Các nhà phân tích mạng và gói tin tốt nhất - Top 7 được đánh giá vào năm 2021

Đánh hơi gói là một kiểu phân tích mạng sâu, trong đó các chi tiết của lưu lượng mạng được giải mã để phân tích. Đây là một trong những kỹ năng khắc phục sự cố quan trọng nhất mà bất kỳ quản trị viên mạng nào cũng nên có. Phân tích lưu lượng mạng là một công việc phức tạp. Để đối phó với các mạng không đáng tin cậy, dữ liệu không được gửi trong một luồng liên tục. Thay vào đó, nó được cắt nhỏ thành các đoạn được gửi riêng lẻ. Phân tích lưu lượng mạng liên quan đến việc có thể thu thập các gói dữ liệu này và tập hợp chúng lại thành một thứ gì đó có ý nghĩa. Đây không phải là điều mà bạn có thể làm theo cách thủ công vì vậy các trình đánh giá gói tin và phân tích mạng đã được tạo ra. Hôm nay, chúng ta sẽ xem xét bảy trong số những trình đánh giá gói tin và phân tích mạng tốt nhất.

Chúng tôi sẽ bắt đầu cuộc hành trình ngày hôm nay bằng cách cung cấp cho bạn một số thông tin cơ bản về trình duyệt gói tin là gì. Chúng tôi sẽ cố gắng tìm ra sự khác biệt - hoặc nếu có sự khác biệt - giữa một trình đánh giá gói tin và một trình phân tích mạng. Sau đó, chúng tôi sẽ tiếp tục đi đến cốt lõi của chủ đề của chúng tôi và không chỉ liệt kê mà còn xem xét ngắn gọn từng lựa chọn trong số bảy lựa chọn của chúng tôi. Những gì chúng tôi có cho bạn là sự kết hợp của các công cụ GUI và các tiện ích dòng lệnh chạy trên nhiều hệ điều hành khác nhau.

Một vài từ về các trình phân tích gói và phân tích mạng

Hãy bắt đầu bằng cách giải quyết một cái gì đó. Vì lợi ích của bài viết này, chúng tôi sẽ giả định rằng bộ dò tìm gói và bộ phân tích mạng là một và giống nhau. Một số sẽ cho rằng chúng khác nhau và chúng có thể đúng. Nhưng trong bối cảnh của bài viết này, chúng ta sẽ cùng xem xét chúng, chủ yếu là vì mặc dù chúng có thể hoạt động khác nhau - nhưng chúng có thực sự không? - chúng phục vụ cùng một mục đích.

Packet Sniffers thường làm ba điều. Đầu tiên, chúng nắm bắt tất cả các gói dữ liệu khi chúng vào hoặc thoát ra một giao diện mạng. Thứ hai, họ tùy chọn áp dụng các bộ lọc để bỏ qua một số gói và lưu những gói khác vào đĩa. Sau đó, họ thực hiện một số hình thức phân tích dữ liệu thu được. Đó là chức năng cuối cùng của trình đánh hơi gói mà chúng khác nhau nhiều nhất.

Để nắm bắt thực tế các gói dữ liệu, hầu hết các công cụ sử dụng một mô-đun bên ngoài. Phổ biến nhất là libpcap trên hệ thống Unix / Linux và Winpcap trên Windows. Bạn thường sẽ không phải cài đặt các công cụ này vì chúng thường được cài đặt bởi các trình cài đặt công cụ khác nhau.

Một điều quan trọng khác cần biết là Packet Sniffers – ngay cả cái tốt nhất – sẽ không làm mọi thứ cho bạn. Chúng chỉ là công cụ. Nó giống như một cái búa không thể tự đóng bất kỳ chiếc đinh nào. Vì vậy, bạn cần đảm bảo rằng mình học cách sử dụng tốt nhất từng công cụ. Trình kiểm tra gói sẽ chỉ cho bạn thấy lưu lượng truy cập nhưng việc sử dụng thông tin đó để tìm ra sự cố là tùy thuộc vào bạn. Đã có toàn bộ sách về việc sử dụng các công cụ chụp gói. Bản thân tôi, đã từng tham gia một khóa học ba ngày về chủ đề này. Tôi không cố làm bạn nản lòng. Tôi chỉ cố gắng đặt kỳ vọng của bạn một cách thẳng thắn.

Làm thế nào để sử dụng một gói tin Sniffer

Như chúng tôi đã giải thích, một trình đánh giá gói tin sẽ nắm bắt và phân tích lưu lượng truy cập. Vì vậy, nếu bạn đang cố gắng khắc phục một sự cố cụ thể – đó thường là lý do tại sao bạn sử dụng một công cụ như vậy – trước tiên bạn cần đảm bảo rằng lưu lượng truy cập mà bạn thu thập được là lưu lượng phù hợp. Hãy tưởng tượng một tình huống mà tất cả người dùng đang phàn nàn rằng một ứng dụng cụ thể nào đó chạy chậm. Trong loại tình huống đó, đặt cược tốt nhất của bạn có lẽ là nắm bắt lưu lượng truy cập tại giao diện mạng của máy chủ ứng dụng. Sau đó, bạn có thể nhận ra rằng các yêu cầu đến máy chủ một cách bình thường nhưng máy chủ phải mất nhiều thời gian để gửi phản hồi. Điều đó sẽ cho thấy sự cố máy chủ.

Mặt khác, nếu bạn thấy máy chủ phản hồi kịp thời, điều đó có thể có nghĩa là sự cố nằm ở đâu đó trên mạng giữa máy khách và máy chủ. Sau đó, bạn sẽ di chuyển bộ kiểm tra gói của mình một bước gần hơn với máy khách và xem liệu phản hồi có bị trì hoãn hay không. Nếu không, bạn di chuyển đến gần khách hàng hơn, v.v. Cuối cùng bạn sẽ đến nơi mà sự chậm trễ xảy ra. Và khi bạn đã xác định được vị trí của vấn đề, bạn đã tiến thêm một bước nữa để giải quyết nó.

Bây giờ bạn có thể tự hỏi làm thế nào chúng tôi quản lý để nắm bắt các gói tại một điểm cụ thể. Nó khá đơn giản, chúng tôi tận dụng một tính năng của hầu hết các thiết bị chuyển mạch mạng được gọi là phản chiếu cổng hoặc sao chép. Đây là một tùy chọn cấu hình sẽ sao chép tất cả lưu lượng vào và ra từ một cổng chuyển mạch cụ thể sang một cổng khác trên cùng một công tắc. Giả sử máy chủ của bạn được kết nối với cổng 15 của một bộ chuyển mạch và cổng 23 của cùng bộ chuyển mạch đó khả dụng. Bạn kết nối trình kiểm tra gói của mình với cổng 23 và định cấu hình công tắc để sao chép tất cả lưu lượng từ cổng 15 sang cổng 23. Kết quả bạn nhận được trên cổng 23 là một hình ảnh phản chiếu – do đó là tên phản chiếu cổng – của những gì đang đi qua cổng 15.

Các trình phân tích mạng và phân tích gói tin tốt nhất

Bây giờ bạn đã hiểu rõ hơn về trình đánh giá gói tin và trình phân tích mạng, hãy xem bảy công cụ tốt nhất mà chúng tôi có thể tìm thấy là gì. Chúng tôi đã cố gắng đưa vào kết hợp các công cụ dòng lệnh và GUI cũng như bao gồm các công cụ chạy trên các hệ điều hành khác nhau. Rốt cuộc, không phải tất cả các quản trị viên mạng đều đang chạy Windows.

1. Công cụ kiểm tra và phân tích gói tin sâu SolarWinds (DÙNG THỬ MIỄN PHÍ)

SolarWinds nổi tiếng với nhiều công cụ miễn phí hữu ích và phần mềm quản lý mạng hiện đại. Một trong những công cụ của nó được gọi là Công cụ phân tích và kiểm tra gói tin sâu . Nó là một thành phần của sản phẩm hàng đầu của SolarWinds, Màn hình Hiệu suất Mạng. Hoạt động của nó khá khác so với các trình dò ​​tìm gói tin “truyền thống” mặc dù nó phục vụ một mục đích tương tự.

Tóm tắt chức năng của công cụ: nó sẽ giúp bạn tìm và giải quyết nguyên nhân gây ra độ trễ mạng, xác định các ứng dụng bị ảnh hưởng và xác định xem sự chậm chạp là do mạng hay ứng dụng gây ra. Phần mềm cũng sẽ sử dụng các kỹ thuật kiểm tra gói tin sâu để tính toán thời gian phản hồi cho hơn mười hai trăm ứng dụng. Nó cũng sẽ phân loại lưu lượng truy cập mạng theo danh mục, kinh doanh so với xã hội và mức độ rủi ro, giúp bạn xác định lưu lượng truy cập không phải kinh doanh có thể cần được lọc hoặc loại bỏ theo cách khác.

Và đừng quên rằng Công cụ phân tích và kiểm tra gói sâu SolarWinds là một phần của Network Performace Monitor. NPM, như nó thường được gọi là một phần mềm ấn tượng với rất nhiều thành phần mà cả một bài báo có thể được dành riêng cho nó. Về cốt lõi, đây là một giải pháp giám sát mạng hoàn chỉnh kết hợp các công nghệ tốt nhất như SNMP và kiểm tra gói sâu để cung cấp càng nhiều thông tin về trạng thái mạng của bạn càng tốt. Công cụ có giá hợp lý đi kèm với bản dùng thử miễn phí 30 ngày để bạn có thể đảm bảo rằng nó thực sự phù hợp với nhu cầu của mình trước khi cam kết mua nó.

Liên kết tải xuống chính thức:  https://www.solarwinds.com/topics/deep-packet-inspection

2. tcpdump

Tcpdump có lẽ là trình đánh giá gói tin gốc. Nó được tạo ra vào năm 1987. Kể từ đó, nó đã được duy trì và cải tiến nhưng về cơ bản vẫn không thay đổi, ít nhất là cách nó được sử dụng. Nó được cài đặt sẵn trong hầu hết mọi hệ điều hành giống Unix và đã trở thành tiêu chuẩn thực tế khi người ta cần một công cụ nhanh chóng để nắm bắt các gói tin. Tcpdump sử dụng thư viện libpcap để chụp gói tin thực tế.

Theo mặc định. tcpdump ghi lại tất cả lưu lượng truy cập trên giao diện được chỉ định và “kết xuất” nó – do đó có tên – trên màn hình. Kết xuất cũng có thể được chuyển đến một tệp tin chụp và được phân tích sau đó bằng cách sử dụng một – hoặc kết hợp – một số công cụ có sẵn. Chìa khóa cho sức mạnh và tính hữu ích của tcpdump là khả năng áp dụng tất cả các loại bộ lọc và chuyển đầu ra của nó tới grep – một tiện ích dòng lệnh Unix phổ biến khác – để lọc thêm. Một người nào đó có kiến ​​thức tốt về tcpdump, grep và command shell có thể giúp nó nắm bắt chính xác lưu lượng truy cập phù hợp cho bất kỳ tác vụ gỡ lỗi nào.

3. Windump

Về cơ bản, Windump chỉ là một cổng của tcpdump vào nền tảng Windows. Như vậy, nó hoạt động theo cùng một cách. Không có gì lạ khi thấy các cổng chương trình tiện ích thành công như vậy từ nền tảng này sang nền tảng khác. Windump là một ứng dụng Windows nhưng đừng mong đợi một GUI lạ mắt. Đây là một tiện ích chỉ dòng lệnh. Do đó, sử dụng Windump về cơ bản cũng giống như sử dụng đối tác Unix của nó. Các tùy chọn dòng lệnh giống nhau và kết quả cũng gần như giống hệt nhau. Kết quả từ Windump cũng có thể được lưu vào một tệp để phân tích sau này bằng công cụ của bên thứ ba.

Một điểm khác biệt chính với tcpdump là Windump không được tích hợp sẵn trong Windows. Bạn sẽ phải tải xuống từ trang web Windump . Phần mềm được phân phối dưới dạng tệp thực thi và không cần cài đặt. Tuy nhiên, giống như tcpdump sử dụng thư viện libpcap, Windump sử dụng Winpcap, giống như hầu hết các thư viện Windows, cần được tải xuống và cài đặt riêng.

4. Wireshark

Wireshark là tham chiếu trong trình duyệt gói. Nó đã trở thành tiêu chuẩn thực tế và hầu hết các công cụ khác có xu hướng mô phỏng nó. Công cụ này sẽ không chỉ nắm bắt lưu lượng truy cập, nó còn có khả năng phân tích khá mạnh mẽ. Mạnh đến mức nhiều quản trị viên sẽ sử dụng tcpdump hoặc Windump để thu thập lưu lượng truy cập vào một tệp sau đó tải tệp đó vào Wireshark để phân tích. Đây là một cách sử dụng Wireshark phổ biến đến nỗi khi khởi động, bạn sẽ được nhắc mở tệp pcap hiện có hoặc bắt đầu thu thập lưu lượng truy cập. Một điểm mạnh khác của Wireshark là tất cả các bộ lọc mà nó kết hợp cho phép bạn truy cập chính xác dữ liệu mà bạn quan tâm.

Thành thật mà nói, công cụ này có một đường cong học tập dốc nhưng nó rất đáng để học hỏi. Nó sẽ chứng minh thời gian và thời gian vô giá một lần nữa. Và một khi bạn đã học nó, bạn sẽ có thể sử dụng nó ở mọi nơi vì nó đã được chuyển sang hầu hết mọi hệ điều hành và nó là miễn phí và mã nguồn mở.

5. tshark

Tshark giống như sự giao thoa giữa tcpdump và Wireshark. Đây là một điều tuyệt vời vì họ là một trong những trình đánh giá gói tin tốt nhất hiện có. Tshark giống tcpdump ở chỗ nó là một công cụ chỉ dùng dòng lệnh. Nhưng nó cũng giống Wireshark ở chỗ nó không chỉ thu nhận mà còn phân tích lưu lượng truy cập. Tshark đến từ các nhà phát triển giống như Wireshark. Ít nhiều nó là phiên bản dòng lệnh của Wireshark. Nó sử dụng loại lọc tương tự như Wireshark và do đó có thể nhanh chóng cô lập chỉ lưu lượng bạn cần phân tích.

Nhưng tại sao, bạn có thể hỏi, có ai muốn một phiên bản dòng lệnh của Wireshark không? Tại sao không chỉ sử dụng Wireshark; với giao diện đồ họa, nó phải đơn giản hơn để sử dụng và học hỏi? Lý do chính là nó sẽ cho phép bạn sử dụng nó trên một máy chủ không phải GUI.

6. Công cụ khai thác mạng

Network Miner không chỉ là một công cụ pháp y hơn là một công cụ dò tìm gói tin thực sự. Network Miner sẽ theo dõi luồng TCP và tạo lại toàn bộ cuộc trò chuyện. Nó thực sự là một công cụ mạnh mẽ. Nó có thể hoạt động ở chế độ ngoại tuyến nơi bạn nhập một số tệp tin chụp để cho phép Network Miner phát huy tác dụng của nó. Đây là một tính năng hữu ích vì phần mềm chỉ chạy trên Windows. Bạn có thể sử dụng tcpdump trên Linux để nắm bắt một số lưu lượng truy cập và Network Miner trên Windows để phân tích nó.

Network Miner có sẵn trong phiên bản miễn phí nhưng để có các tính năng nâng cao hơn như định vị địa lý dựa trên IP và tập lệnh, bạn sẽ cần mua giấy phép Chuyên nghiệp. Một chức năng nâng cao khác của phiên bản chuyên nghiệp là khả năng giải mã và phát lại các cuộc gọi VoIP.

7. Fiddler (HTTP)

Một số độc giả hiểu biết hơn của chúng tôi có thể tranh luận rằng Fiddler không phải là một trình kiểm tra gói tin và cũng không phải là một trình phân tích mạng. Họ có thể đúng nhưng chúng tôi cảm thấy chúng tôi nên đưa công cụ này vào danh sách của mình vì nó rất hữu ích trong nhiều trường hợp. Fiddler sẽ thực sự nắm bắt lưu lượng truy cập nhưng không phải bất kỳ lưu lượng truy cập nào. Nó chỉ hoạt động với lưu lượng HTTTP. Bạn có thể tưởng tượng nó có giá trị như thế nào mặc dù có giới hạn khi bạn cho rằng rất nhiều ứng dụng ngày nay dựa trên web hoặc sử dụng giao thức HTTP trong nền. Và vì Fiddler sẽ nắm bắt không chỉ lưu lượng trình duyệt mà còn về bất kỳ HTTP nào, nên nó rất hữu ích trong việc khắc phục sự cố

Lợi thế của một công cụ như Fiddler so với một công cụ dò tìm gói tin hữu ích, chẳng hạn như Wireshark, là Fiddler được xây dựng để “hiểu” lưu lượng HTTP. Chẳng hạn, nó sẽ phát hiện ra các cookie và chứng chỉ. Nó cũng sẽ tìm thấy dữ liệu thực tế đến từ các ứng dụng dựa trên HTTP. Fiddler miễn phí và chỉ có sẵn cho Windows mặc dù có thể tải xuống các bản dựng beta dành cho OS X và Linux (sử dụng khung Mono).

Sự kết luận

Khi chúng tôi xuất bản danh sách như danh sách này, chúng tôi thường hỏi cái nào là tốt nhất. Trong tình huống cụ thể này, nếu tôi được hỏi câu hỏi đó, tôi phải trả lời "tất cả chúng". Chúng đều là những công cụ miễn phí và đều có giá trị của chúng. Tại sao không có tất cả chúng trong tay và tự làm quen với từng thứ. Khi bạn đến tình huống cần sử dụng chúng, mọi việc sẽ dễ dàng và hiệu quả hơn rất nhiều. Ngay cả các công cụ dòng lệnh cũng có giá trị to lớn. Ví dụ, chúng có thể được viết theo kịch bản và lên lịch. Hãy tưởng tượng bạn gặp sự cố xảy ra vào lúc 2 giờ sáng hàng ngày. Bạn có thể lên lịch công việc để chạy tcpdump của Windump trong khoảng thời gian từ 1:50 đến 2:10 và phân tích tệp chụp vào sáng hôm sau. Không cần phải thức đêm.