Packet Sniffing è un termine colloquiale che si riferisce all’arte dell’analisi del traffico di rete. Contrariamente al buon senso, cose come e-mail e pagine web non attraversano Internet in un unico pezzo. Sono suddivisi in migliaia di piccoli pacchetti di dati e inviati su Internet in quel modo.
Esistono molti, molti strumenti là fuori che raccolgono il traffico di rete e la maggior parte di essi utilizza pcap (sistemi simili a Unix) o libcap (sistemi Windows) nel loro nucleo per eseguire la raccolta effettiva. Esiste un altro set di strumenti per aiutare ad analizzare quei dati perché anche una piccola quantità di dati può portare a migliaia di pacchetti che possono essere difficili da navigare. Quasi tutti questi strumenti si raccolgono allo stesso modo; è l’analisi che li differenzia.
Questo post fornisce alcuni dettagli su ciascuno degli strumenti che lo hanno reso qui, ma se hai poco tempo, ecco il nostro elenco di i migliori sniffer di pacchetti e analizzatori di rete:
- Strumento di ispezione e analisi dei pacchetti profondi SolarWinds (PROVA GRATUITA) Uno strumento di analisi del traffico di rete di alta qualità che funziona su Windows Server e fa parte di
- Paessler Packet Capture Tool (PROVA GRATUITA) Uno sniffer di pacchetti, un sensore NetFlow, un sensore sFlow e un sensore J-Flow integrato in Paessler PRTG.
- ManageEngine NetFlow Analyzer (PROVA GRATUITA) Uno strumento di analisi del traffico che funziona con NetFlow, J-Flow, sFlow Netstream, IPFIX e AppFlow
- Omnipeek Network Protocol Analyzer Un monitor di rete che può essere esteso per acquisire pacchetti.
- tcpdump Lo strumento di acquisizione di pacchetti gratuito essenziale che ogni gestore di rete necessita nel suo toolkit.
- windump Un clone gratuito di tcpdump scritto per sistemi Windows.
- Wireshark Un noto strumento gratuito di acquisizione di pacchetti e analisi dei dati.
- tshark Una risposta leggera a chi desidera la funzionalità di Wireshark, ma il profilo sottile di tcpdump.
- Network Miner Un analizzatore di rete basato su Windows con una versione gratuita senza fronzoli.
- Violinista Uno strumento di acquisizione di pacchetti incentrato sul traffico HTTP.
- Capsa Scritto per Windows, lo strumento gratuito di acquisizione dei pacchetti può essere aggiornato per il pagamento per aggiungere funzionalità analitiche.
Vantaggi dello sniffing dei pacchetti
Uno sniffer di pacchetti è uno strumento utile che ti consente di implementare la politica di capacità di rete della tua azienda. I principali vantaggi sono che:
- Identifica i collegamenti congestionati
- Identifica le applicazioni che generano più traffico
- Raccogliere dati per analisi predittive
- Evidenzia picchi e depressioni nella domanda di rete
Le azioni intraprese dipendono dal budget disponibile. Se disponi delle risorse per espandere la capacità della rete, lo sniffer di pacchetti ti consentirà di indirizzare nuove risorse in modo più efficace. Se non si dispone di budget, lo sniffing dei pacchetti aiuterà a modellare il traffico dando priorità al traffico delle applicazioni, ridimensionando le sottoreti, riprogrammando eventi a traffico intenso, limitando la larghezza di banda per applicazioni specifiche o sostituendo le applicazioni con alternative più efficienti.
Modalità promiscua
È importante capire come funziona la scheda di rete sul computer quando si installa il software di sniffing dei pacchetti. L’interfaccia dal tuo computer alla rete si chiama “controller di interfaccia di rete,”O NIC. La tua scheda di rete raccoglierà solo il traffico Internet indirizzato al suo indirizzo MAC.
Per acquisire il traffico generale, è necessario inserire la scheda NIC in “modalità promiscua.”Ciò rimuove il limite di ascolto sulla scheda NIC. In modalità promiscua, la scheda di rete raccoglierà tutto il traffico di rete. La maggior parte degli sniffer di pacchetti ha un’utilità nell’interfaccia utente che gestisce il cambio di modalità per te.
Tipi di traffico di rete
L’analisi del traffico di rete richiede una comprensione del funzionamento della rete. Non esiste uno strumento che rimuoverà magicamente il requisito per un analista di comprendere le basi del networking come l’handshake a tre vie TCP che viene utilizzato per avviare una connessione tra due dispositivi. Gli analisti dovrebbero anche avere una certa comprensione dei tipi di traffico di rete che esistono su una rete normalmente funzionante come il traffico ARP e DHCP. Questa conoscenza è essenziale perché gli strumenti di analisi ti mostreranno solo ciò che chiedi – spetta a te sapere cosa chiedere. Se non sei sicuro dell’aspetto normale della tua rete, può essere difficile assicurarti di cercare la cosa giusta nella massa di pacchetti che hai raccolto.
Strumenti aziendali
Cominciamo dall’alto e procediamo verso il basso nelle basi nitide. Se hai a che fare con una rete di livello aziendale, avrai bisogno di armi pesanti. Mentre quasi tutto utilizza tcpdump al suo interno (ne parleremo più avanti), gli strumenti a livello aziendale possono fornire altre funzioni analitiche come correlare il traffico da molti server, fornire strumenti di query intelligenti per individuare i problemi, avvisare in casi eccezionali e produrre grafici carini che esigenze di gestione.
Gli strumenti a livello aziendale tendono a concentrarsi sul flusso del traffico di rete piuttosto che giudicare il contenuto dei pacchetti. Con ciò, intendo dire che l’obiettivo della maggior parte dei amministratori di sistema in un’azienda è quello di mantenere il ronzio della rete senza colli di bottiglia delle prestazioni. Quando si verificano colli di bottiglia, l’obiettivo è in genere determinare se il problema riguarda la rete o un’applicazione sulla rete. Dall’altro lato della medaglia, questi strumenti a livello aziendale sono in genere in grado di vedere così tanto traffico che possono aiutare a prevedere quando un segmento di rete si saturerà, che è un elemento critico della gestione della capacità.
Strumenti per hacker
Gli sniffer di pacchetti sono anche usati dagli hacker. Tieni presente che questi strumenti possono essere utilizzati per attaccare la tua rete e anche per risolvere i problemi. Gli sniffer di pacchetti possono essere usati come intercettazione telefoniche per aiutare a rubare i dati in transito e possono anche contribuire a “uomo nel mezzo“Attacchi che alterano i dati in transito e dirottano il traffico al fine di frodare un utente sulla rete. Investi nei sistemi di rilevamento delle intrusioni per proteggere la tua rete da queste forme di accesso non autorizzato
Come funzionano gli sniffer di pacchetti e gli analizzatori di rete?
Il La caratteristica principale di uno sniffer di pacchetti è che copia i dati mentre viaggia attraverso una rete e li rende disponibili per la visualizzazione. Il dispositivo di sniffing copia semplicemente tutti i dati che vede passare su una rete. Se implementate su uno switch, le impostazioni del dispositivo consentono di inviare il pacchetto di passaggio a una seconda porta e alla destinazione prevista, duplicando così il traffico. Di solito, i pacchetti di dati raccolti dalla rete vengono copiati in un file. Alcuni strumenti mostreranno anche quei dati in una dashboard. tuttavia, gli sniffer di pacchetti possono raccogliere molti dati, tra cui informazioni di amministrazione codificate. Avrai bisogno di trova uno strumento di analisi che può aiutarti a trasferire informazioni nel viaggio dei pacchetti nell’estratto e in altre informazioni, come la pertinenza dei numeri di porta tra cui viaggiano i pacchetti.
Un semplice sniffer di pacchetti verrà copiato su tutti i pacchetti che viaggiano sulla rete. Questo può essere un problema. Se il payload del pacchetto non è crittografato, consentirai al personale del reparto IT di visualizzare le informazioni aziendali sensibili mentre viaggiano attraverso la rete. Per questo motivo, molti sniffer di pacchetti possono essere limitati in modo che copieranno solo sulle informazioni dell’intestazione. Nella maggior parte dei casi, i contenuti del pacchetto non sono necessari per l’analisi delle prestazioni della rete. Se si desidera tenere traccia dell’utilizzo della rete per un periodo di 24 ore o per alcuni giorni, la memorizzazione di ogni pacchetto occuperà una quantità molto grande di spazio su disco, anche se si utilizzano solo le intestazioni dei pacchetti. In questi scenari, è consigliabile campionare i pacchetti, il che significa copiare ogni 10 o 20 pacchetti anziché copiarli su ogni singolo.
I migliori sniffer di pacchetti e analizzatori di rete
Abbiamo classificato i seguenti strumenti in base alle seguenti considerazioni generali: funzionalità utili, affidabilità, facilità di installazione, integrazione e utilizzo, quantità di aiuto e supporto offerti, livello di aggiornamento e manutenzione del software e reputazione degli sviluppatori l’industria.
1. Strumento di analisi e analisi dei pacchetti profondi SolarWinds (PROVA GRATUITA)
SolarWinds è una suite molto ampia di strumenti di gestione IT. Lo strumento più rilevante per questo articolo è lo strumento Deep Packet Inspection and Analysis. La raccolta del traffico di rete è abbastanza semplice. Utilizzando strumenti come WireShark, l’analisi del livello di base non è nemmeno un punto fermo. Ma non tutte le situazioni sono così secche. In una rete molto affollata, può essere difficile determinare anche alcune cose di base come:
- Quale applicazione sulla rete sta creando questo traffico?
- Se l’applicazione è nota (ad esempio un browser Web), dove sono le persone che trascorrono la maggior parte del loro tempo?
- Quali connessioni impiegano più tempo e bloccano la rete?
La maggior parte dei dispositivi di rete utilizza i metadati di ciascun pacchetto per assicurarsi che il pacchetto arrivi dove sta andando. Il contenuto del pacchetto non è noto al dispositivo di rete. Deep Packet Inspection è diverso; significa che il contenuto effettivo del pacchetto viene ispezionato al fine di saperne di più. In questo modo è possibile scoprire informazioni di rete critiche che non possono essere ricavate dai metadati. Strumenti come quelli forniti da SolarWinds possono fornire dati più significativi del semplice flusso di traffico.
Altre tecniche per la gestione di reti ad alto volume includono NetFlow e sFlow. Ognuno ha i suoi punti di forza e di debolezza e puoi leggere di più sulle tecniche NetFlow e sFlow qui.
L’analisi della rete, in generale, è un argomento avanzato che è metà esperienza e metà formazione. È possibile addestrare qualcuno a comprendere ogni dettaglio sui pacchetti di rete, ma a meno che quella persona non abbia anche conoscenza della rete di destinazione e qualche esperienza per identificare anomalie, non andranno molto lontano. Gli strumenti che ho elencato in questo articolo possono essere utilizzati da amministratori di rete esperti che già sanno cosa stanno cercando, ma non sono sicuri di quali siano gli strumenti migliori. Possono anche essere utilizzati da più amministratori di sistema junior per acquisire esperienza sull’aspetto delle reti durante le operazioni quotidiane, che aiuteranno a identificare i problemi in un secondo momento.
SCELTA DELL’EDITORE
Il monitor delle prestazioni di rete di SolarWinds fornisce informazioni dettagliate sulle cause della lentezza della rete e consente di risolvere rapidamente le cause alla radice mediante un’ispezione approfondita dei pacchetti. Identificando il traffico per applicazione, categoria (business vs. social) e livello di rischio, è possibile eliminare e filtrare il traffico problematico e misurare i tempi di risposta dell’applicazione. Con un’ottima interfaccia utente, questa è una scelta eccellente per lo sniffer di pacchetti e l’analisi di rete.
Scarica: Versione di prova GRATUITA di 30 giorni completamente funzionante su SolarWinds.com
Sito ufficiale: www.solarwinds.com/topics/deep-packet-inspection/
OS: Windows Server
2. Strumento di acquisizione dei pacchetti Paessler (PROVA GRATUITA)
Il PRTG Packet-Capture-Tool di Paessler: il monitoraggio all-in-one è uno strumento di monitoraggio dell’infrastruttura unificato. Ti aiuta a gestire la tua rete e i tuoi server. Il segmento di monitoraggio della rete dell’utilità copre due tipi di attività. Si tratta di un monitor delle prestazioni della rete, che esamina gli stati dei dispositivi di rete e un analizzatore della larghezza di banda della rete, che copre il flusso del traffico sui collegamenti nella rete.
La parte di analisi della larghezza di banda di PRTG è implementata attraverso l’uso di quattro diversi strumenti di acquisizione dei pacchetti. Questi sono:
- Uno sniffer di pacchetti
- Un sensore NetFlow
- Un sensore sFlow
- Un sensore J-Flow
Lo sniffer di pacchetti PRTG acquisisce solo le intestazioni dei pacchetti che viaggiano attraverso la rete. Ciò offre all’analizzatore un vantaggio di velocità e riduce anche la quantità di spazio di archiviazione necessario per contenere i file di acquisizione. La dashboard dello sniffer di pacchetti classifica il traffico in base al tipo di applicazione. Questi includono traffico e-mail, pacchetti Web, dati sul traffico delle app di chat e volumi di pacchetti di trasferimento file.
NetFlow è un sistema di messaggistica del flusso di dati molto utilizzato. È stato creato da Cisco Systems ma è utilizzato anche per apparecchiature prodotte da altri produttori. Il sensore PRFG NetFlow rileva anche i messaggi IPFIX: questo standard di messaggistica è un successore di NetFlow sponsorizzato da IETF. Il metodo J-Flow è un sistema di messaggistica simile utilizzato da Juniper Networks per le sue apparecchiature. Lo standard sFlow campiona i flussi di traffico, quindi raccoglierà ogni ennesimo pacchetto. NetFlow e J-Flow catturano entrambi flussi continui di pacchetti.
Paessler valuta il suo software PRTG sul numero di “sensori” attivati da un’implementazione. Un sensore è una condizione di sistema o un componente hardware. Ad esempio, ciascuno dei quattro sniffer di pacchetti offerti da Paessler conta come un sensore PRTG. Il sistema è gratuito se attivi 100 sensori o meno, quindi se usi questo pacchetto solo per le sue interfacce di sniffing dei pacchetti, non dovrai pagare nulla a Paessler.
Il sistema Paessler include molte altre funzionalità di monitoraggio della rete e del server, tra cui un monitor di virtualizzazione e un monitor dell’applicazione. PRTG può essere installato in locale o è possibile accedervi come servizio cloud. Il software funziona su ambienti Windows e puoi ottenerlo in una versione di prova gratuita di 30 giorni.
Paessler Packet Capture Tool PRTG Scarica una prova GRATUITA di 30 giorni
3. ManageEngine NetFlow Analyzer (PROVA GRATUITA)
Il ManageEngine NetFlow Analyzer prende le informazioni sul traffico dai tuoi dispositivi di rete. Con questo strumento puoi scegliere di campionare il traffico, acquisire interi flussi o raccogliere statistiche sui modelli di traffico.
I produttori di dispositivi di rete non usano tutti lo stesso protocollo per comunicare i dati sul traffico. Pertanto, NetFlow Analyzer è in grado di utilizzare lingue diverse per raccogliere informazioni. Questi includono Cisco NetFlow, Juniper Networks J-Flow, e Huawei Netstream. È anche in grado di comunicare con sFlow, IPFIX, e AppFlow norme.
Il monitor è in grado di tenere traccia della coerenza dei flussi di dati e del carico su ciascun dispositivo di rete. Le funzionalità di analisi del traffico ti consentono vedere i pacchetti mentre attraversano un dispositivo e li catturano nel file. Questa visibilità ti consentirà di vedere quali applicazioni stanno consumando gran parte della tua larghezza di banda e di prendere decisioni sulle misure di modellamento del traffico, come l’accodamento prioritario o la limitazione.
La dashboard del sistema presenta una grafica con codice colore, che semplifica notevolmente il compito di individuare i problemi. L’aspetto accattivante della console si lega ad altri strumenti di monitoraggio dell’infrastruttura ManageEngine perché sono stati tutti costruiti su una piattaforma comune. Questo lo integra con diversi prodotti ManageEngine. Ad esempio, è molto comune per gli amministratori di rete acquistare entrambi OpManager e NetFlow Analyzer di Manage Engine.
OpManager monitora gli stati dei dispositivi con SNMP procedure, che NetFlow Analyzer si concentra sui livelli di traffico e sui modelli di flusso di pacchetti.
ManageEngine NetFlow Analyzer si installa su finestre, Windows Server, e RHEL, CentOS, Fedora, Debian, SUSE, e Ubuntu Linux. Il sistema è offerto in due edizioni.
L’edizione Essential offre le funzioni standard di monitoraggio del traffico di rete oltre a un modulo di reportistica e fatturazione. Il piano superiore si chiama Enterprise Edition. Questo ha tutte le funzionalità di Essential Edition plus NBAR & CBQoS monitoraggio, un modulo avanzato di analisi della sicurezza, utilità di pianificazione della capacità e capacità di ispezione approfondita dei pacchetti. Questa edizione include anche SLA IP e WLC monitoraggio.
Puoi ottenere una delle versioni di NetFlow Analyzer con una prova gratuita di 30 giorni.
ManageEngine NetFlow Analyzer Scarica la versione di prova GRATUITA di 30 giorni
4. Analizzatore di protocollo di rete Omnipeek
LiveAction Omnipeek, precedentemente prodotto di Savvius, è un analizzatore di protocollo di rete che può essere utilizzato per acquisire pacchetti e produrre analisi di protocollo del traffico di rete.
Omnipeek può essere esteso tramite plug-in. Il principale sistema Omipeek non acquisisce i pacchetti di rete. Tuttavia, l’aggiunta di Capture Engine il plug-in ottiene la funzione di acquisizione dei pacchetti. Il sistema Capture Engine raccoglie i pacchetti su una rete cablata; un altro interno, chiamato Adattatore Wifi aggiunge funzionalità wireless e consente l’acquisizione di pacchetti Wifi tramite Omnipeek.
Le funzioni dell’omnipeek Network Protocol Analyzer di base si estendono al monitoraggio delle prestazioni della rete. Oltre a elencare il traffico per protocollo, il software misurerà la velocità di trasferimento e la regolarità del traffico, innalzare avvisi se il traffico rallenta o i viaggi superano le condizioni al contorno impostate dall’amministratore di rete.
L’analizzatore di traffico può tracciare da un capo all’altro trasferire le prestazioni su un’intera rete o semplicemente monitorarle ciascuna collegamento. Altre funzioni monitorano le interfacce, incluso il traffico in entrata che arriva ai server Web dall’esterno della rete. Il software è particolarmente interessato alla velocità di trasmissione del traffico e alla visualizzazione del traffico per protocollo. I dati possono essere visualizzati come elenchi di protocolli e relativo throughput o come grafici e grafici in tempo reale. I pacchetti acquisiti con Capture Engine possono essere archiviato per analisi o riprodotto attraverso la rete per test di capacità.
Omnipeek si installa su Windows e Windows Server. Il sistema non è libero da usare. Tuttavia, è possibile ottenere Omnipeek in una prova gratuita di 30 giorni.
5. tcpdump
Lo strumento fondamentale di quasi tutta la raccolta del traffico di rete è tcpdump. È un’applicazione open source che viene installata su quasi tutti i sistemi operativi simili a Unix. Tcpdump è un eccellente strumento di raccolta ed è completo di un linguaggio di filtro molto complesso. È importante sapere come filtrare i dati al momento della raccolta al fine di ottenere un blocco gestibile di dati da analizzare. Acquisire tutti i dati da un dispositivo di rete anche su una rete moderatamente occupata può creare troppi dati da analizzare facilmente.
In alcuni rari casi, consentire a tcpdump di trasmettere la sua cattura direttamente sullo schermo potrebbe essere sufficiente per trovare quello che stai cercando. Ad esempio, scrivendo questo articolo, ho acquisito un po ‘di traffico e ho notato che la mia macchina stava inviando traffico a un IP che non riconoscevo. Si scopre che la mia macchina stava inviando dati a un indirizzo IP di Google del 172.217.11.142. Dato che non avevo prodotti Google in esecuzione, né Gmail aperto, non sapevo perché questo stesse accadendo. Ho esaminato il mio sistema e ho trovato questo:
[~] $ ps -ef | grep google
utente 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome –type = service
Sembra che anche quando Chrome non è in esecuzione in primo piano, rimane in esecuzione come servizio. Non me ne sarei necessariamente accorto senza un’analisi dei pacchetti per farmi notare. Ho acquisito nuovamente alcuni dati di tcpdump ma questa volta ho detto a tcpdump di scrivere i dati in un file che ho aperto in Wireshark (ne parlerò più avanti). Ecco quella voce:
Tcpdump è uno strumento preferito dagli amministratori di sistema perché è uno strumento da riga di comando. Ciò significa che non richiede un desktop completo per funzionare. È insolito che i server di produzione forniscano un desktop a causa delle risorse che richiederebbero, quindi sono preferiti gli strumenti da riga di comando. Come con molti strumenti avanzati, tcpdump ha un linguaggio molto ricco e arcano che richiede del tempo per padroneggiare. Alcuni dei comandi di base implicano la selezione dell’interfaccia di rete da cui raccogliere i dati e la scrittura di tali dati in un file in modo che possano essere esportati per analisi altrove. A tale scopo vengono utilizzati gli switch -i e -w.
# tcpdump -i eth0 -w tcpdump_packets
tcpdump: ascolto su eth0, tipo di collegamento EN10MB (Ethernet), dimensione di acquisizione 262144 byte
^ Pacchetti C51 catturati
Questo produce un file di acquisizione:
file tcpdump_packets
tcpdump_packets: file di acquisizione tcpdump (little-endian) – versione 2.4 (Ethernet, lunghezza di acquisizione 262144)
Il file di acquisizione TCP standard è un file pcap. Non è un testo, quindi può essere letto solo da un programma di analisi che sa leggere i file pcap.
6. WinDump
Gli strumenti open source più utili vengono infine clonati su altri sistemi operativi. Quando ciò accade, si dice che l’applicazione è stata trasferita. WinDump è una porta di tcpdump e si comporta in modo molto simile.
Una delle principali differenze tra WinDump e tcpdump è che Windump necessita della libreria WinpCap installata prima di poter eseguire WinDump. Nonostante sia WinDump che WinpCap siano forniti dallo stesso manutentore, si tratta di download separati.
WinpCap è una vera libreria che deve essere installata. Ma una volta installato, WinDump è un file .exe che non necessita di installazione, quindi può essere eseguito. Potrebbe essere qualcosa da tenere a mente se gestisci una rete Windows. Non è necessario che WinDump sia installato su tutti i computer poiché è sufficiente copiarlo secondo necessità, ma si desidera installare WinpCap per supportare WinDump.
Come con tcpdump, WinDump può inviare dati di rete allo schermo per l’analisi, essere filtrato allo stesso modo e anche scrivere i dati in un file pcap per l’analisi fuori sede.
7. Wireshark
Wireshark è probabilmente il prossimo strumento più noto in qualsiasi toolkit di amministratore di sistema. Non solo può acquisire dati, ma fornisce anche alcuni strumenti di analisi avanzati. In aggiunta al suo fascino, Wireshark è open source ed è stato portato su quasi tutti i sistemi operativi server esistenti. A partire dalla vita di nome Etheral, Wireshark ora funziona ovunque, anche come app portatile standalone.
Se stai analizzando il traffico su un server con un desktop installato, Wireshark può fare tutto per te. Può raccogliere i dati e quindi analizzarli tutti in un’unica posizione. Tuttavia, i desktop non sono comuni sui server, quindi in molti casi vorrai acquisire i dati di rete in remoto e quindi estrarre il file pcap risultante in Wireshark.
Al primo avvio, Wireshark ti consente di caricare un file pcap esistente o avviare l’acquisizione. Se si sceglie di acquisire il traffico di rete, è possibile specificare facoltativamente i filtri per ridurre la quantità di dati raccolti da Wireshark. Poiché i suoi strumenti di analisi sono così efficaci, è meno importante assicurarsi di identificare chirurgicamente i dati al momento della raccolta con Wireshark. Se non specifichi un filtro, Wireshark raccoglierà semplicemente tutti i dati di rete osservati dall’interfaccia selezionata.
Uno degli strumenti più utili forniti da Wireshark è la capacità di seguire un flusso. È probabilmente più utile pensare a uno stream come a un’intera conversazione. Nella schermata qui sotto possiamo vedere che sono stati acquisiti molti dati, ma quello che mi interessa di più è quell’IP di Google. Posso fare clic con il tasto destro del mouse e seguire lo stream TCP per vedere l’intera conversazione.
Se hai acquisito traffico altrove, puoi importare il file pcap utilizzando il File di Wireshark -> Dialogo aperto. Gli stessi filtri e strumenti che possono essere utilizzati per i dati di rete acquisiti in modo nativo sono disponibili per i file importati.
8. TShark
TShark è un incrocio molto utile tra tcpdump e Wireshark. Tcpdump eccelle nella raccolta di dati e può estrarre in modo molto chirurgico solo i dati desiderati, tuttavia è limitato nella misura in cui può essere utile per l’analisi. Wireshark fa un ottimo lavoro sia per la raccolta che per l’analisi, ma poiché ha un’interfaccia utente pesante, non può essere utilizzato su server senza testa. Inserisci TShark; cattura e analizza, ma fa quest’ultimo sulla riga di comando.
TShark utilizza le stesse convenzioni di filtraggio di Wireshark che non dovrebbe sorprendere dal momento che sono essenzialmente lo stesso prodotto. Questo comando dice a TShark di preoccuparsi solo di catturare l’indirizzo IP di destinazione e alcuni altri campi interessanti dalla parte HTTP del pacchetto.
# tshark -i eth0 -Y http.request -T campi -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
Se desideri acquisire un file, puoi utilizzare l’opzione -w per scriverlo, quindi utilizzare l’opzione -r (modalità lettura) di TShark per leggerlo.
Cattura prima:
# tshark -i eth0 -w tshark_packets
Catturare su “eth0”
102 ^ C
Leggilo sullo stesso server o trasferiscilo su un altro server di analisi.
# tshark -r tshark_packets -Y http.request -T campi -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / contact
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / Reservations /
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /reservations/styles/styles.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/images/title.png
9. Network Miner
Network Miner è uno strumento molto interessante che rientra più nella categoria di uno strumento forense piuttosto che in uno sniffer di pacchetti semplice. Il campo della medicina legale in genere si occupa dell’indagine e della raccolta di prove e Network Miner fa questo bene per il traffico di rete. Proprio come WireShark può seguire un flusso TCP per ripristinare un’intera conversazione TCP, Network Miner può seguire un flusso al fine di ricostruire i file inviati sulla rete.
Per catturare il traffico in tempo reale, Network Miner dovrebbe essere posizionato strategicamente sulla rete per essere in grado di osservare e raccogliere il traffico che ti interessa. Non introdurrà il proprio traffico sulla rete, quindi funziona in modo invisibile.
Network Miner può anche funzionare in modalità offline. È possibile utilizzare lo strumento tcpdump provato e vero per individuare i pacchetti in un punto di interesse sulla rete e quindi importare i file pcap in Network Miner. Tenterà quindi di ricostruire qualsiasi file o certificato trovato nel file di acquisizione.
Network Miner è progettato per Windows, ma utilizzando Mono, può essere eseguito su qualsiasi sistema operativo che ha un framework Mono come Linux e macOS.
C’è una versione gratuita per iniziare con una discreta gamma di funzionalità. Se desideri funzionalità più avanzate come posizione GeoIP e script personalizzati, dovrai acquistare una licenza professionale.
10. Fiddler (HTTP)
Fiddler non è tecnicamente uno strumento di acquisizione di pacchetti di rete, ma è così incredibilmente utile che ha fatto la lista. A differenza degli altri strumenti elencati qui che sono progettati per catturare il traffico ad-hoc sulla rete da qualsiasi fonte, Fiddler è più uno strumento di debug desktop. Cattura il traffico HTTP e mentre molti browser hanno già questa capacità nei loro strumenti di sviluppo, Fiddler non si limita al traffico del browser. Fiddler può catturare qualsiasi traffico HTTP sul desktop incluso quello delle applicazioni non web.
Molte applicazioni desktop utilizzano HTTP per connettersi ai servizi Web e senza uno strumento come Fiddler, l’unico modo per acquisire quel traffico per l’analisi è utilizzare strumenti come tcpdump o WireShark. Tuttavia, tali strumenti operano a livello di pacchetto, pertanto l’analisi include la ricostruzione di tali pacchetti in flussi HTTP. Può essere molto impegnativo per eseguire alcune semplici indagini HTTP e Fiddler viene in soccorso. Fiddler può aiutarti a scoprire cookie, certificati e dati sul payload in entrata o in uscita da tali app.
Aiuta che Fiddler è gratuito e, proprio come Network Miner, può essere eseguito all’interno di Mono su qualsiasi altro sistema operativo che ha un framework Mono.
11. Capsa
Capsa Network Analyzer ha diverse edizioni, ognuna con capacità diverse. Al primo livello, gratuito di Capsa, il software acquisisce essenzialmente i pacchetti e consente alcune analisi molto grafiche di essi. La dashboard è davvero unica e può aiutare gli amministratori di sistema principianti a individuare rapidamente i problemi di rete anche con una scarsa conoscenza dei pacchetti. Il livello gratuito è rivolto a persone che vogliono saperne di più sui pacchetti e sviluppare le proprie competenze in analisti a tutti gli effetti.
La versione gratuita sa come monitorare oltre 300 protocolli, consente il monitoraggio della posta elettronica ed è anche in grado di salvare il contenuto della posta elettronica e supporta anche l’attivazione. I trigger possono essere utilizzati per impostare avvisi per situazioni specifiche, il che significa che Capsa può anche essere utilizzato in una certa misura come supporto.
Capsa è disponibile solo per Windows 2008 / Vista / 7/8 e 10.
Parole finali
Con gli strumenti che ho citato, non è un grande salto vedere come un amministratore di sistema potrebbe costruire un’infrastruttura di monitoraggio della rete su richiesta. Tcpdump, o Windump, potrebbe essere installato su tutti i server. Uno scheduler, come cron o scheduler di Windows, potrebbe dare il via a una sessione di raccolta di pacchetti in qualche momento di interesse e scrivere tali raccolte in un file pcap. In un secondo momento, un amministratore di sistema può trasferire quei pacchetti su una macchina centrale e utilizzare Wireshark per analizzarli. Se la rete è così grande da rendere impossibile ciò, gli strumenti di livello aziendale come la suite SolarWinds possono aiutare a domare tutti i dati di rete in un set di dati gestibile.
l termine utilizzato per descrivere la modalità in cui uno sniffer di pacchetti opera. In questa modalità, linterfaccia di rete viene configurata per catturare tutti i pacchetti che passano attraverso di essa, indipendentemente dal fatto che siano destinati al computer in uso o meno. Questo è utile per lanalisi del traffico di rete, ma può anche essere utilizzato per scopi malevoli come il furto di informazioni sensibili. È importante utilizzare gli strumenti di sniffing dei pacchetti solo per scopi legittimi e in conformità con le leggi e le politiche aziendali.