A csomagszaglás a hálózati elemzés mély típusa, amelyben a hálózati forgalom részleteit dekódolják elemzés céljából. Ez az egyik legfontosabb hibaelhárítási készség, amellyel minden hálózati rendszergazdának rendelkeznie kell. A hálózati forgalom elemzése bonyolult feladat. A megbízhatatlan hálózatokkal való megbirkózás érdekében az adatok nem egy folyamatos adatfolyamban kerülnek elküldésre. Ehelyett egyenként küldött töredékekre aprítják. A hálózati forgalom elemzése azt jelenti, hogy össze kell gyűjteni ezeket az adatcsomagokat, és újra össze kell őket rakni valami értelmessé. Ezt nem lehet kézzel megtenni, ezért csomagszimulálókat és hálózati elemzőket hoztak létre. Ma a hét legjobb csomagszimulálót és hálózati elemzőt tekintjük át.
A mai utazást azzal kezdjük, hogy háttérinformációkat adunk arról, hogy mi is azok a csomagszimulátorok. Megpróbáljuk kitalálni, mi a különbség – vagy ha van különbség – a csomagszimuláló és a hálózati elemző között. Ezután folytatjuk témánk lényegét, és nem csak felsoroljuk, hanem röviden át is tekintjük mind a hét választásunkat. Amit kínálunk az Ön számára, az a GUI-eszközök és parancssori segédprogramok kombinációja, amelyek különböző operációs rendszereken futnak.
Tartalomjegyzék
Néhány szó a csomagszimulátorokról és a hálózati elemzőkről
Kezdjük azzal, hogy elintézünk valamit. A cikk kedvéért feltételezzük, hogy a csomagszimulátorok és a hálózati elemzők egy és ugyanaz. Vannak, akik azzal érvelnek, hogy különböznek egymástól, és igazuk lehet. Ennek a cikknek az összefüggésében azonban együtt fogjuk megvizsgálni őket, főként azért, mert bár eltérően működhetnek – de vajon tényleg? – ugyanazt a célt szolgálják.
A csomagszagolók általában három dolgot csinálnak. Először is rögzítik az összes adatcsomagot, amikor belépnek vagy kilépnek a hálózati interfészből. Másodszor, opcionálisan szűrőket alkalmaznak, hogy figyelmen kívül hagyjanak néhány csomagot, és másokat lemezre mentsenek. Ezután elvégzik a rögzített adatok valamilyen elemzését. A csomagszimulátorok utolsó funkciójában különböznek a legjobban.
Az adatcsomagok tényleges rögzítéséhez a legtöbb eszköz külső modult használ. A leggyakoribb a libpcap Unix/Linux rendszereken és a Winpcap Windows rendszeren. Általában nem kell telepítenie ezeket az eszközöket, mivel általában a különböző szerszámtelepítők telepítik őket.
Egy másik fontos tudnivaló, hogy a Packet Sniffers – még a legjobb is – nem tesz meg mindent helyetted. Ezek csak eszközök. Olyan, mint egy kalapács, amely magától nem ver be szöget. Tehát meg kell tanulnia az egyes eszközök legjobb használatát. A csomagszimulátor csak a forgalmat engedi látni, de az Ön feladata, hogy használja-e ezt az információt a problémák felderítésére. Egész könyvek születtek a csomagrögzítő eszközök használatáról. Jómagam egyszer részt vettem egy háromnapos tanfolyamon a témában. Nem akarom elvenni a kedvedet. Csak megpróbálom tisztázni az elvárásaidat.
Hogyan használjunk egy csomagszagolót
Amint azt elmagyaráztuk, egy csomagszimuláló rögzíti és elemzi a forgalmat. Tehát, ha egy konkrét problémát próbál elhárítani – általában ezért használ egy ilyen eszközt –, először meg kell győződnie arról, hogy az Ön által rögzített forgalom a megfelelő forgalom. Képzeljen el egy olyan helyzetet, amikor minden felhasználó panaszkodik, hogy egy adott alkalmazás lassú. Ilyen helyzetben a legjobb megoldás valószínűleg az alkalmazásszerver hálózati interfészén történő forgalom rögzítése. Ekkor rájöhet, hogy a kérések rendesen megérkeznek a kiszolgálóhoz, de a kiszolgálónak hosszú ideig tart a válaszok kiküldése. Ez szerver problémára utalna.
Ha viszont azt látja, hogy a kiszolgáló időben válaszol, az valószínűleg azt jelenti, hogy a probléma valahol a hálózaton van, az ügyfél és a szerver között. Ezután egy ugrással közelebb vigye a csomagszimulálót az ügyfélhez, és megnézze, nem késik-e a válasz. Ha nem, akkor közelebb kerülsz az ügyfélhez, és így tovább, és így tovább. Végül eljut arra a helyre, ahol késések fordulnak elő. És miután azonosította a probléma helyét, egy nagy lépéssel közelebb kerül a megoldáshoz.
Most talán azon töprenghet, hogyan sikerül egy adott ponton csomagokat rögzíteni. Nagyon egyszerű, kihasználjuk a legtöbb hálózati kapcsoló porttükrözésnek vagy replikációnak nevezett funkcióját. Ez egy olyan konfigurációs beállítás, amely az adott kapcsolóporton be- és kimenő összes forgalmat replikálja ugyanazon a kapcsolón egy másik portra. Tegyük fel, hogy a szervere egy kapcsoló 15-ös portjához csatlakozik, és ugyanannak a kapcsolónak a 23-as portja elérhető. Csatlakoztassa a csomagszimulálót a 23-as porthoz, és beállítja a kapcsolót, hogy a 15-ös portról a 23-as portra replikálja az összes forgalmat. Ennek eredményeként a 23-as porton a 15-ös porton keresztül zajló események tükörképe – innen ered a porttükrözés neve.
A legjobb csomagszagolók és hálózati elemzők
Most, hogy jobban megértette, mik azok a csomagszimulátorok és hálózati elemzők, lássuk, melyik a hét legjobb, amit találhatunk. Megpróbáltuk a parancssori és a grafikus felhasználói felület eszközeinek keverékét, valamint különféle operációs rendszereken futó eszközöket beépíteni. Végül is nem minden hálózati rendszergazda fut Windows rendszerrel.
1. SolarWinds Deep Packet Inspection and Analysis eszköz (INGYENES PRÓBA)
A SolarWinds jól ismert számos hasznos ingyenes eszközéről és a legmodernebb hálózatkezelő szoftveréről. Egyik eszköze az úgynevezett Deep Packet Inspection and Analysis Tool. A SolarWinds zászlóshajó termékének, a Network Performance Monitornak a részeként érkezik. Működése merőben eltér a „hagyományosabb” csomagszippantókétól, bár hasonló célt szolgál.
Összefoglalva az eszköz funkcióit: segít megtalálni és megoldani a hálózati késések okát, azonosítani az érintett alkalmazásokat, és megállapítani, hogy a lassúságot a hálózat vagy egy alkalmazás okozza-e. A szoftver mély csomagellenőrzési technikákat is használ majd a válaszidő kiszámításához több mint tizenkétszáz alkalmazáshoz. Ezenkívül osztályozza a hálózati forgalmat kategória, üzleti vs. társadalmi és kockázati szint szerint, így segít azonosítani a nem üzleti forgalmat, amelyet esetleg szűrni vagy más módon ki kell küszöbölni.
És ne felejtse el, hogy a SolarWinds Deep Packet Inspection and Analysis Tool a Network Performace Monitor részeként érkezik. Az NPM, ahogyan gyakran nevezik, egy lenyűgöző szoftver, annyi összetevővel, hogy egy egész cikket lehetne szentelni neki. Lényege egy teljes hálózatfelügyeleti megoldás, amely egyesíti a legjobb technológiákat, például az SNMP-t és a mélyreható csomagellenőrzést, hogy a lehető legtöbb információt nyújtson a hálózat állapotáról. A kedvező árú eszközhöz 30 napos ingyenes próbaverzió tartozik, így a vásárlás előtt megbizonyosodhat arról, hogy valóban megfelel az Ön igényeinek.
Hivatalos letöltési link: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump valószínűleg AZ eredeti csomagszippantó. 1987-ben hozták létre. Azóta karbantartották és javították, de lényegében változatlan maradt, legalábbis a használati módja. Gyakorlatilag minden Unix-szerű operációs rendszerben előre telepítve van, és de facto szabvánnyá vált, amikor egy gyors eszközre van szüksége a csomagok rögzítéséhez. A Tcpdump a libpcap könyvtárat használja a tényleges csomagrögzítéshez.
Alapértelmezés szerint. A tcpdump rögzíti az összes forgalmat a megadott felületen, és „kiírja” azt – innen ered a neve – a képernyőre. A dump egy rögzítési fájlba is átvezethető, és később több rendelkezésre álló eszköz egy vagy kombinációja segítségével elemezhető. A tcpdump erősségének és hasznosságának kulcsa az a lehetőség, hogy mindenféle szűrőt alkalmazhatunk, és kimenetét a grep-re – egy másik általános Unix parancssori segédprogramra – továbbíthatjuk további szűrés céljából. Valaki, aki jól ismeri a tcpdump-ot, a grep-et és a parancshéjat, ráveheti, hogy pontosan rögzítse a megfelelő forgalmat bármilyen hibakeresési feladathoz.
3. Széldump
Windump lényegében csak a tcpdump portja a Windows platformra. Mint ilyen, nagyjából ugyanúgy viselkedik. Nem ritka, hogy a sikeres segédprogramok ilyen portjait egyik platformról a másikra látni. A Windump egy Windows-alkalmazás, de ne várjon divatos grafikus felhasználói felületet. Ez egy csak parancssori segédprogram. A Windump használata tehát alapvetően ugyanaz, mint a Unix megfelelőjének használata. A parancssori opciók ugyanazok, és az eredmények is majdnem azonosak. A Windump kimenete egy fájlba is menthető későbbi elemzés céljából egy harmadik féltől származó eszközzel.
Az egyik fő különbség a tcpdump között az, hogy a Windump nincs beépítve a Windowsba. Le kell töltenie a Windump weboldal. A szoftvert futtatható fájlként szállítjuk, és nem igényel telepítést. Azonban, ahogy a tcpdump a libpcap könyvtárat használja, a Windump a Winpcap-et használja, amelyet a legtöbb Windows könyvtárhoz hasonlóan külön kell letölteni és telepíteni.
4. Wireshark
Wireshark ez a hivatkozás a csomagszimulálókban. De-facto szabvány lett, és a legtöbb egyéb eszköz hajlamos ezt utánozni. Ez az eszköz nemcsak a forgalmat rögzíti, hanem meglehetősen hatékony elemzési képességekkel is rendelkezik. Olyan erős, hogy sok adminisztrátor a tcpdump vagy a Windump segítségével rögzíti a forgalmat egy fájlba, majd betölti a fájlt a Wiresharkba elemzés céljából. Ez a Wireshark használatának olyan gyakori módja, hogy indításkor a rendszer arra kéri, hogy nyisson meg egy meglévő pcap fájlt, vagy kezdje el a forgalom rögzítését. A Wireshark másik erőssége a benne lévő összes szűrő, amely lehetővé teszi, hogy pontosan az Önt érdeklő adatokat nullázza le.
Hogy őszinte legyek, ennek az eszköznek meredek a tanulási görbéje, de érdemes megtanulni. Felbecsülhetetlen értékűnek bizonyul újra és újra. És miután megtanulta, mindenhol használhatja, mivel szinte minden operációs rendszerre portolták, és ingyenes és nyílt forráskódú.
5. cápa
cápa olyan, mint a tcpdump és a Wireshark keresztezése. Ez nagyszerű dolog, mivel ők a legjobb csomagszimulálók. A Tshark olyan, mint a tcpdump, mivel csak parancssori eszköz. De abban is olyan, mint a Wireshark, mert nemcsak rögzíti, hanem elemzi is a forgalmat. A Tshark ugyanazoktól a fejlesztőktől származik, mint a Wireshark. Ez többé-kevésbé a Wireshark parancssori verziója. Ugyanolyan típusú szűrést használ, mint a Wireshark, ezért gyorsan képes elkülöníteni csak az elemezni kívánt forgalmat.
De vajon miért szeretné bárki is a Wireshark parancssori verzióját? Miért nem csak a Wiresharkot használja; grafikus felületével egyszerűbben kell használni és tanulni? Ennek fő oka az, hogy lehetővé teszi a használatát nem grafikus felületű kiszolgálón.
6. Network Miner
Network Miner inkább igazságügyi szakértői eszköz, mint valódi csomagszimuláló. A Network Miner követni fog egy TCP adatfolyamot, és rekonstruálja a teljes beszélgetést. Ez valóban egy hatékony eszköz. Működhet offline módban, ahol néhány rögzítési fájlt importálhat, hogy a Network Miner kifejtse varázsát. Ez egy hasznos funkció, mivel a szoftver csak Windows rendszeren fut. Használhatja a tcpdump-ot Linuxon a forgalom rögzítésére, a Network Miner-t pedig Windows-on az elemzéséhez.
A Network Miner ingyenes verzióban érhető el, de a fejlettebb funkciókhoz, például az IP-alapú földrajzi helymeghatározáshoz és a szkriptekhez, Professzionális licencet kell vásárolnia. A professzionális verzió másik fejlett funkciója a VoIP hívások dekódolása és lejátszása.
7. Hegedűs (HTTP)
Néhány hozzáértőbb olvasónk azzal érvelhet, hogy a Fiddler nem csomagszimuláló, és nem is hálózati elemző. Valószínűleg igazuk van, de úgy éreztük, fel kell venni ezt az eszközt a listánkra, mivel sok helyzetben nagyon hasznos. Hegedűs ténylegesen rögzíti a forgalmat, de nem a forgalmat. Csak HTTP-forgalommal működik. Elképzelheti, milyen értékes lehet a korlátai ellenére, ha figyelembe vesszük, hogy manapság nagyon sok alkalmazás webalapú, vagy HTTP protokollt használ a háttérben. És mivel a Fiddler nem csak a böngésző forgalmat rögzíti, hanem szinte bármilyen HTTP-t, nagyon hasznos a hibaelhárításban
Egy olyan eszköznek, mint a Fiddler, az az előnye a jóhiszemű csomagszimulálókkal szemben, mint például a Wireshark, hogy a Fiddler a HTTP-forgalom „megértésére” készült. Felfedezi például a cookie-kat és a tanúsítványokat. A HTTP-alapú alkalmazásokból származó tényleges adatokat is megtalálja. A Fiddler ingyenes, és csak Windows rendszeren érhető el, bár az OS X és Linux béta verziói (a Mono keretrendszert használva) letölthetők.
Következtetés
Amikor ilyen listákat teszünk közzé, gyakran megkérdezik tőlünk, hogy melyik a legjobb. Ebben a konkrét helyzetben, ha felteszik nekem ezt a kérdést, „mindegyikre” kellene válaszolnom. Mindegyik ingyenes eszköz, és mindegyiknek megvan a maga értéke. Miért ne tarthatná kéznél mindegyiket, és ismerkedhetne meg mindegyikkel. Ha olyan helyzetbe kerül, amikor használnia kell őket, sokkal könnyebb és hatékonyabb lesz. Még a parancssori eszközöknek is óriási értéke van. Például leírhatók és ütemezhetők. Képzelje el, hogy olyan problémája van, amely naponta hajnali 2 órakor történik. Ütemezhet egy feladatot a Windump tcpdump futtatására 1:50 és 2:10 között, és másnap reggel elemezheti a rögzítési fájlt. Nem kell egész éjjel fent maradni.