuis lors, il a été maintenu et amélioré mais reste essentiellement inchangé, du moins dans la façon dont il est utilisé. Il est préinstallé dans pratiquement tous les systèmes d'exploitation de type Unix et est devenu la norme de facto lorsqu'on a besoin d'un outil rapide pour capturer des paquets. Tcpdump utilise la bibliothèque libpcap pour la capture réelle des paquets.
Par défaut. tcpdump capture tout le trafic sur l'interface spécifiée et le "vide" - d'où son nom - à l'écran. Le vidage peut également être redirigé vers un fichier de capture et analysé ultérieurement à l'aide d'un ou d'une combinaison de plusieurs outils disponibles. Une clé de la force et de l'utilité de tcpdump est la possibilité d'appliquer toutes sortes de filtres et de diriger sa sortie vers grep - un autre utilitaire de ligne de commande Unix commun - pour un filtrage plus poussé. Quelqu'un avec une bonne connaissance de tcpdump, grep et du shell de commande peut le faire capturer avec précision le bon trafic pour n'importe quelle tâche de débogage.
3. Brise-vent
Windump n'est essentiellement qu'un portage de tcpdump vers la plate-forme Windows. En tant que tel, il se comporte à peu près de la même manière. Il n'est pas rare de voir de tels ports de programmes utilitaires réussis d'une plate-forme à une autre. Windump est une application Windows, mais ne vous attendez pas à une interface graphique sophistiquée. Il s'agit d'un utilitaire de ligne de commande uniquement. L'utilisation de Windump est donc fondamentalement la même que celle de son homologue Unix. Les options de la ligne de commande sont les mêmes et les résultats sont également presque identiques. La sortie de Windump peut également être enregistrée dans un fichier pour une analyse ultérieure avec un outil tiers.
Une différence majeure avec tcpdump est que Windump n'est pas intégré à Windows. Vous devrez le télécharger sur le site Web de Windump . Le logiciel est livré sous forme de fichier exécutable et ne nécessite aucune installation. Cependant, tout comme tcpdump utilise la bibliothèque libpcap, Windump utilise Winpcap qui, comme la plupart des bibliothèques Windows, doit être téléchargé et installé séparément.
4. Requin filaire
Wireshark est la référence en matière de renifleurs de paquets. C'est devenu la norme de facto et la plupart des autres outils ont tendance à l'imiter. Cet outil ne se contentera pas de capturer le trafic, il possède également des capacités d'analyse assez puissantes. Si puissant que de nombreux administrateurs utiliseront tcpdump ou Windump pour capturer le trafic vers un fichier, puis chargeront le fichier dans Wireshark pour analyse. C'est une façon si courante d'utiliser Wireshark qu'au démarrage, vous êtes invité à ouvrir un fichier pcap existant ou à commencer à capturer le trafic. Une autre force de Wireshark réside dans tous les filtres qu'il intègre qui vous permettent de vous concentrer précisément sur les données qui vous intéressent.
Pour être parfaitement honnête, cet outil a une courbe d'apprentissage abrupte, mais il vaut la peine d'être appris. Il s'avérera inestimable à maintes reprises. Et une fois que vous l'aurez appris, vous pourrez l'utiliser partout car il a été porté sur presque tous les systèmes d'exploitation et il est gratuit et open-source.
5. requin
Tshark est un peu comme un croisement entre tcpdump et Wireshark. C'est une bonne chose car ils sont parmi les meilleurs renifleurs de paquets là-bas. Tshark est comme tcpdump en ce sens qu'il s'agit d'un outil en ligne de commande uniquement. Mais c'est aussi comme Wireshark en ce sens qu'il capture non seulement mais analyse également le trafic. Tshark est issu des mêmes développeurs que Wireshark. C'est plus ou moins la version en ligne de commande de Wireshark. Il utilise le même type de filtrage que Wireshark et peut donc isoler rapidement uniquement le trafic que vous devez analyser.
Mais pourquoi, pourriez-vous demander, quelqu'un voudrait-il une version en ligne de commande de Wireshark ? Pourquoi ne pas simplement utiliser Wireshark ; avec son interface graphique, il doit être plus simple à utiliser et à apprendre ? La raison principale est que cela vous permettrait de l'utiliser sur un serveur sans interface graphique.
6. Mineur de réseau
Network Miner est plus un outil médico-légal qu'un véritable renifleur de paquets. Network Miner suivra un flux TCP et reconstruira une conversation entière. C'est vraiment un outil puissant. Il peut fonctionner en mode hors ligne où vous importez un fichier de capture pour laisser Network Miner opérer sa magie. Il s'agit d'une fonctionnalité utile car le logiciel ne fonctionne que sous Windows. Vous pouvez utiliser tcpdump sous Linux pour capturer du trafic et Network Miner sous Windows pour l'analyser.
Network Miner est disponible dans une version gratuite mais, pour les fonctionnalités plus avancées telles que la géolocalisation et les scripts basés sur IP, vous devrez acheter une licence professionnelle. Une autre fonction avancée de la version professionnelle est la possibilité de décoder et de lire les appels VoIP.
7. Violoniste (HTTP)
Certains de nos lecteurs les plus avertis pourraient soutenir que Fiddler n'est pas un renifleur de paquets ni un analyseur de réseau. Ils ont probablement raison, mais nous avons pensé que nous devrions inclure cet outil dans notre liste car il est très utile dans de nombreuses situations. Fiddler capturera en fait le trafic, mais pas n'importe quel trafic. Il ne fonctionne qu'avec le trafic HTTP. Vous pouvez imaginer à quel point il peut être précieux malgré ses limites si l'on considère que tant d'applications aujourd'hui sont basées sur le Web ou utilisent le protocole HTTP en arrière-plan. Et comme Fiddler capturera non seulement le trafic du navigateur, mais à peu près n'importe quel HTTP, il est très utile pour le dépannage
L'avantage d'un outil comme Fiddler par rapport à un véritable renifleur de paquets comme, par exemple, Wireshark, est que Fiddler a été conçu pour « comprendre » le trafic HTTP. Il découvrira, par exemple, les cookies et les certificats. Il trouvera également des données réelles provenant d'applications basées sur HTTP. Fiddler est gratuit et disponible pour Windows uniquement, bien que des versions bêta pour OS X et Linux (utilisant le framework Mono) puissent être téléchargées.
Conclusion
Lorsque nous publions des listes comme celle-ci, on nous demande souvent laquelle est la meilleure. Dans cette situation particulière, si on me posait cette question, je devrais répondre « à toutes ». Ce sont tous des outils gratuits et tous ont leur valeur. Pourquoi ne pas les avoir tous à portée de main et vous familiariser avec chacun d'eux. Lorsque vous arrivez à une situation où vous devez les utiliser, ce sera beaucoup plus facile et efficace. Même les outils en ligne de commande ont une valeur énorme. Par exemple, ils peuvent être scénarisés et programmés. Imaginez que vous ayez un problème qui se produit tous les jours à 2h00 du matin. Vous pouvez planifier une tâche pour exécuter tcpdump de Windump entre 1h50 et 2h10 et analyser le fichier de capture le lendemain matin. Pas besoin de rester éveillé toute la nuit.
Les balayages de ping peuvent être utilisés à votre avantage de nombreuses façons. Continuez à lire pendant que nous discutons de la façon dont nous présentons les 10 meilleurs outils de balayage Ping que vous pouvez trouver.
Les sites Web sont importants et doivent être constamment surveillés de près pour des performances adéquates. Voici quelques-uns des meilleurs outils de surveillance des sites Web.
Le marché des logiciels de gestion de réseau est très encombré. Raccourcissez votre recherche en suivant nos recommandations des meilleurs outils de gestion de réseau.
Voici un aperçu de certains des meilleurs outils de déploiement de logiciels pour faciliter la gestion d'un nombre illimité de machines
Si vous êtes dans l'industrie de la santé ou si vous êtes impliqué d'une manière ou d'une autre dans l'informatique dans cette industrie, il y a de fortes chances que vous ayez entendu parler de la HIPAA. La portabilité de l'assurance maladie
sFlow est un protocole d'analyse de flux intégré à de nombreux périphériques réseau. Nous passons en revue les cinq meilleurs collecteurs et analyseurs sFlow gratuits.
Pour vous aider à choisir le bon, nous avons présenté les meilleurs outils de surveillance d'infrastructure sans agent et vous ont donné un aperçu rapide de chacun.
Si vous êtes un utilisateur expérimenté de Windows, vous savez probablement et comprenez comment effectuer diverses opérations sur votre PC peut avoir plus d'une approche et
La latence semble être l'ennemi numéro un des réseaux. Ces outils de mesure de la latence vous apprendront comment tester la latence pour détecter, localiser et résoudre les problèmes.
Le moniteur de réseau Windows nécessite des outils avec des exigences limitées. Aujourd'hui, nous examinions les meilleurs outils de surveillance réseau pour Windows 10.
