Penghidu Paket dan Penganalisis Rangkaian Terbaik – 7 Teratas Disemak pada 2021

Menghidu paket ialah jenis analisis rangkaian yang mendalam di mana butiran trafik rangkaian dinyahkod untuk dianalisis. Ia adalah salah satu kemahiran menyelesaikan masalah yang paling penting yang perlu dimiliki oleh mana-mana pentadbir rangkaian. Menganalisis trafik rangkaian adalah tugas yang rumit. Untuk mengatasi rangkaian yang tidak boleh dipercayai, data tidak dihantar dalam satu aliran berterusan. Sebaliknya, ia dicincang dalam serpihan yang dihantar secara individu. Menganalisis trafik rangkaian melibatkan keupayaan untuk mengumpul paket data ini dan menyusunnya semula menjadi sesuatu yang bermakna. Ini bukan sesuatu yang boleh anda lakukan secara manual jadi penghidu paket dan penganalisis rangkaian dicipta. Hari ini, kita melihat tujuh penghidu paket dan penganalisis rangkaian terbaik.

Kami memulakan perjalanan hari ini dengan memberi anda beberapa maklumat latar belakang tentang apakah itu penghidu paket. Kami akan cuba memikirkan apakah perbezaannya–atau jika terdapat perbezaan–antara penghidu paket dan penganalisis rangkaian. Kami kemudian akan meneruskan ke teras subjek kami dan bukan sahaja menyenaraikan tetapi juga menyemak secara ringkas setiap tujuh pilihan kami. Apa yang kami ada untuk anda ialah gabungan alatan GUI dan utiliti baris arahan yang dijalankan pada pelbagai sistem pengendalian.

Sedikit Perkataan Mengenai Penghidu Paket dan Penganalisis Rangkaian

Mari kita mulakan dengan menyelesaikan sesuatu. Demi artikel ini, kami akan menganggap bahawa penghidu paket dan penganalisis rangkaian adalah satu dan sama. Sesetengah akan berpendapat bahawa mereka berbeza dan mereka mungkin betul. Tetapi dalam konteks artikel ini, kita akan melihatnya bersama-sama, terutamanya kerana walaupun ia mungkin beroperasi secara berbeza–tetapi adakah ia benar-benar?–ia mempunyai tujuan yang sama.

Packet Sniffers biasanya melakukan tiga perkara. Pertama, mereka menangkap semua paket data semasa mereka memasuki atau keluar dari antara muka rangkaian. Kedua, mereka secara pilihan menggunakan penapis untuk mengabaikan beberapa paket dan menyimpan yang lain ke cakera. Mereka kemudian melakukan beberapa bentuk analisis data yang ditangkap. Dalam fungsi terakhir penghidu paket itulah yang paling berbeza.

Untuk menangkap sebenar paket data, kebanyakan alat menggunakan modul luaran. Yang paling biasa ialah libpcap pada sistem Unix/Linux dan Winpcap pada Windows. Anda biasanya tidak perlu memasang alat ini kerana ia biasanya dipasang oleh pemasang alat yang berbeza.

Satu lagi perkara penting yang perlu diketahui ialah Packet Sniffers–walaupun yang terbaik–tidak akan melakukan segala-galanya untuk anda. Mereka hanyalah alat. Ia sama seperti tukul yang tidak akan memacu sebarang paku dengan sendirinya. Jadi, anda perlu memastikan anda mempelajari cara terbaik menggunakan setiap alat. Penghidu paket hanya akan membolehkan anda melihat trafik tetapi terpulang kepada anda untuk menggunakan maklumat tersebut untuk mencari isu. Terdapat banyak buku tentang menggunakan alat penangkapan paket. Saya sendiri pernah mengikuti kursus selama tiga hari mengenai subjek itu. Saya tidak cuba untuk mengecilkan hati anda. Saya hanya cuba meluruskan jangkaan anda.

Cara Menggunakan Penghidu Paket

Seperti yang telah kami jelaskan, penghidu paket akan menangkap dan menganalisis trafik. Jadi, jika anda cuba menyelesaikan masalah tertentu–yang biasanya sebab anda menggunakan alat sedemikian–anda perlu terlebih dahulu memastikan trafik yang anda tangkap adalah trafik yang betul. Bayangkan situasi di mana semua pengguna mengadu bahawa aplikasi tertentu lambat. Dalam jenis situasi itu, pertaruhan terbaik anda mungkin adalah untuk menangkap trafik pada antara muka rangkaian pelayan aplikasi. Anda kemudian mungkin menyedari bahawa permintaan tiba di pelayan seperti biasa tetapi pelayan mengambil masa yang lama untuk menghantar respons. Itu akan menunjukkan masalah pelayan.

Jika, sebaliknya, anda melihat pelayan bertindak balas tepat pada masanya, ini mungkin bermakna isu itu berada di suatu tempat di rangkaian antara klien dan pelayan. Anda kemudiannya akan mengalihkan sniffer paket anda satu lompatan lebih dekat kepada pelanggan dan lihat jika respons tertunda. Jika tidak, anda bergerak lebih lompat lebih dekat dengan pelanggan, dan seterusnya dan seterusnya. Anda akhirnya akan sampai ke tempat di mana kelewatan berlaku. Dan sebaik sahaja anda telah mengenal pasti lokasi masalah, anda selangkah lebih dekat untuk menyelesaikannya.

Sekarang anda mungkin tertanya-tanya bagaimana kami berjaya menangkap paket pada titik tertentu. Ia agak mudah, kami mengambil kesempatan daripada ciri kebanyakan suis rangkaian yang dipanggil pencerminan port atau replikasi. Ini ialah pilihan konfigurasi yang akan mereplikasi semua trafik masuk dan keluar dari port suis tertentu ke port lain pada suis yang sama. Katakan pelayan anda disambungkan ke port 15 suis dan port 23 suis yang sama itu tersedia. Anda menyambungkan penghidu paket anda ke port 23 dan mengkonfigurasikan suis untuk mereplikasi semua trafik dari port 15 ke port 23. Hasil yang anda perolehi pada port 23 ialah imej cermin–maka nama pencerminan port–apa yang berlaku melalui port 15.

Penghidu Paket dan Penganalisis Rangkaian Terbaik

Kini setelah anda memahami dengan lebih baik apakah penghidu paket dan penganalisis rangkaian, mari lihat apakah tujuh yang terbaik yang boleh kami temui. Kami telah cuba memasukkan gabungan alat baris arahan dan GUI serta menyertakan alatan yang dijalankan pada pelbagai sistem pengendalian. Lagipun, tidak semua pentadbir rangkaian menjalankan Windows.

1. Alat Pemeriksaan dan Analisis Paket Dalam SolarWinds (PERCUBAAN PERCUMA)

SolarWinds terkenal dengan banyak alatan percuma yang berguna dan perisian pengurusan rangkaian terkininya. Salah satu alatannya dipanggil Alat Pemeriksaan dan Analisis Paket Dalam . Ia datang sebagai komponen produk utama SolarWinds, Monitor Prestasi Rangkaian. Operasinya agak berbeza daripada penghidu paket yang lebih "tradisional" walaupun ia mempunyai tujuan yang sama.

Untuk meringkaskan kefungsian alat: ini akan membantu anda mencari dan menyelesaikan punca kependaman rangkaian, mengenal pasti aplikasi yang terjejas dan menentukan sama ada kelambatan disebabkan oleh rangkaian atau aplikasi. Perisian ini juga akan menggunakan teknik pemeriksaan paket mendalam untuk mengira masa tindak balas untuk lebih dua belas ratus aplikasi. Ia juga akan mengklasifikasikan trafik rangkaian mengikut kategori, perniagaan lwn sosial dan tahap risiko, membantu anda mengenal pasti trafik bukan perniagaan yang mungkin perlu ditapis atau dihapuskan.

Dan jangan lupa bahawa Alat Pemeriksaan dan Analisis Paket Dalam SolarWinds datang sebagai sebahagian daripada Monitor Prestasi Rangkaian. NPM, seperti yang sering dipanggil adalah perisian yang mengagumkan dengan begitu banyak komponen sehingga satu artikel boleh didedikasikan untuknya. Pada terasnya, ia adalah penyelesaian pemantauan rangkaian lengkap yang menggabungkan teknologi terbaik seperti SNMP dan pemeriksaan paket dalam untuk memberikan sebanyak mungkin maklumat tentang keadaan rangkaian anda. Alat ini, yang berharga berpatutan, disertakan dengan percubaan percuma selama 30 hari supaya anda boleh memastikan ia benar-benar menepati keperluan anda sebelum membuat komitmen untuk membelinya.

Pautan muat turun rasmi:  https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

Tcpdump mungkin THE sniffer paket asal. Ia telah dicipta pada tahun 1987. Sejak itu, ia telah dikekalkan dan ditambah baik tetapi pada asasnya kekal tidak berubah, sekurang-kurangnya cara ia digunakan. Ia diprapasang dalam hampir setiap sistem pengendalian seperti Unix dan telah menjadi standard de-facto apabila seseorang memerlukan alat pantas untuk menangkap paket. Tcpdump menggunakan perpustakaan libpcap untuk tangkapan paket sebenar.

Secara lalai. tcpdump menangkap semua trafik pada antara muka yang ditentukan dan "membuang" ia–maka namanya–pada skrin. Tempat pembuangan juga boleh disalurkan ke fail tangkapan dan dianalisis kemudian menggunakan satu–atau gabungan–beberapa alatan yang tersedia. Kunci kepada kekuatan dan kegunaan tcpdump ialah kemungkinan untuk menggunakan semua jenis penapis dan menyalurkan outputnya ke grep–satu lagi utiliti baris perintah Unix yang biasa–untuk penapisan selanjutnya. Seseorang yang mempunyai pengetahuan yang baik tentang tcpdump, grep dan shell arahan boleh mendapatkannya untuk menangkap trafik yang tepat untuk sebarang tugas penyahpepijatan.

3. Windump

Windump pada asasnya hanyalah pelabuhan tcpdump ke platform Windows. Oleh itu, ia berkelakuan dengan cara yang sama. Ia bukan perkara biasa untuk melihat pelabuhan program utiliti yang berjaya dari satu platform ke platform yang lain. Windump ialah aplikasi Windows tetapi jangan mengharapkan GUI yang mewah. Ini adalah utiliti baris arahan sahaja. Oleh itu, menggunakan Windump pada dasarnya adalah sama seperti menggunakan rakan sejawat Unixnya. Pilihan baris arahan adalah sama dan hasilnya juga hampir sama. Output daripada Windump juga boleh disimpan ke fail untuk analisis kemudian dengan alat pihak ketiga.

Satu perbezaan utama dengan tcpdump ialah Windump tidak dibina ke dalam Windows. Anda perlu memuat turunnya daripada tapak web Windump . Perisian ini dihantar sebagai fail boleh laku dan tidak memerlukan pemasangan. Walau bagaimanapun, sama seperti tcpdump menggunakan perpustakaan libpcap, Windump menggunakan Winpcap yang, seperti kebanyakan perpustakaan Windows, perlu dimuat turun dan dipasang secara berasingan.

4. Wireshark

Wireshark adalah rujukan dalam penghidu paket. Ia telah menjadi standard de-facto dan kebanyakan alat lain cenderung untuk menirunya. Alat ini bukan sahaja akan menangkap trafik, ia juga mempunyai keupayaan analisis yang cukup kuat. Sangat berkuasa sehingga ramai pentadbir akan menggunakan tcpdump atau Windump untuk menangkap trafik ke fail kemudian memuatkan fail ke Wireshark untuk analisis. Ini adalah cara biasa menggunakan Wireshark yang apabila dimulakan, anda digesa sama ada membuka fail pcap sedia ada atau mula menangkap trafik. Satu lagi kekuatan Wireshark ialah semua penapis yang digabungkan yang membolehkan anda memusatkan perhatian tepat pada data yang anda minati.

Sejujurnya, alat ini mempunyai keluk pembelajaran yang curam tetapi ia adalah pembelajaran yang berbaloi. Ia akan membuktikan tidak ternilai dari semasa ke semasa. Dan setelah anda mempelajarinya, anda akan dapat menggunakannya di mana-mana kerana ia telah dialihkan ke hampir setiap sistem pengendalian dan ia adalah percuma dan sumber terbuka.

5. tshark

Tshark adalah seperti persilangan antara tcpdump dan Wireshark. Ini adalah perkara yang hebat kerana mereka adalah beberapa penghidu paket terbaik di luar sana. Tshark adalah seperti tcpdump kerana ia adalah alat baris arahan sahaja. Tetapi ia juga seperti Wireshark kerana ia bukan sahaja menangkap tetapi juga menganalisis trafik. Tshark adalah daripada pembangun yang sama seperti Wireshark. Ia adalah, lebih kurang, versi baris arahan Wireshark. Ia menggunakan jenis penapisan yang sama seperti Wireshark dan oleh itu boleh mengasingkan dengan cepat hanya trafik yang anda perlukan untuk menganalisis.

Tetapi mengapa, anda mungkin bertanya, adakah sesiapa mahu versi baris arahan Wireshark? Mengapa tidak menggunakan Wireshark sahaja; dengan antara muka grafiknya, ia mesti lebih mudah untuk digunakan dan dipelajari? Sebab utama ialah ia membolehkan anda menggunakannya pada pelayan bukan GUI.

6. Pelombong Rangkaian

Network Miner adalah lebih kepada alat forensik daripada penghidu paket sebenar. Network Miner akan mengikuti aliran TCP dan membina semula keseluruhan perbualan. Ia benar-benar satu alat yang berkuasa. Ia boleh berfungsi dalam mod luar talian di mana anda akan mengimport beberapa fail tangkapan untuk membolehkan Network Miner melakukan keajaibannya. Ini adalah ciri yang berguna kerana perisian ini hanya berjalan pada Windows. Anda boleh menggunakan tcpdump pada Linux untuk menangkap beberapa trafik dan Network Miner pada Windows untuk menganalisisnya.

Pelombong Rangkaian tersedia dalam versi percuma tetapi, untuk ciri yang lebih maju seperti geolokasi dan skrip berasaskan IP, anda perlu membeli lesen Profesional. Satu lagi fungsi lanjutan versi profesional ialah kemungkinan untuk menyahkod dan memainkan semula panggilan VoIP.

7. Fiddler (HTTP)

Sesetengah pembaca kami yang lebih berpengetahuan mungkin berpendapat bahawa Fiddler bukanlah penghidu paket dan bukan juga penganalisis rangkaian. Mereka mungkin betul tetapi kami merasakan kami harus memasukkan alat ini dalam senarai kami kerana ia sangat berguna dalam banyak situasi. Fiddler sebenarnya akan menangkap trafik tetapi bukan sebarang trafik. Ia hanya berfungsi dengan trafik HTTP. Anda boleh bayangkan betapa berharganya ia walaupun terhad apabila anda menganggap bahawa begitu banyak aplikasi hari ini adalah berasaskan web atau menggunakan protokol HTTP di latar belakang. Dan kerana Fiddler akan menangkap bukan sahaja trafik penyemak imbas tetapi hampir mana-mana HTTP, ia sangat berguna dalam menyelesaikan masalah

Kelebihan alat seperti Fiddler berbanding penghidu paket bona fide seperti, contohnya, Wireshark, ialah Fiddler dibina untuk "memahami" trafik HTTP. Ia akan, sebagai contoh, menemui kuki dan sijil. Ia juga akan mencari data sebenar yang datang daripada aplikasi berasaskan HTTP. Fiddler adalah percuma dan ia tersedia untuk Windows sahaja walaupun binaan beta untuk OS X dan Linux (menggunakan rangka kerja Mono) boleh dimuat turun.

Kesimpulan

Apabila kami menerbitkan senarai seperti ini, kami sering ditanya yang mana satu yang terbaik. Dalam situasi khusus ini, jika saya ditanya soalan itu, saya perlu menjawab "semuanya". Semuanya adalah alat percuma dan semuanya mempunyai nilai mereka. Mengapa tidak mempunyai mereka semua di tangan dan membiasakan diri anda dengan setiap satu. Apabila anda sampai ke situasi di mana anda perlu menggunakannya, ia akan menjadi lebih mudah dan cekap. Malah alat baris arahan mempunyai nilai yang luar biasa. Sebagai contoh, mereka boleh diskrip dan dijadualkan. Bayangkan anda mempunyai masalah yang berlaku pada pukul 2:00 pagi setiap hari. Anda boleh menjadualkan kerja untuk menjalankan tcpdump Windump antara 1:50 dan 2:10 dan menganalisis fail tangkapan pada keesokan harinya. Tidak perlu berjaga sepanjang malam.