Лучшие снифферы пакетов и анализаторы сетей - 7 лучших проверенных в 2021 году

Отслеживание пакетов - это глубокий тип сетевого анализа, в котором детали сетевого трафика декодируются для анализа. Это один из важнейших навыков устранения неполадок, которым должен обладать любой сетевой администратор. Анализ сетевого трафика - сложная задача. Чтобы справиться с ненадежными сетями, данные не отправляются одним непрерывным потоком. Вместо этого он измельчается на фрагменты, отправляемые по отдельности. Анализ сетевого трафика включает в себя возможность собрать эти пакеты данных и собрать их во что-то значимое. Это не то, что вы можете сделать вручную, поэтому были созданы анализаторы пакетов и анализаторы сети. Сегодня мы рассмотрим семь лучших снифферов пакетов и сетевых анализаторов.

Мы начинаем сегодняшнее путешествие с предоставления вам некоторой справочной информации о том, что такое анализаторы пакетов. Мы попытаемся понять, в чем разница - или есть ли разница - между сниффером пакетов и анализатором сети. Затем мы перейдем к сути нашей темы и не только составим список, но и кратко рассмотрим каждый из семи выбранных нами вариантов. У нас есть для вас комбинация инструментов с графическим интерфейсом и утилит командной строки, которые работают в различных операционных системах.

Несколько слов о анализаторах пакетов и сетевых анализаторах

Начнем с того, что кое-что уладим. В рамках данной статьи мы предположим, что снифферы пакетов и сетевые анализаторы - это одно и то же. Некоторые будут утверждать, что они разные, и могут быть правы. Но в контексте этой статьи мы рассмотрим их вместе, главным образом потому, что, хотя они могут работать по-разному - но действительно ли они? - они служат одной цели.

Снифферы пакетов обычно делают три вещи. Во-первых, они захватывают все пакеты данных при входе в сетевой интерфейс или выходе из него. Во-вторых, они дополнительно применяют фильтры, чтобы игнорировать одни пакеты и сохранять другие на диск. Затем они выполняют некоторую форму анализа собранных данных. Именно в последней функции анализаторов пакетов они различаются больше всего.

Для фактического захвата пакетов данных большинство инструментов используют внешний модуль. Наиболее распространены libpcap в системах Unix / Linux и Winpcap в Windows. Обычно вам не нужно устанавливать эти инструменты, поскольку они обычно устанавливаются различными установщиками инструментов.

Еще одна важная вещь, которую следует знать, это то, что анализаторы пакетов - даже самые лучшие - не сделают всего за вас. Это просто инструменты. Это как молоток, который сам по себе не забьет ни один гвоздь. Итак, вам нужно убедиться, что вы научились наилучшим образом использовать каждый инструмент. Анализатор пакетов просто позволит вам увидеть трафик, но вы должны использовать эту информацию для поиска проблем. Существовали целые книги по использованию инструментов захвата пакетов. Я сам однажды прошел трехдневный курс по этой теме. Я не пытаюсь вас отговорить. Я только пытаюсь оправдать ваши ожидания.

Как использовать анализатор пакетов

Как мы уже объяснили, сниффер пакетов будет захватывать и анализировать трафик. Итак, если вы пытаетесь устранить конкретную проблему - обычно поэтому вы используете такой инструмент - вам сначала нужно убедиться, что трафик, который вы захватываете, является правильным. Представьте себе ситуацию, когда все пользователи жалуются, что определенное приложение работает медленно. В такой ситуации лучшим вариантом, вероятно, будет захват трафика на сетевом интерфейсе сервера приложений. Тогда вы можете понять, что запросы поступают на сервер нормально, но сервер долго отправляет ответы. Это указывало бы на проблему с сервером.

Если, с другой стороны, вы видите, что сервер отвечает своевременно, это, возможно, означает, что проблема находится где-то в сети между клиентом и сервером. Затем вы переместите анализатор пакетов на один шаг ближе к клиенту и посмотрите, не задерживаются ли ответы. Если это не так, вы перемещаете больше прыжков ближе к клиенту и так далее, и тому подобное. В конечном итоге вы доберетесь до места, где происходят задержки. И как только вы определили местонахождение проблемы, вы на один большой шаг ближе к ее решению.

Теперь вам может быть интересно, как нам удается захватывать пакеты в определенной точке. Это довольно просто, мы пользуемся функцией большинства сетевых коммутаторов, называемой зеркалированием или репликацией портов. Это вариант конфигурации, который будет реплицировать весь входящий и исходящий трафик определенного порта коммутатора на другой порт того же коммутатора. Допустим, ваш сервер подключен к порту 15 коммутатора, и этот порт 23 того же коммутатора доступен. Вы подключаете анализатор пакетов к порту 23 и настраиваете коммутатор для репликации всего трафика с порта 15 на порт 23. В результате вы получаете на порту 23 зеркальное отображение - отсюда и имя зеркального отображения порта - того, что проходит через порт 15.

Лучшие снифферы пакетов и анализаторы сетей

Теперь, когда вы лучше понимаете, что такое анализаторы пакетов и анализаторы сети, давайте посмотрим, какие семь лучших мы смогли найти. Мы попытались включить сочетание инструментов командной строки и графического интерфейса, а также инструменты, работающие в различных операционных системах. В конце концов, не все сетевые администраторы используют Windows.

1. Инструмент SolarWinds Deep Packet Inspection and Analysis (БЕСПЛАТНАЯ ПРОБНАЯ ИНФОРМАЦИЯ)

SolarWinds хорошо известна своими многочисленными полезными бесплатными инструментами и современным программным обеспечением для управления сетью. Один из его инструментов называется Deep Packet Inspection and Analysis Tool . Он входит в состав флагманского продукта SolarWinds - Network Performance Monitor. Его работа сильно отличается от более «традиционных» анализаторов пакетов, хотя и служит той же цели.

Подводя итог функциональности инструмента: он поможет вам найти и устранить причину задержек в сети, выявить затронутые приложения и определить, вызвана ли медленность сетью или приложением. Программное обеспечение также будет использовать методы глубокой проверки пакетов для расчета времени отклика для более чем двенадцати сотен приложений. Он также классифицирует сетевой трафик по категориям, бизнес-трафик против социального, а также по уровню риска, помогая вам идентифицировать некоммерческий трафик, который может потребоваться отфильтровать или иным образом исключить.

И не забывайте, что инструмент SolarWinds Deep Packet Inspection and Analysis Tool входит в состав Network Performace Monitor. NPM, как его часто называют, представляет собой впечатляющую программу с таким количеством компонентов, что ей можно было бы посвятить целую статью. По сути, это комплексное решение для мониторинга сети, сочетающее в себе лучшие технологии, такие как SNMP и глубокая проверка пакетов, чтобы предоставить как можно больше информации о состоянии вашей сети. Инструмент по разумной цене поставляется с 30-дневной бесплатной пробной версией, поэтому вы можете убедиться, что он действительно соответствует вашим потребностям, прежде чем совершать покупку.

Официальная ссылка для скачивания:  https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

Tcpdump - это, вероятно, САМЫЙ оригинальный сниффер пакетов. Он был создан еще в 1987 году. С тех пор он поддерживался и улучшался, но по существу остается неизменным, по крайней мере, в том, как он используется. Он предустановлен практически в каждой Unix-подобной операционной системе и стал де-факто стандартом, когда требуется быстрый инструмент для захвата пакетов. Tcpdump использует библиотеку libpcap для фактического захвата пакетов.

По умолчанию. tcpdump захватывает весь трафик на указанном интерфейсе и «выгружает» его - отсюда и его название - на экран. Дамп также можно передать по конвейеру в файл захвата и проанализировать позже с помощью одного или комбинации нескольких доступных инструментов. Ключом к силе и полезности tcpdump является возможность применять всевозможные фильтры и передавать его вывод в grep - еще одну распространенную утилиту командной строки Unix - для дальнейшей фильтрации. Кто-то, хорошо знакомый с tcpdump, grep и командной оболочкой, может заставить его захватывать именно правильный трафик для любой задачи отладки.

3. Windump

Windump - это, по сути, просто перенос tcpdump на платформу Windows. Таким образом, он ведет себя примерно так же. Нередко можно увидеть перенос успешных служебных программ с одной платформы на другую. Windump - это приложение для Windows, но не ожидайте красивого графического интерфейса. Это утилита только для командной строки. Таким образом, использование Windump аналогично использованию его аналога в Unix. Параметры командной строки такие же, и результаты также практически идентичны. Вывод Windump также можно сохранить в файл для последующего анализа с помощью стороннего инструмента.

Одно из основных отличий tcpdump заключается в том, что Windump не встроен в Windows. Вам нужно будет скачать его с веб-сайта Windump . Программное обеспечение поставляется в виде исполняемого файла и не требует установки. Однако точно так же, как tcpdump использует библиотеку libpcap, Windump использует Winpcap, который, как и большинство библиотек Windows, необходимо отдельно загружать и устанавливать.

4. Wireshark

Wireshark - это справочник анализаторов пакетов. Он стал стандартом де-факто, и большинство других инструментов стремятся его подражать. Этот инструмент не только захватывает трафик, но и имеет довольно мощные возможности анализа. Настолько мощный, что многие администраторы используют tcpdump или Windump для захвата трафика в файл, а затем загружают файл в Wireshark для анализа. Это настолько распространенный способ использования Wireshark, что при запуске вам предлагается либо открыть существующий файл pcap, либо начать сбор трафика. Еще одна сильная сторона Wireshark - это все встроенные фильтры, которые позволяют сосредоточить внимание именно на тех данных, которые вам интересны.

Честно говоря, этот инструмент требует сложного обучения, но его стоит изучить. Это будет бесценно снова и снова. И как только вы его изучите, вы сможете использовать его повсюду, поскольку он был перенесен практически на все операционные системы, и он является бесплатным и с открытым исходным кодом.

5. tshark

Tshark - это нечто среднее между tcpdump и Wireshark. Это отличная вещь, поскольку они являются одними из лучших анализаторов пакетов. Tshark похож на tcpdump в том, что это инструмент только для командной строки. Но он также похож на Wireshark в том, что он не только захватывает, но и анализирует трафик. Tshark принадлежит тем же разработчикам, что и Wireshark. Это, более или менее, версия Wireshark для командной строки. Он использует тот же тип фильтрации, что и Wireshark, и поэтому может быстро изолировать только трафик, который вам нужно проанализировать.

Но зачем, спросите вы, кому-то нужна версия Wireshark для командной строки? Почему бы просто не использовать Wireshark; с его графическим интерфейсом должно быть проще в использовании и обучении? Основная причина в том, что это позволит вам использовать его на сервере без графического интерфейса.

6. Сетевой майнер

Network Miner - это скорее криминалистический инструмент, чем настоящий анализатор пакетов. Network Miner будет следить за потоком TCP и реконструировать весь диалог. Это действительно мощный инструмент. Он может работать в автономном режиме, когда вы должны импортировать какой-нибудь файл захвата, чтобы Network Miner мог творить чудеса. Это полезная функция, поскольку программа работает только в Windows. Вы можете использовать tcpdump в Linux для захвата некоторого трафика и Network Miner в Windows для его анализа.

Network Miner доступен в бесплатной версии, но для более продвинутых функций, таких как геолокация на основе IP и сценарии, вам необходимо приобрести профессиональную лицензию. Еще одна расширенная функция профессиональной версии - возможность декодировать и воспроизводить звонки VoIP.

7. Скрипач (HTTP)

Некоторые из наших более осведомленных читателей могут возразить, что Fiddler не является ни анализатором пакетов, ни анализатором сети. Возможно, они правы, но мы посчитали, что должны включить этот инструмент в наш список, поскольку он очень полезен во многих ситуациях. Fiddler будет фактически захватывать трафик, но не любой трафик. Работает только с HTTTP-трафиком. Вы можете себе представить, насколько ценным он может быть, несмотря на его ограничения, если учесть, что сегодня очень много приложений являются веб-приложениями или используют протокол HTTP в фоновом режиме. А поскольку Fiddler захватывает не только трафик браузера, но и практически любой HTTP, он очень полезен при устранении неполадок.

Преимущество такого инструмента, как Fiddler, над добросовестным сниффером пакетов, таким как, например, Wireshark, состоит в том, что Fiddler был создан для «понимания» HTTP-трафика. Например, он обнаружит файлы cookie и сертификаты. Он также найдет фактические данные, поступающие из приложений на основе HTTP. Fiddler бесплатен и доступен только для Windows, хотя бета-версии для OS X и Linux (с использованием платформы Mono) можно загрузить.

Вывод

Когда мы публикуем подобные списки, нас часто спрашивают, какой из них лучший. В данной конкретной ситуации, если бы мне задали этот вопрос, я бы ответил «на всех». Все это бесплатные инструменты, и все они имеют свою ценность. Почему бы не иметь их все под рукой и не ознакомиться с каждым из них. Когда вы попадете в ситуацию, когда вам нужно их использовать, это будет намного проще и эффективнее. Даже инструменты командной строки имеют огромное значение. Например, они могут быть написаны и запланированы. Представьте, что у вас проблема, которая возникает ежедневно в 2 часа ночи. Вы можете запланировать задание на запуск tcpdump of Windump между 1:50 и 2:10 и анализ файла захвата на следующее утро. Не нужно спать всю ночь.