En İyi Paket Sniffers ve Ağ Analizörleri - 2021de İncelenen İlk 7

Paket koklama, analiz edilmek üzere ağ trafiğinin ayrıntılarının kodunun çözüldüğü derin bir ağ analizi türüdür. Herhangi bir ağ yöneticisinin sahip olması gereken en önemli sorun giderme becerilerinden biridir. Ağ trafiğini analiz etmek karmaşık bir iştir. Güvenilir olmayan ağlarla başa çıkmak için veriler sürekli bir akışta gönderilmez. Bunun yerine, tek tek gönderilen parçalar halinde doğranır. Ağ trafiğini analiz etmek, bu veri paketlerini toplamayı ve onları anlamlı bir şeye yeniden birleştirmeyi içerir. Bu manuel olarak yapabileceğiniz bir şey değil, bu yüzden paket dinleyicileri ve ağ analizörleri oluşturuldu. Bugün, en iyi yedi paket dinleyicisi ve ağ analizörüne bir göz atıyoruz.

Bugünün yolculuğuna, paket koklayıcıların ne olduğu hakkında bazı arka plan bilgileri vererek başlıyoruz. Bir paket dinleyicisi ile bir ağ analizörü arasındaki farkın ne olduğunu veya bir fark olup olmadığını bulmaya çalışacağız. Daha sonra konumuzla ilgili öze geçeceğiz ve sadece listelemekle kalmayacak, aynı zamanda yedi seçimimizin her birini kısaca gözden geçireceğiz. Sizin için elimizdeki şey, çeşitli işletim sistemlerinde çalışan GUI araçları ve komut satırı yardımcı programlarının bir birleşimidir.

Packet Sniffers ve Network Analyzer'lar Hakkında Birkaç Söz

Bir şeyi ayarlayarak başlayalım. Bu makale uğruna, paket algılayıcıların ve ağ analizörlerinin bir ve aynı olduğunu varsayacağız. Bazıları farklı olduklarını ve haklı olabileceklerini iddia edecekler. Ancak bu makale bağlamında, onlara birlikte bakacağız, çünkü esas olarak farklı şekilde çalışsalar da – ama gerçekten mi? – aynı amaca hizmet ediyorlar.

Packet Sniffers genellikle üç şey yapar. İlk olarak, bir ağ arayüzüne girerken veya çıkarken tüm veri paketlerini yakalarlar. İkincisi, isteğe bağlı olarak bazı paketleri yok saymak ve diğerlerini diske kaydetmek için filtreler uygularlar. Daha sonra yakalanan verilerin bir tür analizini gerçekleştirirler. Paket koklayıcıların bu son işlevinde en çok farklılık gösterirler.

Veri paketlerinin fiili olarak yakalanması için çoğu araç harici bir modül kullanır. En yaygın olanları Unix/Linux sistemlerinde libpcap ve Windows'ta Winpcap'tır. Bu araçları, genellikle farklı araç yükleyicileri tarafından yüklendikleri için yüklemeniz gerekmez.

Bilinmesi gereken bir diğer önemli şey de Packet Sniffers'ın – en iyisi bile – sizin için her şeyi yapmayacağıdır. Onlar sadece birer araçtır. Tıpkı kendi kendine çivi çakmayan bir çekiç gibi. Bu nedenle, her bir aracı en iyi nasıl kullanacağınızı öğrendiğinizden emin olmanız gerekir. Paket dinleyicisi yalnızca trafiği görmenize izin verir, ancak sorunları bulmak için bu bilgileri kullanmak size kalmıştır. Paket yakalama araçlarını kullanma üzerine bütün kitaplar var. Ben kendim, bir keresinde konuyla ilgili üç günlük bir kursa gitmiştim. Seni vazgeçirmeye çalışmıyorum. Ben sadece beklentilerinizi doğru bir şekilde belirlemeye çalışıyorum.

Paket Sniffer Nasıl Kullanılır

Açıkladığımız gibi, bir paket dinleyicisi trafiği yakalayacak ve analiz edecektir. Bu nedenle, belirli bir sorunu gidermeye çalışıyorsanız – ki bu genellikle böyle bir aracı kullanırsınız – öncelikle yakaladığınız trafiğin doğru trafik olduğundan emin olmanız gerekir. Tüm kullanıcıların belirli bir uygulamanın yavaş olduğundan şikayet ettiği bir durum düşünün. Bu tür bir durumda, muhtemelen en iyi seçeneğiniz uygulama sunucusunun ağ arayüzündeki trafiği yakalamak olacaktır. Ardından, isteklerin sunucuya normal şekilde ulaştığını ancak sunucunun yanıt göndermesinin uzun sürdüğünü fark edebilirsiniz. Bu bir sunucu sorununu gösterir.

Öte yandan, sunucunun zamanında yanıt verdiğini görürseniz, sorunun ağda istemci ile sunucu arasında bir yerde olduğu anlamına gelebilir. Daha sonra paket koklayıcınızı istemciye bir adım daha yaklaştıracak ve yanıtların gecikip gecikmediğine bakacaksınız. Değilse, müşteriye daha fazla sıçrama yaparsınız, vb. Sonunda gecikmelerin meydana geldiği noktaya ulaşacaksınız. Ve sorunun yerini belirledikten sonra, onu çözmeye büyük bir adım daha yaklaşmış olursunuz.

Şimdi, paketleri belirli bir noktada yakalamayı nasıl başardığımızı merak ediyor olabilirsiniz. Oldukça basit, çoğu ağ anahtarının bağlantı noktası yansıtma veya çoğaltma adı verilen bir özelliğinden yararlanıyoruz. Bu, belirli bir anahtar bağlantı noktasına giren ve çıkan tüm trafiği aynı anahtardaki başka bir bağlantı noktasına kopyalayacak bir yapılandırma seçeneğidir. Sunucunuzun bir anahtarın 15 numaralı bağlantı noktasına bağlı olduğunu ve aynı anahtarın 23 numaralı bağlantı noktasının kullanılabilir olduğunu varsayalım. Paket dinleyicinizi bağlantı noktası 23'e bağlar ve anahtarı, tüm trafiği bağlantı noktası 15'ten bağlantı noktası 23'e kopyalayacak şekilde yapılandırırsınız. Sonuç olarak, bağlantı noktası 23'te elde ettiğiniz şey, bağlantı noktası 15'ten geçenlerin bir ayna görüntüsüdür – dolayısıyla bağlantı noktası yansıtma adıdır–.

En İyi Paket Dinleyiciler ve Ağ Analizörleri

Artık paket algılayıcıların ve ağ analizörlerinin ne olduğunu daha iyi anladığınıza göre, bulabileceğimiz en iyi yedi tanesine bakalım. Çeşitli işletim sistemlerinde çalışan araçları dahil etmenin yanı sıra komut satırı ve GUI araçlarının bir karışımını dahil etmeye çalıştık. Sonuçta, tüm ağ yöneticileri Windows çalıştırmıyor.

1. SolarWinds Derin Paket İnceleme ve Analiz aracı (ÜCRETSİZ DENEME)

SolarWinds , birçok kullanışlı ücretsiz aracı ve son teknoloji ağ yönetim yazılımı ile tanınır. Araçlarından birine Derin Paket İnceleme ve Analiz Aracı denir. SolarWinds'in amiral gemisi ürünü olan Network Performance Monitor'ün bir bileşeni olarak gelir. Benzer bir amaca hizmet etmesine rağmen, çalışması daha “geleneksel” paket koklayıcılardan oldukça farklıdır.

Aracın işlevselliğini özetlemek gerekirse: ağ gecikmelerinin nedenini bulup çözmenize, etkilenen uygulamaları belirlemenize ve yavaşlığın ağdan mı yoksa bir uygulamadan mı kaynaklandığını belirlemenize yardımcı olur. Yazılım ayrıca bin iki yüzden fazla uygulamanın yanıt süresini hesaplamak için derin paket inceleme tekniklerini kullanacak. Ayrıca ağ trafiğini kategoriye, iş ve sosyal ve risk düzeyine göre sınıflandırarak, filtrelenmesi veya başka bir şekilde ortadan kaldırılması gerekebilecek iş dışı trafiği belirlemenize yardımcı olur.

SolarWinds Deep Packet Inspection and Analysis Tool'un Network Performance Monitor'ün bir parçası olarak geldiğini unutmayın. NPM, sık sık çağrıldığı gibi, o kadar çok bileşene sahip etkileyici bir yazılım parçasıdır ki, bütün bir makale buna adanabilir. Özünde, ağınızın durumu hakkında mümkün olduğunca fazla bilgi sağlamak için SNMP ve derin paket denetimi gibi en iyi teknolojileri birleştiren eksiksiz bir ağ izleme çözümüdür. Makul fiyatlı olan araç, 30 günlük ücretsiz deneme süresiyle birlikte gelir, böylece satın almadan önce gerçekten ihtiyaçlarınıza uygun olduğundan emin olabilirsiniz.

Resmi indirme bağlantısı:  https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

Tcpdump muhtemelen orijinal paket dinleyicisidir. 1987'de oluşturuldu. O zamandan beri, korundu ve geliştirildi, ancak esasen değişmeden kaldı, en azından kullanıldığı şekilde. Hemen hemen her Unix benzeri işletim sistemine önceden yüklenmiştir ve paketleri yakalamak için hızlı bir araca ihtiyaç duyulduğunda fiili standart haline gelmiştir. Tcpdump, gerçek paket yakalama için libpcap kitaplığını kullanır.

Varsayılan olarak. tcpdump, belirtilen arabirimdeki tüm trafiği yakalar ve ekranda "döker" - dolayısıyla adını -. Döküm ayrıca bir yakalama dosyasına aktarılabilir ve daha sonra mevcut birkaç araçtan biri veya bir kombinasyonu kullanılarak analiz edilebilir. tcpdump'ın gücünün ve kullanışlılığının anahtarı, daha fazla filtreleme için her türlü filtreyi uygulama ve çıktısını grep'e – başka bir yaygın Unix komut satırı yardımcı programına – aktarma olasılığıdır. tcpdump, grep ve komut kabuğunu iyi bilen biri, herhangi bir hata ayıklama görevi için tam olarak doğru trafiği yakalamasını sağlayabilir.

3. Windump

Windump , esasen Windows platformuna giden bir tcpdump bağlantı noktasıdır. Bu nedenle, hemen hemen aynı şekilde davranır. Bir platformdan diğerine başarılı yardımcı programların bu tür bağlantı noktalarını görmek nadir değildir. Windump bir Windows uygulamasıdır ancak süslü bir GUI beklemeyin. Bu, yalnızca bir komut satırı yardımcı programıdır. Bu nedenle Windump'ı kullanmak, temelde Unix karşılığını kullanmakla aynıdır. Komut satırı seçenekleri aynıdır ve sonuçlar da hemen hemen aynıdır. Windump'tan alınan çıktı, daha sonra üçüncü taraf bir araçla analiz edilmek üzere bir dosyaya da kaydedilebilir.

tcpdump ile önemli bir fark, Windump'ın Windows'ta yerleşik olmamasıdır. Windump web sitesinden indirmeniz gerekecek . Yazılım yürütülebilir bir dosya olarak teslim edilir ve kurulum gerektirmez. Ancak, tıpkı tcpdump'ın libpcap kitaplığını kullanması gibi, Windump da çoğu Windows kitaplığı gibi ayrı olarak indirilmesi ve kurulması gereken Winpcap'ı kullanır.

4. Tel köpekbalığı

Wireshark , paket koklayıcılarda referanstır. Fiili standart haline geldi ve diğer birçok araç onu taklit etme eğiliminde. Bu araç yalnızca trafiği yakalamakla kalmaz, aynı zamanda oldukça güçlü analiz yeteneklerine sahiptir. O kadar güçlü ki, birçok yönetici bir dosyaya gelen trafiği yakalamak için tcpdump veya Windump kullanacak ve ardından dosyayı analiz için Wireshark'a yükleyecektir. Bu, Wireshark'ı kullanmanın o kadar yaygın bir yoludur ki, başlatma sırasında ya var olan bir pcap dosyasını açmanız ya da trafiği yakalamaya başlamanız istenir. Wireshark'ın bir başka gücü de, tam olarak ilgilendiğiniz verilere odaklanmanıza izin veren tüm filtreleridir.

Dürüst olmak gerekirse, bu aracın dik bir öğrenme eğrisi var ama öğrenmeye değer. Bu paha biçilmez değeri tekrar tekrar kanıtlayacaktır. Ve bir kez öğrendikten sonra, hemen hemen her işletim sistemine taşındığı ve ücretsiz ve açık kaynaklı olduğu için onu her yerde kullanabileceksiniz.

5. köpek balığı

Tshark , tcpdump ve Wireshark arasında bir tür çapraz gibidir. Piyasadaki en iyi paket koklayıcılardan bazıları oldukları için bu harika bir şey. Tshark, yalnızca komut satırı aracı olması bakımından tcpdump gibidir. Ancak aynı zamanda Wireshark'a benzer, çünkü trafiği yalnızca yakalamakla kalmaz, aynı zamanda analiz eder. Tshark, Wireshark ile aynı geliştiricilerdendir. Bu, aşağı yukarı Wireshark'ın komut satırı sürümüdür. Wireshark ile aynı tip filtrelemeyi kullanır ve bu nedenle analiz etmeniz gereken trafiği hızlı bir şekilde izole edebilir.

Ama neden birisi Wireshark'ın komut satırı sürümünü istesin diye sorabilirsiniz. Neden sadece Wireshark'ı kullanmıyorsunuz; grafik arayüzü ile kullanımı ve öğrenmesi daha kolay olmalı? Bunun ana nedeni, GUI olmayan bir sunucuda kullanmanıza izin vermesidir.

6. Ağ Madenci

Network Miner , gerçek bir paket dinleyicisinden çok adli bir araçtır. Network Miner, bir TCP akışını takip edecek ve tüm konuşmayı yeniden oluşturacaktır. Gerçekten güçlü bir araçtır. Network Miner'ın sihrini kullanmasına izin vermek için bazı yakalama dosyalarını içe aktardığınız çevrimdışı modda çalışabilir. Yazılım yalnızca Windows üzerinde çalıştığı için bu kullanışlı bir özelliktir. Bazı trafiği yakalamak için Linux'ta tcpdump'u ve analiz etmek için Windows'ta Network Miner'ı kullanabilirsiniz.

Network Miner ücretsiz bir sürümde mevcuttur, ancak IP tabanlı konum belirleme ve komut dosyası oluşturma gibi daha gelişmiş özellikler için bir Profesyonel lisans satın almanız gerekir. Profesyonel versiyonun bir başka gelişmiş işlevi, VoIP aramalarının kodunu çözme ve oynatma imkanıdır.

7. Kemancı (HTTP)

Daha bilgili okuyucularımızdan bazıları, Fiddler'ın bir paket dinleyicisi veya ağ analizörü olmadığını iddia edebilir. Muhtemelen haklılar ama birçok durumda çok faydalı olduğu için bu aracı listemize eklememiz gerektiğini düşündük. Fiddler aslında trafiği yakalar ancak herhangi bir trafiği yakalamaz. Yalnızca HTTP trafiğiyle çalışır. Günümüzde bu kadar çok uygulamanın web tabanlı olduğunu veya arka planda HTTP protokolünü kullandığını düşündüğünüzde, sınırlamasına rağmen ne kadar değerli olabileceğini hayal edebilirsiniz. Ve Fiddler yalnızca tarayıcı trafiğini değil, hemen hemen tüm HTTP'leri yakalayacağından, sorun gidermede çok kullanışlıdır.

Fiddler gibi bir aracın, örneğin Wireshark gibi gerçek bir paket dinleyicisine göre avantajı, Fiddler'ın HTTP trafiğini "anlamak" için oluşturulmuş olmasıdır. Örneğin, çerezleri ve sertifikaları keşfedecektir. Ayrıca HTTP tabanlı uygulamalardan gelen gerçek verileri de bulacaktır. Fiddler ücretsizdir ve yalnızca OS X ve Linux için beta sürümleri (Mono çerçevesini kullanarak) indirilebilmesine rağmen Windows için kullanılabilir.

Çözüm

Bunun gibi listeler yayınladığımızda, genellikle hangisinin en iyisi olduğu sorulur. Bu özel durumda, bana bu soru sorulsaydı, “hepsine” cevap vermem gerekirdi. Hepsi ücretsiz araçlardır ve hepsinin değeri vardır. Neden hepsini elinizin altında tutmuyorsunuz ve her birine kendinizi alıştırıyorsunuz. Bunları kullanmanız gereken bir duruma geldiğinizde, çok daha kolay ve verimli olacaktır. Komut satırı araçlarının bile muazzam bir değeri vardır. Örneğin, komut dosyası yazılabilir ve programlanabilirler. Her gün saat 2:00'de gerçekleşen bir sorununuz olduğunu hayal edin. tcpdump of Windump'ı 1:50 ile 2:10 arasında çalıştıracak bir iş planlayabilir ve ertesi sabah yakalama dosyasını analiz edebilirsiniz. Bütün gece ayakta kalmaya gerek yok.