5 pilni pakešu uztveršanas un analīzes rīki maziem un lieliem tīkliem

Pakešu uztveršana un analīze ir ļoti noderīga, lai pārbaudītu tīkla mijiedarbību un identificētu neefektīvu pārraidi, kā arī bīstamus kiberdraudus.

Pakešu uztveršana attiecas uz datu paketes pārtveršanu un savākšanu, kad tā pārvietojas pa tīkla savienojumu. Datu paketes tiek reģistrētas un pārbaudītas, lai identificētu un pārvaldītu tīkla problēmas, piemēram, lielu latentumu un kļūmes. Informācija, kas iegūta no pakešu analīzes, tiek izmantota, lai palīdzētu tīkla administratoram traucējummeklēšanā un tīkla kļūmju novēršanā īsākā laika periodā.

Pakešu analīze tiek izmantota dažiem no šiem uzdevumiem.

  • Drošības risku noteikšana
  • DNS problēmu novēršana
  • Tīkla savienojamības problēmu identificēšana un risināšana
  • Tīkla kļūmju noteikšana
  • Pakešu noplūdes noteikšana un novēršana
  • Ļaunprātīgas programmatūras noteikšana un novēršana

Ir iespējams uzņemt pilnas datu paketes vai atsevišķus paketes segmentus. Pilna datu pakete sastāv no divām daļām: lietderīgās slodzes un galvenes. Lietderīgās slodzes segments satur paketes faktisko saturu, savukārt galvenes segmentā ir informācija, piemēram, paketes avota un mērķa adreses.

Mēs esam apkopojuši dažu lietojumprogrammu sarakstu, lai veiktu pilnu pakešu uztveršanu un analīzi.

Sāksim ripināt.

Colasoft Capsa

Capsa ir reāllaika pārnēsājams tīkla analizators, uzraudzības un diagnostikas rīks gan vadu, gan bezvadu tīkliem. Datu pakešu pārbaudes var ieplānot veikt noteiktā laikā, piemēram, regulāri vai reizi mēnesī. Regulāra skenēšana nodrošina, ka nepalaidīsit garām radušās veiktspējas problēmas. Ja kaut kas pietrūkst, e-pasta un audio brīdinājumi jūs informēs ikreiz, kad tīkla sesijā būs nepieciešama jūsu dalība.

Capsa palīdz lietotājam būt informētam par ievainojamībām un draudiem, kas var izraisīt pakalpojuma darbības traucējumus. Izmantojot šo rīku, tiek labi izsekoti visi būtiskie VoIP (balss pār interneta protokolu) rādītāji, piemēram, zvanu kodeka veids un notikumu izplatīšana. Tas ir lielisks rīks personām, kuras vēlas iesaistīties pakešu pārbaudē un uzzināt, kā atklāt tīkla problēmas un uzlabot tīkla drošību.

  Kā iegūt agrīnu piekļuvi Ubuntu 18.04

Iespējas:

  • Bezmaksas iebūvētās utilītas pakešu izveidei un atkārtotai atskaņošanai, kā arī IP adrešu skenēšanai un pingēšanai.
  • Automātiski diagnosticē tīkla problēmas un iesaka risinājumus.
  • Atbalsta VoIP un TCP plūsmas analīzi, ko var izmantot, lai diagnosticētu tīkla problēmas, piemēram, lēnu reakcijas laiku un CRM (Customer Relationship Management) darījumus.
  • Var noteikt DDoS uzbrukumu, ARP uzbrukumu un TCP portu skenēšanu, kā arī ļauj lietotājam pamanīt tehniskās kļūdas tīklā.
  • Šis rīks atbalsta vairāk nekā 1800 protokolu, kas ļauj vienkārši pārbaudīt protokolus tīklā un saprast, kas notiek.
  • Tas apkopo visas datu paketes un parāda pilnu pakešu secības informāciju Hex un ASCII formātā. (Padziļināta pakešu dekodēšana)
  • Informāciju par tīkla trafiku un caurlaidspēju var parādīt grafiku formātos.

Colasoft nodrošina citus rīkus, piemēram, tīkla veiktspējas analīzes sistēmu (nChronos) un vienoto veiktspējas pārvaldības risinājumu (Colasoft UPM). Tas nodrošina 30 dienu bezmaksas izmēģinājumu, lai pirms pirkšanas pārbaudītu funkcijas.

TCPDump

TCPDump ir atvērtā koda un jaudīgs komandrindas pakešu analizatora rīks, kas tver tādus protokolus kā TCP, UDP un ICMP (Internet Control Message Protocol). Šis rīks ir iepriekš instalēts visās Unix līdzīgajās operētājsistēmās. TCPDump ir izlaists saskaņā ar BSD licenci. Jūs varat viegli pārbaudīt TCP/IP pakešu galvenes, izmantojot tcpdump. Tas izvada informāciju par katru datu pārraidi, un skripts darbojas, līdz to pārtraucat, izmantojot opciju Ctrl+C.

Tcpdump iestatīšana ir ļoti vienkārša, un, ja apgūstat rīka lietošanu, karogus un argumentus, varat izmantot šo rīku, lai novērstu savienojamības problēmas un aizsargātu tīklu. Ierakstītās datu paketes tiks saglabātas failā turpmākai analīzei, izmantojot tcpdump. Tas saglabā failu PCAP paplašinājuma formātā, ko var viegli pārbaudīt, izmantojot tcpdump vai Wireshark, kas nolasa PCAP (pakešu uztveršanas saīsinājums) formāta failus.

Iespējas:

  • Ir iespējams filtrēt uzņemtās datu paketes pēc avota, galamērķa un protokola.
  • Bezmaksas un atvērtā koda

Šeit ir raksts par to, kā iegūt un analizēt tīkla trafiku, izmantojot tcpdump.

Paessler PRTG

Viens no populārākajiem tīkla uzraudzības un trafika analīzes rīkiem ir Paessler PRTG Network Monitor. Šis rīks sniedz būtisku informāciju par jūsu tīkla infrastruktūru un tā veiktspēju.

  Izmantojiet Google Hangouts kā atsevišķu Chrome darbvirsmas lietotni

Tas ir saderīgs ar Windows. Tas ietver dažādas uzraudzības iespējas, tostarp joslas platuma uzraudzību un trafika analīzi. Ir pieejama bezmaksas Paessler PRTG versija. Lai ziņotu par tīkla veiktspējas metriku, tas izmanto pakešu sniffer, WMI un SNMP kombināciju.

Iespējas:

  • Elastīga brīdināšana — PRTG ir vairāk nekā desmit izstrādātas tehnoloģijas, tostarp SMS, push paziņojumi, e-pasta ziņojumi, HTTP pieprasījumu aktivizēšana utt.
  • Vairākas lietotāju saskarnes — veidotas uz AJAX ar stingrām drošības prasībām, augstas veiktspējas, kas saistītas ar vienas lapas lietojumprogrammas (SPA) tehnoloģiju,
  • Klasteru kļūmjpārlēces risinājums — lai izveidotu nedaudz paaugstinātu uzraudzības risinājumu.
  • Kartes un informācijas paneļi — tīkla vizualizēšanai izmantojiet reāllaika kartes ar aktuālo informāciju.
  • Sadalītā uzraudzība — izmantojot portatīvos pārtvērējus, varat pārraudzīt daudzus tīklus dažādās vietās un vairākus tīklus savā organizācijā.
  • Padziļināta atskaite skaitļu, statistikas un grafiku veidā

Šis rīks atbalsta dažādas brīdinājuma metodes, tostarp SMS, e-pastus un trešo pušu savienojumus ar tādām platformām kā Slack. PRTG ir pieejams neierobežotā versijā 30 dienas. Pēc brīvā perioda beigām tas atgriezīsies brīvajā formā.

Wireshark

Wireshark ir bezmaksas atvērtā koda pakešu analizators, kas ļauj pārbaudīt tīkla datu pārraidi reāllaikā. Šis rīks ļauj tīkla pārvaldniekiem pārbaudīt tīklu mikroskopiskā līmenī, lai precīzi noteiktu satiksmes problēmu un kļūdu avotu. Tas ir lielisks rīks, kam nepieciešama laba izpratne par tīkla jēdzieniem.

Iespējas:

  • Tas praktiski darbojas ar jebkuru operētājsistēmu, ieskaitot Windows, Linux distribūcijas, Mac OS X utt.
  • Izveidojiet pārskatus, pamatojoties uz pašreizējiem statistikas datiem.
  • Izvades filtrēšanu var veikt ar dažādām opcijām, piemēram, taimeriem un filtriem.
  • Vizualizējiet tīkla paketes, izmantojot IO diagrammas un diagrammas.
  • Tas var arī ierakstīt USB trafiku.
  • Tas piedāvā plašu lietojumu klāstu, tostarp pirkstu nospiedumu noņemšanu nesankcionētai trafikai, pakešu filtrēšanas iestatījumus un tā tālāk.
  • Krāsu kodēšanas noteikumus var izmantot, lai noteiktu satiksmes veidus.
  • Detalizēta VoIP (balss pār interneta protokolu) izpēte.
  Kā iegūt Google IT atbalsta profesionāļa sertifikātu

Pazaudētas datu paketes, tīkla latentuma problēmas, lietojumprogrammu atkarības un neefektīvi logu izmēri ir izplatītākās problēmu novēršanas problēmas, ar kurām Wireshark var palīdzēt. Šis rīks ļauj pārraudzīt tīkla trafiku un nodrošina mehānismus problēmas avota meklēšanai un precīzai noteikšanai.

Unicast (bez savienojuma) trafiku, kas netiek nosūtīts uz tīkla MAC adreses saskarni, var arī pārraudzīt, izmantojot Wireshark rīku.

Apmeklējiet šo rakstu par tīkla latentuma problēmu novēršanu, izmantojot Wireshark.

Arkime

Arkime darbojas sadarbībā ar esošo drošības sistēmu, lai apkopotu un indeksētu tīkla trafiku un datu pārraidi standarta PCAP formātā.

Visas ierakstītās datu paketes tiek glabātas un eksportētas parastā PCAP formātā, ļaujot analītiskajā procesā izmantot savus iecienītākos PCAP pārsūtīšanas rīkus, piemēram, Wireshark vai tcpdump.

PCAP saglabāšanu nosaka pieejamās sensora diska vietas apjoms, savukārt API saglabāšanu nosaka Elasticsearch klastera lielums. Abus šos parametrus var mainīt jebkurā brīdī.

Arkime ir paredzēts darbam vairākās sistēmās un mērogos, lai pielāgotos desmitiem gigabitu sekundē trafika. Visus PCAP formāta failus, kas tiek saglabāti Arkime sensoros, var instalēt, un tiem var piekļūt tikai caur Arkime tīmekļa saskarni vai API. PCAP failus miera stāvoklī var šifrēt ar Arkime.

Iespējas:

  • Nodrošina lietotājam draudzīgu tīmekļa saskarni PCAP failu pārbaudei, atrašanai un izvilkšanai.
  • Bezmaksas un atvērtā koda
  • Ļauj citiem PCAP pārsūtīšanas rīkiem pārbaudīt saglabātos PCAP failus.

PCAP datus un JSON formatētus darījumu datus var izgūt tieši, izmantojot API. Skatiet Arkime pilno API dokumentāciju šeit.

Secinājums

Pakešu uztveršanas datu analīzei parasti ir vajadzīgas augsta līmeņa tehniskās zināšanas, ko var paveikt, izmantojot šos rīkus.

Es ceru, ka šis raksts jums šķita ļoti noderīgs, apgūstot pilno pakešu uztveršanas un analīzes rīkus maziem un lieliem tīkliem.

Iespējams, jūs interesēs arī informācija par labākajiem Wi-Fi analizatora programmatūras rīkiem.