สุดยอด Packet Sniffers และเครื่องมือวิเคราะห์เครือข่าย – 7 อันดับแรกที่ได้รับการตรวจสอบในปี 2021

การดมกลิ่นแพ็คเก็ตเป็นการวิเคราะห์เครือข่ายแบบลึกซึ่งรายละเอียดของการรับส่งข้อมูลเครือข่ายจะถูกถอดรหัสเพื่อวิเคราะห์ เป็นหนึ่งในทักษะการแก้ไขปัญหาที่สำคัญที่สุดที่ผู้ดูแลระบบเครือข่ายควรมี การวิเคราะห์ทราฟฟิกเครือข่ายเป็นงานที่ซับซ้อน เพื่อรับมือกับเครือข่ายที่ไม่น่าเชื่อถือ ข้อมูลจะไม่ถูกส่งไปในสตรีมที่ต่อเนื่องกัน แต่จะสับเป็นชิ้นเล็กชิ้นน้อยแทน การวิเคราะห์ทราฟฟิกเครือข่ายเกี่ยวข้องกับความสามารถในการรวบรวมแพ็กเก็ตข้อมูลเหล่านี้และประกอบกลับเป็นสิ่งที่มีความหมาย นี่ไม่ใช่สิ่งที่คุณสามารถทำได้ด้วยตนเอง ดังนั้นจึงสร้างตัวดักจับแพ็กเก็ตและตัววิเคราะห์เครือข่าย วันนี้ เรากำลังดูเจ็ดตัวดมกลิ่นแพ็กเก็ตและเครื่องมือวิเคราะห์เครือข่ายที่ดีที่สุด

เรากำลังเริ่มต้นการเดินทางของวันนี้โดยให้ข้อมูลพื้นฐานแก่คุณว่าการดมกลิ่นแพ็คเก็ตคืออะไร เราจะพยายามหาว่าความแตกต่างคืออะไร หรือถ้ามีความแตกต่างระหว่าง packet sniffer กับ network analyzer จากนั้นเราจะไปที่แกนของหัวข้อของเราและไม่เพียง แต่ทำรายการเท่านั้น แต่ยังทบทวนการเลือกเจ็ดรายการของเราโดยย่อ สิ่งที่เรามีให้คุณคือการรวมกันของเครื่องมือ GUI และยูทิลิตี้บรรทัดคำสั่งที่ทำงานบนระบบปฏิบัติการต่างๆ

คำไม่กี่คำเกี่ยวกับ Packet Sniffers และ Network Analyzer

เริ่มต้นด้วยการชำระบางสิ่ง เพื่อประโยชน์ของบทความนี้ เราจะถือว่าตัวดมกลิ่นแพ็คเก็ตและตัววิเคราะห์เครือข่ายเป็นสิ่งเดียวกัน บางคนจะโต้แย้งว่าพวกเขาแตกต่างกันและอาจถูกต้อง แต่ในบริบทของบทความนี้ เราจะพิจารณาร่วมกัน ส่วนใหญ่เป็นเพราะแม้ว่าการทำงานอาจแตกต่างไปจากนี้ แต่จริงๆ แล้วสิ่งเหล่านี้มีจุดประสงค์เดียวกัน

Packet Sniffers มักจะทำสามสิ่ง ขั้นแรก พวกเขาจับแพ็กเก็ตข้อมูลทั้งหมดเมื่อเข้าหรือออกจากอินเทอร์เฟซเครือข่าย ประการที่สอง พวกเขาเลือกใช้ตัวกรองเพื่อละเว้นบางแพ็กเก็ตและบันทึกรายการอื่นลงในดิสก์ จากนั้นพวกเขาทำการวิเคราะห์ข้อมูลที่จับได้บางรูปแบบ มันอยู่ในหน้าที่สุดท้ายของการดมกลิ่นแพ็คเก็ตที่ต่างกันมากที่สุด

สำหรับการดักจับแพ็กเก็ตข้อมูลจริง เครื่องมือส่วนใหญ่ใช้โมดูลภายนอก โดยทั่วไปคือ libpcap บนระบบ Unix/Linux และ Winpcap บน Windows โดยปกติแล้ว คุณจะไม่ต้องติดตั้งเครื่องมือเหล่านี้ เนื่องจากมักจะติดตั้งโดยตัวติดตั้งเครื่องมือต่างๆ

สิ่งสำคัญอีกอย่างที่ควรทราบคือ Packet Sniffers แม้จะดีที่สุดก็ไม่สามารถทำทุกอย่างให้คุณได้ พวกเขาเป็นเพียงเครื่องมือ มันเหมือนกับค้อนที่ไม่ยอมตอกตะปูด้วยตัวมันเอง ดังนั้น คุณต้องแน่ใจว่าคุณเรียนรู้วิธีใช้เครื่องมือแต่ละอย่างให้ดีที่สุด การดมกลิ่นแพ็คเก็ตจะช่วยให้คุณเห็นทราฟฟิก แต่ขึ้นอยู่กับคุณที่จะใช้ข้อมูลนั้นเพื่อค้นหาปัญหา มีหนังสือทั้งเล่มเกี่ยวกับการใช้เครื่องมือจับแพ็คเก็ต ตัวฉันเองเคยเรียนหลักสูตรสามวันในวิชานี้ ฉันไม่ได้พยายามที่จะกีดกันคุณ ฉันแค่พยายามทำให้ความคาดหวังของคุณตรงไปตรงมา

วิธีใช้ Packet Sniffer

ดังที่เราได้อธิบายไปแล้ว ตัวดักจับแพ็กเก็ตจะดักจับและวิเคราะห์ทราฟฟิก ดังนั้น หากคุณกำลังพยายามแก้ไขปัญหาใดปัญหาหนึ่ง ซึ่งโดยทั่วไปแล้วเป็นสาเหตุว่าทำไมคุณจึงใช้เครื่องมือดังกล่าว ก่อนอื่นคุณต้องตรวจสอบให้แน่ใจว่าการรับส่งข้อมูลที่คุณจับภาพนั้นเป็นการรับส่งข้อมูลที่ถูกต้อง ลองนึกภาพสถานการณ์ที่ผู้ใช้ทุกคนบ่นว่าแอปพลิเคชั่นบางตัวทำงานช้า ในสถานการณ์แบบนั้น ทางออกที่ดีที่สุดของคุณน่าจะเป็นการจับทราฟฟิกที่อินเทอร์เฟซเครือข่ายของเซิร์ฟเวอร์แอปพลิเคชัน จากนั้นคุณอาจตระหนักว่าคำขอมาถึงเซิร์ฟเวอร์ตามปกติ แต่เซิร์ฟเวอร์ใช้เวลานานในการตอบกลับ นั่นจะบ่งบอกถึงปัญหาเซิร์ฟเวอร์

ในทางกลับกัน หากคุณเห็นว่าเซิร์ฟเวอร์ตอบสนองอย่างทันท่วงที อาจหมายความว่าปัญหาอยู่ที่ใดที่หนึ่งในเครือข่ายระหว่างไคลเอนต์และเซิร์ฟเวอร์ จากนั้นคุณจะย้าย sniffer แพ็กเก็ตของคุณเข้าไปใกล้ๆ กับไคลเอ็นต์หนึ่งฮ็อป และดูว่าการตอบสนองนั้นล่าช้าหรือไม่ หากไม่เป็นเช่นนั้น คุณจะเข้าใกล้ลูกค้ามากขึ้นเรื่อยๆ และอื่นๆ เป็นต้น ในที่สุด คุณจะไปถึงจุดที่เกิดการล่าช้า และเมื่อคุณระบุตำแหน่งของปัญหาได้แล้ว คุณก็เข้าใกล้การแก้ปัญหามากขึ้นไปอีกขั้น

ตอนนี้ คุณอาจสงสัยว่าเราจัดการจับแพ็กเก็ต ณ จุดใดจุดหนึ่งได้อย่างไร ง่ายมาก เราใช้ประโยชน์จากคุณลักษณะของสวิตช์เครือข่ายส่วนใหญ่ที่เรียกว่าการทำมิเรอร์พอร์ตหรือการจำลองแบบ นี่คือตัวเลือกการกำหนดค่าที่จะจำลองการรับส่งข้อมูลทั้งหมดเข้าและออกจากพอร์ตสวิตช์เฉพาะไปยังพอร์ตอื่นบนสวิตช์เดียวกัน สมมติว่าเซิร์ฟเวอร์ของคุณเชื่อมต่อกับพอร์ต 15 ของสวิตช์ และพอร์ต 23 ของสวิตช์เดียวกันนั้นพร้อมใช้งาน คุณเชื่อมต่อ sniffer แพ็กเก็ตของคุณกับพอร์ต 23 และกำหนดค่าสวิตช์เพื่อจำลองการรับส่งข้อมูลทั้งหมดจากพอร์ต 15 ไปยังพอร์ต 23 สิ่งที่คุณได้รับจากพอร์ต 23 คือภาพมิเรอร์ - ดังนั้นชื่อพอร์ตมิเรอร์ - ของสิ่งที่เกิดขึ้นผ่านพอร์ต 15

สุดยอด Packet Sniffers และเครื่องวิเคราะห์เครือข่าย

ตอนนี้คุณเข้าใจดีขึ้นแล้วว่าตัวดักจับแพ็กเก็ตและตัววิเคราะห์เครือข่ายคืออะไร มาดูกันว่าเจ็ดสิ่งที่ดีที่สุดที่เราหาได้มีอะไรบ้าง เราได้พยายามรวมเครื่องมือบรรทัดคำสั่งและ GUI รวมทั้งเครื่องมือที่ทำงานบนระบบปฏิบัติการต่างๆ ท้ายที่สุดแล้ว ผู้ดูแลระบบเครือข่ายบางคนก็ไม่ได้ใช้งาน Windows

1. เครื่องมือตรวจสอบและวิเคราะห์แพ็คเก็ต Deep SolarWinds (ทดลองใช้ฟรี)

SolarWinds ขึ้นชื่อเรื่องเครื่องมือฟรีที่มีประโยชน์มากมายและซอฟต์แวร์การจัดการเครือข่ายที่ทันสมัย หนึ่งในเครื่องมือของมันจะถูกเรียกว่าการตรวจสอบตลึกและเครื่องมือการวิเคราะห์ มาเป็นส่วนหนึ่งของผลิตภัณฑ์เรือธงของ SolarWinds นั่นคือ Network Performance Monitor การทำงานของมันค่อนข้างแตกต่างจากการดมกลิ่นแพ็คเก็ตแบบ "ดั้งเดิม" มากกว่า แม้ว่าจะมีจุดประสงค์ที่คล้ายคลึงกัน

เพื่อสรุปฟังก์ชันการทำงานของเครื่องมือ: จะช่วยคุณค้นหาและแก้ไขสาเหตุของเวลาแฝงของเครือข่าย ระบุแอปพลิเคชันที่ได้รับผลกระทบ และตรวจสอบว่าความช้าเกิดจากเครือข่ายหรือแอปพลิเคชันหรือไม่ ซอฟต์แวร์นี้ยังจะใช้เทคนิคการตรวจสอบแพ็คเก็ตในเชิงลึกเพื่อคำนวณเวลาตอบสนองสำหรับแอปพลิเคชันมากกว่าสิบสองร้อยรายการ นอกจากนี้ยังจัดประเภททราฟฟิกเครือข่ายตามหมวดหมู่ ธุรกิจกับสังคม และระดับความเสี่ยง ช่วยให้คุณระบุทราฟฟิกที่ไม่ใช่ของธุรกิจที่อาจจำเป็นต้องกรองหรือกำจัดออกไป

และอย่าลืมว่าเครื่องมือตรวจสอบและวิเคราะห์ Deep Packet ของ SolarWinds นั้นเป็นส่วนหนึ่งของ Network Performance Monitor NPM ซึ่งมักเรียกกันว่าเป็นซอฟต์แวร์ที่น่าประทับใจซึ่งมีส่วนประกอบมากมายที่สามารถทุ่มเทให้กับบทความทั้งหมดได้ หัวใจสำคัญของมันคือโซลูชันการตรวจสอบเครือข่ายที่สมบูรณ์ ซึ่งรวมเทคโนโลยีที่ดีที่สุด เช่น SNMP และการตรวจสอบแพ็คเก็ตในเชิงลึก เพื่อให้ข้อมูลเกี่ยวกับสถานะของเครือข่ายของคุณมากที่สุด เครื่องมือซึ่งมีราคาสมเหตุสมผลมาพร้อมกับการทดลองใช้ฟรี 30 วันคุณจึงมั่นใจได้ว่าเครื่องมือนี้เหมาะกับความต้องการของคุณจริงๆ ก่อนตัดสินใจซื้อ

ลิงค์ดาวน์โหลดอย่างเป็นทางการ:  https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

Tcpdumpน่าจะเป็นตัวดมกลิ่นแพ็คเก็ตดั้งเดิม มันถูกสร้างขึ้นในปี 1987 ตั้งแต่นั้นมา ก็มีการบำรุงรักษาและปรับปรุงแต่โดยพื้นฐานแล้วยังคงไม่เปลี่ยนแปลง อย่างน้อยก็เป็นวิธีที่ใช้ มีการติดตั้งไว้ล่วงหน้าในระบบปฏิบัติการที่คล้าย Unix ทุกเครื่อง และกลายเป็นมาตรฐานโดยพฤตินัยเมื่อต้องการเครื่องมือด่วนในการดักจับแพ็กเก็ต Tcpdump ใช้ไลบรารี libpcap สำหรับการดักจับแพ็กเก็ตจริง

โดยค่าเริ่มต้น. tcpdump จับการรับส่งข้อมูลทั้งหมดบนอินเทอร์เฟซที่ระบุและ "ทิ้ง" ดังนั้นจึงเป็นชื่อบนหน้าจอ ดัมพ์ยังสามารถไพพ์ไปยังไฟล์การดักจับและวิเคราะห์ในภายหลังโดยใช้เครื่องมือที่มีอยู่อย่างใดอย่างหนึ่งหรือหลายอย่างรวมกัน กุญแจสำคัญในความแข็งแกร่งและประโยชน์ของ tcpdump คือความเป็นไปได้ที่จะใช้ตัวกรองทุกประเภทและไพพ์เอาต์พุตไปยัง grep ซึ่งเป็นยูทิลิตี้บรรทัดคำสั่ง Unix ทั่วไปอีกตัวหนึ่งสำหรับการกรองเพิ่มเติม ผู้ที่มีความรู้เกี่ยวกับ tcpdump, grep และ command shell เป็นอย่างดีสามารถดึงทราฟฟิกที่ถูกต้องแม่นยำสำหรับงานดีบักต่างๆ ได้

3. วินดัม

Windumpเป็นเพียงพอร์ตของ tcpdump ไปยังแพลตฟอร์ม Windows ดังนั้นมันจึงมีพฤติกรรมในลักษณะเดียวกันมาก ไม่ใช่เรื่องแปลกที่จะเห็นพอร์ตดังกล่าวของโปรแกรมยูทิลิตี้ที่ประสบความสำเร็จจากแพลตฟอร์มหนึ่งไปยังอีกแพลตฟอร์มหนึ่ง Windump เป็นแอปพลิเคชั่น Windows แต่อย่าคาดหวัง GUI ที่สวยงาม นี่เป็นยูทิลิตี้บรรทัดคำสั่งเท่านั้น ดังนั้นการ���ช้ Windump จึงเหมือนกับการใช้ Unix ที่เทียบเท่ากัน ตัวเลือกบรรทัดคำสั่งจะเหมือนกันและผลลัพธ์ก็เกือบจะเหมือนกัน เอาต์พุตจาก Windump ยังสามารถบันทึกลงในไฟล์เพื่อการวิเคราะห์ในภายหลังด้วยเครื่องมือของบุคคลที่สาม

ข้อแตกต่างที่สำคัญประการหนึ่งกับ tcpdump คือ Windump ไม่ได้สร้างมาใน Windows คุณจะต้องดาวน์โหลดได้จากเว็บไซต์ WinDump ซอฟต์แวร์จัดส่งเป็นไฟล์ปฏิบัติการและไม่ต้องติดตั้ง อย่างไรก็ตาม เช่นเดียวกับ tcpdump ที่ใช้ไลบรารี libpcap Windump ใช้ Winpcap ซึ่งต้องดาวน์โหลดและติดตั้งแยกต่างหาก เช่นเดียวกับไลบรารี Windows ส่วนใหญ่

4. Wireshark

Wiresharkเป็นข้อมูลอ้างอิงในการดมกลิ่นแพ็คเก็ต มันได้กลายเป็นมาตรฐานโดยพฤตินัยและเครื่องมืออื่น ๆ ส่วนใหญ่มักจะเลียนแบบ เครื่องมือนี้จะไม่เพียงแต่จับปริมาณข้อมูลเท่านั้น แต่ยังมีความสามารถในการวิเคราะห์ที่ทรงพลังอีกด้วย มีประสิทธิภาพมากจนผู้ดูแลระบบจำนวนมากใช้ tcpdump หรือ Windump เพื่อบันทึกการรับส่งข้อมูลไปยังไฟล์ จากนั้นโหลดไฟล์ลงใน Wireshark เพื่อการวิเคราะห์ นี่เป็นวิธีทั่วไปในการใช้ Wireshark ซึ่งเมื่อเริ่มต้นระบบ คุณจะได้รับแจ้งให้เปิดไฟล์ pcap ที่มีอยู่หรือเริ่มบันทึกการรับส่งข้อมูล จุดแข็งอีกประการของ Wireshark คือตัวกรองทั้งหมดที่รวมไว้ซึ่งช่วยให้คุณระบุข้อมูลที่คุณสนใจเป็นศูนย์ได้อย่างแม่นยำ

ตามจริงแล้วเครื่องมือนี้มีช่วงการเรียนรู้ที่สูงชัน แต่ก็คุ้มค่าที่จะเรียนรู้ จะพิสูจน์ให้เห็นคุณค่าครั้งแล้วครั้งเล่า และเมื่อคุณได้เรียนรู้มันแล้ว คุณจะสามารถใช้งานได้ทุกที่ เนื่องจากมันถูกย้ายไปยังระบบปฏิบัติการเกือบทุกระบบ และเป็นโอเพ่นซอร์สฟรี

5. ฉลาม

Tsharkเป็นเหมือนลูกผสมระหว่าง tcpdump และ Wireshark นี่เป็นสิ่งที่ดีเพราะเป็นเครื่องดมกลิ่นแพ็คเก็ตที่ดีที่สุด Tshark เหมือนกับ tcpdump เนื่องจากเป็นเครื่องมือบรรทัดคำสั่งเท่านั้น แต่มันก็เหมือนกับ Wireshark ที่ไม่เพียงแต่จับภาพ แต่ยังวิเคราะห์ปริมาณการใช้งานด้วย Tshark มาจากนักพัฒนาเดียวกันกับ Wireshark เป็นเวอร์ชันบรรทัดคำสั่งของ Wireshark ไม่มากก็น้อย ใช้การกรองประเภทเดียวกับ Wireshark และสามารถแยกเฉพาะการรับส่งข้อมูลที่คุณต้องการวิเคราะห์ได้อย่างรวดเร็ว

แต่ทำไมคุณอาจถามว่ามีใครต้องการ Wireshark เวอร์ชันบรรทัดคำสั่งหรือไม่ ทำไมไม่เพียงแค่ใช้ Wireshark; ด้วยอินเทอร์เฟซแบบกราฟิก มันต้องใช้งานและเรียนรู้ได้ง่ายขึ้นไหม สาเหตุหลักคือมันจะช่วยให้คุณใช้งานบนเซิร์ฟเวอร์ที่ไม่ใช่ GUI ได้

6. นักขุดเครือข่าย

Network Minerเป็นเครื่องมือทางนิติวิทยาศาสตร์มากกว่าการดมกลิ่นแพ็กเก็ตจริง Network Miner จะติดตามสตรีม TCP และสร้างการสนทนาใหม่ทั้งหมด เป็นเครื่องมือที่ทรงพลังอย่างแท้จริง มันสามารถทำงานในโหมดออฟไลน์ซึ่งคุณจะต้องนำเข้าไฟล์จับภาพเพื่อให้ Network Miner ทำงานได้อย่างมหัศจรรย์ นี่เป็นคุณสมบัติที่มีประโยชน์เนื่องจากซอฟต์แวร์ทำงานบน Windows เท่านั้น คุณสามารถใช้ tcpdump บน Linux เพื่อบันทึกการรับส่งข้อมูลและ Network Miner บน Windows เพื่อวิเคราะห์

Network Miner มีให้บริการในเวอร์ชันฟรี แต่สำหรับคุณลักษณะขั้นสูง เช่น ตำแหน่งทางภูมิศาสตร์และการเขียนสคริปต์ตาม IP คุณจะต้องซื้อใบอนุญาต Profesional ฟังก์ชันขั้นสูงอีกประการหนึ่งของเวอร์ชันสำหรับมืออาชีพคือความสามารถในการถอดรหัสและเล่นการโทร VoIP

7. นักเล่นไวโอลิน (HTTP)

ผู้อ่านที่มีความรู้มากขึ้นบางคนของเราอาจโต้แย้งว่า Fiddler ไม่ใช่นักดมกลิ่นแพ็กเก็ตและไม่ใช่เครื่องมือวิเคราะห์เครือข่าย มันอาจจะถูกต้อง แต่เรารู้สึกว่าเราควรรวมเครื่องมือนี้ไว้ในรายการของเรา เนื่องจากมันมีประโยชน์มากในหลาย ๆ สถานการณ์ Fiddlerจะจับทราฟฟิกจริง ๆ แต่จะไม่จับทราฟฟิกใดๆ ใช้งานได้กับทราฟฟิก HTTP เท่านั้น คุณสามารถจินตนาการถึงคุณค่าของมันได้แม้จะมีข้อจำกัด เมื่อคุณพิจารณาว่าแอปพลิเคชั่นจำนวนมากในปัจจุบันเป็นแบบเว็บหรือใช้โปรโตคอล HTTP ในพื้นหลัง และเนื่องจาก Fiddler จะบันทึกการรับส่งข้อมูลของเบราว์เซอร์ไม่เพียงแต่เกี่ยวกับ HTTP ใดๆ จึงมีประโยชน์มากในการแก้ปัญหา

ข้อดีของเครื่องมืออย่าง Fiddler เหนือการดมกลิ่นแพ็กเก็ตที่แท้จริง เช่น Wireshark คือ Fiddler สร้างขึ้นเพื่อ "เข้าใจ" การรับส่งข้อมูล HTTP ตัวอย่างเช่นจะค้นพบคุกกี้และใบรับรอง นอกจากนี้ยังจะค้นหาข้อมูลจริงที่มาจากแอปพลิเคชันที่ใช้ HTTP Fiddler ฟรีและพร้อมใช้งานสำหรับ Windows เท่านั้น แม้ว่าจะดาวน์โหลดรุ่นเบต้าสำหรับ OS X และ Linux (โดยใช้เฟรมเวิร์กแบบโมโน) ได้

บทสรุป

เมื่อเราเผยแพร่รายการเช่นนี้ เรามักถูกถามว่ารายการใดดีที่สุด ในสถานการณ์เฉพาะนี้ หากฉันถูกถามคำถามนั้น ฉันต้องตอบ "ทุกข้อ" ทั้งหมดเป็นเครื่องมือฟรีและมีคุณค่า ทำไมไม่ให้พวกเขาทั้งหมดอยู่ในมือและทำความคุ้นเคยกับแต่ละคน เมื่อคุณไปถึงสถานการณ์ที่คุณต้องการใช้ มันจะง่ายขึ้นและมีประสิทธิภาพมาก แม้แต่เครื่องมือบรรทัดคำสั่งก็มีค่ามหาศาล ตัวอย่างเช่น สามารถเขียนสคริปต์และกำหนดเวลาได้ ลองนึกภาพคุณมีปัญหาที่เกิดขึ้นเวลา 02:00 น. ทุกวัน คุณสามารถกำหนดเวลางานเพื่อเรียกใช้ tcpdump ของ Windump ระหว่าง 1:50 ถึง 2:10 และวิเคราะห์ไฟล์จับภาพในเช้าวันรุ่งขึ้น ไม่ต้องนอนทั้งคืน