La detección de paquetes es un término coloquial que se refiere al arte del análisis del tráfico de red. Contrariamente al sentido común, cosas como correos electrónicos y páginas web no atraviesan Internet de una sola vez. Se desglosan en miles de pequeños paquetes de datos y se envían a través de Internet de esa manera..
Existen muchas, muchas herramientas que recopilarán el tráfico de red y la mayoría de ellas utilizan pcap (sistemas tipo Unix) o libcap (sistemas Windows) en su núcleo para realizar la recopilación real. Existe otro conjunto de herramientas para ayudar a analizar esos datos porque incluso una pequeña cantidad de datos puede generar miles de paquetes que pueden ser difíciles de navegar. Casi todas estas herramientas se recopilan de la misma manera; es el análisis lo que los diferencia.
Esta publicación proporciona algunos detalles sobre cada una de las herramientas que lo hicieron aquí, pero si tiene poco tiempo, aquí está nuestra lista de los mejores analizadores de paquetes y analizadores de red:
- Herramienta de análisis e inspección profunda de paquetes de SolarWinds (PRUEBA GRATUITA) Una herramienta de análisis de tráfico de red de alta calidad que se ejecuta en Windows Server y es parte de
- Herramienta de captura de paquetes Paessler (PRUEBA GRATUITA) Un rastreador de paquetes, un sensor NetFlow, un sensor sFlow y un sensor J-Flow integrado en Paessler PRTG.
- ManageEngine NetFlow Analyzer (PRUEBA GRATUITA) Una herramienta de análisis de tráfico que funciona con NetFlow, J-Flow, sFlow Netstream, IPFIX y AppFlow
- Omnipeek Network Protocol Analyzer Un monitor de red que se puede extender para capturar paquetes.
- tcpdump La herramienta esencial de captura de paquetes gratuita que todo administrador de red necesita en su kit de herramientas.
- Windump Un clon gratuito de tcpdump escrito para sistemas Windows.
- Wireshark Una conocida herramienta gratuita de captura de paquetes y análisis de datos.
- tshark Una respuesta ligera para aquellos que desean la funcionalidad de Wireshark, pero el perfil delgado de tcpdump.
- Minero de red Un analizador de red basado en Windows con una versión gratuita.
- Violinista Una herramienta de captura de paquetes que se enfoca en el tráfico HTTP.
- Capsa Escrita para Windows, la herramienta gratuita de captura de paquetes se puede actualizar para el pago para agregar funciones analíticas.
Ventajas de oler paquetes
Un sniffer de paquetes es una herramienta útil que le permite implementar la política de capacidad de red de su empresa. Los principales beneficios son que ellos:
- Identificar enlaces congestionados
- Identificar las aplicaciones que generan más tráfico.
- Recopilar datos para el análisis predictivo.
- Destacar picos y valles en la demanda de la red
Las acciones que tome dependen de su presupuesto disponible. Si tiene los recursos para ampliar la capacidad de la red, el sniffer de paquetes le permitirá apuntar a nuevos recursos de manera más efectiva. Si no tiene presupuesto, el rastreo de paquetes ayudará a modelar el tráfico al priorizar el tráfico de aplicaciones, redimensionar subredes, reprogramar eventos de tráfico pesado, limitar el ancho de banda para aplicaciones específicas o reemplazar aplicaciones con alternativas más eficientes.
Modo promiscuo
Es importante comprender cómo funciona la tarjeta de red en su computadora cuando instala el software de detección de paquetes. La interfaz de su computadora a la red se llama “controlador de interfaz de red,”O NIC. Su NIC solo recogerá el tráfico de Internet dirigido a su dirección MAC.
Para capturar el tráfico general, debe poner su NIC en “modo promiscuo.”Esto elimina el límite de escucha en la NIC. En modo promiscuo, su NIC recogerá todo el tráfico de red. La mayoría de los rastreadores de paquetes tienen una utilidad dentro de la interfaz de usuario que administra el cambio de modo por usted.
Tipos de tráfico de red
El análisis del tráfico de red requiere una comprensión de cómo funciona la red. No existe una herramienta que elimine mágicamente el requisito de que un analista comprenda los conceptos básicos de las redes, como el protocolo de enlace de tres vías TCP que se utiliza para iniciar una conexión entre dos dispositivos. Los analistas también deben tener cierta comprensión de los tipos de tráfico de red que existen en una red que funciona normalmente, como el tráfico ARP y DHCP. Este conocimiento es esencial porque las herramientas de análisis solo le mostrarán lo que pide: depende de usted saber qué pedir. Si no está seguro de cómo se ve normalmente su red, puede ser difícil asegurarse de que está buscando lo correcto en la masa de paquetes que ha recopilado.
Herramientas empresariales
Comencemos por la parte superior y avancemos hacia lo básico. Si se trata de una red de nivel empresarial, necesitará las grandes armas. Si bien casi todo usa tcpdump en su núcleo (más sobre eso más adelante), las herramientas de nivel empresarial pueden proporcionar otras funciones analíticas como correlacionar el tráfico de muchos servidores, proporcionar herramientas de consulta inteligentes para detectar problemas, alertar sobre casos excepcionales y producir gráficos agradables que demandas de gestión.
Las herramientas de nivel empresarial tienden a centrarse en el flujo de tráfico de la red en lugar de juzgar el contenido del paquete. Con eso, quiero decir que el enfoque de la mayoría de los administradores de sistemas en una empresa es mantener la red funcionando sin cuellos de botella de rendimiento. Cuando se producen cuellos de botella, el objetivo suele ser determinar si el problema es la red o una aplicación en la red. En el otro lado de la moneda, estas herramientas de nivel empresarial generalmente pueden ver tanto tráfico que pueden ayudar a predecir cuándo se saturará un segmento de red, que es un elemento crítico de la gestión de capacidad.
Herramientas de hackers
Los hackers también utilizan rastreadores de paquetes. Tenga en cuenta que estas herramientas se pueden utilizar para atacar su red y resolver problemas. Los rastreadores de paquetes se pueden usar como escuchas telefónicas para ayudar a robar datos en tránsito y también pueden contribuir a “hombre en el medio“Ataques que alteran los datos en tránsito y desvían el tráfico para defraudar a un usuario en la red. Invierta en sistemas de detección de intrusos para proteger su red de estas formas de acceso no autorizado
¿Cómo funcionan los analizadores de paquetes y los analizadores de red??
los La característica clave de un sniffer de paquetes es que copia datos a medida que viaja a través de una red y los pone a disposición para su visualización.. El dispositivo de rastreo simplemente copia todos los datos que ve pasar a través de una red. Cuando se implementa en un conmutador, la configuración del dispositivo permite que el paquete que pasa se envíe a un segundo puerto, así como al destino previsto, duplicando así el tráfico. Por lo general, los paquetes de datos que se obtienen de la red se copian en un archivo. Algunas herramientas también mostrarán esos datos en un tablero. sin embargo, los rastreadores de paquetes pueden recopilar muchos datos, que incluyen información de administrador codificada. Necesitaras encuentre una herramienta de análisis que pueda ayudarlo a desreferenciar información en el viaje de los paquetes en el extracto y otras piezas de información, como la relevancia de los números de puerto entre los que viajan los paquetes.
Un sniffer de paquetes sencillo copiará todos los paquetes que viajan en la red. Esto puede ser un problema. Si la carga útil del paquete no está encriptada, permitirá que el personal del departamento de TI vea información comercial confidencial a medida que viaja por la red. Por esta razón, muchos rastreadores de paquetes pueden limitarse para que solo copien la información del encabezado. En la mayoría de los casos, el contenido del paquete no es necesario para el análisis del rendimiento de la red. Si desea realizar un seguimiento del uso de la red durante un período de 24 horas o durante unos días, el almacenamiento de cada paquete ocupará una gran cantidad de espacio en disco, incluso si solo está tomando los encabezados de los paquetes. En estos escenarios, es aconsejable muestrear paquetes, lo que significa copiar cada paquete 10 o 20 en lugar de copiar cada uno.
Los mejores analizadores de red y analizadores de paquetes
Hemos clasificado las siguientes herramientas de acuerdo con las siguientes consideraciones generales: características útiles, confiabilidad, facilidad de instalación, integración y uso, cantidad de ayuda y soporte ofrecido, qué tan bien se actualiza y mantiene el software y qué tan respetables son los desarrolladores. La industria.
1. Herramienta de análisis e inspección profunda de paquetes de SolarWinds (PRUEBA GRATUITA)
SolarWinds es un conjunto muy amplio de herramientas de gestión de TI. La herramienta que es más relevante para este artículo es la herramienta de Análisis e inspección profunda de paquetes. Recopilar tráfico de red es bastante fácil. Utilizando herramientas como WireShark, el análisis de nivel básico tampoco es un obstáculo para el espectáculo. Pero no todas las situaciones son tan cortas y secas. En una red muy ocupada, puede ser difícil determinar incluso algunas cosas muy básicas como:
- ¿Qué aplicación en la red está creando este tráfico??
- Si se conoce la aplicación (por ejemplo, un navegador web), ¿dónde pasan las personas la mayor parte de su tiempo??
- Qué conexiones tardan más y están empantanando la red?
La mayoría de los dispositivos de red solo usan los metadatos de cada paquete para garantizar que el paquete llegue a su destino. El contenido del paquete es desconocido para el dispositivo de red. La inspección profunda de paquetes es diferente; significa que se inspecciona el contenido real del paquete para obtener más información al respecto. La información crítica de la red que no se puede obtener de los metadatos se puede descubrir de esta manera. Herramientas como las proporcionadas por SolarWinds pueden proporcionar datos más significativos que simplemente el flujo de tráfico.
Otras técnicas para administrar redes de alto volumen incluyen NetFlow y sFlow. Cada uno tiene sus fortalezas y debilidades y puede leer más sobre las técnicas de NetFlow y sFlow aquí.
El análisis de redes, en general, es un tema avanzado que es mitad experiencia y mitad entrenamiento. Es posible capacitar a alguien para que comprenda todos los detalles sobre los paquetes de red, pero a menos que esa persona también tenga conocimiento de la red objetivo y alguna experiencia para identificar anomalías, no llegarán muy lejos. Las herramientas que he enumerado en este artículo pueden ser utilizadas por administradores de red con experiencia que ya saben lo que están buscando, pero no están seguros de qué herramientas son las mejores. También pueden ser utilizados por más administradores de sistemas junior para obtener experiencia sobre cómo se ven las redes durante las operaciones diarias, lo que ayudará a identificar problemas más adelante.
SELECCIÓN DEL EDITOR
SolarWinds Network Performance Monitor brinda información detallada sobre las causas de la lentitud de la red y le permite resolver rápidamente las causas raíz mediante la inspección profunda de paquetes. Al identificar el tráfico por aplicación, categoría (negocio versus social) y nivel de riesgo, puede eliminar y filtrar el tráfico problemático y medir el tiempo de respuesta de la aplicación. Con una excelente interfaz de usuario, esta es una excelente opción para la detección de paquetes y el análisis de red.
Descargar: Prueba de 30 días totalmente funcional y GRATUITA en SolarWinds.com
Sitio oficial: www.solarwinds.com/topics/deep-packet-inspection/
OS: Servidor de windows
2. Herramienta de captura de paquetes de Paessler (PRUEBA GRATUITA)
La herramienta de captura de paquetes Paessler PRTG: All-In-One-Monitoring es una herramienta de monitoreo de infraestructura unificada. Le ayuda a administrar su red y sus servidores. El segmento de monitoreo de red de la utilidad cubre dos tipos de tareas. Se trata de un monitor de rendimiento de red, que examina los estados de los dispositivos de red y un analizador de ancho de banda de red, que cubre el flujo de tráfico a través de enlaces en la red..
La parte de análisis de ancho de banda de PRTG se implementa mediante el uso de cuatro herramientas de captura de paquetes diferentes. Estos son:
- Un sniffer de paquetes
- Un sensor NetFlow
- Un sensor de flujo
- Un sensor de flujo J
El sniffer de paquetes PRTG solo captura los encabezados de los paquetes que viajan a través de su red. Esto le da al analizador una ventaja de velocidad y también reduce la cantidad de espacio de almacenamiento necesario para guardar los archivos de captura. El tablero del sniffer de paquetes clasifica el tráfico por tipo de aplicación. Estos incluyen tráfico de correo electrónico, paquetes web, datos de tráfico de aplicaciones de chat y volúmenes de paquetes de transferencia de archivos.
NetFlow es un sistema de mensajería de flujo de datos muy utilizado. Fue creado por Cisco Systems pero también se usa para equipos producidos por otros fabricantes. El sensor PRTG NetFlow también recoge mensajes IPFIX: este estándar de mensajería es un sucesor patrocinado por IETF para NetFlow. El método J-Flow es un sistema de mensajería similar utilizado por Juniper Networks para su equipo. El estándar sFlow muestrea los flujos de tráfico, por lo que recopilará cada enésimo paquete. NetFlow y J-Flow capturan flujos continuos de paquetes.
Paessler valora su software PRTG en la cantidad de “sensores” que activa una implementación. Un sensor es una condición del sistema o componente de hardware. Por ejemplo, cada uno de los cuatro rastreadores de paquetes ofrecidos por Paessler cuenta como un sensor PRTG. El sistema es de uso gratuito si activa 100 sensores o menos, por lo que si solo usa este paquete para sus interfaces de rastreo de paquetes, no tendrá que pagarle nada a Paessler..
El sistema Paessler incluye muchas otras capacidades de monitoreo de red y servidor, incluyendo un monitor de virtualización y un monitor de aplicación. PRTG se puede instalar localmente o puede acceder a él como un servicio en la nube. El software se ejecuta en entornos Windows y puede obtenerlo en una prueba gratuita de 30 días.
Paessler Packet Capture Tool PRTG Descargue una prueba GRATUITA de 30 días
3. ManageEngine NetFlow Analyzer (PRUEBA GRATUITA)
los Analizador ManageEngine NetFlow toma información de tráfico de sus dispositivos de red. Puede elegir muestrear el tráfico, capturar transmisiones completas o recopilar estadísticas sobre patrones de tráfico con esta herramienta.
No todos los fabricantes de dispositivos de red utilizan el mismo protocolo para comunicar datos de tráfico. Por lo tanto, NetFlow Analyzer es capaz de usar diferentes idiomas para recopilar información. Éstos incluyen Cisco NetFlow, Juniper Networks J-Flow, y Huawei Netstream. También es capaz de comunicarse con el sFlow, IPFIX, y AppFlow normas.
El monitor puede rastrear la consistencia de los flujos de datos, así como la carga en cada dispositivo de red. Las capacidades de análisis de tráfico le permiten ver paquetes a medida que pasan a través de un dispositivo y los capturan para archivar. Esta visibilidad le permitirá ver qué aplicaciones están absorbiendo la mayor parte de su ancho de banda y tomar decisiones sobre las medidas de conformación del tráfico, como la cola o la limitación de prioridad.
El tablero del sistema presenta gráficos codificados por colores, que hacen que su tarea de detectar problemas sea mucho más fácil. La apariencia atractiva de la consola se relaciona con otras herramientas de monitoreo de infraestructura de ManageEngine porque todas fueron construidas en una plataforma común. Esto hace que se integre con varios productos ManageEngine. Por ejemplo, es muy común que los administradores de red compren tanto el OpManager y el analizador NetFlow de Manage Engine.
OpManager monitorea los estados de los dispositivos con SNMP procedimientos, que NetFlow Analyzer se centra en los niveles de tráfico y los patrones de flujo de paquetes.
ManageEngine NetFlow Analyzer se instala en Ventanas, Servidor de windows, y RHEL, CentOS, Fedora, Debian, SUSE, y Ubuntu Linux. El sistema se ofrece en dos ediciones..
La edición Essential le brinda las funciones estándar de monitoreo de tráfico de red más un módulo de informes y facturación. El plan superior se llama Enterprise Edition. Esto tiene todas las características de Essential Edition plus NBAR & CBQoS monitoreo, un módulo avanzado de análisis de seguridad, utilidades de planificación de capacidad y capacidades de inspección profunda de paquetes. Esta edición también incluye IP SLA y WLC supervisión.
Puede obtener cualquiera de las ediciones de NetFlow Analyzer en una prueba gratuita de 30 días.
ManageEngine NetFlow Analyzer Descargue una prueba GRATUITA de 30 días
4. Analizador de protocolo de red Omnipeek
LiveAction Omnipeek, anteriormente un producto de Savvius, es un analizador de protocolos de red que se puede usar para capturar paquetes y producir análisis de protocolo de tráfico de red.
Omnipeek se puede ampliar con complementos. El sistema central de Omipeek no captura los paquetes de red. Sin embargo, la adición de la Motor de captura El complemento obtiene la función de captura de paquetes. El sistema Capture Engine recoge paquetes en una red cableada; otra extensión, llamada Adaptador Wifi agrega capacidades inalámbricas y permite capturar paquetes Wifi a través de Omnipeek.
Las funciones del analizador de protocolo de red Omnipeek base se extienden a la supervisión del rendimiento de la red. Además de enumerar el tráfico por protocolo, el software medirá la velocidad de transferencia y la regularidad del tráfico., levantando alertas si el tráfico se ralentiza o los viajes superan las condiciones límite establecidas por el administrador de la red.
El analizador de tráfico puede rastrear de extremo a extremo transferir el rendimiento a través de una red completa, o simplemente monitorear cada enlace. Otras funciones supervisan las interfaces, incluido el tráfico entrante que llega a los servidores web desde fuera de la red. El software está particularmente interesado en el rendimiento del tráfico y una visualización del tráfico por protocolo. Los datos pueden verse como listas de protocolos y su rendimiento o como gráficos y tablas en vivo. Los paquetes capturados con Capture Engine pueden ser almacenado para análisis o reproducido en la red para prueba de capacidad.
Omnipeek se instala en Windows y Windows Server. El sistema no es de uso gratuito. Sin embargo, es posible obtener Omnipeek en una prueba gratuita de 30 días.
5. tcpdump
La herramienta fundamental de casi toda la recopilación de tráfico de red es tcpdump. Es una aplicación de código abierto que viene instalada en casi todos los sistemas operativos tipo Unix. Tcpdump es una excelente herramienta de recopilación y viene completa con un lenguaje de filtrado muy complejo. Es importante saber cómo filtrar los datos en el momento de la recopilación para terminar con una porción manejable de datos para analizar. Capturar todos los datos de un dispositivo de red incluso en una red moderadamente ocupada puede crear demasiados datos para analizar fácilmente.
En algunos casos raros, permitir que tcpdump envíe su captura directamente a su pantalla puede ser suficiente para encontrar lo que está buscando. Por ejemplo, al escribir este artículo, capturé algo de tráfico y noté que mi máquina estaba enviando tráfico a una IP que no reconocí. Resulta que mi máquina estaba enviando datos a una dirección IP de Google de 172.217.11.142. Como no tenía ningún producto de Google ejecutándose, ni Gmail abierto, no sabía por qué estaba sucediendo esto. Examiné mi sistema y encontré esto:
[~] $ ps -ef | grep google
usuario 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome –type = service
Parece que incluso cuando Chrome no se está ejecutando en primer plano, sigue ejecutándose como un servicio. No lo habría notado necesariamente sin un análisis de paquetes que me avisara. Volví a capturar algunos datos más de tcpdump, pero esta vez le dije a tcpdump que escribiera los datos en un archivo que abrí en Wireshark (más sobre eso más adelante). Aquí está esa entrada:
Tcpdump es una herramienta favorita entre los administradores de sistemas porque es una herramienta de línea de comandos. Esto significa que no requiere un escritorio completo para ejecutarse. Es inusual que los servidores de producción proporcionen un escritorio debido a los recursos que se necesitarían, por lo que se prefieren las herramientas de línea de comandos. Al igual que con muchas herramientas avanzadas, tcpdump tiene un lenguaje muy rico y arcano que lleva algún tiempo dominar. Algunos de los comandos muy básicos implican seleccionar la interfaz de red desde la cual recopilar datos y escribir esos datos en un archivo para que puedan exportarse para su análisis en otro lugar. Los modificadores -i y -w se utilizan para esto.
# tcpdump -i eth0 -w tcpdump_packets
tcpdump: escucha en eth0, tipo de enlace EN10MB (Ethernet), tamaño de captura 262144 bytes
^ C51 paquetes capturados
Esto produce un archivo de captura:
archivo tcpdump_packets
tcpdump_packets: archivo de captura tcpdump (little-endian) – versión 2.4 (Ethernet, longitud de captura 262144)
El archivo de captura TCP estándar es un archivo pcap. No es texto, por lo que solo puede leerlo un programa de análisis que sepa cómo leer archivos pcap.
6. WinDump
Las herramientas de código abierto más útiles eventualmente se clonan a otros sistemas operativos. Cuando esto sucede, se dice que la aplicación ha sido transferida. WinDump es un puerto de tcpdump y se comporta de manera muy similar.
Una diferencia importante entre WinDump y tcpdump es que Windump necesita la biblioteca WinpCap instalada antes de poder ejecutar WinDump. A pesar de que WinDump y WinpCap son proporcionados por el mismo mantenedor, son descargas separadas.
WinpCap es una biblioteca real que necesita ser instalada. Pero, una vez que está instalado, WinDump es un archivo .exe que no necesita instalación, por lo que solo puede ejecutarse. Eso puede ser algo a tener en cuenta si está ejecutando una red de Windows. No necesariamente necesita WinDump instalado en cada máquina, ya que puede copiarlo según sea necesario, pero querrá instalar WinpCap para que sea compatible con WinDump.
Al igual que con tcpdump, WinDump puede enviar datos de red a la pantalla para su análisis, filtrarlos de la misma manera y también escribir datos en un archivo pcap para su análisis fuera del sitio.
7. Wireshark
Wireshark es probablemente la siguiente herramienta más conocida en cualquier kit de herramientas de sysadmin. No solo puede capturar datos, sino que también proporciona algunas herramientas de análisis avanzadas. Además de su atractivo, Wireshark es de código abierto y se ha transferido a casi todos los sistemas operativos de servidor que existen. Comenzando la vida llamada Etheral, Wireshark ahora se ejecuta en todas partes, incluso como una aplicación portátil independiente.
Si está analizando el tráfico en un servidor con una computadora de escritorio instalada, Wireshark puede hacerlo todo por usted. Puede recopilar los datos y luego analizarlos todos en un solo lugar. Sin embargo, los escritorios no son comunes en los servidores, por lo que, en muchos casos, querrá capturar los datos de la red de forma remota y luego extraer el archivo pcap resultante en Wireshark.
En el primer lanzamiento, Wireshark le permite cargar un archivo pcap existente o comenzar a capturar. Si elige capturar el tráfico de red, opcionalmente puede especificar filtros para reducir la cantidad de datos que recopila Wireshark. Dado que sus herramientas de análisis son tan buenas, es menos importante asegurarse de identificar quirúrgicamente los datos en el momento de la recopilación con Wireshark. Si no especifica un filtro, Wireshark simplemente recopilará todos los datos de red que observe la interfaz seleccionada.
Una de las herramientas más útiles que proporciona Wireshark es la capacidad de seguir una secuencia. Probablemente sea más útil pensar en una transmisión como una conversación completa. En la captura de pantalla a continuación podemos ver que se ha capturado una gran cantidad de datos, pero lo que más me interesa es esa IP de Google. Puedo hacer clic derecho en él y seguir la secuencia TCP para ver toda la conversación.
Si capturó tráfico en otro lugar, puede importar el archivo pcap usando el archivo de Wireshark -> Diálogo abierto Los mismos filtros y herramientas que se pueden usar para los datos de red capturados de forma nativa están disponibles para los archivos importados..
8. TShark
TShark es un cruce muy útil entre tcpdump y Wireshark. Tcpdump se destaca en la recopilación de datos y puede extraer muy quirúrgicamente solo los datos que desea, sin embargo, está limitado en lo útil que puede ser para el análisis. Wireshark hace un gran trabajo tanto en la recopilación como en el análisis, pero como tiene una interfaz de usuario pesada, no se puede usar en servidores sin cabeza. Entra TShark; captura y analiza pero hace esto último en la línea de comando.
TShark utiliza las mismas convenciones de filtrado que Wireshark, lo que no debería sorprender ya que son esencialmente el mismo producto. Este comando le dice a TShark que solo se moleste en capturar la dirección IP de destino, así como algunos otros campos interesantes de la parte HTTP del paquete.
# tshark -i eth0 -Y http.request -T campos -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
Si desea capturar un archivo, puede usar el interruptor -w para escribirlo y luego usar el interruptor -r (modo de lectura) de TShark para leerlo.
Captura primero:
# tshark -i eth0 -w tshark_packets
Capturando en ‘eth0’
102 ^ C
Léalo, ya sea en el mismo servidor, o transfiéralo a otro servidor de análisis.
# tshark -r paquetes de tshark -Y http.request -T campos -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / contacto
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / reservaciones /
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /reservations/styles/styles.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/images/title.png
9. Network Miner
Network Miner es una herramienta muy interesante que cae más en la categoría de una herramienta forense que en un rastreador de paquetes directo. El campo de la investigación forense generalmente se ocupa de la investigación y la recopilación de pruebas y Network Miner hace ese trabajo bien para el tráfico de red. Al igual que WireShark puede seguir una secuencia TCP para recuperar una conversación TCP completa, Network Miner puede seguir una secuencia para reconstruir archivos que se enviaron a través de la red.
Para capturar el tráfico en vivo, Network Miner debe ubicarse estratégicamente en la red para poder observar y recolectar el tráfico que le interesa. No introducirá nada de su propio tráfico en la red, por lo que funciona muy sigilosamente.
Network Miner también puede funcionar en modo fuera de línea. Puede usar la herramienta probada y verdadera tcpdump para capturar paquetes en un punto de interés en su red, y luego importar los archivos pcap a Network Miner. Luego intentará reconstruir cualquier archivo o certificado que encuentre en el archivo de captura.
Network Miner está construido para Windows, pero al usar Mono, se puede ejecutar en cualquier sistema operativo que tenga un marco Mono como Linux y macOS.
Para comenzar, hay una versión gratuita que tiene una buena variedad de funciones. Si desea capacidades más avanzadas, como la ubicación GeoIP y las secuencias de comandos personalizadas, deberá comprar una licencia profesional.
10. Fiddler (HTTP)
Fiddler no es técnicamente una herramienta de captura de paquetes de red, pero es tan increíblemente útil que figura en la lista. A diferencia de las otras herramientas enumeradas aquí, que están diseñadas para capturar tráfico ad-hoc en la red desde cualquier fuente, Fiddler es más una herramienta de depuración de escritorio. Captura el tráfico HTTP y aunque muchos navegadores ya tienen esta capacidad en sus herramientas de desarrollador, Fiddler no se limita al tráfico del navegador. Fiddler puede capturar cualquier tráfico HTTP en el escritorio, incluido el de aplicaciones que no son web.
Muchas aplicaciones de escritorio usan HTTP para conectarse a servicios web y sin una herramienta como Fiddler, la única forma de capturar ese tráfico para el análisis es usar herramientas como tcpdump o WireShark. Sin embargo, esas herramientas operan a nivel de paquete, por lo que el análisis incluye la reconstrucción de esos paquetes en flujos HTTP. Eso puede ser mucho trabajo para realizar una investigación HTTP simple y Fiddler viene al rescate. Fiddler puede ayudar a descubrir cookies, certificados y datos de carga útil que entran o salen de esas aplicaciones.
Ayuda a que Fiddler sea gratuito y, al igual que Network Miner, se puede ejecutar dentro de Mono en cualquier otro sistema operativo que tenga un marco Mono.
11. Capsa
Capsa Network Analyzer tiene varias ediciones, cada una con diferentes capacidades. En el primer nivel, sin Capsa, el software esencialmente solo captura paquetes y permite un análisis muy gráfico de ellos. El panel de control es muy exclusivo y puede ayudar a los administradores de sistemas novatos a detectar problemas de red rápidamente, incluso con poco conocimiento real de los paquetes. El nivel gratuito está dirigido a personas que desean saber más sobre paquetes y desarrollar sus habilidades en analistas de pleno derecho..
La versión gratuita sabe cómo monitorear más de 300 protocolos, permite el monitoreo del correo electrónico y también puede guardar el contenido del correo electrónico y también es compatible con el disparador. Los disparadores se pueden usar para establecer alertas para situaciones específicas, lo que significa que Capsa también se puede usar en cierta medida como soporte..
Capsa solo está disponible para Windows 2008 / Vista / 7/8 y 10.
Ultimas palabras
Con las herramientas que he mencionado, no es un gran salto ver cómo un administrador de sistemas podría construir una infraestructura de monitoreo de red a pedido. Tcpdump, o Windump, podría instalarse en todos los servidores. Un programador, como cron o el programador de Windows, podría iniciar una sesión de recolección de paquetes en algún momento de interés y escribir esas colecciones en un archivo pcap. En algún momento posterior, un administrador de sistemas puede transferir esos paquetes a una máquina central y usar Wireshark para analizarlos. Si la red es tan grande que esto no es factible, entonces las herramientas de nivel empresarial como la suite SolarWinds pueden ayudar a domesticar todos esos datos de red en un conjunto de datos manejable.
scuo es una técnica utilizada por los analizadores de paquetes para capturar todo el tráfico de red, incluso aquel que no está destinado a la dirección MAC de la tarjeta de red del dispositivo. Esto permite a los analizadores de paquetes recopilar y analizar todo el tráfico de red, lo que puede ser útil para identificar problemas de red y aplicaciones que generan tráfico excesivo. Sin embargo, también puede ser utilizado por hackers para interceptar y espiar el tráfico de red, por lo que es importante tomar medidas de seguridad adecuadas al utilizar esta técnica. En general, la detección de paquetes es una herramienta valiosa para administradores de red y expertos en seguridad para monitorear y analizar el tráfico de red y mejorar el rendimiento y la seguridad de la red.