2020 Best Packet Sniffer (11 Packet Analyzer im Test)

Packet Sniffing ist ein umgangssprachlicher Begriff, der sich auf die Kunst der Netzwerkverkehrsanalyse bezieht. Im Gegensatz zum gesunden Menschenverstand durchlaufen E-Mails und Webseiten das Internet nicht in einem Stück. Sie werden in Tausende von kleinen Datenpaketen zerlegt und auf diese Weise über das Internet gesendet.

Es gibt viele, viele Tools, die den Netzwerkverkehr erfassen, und die meisten von ihnen verwenden pcap (Unix-ähnliche Systeme) oder libcap (Windows-Systeme) als Kern, um die eigentliche Erfassung durchzuführen. Es gibt noch weitere Tools, mit denen Sie diese Daten analysieren können, da bereits eine geringe Datenmenge zu Tausenden von Paketen führen kann, die möglicherweise schwer zu navigieren sind. Fast alle diese Werkzeuge werden auf dieselbe Weise gesammelt. Es ist die Analyse, die sie unterscheidet.

In diesem Beitrag wird auf die einzelnen Tools eingegangen, die es hier erstellt haben. Wenn Sie jedoch zu wenig Zeit haben, finden Sie hier eine Liste mit Die besten Paketschnüffler und Netzwerkanalysatoren:

1. SolarWinds Deep Packet Inspection- und Analyse-Tool (KOSTENLOSE TESTVERSION) Ein qualitativ hochwertiges Tool zur Analyse des Netzwerkverkehrs, das auf Windows Server ausgeführt wird und Teil von ist
2. Paessler Packet Capture Tool (KOSTENLOSE TESTVERSION) Ein Paket-Sniffer, ein NetFlow-Sensor, ein sFlow-Sensor und ein in Paessler PRTG integrierter J-Flow-Sensor.
3. ManageEngine NetFlow Analyzer (KOSTENLOSE TESTVERSION) Ein Tool zur Verkehrsanalyse, das mit NetFlow, J-Flow, sFlow Netstream, IPFIX und AppFlow zusammenarbeitet
4. Omnipeek Network Protocol Analyzer Ein Netzwerkmonitor, der zur Erfassung von Paketen erweitert werden kann.
5. tcpdump Das unentbehrliche kostenlose Tool zur Paketerfassung, das jeder Netzwerkmanager in seinem Toolkit benötigt.
6. Windump Ein kostenloser Klon von tcpdump für Windows-Systeme.
7. Wireshark Ein bekanntes kostenloses Tool zur Paketerfassung und Datenanalyse.
8. Hai Eine leichte Antwort für diejenigen, die die Funktionalität von Wireshark, aber das schlanke Profil von tcpdump wollen.
9. Network Miner Ein Windows-basierter Netzwerkanalysator mit einer schnörkellosen, kostenlosen Version.
10. Geiger Ein Paketerfassungstool, das sich auf den HTTP-Verkehr konzentriert.
11. Capsa Das kostenlose Paketerfassungstool wurde für Windows geschrieben und kann gegen Bezahlung aktualisiert werden, um analytische Funktionen hinzuzufügen.

Vorteile von Packet Sniffing

Ein Paket-Sniffer ist ein nützliches Tool, mit dem Sie die Netzwerkkapazitätsrichtlinie Ihres Unternehmens implementieren können. Die Hauptvorteile sind, dass sie:

• Identifizieren Sie überlastete Links
• Identifizieren Sie Anwendungen, die den meisten Datenverkehr generieren
• Sammeln Sie Daten für vorausschauende Analysen
• Markieren Sie Spitzen und Tiefpunkte in der Netzwerknachfrage

Welche Maßnahmen Sie ergreifen, hängt von Ihrem verfügbaren Budget ab. Wenn Sie über die Ressourcen verfügen, um die Netzwerkkapazität zu erweitern, können Sie mit dem Paket-Sniffer neue Ressourcen effektiver ausrichten. Wenn Sie über kein Budget verfügen, können Sie mithilfe von Paket-Sniffing den Datenverkehr optimieren, indem Sie den Anwendungsdatenverkehr priorisieren, die Größe von Subnetzen ändern, Ereignisse mit hohem Datenverkehr neu planen, die Bandbreite für bestimmte Anwendungen begrenzen oder Anwendungen durch effizientere Alternativen ersetzen.

Promiscuous-Modus

Es ist wichtig zu verstehen, wie die Netzwerkkarte auf Ihrem Computer funktioniert, wenn Sie die Packet Sniffing-Software installieren. Die Schnittstelle von Ihrem Computer zum Netzwerk wird alsNetzwerkschnittstellen-Controller,”Oder NIC. Ihre Netzwerkkarte nimmt nur Internetdaten auf, die an ihre MAC-Adresse adressiert sind.

Um den allgemeinen Datenverkehr zu erfassen, müssen Sie Ihre Netzwerkkarte in “Promiscuous-Modus.”Dadurch wird das Abhörlimit für die Netzwerkkarte aufgehoben. Im Promiscuous-Modus nimmt Ihre Netzwerkkarte den gesamten Netzwerkverkehr auf. Die meisten Paket-Sniffer verfügen über ein Dienstprogramm in der Benutzeroberfläche, das den Moduswechsel für Sie verwaltet.

Arten des Netzwerkverkehrs

Die Analyse des Netzwerkverkehrs erfordert ein Verständnis der Funktionsweise von Netzwerken. Es gibt kein Tool, mit dem ein Analytiker die Grundlagen des Netzwerks auf magische Weise verstehen kann, z. B. den TCP-Drei-Wege-Handshake, mit dem eine Verbindung zwischen zwei Geräten hergestellt wird. Analysten sollten auch einige Kenntnisse über die Arten des Netzwerkverkehrs haben, die in einem normal funktionierenden Netzwerk vorhanden sind, z. B. ARP- und DHCP-Verkehr. Dieses Wissen ist unabdingbar, da Analysewerkzeuge Ihnen nur zeigen, wonach Sie fragen – es liegt an Ihnen, zu wissen, wonach Sie fragen müssen. Wenn Sie sich nicht sicher sind, wie Ihr Netzwerk normalerweise aussieht, kann es schwierig sein, sicherzustellen, dass Sie in der Masse der von Ihnen gesammelten Pakete nach dem Richtigen suchen.

Enterprise-Tools

Fangen wir oben an und arbeiten wir uns in die Grundlagen ein. Wenn Sie es mit einem Netzwerk auf Unternehmensebene zu tun haben, benötigen Sie die großen Waffen. Während fast alle Anwendungen im Kern tcpdump verwenden (dazu später mehr), können Tools auf Unternehmensebene andere Analysefunktionen bereitstellen, z. B. das Korrelieren des Datenverkehrs von vielen Servern, das Bereitstellen intelligenter Abfragetools zum Erkennen von Problemen, das Warnen bei Ausnahmefällen und das Erstellen netter Diagramme Management-Anforderungen.

Tools auf Unternehmensebene konzentrieren sich in der Regel eher auf den Netzwerkverkehrsfluss als auf die Beurteilung des Paketinhalts. Damit meine ich, dass der Fokus der meisten Systemadministratoren in einem Unternehmen darauf liegt, das Netzwerk ohne Leistungsengpässe am Laufen zu halten. Wenn Engpässe auftreten, besteht das Ziel normalerweise darin, festzustellen, ob das Problem im Netzwerk oder einer Anwendung im Netzwerk liegt. Auf der anderen Seite können diese Tools auf Unternehmensebene in der Regel so viel Datenverkehr erkennen, dass sie vorhersagen können, wann ein Netzwerksegment gesättigt sein wird, was ein kritisches Element des Kapazitätsmanagements ist.

Hacker-Tools

Packet Sniffer werden auch von Hackern eingesetzt. Beachten Sie, dass diese Tools sowohl zum Angriff auf Ihr Netzwerk als auch zum Lösen von Problemen verwendet werden können. Packet Sniffer können als verwendet werden Abhörgeräte Daten während des Transports zu stehlen, und sie können auch dazu beitragen, “der Mann in der MitteAngriffe, die Daten während der Übertragung ändern und den Datenverkehr umleiten, um einen Benutzer im Netzwerk zu betrügen. Investieren Sie in Intrusion Detection-Systeme, um Ihr Netzwerk vor unbefugtem Zugriff zu schützen

Wie funktionieren Packet Sniffer und Network Analyzer??

Das Das Hauptmerkmal eines Paket-Sniffers ist, dass er Daten kopiert, während sie über ein Netzwerk übertragen werden, und sie zur Anzeige bereitstellt. Das Sniffing-Gerät kopiert einfach alle Daten, die über ein Netzwerk übertragen werden. Bei der Implementierung auf einem Switch ermöglichen die Einstellungen des Geräts, dass das weitergeleitete Paket an einen zweiten Port sowie an das vorgesehene Ziel gesendet wird, wodurch der Verkehr dupliziert wird. Normalerweise werden die Datenpakete, die vom Netzwerk abgerufen werden, in eine Datei kopiert. Einige Tools zeigen diese Daten auch in einem Dashboard an. jedoch, Paket-Sniffer können viele Daten erfassen, einschließlich verschlüsselter Administratorinformationen. Du wirst brauchen Finden Sie ein Analysetool, mit dem Sie Informationen dereferenzieren können auf der Reise der Pakete in den Extrakt und andere Informationen, wie die Relevanz der Portnummern, zwischen denen die Pakete reisen.

Ein einfacher Paket-Sniffer kopiert alle Pakete, die im Netzwerk übertragen werden. Dies kann ein Problem sein. Wenn die Paketnutzdaten nicht verschlüsselt sind, können die Mitarbeiter der IT-Abteilung vertrauliche Geschäftsinformationen auf dem Weg über das Netzwerk anzeigen. Aus diesem Grund können viele Paket-Sniffer so begrenzt werden, dass sie nur die Header-Informationen kopieren. In den meisten Fällen wird der Inhalt des Pakets nicht für die Analyse der Netzwerkleistung benötigt. Wenn Sie die Netzwerknutzung über einen Zeitraum von 24 Stunden oder über einige Tage verfolgen möchten, belegt das Speichern jedes Pakets sehr viel Speicherplatz – auch wenn Sie nur die Paket-Header verwenden. In diesen Szenarien ist es ratsam, Pakete abzutasten, dh jedes 10. oder 20. Paket zu kopieren, anstatt jedes einzelne zu kopieren.

Die besten Paketschnüffler und Netzwerkanalysatoren

Wir haben die folgenden Tools nach den folgenden allgemeinen Gesichtspunkten eingestuft: nützliche Funktionen, Zuverlässigkeit, einfache Installation, Integration und Verwendung, Umfang der angebotenen Hilfe und des angebotenen Supports, Aktualität und Wartung der Software sowie Ansehen der Entwickler die Branche.

1. SolarWinds Deep Packet Inspection- und Analyse-Tool (KOSTENLOSE TESTVERSION)

SolarWinds ist eine sehr breite Suite von IT-Management-Tools. Das für diesen Artikel relevantere Tool ist das Tool Deep Packet Inspection and Analysis. Das Sammeln von Netzwerkverkehr ist ziemlich einfach. Mit Tools wie WireShark ist die grundlegende Analyse auch kein Show Stopper. Aber nicht alle Situationen sind so geschnitten und getrocknet. In einem stark ausgelasteten Netzwerk kann es schwierig sein, einige grundlegende Dinge zu bestimmen, wie z.

• Welche Anwendung im Netzwerk erstellt diesen Datenverkehr??
• Wenn die Anwendung bekannt ist (z. B. ein Webbrowser), wo verbringen die Menschen die meiste Zeit?
• Welche Verbindungen dauern am längsten und blockieren das Netzwerk?

Die meisten Netzwerkgeräte verwenden nur die Metadaten jedes Pakets, um sicherzustellen, dass das Paket dort ankommt, wo es hingeht. Der Inhalt des Pakets ist dem Netzwerkgerät nicht bekannt. Deep Packet Inspection ist anders; Dies bedeutet, dass der tatsächliche Inhalt des Pakets überprüft wird, um mehr darüber zu erfahren. Auf diese Weise können wichtige Netzwerkinformationen ermittelt werden, die nicht aus den Metadaten abgerufen werden können. Tools wie die von SolarWinds können aussagekräftigere Daten liefern als nur den Verkehrsfluss.

Andere Techniken zum Verwalten von Netzwerken mit hohem Datenvolumen umfassen NetFlow und sFlow. Jedes hat seine Stärken und Schwächen, und Sie können hier mehr über NetFlow- und sFlow-Techniken lesen.

Die Netzwerkanalyse ist im Allgemeinen ein fortgeschrittenes Thema, das zur Hälfte aus Erfahrung und zur Hälfte aus Training besteht. Es ist möglich, jemanden so zu schulen, dass er jedes Detail von Netzwerkpaketen versteht. Wenn dieser jedoch nicht auch das Zielnetzwerk kennt und keine Erfahrung darin hat, Anomalien zu identifizieren, kommt er nicht sehr weit. Die in diesem Artikel aufgeführten Tools können von erfahrenen Netzwerkadministratoren verwendet werden, die bereits wissen, wonach sie suchen, aber nicht sicher sind, welche Tools am besten geeignet sind. Sie können auch von erfahreneren Systemadministratoren verwendet werden, um zu erfahren, wie Netzwerke im täglichen Betrieb aussehen, und um später Probleme zu identifizieren.

DIE WAHL DES HERAUSGEBERS

Der SolarWinds Network Performance Monitor bietet detaillierte Einblicke in die Ursachen der Netzwerkverzögerung und ermöglicht die schnelle Behebung der Hauptursachen mithilfe von Deep Packet Inspection. Indem Sie den Datenverkehr nach Anwendung, Kategorie (geschäftlich oder sozial) und Risikostufe identifizieren, können Sie den problematischen Datenverkehr eliminieren und filtern und die Antwortzeit der Anwendung messen. Mit einer großartigen Benutzeroberfläche ist dies eine ausgezeichnete Wahl für die Paketüberwachung und Netzwerkanalyse.

Herunterladen: Kostenlose 30-Tage-Testversion mit vollem Funktionsumfang bei SolarWinds.com

Offizielle Seite: www.solarwinds.com/topics/deep-packet-inspection/

Betriebssystem: Windows Server

2. Paessler Packet Capture Tool (KOSTENLOSE TESTVERSION)

Das Paessler Packet-Capture-Tool PRTG: All-In-One-Monitoring ist ein einheitliches Tool zur Überwachung der Infrastruktur. Es hilft Ihnen bei der Verwaltung Ihres Netzwerks und Ihrer Server. Das Netzwerküberwachungssegment des Dienstprogramms umfasst zwei Arten von Aufgaben. Hierbei handelt es sich um einen Netzwerkleistungsmonitor, der den Status von Netzwerkgeräten untersucht, und einen Netzwerkbandbreitenanalysator, der den Verkehrsfluss über Verbindungen im Netzwerk abdeckt.

Der Bandbreitenanalyseteil von PRTG wird mithilfe von vier verschiedenen Paketerfassungstools implementiert. Diese sind:

•         Ein Packet Sniffer
•         Ein NetFlow-Sensor
•         Ein sFlow-Sensor
•         Ein J-Flow Sensor

Der PRTG-Paket-Sniffer erfasst nur die Header der Pakete, die über Ihr Netzwerk übertragen werden. Dies gibt dem Analysator einen Geschwindigkeitsvorteil und verringert auch den Speicherplatz, der zum Speichern von Aufnahmedateien benötigt wird. Das Dashboard des Paketsniffers kategorisiert den Datenverkehr nach Anwendungstyp. Dazu gehören E-Mail-Verkehr, Webpakete, Chat-App-Verkehrsdaten und Dateitransferpaketvolumina.

NetFlow ist ein sehr weit verbreitetes Datenfluss-Messaging-System. Es wurde von Cisco Systems entwickelt, wird aber auch für Geräte anderer Hersteller verwendet. Der PRTG NetFlow-Sensor nimmt auch IPFIX-Nachrichten auf – dieser Messaging-Standard ist ein von der IETF gesponserter Nachfolger von NetFlow. Die J-Flow-Methode ist ein ähnliches Messaging-System, das Juniper Networks für seine Geräte verwendet. Der sFlow-Standard erfasst die Verkehrsströme, sodass jedes n-te Paket erfasst wird. NetFlow und J-Flow erfassen beide kontinuierliche Paketströme.

Paessler bewertet seine PRTG-Software nach der Anzahl der „Sensoren“, die eine Implementierung aktiviert. Ein Sensor ist ein Systemzustand oder eine Hardwarekomponente. Beispielsweise zählt jeder der vier von Paessler angebotenen Packet Sniffer als ein PRTG-Sensor. Die Nutzung des Systems ist kostenlos, wenn Sie 100 Sensoren oder weniger aktivieren. Wenn Sie dieses Paket also nur für die Paket-Sniffing-Schnittstellen verwenden, müssen Sie Paessler nichts bezahlen.

Das Paessler-System umfasst eine Vielzahl weiterer Netzwerk- und Serverüberwachungsfunktionen, darunter einen Virtualisierungsmonitor und einen Anwendungsmonitor. PRTG kann lokal installiert werden oder Sie können als Cloud-Service darauf zugreifen. Die Software läuft in Windows-Umgebungen und kann 30 Tage lang kostenlos getestet werden.

Paessler Packet Capture Tool PRTGDownload 30-tägige KOSTENLOSE Testversion

3. ManageEngine NetFlow Analyzer (KOSTENLOSE TESTVERSION)

Das ManageEngine NetFlow Analyzer Nimmt Verkehrsinformationen von Ihren Netzwerkgeräten. Mit diesem Tool können Sie Traffic-Samples erstellen, ganze Streams erfassen oder Statistiken zu Traffic-Mustern erstellen.

Die Hersteller von Netzwerkgeräten verwenden nicht alle dasselbe Protokoll für die Übermittlung von Verkehrsdaten. Auf diese Weise kann der NetFlow Analyzer verschiedene Sprachen zum Sammeln von Informationen verwenden. Diese beinhalten Cisco NetFlow, Juniper Networks J-Flow, und Huawei Netstream. Es ist auch in der Lage, mit dem zu kommunizieren sFlow, IPFIX, und AppFlow Standards.

Der Monitor ist in der Lage, die Konsistenz der Datenflüsse sowie die Last auf jedem Netzwerkgerät zu verfolgen. Traffic-Analyse-Funktionen lassen Sie siehe Pakete während sie ein Gerät passieren und sie in eine Datei aufnehmen. Durch diese Sichtbarkeit können Sie sehen, welche Anwendungen den größten Teil Ihrer Bandbreite beanspruchen, und Entscheidungen über Traffic-Shaping-Maßnahmen wie Priority Queuing oder Throttling treffen.

Das Dashboard des Systems verfügt über farbcodierte Grafiken, die Ihnen das Erkennen von Problemen erheblich erleichtern. Das ansprechende Erscheinungsbild der Konsole passt zu anderen ManageEngine-Tools zur Überwachung der Infrastruktur, da sie alle auf einer gemeinsamen Plattform basieren. Dies ermöglicht die Integration in mehrere ManageEngine-Produkte. Beispielsweise ist es für Netzwerkadministratoren weit verbreitet, beide zu erwerben OpManager und der NetFlow Analyzer von Manage Engine.

OpManager überwacht den Gerätestatus mit SNMP Prozeduren, die NetFlow Analyzer auf Verkehrsebenen und Paketflussmuster konzentriert.

ManageEngine NetFlow Analyzer wird installiert Windows, Windows Server, und RHEL, CentOS, Fedora, Debian, SUSE, und Ubuntu Linux. Das System wird in zwei Editionen angeboten.

In der Essential Edition stehen Ihnen die Standardfunktionen zur Überwachung des Netzwerkverkehrs sowie ein Berichts- und Abrechnungsmodul zur Verfügung. Der höhere Plan heißt Enterprise Edition. Dies beinhaltet alle Funktionen der Essential Edition plus NBAR & CBQoS Überwachung, ein erweitertes Sicherheitsanalysemodul, Dienstprogramme zur Kapazitätsplanung und Funktionen zur eingehenden Paketprüfung. Diese Ausgabe enthält auch IP SLA und WLC Überwachung.

Sie können beide Versionen des NetFlow Analyzer 30 Tage lang kostenlos testen.

ManageEngine NetFlow Analyzer 30-tägige KOSTENLOSE Testversion herunterladen

4. Omnipeek Network Protocol Analyzer

LiveAction Omnipeek, zuvor ein Produkt von Savvius, ist ein Netzwerkprotokollanalysator, mit dem Pakete erfasst und Protokollanalysen des Netzwerkverkehrs erstellt werden können.

Omnipeek kann durch Plug-Ins erweitert werden. Das Omipeek-Kernsystem erfasst keine Netzwerkpakete. Der Zusatz des Capture Engine Plug-in ruft die Paketaufnahmefunktion auf. Das Capture Engine-System nimmt Pakete in einem kabelgebundenen Netzwerk auf. eine andere Nebenstelle, genannt Wifi Adapter Fügt drahtlose Funktionen hinzu und ermöglicht die Erfassung von WLAN-Paketen über Omnipeek.

Die Funktionen des Omnipeek Network Protocol Analyzer erstrecken sich auch auf die Überwachung der Netzwerkleistung. Die Software listet den Datenverkehr nicht nur nach Protokoll auf, sondern misst auch die Übertragungsgeschwindigkeit und die Regelmäßigkeit des Datenverkehrs, Warnungen auslösen Wenn der Datenverkehr langsamer wird oder die vom Netzwerkadministrator festgelegten Grenzbedingungen überschritten werden.

Der Verkehrsanalysator kann verfolgen Ende zu Ende Übertragen Sie die Leistung über ein gesamtes Netzwerk oder überwachen Sie sie einfach Verknüpfung. Andere Funktionen überwachen Schnittstellen, einschließlich eingehenden Datenverkehrs, der von außerhalb des Netzwerks auf Webserver gelangt. Die Software interessiert sich insbesondere für den Verkehrsdurchsatz und die Anzeige des Verkehrs pro Protokoll. Daten können als Listen von Protokollen und deren Durchsatz oder als Live-Grafiken und -Diagramme angezeigt werden. Mit der Capture Engine erfasste Pakete können sein zur Analyse gespeichert oder über das Netzwerk für abgespielt Kapazitätsprüfung.

Omnipeek wird unter Windows und Windows Server installiert. Das System kann nicht kostenlos verwendet werden. Sie können Omnipeek jedoch 30 Tage lang kostenlos testen.

5. tcpdump

Das grundlegende Tool für fast alle Netzwerkdatenverkehrserfassungen ist tcpdump. Es ist eine Open-Source-Anwendung, die auf fast allen Unix-ähnlichen Betriebssystemen installiert ist. Tcpdump ist ein ausgezeichnetes Sammlungstool und wird mit einer sehr komplexen Filtersprache geliefert. Es ist wichtig zu wissen, wie die Daten zum Erfassungszeitpunkt gefiltert werden, um einen überschaubaren Datenblock für die Analyse zu erhalten. Durch das Erfassen aller Daten von einem Netzwerkgerät in einem Netzwerk mit mittlerer Auslastung können zu viele Daten erstellt werden, die auf einfache Weise analysiert werden können.

In einigen seltenen Fällen kann es ausreichen, tcpdump zu erlauben, das Capture direkt auf Ihrem Bildschirm auszugeben, um zu finden, wonach Sie suchen. Beim Schreiben dieses Artikels habe ich beispielsweise Datenverkehr erfasst und festgestellt, dass mein Computer Datenverkehr an eine IP-Adresse sendet, die ich nicht erkannt habe. Es stellte sich heraus, dass mein Computer Daten an eine Google-IP-Adresse vom 172.217.11.142 gesendet hat. Da weder Google-Produkte ausgeführt noch Google Mail geöffnet war, wusste ich nicht, warum dies geschah. Ich habe mein System untersucht und Folgendes festgestellt:

[~] $ ps -ef | grep google
Benutzer 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome –type = service

Es scheint, dass Chrome auch dann als Dienst ausgeführt wird, wenn es nicht im Vordergrund ausgeführt wird. Ohne eine Paketanalyse, die mich darauf hinweist, hätte ich das nicht unbedingt bemerkt. Ich habe einige weitere tcpdump-Daten erneut erfasst, aber diesmal hat tcpdump angewiesen, die Daten in eine Datei zu schreiben, die ich in Wireshark geöffnet habe (dazu später mehr). Hier ist dieser Eintrag:

Tcpdump ist ein beliebtes Tool unter Sysadmins, da es sich um ein Befehlszeilentool handelt. Dies bedeutet, dass zum Ausführen kein vollständiger Desktop erforderlich ist. Es ist ungewöhnlich, dass Produktionsserver aufgrund der benötigten Ressourcen einen Desktop bereitstellen. Daher werden Befehlszeilentools bevorzugt. Wie bei vielen fortgeschrittenen Tools hat tcpdump eine sehr reiche und arkane Sprache, deren Beherrschung einige Zeit in Anspruch nimmt. Einige der grundlegenden Befehle umfassen die Auswahl der Netzwerkschnittstelle, über die Daten erfasst werden sollen, und das Schreiben dieser Daten in eine Datei, damit sie zur Analyse an eine andere Stelle exportiert werden können. Hierfür werden die Schalter -i und -w verwendet.

# tcpdump -i eth0 -w tcpdump_packets
tcpdump: Lauschen auf eth0, EN10MB (Ethernet) vom Verbindungstyp, Erfassungsgröße 262144 Byte
^ C51-Pakete erfasst

Dies erzeugt eine Erfassungsdatei:

Datei tcpdump_packets
tcpdump_packets: tcpdump-Erfassungsdatei (Little-Endian) – Version 2.4 (Ethernet, Erfassungslänge 262144)

Die Standard-TCP-Erfassungsdatei ist eine pcap-Datei. Da es sich nicht um Text handelt, kann er nur von einem Analyseprogramm gelesen werden, das PCAP-Dateien lesen kann.

6. WinDump

Die nützlichsten Open Source-Tools werden schließlich auf andere Betriebssysteme geklont. In diesem Fall soll die Anwendung portiert worden sein. WinDump ist ein Port von tcpdump und verhält sich sehr ähnlich.

Ein Hauptunterschied zwischen WinDump und tcpdump ist, dass Windump die WinpCap-Bibliothek installiert haben muss, bevor WinDump ausgeführt werden kann. Obwohl WinDump und WinpCap vom selben Betreuer bereitgestellt werden, handelt es sich um separate Downloads.

WinpCap ist eine aktuelle Bibliothek, die installiert werden muss. Nach der Installation ist WinDump jedoch eine EXE-Datei, die nicht installiert werden muss, sondern nur ausgeführt werden kann. Dies ist möglicherweise zu beachten, wenn Sie ein Windows-Netzwerk betreiben. Sie müssen WinDump nicht unbedingt auf jedem Computer installieren, da Sie es einfach nach Bedarf kopieren können. Sie möchten jedoch, dass WinpCap installiert wird, um WinDump zu unterstützen.

Wie bei tcpdump kann WinDump Netzwerkdaten zur Analyse auf dem Bildschirm ausgeben, auf die gleiche Weise gefiltert werden und Daten zur Analyse außerhalb des Standorts in eine pcap-Datei schreiben.

7. Wireshark

Wireshark ist wahrscheinlich das zweitbekannteste Tool in einem Sysadmin-Toolkit. Es kann nicht nur Daten erfassen, sondern bietet auch einige erweiterte Analysetools. Wireshark ist Open Source und wurde auf nahezu jedes vorhandene Server-Betriebssystem portiert. Wireshark startet mit dem Namen Etheral und läuft nun überall, auch als eigenständige tragbare App.

Wenn Sie den Datenverkehr auf einem Server mit installiertem Desktop analysieren, kann Wireshark alles für Sie tun. Es kann die Daten sammeln und dann alles an einem Ort analysieren. Desktops sind auf Servern jedoch nicht üblich. In vielen Fällen möchten Sie die Netzwerkdaten remote erfassen und die resultierende pcap-Datei dann in Wireshark laden.

Beim ersten Start können Sie mit Wireshark entweder eine vorhandene pcap-Datei laden oder mit der Erfassung beginnen. Wenn Sie Netzwerkverkehr erfassen möchten, können Sie optional Filter angeben, um die von Wireshark erfasste Datenmenge zu reduzieren. Da die Analysetools so gut sind, ist es weniger wichtig, sicherzustellen, dass Sie die Daten zur Erfassungszeit mit Wireshark chirurgisch identifizieren. Wenn Sie keinen Filter angeben, sammelt Wireshark einfach alle Netzwerkdaten, die Ihre ausgewählte Schnittstelle beobachtet.

Eines der nützlichsten Tools von Wireshark ist die Fähigkeit, einem Stream zu folgen. Es ist wahrscheinlich am nützlichsten, sich einen Stream als eine gesamte Konversation vorzustellen. In dem Screenshot unten sehen wir, dass eine Menge Daten erfasst wurden, aber was mich am meisten interessiert, ist diese Google IP. Ich kann mit der rechten Maustaste darauf klicken und dem TCP-Stream folgen, um die gesamte Konversation zu sehen.

Wenn Sie Datenverkehr an anderer Stelle erfasst haben, können Sie die pcap-Datei mithilfe von Wiresharks Datei importieren -> Öffnen Sie den Dialog. Für importierte Dateien stehen dieselben Filter und Tools zur Verfügung, die für nativ erfasste Netzwerkdaten verwendet werden können.

8. TShark

TShark ist eine sehr nützliche Kreuzung zwischen tcpdump und Wireshark. Tcpdump zeichnet sich durch das Sammeln von Daten aus und kann nur die gewünschten Daten chirurgisch extrahieren, es ist jedoch begrenzt, wie hilfreich es für die Analyse sein kann. Wireshark leistet sowohl bei der Erfassung als auch bei der Analyse hervorragende Arbeit. Da es jedoch über eine umfangreiche Benutzeroberfläche verfügt, kann es nicht auf Headless-Servern verwendet werden. Betritt TShark. es erfasst und analysiert, tut dies jedoch auf der Kommandozeile.

TShark verwendet dieselben Filterkonventionen wie Wireshark, was nicht verwundert, da es sich im Wesentlichen um dasselbe Produkt handelt. Dieser Befehl weist TShark an, nur die Ziel-IP-Adresse sowie einige andere interessante Felder aus dem HTTP-Teil des Pakets zu erfassen.

# tshark -i eth0 -Y http.request -T Felder -e ip.dst -e http.user_agent -e http.request.uri

172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / favicon.ico
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / favicon.ico

Wenn Sie in eine Datei aufnehmen möchten, können Sie sie mit der Option -w und anschließend mit der Option -r (Lesemodus) von TShark lesen.

Zuerst erfassen:

# tshark -i eth0 -w tshark_packets
Capturing auf ‘eth0’
102 ^ C

Lesen Sie es entweder auf demselben Server oder übertragen Sie es auf einen anderen Analyseserver.

# tshark -r tshark_packets -Y http.request -T Felder -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / contact
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / reservations /
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /reservations/styles/styles.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/images/title.png

9. Network Miner

Network Miner ist ein sehr interessantes Tool, das eher in die Kategorie eines forensischen Tools fällt als in einen direkten Paket-Sniffer. Das Gebiet der Forensik befasst sich normalerweise mit der Untersuchung und Sammlung von Beweisen, und Network Miner erledigt diese Aufgabe gut für den Netzwerkverkehr. Ähnlich wie WireShark einem TCP-Stream folgen kann, um eine vollständige TCP-Konversation wiederherzustellen, kann Network Miner einem Stream folgen, um Dateien zu rekonstruieren, die über das Netzwerk gesendet wurden.

Um Live-Datenverkehr zu erfassen, sollte Network Miner strategisch im Netzwerk platziert werden, um den gewünschten Datenverkehr beobachten und erfassen zu können. Es wird kein eigener Datenverkehr in das Netzwerk eingeführt, sodass es sehr unauffällig arbeitet.

Network Miner kann auch im Offline-Modus betrieben werden. Sie können das bewährte Tool tcpdump verwenden, um Pakete an einem bestimmten Punkt in Ihrem Netzwerk zu sortieren und die pcap-Dateien anschließend in Network Miner zu importieren. Anschließend wird versucht, alle in der Erfassungsdatei gefundenen Dateien oder Zertifikate zu rekonstruieren.

Network Miner wurde für Windows entwickelt. Mit Mono kann es jedoch auf jedem Betriebssystem ausgeführt werden, das über ein Mono-Framework verfügt, z. B. Linux und macOS.

Für den Einstieg gibt es eine kostenlose Version mit zahlreichen Funktionen. Wenn Sie erweiterte Funktionen wie GeoIP-Speicherort und benutzerdefiniertes Scripting benötigen, müssen Sie eine professionelle Lizenz erwerben.

10. Geiger (HTTP)

Fiddler ist technisch gesehen kein Tool zur Erfassung von Netzwerkpaketen, aber es ist so unglaublich nützlich, dass es auf die Liste gesetzt wurde. Im Gegensatz zu den anderen hier aufgeführten Tools, mit denen Ad-hoc-Datenverkehr im Netzwerk von jeder Quelle erfasst werden kann, handelt es sich bei Fiddler eher um ein Desktop-Debugging-Tool. Es erfasst den HTTP-Verkehr und während viele Browser diese Funktion bereits in ihren Entwicklertools haben, ist Fiddler nicht auf den Browser-Verkehr beschränkt. Fiddler kann jeden HTTP-Datenverkehr auf dem Desktop erfassen, auch den von Nicht-Webanwendungen.

Viele Desktop-Anwendungen verwenden HTTP, um eine Verbindung zu Webdiensten herzustellen, und ohne ein Tool wie Fiddler können Sie den Datenverkehr nur mit Tools wie tcpdump oder WireShark für die Analyse erfassen. Diese Tools werden jedoch auf Paketebene ausgeführt, sodass die Analyse die Rekonstruktion dieser Pakete in HTTP-Streams umfasst. Das kann eine Menge Arbeit sein, um eine einfache HTTP-Untersuchung durchzuführen, und Fiddler kommt zur Rettung. Fiddler kann Ihnen dabei helfen, Cookies, Zertifikate und Nutzdaten zu finden, die in oder aus diesen Apps eingehen.

Es hilft, dass Fiddler kostenlos ist und wie Network Miner in Mono auf jedem anderen Betriebssystem mit Mono-Framework ausgeführt werden kann.

11. Capsa

Capsa Network Analyzer verfügt über mehrere Editionen mit jeweils unterschiedlichen Funktionen. Auf der ersten Ebene, Capsa free, erfasst die Software im Wesentlichen nur Pakete und ermöglicht eine sehr grafische Analyse dieser. Das Dashboard ist sehr einzigartig und kann unerfahrenen Systemadministratoren dabei helfen, Netzwerkprobleme auch bei geringen tatsächlichen Paketkenntnissen schnell zu lokalisieren. Das kostenlose Level richtet sich an Personen, die mehr über Pakete erfahren und ihre Fähigkeiten zu vollwertigen Analysten ausbauen möchten.

Die kostenlose Version kann über 300 Protokolle überwachen, ermöglicht die Überwachung von E-Mails, kann E-Mail-Inhalte speichern und unterstützt Trigger. Die Trigger können verwendet werden, um Warnungen für bestimmte Situationen festzulegen, was bedeutet, dass Capsa in gewissem Umfang auch als Support-Funktion verwendet werden kann.

Capsa ist nur für Windows 2008 / Vista / 7/8 und 10 verfügbar.

Letzte Worte

Mit den Tools, die ich erwähnt habe, ist es kein großer Sprung, zu sehen, wie ein Systemadministrator eine On-Demand-Netzwerküberwachungsinfrastruktur aufbauen kann. Tcpdump oder Windump kann auf allen Servern installiert werden. Ein Scheduler wie cron oder Windows Scheduler kann zu einem bestimmten Zeitpunkt eine Paketsammlungssitzung starten und diese Sammlungen in eine pcap-Datei schreiben. Zu einem späteren Zeitpunkt kann ein Sysadmin diese Pakete an eine zentrale Maschine übertragen und mit Wireshark analysieren. Wenn das Netzwerk so groß ist, dass dies nicht möglich ist, können Tools auf Unternehmensebene wie die SolarWinds-Suite dazu beitragen, alle Netzwerkdaten in einem verwaltbaren Datensatz zusammenzufassen.