2020 أفضل حزمة شم (مراجعة 11 محلل حزم)

Packet Sniffing هو مصطلح عامي يشير إلى فن تحليل حركة مرور الشبكة. على عكس المنطق السليم ، أشياء مثل رسائل البريد الإلكتروني وصفحات الويب لا تعبر الإنترنت في قطعة واحدة. يتم تقسيمها إلى الآلاف من حزم البيانات الصغيرة وإرسالها عبر الإنترنت بهذه الطريقة.

هناك الكثير والكثير من الأدوات التي ستجمع حركة مرور الشبكة ومعظمها يستخدم pcap (أنظمة تشبه يونيكس) أو libcap (أنظمة Windows) في جوهرها للقيام بالمجموعة الفعلية. توجد مجموعة أخرى من الأدوات للمساعدة في تحليل تلك البيانات لأنه حتى كمية صغيرة من البيانات يمكن أن تؤدي إلى الآلاف من الحزم التي يصعب التنقل فيها. تجمع كل هذه الأدوات تقريبًا بالطريقة نفسها ؛ إنه التحليل الذي يميزهم.

يحصل هذا المنشور على بعض التفاصيل حول كل من الأدوات التي صنعتها هنا ، ولكن إذا كان لديك وقت قصير ، فإليك قائمة لدينا أفضل المتشممون ومحللات الشبكات:

  1. SolarWinds أداة فحص وتحليل الحزم العميقة (تجربة مجانية) أداة تحليل حركة مرور شبكة عالية الجودة تعمل على Windows Server وهي جزء من
  2. أداة التقاط حزم Paessler (تجربة مجانية) جهاز استشعار للرزم ، ومستشعر NetFlow ، ومستشعر sFlow ، وجهاز استشعار J-Flow مدمج في Paessler PRTG.
  3. إدارة محلل NetFlow (تجربة مجانية) أداة تحليل حركة المرور التي تعمل مع NetFlow و J-Flow و sFlow Netstream و IPFIX و AppFlow
  4. محلل بروتوكول شبكة Omnipeek شاشة شبكة يمكن تمديدها لالتقاط الحزم.
  5. تشبدومب أداة التقاط الحزمة المجانية الأساسية التي يقوم كل مدير شبكة ne4eds بها في مجموعة أدواته.
  6. Windump نسخة مجانية من tcpdump مكتوبة لأنظمة Windows.
  7. إيثار ريال أداة اكتشاف حزم البيانات وتحليلها المعروفة مجانًا.
  8. tshark إجابة خفيفة الوزن لأولئك الذين يريدون وظائف Wireshark ، ولكن ملف تعريف نحيف من tcpdump.
  9. شبكة مينر محلل شبكة يستند إلى Windows مع إصدار مجاني بدون زخرفة.
  10. العابث أداة التقاط حزم تركز على حركة مرور HTTP.
  11. كابسا يمكن كتابته لـ Windows ، يمكن ترقية أداة التقاط الحزمة المجانية للدفع لإضافتها إلى الميزات التحليلية.

مزايا استنشاق الحزمة

أداة حزم البيانات هي أداة مفيدة لتمكينك من تنفيذ سياسة سعة الشبكة لشركتك. الفوائد الرئيسية هي أنهم:

  • تحديد الروابط المزدحمة
  • حدد التطبيقات التي تولد أكبر عدد من الزيارات
  • جمع البيانات للتحليل التنبئي
  • تسليط الضوء على القمم والهبوط في الطلب على الشبكة

تعتمد الإجراءات التي تتخذها على ميزانيتك المتاحة. إذا كانت لديك الموارد اللازمة لتوسيع سعة الشبكة ، فستمكنك أداة ضبط الحزمة من استهداف موارد جديدة بشكل أكثر فعالية. إذا لم يكن لديك ميزانية ، فسوف يساعد استنشاق الحزمة في تشكيل حركة المرور من خلال تحديد أولويات حركة التطبيق أو تغيير حجم الشبكات الفرعية أو إعادة جدولة أحداث حركة المرور الكثيفة أو الحد من عرض النطاق الترددي لتطبيقات معينة أو استبدال التطبيقات ببدائل أكثر كفاءة.

وضع مختلط

من المهم فهم كيفية عمل بطاقة الشبكة على جهاز الكمبيوتر الخاص بك عند تثبيت برنامج استنشاق الحزم. تسمى الواجهة من الكمبيوتر إلى الشبكة بـ “تحكم واجهة الشبكة,”أو NIC. سوف تقوم بطاقة واجهة الشبكة (NIC) الخاصة بك بانتقاء حركة مرور الإنترنت الموجهة إلى عنوان MAC الخاص بها.

لالتقاط حركة المرور العامة ، تحتاج إلى وضع بطاقة NIC في “وضع مختلط.”هذا يزيل الحد الاستماع على NIC. في الوضع المختلط ، ستلتقط بطاقة واجهة الشبكة (NIC) كل حركة مرور الشبكة. معظم المتشممون للحزم لديهم أداة مساعدة داخل واجهة المستخدم التي تدير مفتاح الوضع لك.

أنواع حركة مرور الشبكة

يتطلب تحليل حركة مرور الشبكة فهم كيفية عمل الشبكات. لا توجد أداة من شأنها أن تلغي بطريقة سحرية متطلبات المحلل لفهم أساسيات الشبكات مثل المصافحة الثلاثية TCP التي يتم استخدامها لبدء الاتصال بين جهازين. يجب أن يكون لدى المحللين بعض الفهم لأنواع حركة مرور الشبكة الموجودة على شبكة تعمل بشكل طبيعي مثل حركة مرور ARP و DHCP. هذه المعرفة ضرورية لأن أدوات التحليل ستظهر لك فقط ما تطلبه – الأمر متروك لك لمعرفة ما تطلبه. إذا لم تكن متأكدًا من شكل شبكتك بشكل طبيعي ، فقد يكون من الصعب التأكد من أنك تبحث عن الشيء الصحيح في مجموعة الحزم التي جمعتها.

أدوات المؤسسة

دعنا نبدأ من الأعلى وننطلق في الأساسيات. إذا كنت تتعامل مع شبكة على مستوى المؤسسة ، فستحتاج إلى الأسلحة الكبيرة. بينما يستخدم كل شيء تقريبًا tcpdump في جوهره (المزيد حول ذلك لاحقًا) ، يمكن أن توفر الأدوات على مستوى المؤسسة وظائف تحليلية أخرى مثل ربط حركة المرور من العديد من الخوادم ، وتوفير أدوات ذكية للاستعلام عن المشكلات ، والتنبيه على حالات الاستثناء ، وإنتاج رسوم بيانية لطيفة مطالب الإدارة.

تميل الأدوات على مستوى المؤسسة إلى التركيز على تدفق حركة مرور الشبكة بدلاً من الحكم على محتوى الحزمة. أعني بذلك أن محور تركيز معظم مسؤولي النظام في مؤسسة ما هو الحفاظ على الشبكة المتمايلة دون اختناقات في الأداء. عند حدوث الاختناقات ، يكون الهدف عادةً تحديد ما إذا كانت المشكلة هي الشبكة أو أحد التطبيقات على الشبكة. على الجانب الآخر من العملة ، عادة ما تكون هذه الأدوات على مستوى المؤسسة قادرة على رؤية الكثير من الحركة بحيث يمكنها المساعدة في التنبؤ بموعد تشبع شريحة شبكة وهو عنصر حاسم في إدارة السعة..

أدوات هاكر

كما يستخدم المتشممون للحزم من قبل المتسللين. كن على علم بأنه يمكن استخدام هذه الأدوات لمهاجمة شبكتك بالإضافة إلى حل المشكلات. المتشممون الحزمة يمكن أن تستخدم wiretappers للمساعدة في سرقة البيانات أثناء العبور ويمكنهم أيضًا المساهمة في “رجل في الوسط“الهجمات التي تغير البيانات أثناء النقل وتحويل حركة المرور من أجل الاحتيال على مستخدم على الشبكة. استثمر في أنظمة كشف التسلل لحماية شبكتك من هذه الأشكال من الوصول غير المصرح به

كيف تعمل حزم أدوات الشبكة ومحللو الشبكات?

ال الميزة الرئيسية لحزمة الشم هي أنها تقوم بنسخ البيانات أثناء انتقالها عبر شبكة وتوفرها للعرض. يقوم جهاز الاستنشاق ببساطة بنسخ جميع البيانات التي يراها تمر عبر شبكة. عند تطبيقه على أحد المحولات ، تتيح إعدادات الجهاز إرسال حزمة المرور إلى منفذ ثانٍ وكذلك الوجهة المقصودة ، وبالتالي تكرار حركة المرور. عادةً ، يتم نسخ حزم البيانات التي يتم جنيها من الشبكة إلى ملف. ستُظهر بعض الأدوات أيضًا البيانات الموجودة في لوحة القيادة. ومع ذلك, يمكن أن يقوم متشممو الحزم بجمع الكثير من البيانات ، والتي تتضمن معلومات المسؤول المشفرة. سوف تحتاج إلى العثور على أداة التحليل التي يمكن أن تساعدك على أن تكون معلومات إلغاء التسجيل في رحلة الحزم في المستخلص وأجزاء أخرى من المعلومات ، مثل أهمية أرقام المنافذ التي تنتقلها الحزم بين.

سوف تقوم أداة نسخ الحزمة المباشرة بنسخ جميع الحزم التي تسافر على الشبكة. هذا يمكن أن يكون مشكلة. إذا لم يتم تشفير الحمولة النافعة للحزمة ، فسيمكن موظفي قسم تقنية المعلومات من رؤية معلومات الأعمال الحساسة أثناء انتقالها عبر الشبكة. لهذا السبب ، يمكن تقييد العديد من متشمم الحزم بحيث يتم نسخها فقط عبر معلومات الرأس. في معظم الحالات ، لا تكون محتويات الحزمة ضرورية لتحليل أداء الشبكة. إذا كنت تريد تتبع استخدام الشبكة على مدار 24 ساعة أو أكثر من بضعة أيام ، فإن تخزين كل حزمة سيشغل مساحة كبيرة جدًا من مساحة القرص – حتى إذا كنت تأخذ فقط رؤوس الحزمة. في هذه السيناريوهات ، يُنصح بأخذ عينات من الحزم ، مما يعني نسخ كل رزمة 10 أو 20 بدلاً من نسخ كل رزمة واحدة.

أفضل حزمة المتشممون ومحللات الشبكة

لقد صنفنا الأدوات التالية وفقًا للاعتبارات العامة التالية: الميزات المفيدة ، والموثوقية ، وسهولة التثبيت ، والتكامل ، والاستخدام ، ومقدار المساعدة والدعم المقدمين ، ومدى تحديث البرنامج وصيانته ، ومدى السمعة التي يتمتع بها المطورون الصناعة.

1. SolarWinds أداة فحص وتحليل الحزم العميقة (تجربة مجانية)

SolarWinds هي مجموعة واسعة جدا من أدوات إدارة تكنولوجيا المعلومات. الأداة الأكثر صلة بهذه المقالة هي أداة الفحص والتحليل العميق للحزم. جمع حركة مرور الشبكة أمر سهل إلى حد ما. باستخدام أدوات مثل WireShark ، فإن تحليل المستوى الأساسي ليس سدادة عرض أيضًا. ولكن ليست كل المواقف هي التي تم تجفيفها وتجفيفها. في شبكة مزدحمة جدًا ، قد يكون من الصعب تحديد بعض الأشياء الأساسية جدًا مثل:

  • ما التطبيق على الشبكة هو إنشاء حركة المرور هذه?
  • إذا كان التطبيق معروفًا (على سبيل المثال ، متصفح ويب) ، حيث يقضي الأشخاص معظم وقتهم?
  • أي الاتصالات تأخذ أطول وقت وتعطل الشبكة?

تستخدم معظم أجهزة الشبكة فقط البيانات الوصفية لكل حزمة لضمان وصول الحزمة إلى مكانها. محتويات الحزمة غير معروفة لجهاز الشبكة. التفتيش العميق الحزمة مختلفة. فهذا يعني أن المحتويات الفعلية للحزمة يتم فحصها من أجل معرفة المزيد عنها. يمكن اكتشاف معلومات الشبكة الهامة التي لا يمكن الحصول عليها من البيانات الأولية بهذه الطريقة. يمكن لأدوات مثل تلك التي توفرها SolarWinds توفير بيانات أكثر أهمية من مجرد تدفق حركة المرور.

solarwindows نقطة في البوصة التطبيق تحديد الهوية

تتضمن التقنيات الأخرى لإدارة الشبكات ذات الحجم الكبير NetFlow و sFlow. كل منها لديه نقاط القوة والضعف ويمكنك قراءة المزيد حول تقنيات NetFlow و sFlow هنا.

تحليل الشبكة ، بشكل عام ، هو موضوع متقدم هو نصف الخبرة والتدريب نصف. من الممكن تدريب شخص ما على فهم كل التفاصيل المتعلقة بحزم الشبكة ، ولكن ما لم يكن لدى هذا الشخص معرفة بالشبكة المستهدفة ، وبعض الخبرة في تحديد الحالات الشاذة ، فلن يحقق الكثير. الأدوات التي أدرجتها في هذه المقالة يمكن استخدامها من قبل مدراء الشبكات ذوي الخبرة الذين يعرفون بالفعل ما الذي يبحثون عنه ، لكنهم غير متأكدين من الأدوات الأفضل. يمكن استخدامها أيضًا من قبل عدد أكبر من مسؤولي النظام المبتدئين لاكتساب الخبرة في كيفية ظهور الشبكات أثناء العمليات اليومية ، مما سيساعد على تحديد المشكلات لاحقًا.

اختيار المحرر

يوفر مراقب أداء الشبكة في SolarWinds رؤى تفصيلية حول أسباب بطء الشبكة ويسمح لك بحل الأسباب الجذرية بسرعة باستخدام فحص الحزمة العميق. من خلال تحديد عدد الزيارات حسب التطبيق والفئة (الأعمال مقابل الاجتماعية) ومستوى المخاطرة ، يمكنك إزالة وتصفية حركة مرور المشكلة وقياس وقت استجابة التطبيق. مع واجهة مستخدم رائعة ، يعد هذا اختيارًا ممتازًا لاستنشاق الرزم وتحليل الشبكات.

تحميل: نسخة تجريبية مجانية كاملة الوظائف مدتها 30 يومًا على SolarWinds.com

موقع رسمي: www.solarwinds.com/topics/deep-packet-inspection/

OS: مشغل برامج وندوز

2. أداة التقاط الحزمة Paessler (تجربة مجانية)

أداة Paessler Packet-Capture-Tool PRTG: الجهاز متعدد الإمكانات هو أداة مراقبة موحدة للبنية التحتية. يساعدك على إدارة الشبكة والخوادم الخاصة بك. يغطي مقطع مراقبة الشبكة الخاص بالأداة المساعدة نوعين من المهام. هذه هي مراقبة أداء الشبكة ، والتي تفحص حالات أجهزة الشبكة ومحلل النطاق الترددي للشبكة ، والتي تغطي تدفق حركة المرور عبر الارتباطات في الشبكة.

يتم تنفيذ جزء تحليل عرض النطاق الترددي من PRTG من خلال استخدام أربع أدوات التقاط حزم مختلفة. وهذه هي:

  •         حزمة الشم
  •         جهاز استشعار NetFlow
  •         جهاز استشعار sFlow
  •         جهاز استشعار J- التدفق

تلتقط حزمة الشم PRTG فقط رؤوس الحزم التي تنتقل عبر شبكتك. هذا يعطي المحلل ميزة السرعة ويقلل أيضًا من مساحة التخزين اللازمة للاحتفاظ بملفات الالتقاط. تصنف لوحة القيادة الخاصة بمتشمم الحزمة حركة المرور حسب نوع التطبيق. وتشمل هذه حركة مرور البريد الإلكتروني وحزم الويب وبيانات حركة مرور تطبيق الدردشة وأحجام حزم نقل الملفات.

NetFlow هو نظام مراسلة لتدفق البيانات يستخدم على نطاق واسع. تم إنشاؤه بواسطة Cisco Systems ولكنه يستخدم أيضًا للمعدات التي تنتجها الشركات المصنعة الأخرى. يستشعر مستشعر PRTG NetFlow أيضًا رسائل IPFIX – يعد معيار المراسلة هذا خليفة لـ NetFlow برعاية IETF. طريقة J-Flow هي نظام مراسلة مماثل تستخدمه Juniper Networks لمعداتها. تدفق حركة العينات القياسية sFlow ، لذلك سوف يجمع كل حزمة nth. يلتقط كل من NetFlow و J-Flow تدفقات مستمرة من الحزم.

تقوم Paessler بتسعير برنامج PRTG الخاص بها على عدد “المستشعرات” التي ينشطها التنفيذ. المستشعر هو حالة النظام أو مكون الجهاز. على سبيل المثال ، يعد كل جهاز من أدوات الشم الأربعة التي تقدمها Paessler بمثابة جهاز استشعار PRTG واحد. النظام مجاني للاستخدام إذا قمت بتنشيط 100 جهاز استشعار أو أقل ، لذلك إذا كنت تستخدم هذه الحزمة فقط لواجهات استنشاق الحزمة الخاصة بها ، فلن تضطر إلى دفع Paessler أي شيء.

يتضمن نظام Paessler الكثير من إمكانات مراقبة الشبكة والخوادم الأخرى بما في ذلك شاشة المحاكاة الافتراضية ومراقبة التطبيقات. يمكن تثبيت PRTG في الموقع أو يمكنك الوصول إليها كخدمة سحابية. يعمل البرنامج على بيئات Windows ويمكنك الحصول عليه في نسخة تجريبية مجانية مدتها 30 يومًا.

أداة التقاط حزم Paessler PRTGDownload لمدة 30 يومًا مجانًا

3. إدارة محلل NetFlow (تجربة مجانية)

ال إدارة محلل NetFlow يأخذ معلومات المرور من أجهزة الشبكة الخاصة بك. يمكنك اختيار أخذ عينات لحركة المرور ، أو التقاط تدفقات كاملة ، أو جمع إحصائيات عن أنماط حركة المرور باستخدام هذه الأداة.

لا يستخدم صانعو أجهزة الشبكة جميعًا نفس البروتوكول للاتصال ببيانات حركة المرور. وبالتالي ، فإن محلل NetFlow قادر على استخدام لغات مختلفة لجمع المعلومات. وتشمل هذه سيسكو نتفلو, جونيبر نتوركس J-Flow, و هواوي Netstream. كما أنها قادرة على التواصل مع sFlow, IPFIX, و AppFlow المعايير.

جهاز العرض قادر على تتبع تناسق تدفق البيانات وكذلك الحمل على كل جهاز شبكة. قدرات تحليل حركة المرور تتيح لك رؤية الحزم لأنها تمر عبر جهاز والتقاطها للملف. ستمكنك هذه الرؤية من معرفة التطبيقات التي تمضغ معظم النطاق الترددي الخاص بك واتخاذ القرارات بشأن تدابير تشكيل حركة المرور ، مثل الانتظار في قائمة الانتظار أو اختناق.

إدارة محلل NetFlow

تتميز لوحة القيادة الخاصة بالنظام بالرسومات المرمزة بالألوان ، مما يجعل مهمة اكتشاف المشاكل أسهل كثيرًا. يرتبط الشكل والمظهر الجذاب لوحدة التحكم بأدوات مراقبة البنية الأساسية ManageEngine الأخرى لأنها جميعًا مبنية على نظام أساسي مشترك. هذا يجعلها تتكامل مع العديد من منتجات ManageEngine. على سبيل المثال ، من الشائع جدًا أن يقوم مسؤولو الشبكة بشراء كلا الجهازين OpManager ومحلل NetFlow من إدارة المحرك.

يراقب OpManager حالات الأجهزة SNMP الإجراءات ، التي يركز محلل NetFlow على مستويات حركة المرور وأنماط تدفق الحزمة.

يثبت ManageEngine NetFlow Analyzer على شبابيك, مشغل برامج وندوز, و RHEL, سينت أو إس, فيدورا, ديبيان, SUSE, و أوبونتو لينكس. يتم تقديم النظام في نسختين.

تمنحك النسخة الأساسية وظائف مراقبة حركة مرور الشبكة القياسية بالإضافة إلى وحدة إعداد التقارير وإعداد الفواتير. تسمى الخطة الأعلى إصدار Enterprise Edition. يحتوي هذا على كل ميزات الإصدار الأساسي Plus NBAR & CBQoS المراقبة ، وحدة تحليلات الأمان المتقدمة ، وأدوات تخطيط السعة ، وقدرات فحص الحزمة العميقة. هذه الطبعة تشمل أيضا جيش تحرير السودان الملكية الفكرية و WLC مراقبة.

يمكنك الحصول على أي من إصدارات NetFlow Analyzer في نسخة تجريبية مجانية مدتها 30 يومًا.

ManageEngine NetFlow Analyzer قم بتنزيل نسخة تجريبية مجانية لمدة 30 يومًا

4. محلل بروتوكول الشبكة Omnipeek

LiveAction Omnipeek ، منتج سابق من Savvius, هو محلل بروتوكول الشبكة الذي يمكن استخدامه لالتقاط الحزم وكذلك إنتاج تحليل بروتوكول لحركة مرور الشبكة.

يمكن تمديد Omnipeek بواسطة المكونات الإضافية. لا يحتوي نظام Omipeek الأساسي على حزم الشبكة. ومع ذلك ، فإن إضافة القبض على المحرك يحصل المكون الإضافي على وظيفة التقاط الحزمة. يلتقط نظام Capture Engine الحزم على شبكة سلكية. تمديد آخر ، ودعا محول واي فاي يضيف قدرات لاسلكية ويمكّن من التقاط حزم Wifi من خلال Omnipeek.

تمتد وظائف محلل بروتوكول الشبكة Omnipeek الأساسي إلى مراقبة أداء الشبكة. بالإضافة إلى سرد حركة المرور حسب البروتوكول ، سيقيس البرنامج سرعة نقل حركة المرور وانتظامها, رفع التنبيهات إذا تباطأت حركة المرور أو تخطت الرحلات شروط الحدود التي حددها مسؤول الشبكة.

يمكن أن محلل حركة المرور تتبع النهائي إلى نهاية نقل الأداء عبر شبكة كاملة ، أو مجرد مراقبة كل منها حلقة الوصل. وظائف أخرى تراقب الواجهات ، بما في ذلك حركة المرور الواردة التي تصل إلى خوادم الويب من خارج الشبكة. يهتم البرنامج بشكل خاص بإنتاجية حركة المرور وعرض حركة المرور لكل بروتوكول. يمكن عرض البيانات كقوائم البروتوكولات والإنتاجية الخاصة بهم أو كرسومات بيانية مباشرة ومخططات. الحزم التي تم التقاطها باستخدام Capture Engine يمكن أن تكون تخزين للتحليل أو اعادتها عبر الشبكة ل اختبار القدرات.

تثبيت Omnipeek على Windows و Windows Server. النظام غير مجاني للاستخدام. ومع ذلك ، فمن الممكن الحصول على Omnipeek في نسخة تجريبية مجانية مدتها 30 يومًا.

5. tcpdump

الأداة الأساسية لجمع حركة مرور الشبكة تقريبًا هي tcpdump. إنه تطبيق مفتوح المصدر يتم تثبيته على جميع أنظمة التشغيل المشابهة لـ Unix. Tcpdump هي أداة تجميع ممتازة وتأتي كاملة مع لغة تصفية معقدة للغاية. من المهم معرفة كيفية تصفية البيانات في وقت التجميع حتى ينتهي الأمر بجزء كبير من البيانات يمكن تحليله. التقاط جميع البيانات من جهاز شبكة حتى على شبكة مشغولة بشكل معتدل يمكن أن يخلق الكثير من البيانات لتحليلها بسهولة.

في بعض الحالات النادرة ، قد يكون السماح لبرنامج tcpdump بإخراج صورته مباشرة إلى شاشتك كافياً للعثور على ما تبحث عنه. على سبيل المثال ، في كتابة هذا المقال ، التقطت بعض حركة المرور ولاحظت أن جهازي كان يرسل حركة مرور إلى عنوان IP لم أعرفه. اتضح أن جهازي كان يرسل البيانات إلى عنوان IP الخاص بـ Google وهو 172.217.11.142. نظرًا لعدم تشغيل أي من منتجات Google ، أو فتح Gmail ، لم أكن أعرف سبب حدوث ذلك. لقد درست نظامي ووجدت هذا:

[~] $ ps -ef | grep جوجل
مستخدم 1985 1881 0 10:16؟ 00:00:00 / opt / google / chrome / chrome – النوع = الخدمة

يبدو أنه حتى في حالة عدم تشغيل Chrome في المقدمة ، يظل قيد التشغيل كخدمة. لم أكن بالضرورة لاحظت هذا دون تحليل الحزمة لإبلاغي. أعيد التقاط بعض بيانات tcpdump ، لكن هذه المرة أخبرت tcpdump بكتابة البيانات إلى ملف قمت بفتحه في Wireshark (المزيد حول ذلك لاحقًا). إليك هذا الإدخال:

يريشارك-جوجل

Tcpdump هي أداة مفضلة لدى مسؤولي النظام لأنها أداة سطر أوامر. هذا يعني أنه لا يتطلب تشغيل سطح مكتب كامل. من غير المعتاد أن توفر خوادم الإنتاج سطح مكتب بسبب الموارد التي قد تستغرق ، لذلك فإن أدوات سطر الأوامر مفضلة. كما هو الحال مع العديد من الأدوات المتقدمة ، يحتوي tcpdump على لغة غنية للغاية وغامضة تستغرق بعض الوقت لإتقانها. تتضمن بعض الأوامر الأساسية تحديد واجهة الشبكة التي يمكن من خلالها جمع البيانات ، وكتابة تلك البيانات إلى ملف حتى يمكن تصديرها لتحليلها في مكان آخر. يتم استخدام مفاتيح التبديل -i و -w لهذا الغرض.

# tcpdump -i eth0 -w tcpdump_packets
tcpdump: الاستماع على eth0 ، نوع الارتباط EN10MB (Ethernet) ، حجم الالتقاط 262144 بايت
^ C51 الحزم التي تم التقاطها

هذا ينتج ملف التقاط:

ملف tcpdump_packets
tcpdump_packets: ملف الالتقاط tcpdump (القليل-endian) – الإصدار 2.4 (Ethernet ، طول الالتقاط 262144)

ملف التقاط TCP القياسي هو ملف pcap. إنه ليس نصًا لذا يمكن قراءته فقط بواسطة برنامج تحليل يعرف كيفية قراءة ملفات pcap.

6. WinDump

يتم استنساخ معظم أدوات المصادر المفتوحة المفيدة في أنظمة التشغيل الأخرى. عندما يحدث هذا ، يُقال إن التطبيق قد تم نقله. WinDump هو منفذ tcpdump ويتصرف بطرق مشابهة للغاية.

أحد الاختلافات الرئيسية بين WinDump و tcpdump هو أن Windump يحتاج إلى مكتبة WinpCap المثبتة قبل التمكن من تشغيل WinDump. على الرغم من توفير كل من WinDump و WinpCap بواسطة نفس المشرف ، إلا أنهما يعدان تنزيلات منفصلة.

WinpCap هي مكتبة فعلية تحتاج إلى تثبيت. ولكن بمجرد تثبيته ، WinDump هو ملف. exe لا يحتاج إلى تثبيت حتى يمكن تشغيله فقط. قد يكون ذلك شيئًا يجب مراعاته إذا كنت تدير شبكة Windows. لا تحتاج بالضرورة إلى تثبيت WinDump على كل جهاز لأنه يمكنك فقط نسخه حسب الحاجة ، ولكنك تريد تثبيت WinpCap لدعم WinDump.

كما هو الحال مع tcpdump ، يمكن لـ WinDump إخراج بيانات الشبكة إلى الشاشة لتحليلها ، ويتم تصفيتها بنفس الطريقة ، وكذلك كتابة البيانات إلى ملف pcap للتحليل خارج الموقع.

7. Wireshark

ربما يكون Wireshark هو الأداة التالية الأكثر شهرة في مجموعة أدوات مسؤول النظام. لا يمكنه التقاط البيانات فحسب ، ولكنه يوفر أيضًا بعض أدوات التحليل المتقدمة. إضافة إلى جاذبيتها ، Wireshark مفتوح المصدر ، وتم نقله إلى كل نظام تشغيل خادم موجود تقريبا. بدءًا من الحياة باسم Etheral ، يتم الآن تشغيل Wireshark في كل مكان ، بما في ذلك التطبيق المحمول المستقل.

إذا كنت تقوم بتحليل حركة المرور على خادم مثبت عليه سطح مكتب ، فيمكن لـ Wireshark أن يفعل كل شيء لك. يمكنه جمع البيانات ، ثم تحليلها كلها في مكان واحد. ومع ذلك ، فإن أجهزة سطح المكتب ليست شائعة على الخوادم ، لذلك في العديد من الحالات ، ستحتاج إلى التقاط بيانات الشبكة عن بُعد ثم سحب ملف pcap الناتج في Wireshark.

عند الإطلاق الأول ، يتيح لك Wireshark إما تحميل ملف pcap موجود ، أو البدء في الالتقاط. إذا اخترت التقاط حركة مرور الشبكة ، فيمكنك تحديد عوامل تصفية اختيارية لتقليل حجم البيانات التي يجمعها Wireshark. نظرًا لأن أدوات التحليل جيدة جدًا ، فمن الأهمية بمكان ضمان تحديد البيانات جراحياً في وقت التجميع باستخدام Wireshark. إذا لم تحدد عامل تصفية ، فسوف يقوم Wireshark ببساطة بجمع جميع بيانات الشبكة التي تلاحظها الواجهة المحددة.

يريشارك الإطلاق

واحدة من أكثر الأدوات المفيدة التي يوفرها Wireshark هي القدرة على متابعة الدفق. قد يكون من المفيد للغاية التفكير في البث باعتباره محادثة بأكملها. في لقطة الشاشة أدناه ، يمكننا أن نرى الكثير من البيانات قد تم التقاطها ، لكن ما يهمني أكثر هو Google IP. يمكنني النقر بزر الماوس الأيمن فوقه واتباع TCP Stream للاطلاع على المحادثة بأكملها.

يريشارك-متابعة برنامج التعاون الفني تيار

إذا كنت قد استولت على حركة المرور في مكان آخر ، يمكنك استيراد ملف pcap باستخدام ملف Wireshark -> حوار مفتوح. تتوفر نفس المرشحات والأدوات التي يمكن استخدامها لبيانات الشبكة الملتقطة أصلاً للملفات المستوردة.

يريشارك-الطلق تمويله

8. TShark

TShark هو تقاطع مفيد للغاية بين tcpdump و Wireshark. تتفوق Tcpdump في جمع البيانات ويمكنها استخراج البيانات التي تريدها جراحياً فقط ، ومع ذلك فهي محدودة في مدى قدرتها على التحليل. يقوم Wireshark بعمل رائع في كل من التحليل والتحليل ، ولكن نظرًا لأنه يحتوي على واجهة مستخدم ثقيلة ، لا يمكن استخدامه على خوادم بدون رؤوس. أدخل TShark. يلتقط ويحلل لكنه يفعل الأخير في سطر الأوامر.

يستخدم TShark نفس اتفاقيات التصفية مثل Wireshark التي يجب ألا تكون مفاجأة لأنها نفس المنتج أساسًا. يخبر هذا الأمر TShark عناء التقاط عنوان IP الوجهة وكذلك بعض الحقول الأخرى المثيرة للاهتمام من جزء HTTP من الحزمة.

# tshark -i eth0 -Y http.request -T الحقول -e ip.dst -e http.user_agent -e http.request.uri

172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 / favicon.ico
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 / favicon.ico

إذا كنت ترغب في الالتقاط إلى ملف ، يمكنك استخدام مفتاح التبديل -w لكتابته ، ثم استخدم مفتاح TShark -r (وضع القراءة) لقراءته.

التقط أولاً:

# tshark -i eth0 -w tshark_packets
الاستيلاء على “eth0”
102 ^ C

اقرأها ، إما على نفس الخادم ، أو قم بنقلها إلى خادم تحليل آخر.

# tshark -r tshark_packets -Y http.request -T الحقول -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 / contact
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 / reservations /
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /reservations/styles/styles.css
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/images/title.png

9. شبكة مينر

Network Miner عبارة عن أداة مثيرة للاهتمام للغاية تدخل ضمن فئة أداة الطب الشرعي بدلاً من أداة شم حزم مباشرة. يتعامل مجال الطب الشرعي عادة مع التحقيق وجمع الأدلة ويقوم Network Miner بهذا العمل بشكل جيد لحركة مرور الشبكة. مثلما يمكن لـ WireShark تتبع دفق TCP لاستعادة محادثة TCP بأكملها ، يمكن أن يقوم Network Miner بمتابعة دفق من أجل إعادة بناء الملفات التي تم إرسالها عبر الشبكة.

شبكة مينر

لالتقاط حركة المرور المباشرة ، يجب وضع Network Miner في موقع استراتيجي على الشبكة حتى تتمكن من مراقبة حركة المرور التي تهتم بها وجمعها. ولن تقدم أيًا من حركة المرور الخاصة بها على الشبكة ، بحيث تعمل بشكل خفي.

شبكة مينر يمكن أن تعمل أيضا في وضع غير متصل بالشبكة. يمكنك استخدام أداة tcpdump التي تمت تجربتها وحقيقية لضغط الحزم عند نقطة اهتمام على شبكتك ، ثم استيراد ملفات pcap إلى Network Miner. سيحاول بعد ذلك إعادة بناء أي ملفات أو شهادات يجدها في ملف الالتقاط.

تم تصميم Network Miner لنظام التشغيل Windows ، ولكن باستخدام Mono ، يمكن تشغيله على أي نظام تشغيل يحتوي على إطار عمل أحادي مثل Linux و macOS.

هناك نسخة مجانية لتبدأ بها مجموعة كبيرة من الميزات. إذا كنت تريد المزيد من القدرات المتقدمة مثل موقع GeoIP والبرمجة النصية المخصصة ، فستحتاج إلى شراء ترخيص احترافي.

10. عازف الكمان (HTTP)

Fiddler ليس أداة التقاط لحزم شبكة من الناحية الفنية ، لكنه مفيد للغاية لدرجة أنه جعل القائمة. على عكس الأدوات الأخرى المدرجة هنا والتي تم تصميمها لالتقاط حركة مرور مخصصة على الشبكة من أي مصدر ، فإن Fiddler هو أكثر من أداة لتصحيح أخطاء سطح المكتب. فهو يلتقط حركة مرور HTTP وعلى الرغم من أن العديد من المتصفحات لديها بالفعل هذه الإمكانية في أدوات المطور الخاصة بهم ، فإن Fiddler لا يقتصر على حركة مرور المتصفح. بإمكان Fiddler التقاط أي حركة مرور HTTP على سطح المكتب بما في ذلك التطبيقات التي لا تتعلق بالإنترنت.

العابث

تستخدم العديد من تطبيقات سطح المكتب HTTP للاتصال بخدمات الويب وبدون استخدام أداة مثل Fiddler ، فإن الطريقة الوحيدة لالتقاط حركة المرور هذه للتحليل هي استخدام أدوات مثل tcpdump أو WireShark. ومع ذلك ، تعمل هذه الأدوات على مستوى الحزمة بحيث يتضمن التحليل إعادة إنشاء هذه الحزم في تدفقات HTTP. يمكن أن يكون هذا كثيرًا من العمل من أجل إجراء بعض الاستقصاءات البسيطة لـ HTTP ويقوم Fiddler بإنقاذها. يمكن أن يساعد Fiddler على اكتشاف ملفات تعريف الارتباط والشهادات وبيانات الحمولة الواردة أو الخارجة من هذه التطبيقات.

يساعد ذلك على أن Fiddler مجاني ، ومثل Network Miner ، يمكن تشغيله داخل Mono على أي نظام تشغيل آخر يحتوي على إطار عمل أحادي.

11. كبسا

يحتوي Capsa Network Analyzer على العديد من الإصدارات ، ولكل منها قدرات متفاوتة. في المستوى الأول ، Capsa free ، يقوم البرنامج في الأساس فقط بالتقاط الحزم ويسمح ببعض التحليل الرسومي لها. تعد لوحة المعلومات فريدة من نوعها ويمكن أن تساعد مسؤولي النظام المبتدئين في تحديد مشكلات الشبكة بسرعة حتى مع القليل من المعرفة الفعلية بالحزم. يستهدف المستوى المجاني الأشخاص الذين يرغبون في معرفة المزيد عن الحزم وبناء مهاراتهم في محللين كاملين.

كابسا

يعرف الإصدار المجاني كيفية مراقبة أكثر من 300 بروتوكول ، ويسمح بمراقبة البريد الإلكتروني ، كما أنه قادر على حفظ محتوى البريد الإلكتروني كما يدعم المشغل. يمكن استخدام المشغلات لتعيين تنبيهات لحالات معينة مما يعني أنه يمكن استخدام Capsa أيضًا في سعة دعم إلى حد ما.

Capsa متاح فقط لنظام التشغيل Windows 2008 / Vista / 7/8 و 10.

الكلمات الأخيرة

باستخدام الأدوات التي ذكرتها ، ليست قفزة كبيرة لمعرفة كيف يمكن لمسؤول النظام إنشاء بنية تحتية لمراقبة الشبكة عند الطلب. يمكن تثبيت Tcpdump أو Windump على جميع الخوادم. يمكن لجدولة ، مثل cron أو Windows scheduler ، بدء جلسة جمع الحزم في وقت ما من الاهتمام وكتابة هذه المجموعات إلى ملف pcap. في وقت لاحق ، يمكن لمسؤول النظام نقل هذه الحزم إلى جهاز مركزي واستخدام Wireshark لتحليلها. إذا كانت الشبكة كبيرة جدًا بحيث لم يكن ذلك ممكنًا ، فإن الأدوات على مستوى المؤسسة مثل مجموعة SolarWinds يمكن أن تساعد في ترويض كل بيانات الشبكة هذه إلى مجموعة بيانات يمكن التحكم فيها.

1 thought on “2020 أفضل حزمة شم (مراجعة 11 محلل حزم)

  1. لتحليل حركة مرور الشبكة، يتم استخدام مصطلح Packet Sniffing الذي يشير إلى فن تحليل حركة مرور الشبكة. يتم تقسيم الرسائل والصفحات إلى آلاف الحزم الصغيرة وإرسالها عبر الإنترنت. هناك العديد من الأدوات التي تجمع حركة مرور الشبكة وتساعد في تحليل تلك البيانات. يتم استخدام pcap و libcap في معظم الأدوات للقيام بالمجموعة الفعلية. يحتاج المحللون إلى فهم أنواع حركة مرور الشبكة الموجودة على الشبكة لتحليلها بشكل صحيح. يمكن استخدام أدوات مثل SolarWinds و Paessler و NetFlow و Omnipeek و Wireshark وغيرها لتحليل حركة مرور الشبكة. يمكن استخدام هذه الأدوات لتحديد الروابط المزدحمة وتحديد التطبيقات التي تولد أكبر عدد من الزيارات وجمع البيانات للتحليل التنبؤي وتسليط الضوء على القمم والهبوط في الطلب على الشبكة.

Comments are closed.