2020年のベストパケットスニファー（11個のパケットアナライザーのレビュー）

パケットスニッフィングは、ネットワークトラフィック分析の技術を指す口語的な用語です。常識に反して、メールやウェブページのようなものは、インターネットを一度に通過することはありません。それらは数千の小さなデータパケットに分割され、その方法でインターネット経由で送信されます.

ネットワークトラフィックを収集するツールは多数あり、それらのほとんどはコアでpcap（Unixライクシステム）またはlibcap（Windowsシステム）を使用して実際の収集を行います。少量のデータでも数千のパケットになり、ナビゲートが困難になる可能性があるため、そのデータの分析に役立つ別のツールセットが存在します。これらのツールのほとんどすべてが同じ方法で収集されます。それらを区別するのは分析です.

この投稿では、ここで作成した各ツールについて詳しく説明しますが、時間が足りない場合は、次のリストをご覧ください。 最高のパケットスニファーとネットワークアナライザー：

1. SolarWinds Deep Packet Inspection and Analysis Tool（無料トライアル） Windows Server上で実行され、その一部である高品質のネットワークトラフィック分析ツール
2. Paessler Packet Capture Tool（無料トライアル） Paessler PRTGに組み込まれているパケットスニファー、NetFlowセンサー、sFlowセンサー、およびJ-Flowセンサー.
3. ManageEngine NetFlow Analyzer（無料トライアル） NetFlow、J-Flow、sFlow Netstream、IPFIX、およびAppFlowで動作するトラフィック分析ツール
4. Omnipeekネットワークプロトコルアナライザー パケットをキャプチャするために拡張できるネットワークモニタ.
5. tcpdump すべてのネットワークマネージャーがツールキットで必要とする必須の無料パケットキャプチャツール.
6. Windump Windowsシステム用に記述されたtcpdumpの無料クローン.
7. Wireshark 有名な無料のパケットキャプチャおよびデータ分析ツール.
8. サメ Wiresharkの機能を必要とする人に対する軽量な答えですが、tcpdumpのスリムなプロファイル.
9. ネットワークマイナー 飾り気のない無料バージョンを備えたWindowsベースのネットワークアナライザー.
10. フィドラー HTTPトラフィックに焦点を当てたパケットキャプチャツール.
11. カプサ Windows用に作成された無料のパケットキャプチャツールは、分析機能を追加するために支払い用にアップグレードできます。.

パケットスニッフィングの利点

パケットスニッファーは、会社のネットワーク容量ポリシーを実装できるようにする便利なツールです。主な利点は次のとおりです。

• 混雑したリンクを特定する
• 最もトラフィックを生成するアプリケーションを特定する
• 予測分析用のデータを収集する
• ネットワーク需要のピークと谷を強調する

実行するアクションは、使用可能な予算によって異なります。ネットワーク容量を拡張するためのリソースがある場合、パケットスニッファーを使用すると、新しいリソースをより効果的にターゲットにできます。予算がない場合、パケットスニッフィングは、アプリケーショントラフィックの優先順位付け、サブネットのサイズ変更、大量のトラフィックイベントの再スケジュール、特定のアプリケーションの帯域幅の制限、またはアプリケーションをより効率的な代替手段に置き換えることにより、トラフィックシェーピングに役立ちます.

無差別モード

パケットスニッフィングソフトウェアをインストールするときに、コンピューターのネットワークカードがどのように動作するかを理解することが重要です。コンピューターからネットワークへのインターフェースは「ネットワークインターフェースコントローラー,」またはNIC。 NICは、MACアドレス宛てのインターネットトラフィックのみをピックアップします.

一般的なトラフィックをキャプチャするには、NICを「無差別モード.これにより、NICのリスニング制限が解除されます。無差別モードでは、NICがすべてのネットワークトラフィックをピックアップします。ほとんどのパケットスニファーには、ユーザーインターフェイス内にモードスイッチを管理するユーティリティがあります.

ネットワークトラフィックの種類

ネットワークトラフィック分析では、ネットワークの仕組みを理解する必要があります。 2つのデバイス間の接続を開始するために使用されるTCPスリーウェイハンドシェイクなど、ネットワークの基本を理解するアナリストの要件を魔法のように取り除くツールはありません。アナリストは、ARPやDHCPトラフィックなど、正常に機能しているネットワーク上に存在するネットワークトラフィックの種類についてもある程度理解している必要があります。分析ツールは、あなたが求めるものを表示するだけなので、この知識は不可欠です。何を求めるべきかはあなた次第です。ネットワークの正常な外観がわからない場合、収集した大量のパケットの中から適切なものを探しているかどうかを確認するのは困難です。.

エンタープライズツール

一番上から始めて、重要な基本事項に取り組みましょう。企業レベルのネットワークを扱う場合は、大砲が必要になります。ほとんどすべてがコアでtcpdumpを使用しますが（詳細は後述）、エンタープライズレベルのツールは、多くのサーバーからのトラフィックの相関、問題を特定するインテリジェントクエリツールの提供、例外ケースのアラート、優れたグラフの生成など、他の分析機能を提供できます管理の要求.

エンタープライズレベルのツールは、パケットコンテンツを判断するのではなく、ネットワークトラフィックフローに焦点を合わせる傾向があります。つまり、企業のほとんどのシステム管理者の焦点は、パフォーマンスのボトルネックを発生させずにネットワークをハミングさせることです。ボトルネックが発生した場合の目標は、通常、問題がネットワークにあるのか、ネットワーク上のアプリケーションにあるのかを判断することです。反対に、これらのエンタープライズレベルのツールは通常、非常に多くのトラフィックを確認できるため、容量管理の重要な要素であるネットワークセグメントが飽和する時期を予測するのに役立ちます。.

ハッカーツール

パケットスニファーはハッカーによっても使用されます。これらのツールは、ネットワークの攻撃や問題の解決に使用できることに注意してください。パケットスニファーは次のように使用できます。 盗聴者 転送中のデータを盗むのに役立ちます。また、「真ん中の男ネットワーク上のユーザーを欺くために、送信中のデータを変更し、トラフィックをそらす攻撃。侵入検知システムに投資して、これらの形式の不正アクセスからネットワークを保護します

パケットスニファーとネットワークアナライザーの仕組み?

の パケットスニッファーの主な機能は、ネットワークを移動するときにデータをコピーし、表示できるようにすることです。. スニッフィングデバイスは、ネットワーク上を通過するのを確認したすべてのデータを単にコピーします。スイッチに実装すると、デバイスの設定により、通過パケットを2番目のポートと目的の宛先に送信できるため、トラフィックが重複します。通常、ネットワークから取得されたデータのパケットはファイルにコピーされます。一部のツールでは、ダッシュボードにそのデータも表示されます。しかしながら, パケットスニファは、エンコードされた管理情報を含む多くのデータを収集できます。. あなたがする必要があります 情報の逆参照に役立つ分析ツールを見つける パケットが移動するポート番号の関連性など、抽出物およびその他の情報内のパケットの旅程.

簡単なパケットスニファーは、ネットワーク上を移動するすべてのパケットをコピーします. これは問題になる可能性があります. パケットペイロードが暗号化されていない場合、IT部門のスタッフは、ネットワーク上を移動するビジネスの機密情報を見ることができます。このため、多くのパケットスニファーは、ヘッダー情報のみをコピーするように制限できます。ほとんどの場合、ネットワークパフォーマンス分析にはパケットの内容は必要ありません。 24時間または数日間にわたってネットワークの使用状況を追跡する場合、パケットヘッダーのみを使用している場合でも、すべてのパケットを保存すると非常に大量のディスクスペースが占有されます。これらのシナリオでは、パケットをサンプリングすることをお勧めします。つまり、すべてのパケットをコピーするのではなく、10番目または20番目のパケットごとにコピーします。.

最高のパケットスニファーとネットワークアナライザー

次の一般的な考慮事項に従って、次のツールをランク付けしました：有用な機能、信頼性、インストールの容易さ、統合、および使用、提供されるヘルプとサポートの量、ソフトウェアの更新と保守の程度、開発者の評判業界.

1. SolarWinds Deep Packet Inspection and Analysisツール（無料トライアル）

SolarWindsは、IT管理ツールの非常に広範なスイートです。この記事により関連するツールは、Deep Packet Inspection and Analysisツールです。ネットワークトラフィックの収集は非常に簡単です。 WireSharkなどのツールを使用すると、基本的なレベルの分析もショーストッパーではありません。しかし、すべての状況が切り取られ乾燥しているわけではありません。非常に混雑したネットワークでは、次のような非常に基本的なことを判断するのも難しい場合があります。

• このトラフィックを作成しているネットワーク上のアプリケーション?
• ユーザーがほとんどの時間を費やしているアプリケーション（Webブラウザーなど）がわかっている場合?
• どの接続が最も長くかかり、ネットワークを行き詰らせているか?

ほとんどのネットワークデバイスは、各パケットのメタデータを使用して、パケットが送信先に確実に到達するようにします。パケットの内容は、ネットワークデバイスに認識されていません。ディープパケットインスペクションは異なります。つまり、パケットについての詳細を知るために、パケットの実際の内容が検査されます。この方法で、メタデータから収集できない重要なネットワーク情報を発見できます。 SolarWindsが提供するツールは、単に交通の流れよりも意味のあるデータを提供できます.

大容量ネットワークを管理する他の手法には、NetFlowおよびsFlowが含まれます。それぞれに長所と短所があり、ここでNetFlowおよびsFlowのテクニックについて詳しく読むことができます.

一般に、ネットワーク分析は経験とトレーニングの半分である高度なトピックです。ネットワークパケットに関するすべての詳細を理解するように誰かを訓練することは可能ですが、その人がターゲットネットワークの知識を持ち、異常を特定する経験がない限り、彼らはそれほど遠くに行きません。この記事に記載したツールは、探しているものを既に知っているが、どのツールが最適かわからない経験豊富なネットワーク管理者が使用できます。また、後輩のシステム管理者が日常の運用中にネットワークがどのように見えるかを経験するために使用することもできます。これは、後で問題を特定するのに役立ちます.

編集者の選択

SolarWinds Network Performance Monitorは、ネットワークの速度低下の原因に関する詳細な洞察を提供し、ディープパケットインスペクションを使用して根本原因を迅速に解決できます。アプリケーション、カテゴリ（ビジネスとソーシャル）、およびリスクレベルごとにトラフィックを識別することにより、問題のあるトラフィックを排除およびフィルタリングし、アプリケーションの応答時間を測定できます。優れたユーザーインターフェイスにより、これはパケットスニッフィングとネットワーク分析に最適です。.

ダウンロード： SolarWinds.comで完全に機能する30日間無料トライアル

オフィシャルサイト： www.solarwinds.com/topics/deep-packet-inspection/

OS： Windowsサーバー

2. Paessler Packet Capture Tool（無料トライアル）

Paessler Packet-Capture-Tool PRTG：「All-In-One-Monitoring」は、統合されたインフラストラクチャ監視ツールです。ネットワークとサーバーの管理に役立ちます。ユーティリティのネットワーク監視セグメントは、2種類のタスクをカバーしています。これらは、ネットワークデバイスの状態を調べるネットワークパフォーマンスモニターと、ネットワーク内のリンクを介したトラフィックのフローをカバーするネットワーク帯域幅アナライザーです。.

PRTGの帯域幅分析部分は、4つの異なるパケットキャプチャツールを使用して実装されます。これらは：

•         パケットスニファー
•         NetFlowセンサー
•         sFlowセンサー
•         J-Flowセンサー

PRTGパケットスニファーは、ネットワークを通過するパケットのヘッダーのみをキャプチャします。これにより、アナライザーの速度が向上し、キャプチャファイルを保持するために必要なストレージ容量も削減されます。パケットスニファーのダッシュボードは、アプリケーションタイプ別にトラフィックを分類します。これらには、電子メールトラフィック、Webパケット、チャットアプリトラフィックデータ、およびファイル転送パケットボリュームが含まれます.

NetFlowは、非常に広く使用されているデータフローメッセージングシステムです。シスコシステムズによって作成されましたが、他のメーカーが製造した機器にも使用されています。 PRTG NetFlowセンサーはIPFIXメッセージも取得します。このメッセージング標準は、IETFが後援するNetFlowの後継です。 J-Flow方式は、ジュニパーネットワークスが機器に使用する同様のメッセージングシステムです。 sFlow標準はトラフィックフローをサンプリングするため、n番目のパケットごとに収集します。 NetFlowとJ-Flowは両方ともパケットの連続ストリームをキャプチャします.

Paesslerは、実装がアクティブ化する「センサー」の数に基づいてPRTGソフトウェアの価格を決定します。センサーは、システム状態またはハードウェアコンポーネントです。たとえば、Paesslerが提供する4つのパケットスニファーは、それぞれ1つのPRTGセンサーとしてカウントされます。 100個以下のセンサーをアクティブにした場合、システムは無料で使用できるため、このパッケージをパケットスニッフィングインターフェースにのみ使用すれば、Paesslerに何も支払う必要はありません。.

Paesslerシステムには、仮想化モニターやアプリケーションモニターなど、他の多くのネットワークおよびサーバー監視機能が含まれています。 PRTGはオンプレミスでインストールすることも、クラウドサービスとしてアクセスすることもできます。ソフトウェアはWindows環境で実行され、30日間の無料トライアルで入手できます。.

Paessler Packet Capture ToolPRTG30日間無料トライアルをダウンロード

3. ManageEngine NetFlow Analyzer（無料トライアル）

の ManageEngine NetFlow Analyzer ネットワークデバイスから交通情報を取得します。このツールを使用して、トラフィックのサンプリング、ストリーム全体のキャプチャ、またはトラフィックパターンに関する統計の収集を選択できます.

ネットワークデバイスのメーカーは、トラフィックデータの通信にすべて同じプロトコルを使用しているわけではありません。したがって、NetFlow Analyzerはさまざまな言語を使用して情報を収集できます。これらには Cisco NetFlow, ジュニパーネットワークスJ-Flow, そして Huawei Netstream. また、と通信することができます sFlow, IPFIX, そして AppFlow 基準.

モニターは、データフローの一貫性と各ネットワークデバイスの負荷を追跡できます。トラフィック分析機能により、 パケットを見る デバイスを通過してファイルにキャプチャするとき。この可視性により、どのアプリケーションが帯域幅のほとんどを消費しているかを確認し、プライオリティキューイングやスロットリングなどのトラフィックシェーピング手段を決定できます。.

システムのダッシュボードは、色分けされたグラフィックを備えているため、問題を見つける作業がはるかに簡単になります。コンソールの魅力的な外観は、他のManageEngineインフラストラクチャ監視ツールと連携しています。これらはすべて共通のプラットフォーム上に構築されているためです。これにより、複数のManageEngine製品と統合できます。たとえば、ネットワーク管理者が両方を購入することは非常に一般的です OpManager およびManage EngineのNetFlow Analyzer.

OpManagerはデバイスのステータスを監視します SNMP NetFlow Analyzerがトラフィックレベルとパケットフローパターンに焦点を当てる手順.

ManageEngine NetFlow Analyzerのインストール先 ウィンドウズ, Windowsサーバー, そして RHEL, CentOS, フェドラ, Debian, スーゼ, そして Ubuntu Linux. システムには2つのエディションがあります.

Essentialエディションは、標準のネットワークトラフィック監視機能に加えて、レポートおよび請求モジュールを提供します。上位のプランはEnterprise Editionと呼ばれます。これにはEssential Editionのすべての機能に加えて、 NBAR & CBQoS 監視、高度なセキュリティ分析モジュール、容量計画ユーティリティ、および詳細なパケット検査機能。このエディションには IP SLA そして WLC モニタリング.

30日間の無料トライアルでNetFlow Analyzerのいずれかのエディションを入手できます.

ManageEngine NetFlow Analyzer30日間の無料トライアルをダウンロード

4. Omnipeekネットワークプロトコルアナライザー

LiveAction Omnipeek、以前の製品 サヴィウス, パケットをキャプチャし、ネットワークトラフィックのプロトコル分析を生成するために使用できるネットワークプロトコルアナライザーです。.

Omnipeekはプラグインによって拡張できます。 Omipeekのコアシステムは、ネットワークパケットをキャプチャしません。ただし、 キャプチャエンジン プラグインはパケットキャプチャ機能を取得します。キャプチャエンジンシステムは、有線ネットワーク上のパケットをピックアップします。と呼ばれる別の拡張子 Wifiアダプター ワイヤレス機能を追加し、OmnipeekでWifiパケットをキャプチャできるようにします.

基本Omnipeekネットワークプロトコルアナライザーの機能は、ネットワークパフォーマンスの監視にまで及びます。プロトコルごとにトラフィックをリストするだけでなく、ソフトウェアはトラフィックの転送速度と規則性を測定します, アラートを上げる トラフィックが遅くなるか、トリップがネットワーク管理者によって設定された境界条件を通過した場合.

トラフィックアナライザーは追跡できます 端から端まで ネットワーク全体でパフォーマンスを転送するか、単にそれぞれを監視します リンク. 他の機能は、ネットワークの外部からWebサーバーに到着する着信トラフィックを含むインターフェイスを監視します。ソフトウェアは、特にトラフィックのスループットとプロトコルごとのトラフィックの表示に関心があります。データは、プロトコルとそのスループットのリストとして、またはライブのグラフとチャートとして表示できます。キャプチャエンジンでキャプチャされたパケットは 分析用に保存 またはネットワーク全体でリプレイ 容量テスト.

Omnipeekは、WindowsおよびWindows Serverにインストールされます。システムは無料ではありません。ただし、30日間の無料トライアルでOmnipeekを入手することは可能です.

5. tcpdump

ほとんどすべてのネットワークトラフィック収集の基本的なツールはtcpdumpです。これは、ほとんどすべてのUnixライクなオペレーティングシステムにインストールされるオープンソースアプリケーションです。 Tcpdumpは優れた収集ツールであり、非常に複雑なフィルタリング言語を備えています。分析するデータの管理しやすい塊になるためには、収集時にデータをフィルタリングする方法を知ることが重要です。適度に混雑したネットワークでもネットワークデバイスからすべてのデータをキャプチャすると、簡単に分析できないほど大量のデータが作成される可能性があります.

まれに、tcpdumpがキャプチャを画面に直接出力できるようにすると、探しているものを見つけるのに十分な場合があります。たとえば、この記事を書いているときに、トラフィックをキャプチャし、自分のマシンが認識できないIPにトラフィックを送信していることに気付きました。私のマシンは172.217.11.142のGoogle IPアドレスにデータを送信していたことがわかりました。 Google製品を実行しておらず、Gmailも開いていなかったため、なぜこのようなことが起こったのかわかりませんでした。私は自分のシステムを調べて、これを見つけました：

[〜] $ ps -ef | grep google
ユーザー1985 1881 0 10:16？ 00:00:00 / opt / google / chrome / chrome –type = service

Chromeがフォアグラウンドで実行されていない場合でも、サービスとして実行されているようです。パケット分析がなければ、私はこれに気付かないでしょう。さらにtcpdumpデータを再キャプチャしましたが、今回はtcpdumpにWiresharkで開いたファイルにデータを書き込むように指示しました（詳細は後ほど）。そのエントリは次のとおりです。

Tcpdumpはコマンドラインツールであるため、sysadminの間で人気のあるツールです。つまり、本格的なデスクトップを実行する必要はありません。リソースが必要になるため、実稼働サーバーがデスクトップを提供することはまれであるため、コマンドラインツールをお勧めします。多くの高度なツールと同様に、tcpdumpには非常に豊富で難解な言語があり、習得に時間がかかります。非常に基本的なコマンドのいくつかは、データを収集するネットワークインターフェイスを選択し、そのデータをファイルに書き込んで、他の場所で分析のためにエクスポートできるようにします。これには-iおよび-wスイッチが使用されます.

＃tcpdump -i eth0 -w tcpdump_packets
tcpdump：eth0でリッスン、リンクタイプEN10MB（イーサネット）、キャプチャサイズ262144バイト
^ C51パケットがキャプチャされました

これにより、キャプチャファイルが生成されます。

ファイルtcpdump_packets
tcpdump_packets：tcpdumpキャプチャファイル（リトルエンディアン）-バージョン2.4（イーサネット、キャプチャ長262144）

標準のTCPキャプチャファイルはpcapファイルです。テキストではないため、pcapファイルの読み取り方法を知っている分析プログラムによってのみ読み取ることができます。.

6. WinDump

最も有用なオープンソースツールは、最終的に他のオペレーティングシステムに複製されます。これが発生すると、アプリケーションは移植されたと言われます。 WinDumpはtcpdumpのポートであり、非常によく似た動作をします.

WinDumpとtcpdumpの大きな違いの1つは、Windumpを実行する前にWindumpにWinpCapライブラリがインストールされている必要があることです。 WinDumpとWinpCapの両方が同じメンテナーによって提供されているにもかかわらず、それらは別々のダウンロードです.

WinpCapは、インストールする必要がある実際のライブラリです。しかし、一度インストールすると、WinDumpは.exeファイルであり、インストールする必要がないため、実行するだけです。これは、Windowsネットワークを実行している場合に留意すべきことです。必要に応じてコピーするだけでよいため、必ずしもすべてのマシンにWinDumpをインストールする必要はありませんが、WinDumpをサポートするにはWinpCapをインストールする必要があります。.

tcpdumpと同様に、WinDumpはネットワークデータを分析用の画面に出力し、同様の方法でフィルタリングし、オフサイトの分析用にpcapファイルにデータを書き込むことができます.

7. Wireshark

Wiresharkは、おそらくシステム管理者のツールキットで次に有名なツールです。データをキャプチャできるだけでなく、高度な分析ツールも提供します。その魅力に加えて、Wiresharkはオープンソースであり、存在するほぼすべてのサーバーオペレーティングシステムに移植されています。 Etheralという名前の人生を始め、Wiresharkはスタンドアロンのポータブルアプリを含むあらゆる場所で実行されるようになりました.

デスクトップがインストールされているサーバー上のトラフィックを分析している場合、Wiresharkがすべてを実行できます。データを収集してから、すべてを1か所で分析できます。ただし、デスクトップはサーバーでは一般的ではないため、多くの場合、ネットワークデータをリモートでキャプチャしてから、結果のpcapファイルをWiresharkにプルする必要があります。.

Wiresharkでは、最初の起動時に、既存のpcapファイルを読み込むか、キャプチャを開始できます。ネットワークトラフィックのキャプチャを選択した場合、オプションでフィルタを指定して、Wiresharkが収集するデータの量を削減できます。分析ツールは非常に優れているため、Wiresharkで収集時にデータを外科的に特定することはそれほど重要ではありません。フィルタを指定しない場合、Wiresharkは、選択したインターフェイスが監視するすべてのネットワークデータを単に収集します.

Wiresharkが提供する最も便利なツールの1つは、ストリームを追跡する機能です。ストリームを会話全体として考えるのがおそらく最も便利です。以下のスクリーンショットでは、多くのデータがキャプチャされていることがわかりますが、私が最も興味を持っているのはそのGoogle IPです。それを右クリックし、TCPストリームをフォローして会話全体を見ることができます.

他の場所でトラフィックをキャプチャした場合、Wiresharkのファイルを使用してpcapファイルをインポートできます -> 開かれた対話。ネイティブにキャプチャされたネットワークデータに使用できるのと同じフィルターとツールが、インポートされたファイルに使用できます.

8. TShark

TSharkは、tcpdumpとWiresharkの間の非常に便利なクロスです。 Tcpdumpはデータの収集に優れており、必要なデータのみを非常に外科的に抽出できますが、分析に役立つかどうかは制限されています。 Wiresharkは収集と分析の両方で素晴らしい仕事をしますが、ユーザーインターフェイスが重いため、ヘッドレスサーバーでは使用できません。 TSharkを入力します。キャプチャして分析しますが、コマンドラインで後者を実行します.

TSharkはWiresharkと同じフィルタリング規則を使用していますが、これは本質的に同じ製品であるため、当然のことです。このコマンドは、TSharkに、宛先IPアドレスだけでなく、パケットのHTTP部分からの他の興味深いフィールドのみを取得するように指示します。.

＃tshark -i eth0 -Y http.request -T fields -e ip.dst -e http.user_agent -e http.request.uri

172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /favicon.ico
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /favicon.ico

ファイルにキャプチャする場合は、-wスイッチを使用して書き込み、TSharkの-r（読み取りモード）スイッチを使用して読み取ることができます。.

最初にキャプチャする：

＃tshark -i eth0 -w tshark_packets
「eth0」でのキャプチャ
102 ^ C

同じサーバー上で読むか、他の分析サーバーに転送します.

＃tshark -r tshark_packets -Y http.request -T fields -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /お問い合わせ
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 / reservations /
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /reservations/styles/styles.css
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0（X11; Linux x86_64; rv：57.0）Gecko / 20100101 Firefox / 57.0 /res/images/title.png

9.ネットワークマイナー

Network Minerは、非常に興味深いツールであり、まっすぐなパケットスニファというよりもフォレンジックツールのカテゴリに分類されます。フォレンジックの分野は通常、調査と証拠の収集を扱い、Network Minerはネットワークトラフィックに対してその仕事をうまく行います。 WireSharkがTCPストリームをたどってTCP会話全体を回復できるように、Network Minerはネットワークを介して送信されたファイルを再構築するためにストリームをたどることができます.

ライブトラフィックをキャプチャするには、Network Minerをネットワーク上に戦略的に配置して、関心のあるトラフィックを監視および収集できるようにする必要があります。独自のトラフィックをネットワークに導入しないため、非常に密かに動作します.

Network Minerはオフラインモードでも動作できます。実績のあるtcpdumpツールを使用して、ネットワーク上の関心のあるポイントでパケットを取得してから、pcapファイルをNetwork Minerにインポートできます。その後、キャプチャファイルで見つかったファイルまたは証明書の再構築を試みます。.

Network MinerはWindows用に構築されていますが、Monoを使用することにより、LinuxやmacOSなどのMonoフレームワークを備えた任意のOSで実行できます。.

まともな機能を備えた無料版があります。 GeoIPロケーションやカスタムスクリプトなどのより高度な機能が必要な場合は、プロフェッショナルライセンスを購入する必要があります。.

10.フィドラー（HTTP）

Fiddlerは技術的にはネットワークパケットキャプチャツールではありませんが、信じられないほど便利なのでリストを作成しました。任意のソースからネットワーク上のアドホックトラフィックをキャプチャするように設計されている、ここにリストされている他のツールとは異なり、Fiddlerはデスクトップデバッグツールです。 HTTPトラフィックをキャプチャし、多くのブラウザーは開発者ツールで既にこの機能を備えていますが、Fiddlerはブラウザートラフィックに限定されません。 Fiddlerは、非Webアプリケーションのものも含め、デスクトップ上のあらゆるHTTPトラフィックをキャプチャできます。.

多くのデスクトップアプリケーションは、HTTPを使用してWebサービスに接続し、Fiddlerなどのツールなしで、分析のためにトラフィックをキャプチャする唯一の方法は、tcpdumpやWireSharkなどのツールを使用することです。ただし、これらのツールはパケットレベルで動作するため、分析にはこれらのパケットのHTTPストリームへの再構築が含まれます。いくつかの簡単なHTTP調査を実行するためには多くの作業が必要になる可能性があり、Fiddlerが助けになります。 Fiddlerは、これらのアプリに出入りするCookie、証明書、およびペイロードデータを検出するのに役立ちます.

Fiddlerは無料であり、Network Minerと同様に、Monoフレームワークを持つ他のオペレーティングシステム上のMono内で実行できます。.

11.カプサ

Capsa Network Analyzerにはいくつかのエディションがあり、それぞれの機能が異なります。最初のレベルであるCapsaフリーでは、ソフトウェアは基本的にパケットをキャプチャするだけで、非常にグラフィカルな分析を可能にします。ダッシュボードは非常にユニークであり、初心者のシステム管理者が実際のパケットに関する知識がほとんどなくてもネットワークの問題を迅速に特定するのに役立ちます。無料レベルは、パケットについて詳しく知り、本格的なアナリストにスキルを高めたい人を対象としています.

無料版は300以上のプロトコルを監視する方法を知っており、電子メールの監視を可能にし、電子メールの内容を保存することもでき、トリガーもサポートしています。トリガーは特定の状況にアラートを設定するために使用できます。つまり、Capsaはある程度サポート容量でも使用できます。.

CapsaはWindows 2008 / Vista / 7/8および10でのみ利用可能です.

最後の言葉

前述したツールを使用すると、システム管理者がオンデマンドネットワーク監視インフラストラクチャを構築する方法を理解することは大きな飛躍ではありません。 TcpdumpまたはWindumpは、すべてのサーバーにインストールできます。 cronやWindowsスケジューラなどのスケジューラは、興味のあるときにパケット収集セッションを開始し、それらの収集をpcapファイルに書き込むことができます。後で、システム管理者はこれらのパケットを中央のマシンに転送し、Wiresharkを使用してそれらを分析できます。ネットワークが大きすぎて実行できない場合、SolarWindsスイートなどのエンタープライズレベルのツールを使用して、すべてのネットワークデータを管理可能なデータセットにまとめることができます。.