A Packet Capture and Analysis rendkívül hasznos a hálózati interakciók vizsgálatához, valamint a nem hatékony átvitelek, valamint a veszélyes kiberfenyegetések azonosításához.
A csomagrögzítés a hálózati kapcsolaton áthaladó adatcsomagok elfogását és összegyűjtését jelenti. Az adatcsomagokat rögzíti és ellenőrzi a hálózati problémák, például a magas késleltetés és a hibák azonosítása és kezelése érdekében. A csomagelemzésből nyert információkat arra használják, hogy segítsék a hálózati rendszergazdát a hibaelhárításban és a hálózati hibák rövidebb időn belüli kijavításában.
A csomagelemzés a következő feladatok némelyikéhez használható.
- Biztonsági kockázatok észlelése
- DNS-problémák hibaelhárítása
- Hálózati kapcsolódási problémák azonosítása és megoldása
- Hálózati hibák észlelése
- Csomagszivárgás észlelése és javítása
- Rosszindulatú programok észlelése és megelőzése
Lehetőség van teljes adatcsomagok vagy egy csomag egyes szegmenseinek rögzítésére. A teljes adatcsomag két részből áll: egy hasznos terhelésből és egy fejlécből. A hasznos szegmens a csomag tényleges tartalmát tartalmazza, míg a fejléc szegmens olyan információkat tartalmaz, mint a csomag forrás- és célcíme.
Összefoglaltunk néhány olyan alkalmazást, amelyek teljes csomagrögzítést és -elemzést végezhetnek.
Menjünk gurulni.
Tartalomjegyzék
Colasoft Capsa
Capsa egy valós idejű hordozható hálózati elemző, megfigyelő és diagnosztikai eszköz vezetékes és vezeték nélküli hálózatokhoz egyaránt. Az adatcsomag-ellenőrzések ütemezhetők meghatározott időpontra, például rendszeresen vagy havonta. A rendszeres ellenőrzések biztosítják, hogy ne maradjon le a felmerülő teljesítményproblémákról. Ha valamiről hiányzik, e-mailben és hangjelzéssel értesítjük, ha egy hálózati munkamenet megköveteli az Ön részvételét.
A Capsa segít a felhasználónak abban, hogy naprakész legyen a sebezhetőségekkel és fenyegetésekkel kapcsolatban, amelyek a szolgáltatás megszakadásához vezethetnek. Az összes kritikus VoIP (Voice over Internet Protocol) mérőszám, például a híváskodek típusa és az eseményelosztás jól nyomon követhető ezzel az eszközzel. Kiváló eszköz azoknak, akik szeretnének részt venni a csomagellenőrzésben, és megtanulják, hogyan észlelhetik a hálózati problémákat és javíthatják a hálózat biztonságát.
Jellemzők:
- Ingyenes beépített segédprogramok csomagok létrehozásához és lejátszásához, valamint IP-címek szkenneléséhez és pingeléséhez.
- Automatikusan diagnosztizálja a hálózati problémákat, és megoldásokat javasol.
- Támogatja a VoIP- és TCP-folyamelemzést, amely a hálózati problémák, például a lassú válaszidő és a CRM- (Customer Relationship Management) tranzakciók diagnosztizálására használható.
- A DDoS támadás, az ARP támadás és a TCP port szkennelés is észlelhető, valamint lehetővé teszi a felhasználó számára a hálózat technikai hibáinak észlelését is.
- Ez az eszköz több mint 1800 protokollt támogat, így egyszerűvé teszi a protokollok vizsgálatát a hálózatban, és megértheti, mi történik.
- Összegyűjti az összes adatcsomagot, és megjeleníti a teljes csomagsorrendi információt Hex és ASCII formátumban. (Mélyreható csomagdekódolás)
- A hálózati forgalom és az áteresztőképesség információi grafikon formátumban jeleníthetők meg.
A Colasoft további eszközöket is kínál, például a hálózati teljesítményelemző rendszert (nChronos) és az egyesített teljesítménykezelési megoldást (Colasoft UPM). 30 napos ingyenes próbaverziót biztosít a funkciók ellenőrzéséhez vásárlás előtt.
TCPDump
TCPDump egy nyílt forráskódú és hatékony parancssori csomagelemző eszköz, amely olyan protokollokat rögzít, mint a TCP, UDP és ICMP (Internet Control Message Protocol). Ez az eszköz előre telepítve van minden Unix-szerű operációs rendszeren. A TCPDump a BSD licenc alatt jelenik meg. A tcpdump segítségével egyszerűen ellenőrizheti a TCP/IP-csomagok fejléceit. Minden adatátvitelhez kiadja az információkat, és a szkript addig fut, amíg le nem állítja a Ctrl+C kapcsolóval.
A Tcpdump beállítása nagyon egyszerű, és ha megtanulja az eszköz használatát, a zászlókat és az argumentumokat, akkor ezt az eszközt használhatja a csatlakozási problémák elhárítására és a hálózat biztonságára. A rögzített adatcsomagokat a rendszer egy fájlba menti további elemzés céljából a tcpdump segítségével. A fájlt PCAP kiterjesztésű formátumban menti, ami könnyen ellenőrizhető a PCAP (csomagrögzítés rövidítése) formátumú fájlokat olvasó tcpdump vagy Wireshark segítségével.
Jellemzők:
- A rögzített adatcsomagok forrás, cél és protokoll szerinti szűrése lehetséges.
- Ingyenes és nyílt forráskódú
Itt található egy cikk a hálózati forgalom rögzítéséről és elemzéséről a tcpdump segítségével.
Paessler PRTG
Az egyik legnépszerűbb hálózatfigyelő és forgalomelemző eszköz a Paessler PRTG Network Monitor. Ez az eszköz alapvető információkat nyújt a hálózat infrastruktúrájáról és teljesítményéről.
Ez kompatibilis a Windows rendszerrel. Számos megfigyelési lehetőséget tartalmaz, beleértve a sávszélesség-figyelést és a forgalomelemzést. Elérhető a Paessler PRTG ingyenes verziója. A hálózati teljesítménymutatók jelentéséhez a csomagszimuláló, a WMI és az SNMP kombinációját alkalmazza.
Jellemzők:
- Rugalmas riasztás – A PRTG több mint tíz tervezett technológiával rendelkezik, beleértve az SMS-eket, push értesítéseket, e-maileket, HTTP-kéréseket stb.
- Több felhasználói interfész – AJAX-ra építve, erős biztonsági követelményekkel, kiváló teljesítmény az egyoldalas alkalmazás (SPA) technológiának köszönhetően,
- Fürt feladatátvételi megoldás – Enyhén emelt szintű felügyeleti megoldás létrehozása.
- Térképek és műszerfalak – Használjon valós idejű térképeket, amelyek aktuális élő információkat tartalmaznak a hálózat megjelenítéséhez.
- Elosztott megfigyelés – A hordozható elfogók segítségével számos hálózatot figyelhet meg különböző helyeken és több hálózatot a szervezeten belül.
- Mélyreható jelentés számok, statisztikák és grafikonok formájában
Ez az eszköz számos riasztási módot támogat, beleértve az SMS-eket, az e-maileket és a harmadik féltől származó kapcsolatokat olyan platformokkal, mint a Slack. A PRTG korlátlan verzióban érhető el 30 napig. A szabad időszak után visszaáll a szabad formátumba.
Wireshark
Wireshark egy ingyenes és nyílt forráskódú csomagelemző, amely lehetővé teszi a hálózati adatátvitel valós idejű vizsgálatát. Ez az eszköz lehetővé teszi a hálózatkezelők számára, hogy mikroszkopikus szinten vizsgálják a hálózatot, hogy pontosan meghatározzák a forgalmi problémák és hibák forrását. Ez egy nagyszerű eszköz, amely megköveteli a hálózati fogalmak alapos megértését.
Jellemzők:
- Gyakorlatilag minden operációs rendszerrel működik, beleértve a Windowst, a Linux disztribúciókat, a Mac OS X-et stb.
- Készítsen jelentéseket az aktuális statisztikai adatok alapján.
- A kimenet szűrése többféle lehetőséggel is elvégezhető, például időzítőkkel és szűrőkkel.
- Képzelje el a hálózati csomagokat IO-grafikonokkal és diagramokkal.
- USB-forgalmat is rögzíthet.
- A felhasználási lehetőségek széles skáláját kínálja, beleértve a jogosulatlan forgalom ujjlenyomatvételét, a csomagszűrési beállításokat és így tovább.
- Színkódolási szabályok alkalmazhatók a forgalom típusainak azonosítására.
- Részletes VoIP (Voice over Internet Protocol) kutatás.
Az elveszett adatcsomagok, a hálózati késleltetési problémák, az alkalmazásfüggőségek és a nem hatékony ablakméretek azok a gyakori hibaelhárítási kihívások, amelyeken a Wireshark segíthet. Ez az eszköz lehetővé teszi a hálózati forgalom figyelését, és mechanizmusokat biztosít a probléma forrásának kereséséhez és pontos meghatározásához.
Az unicast (kapcsolat nélküli) forgalom, amely nem a hálózat MAC-cím interfészére kerül, szintén figyelhető a Wireshark eszközzel.
Nyugodtan tekintse meg ezt a cikket a hálózati késleltetés Wireshark segítségével történő hibaelhárításáról.
Arkime
Arkime a meglévő biztonsági rendszerrel együttműködve gyűjti és indexeli a hálózati forgalmat és adatátvitelt szabványos PCAP formátumban.
Az összes rögzített adatcsomagot a rendszer szokásos PCAP formátumban tárolja és exportálja, így az elemzési folyamatban használhatja kedvenc PCAP-feldolgozó eszközeit, mint például a Wireshark vagy a tcpdump.
A PCAP-megtartást a rendelkezésre álló szenzorlemez-terület, míg az API-megtartást az Elasticsearch-fürt mérete határozza meg. Mindkét paraméter bármikor módosítható.
Az Arkime-t úgy tervezték, hogy több rendszeren és skálán működjön, így több tíz gigabit/másodperc adatforgalmat képes kezelni. Az Arkime szenzorokon mentett összes PCAP formátumú fájl telepíthető, és csak az Arkime webes felületén vagy API-n keresztül érhető el. A PCAP fájlok nyugalmi állapotban titkosíthatók az Arkime segítségével.
Jellemzők:
- Felhasználóbarát webes felületet biztosít a PCAP fájlok vizsgálatához, megtalálásához és kibontásához.
- Ingyenes és nyílt forráskódú
- Lehetővé teszi más PCAP-feldolgozó eszközök számára a mentett PCAP-fájlok ellenőrzését.
A PCAP-adatok és a JSON-formátumú tranzakciós adatok közvetlenül lekérhetők API-kon keresztül. Tekintse meg az Arkime teljes API dokumentációját itt.
Következtetés
A csomagrögzítési adatok elemzése általában magas szintű technikai szakértelmet igényel, amely ezekkel az eszközökkel megvalósítható.
Remélem, nagyon hasznosnak találta ezt a cikket a teljes csomagrögzítési és -elemzési eszközök kis és nagy hálózatokhoz való elsajátításában.
Érdekelheti a legjobb Wi-Fi-elemző szoftvereszközök megismerése is.