Wireshark (verkkopakettien sieppaus). Kirjoitamme yksinkertaisen haistelijan Windowsille

Wireshark on tehokas verkkoanalysaattori, jonka avulla voidaan analysoida tietokoneesi verkkoliitännän kautta kulkevaa liikennettä. Saatat tarvita sitä verkko-ongelmien havaitsemiseen ja ratkaisemiseen, verkkosovellusten, verkkoohjelmien tai sivustojen virheenkorjaukseen. Wiresharkin avulla voit tarkastella paketin sisältöä kokonaisuudessaan kaikilla tasoilla: niin ymmärrät paremmin kuinka verkko toimii matalalla tasolla.

Kaikki paketit kaapataan reaaliajassa ja tarjotaan helposti luettavassa muodossa. Ohjelma tukee erittäin tehokasta suodatusjärjestelmää, värikorostusta ja muita ominaisuuksia, jotka auttavat sinua löytämään tarvitsemasi paketit. Tässä opetusohjelmassa tarkastelemme, kuinka Wiresharkia käytetään liikenteen analysointiin. Äskettäin kehittäjät ovat siirtyneet työskentelemään Wireshark 2.0 -ohjelman toisen haaran parissa, siihen on tehty monia muutoksia ja parannuksia, erityisesti käyttöliittymää varten. Sitä aiomme käyttää tässä artikkelissa.

Ennen kuin harkitset tapoja analysoida liikennettä, sinun on pohdittava, mitä ominaisuuksia ohjelma tukee tarkemmin, minkä protokollien kanssa se voi toimia ja mitä tehdä. Tässä ovat ohjelman pääominaisuudet:

• Kaappaa reaaliaikaisia ​​paketteja langallisista tai minkä tahansa muun tyyppisistä verkkoliitännöistä sekä lukee tiedostosta;
• Seuraavia sieppausliitäntöjä tuetaan: Ethernet, IEEE 802.11, PPP ja paikalliset virtuaaliliitännät;
• Paketit voidaan suodattaa pois useilla eri parametreilla käyttämällä suodattimia;
• Kaikki tunnetut protokollat ​​on korostettu luettelossa eri väreillä, kuten TCP, HTTP, FTP, DNS, ICMP ja niin edelleen;
• Tuki VoIP-puheluliikenteen sieppaamiseen;
• HTTPS-liikenteen salauksen purkamista tuetaan varmenteen läsnä ollessa;
• Langattomien verkkojen WEP-, WPA-liikenteen salauksen purku avaimen ja kättelyn läsnä ollessa;
• Verkon kuormitustilastojen näyttäminen;
• Tarkastele pakettien sisältöä kaikille verkkotasoille;
• Näyttää pakettien lähetys- ja vastaanottoajan.

Ohjelmassa on monia muita ominaisuuksia, mutta nämä olivat tärkeimmät, jotka saattavat kiinnostaa sinua.

Kuinka käyttää Wiresharkia

Oletan, että sinulla on jo ohjelma asennettuna, mutta jos ei, voit asentaa sen virallisista arkistoista. Voit tehdä tämän kirjoittamalla komennon Ubuntuun:

sudo apt install wireshark

Asennuksen jälkeen löydät ohjelman jakelun päävalikosta. Sinun on suoritettava Wireshark superkäyttäjäoikeuksilla, koska muuten se ei pysty analysoimaan verkkopaketteja. Tämä voidaan tehdä päävalikosta tai päätteen kautta KDE:n komennolla:

Ja Gnome/Unitylle:

Ohjelman pääikkuna on jaettu kolmeen osaan: ensimmäinen sarake sisältää luettelon analysoitavissa olevista verkkoliitännöistä, toinen - tiedostojen avaamisvaihtoehdot ja kolmas - ohje.

Verkkoliikenteen analyysi

Aloita analyysi valitsemalla verkkoliitäntä, esimerkiksi eth0, ja napsauttamalla painiketta alkaa.

Sen jälkeen avautuu seuraava ikkuna, jossa on jo pakettivirta, joka kulkee käyttöliittymän läpi. Tämä ikkuna on myös jaettu useisiin osiin:

• Yläosa- nämä ovat valikoita ja paneeleja, joissa on erilaisia ​​painikkeita;
• Pakettiluettelo- edelleen näytetään verkkopakettien virta, jonka analysoit;
• Paketin sisältö- juuri valitun paketin sisällön alapuolella se on jaettu luokkiin kuljetustason mukaan;
• Todellinen suoritus- aivan alareunassa pakkauksen sisältö näytetään todellisessa muodossa sekä HEX-muodossa.

Voit napsauttaa mitä tahansa pakettia analysoidaksesi sen sisältöä:

Täällä näemme DNS-kyselypaketin sivuston IP-osoitteen saamiseksi, itse kyselyssä toimialue lähetetään ja vastauspaketissa saamme kysymyksemme ja vastauksen.

Tarkastelun helpottamiseksi voit avata paketin uuteen ikkunaan kaksoisklikkaamalla merkintää:

Wireshark suodattimet

On erittäin hankalaa lajitella paketteja manuaalisesti löytääksesi tarvitsemasi, varsinkin aktiivisen streamin kanssa. Siksi tällaiseen tehtävään on parempi käyttää suodattimia. Valikon alla on erityinen rivi suodattimien syöttämistä varten. voit klikata ilmaisu avataksesi suodattimen rakentajan, mutta niitä on paljon, joten käsittelemme alkeellisimmat:

• ip.dst- kohde IP-osoite;
• ip.src- lähettäjän IP-osoite;
• ip.addr- lähettäjän tai vastaanottajan IP-osoite;
• ip.proto- protokolla;
• tcp.dstport- määränpää;
• tcp.srcport- lähettäjän satama;
• ip.ttl- Suodata ttl:llä, määrittää verkon etäisyyden;
• http.request_uri- pyydetyn sivuston osoite.

Voit määrittää kentän ja arvon välisen suhteen suodattimessa seuraavilla operaattoreilla:

• == - on yhtä suuri;
• != - ei tasa-arvoinen;
• < - vähemmän;
• > - enemmän;
• <= - pienempi tai yhtä suuri;
• >= - enemmän tai yhtä suuri;
• Ottelut- tavallinen ilme;
• sisältää- sisältää.

Voit yhdistää useita lausekkeita käyttämällä:

• && - molempien lausekkeiden on oltava tosia paketille;
• || - yksi lauseista voi olla totta.

Katsotaanpa nyt lähemmin esimerkkejä useista suodattimista ja yritetään ymmärtää kaikki suhteiden merkit.

Suodatetaan ensin kaikki numeroon 194.67.215 lähetetyt paketit. Kirjoita merkkijono suodatinkenttään ja napsauta Käytä. Mukavuuden vuoksi Wireshark-suodattimet voidaan tallentaa painikkeella Tallentaa:

ip.dst == 194.67.215.125

Ja saadaksesi paitsi lähetetyt paketit myös vastaanotettuina vastauksena tästä solmusta, voit yhdistää kaksi ehtoa:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Voimme myös valita siirrettyjä suuria tiedostoja:

http.content_length > 5000

Suodattamalla sisältötyyppiä voimme valita kaikki ladatut kuvat; analysoidaan Wireshark-liikennettä, paketteja, jotka sisältävät sanan kuvan:

http.content_type sisältää kuvan

Voit tyhjentää suodattimen napsauttamalla painiketta Asia selvä. Tapahtuu, että et aina tiedä kaikkia suodatukseen tarvittavia tietoja, mutta haluat vain tutkia verkkoa. Voit lisätä minkä tahansa pakettikentän sarakkeeksi ja tarkastella sen sisältöä kunkin paketin yleisessä ikkunassa.

Haluan esimerkiksi näyttää paketin ttl:n (aika elää) sarakkeena. Voit tehdä tämän avaamalla paketin tiedot, etsi tämä kenttä IP-osiosta. Soita sitten kontekstivalikkoon ja valitse vaihtoehto Käytä sarakkeena:

Samalla tavalla voit luoda suodattimen minkä tahansa halutun kentän perusteella. Valitse se ja avaa kontekstivalikko ja napsauta sitten Käytä suodattimena tai Valmistele suodattimeksi, valitse sitten valittu, näyttääksesi vain valitut arvot, tai Ei valittu poistaaksesi ne:

Määritetty kenttä ja sen arvo otetaan käyttöön tai toisessa tapauksessa korvataan suodatinkentässä:

Tällä tavalla voit lisätä minkä tahansa paketin tai sarakkeen kentän suodattimeen. Tämä vaihtoehto on myös kontekstivalikossa. Voit myös käyttää yksinkertaisempia ehtoja protokollien suodattamiseen. Analysoidaan esimerkiksi Wireshark-liikennettä HTTP- ja DNS-protokollia varten:

Toinen ohjelman mielenkiintoinen ominaisuus on Wiresharkin käyttö tietyn istunnon seuraamiseen käyttäjän tietokoneen ja palvelimen välillä. Voit tehdä tämän avaamalla paketin kontekstivalikon ja valitsemalla Seuraa TCP-streamia.

Sitten avautuu ikkuna, josta löydät kaikki palvelimen ja asiakkaan välillä siirretyt tiedot:

Wireshark-ongelmien diagnosointi

Saatat ihmetellä, kuinka Wireshark 2.0:aa käytetään verkko-ongelmien havaitsemiseen. Tätä varten ikkunan vasemmassa alakulmassa on pyöreä painike, kun napsautat sitä, ikkuna avautuu Asiantuntijatyökalut. Siinä Wireshark kerää kaikki virhe- ja verkkovikaviestit:

Ikkuna on jaettu välilehtiin, kuten virheet, varoitukset, huomautukset, keskustelut. Ohjelma voi suodattaa ja löytää monia verkkoongelmia, ja täällä näet ne erittäin nopeasti. Täällä tuetaan myös Wireshark-suodattimia.

Wireshark-liikenneanalyysi

Voit helposti ymmärtää, mitä käyttäjät tarkalleen latasivat ja mitä tiedostoja he katselivat, jos yhteyttä ei ollut salattu. Ohjelma tekee erittäin hyvää työtä sisällön purkamisessa.

Tätä varten sinun on ensin lopetettava liikenteen sieppaus käyttämällä paneelin punaista neliötä. Avaa sitten valikko tiedosto -> Vie kohteita -> HTTP:

Haistajat- Nämä ovat ohjelmia, jotka sieppaavat
kaikki verkkoliikenne. Snifferit ovat hyödyllisiä verkkodiagnostiikkaan (järjestelmänvalvojille) ja
salasanojen sieppaamiseen (selkeää kenelle :)). Esimerkiksi jos sinulla on pääsy
yksi verkkokone ja asensi sinne nuuskijan,
sitten pian kaikki salasanat osoitteesta
heidän aliverkkonsa ovat sinun. Sniffers laittaa
verkkokortti kuunteluun
tila (PROMISC) eli ne vastaanottavat kaikki paketit. LANissa voit siepata
kaikki lähetetyt paketit kaikilta koneilta (jos et ole erotettu millään keskittimellä),
Niin
miten lähetystoimintaa siellä harjoitetaan.
Haistajat voivat siepata kaiken
paketit (mikä on erittäin hankalaa, lokitiedosto vuotaa hirveän nopeasti,
mutta verkon yksityiskohtaisempaa analysointia varten se on kaikkein tärkein)
tai vain ensimmäiset tavut mistä tahansa
ftp, telnet, pop3 jne. (tämä on hauskinta, yleensä noin 100 ensimmäisessä tavussa
sisältää käyttäjätunnuksen ja salasanan. Haista nyt
eronnut ... On monia haistajia
sekä Unixissa että Windowsissa (jopa DOS:ssa on :)).
Haistajat voivat
tukee vain tiettyä akselia (esimerkiksi linux_sniffer.c joka
tukee Linuxia :)) tai useita (esim. Sniffit,
toimii BSD:n, Linuxin, Solariksen kanssa). Sniffers rikastui niin paljon, koska
että salasanat välitetään verkon yli selkeänä tekstinä.
Sellaiset palvelut
paljon. Näitä ovat telnet, ftp, pop3, www jne. Nämä palvelut
nauttii paljon
ihmiset :). Nuuskimien puomin jälkeen erilaisia
algoritmeja
näiden protokollien salaus. SSH ilmestyi (vaihtoehto
telnet joka tukee
salaus), SSL (Secure Socket Layer - Netscapen kehittämä, joka voi salata
www-istunto). Kaikenlaiset Kerberous, VPN (Virtual Private
verkko). Käytettiin joitain antisniffejä, ifstatus-laitteita jne. Mutta tämä ei ole pohjimmiltaan
vaihtaneet asentoja. Palvelut, jotka käyttävät
salasanan välittäminen pelkkänä tekstinä
yuzayutsya kaiken kaikkiaan :). Siksi nuuskimista on pitkäksi aikaa :).

Sniffereiden Windows-toteutukset

pellava
Tämä on yksinkertainen nuuskija siepattavaksi
kirjautumistunnukset/salasanat. Vakiokokoelma (gcc -o linsniffer
linsnifer.c).
Loki kirjoittaa tcp.logiin.

linux_sniffer
Linux_sniffer
vaaditaan kun haluat
tutkia verkkoa yksityiskohtaisesti. Vakio
kokoelma. Antaa ylimääräistä shnyagia,
kuten isn, ack, syn, echo_request (ping) jne.

haistella
Sniffit - edistynyt malli
haistaja kirjoittanut Brecht Claerhout. Asenna (tarvitaan
libcap):
#./configure
#tehdä
Nyt käynnistetään
narkomaani:
#./sniffit
käyttö: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p
portti] [(-r|-R) tietuetiedosto]
[-l sniflen] [-L logparam] [-F snifdevice]
[-M-laajennus]
[-D tty] (-t | -s ) |
(-i|-I) | -c ]
Lisäosat saatavilla:
0 - Nukke
kytkeä
1 - DNS-laajennus

Kuten näet, sniffit tukee monia
vaihtoehtoja. Voit käyttää sniffakia interaktiivisesti.
Haista kuitenkin
varsin hyödyllinen ohjelma, mutta en käytä sitä.
Miksi? Koska Sniffitillä on
suuria turvallisuusongelmia. Sniffitille, etäjuuri ja dos for
Linux ja Debian! Jokainen haistaja ei salli tätä itselleen :).

METSÄSTÄÄ
Tämä
lempi haisteluni. Se on erittäin helppo käsitellä
tukee paljon coolia
siruja, eikä sillä tällä hetkellä ole turvallisuusongelmia.
Plus ei paljon
nirso kirjastojen suhteen (kuten linsniffer ja
Linux_sniffer). Hän
voi siepata nykyisiä yhteyksiä reaaliajassa ja alle
puhdista kaatopaikka etäpäätteestä. V
yleensä, kaapattu
rulezzzz :). Suositella
kaikki parempaan käyttöön :).
Asentaa:
#tehdä
juosta:
#metsästys-i

REDSMB
READSMB-sniffer leikattu LophtCrackista ja siirretty
Unix (omituista kyllä ​​:)). Readsmb kaappaa SMB:n
paketteja.

TCPDUMP
tcpdump on melko tunnettu pakettien haistaja.
Kirjoitettu
vieläkin kuuluisempi - Van Jacobson, joka keksi VJ-pakkauksen
PPP ja kirjoitti tracerouten (ja kuka tietää mitä muuta?).
Vaatii kirjaston
libpcap.
Asentaa:
#./configure
#tehdä
Nyt käynnistetään
hänen:
#tcpdump
tcpdump: kuunteleminen ppp0:ssa
Kaikki yhteydet tulostuvat
terminaali. Tässä on esimerkki ping-lähdöstä

ftp.technotronic.com:
02:03:08.918959
195.170.212.151.1039 > 195.170.212.77.domain: 60946+ A?
ftp.technotronic.com.
(38)
02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946*
1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo
pyyntö
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo
Vastaa
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo
pyyntö
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo
Vastaa
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo
pyyntö
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo
Vastaa

Yleensä sniff on hyödyllinen verkkojen virheenkorjauksessa,
vianetsintä ja
jne.

Dsniff
Dsniff vaatii libpcapin, ibnetin,
libnids ja OpenSSH. Tallentaa vain syötetyt komennot, mikä on erittäin kätevää.
Tässä on esimerkki yhteyslokista
osoitteessa unix-shells.com:

02/18/01
03:58:04 tcp my.ip.1501 ->
handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
ls
pwd
WHO
kestää
poistu

Tässä
dsniff sieppasi sisäänkirjautumisen salasanalla (stalsen/asdqwe123).
Asentaa:
#./configure
#tehdä
#tehdä
Asentaa

Nuuskijan suojaus

Varmin tapa suojautua
nuuskijat -
käytä SALAusta (SSH, Kerberous, VPN, S/Key, S/MIME,
SHTTP, SSL jne.). Hyvin
ja jos et halua kieltäytyä tekstipalveluista ja perustaa lisäpalveluita
paketteja :)? Sitten on aika käyttää anti-sniffer-paketteja...

AntiSniff Windowsille
Tämän tuotteen julkaisi tunnettu ryhmä
parvi. Se oli ensimmäinen tuote laatuaan.
AntiSniff kuten kohdassa on mainittu
kuvaus:
"AntiSniff on graafinen käyttöliittymä (GUI) -ohjattu työkalu
havaita vahingollisia verkkoliitäntäkortteja (NIC) paikallisverkossasi
Segmentti". Yleensä se sieppaa kortit lupaavassa tilassa.
Tukee valtavasti
testien määrä (DNS-testi, ARP-testi, ping-testi, ICMP-aikaero
Testi, Echo Test, PingDrop testi). Voidaan skannata yhtenä autona,
niin on ruudukko. On
lokin tuki. AntiSniff toimii win95/98/NT/2000:ssa,
vaikka suositeltu
NT alusta. Mutta hänen hallituskautensa oli lyhytaikainen ja pian
aika, haistaja nimeltä AntiAntiSniffer ilmestyi :),
kirjoittanut Mike
Perry (Mike Perry) (löydät hänet osoitteesta www.void.ru/news/9908/snoof.txt). Hän
perustuu LinSnifferiin (käsitellään myöhemmin).

Unix-sniffer-tunnistus:
Narkomaani
löytyy komennolla:

#ifconfig -a
lo Linkin encap:Paikallinen
loopback
inet-osoite: 127.0.0.1 Mask: 255.0.0.0
U.P.
LOOPBACK RUNNING MTU:3924 Mittari:1
RX-paketit: 2373 virheitä: 0
dropped:0 overruns:0 frame:0
TX-paketit:2373 virheet:0 pudonnut:0
ylitykset:0 operaattori:0
törmäykset:0 txqueuelen:0

ppp0 Linkki
encap: Point-to-Point-protokolla
inet-osoite: 195.170.y.x
P-t-P: 195.170.y.x Mask: 255.255.255.255
YLÖS POINTOPOINT PROMISC
AJO NOARP MULTICAST MTU:1500 Mittari:1
RX-paketit: 3281
errors:74 dropped:0 overruns:0 frame:74
TX-paketit: 3398 virheet: 0
pudonnut:0 ylitykset:0 operaattori:0
törmäykset:0 txqueuelen:10

Miten
näet, että ppp0-liitäntä on PROMISC-tilassa. Kumpi tahansa operaattori
ladattu sniff for
verkkotarkistuksia tai sinulla on jo... Mutta muista,
että ifconfig voi olla turvallisesti
vaihda, joten käytä tripwireä tunnistamiseen
muutoksia ja kaikenlaisia ​​ohjelmia
tarkistamaan nuuskimista.

AntiSniff Unixille.
Työskentelee
BSD, Solaris ja
Linux. Tukee ping/icmp-aikatestiä, arp-testiä, kaikutestiä, dns-testiä
testi, eetteritesti, yleensä analoginen AntiSniff for Win, vain
Unix :).
Asentaa:
#tee Linux-kaikki

Sentinel
Hyödyllinen myös
haistavien kiinniotto. Tukee monia testejä.
Juuri sisään
käyttää.
Asenna: #make
#./sentinel
./sentinel [-t
]
Menetelmät:
[-ARP-testi]
[ -d DNS-testi
]
[ -i ICMP Ping Latency -testi ]
[ -e ICMP Etherping testi
]
vaihtoehdot:
[-f ]
[ -v Näytä versio ja
poistu]
[-n ]
[-I
]

Vaihtoehdot ovat niin yksinkertaisia, että ei
kommentteja.

LISÄÄ

Tässä on muutama lisää
apuohjelmat verkkosi testaamiseen (for
Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c -remote
PROMISC-tilan ilmaisin ethernet-korteille (red hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c
- Network Promiscuous Ethernet Detector (vaatii libcap & Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
-Skannaa järjestelmän laitteita haistaakseen.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
- ifstatus testaa verkkoliitännät PROMISC-tilassa.

Verkkopakettianalysaattorit tai haistajat kehitettiin alun perin verkko-ongelmien ratkaisemiseksi. He pystyvät sieppaamaan, tulkitsemaan ja tallentamaan verkon kautta lähetettyjä paketteja lisäanalyysiä varten. Toisaalta sen avulla järjestelmänvalvojat ja teknisen tuen insinöörit voivat valvoa tiedonsiirtoa verkon kautta, diagnosoida ja korjata ilmeneviä ongelmia. Tässä mielessä pakettihaistimet ovat tehokas työkalu verkko-ongelmien diagnosoimiseen. Toisaalta, kuten monet muutkin tehokkaat työkalut, jotka alun perin oli tarkoitettu hallintaan, nuuskimia on ajan myötä käytetty aivan eri tarkoituksiin. Itse asiassa haistaja hyökkääjän käsissä on melko vaarallinen työkalu, ja sitä voidaan käyttää salasanojen ja muiden luottamuksellisten tietojen haltuunottamiseen. Älä kuitenkaan usko, että nuuskijat ovat jonkinlainen maaginen työkalu, jonka kautta jokainen hakkeri voi helposti tarkastella verkon kautta välitettyjä luottamuksellisia tietoja. Ja ennen kuin todistamme, että haistelijoiden aiheuttama vaara ei ole niin suuri kuin usein esitetään, katsotaanpa tarkemmin niiden toiminnan periaatteita.

Kuinka pakettien haistaja toimii

Lisäksi tässä artikkelissa tarkastelemme vain Ethernet-verkkoihin suunniteltuja ohjelmistohauskareita. Sniffer on ohjelma, joka toimii NIC (Network Interface Card) verkkosovittimen (linkkikerroksen) tasolla ja kaappaa salaa kaiken liikenteen. Koska haistajat toimivat OSI-mallin datalinkkikerroksessa, heidän ei tarvitse pelata korkeamman kerroksen protokollien sääntöjen mukaan. Haistajat ohittavat suodatusmekanismit (osoitteet, portit jne.), joita Ethernet-ohjaimet ja TCP/IP-pino käyttävät tietojen tulkitsemiseen. Pakettihaistimet vangitsevat kaiken, mikä tulee sen läpi johdosta. Nuuskijat voivat tallentaa kehyksiä binäärimuodossa ja purkaa niiden salauksen myöhemmin paljastaakseen sisällä piilevän korkeamman tason tiedon (kuva 1).

Jotta haistaja voi siepata kaikki verkkosovittimen läpi kulkevat paketit, verkkosovittimen ohjaimen on tuettava promiscuous-toimintatapaa (promiscuous mode). Juuri tässä verkkosovittimen toimintatilassa haistaja pystyy sieppaamaan kaikki paketit. Tämä verkkosovittimen toimintatila aktivoituu automaattisesti, kun haistaja käynnistyy, tai se asetetaan manuaalisesti nuuskijan vastaavilla asetuksilla.

Kaikki siepattu liikenne välitetään pakettidekooderille, joka tunnistaa ja jakaa paketit asianmukaisille hierarkian tasoille. Tietyn nuuskijan kyvyistä riippuen paketteja koskevia esitettyjä tietoja voidaan myöhemmin analysoida ja suodattaa edelleen.

Snifferin rajoitukset

Haistajat olivat suurin vaara noina aikoina, jolloin tietoa välitettiin verkon yli selkeänä tekstinä (ilman salausta) ja paikallisverkkoja rakennettiin keskittimien (hubien) pohjalta. Ne ajat ovat kuitenkin menneet ikuisiksi ajoiksi, ja nykyään haistavien käyttö luottamuksellisten tietojen saamiseen ei ole mitenkään helppoa.

Tosiasia on, että keskittimiin perustuvia paikallisverkkoja rakennettaessa on olemassa tietty yhteinen tiedonsiirtoväline (verkkokaapeli) ja kaikki verkon solmut vaihtavat paketteja, jotka kilpailevat pääsystä tälle medialle (kuva 2) ja yhden verkon lähettämästä paketista. solmu lähetetään kaikkiin keskittimen portteihin ja kaikki muut verkon solmut kuuntelevat tätä pakettia, mutta vain se solmu, jolle se on osoitettu, vastaanottaa sen. Lisäksi, jos johonkin verkkosolmuista on asennettu pakettien haistaja, se voi siepata kaikki tähän verkkosegmenttiin (keskittimen muodostama verkko) liittyvät verkkopaketit.

Kytkimet ovat älykkäämpiä kuin lähetyskeskittimet ja eristävät verkkoliikenteen. Kytkin tietää kuhunkin porttiin kytkettyjen laitteiden osoitteet ja välittää paketteja vain tarvittavien porttien välillä. Tämän avulla voit purkaa muita portteja välittämättä jokaista pakettia niille, kuten keskitin tekee. Näin ollen tietyn verkkosolmun lähettämä paketti välittyy vain siihen kytkinporttiin, johon paketin vastaanottaja on kytketty, eivätkä kaikki muut verkkosolmut pysty havaitsemaan tätä pakettia (kuva 3).

Siksi, jos verkko on rakennettu kytkimen pohjalta, yhdelle verkon tietokoneista asennettu sniffer pystyy sieppaamaan vain ne paketit, jotka tämä tietokone vaihtaa muiden verkkosolmujen kanssa. Tämän seurauksena, jotta voidaan siepata paketteja, joita hyökkääjän kiinnostava tietokone tai palvelin vaihtaa muiden verkkosolmujen kanssa, tälle tietokoneelle (palvelimelle) on asennettava sniffer, mikä ei itse asiassa ole niin yksinkertaista. On kuitenkin syytä muistaa, että jotkin pakettihaistimet ajetaan komentoriviltä, ​​eikä niillä välttämättä ole graafista käyttöliittymää. Tällaiset nuuskijat voidaan periaatteessa asentaa ja käyttää etänä ja näkymättömästi käyttäjälle.

Lisäksi sinun on myös pidettävä mielessä, että vaikka kytkimet eristävät verkkoliikenteen, kaikissa hallituissa kytkimissä on portin edelleenohjaus tai portin peilausominaisuus. Eli kytkimen portti voidaan konfiguroida siten, että kaikki kytkimen muihin portteihin saapuvat paketit kopioidaan siihen. Jos tässä tapauksessa tietokone, jossa on pakettien haistaja, on kytketty tällaiseen porttiin, se voi siepata kaikki tämän verkkosegmentin tietokoneiden välillä vaihdetut paketit. Pääsääntöisesti kytkimen konfigurointi on kuitenkin vain verkonvalvojan käytettävissä. Tämä ei tietenkään tarkoita, etteikö hän voisi olla tunkeilija, mutta verkonvalvojalla on monia muita tapoja hallita kaikkia paikallisen verkon käyttäjiä, eikä hän todennäköisesti valvo sinua niin hienostuneella tavalla.

Toinen syy, miksi nuuskijat eivät ole enää yhtä vaarallisia kuin ennen, on se, että nykyään tärkeimmät tiedot välitetään salatussa muodossa. Avoimet, salaamattomat palvelut katoavat nopeasti Internetistä. Esimerkiksi verkkosivuilla vieraillessasi käytetään yhä enemmän SSL-protokollaa (Secure Sockets Layer). Avoimen FTP:n sijaan käytetään SFTP:tä (Secure FTP), ja muut palvelut, jotka eivät oletuksena käytä salausta, käyttävät yhä enemmän virtuaalisia yksityisiä verkkoja (VPN).

Joten niiden, jotka ovat huolissaan mahdollisesta pakettihauskimien haitallisesta käytöstä, tulee pitää mielessä seuraava. Ensinnäkin haistavien on oltava verkossa, jotta ne voivat muodostaa vakavan uhan verkollesi. Toiseksi nykyiset salausstandardit tekevät luottamuksellisten tietojen sieppaamisesta erittäin vaikeaa. Siksi tällä hetkellä pakettihauskijat ovat vähitellen menettämässä merkityksensä hakkereiden työkaluina, mutta samalla ne ovat edelleen tehokas ja tehokas työkalu verkkojen diagnosoinnissa. Lisäksi haistajia voidaan käyttää menestyksekkäästi paitsi verkko-ongelmien diagnosoimiseen ja paikallistamiseen, myös verkon turvallisuuden tarkastamiseen. Erityisesti pakettianalysaattoreiden avulla voit havaita luvattoman liikenteen, havaita ja tunnistaa luvattomat ohjelmistot, tunnistaa käyttämättömät protokollat ​​niiden poistamiseksi verkosta, luoda liikennettä tunkeutumistestausta varten suojajärjestelmän testaamiseksi, työskennellä tunkeutumisen havaitsemisjärjestelmien kanssa ( Intrusion Detection järjestelmä, IDS).

Ohjelmistopakettien haistajien yleiskatsaus

Kaikki ohjelmiston nuuskijat voidaan karkeasti jakaa kahteen luokkaan: nuuskimiin, jotka tukevat käynnistämistä komentoriviltä, ​​ja haistajiin, joissa on graafinen käyttöliittymä. Samanaikaisesti huomaamme, että on haistajia, jotka yhdistävät molemmat nämä ominaisuudet. Lisäksi nuuskijat eroavat toisistaan ​​tukemiensa protokollien, siepattujen pakettien analyysin syvyyden, suodattimien konfigurointikyvyn ja yhteensopivuuden muiden ohjelmien kanssa.

Tyypillisesti minkä tahansa haistajan ikkuna, jossa on graafinen käyttöliittymä, koostuu kolmesta alueesta. Ensimmäinen näyttää yhteenvedon siepatuista paketeista. Tyypillisesti tällä alueella on vähimmäismäärä kenttiä, nimittäin: paketin sieppausaika; paketin lähettäjän ja vastaanottajan IP-osoitteet; Pakettilähde- ja kohde-MAC-osoitteet, lähde- ja kohdeporttiosoitteet; protokollatyyppi (verkko-, siirto- tai sovelluskerros); joitain yhteenvetotietoja siepatuista tiedoista. Toinen alue näyttää tilastotietoja yksittäisestä valitusta paketista, ja lopuksi kolmas alue esittää paketin heksadesimaali- tai merkkimuodossa - ASCII.

Lähes kaikki pakettihauskijat mahdollistavat purettujen pakettien analysoinnin (siksi pakettihauskimia kutsutaan myös pakettianalysaattoreiksi tai protokolla-analysaattoreiksi). Sniffer jakaa siepatut paketit kerroksittain ja protokollien mukaan. Jotkut pakettianalysaattorit pystyvät tunnistamaan protokollan ja näyttämään siepatut tiedot. Tämän tyyppiset tiedot näytetään yleensä haistaja-ikkunan toisella alueella. Esimerkiksi mikä tahansa haistaja pystyy tunnistamaan TCP-protokollan, ja edistyneet nuuskijat voivat määrittää, mikä sovellus loi tämän liikenteen. Useimmat protokolla-analysaattorit tunnistavat yli 500 erilaista protokollaa ja voivat kuvata ja purkaa niitä nimellä. Mitä enemmän tietoa haistaja pystyy purkamaan ja näyttämään näytöllä, sitä vähemmän sinun täytyy purkaa manuaalisesti.

Yksi ongelma, johon pakettihaistelijat voivat törmätä, on kyvyttömyys tunnistaa oikein protokollaa käyttämällä muuta porttia kuin oletusporttia. Esimerkiksi turvallisuuden parantamiseksi jotkin tunnetut sovellukset voidaan määrittää käyttämään muita portteja kuin oletusportteja. Joten perinteisen verkkopalvelimelle varatun portin 80 sijasta tämä palvelin voidaan pakottaa konfiguroimaan uudelleen porttiin 8088 tai mihin tahansa muuhun. Jotkut pakettianalysaattorit eivät tässä tilanteessa pysty määrittämään protokollaa oikein ja näyttämään vain tietoja alemman tason protokollasta (TCP tai UDP).

On olemassa ohjelmiston haistajia, joissa on ohjelmiston analyyttiset moduulit laajennuksina tai sisäänrakennetuina moduuleina, joiden avulla voit luoda raportteja hyödyllisillä analyyttisilla tiedoilla siepatusta liikenteestä.

Toinen useimpien ohominaisuus on kyky määrittää suodattimia ennen ja jälkeen liikenteen sieppaamisen. Suodattimet erottavat tietyt paketit yleisestä liikenteestä tietyn kriteerin mukaisesti, jolloin pääset eroon tarpeettomasta tiedosta liikennettä analysoitaessa.

Liikenneanalyysi on prosessi, jonka tärkeyden tietää kuka tahansa IT-ammattilainen, olipa hän sitten pienessä yrityksessä tai suuressa yrityksessä. Loppujen lopuksi verkon ongelmien tunnistaminen ja korjaaminen on todellista taidetta, joka riippuu suoraan sekä asiantuntijan vaistosta että hänen käyttämänsä tiedon syvyydestä ja laadusta. Liikenneanalysaattori on juuri se työkalu, joka tarjoaa sinulle nämä tiedot. Viisaasti valittu verkkoliikenteen analysointiratkaisu ei vain voi auttaa sinua selvittämään, kuinka paketteja lähetetään, vastaanotetaan ja kuinka turvallisesti ne kulkevat verkossasi, vaan se voi myös tehdä paljon, paljon enemmän!

Nyt markkinoilla on suuri määrä ohjelmistoversioita verkkoliikenteen analysointiin. Lisäksi jotkut heistä pystyvät herättämään nostalgisia muistoja "vanhan koulun" asiantuntijoissa; ne käyttävät päätefonttia ja komentorivikäyttöliittymää, ja ne näyttävät ensi silmäyksellä vaikealta käyttää. Muut ratkaisut päinvastoin erottuvat asennuksen helppoudesta ja keskittyvät yleisöön, jolla on visuaalinen havainto (ne ovat kirjaimellisesti ylikyllästetty erilaisilla grafiikoilla). Myös näiden ratkaisujen hintaluokka on hyvin erilainen - ilmaisista ratkaisuihin erittäin kalliilla yrityslisenssillä.

Jotta voisit tehtävistäsi ja mieltymyksistäsi riippuen valita parhaan ratkaisun verkkoliikenteen analysointiin, esittelemme sinulle luettelon kiinnostavimmista markkinoiden tällä hetkellä saatavilla olevista liikenteen analysointiohjelmistotuotteista sekä lyhyen yleiskatsauksen niihin sisäänrakennetuista toiminnoista erilaisten verkkotietojen poimimiseen, käsittelyyn ja visuaaliseen esittämiseen. Jotkut näistä toiminnoista ovat samanlaisia ​​kaikissa tässä katsauksessa esitellyissä verkkoliikenteen analysointiratkaisuissa - niiden avulla voit nähdä lähetetyt ja vastaanotetut verkkopaketit tietyllä tai toisella tarkkuudella, mutta melkein kaikilla niillä on joitain ominaispiirteitä, jotka tekevät niistä ainutlaatuisia käytettäessä tietyissä tilanteissa tai verkkoympäristöissä. Loppujen lopuksi turvaudumme verkkoliikenteen analysointiin, kun meillä on verkko-ongelma, mutta emme voi nopeasti rajata sitä tiettyyn koneeseen, laitteeseen tai protokollaan, ja meidän on etsittävä syvemmälle. Autamme sinua valitsemaan sopivimman liinäihin tarkoituksiin.

SolarWinds Network Bandwidth Analyzer

Valmistaja on sijoittanut tämän ratkaisun kahden tuotteen ohjelmistopaketiksi - Network Performance Monitor (perusratkaisu) ja NetFlow Traffic Analyzer (modulaarinen laajennus). Kuten todettiin, niillä on samanlainen, mutta silti erilainen verkkoliikenteen analysointitoiminto, joka täydentää toisiaan, kun näitä kahta tuotetta käytetään samanaikaisesti.

Network Performance Monitor, kuten nimestä voi päätellä, valvoo verkon suorituskykyä ja on houkutteleva valinta, jos haluat saada yleiskuvan siitä, mitä verkossasi tapahtuu. Ostamalla tämän ratkaisun maksat mahdollisuudesta seurata verkkosi yleistä kuntoa: valtavan määrän tilastotietoja, kuten tiedon ja pakettisiirtojen nopeuden ja luotettavuuden perusteella, useimmissa tapauksissa pystyt tunnistamaan nopeasti ongelmia verkossasi. Ja ohjelman edistynyt älyllinen kyky tunnistaa mahdolliset ongelmat ja laajat mahdollisuudet visuaaliseen tulosten esittämiseen taulukoiden ja kaavioiden muodossa, joissa on selkeät varoitukset mahdollisista ongelmista, tekevät tästä työstä entistä helpompaa.

NetFlow Traffic Analyzerin modulaarinen laajennus keskittyy enemmän itse liikenteen analysointiin. Perusohjelmistoratkaisun Network Performance Monitorin toiminnallisuuden tarkoituksena on pikemminkin saada yleinen käsitys verkon suorituskyvystä, kun taas NetFlow Traffic Analyzerissa keskitytään verkossa tapahtuvien prosessien tarkempaan analysointiin. Erityisesti tämä ohjelmistopaketin osa analysoi kaistanleveyden ruuhkautumista tai poikkeavia purskeita ja tarjoaa tilastoja, jotka on lajiteltu käyttäjän, protokollan tai sovelluksen mukaan. Huomaa, että tämä ohjelma on saatavilla vain Windows-ympäristössä.

Wireshark

Se on suhteellisen uusi työkalu suuressa verkkodiagnostiikkaratkaisujen perheessä, mutta tänä aikana se on jo onnistunut saamaan IT-ammattilaisten tunnustusta ja kunnioitusta. Mitä tulee liikenneanalyysiin, WireShark tekee erinomaista työtä tehdessään työnsä puolestasi. Kehittäjät onnistuivat löytämään keskitien alkuperäisen datan ja näiden tietojen visuaalisen esityksen välillä, joten WireSharkista et löydä vääristymiä suuntaan tai toiseen, mitä useimmat muut verkkoliikenteen analysointiratkaisut tekevät syntiä. WireShark on yksinkertainen, yhteensopiva ja kannettava. WireSharkin avulla saat juuri sen, mitä odotat, ja saat sen nopeasti.

WireSharkilla on loistava käyttöliittymä, paljon suodatus- ja lajitteluvaihtoehtoja, ja mitä monet meistä arvostavat, WireShark-liikenneanalyysi toimii loistavasti minkä tahansa kolmen suosituimman käyttöjärjestelmäperheen kanssa - *NIX, Windows ja macOS. Kun lisäät kaikkiin yllä oleviin, WireShark on avoimen lähdekoodin ja ilmainen, ja sinulla on loistava työkalu verkkosi nopeaan diagnosointiin.

tcpdump

Tcpdump-liikenneanalysaattori näyttää muinaiselta työkalulta, ja ollakseni täysin rehellinen, se toimii myös toiminnallisesti. Huolimatta siitä, että hän selviää työstään ja tekee sen hyvin ja käyttää tähän mahdollisimman vähän järjestelmäresursseja, monien nykyaikaisten asiantuntijoiden on vaikea ymmärtää valtavaa määrää "kuivia" tietotaulukoita. Mutta elämässä on tilanteita, joissa niin katkaistujen ja resursseja vaatimattomien ratkaisujen käyttö voi olla hyödyllistä. Joissakin ympäristöissä tai tuskin käynnissä olevissa tietokoneissa minimalismi voi olla ainoa käyttökelpoinen vaihtoehto.

Tcpdump-ohjelmistoratkaisu kehitettiin alun perin *NIX-ympäristöön, mutta se toimii nyt myös useiden Windows-porttien kanssa. Siinä on kaikki perustoiminnot, joita voit odottaa miltä tahansa liikenneanalysaattorilta - sieppaus, tallennus jne. - mutta älä odota siltä paljon muuta.

Kismet

Kismet Traffic Analyzer on toinen esimerkki avoimen lähdekoodin ohjelmistoista, jotka on räätälöity erityistarpeisiin. Kismet ei vain analysoi verkkoliikennettä, vaan tarjoaa paljon kehittyneempiä toimintoja. Se voi esimerkiksi analysoida piiloverkkojen liikennettä ja jopa langattomia verkkoja, jotka eivät lähetä SSID-tunnustaan! Tällainen liikenteen analysointityökalu voi olla erittäin hyödyllinen, kun langattomassa verkossasi on jotain, joka aiheuttaa ongelmia, mutta et löydä sen lähdettä nopeasti. Kismet auttaa sinua havaitsemaan roistoverkon tai tukiaseman, joka toimii, mutta ei aivan oikein.

Monet meistä tietävät omakohtaisesti, että tehtävä on monimutkaisempi, kun se tulee analysoimaan langattoman verkon liikennettä, joten erikoistyökalun, kuten Kismetin, käyttö ei ole vain toivottavaa, vaan myös usein välttämätöntä. Kismet Traffic Analyzer on loistava valinta sinulle, jos olet jatkuvasti tekemisissä paljon langattoman liikenteen ja langattomien laitteiden kanssa ja tarvitset hyvän langattoman liikenteen analysointityökalun. Kismet on saatavilla *NIX:lle, Windowsille Cygwin- ja macOS-ympäristöissä.

EtherApe

EtherApe on toiminnallisesti lähellä WireSharkia, ja se on myös ilmainen ja avoimen lähdekoodin ohjelmisto. Kuitenkin se, mikä todella erottaa sen muista ratkaisuista, on keskittyminen grafiikkaan. Ja jos esimerkiksi katsot WireShark-liikenneanalyysin tuloksia klassisessa digitaalisessa muodossa, niin EtherApe-verkkoliikenne näytetään edistyneellä graafisella käyttöliittymällä, jossa jokainen graafin kärkipiste edustaa erillistä isäntä, kärkien ja reunojen koot osoittavat. verkkoliikenteen koko ja värit on merkitty eri protokollilla. EtherApe-analysaattori voi olla paras valinta niille, jotka pitävät parempana tilastotietojen visuaalista havaitsemista. Saatavilla *NIX- ja macOS-ympäristöissä.

Kain ja Abel

Tässä ohjelmistossa, jolla on erittäin utelias nimi, kyky analysoida liikennettä on enemmän aputoiminto kuin päätoiminto. Jos tehtäväsi menevät paljon pidemmälle kuin yksinkertainen liikenneanalyysi, sinun tulee kiinnittää huomiota tähän työkaluun. Sen avulla voit palauttaa Windows-käyttöjärjestelmän salasanoja, suorittaa hyökkäyksiä saadaksesi kadonneita tunnistetietoja, tutkia VoIP-tietoja verkossa, analysoida pakettien reititystä ja paljon muuta. Tämä on todella tehokas työkalupakki järjestelmänvalvojalle, jolla on laajat valtuudet. Toimii vain Windows-ympäristössä.

verkon kaivosmies

NetworkMiner-ratkaisu on toinen ohjelmistoratkaisu, jonka toiminnallisuus ylittää tavanomaisen liikenneanalyysin. Kun muut liikenneanalysaattorit keskittyvät pakettien lähettämiseen ja vastaanottamiseen, NetworkMiner seuraa niitä, jotka lähettävät ja vastaanottavat näitä paketteja suoraan. Tämä työkalu sopii paremmin ongelmallisten tietokoneiden tai käyttäjien tunnistamiseen kuin yleiseen diagnostiikkaan tai verkon valvontaan sinänsä. verkon kaivosmies suunniteltu käyttöjärjestelmälle Windows.

KisMAC

KisMAC - tämän ohjelmistotuotteen nimi puhuu puolestaan ​​- tämä on Kismet for macOS. Nykyään Kismetillä on jo portti macOS-käyttöympäristölle, joten KisMAC:n olemassaolo saattaa tuntua turhalta, mutta kannattaa kiinnittää huomiota siihen, että KisMAC-ratkaisulla on itse asiassa oma koodikanta, eikä se ole suoraan johdettu Kismetin liikenteestä. analysaattori. Erityisen huomionarvoista on, että KisMAC tarjoaa joitain ominaisuuksia, kuten sijaintikartoituksen ja macOS:n autentikointihyökkäyksen, joita Kismet ei tarjoa yksinään. Nämä ainutlaatuiset ominaisuudet tietyissä tilanteissa voivat kallistaa vaa'an tämän tietyn ohjelmistoratkaisun hyväksi.

Johtopäätös

Verkkoliikenteen analysointiohjelmisto voi olla sinulle tärkeä työkalu, kun törmäät ajoittain erilaisiin verkkoongelmiin, olipa kyse sitten suorituskyvystä, katkeavista yhteyksistä tai verkon varmuuskopiointiongelmista. Lähes kaikki verkossa tapahtuva tiedon lähettämiseen ja vastaanottamiseen liittyvä voidaan tunnistaa ja korjata nopeasti yllä olevasta listasta ohjelmistolla hankittujen tietojen ansiosta.

Tulokset, jotka verkkoliikenteen laadullinen analyysi antaa käyttämällä todistettuja erikoisohjelmistotyökaluja, auttavat sinua menemään syvälle ongelman ylimmän kerroksen alle ja ymmärtämään, mitä verkossasi todella tapahtuu tai ei tapahdu, mutta sen pitäisi tapahtua.

Tilaa uutiskirje, jaa artikkeleita sosiaalisissa verkostoissa ja kysy kommenteissa!

Aina yhteydessä, Igor Panov.

23.5.2016 45,3K

Monet verkonvalvojat kohtaavat usein ongelmia, jotka verkkoliikenteen analysointi voi auttaa ratkaisemaan. Ja tässä kohtaamme sellaisen käsitteen kuin liikenneanalysaattori. Eli mikä se on?

NetFlow-analysaattorit ja kerääjät ovat työkaluja, joiden avulla voit seurata ja analysoida verkkoliikennetietoja. Verkkoprosessin analysaattoreiden avulla voit paikantaa laitteet, jotka vähentävät kaistanleveyttä. He tietävät kuinka löytää ongelma-alueet järjestelmästäsi ja parantaa verkon yleistä tehokkuutta.

Termi " Nettovirta" viittaa Cisco-protokollaan, joka on suunniteltu keräämään tietoa IP-liikenteestä ja valvomaan verkkoliikennettä. NetFlow on hyväksytty suoratoistoteknologioiden vakioprotokollaksi.

NetFlow-ohjelmisto kerää ja analysoi reitittimien tuottamaa virtaustietoa ja esittää sen käyttäjäystävällisessä muodossa.

Useilla muilla verkkolaitteiden toimittajilla on omat valvonta- ja tiedonkeruuprotokollansa. Esimerkiksi Juniper, toinen erittäin arvostettu verkkolaitteiden toimittaja, kutsuu protokollaansa " j-virtaus". HP ja Fortinet käyttävät termiä " s-Flow". Vaikka protokollat ​​on nimetty eri tavalla, ne kaikki toimivat samalla tavalla. Tässä artikkelissa tarkastellaan 10 ilmaista verkkoliikenteen analysaattoria ja NetFlow-keräilijää Windowsille.

SolarWinds reaaliaikainen NetFlow Traffic Analyzer

Ilmainen NetFlow Traffic Analyzer on yksi suosituimmista työkaluista, jotka ovat ladattavissa ilmaiseksi. Se antaa sinulle mahdollisuuden lajitella, merkitä ja näyttää tietoja monin eri tavoin. Tämän avulla voit kätevästi visualisoida ja analysoida verkkoliikennettä. Työkalu sopii erinomaisesti verkkoliikenteen seurantaan tyypin ja ajanjakson mukaan. Sekä testien suorittaminen määrittääksesi kuinka paljon liikennettä eri sovellukset kuluttavat.

Tämä ilmainen työkalu on rajoitettu yhteen NetFlow-valvontaliittymään ja säästää vain 60 minuuttia tietoa. Tämä Netflow Analyzer on tehokas työkalu, jota kannattaa käyttää.

Colasoft Capsa ilmainen

Tämän ilmaisen LAN-liikenteen analysaattorin avulla voit tunnistaa ja valvoa yli 300 verkkoprotokollaa ja luoda mukautettuja raportteja. Se sisältää sähköpostin seurannan ja sekvenssikaaviot TCP-synkronointi, kaikki kerätty yhteen muokattavaan paneeliin.

Muita ominaisuuksia ovat verkon suojausanalyysi. Esimerkiksi DoS/DDoS-hyökkäysten seuranta, matotoiminnan ja ARP-hyökkäysten havaitseminen. Sekä pakettien dekoodaus ja tietojen näyttö, tilastot kustakin verkon isännästä, pakettienvaihdon ohjaus ja virran rekonstruointi. Capsa Free tukee kaikkia Windows XP:n 32- ja 64-bittisiä versioita.

Järjestelmän vähimmäisvaatimukset asennukselle: 2 Gt RAM-muistia ja 2,8 GHz:n prosessori. Sinulla tulee olla myös ethernet-yhteys Internetiin ( yhteensopiva NDIS 3:n tai uudemman kanssa), Fast Ethernet tai Gigabit sekamuotoisella ohjaimella. Sen avulla voit siepata passiivisesti kaikki Ethernet-kaapelilla lähetetyt paketit.

Vihainen IP-skanneri

Se on avoimen lähdekoodin Windows-liikenteen analysaattori, joka on nopea ja helppokäyttöinen. Se ei vaadi asennusta ja sitä voidaan käyttää Linuxissa, Windowsissa ja Mac OSX:ssä. Tämä työkalu toimii jokaisen IP-osoitteen yksinkertaisella ping-pingauksella ja voi määrittää MAC-osoitteet, tarkistaa portit, tarjota NetBIOS-tietoja, määrittää valtuutetun käyttäjän Windows-järjestelmissä, löytää verkkopalvelimia ja paljon muuta. Sen ominaisuuksia on laajennettu Java-laajennuksilla. Skannaustiedot voidaan tallentaa CSV-, TXT- tai XML-muotoisiin tiedostoihin.

ManageEngine NetFlow Analyzer Professional

ManageEnginesin täysin toimiva versio NetFlow-ohjelmistosta. Se on tehokas ohjelmisto, jossa on täydet toiminnot analysointia ja tiedonkeruuta varten: reaaliaikainen kanavan kaistanleveyden valvonta ja hälytykset, kun kynnysarvot saavutetaan, mikä mahdollistaa prosessien nopean hallinnan. Lisäksi se tarjoaa tiivistelmätietoa resurssien käytöstä, valvontasovelluksista ja protokollista ja paljon muuta.

Linux-liikenneanalysaattorin ilmaisella versiolla voit käyttää tuotetta rajoittamattomasti 30 päivän ajan, jonka jälkeen voit seurata vain kahta käyttöliittymää. NetFlow Analyzer ManageEnginen järjestelmävaatimukset vaihtelevat virtausnopeuden mukaan. Suositellut vaatimukset vähimmäisvirtausnopeudelle 0–3000 säiettä sekunnissa: 2,4 GHz:n kaksiytiminen prosessori, 2 Gt RAM-muistia ja 250 Gt vapaata kiintolevytilaa. Kun valvottava virtausnopeus kasvaa, myös vaatimukset kasvavat.

Kaveri

Tämä sovellus on MikroTikin kehittämä suosittu verkkomonitori. Se skannaa automaattisesti kaikki laitteet ja luo verkkokartan uudelleen. Dude tarkkailee eri laitteilla toimivia palvelimia ja hälyttää, jos ongelmia ilmenee. Muita ominaisuuksia ovat uusien laitteiden automaattinen etsiminen ja näyttäminen, mahdollisuus luoda mukautettuja karttoja, pääsy laitteen etähallintatyökaluihin ja paljon muuta. Se toimii Windowsissa, Linux Winessä ja MacOS Darwinessa.

JDSU Network Analyzer Fast Ethernet

Tämän liikenteen analysointiohjelman avulla voit nopeasti kerätä ja tarkastella tietoja verkon kautta. Työkalu tarjoaa mahdollisuuden tarkastella rekisteröityjä käyttäjiä, määrittää yksittäisten laitteiden verkon kaistanleveyden käytön tason sekä löytää ja korjata virheet nopeasti. Sekä kaapata reaaliaikaista dataa ja analysoida sitä.

Sovellus tukee erittäin yksityiskohtaisten kaavioiden ja taulukoiden luomista, joiden avulla järjestelmänvalvojat voivat seurata liikenteen poikkeavuuksia, suodattaa tietoja suurten tietomäärien seulomiseksi ja paljon muuta. Tämä työkalu aloitustason ammattilaisille sekä kokeneille järjestelmänvalvojille antaa sinun hallita verkkoa kokonaan.

Plixer Scrutinizer

Tämän verkkoliikenteen analysaattorin avulla voit kerätä ja analysoida kattavasti verkkoliikennettä sekä löytää ja korjata virheet nopeasti. Scrutinizerin avulla voit lajitella tietoja useilla tavoilla, mukaan lukien aikavälit, isännät, sovellukset, protokollat ​​ja paljon muuta. Ilmaisen version avulla voit hallita rajattomasti rajapintoja ja tallentaa tietoja 24 tunnin toiminnasta.

Wireshark

Wireshark on tehokas verkkoanalysaattori, jota voidaan käyttää Linuxissa, Windowsissa, MacOS X:ssä, Solarisissa ja muissa alustoissa. Wiresharkin avulla voit tarkastella kaapattuja tietoja graafisen käyttöliittymän avulla tai käyttää TTY-tilan TShark-apuohjelmia. Sen ominaisuuksia ovat VoIP-liikenteen kerääminen ja analysointi, Ethernet-tietojen reaaliaikainen näyttö, IEEE 802.11, Bluetooth, USB, Frame Relay, tiedonanto XML-muotoon, PostScript, CSV, salauksenpurkutuki ja paljon muuta.

Järjestelmävaatimukset: Windows XP ja uudemmat, mikä tahansa moderni 64/32-bittinen prosessori, 400 Mt RAM-muistia ja 300 Mt vapaata levytilaa. Wireshark NetFlow Analyzer on tehokas työkalu, joka voi yksinkertaistaa huomattavasti minkä tahansa verkonvalvojan työtä.

Paessler PRTG

Tämä liikenneanalysaattori tarjoaa käyttäjille monia hyödyllisiä ominaisuuksia: tuki lähiverkon, WAN:n, VPN:n, sovellusten, virtuaalipalvelimen, QoS:n ja ympäristön valvonnalle. Myös usean paikan valvonta on tuettu. PRTG käyttää SNMP-, WMI-, NetFlow-, SFlow-, JFlow- ja pakettihaistelua sekä käyttöaika-/seisokkivalvontaa ja IPv6-tukea.

Ilmainen versio mahdollistaa rajoittamattoman määrän antureita 30 päivän ajan, jonka jälkeen voit käyttää vain 100 ilmaiseksi.

nProbe

Se on täysin varusteltu avoimen lähdekoodin NetFlow-seuranta- ja analyysisovellus.

nProbe tukee IPv4- ja IPv6-, Cisco NetFlow v9 / IPFIX-, NetFlow-Lite-, VoIP-liikenteen analysointia, suoratoisto- ja pakettinäytteenottoa, kirjaamista, MySQL/Oracle- ja DNS-toimintaa ja paljon muuta. Sovellus on ilmainen, jos lataat ja käännät liikenneanalysaattorin Linuxissa tai Windowsissa. Asennusohjelma rajoittaa sieppauksen määrän 2000 pakettiin. nProbe on täysin ilmainen oppilaitoksille sekä voittoa tavoittelemattomille ja tieteellisille organisaatioille. Tämä työkalu toimii Linux- ja Windows-käyttöjärjestelmien 64-bittisissä versioissa.

Tämä 10 ilmaisen NetFlow-liikenneanalysaattorin ja -keräimen luettelo auttaa sinua aloittamaan pienen toimistoverkon tai suuren usean yrityksen WAN-verkon valvonnan ja vianetsinnän.

Jokainen tässä artikkelissa esitelty sovellus mahdollistaa verkkoliikenteen seurannan ja analysoinnin, pienten vikojen havaitsemisen sekä tietoturvauhkiin viittaavan kaistanleveyden poikkeamien tunnistamisen. Sekä visualisoida tietoja verkosta, liikenteestä ja muusta. Verkon ylläpitäjillä pitäisi ehdottomasti olla tällaisia ​​​​työkaluja arsenaalissaan.

Tämä julkaisu on käännös artikkelista " 10 parasta ilmaista Netflow-analysaattoria ja kerääjää Windowsille» valmistelee ystävällinen projektitiimi

Hyvä huono