Program de analiză a rețelei. Analizor de trafic de rețea sniffer. Ce este un sniffer: descriere. Principiile de funcționare ale snifferelor de pachete

Recent, în timp ce discutam întrebarea într-un singur chat: ca de laWiresharkscoate dosarul, a apărut utilitarul NetworkMiner. După ce am discutat cu colegii și am căutat pe google pe internet, am ajuns la concluzia că nu mulți știu despre acest utilitar. Întrucât utilitatea simplifică foarte mult viața unui cercetător/pentester, voi corecta această deficiență și voi spune comunității despre ce este NetworkMiner.

NetworkMiner– un utilitar pentru interceptarea și analiza traficului de rețea între gazdele rețelei locale, scris pentru Windows OS (dar funcționează și în Linux, Mac OS X, FreeBSD).

NetworkMiner poate fi folosit ca un sniffer pasiv al pachetelor de rețea, a căror analiză va detecta amprenta sistemelor de operare, sesiuni, gazde, precum și porturi deschise. NetworkMiner vă permite, de asemenea, să analizați fișierele PCAP offline și să recuperați fișierele transferate și certificatele de securitate.

Pagina oficială a utilitarului: http://www.netresec.com/?page=Networkminer

Și așa, să începem să luăm în considerare.

Utilitarul este disponibil în două ediții: Gratuit și Professional (cost 700 USD).

Următoarele opțiuni sunt disponibile în ediția gratuită:

  • interceptarea traficului;
  • analiza fișierelor PCAP;
  • primirea fișierului PCAP prin IP;
  • Definiția sistemului de operare.

Ediția Professional adaugă următoarele opțiuni:

  • analizând fișierul PcapNG,
  • Definirea protocolului portului,
  • Exportați datele în CSV/Excel,
  • Verificarea numelor DNS pe site-ul http://www.alexa.com/topsites,
  • Localizare prin IP,
  • Suport pentru linia de comandă.

În acest articol ne vom uita la opțiunea de a analiza un fișier PCAP primit de la Wireshark.

Dar mai întâi, să instalăm NetworkMiner în Kali Linux.

  1. În mod implicit, pachetele Mono sunt deja instalate în KaliLinux, dar dacă nu sunt instalate, atunci efectuați următoarea acțiune:

sudo apt-get install libmono-winforms2.0-cil

  1. Apoi, descărcați și instalați NetworkMiner

wget sf.net/projects/networkminer/files/latest -O /tmp/nm.zip
sudo unzip /tmp/nm.zip -d /opt/
cd /opt/NetworkMiner*
sudo chmod +x NetworkMiner.exe
sudo chmod -R go+w AsscodebledFiles/
sudo chmod -R go+w Capturi/

  1. Pentru a porni NetworkMiner, utilizați următoarea comandă:

mono NetworkMiner.exe

Pentru informare. Cinci minute de interceptare a traficului pe rețeaua noastră de testare au colectat peste 30.000 de pachete diferite.

După cum înțelegeți, analiza unui astfel de trafic necesită o forță de muncă destul de mare și necesită timp. Wireshark are filtre încorporate și este destul de flexibil, dar ce să faci când trebuie să analizezi rapid traficul fără a învăța întreaga varietate de Wireshark?

Să încercăm să vedem ce informații ne va oferi NetworkMiner.

  1. Deschideți PCAP rezultat în NetworkMiner. A durat mai puțin de un minut pentru a analiza o descărcare de trafic de peste 30.000 de pachete.

  1. Fila Gazde oferă o listă a tuturor gazdelor implicate în generarea traficului, cu informații detaliate pentru fiecare gazdă:

  1. În fila Cadre, traficul este prezentat sub formă de pachete cu informații pentru fiecare strat al modelului OSI (Canal, Rețea și Transport).

  1. Următoarea filă Acreditări va afișa încercările de autorizare interceptate în text clar. Așadar, în mai puțin de un minut, puteți obține imediat o autentificare și o parolă pentru autorizare de la un depozit mare de trafic. Am făcut asta folosind routerul meu ca exemplu.

  1. Și încă o filă care facilitează obținerea de date din trafic este Fișiere.

În exemplul nostru, am dat peste un fișier pdf pe care îl puteți deschide și vizualiza imediat.

Dar mai ales am fost surprins când am găsit un fișier txt în depozitul de trafic, care s-a dovedit a fi de la routerul meu DIR-620. Deci, acest router, atunci când este autorizat pe el, transmite sub formă de text toate setările și parolele sale, inclusiv cele pentru WPA2.

Drept urmare, utilitatea sa dovedit a fi destul de interesantă și utilă.

Vă dau, dragă cititor, acest articol de citit și m-am dus să cumpăr un nou router.

tcpdump

Instrumentul principal pentru aproape toate colecțiile de trafic de rețea este tcpdump. Este o aplicație open source care se instalează pe aproape toate sistemele de operare asemănătoare Unix. Tcpdump este un instrument excelent de colectare a datelor și vine cu un motor de filtrare foarte puternic. Este important să știți cum să filtrați datele în timpul colectării pentru a obține o bucată de date gestionabilă pentru analiză. Captarea tuturor datelor de pe un dispozitiv de rețea, chiar și într-o rețea moderat ocupată, poate crea prea multe date pentru o analiză simplă.

În unele cazuri rare, tcpdump poate scoate rezultatul direct pe ecran, iar acest lucru poate fi suficient pentru a găsi ceea ce căutați. De exemplu, în timpul scrierii unui articol, a fost captat o parte din trafic și s-a observat că mașina trimite trafic la o adresă IP necunoscută. Se pare că aparatul trimitea date la adresa IP Google 172.217.11.142. Deoarece nu au fost lansate produse Google, a apărut întrebarea de ce se întâmplă acest lucru.

O verificare a sistemului a arătat următoarele:

[ ~ ]$ ps -ef | grep google

Lasă comentariul tău!

Utilitate CommView serveste pentru colectarea și analizarea rețelei locale și a traficului de internet. Programul captează și decodifică datele care trec prin rețea la cel mai de jos nivel, inclusiv o listă de conexiuni de rețea și pachete IP de peste 70 dintre cele mai comune protocoale de rețea. CommView păstrează statisticile IP; pachetele interceptate pot fi salvate într-un fișier pentru analiza ulterioară. Folosind un sistem de filtrare flexibil în program, puteți elimina cele inutile pentru a captura pachete sau interceptați numai pe cele necesare. Modulul VoIP inclus în program permite analiza aprofundată, înregistrarea și redarea mesajelor vocale conform standardelor SIP și H.323. CommView vă permite să vedeți o imagine detaliată a traficului de informații care trece printr-o placă de rețea sau un segment de rețea separat.

Scaner de internet și rețea locală

Ca scaner de rețea, programul CommView va fi util administratorilor de sistem, persoanelor care lucrează în domeniul securității rețelei și programatorilor care dezvoltă software care utilizează conexiuni de rețea. Utilitarul acceptă limba rusă, are o interfață ușor de utilizat și include un sistem de ajutor detaliat și ușor de înțeles pentru toate funcțiile și capacitățile implementate în program.

Caracteristici cheie CommView

  • Interceptarea traficului de internet sau local care trece printr-un adaptor de rețea sau un controler dial-up
  • Statistici detaliate ale conexiunilor IP (adrese, porturi, sesiuni, nume gazdă, procese etc.)
  • Recrearea unei sesiuni TCP
  • Configurarea alertelor de evenimente
  • Diagrame de protocoale IP și protocoale de nivel superior
  • Vizualizați pachetele capturate și decodificate în timp real
  • Căutați conținutul pachetelor interceptate după șir sau date HEX
  • Salvarea pachetelor în arhive
  • Descărcați și vizualizați pachetele salvate anterior atunci când conexiunea este deconectată
  • Export și import de arhive cu pachete în (din) formatele NI Observer sau NAI Sniffer
  • Obținerea de informații despre o adresă IP
  • Suport și decodare protocol: ARP, BCAST, RTSP, SAP, SER, SIP, SMB, SMTP, SNA, SNMP, SNTP, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG, DNS, EIGRP, FTP, G.723, GRE, H. 225, H.261, H.263, H.323, HTTP, HTTPS, 802.1Q, 802.1X, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX, HSRP, LDAP, MS SQL, NCP , NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, LDAP, MS SQL, NCP, NDS, NetBIOS, RDP, RIP, RIPX, RMCP, RPC, RSVP, RTP, RTCP, SOCKS, SPX, SSH, TCP, TELNET, TFTP, TIME, TLS, UDP, VTP, WDOG, YMSG.

Titlul original: Un rezumat al tehnicilor de monitorizare și analiză a traficului în rețea

Link către textul original: http://www.cse.wustl.edu/~jain/cse567-06/ftp/net_monitoring/index.html

Recomandări: Traducerea oferită nu este profesională. Pot exista abateri de la text, interpretarea incorectă a anumitor termeni și concepte și opinia subiectivă a traducătorului. Toate ilustrațiile au fost incluse în traducere fără modificări.

Alisha Cecil

Revizuirea metodelor de analiză și monitorizare a traficului de rețea

Pe măsură ce intraneturile private ale companiilor continuă să crească, este esențial ca administratorii de rețea să înțeleagă și să poată gestiona manual diferitele tipuri de trafic care circulă în rețeaua lor. Monitorizarea și analiza traficului sunt necesare pentru a diagnostica și rezolva mai eficient problemele atunci când acestea apar, prevenind astfel ca serviciile de rețea să nu fie oprite pentru perioade lungi de timp. Există multe instrumente diferite disponibile pentru a ajuta administratorii să monitorizeze și să analizeze traficul de rețea. Acest articol discută metode de monitorizare centrate pe router și metode de monitorizare non-router (metode active și pasive). Articolul oferă o prezentare generală a celor trei metode de monitorizare a rețelei disponibile și cele mai utilizate pe scară largă încorporate în routere (SNMP, RMON și Cisco Netflow) și oferă informații despre două noi metode de monitorizare care utilizează o combinație de metode de monitorizare pasivă și activă (WREN și SCNM). ).

1. Importanța monitorizării și analizei rețelei

Monitorizarea rețelei (monitorizarea rețelei) este o sarcină complexă și care necesită multă muncă, care este o parte vitală a sarcinii administratorilor de rețea. Administratorii se străduiesc în mod constant să-și mențină rețeaua să funcționeze fără probleme. Dacă rețeaua scade chiar și pentru o perioadă scurtă de timp, productivitatea în companie va scădea și (în cazul organizațiilor care furnizează servicii publice) însăși capacitatea de a furniza servicii de bază va fi pusă în pericol. Din acest motiv, administratorii trebuie să monitorizeze fluxul de trafic al rețelei și performanța în întreaga rețea și să verifice dacă există găuri de securitate.

2. Metode de monitorizare și analiză

„Analiza rețelei este procesul de captare a traficului de rețea și de examinare rapidă a acestuia pentru a determina ce s-a întâmplat cu rețeaua” - Angela Orebauch. Următoarele secțiuni discută două metode de monitorizare a rețelei: prima este centrată pe router, a doua nu este centrată pe router. Funcționalitatea de monitorizare care este încorporată în routerele în sine și nu necesită instalare suplimentară de software sau hardware se numește metode bazate pe router. Metodele care nu sunt bazate pe router necesită instalare hardware și software și oferă o mai mare flexibilitate. Ambele tehnici sunt discutate mai jos în secțiunile lor respective.

2.1. Metode de monitorizare bazate pe router

Metodele de monitorizare bazate pe router sunt codificate hard în routere și, prin urmare, au o flexibilitate redusă. O scurtă descriere a celor mai frecvent utilizate metode de astfel de monitorizare este dată mai jos. Fiecare metodă a evoluat de-a lungul multor ani înainte de a deveni o metodă de monitorizare standardizată.

2.1.1. Protocol simplu de monitorizare a rețelei (SNMP), RFC 1157

SNMP este un protocol de nivel de aplicație care face parte din protocolul TCP/IP. Permite administratorilor să gestioneze performanța rețelei, să găsească și să remedieze problemele de rețea și să planifice creșterea rețelei. Acesta colectează statistici privind traficul către gazda finală prin senzori pasivi care sunt implementați împreună cu routerul. Deși există două versiuni (SNMPv1 și SNMPv2), această secțiune descrie numai SNMPv1. SNMPv2 se bazează pe SNMPv1 și oferă o serie de îmbunătățiri, cum ar fi adăugarea de operațiuni de protocol. O altă versiune a SNMP este în curs de standardizare. Versiunea 3 (SNMPv3) este în curs de revizuire.

Pentru înregistrare SNMP are trei componente cheie: dispozitive gestionate ( Dispozitive gestionate), agenți ) și sisteme de management al rețelei ( Sisteme de management al rețelei - SMN-uri). Ele sunt prezentate în Fig. 1.

Orez. 1. Componente SNMP

Dispozitivele gestionate includ un agent SNMP și pot consta din routere, comutatoare, comutatoare, hub-uri, computere personale, imprimante și alte elemente ca acestea. Aceștia sunt responsabili pentru colectarea informațiilor și pentru a le pune la dispoziția sistemului de management al rețelei (NMS).

Agenții includ software care deține informații de gestionare și care traduce aceste informații într-o formă compatibilă cu SNMP. Sunt închise la dispozitivul de control.

Sistemele de management al rețelei (NMS) rulează aplicații care monitorizează și controlează dispozitivele de management. Procesorul și resursele de memorie necesare pentru gestionarea rețelei sunt furnizate de NMS. Pentru orice rețea gestionată, trebuie creat cel puțin un sistem de management. SNMP poate acționa exclusiv ca NMS sau agent sau poate îndeplini propriile sarcini etc.

Există 4 comenzi principale utilizate de SNMP NMS pentru a monitoriza și controla dispozitivele gestionate: operațiuni de citire, scriere, întrerupere și intersecție. Operația de citire examinează variabilele care sunt stocate de dispozitivele gestionate. Comanda de scriere modifică valorile variabilelor care sunt stocate de dispozitivele gestionate. Operațiunile de intersecție au informații despre variabilele de dispozitiv gestionate pe care le acceptă și colectează informații din tabelele de variabile acceptate. Operația de întrerupere este utilizată de dispozitivele gestionate pentru a notifica NMS că au avut loc anumite evenimente.

SNMP folosește 4 operațiuni de protocol în ordinea operațiunii: Get, GetNext, Set și Trap. Comanda Get este utilizată atunci când NMS emite o solicitare de informații pentru dispozitivele gestionate. O solicitare SNMPv1 constă dintr-un antet de mesaj și o unitate de date de protocol (PDU). Mesajele PDU conțin informații care sunt necesare pentru executarea cu succes a unei cereri, care fie va primi informații de la agent, fie va seta o valoare în agent. Dispozitivul gestionat folosește agenții SNMP localizați pe acesta pentru a obține informațiile necesare și apoi trimite un mesaj către NMS ca răspuns la cerere. Dacă agentul nu are nicio informație cu privire la cerere, nu va returna nimic valoarea următoarei instanțe de obiect Este, de asemenea, posibil ca NMS să trimită o cerere (operație Set) atunci când se stabilește valoarea elementelor fără agenți.

După cum sa menționat mai devreme, SNMP este un protocol de nivel de aplicație care utilizează senzori pasivi pentru a ajuta un administrator să monitorizeze traficul și performanța rețelei. Deși SNMP poate fi un instrument util pentru un administrator de rețea, creează potențialul de riscuri de securitate deoarece nu are capabilități de autentificare. Diferă de monitorizarea la distanță (RMON), care este discutată în secțiunea următoare, prin aceea că RMON operează la nivelul de rețea și mai jos, mai degrabă decât la nivelul aplicației.

2.1.2. Monitorizare de la distanță (RMON), RFS 1757

RMON include diverse monitoare de rețea și sisteme de consolă pentru modificarea datelor obținute în timpul monitorizării rețelei. Aceasta este o extensie a SNMP Management Information Base (MIB). Spre deosebire de SNMP, care trebuie să trimită cereri de informații, RMON poate configura semnale care vor „monitoriza” rețeaua pe baza anumitor criterii. RMON oferă administratorilor posibilitatea de a gestiona rețelele locale, precum și cele la distanță dintr-o locație/punct specific. Monitoarele sale pentru nivelul de rețea sunt prezentate mai jos. RMON are două versiuni RMON și RMON2. Totuși, acest articol vorbește doar despre RMON. RMON2 permite monitorizarea la toate nivelurile de rețea. Se concentrează pe traficul IP și pe traficul la nivelul aplicației.

Deși există 3 componente cheie ale mediului de monitorizare RMON, doar două dintre ele sunt descrise aici. Ele sunt prezentate în Fig. 2 mai jos.


Orez. 2. Componente RMON

Cele două componente ale RMON sunt senzorul, cunoscut și sub numele de agent sau monitor, și clientul, cunoscut și ca stația de management (stația de management). Spre deosebire de SNMP, senzorul sau agentul RMON colectează și stochează informații de rețea. Un senzor este un software încorporat într-un dispozitiv de rețea (cum ar fi un router sau un comutator). Senzorul poate fi rulat și pe un computer personal. Trebuie plasat un senzor pentru fiecare segment diferit al rețelei locale sau extinse, deoarece aceștia pot vedea numai traficul care trece prin canalele lor, dar nu sunt conștienți de traficul din afara culoarului lor. Clientul este de obicei o stație de management care comunică cu un senzor care utilizează SNMP pentru a primi și corecta datele RMON.

RMON folosește 9 grupuri de monitorizare diferite pentru a obține informații despre rețea.

  • Statistici - statistici măsurate de senzor pentru fiecare interfață de monitorizare pentru un dispozitiv dat.
  • Istoric - contabilizarea mostrelor statistice periodice din rețea și stocarea acestora pentru căutare.
  • Alarmă - preia periodic mostre statistice și le compară cu un set de valori de prag pentru a genera un eveniment.
  • Gazdă - Conține statistici asociate cu fiecare gazdă găsită în rețea.
  • HostTopN - pregătește tabele care descriu partea de sus a gazdelor (gazdă principală).
  • Filtre - Permite filtrarea pachetelor pe baza unei ecuații de filtru pentru a captura evenimente.
  • Captură pachet - captează pachetele după ce trec prin canal.
  • Evenimente - controlați generarea și înregistrarea evenimentelor de pe dispozitiv.
  • Token ring - suport pentru jetoane de inel.

După cum sa spus mai sus, RMON se bazează pe protocolul SNMP. Deși monitorizarea traficului poate fi efectuată folosind această metodă, analiticele informațiilor obținute de SNMP și RMON au performanțe slabe. Utilitarul Netflow, despre care se discută în secțiunea următoare, funcționează cu succes cu multe pachete software de analiză pentru a ușura mult munca administratorului.

2.1.3. Netflow, RFS 3954

Netflow este o extensie care a fost introdusă în routerele Cisco care oferă posibilitatea de a colecta trafic de rețea IP dacă este configurată în interfață. Analizând datele furnizate de Netflow, un administrator de rețea poate determina lucruri precum: sursa și destinația traficului, clasa de serviciu și motivele supraaglomerației. Netflow include 3 componente: FlowCaching (caching stream), FlowCollector (colector de informații despre fluxuri) și Data Analyzer (analizor de date). Orez. 3 prezintă infrastructura Netflow. Fiecare componentă prezentată în figură este explicată mai jos.


Orez. 3. Infrastructura NetFlow

FlowCaching analizează și colectează date despre fluxurile IP care intră în interfață și convertește datele pentru export.

Următoarele informații pot fi obținute din pachetele Netflow:

  • Adresa sursă și destinație.
  • Numărul de dispozitive de intrare și de ieșire.
  • Numărul portului sursă și destinație.
  • Protocol de nivel 4.
  • Numărul de pachete din flux.
  • Numărul de octeți din flux.
  • Marca temporală în flux.
  • Numărul sistemului autonom (AS) al sursei și al destinației.
  • Tip de serviciu (ToS) și flag TCP.

Primul pachet dintr-un flux care trece prin calea de comutare standard este procesat pentru a crea un cache. Pachetele cu caracteristici similare ale firului de execuție sunt utilizate pentru a crea o intrare în fir care este stocată în cache pentru toate firele active. Această intrare marchează numărul de pachete și numărul de octeți din fiecare flux. Informațiile din cache sunt apoi exportate periodic în Flow Collector.

Flow Collector - responsabil pentru colectarea, filtrarea și stocarea datelor. Include un istoric al informațiilor despre firele care au fost conectate folosind interfața. Reducerea volumului de date are loc și cu ajutorul Flow Collector folosind filtrele selectate și agregarea.

Data Analyzer este necesar atunci când datele trebuie prezentate. După cum se arată în figură, datele colectate pot fi utilizate în diverse scopuri, chiar și altele decât monitorizarea rețelei, cum ar fi planificarea, contabilitatea și construcția rețelei.

Avantajul Netflow față de alte metode de monitorizare, cum ar fi SNMP și RMON, este că are pachete software concepute pentru diverse analize de trafic care există pentru a primi date din pachetele Netflow și a le prezenta într-o formă mai ușor de utilizat.

Folosind instrumente precum Netflow Analyzer (acesta este doar un instrument disponibil pentru analiza pachetelor Netflow), informațiile de mai sus pot fi extrase din pachetele Netflow pentru a crea diagrame și grafice regulate pe care un administrator le poate examina pentru o mai bună înțelegere a rețelei sale. Cel mai mare avantaj al utilizării Netflow, spre deosebire de pachetele analitice disponibile, este că în acest caz pot fi construite numeroase grafice care descriu activitatea rețelei la un moment dat.

2.2. Tehnologii care nu se bazează pe routere

Deși tehnologiile care nu sunt încorporate într-un router sunt încă limitate în ceea ce privește capabilitățile lor, ele oferă mai multă flexibilitate decât tehnologiile integrate în routere. Aceste metode sunt clasificate ca active și pasive.

2.2.1. Monitorizare activa

Monitorizarea activă raportează problemele din rețea prin colectarea măsurătorilor între două puncte finale. Un sistem de măsurare activ se ocupă de metrici precum: utilitate, routere/rute, latență de pachete, reluare a pachetelor, pierdere de pachete, jitter între sosiri, măsurarea debitului.

Utilizarea în principal de instrumente precum comanda ping, care măsoară latența și pierderea de pachete, și traceroute, care ajută la determinarea topologiei rețelei, sunt exemple de instrumente de măsurare active de bază. Ambele instrumente trimit pachete de sondă ICMP către o destinație și așteaptă ca destinația respectivă să răspundă expeditorului. Orez. 4 este un exemplu de comandă ping, care utilizează o metodă de măsurare activă, trimițând o solicitare Echo de la o sursă prin rețea la un punct specificat. Destinatarul trimite apoi o cerere Echo înapoi la sursa de la care a venit cererea.


Orez. 4. comandă ping (măsurare activă)

Această metodă nu poate colecta doar valori individuale despre măsurarea activă, dar poate determina și topologia rețelei. Un alt exemplu important de măsurare activă este utilitarul iperf. Iperf este un utilitar care măsoară calitatea debitului protocoalelor TCP și UDP. Raportează capacitatea canalului, întârzierea existentă și pierderea pachetelor.

Problema care există cu monitorizarea activă este că probele trimise în rețea pot interfera cu traficul normal. Adesea, sincronizarea sondelor active este tratată diferit față de traficul normal, punând sub semnul întrebării valoarea informațiilor furnizate de aceste sonde.

Conform informațiilor generale descrise mai sus, monitorizarea activă este o metodă de monitorizare extrem de rară luată izolat. Monitorizarea pasivă, pe de altă parte, nu necesită costuri mari de rețea.

2.2.2. Monitorizare pasiva

Monitorizarea pasivă, spre deosebire de monitorizarea activă, nu adaugă trafic în rețea și nici nu modifică traficul care există deja în rețea. De asemenea, spre deosebire de monitorizarea activă, monitorizarea pasivă colectează informații despre un singur punct din rețea. Măsurătorile au loc mult mai bine decât între două puncte cu monitorizare activă. Orez. Figura 5 prezintă o configurație pasivă a unui sistem de monitorizare, în care un monitor este plasat pe o singură legătură între două puncte finale și monitorizează traficul pe măsură ce trece peste legătura.


Orez. 5. Instalarea monitorizării pasive

Măsurătorile pasive se ocupă de informații precum: trafic și amestecul de protocol, numărul de biți (bitrate), sincronizarea pachetelor și timpul inter-sosire. Monitorizarea pasivă poate fi efectuată folosind orice program care extrage pachete.

Deși monitorizarea pasivă nu are costurile pe care le are monitorizarea activă, are și dezavantajele sale. Cu monitorizarea pasivă, măsurătorile pot fi analizate doar offline și nu reprezintă colecția. Acest lucru reprezintă o provocare în procesarea seturilor mari de date care sunt colectate în timpul măsurării.

Monitorizarea pasivă poate fi superioară monitorizării active prin aceea că nu se adaugă date de supraîncărcare în rețea, dar post-procesarea poate implica o cantitate mare de timp. Acesta este motivul pentru care există o combinație a acestor două metode de monitorizare.

2.2.3. Monitorizare combinată

După ce ați citit secțiunile de mai sus, puteți ajunge în siguranță la concluzia că combinarea monitorizării active și pasive este o modalitate mai bună decât utilizarea prima sau a doua separat. Tehnologiile combinate profită de cele mai bune aspecte ale mediilor de monitorizare pasive și active. Două tehnologii noi reprezentând tehnologii de monitorizare combinate sunt descrise mai jos. Acestea sunt „Vizualizarea resurselor la capetele rețelei” (WREN) și „Monitor de rețea de configurare personalizată” (SCNM).

2.2.3.1. Vedeți resursele de la capetele rețelei (WREN)

WREN utilizează o combinație de tehnici de monitorizare activă și pasivă, procesând în mod activ datele atunci când traficul este scăzut și procesând pasiv datele în perioadele de trafic intens. Se uită la trafic atât de la sursă, cât și de la destinatar, ceea ce face posibile măsurători mai precise. WREN folosește urmele de pachete din traficul generat de aplicații pentru a măsura debitul utilizabil. WREN este împărțit în două straturi: un strat de procesare rapidă a pachetelor de bază și un analizor de urme la nivel de utilizator.

Stratul central de procesare rapidă a pachetelor este responsabil pentru obținerea informațiilor asociate cu pachetele de intrare și de ieșire. Orez. 6 prezintă o listă de informații care sunt colectate pentru fiecare pachet. Un buffer este adăugat la Web100 pentru a colecta aceste caracteristici. Buffer-ul este accesat folosind două apeluri de sistem. Un apel pornește o urmărire și oferă informațiile necesare pentru a o colecta, în timp ce al doilea apel returnează urma din nucleu.

Orez. 6. Informații colectate la nivelul principal al urmelor de pachete

Obiect de urmărire a pachetului- capabil să coordoneze calcule între diferite mașini. O mașină va declanșa o altă mașină setând un steag în antetul pachetului de ieșire pentru a începe procesarea unei anumite game de pachete pe care le urmărește. Cealaltă mașină va urmări, la rândul său, toate pachetele pentru care vede un steag similar setat în antet. Această coordonare asigură că informațiile despre pachete similare sunt stocate la fiecare punct final, indiferent de comunicare și de ce se întâmplă între ele.

Analizatorul de urme la nivel de utilizator este un alt nivel în mediul WREN. Aceasta este o componentă care începe să urmărească orice pachet, colectează și procesează datele returnate la nivelul nucleului operatorului. Prin proiectare, componentele la nivel de utilizator nu trebuie să citească informații din obiectul de urmărire a pachetelor tot timpul. Acestea pot fi analizate imediat după finalizarea urmăririi pentru a trage concluzii în timp real, sau datele pot fi stocate pentru analize ulterioare.

Când traficul este scăzut, WREN va injecta în mod activ trafic în rețea, menținând în același timp ordinea fluxurilor de măsurare. După numeroase studii, se constată că WREN prezintă măsurători similare în medii suprasaturate și nesupersaturate.

În implementarea actuală a WREN, utilizatorii nu sunt obligați să capteze doar urmele care au fost inițiate de ei. Deși orice utilizator poate monitoriza traficul aplicațiilor altor utilizatori, aceștia sunt limitati în informațiile care pot fi obținute din urmele altor utilizatori. Ei pot obține doar secvența și confirmarea numerelor, dar nu pot obține segmentele de date reale din pachete.

În general, WREN este o configurație foarte utilă care profită atât de monitorizarea activă, cât și de cea pasivă. Deși această tehnologie se află în stadiile incipiente de dezvoltare, WREN poate oferi administratorilor resurse utile în monitorizarea și analiza rețelelor lor. Self Configuration Network Monitor (SCNM) este un alt instrument care utilizează atât tehnologii de monitorizare activă, cât și pasivă.

2.2.3.2. Monitor de rețea de configurare automată (SCNM)

SCNM este un instrument de monitorizare care utilizează o combinație de măsurători pasive și active pentru a colecta informații la nivelul 3 de penetrare, rutere de ieșire și alte puncte importante de monitorizare a rețelei. Mediul SCNM include componente hardware și software.

Hardware-ul este instalat în punctele critice ale rețelei. Este responsabil pentru colectarea pasivă a antetelor pachetelor. Software-ul rulează pe punctul final al rețelei. Orez. 7 de mai jos prezintă componenta software a mediului SCNM.


Orez. 7. Componenta software SCNM

Software-ul este responsabil pentru crearea și trimiterea pachetelor activate care sunt utilizate pentru a începe monitorizarea rețelei. Utilizatorii vor trimite în rețea pachete de activare care conțin detalii despre pachetele pe care doresc să le primească pentru monitorizare și colectare. Utilizatorii nu au nevoie să cunoască locația gazdei SCNM, presupunând că toate gazdele sunt deschise la sniffing pachete. Pe baza informațiilor care există în pachetul de activare, filtrul este plasat în fluxul de colectare a datelor, care rulează și pe punctul final.. Sunt colectate anteturile de pachete de nivel de rețea și de transport care se potrivesc cu filtrul. Filtrul va expira automat după exact timpul specificat dacă primește alte pachete de aplicații. Serviciul de eșantionare a pachetelor, care rulează pe gazda SCNM, folosește comanda tcpdump (similar programului de eșantionare a pachetelor) în ordinea solicitărilor primite și a înregistrării traficului care se potrivește cu cererea.

Odată ce o problemă este identificată de instrumente de monitorizare pasive, traficul poate fi generat de instrumente de monitorizare active, permițând colectarea de date suplimentare pentru a investiga în continuare problema. Prin implementarea acestui monitor în rețea pe fiecare router de-a lungul drumului, putem examina numai secțiunile rețelei care au probleme.

SCNM este destinat instalării și utilizării în primul rând de către administratori. Cu toate acestea, utilizatorii obișnuiți pot folosi o parte din această funcționalitate. Deși utilizatorii generali pot folosi părți din mediul de monitorizare SCNM, li se permite doar să își vadă propriile date.

În concluzie, SCNM este o altă tehnică hibridă de monitorizare care utilizează atât metode active, cât și pasive pentru a ajuta administratorii să-și monitorizeze și să-și analizeze rețelele.

3. Concluzie

Atunci când selectează instrumente proprietare pentru a le utiliza în monitorizarea rețelei, un administrator trebuie mai întâi să decidă dacă dorește să folosească sisteme bine stabilite care au fost utilizate de mulți ani sau altele noi. Dacă sistemele existente sunt o soluție mai potrivită, atunci NetFlow este instrumentul cel mai util de utilizat, deoarece împreună cu acest utilitar, pachetele de date analizate pot fi folosite pentru a prezenta datele într-un mod mai ușor de utilizat. Cu toate acestea, dacă un administrator este gata să încerce un nou sistem, soluțiile de monitorizare combinate precum WREN sau SCNM sunt cea mai bună direcție de urmat.

Monitorizarea și analiza rețelei sunt vitale în munca unui administrator de sistem. Administratorii ar trebui să încerce să-și mențină rețeaua în ordine, atât pentru productivitatea neconexă în cadrul companiei, cât și pentru comunicarea cu orice serviciu public existent. Pe baza informațiilor descrise mai sus, o serie de tehnologii bazate pe router și non-router sunt potrivite pentru a ajuta administratorii de rețea în monitorizarea și analiza zilnică a rețelelor lor. Descrie pe scurt SNMP, RMON și Cisco NetFlow, un exemplu de mai multe tehnologii bazate pe router. Exemple de tehnologii care nu sunt bazate pe router discutate în articol sunt monitorizarea activă, monitorizarea pasivă și o combinație a ambelor.

Packet sniffing este un termen colocvial care se referă la arta de a analiza traficul de rețea. Contrar credinței populare, lucruri precum e-mailurile și paginile web nu călătoresc pe internet dintr-o singură bucată. Ele sunt împărțite în mii de pachete de date mici și astfel trimise prin Internet. În acest articol, ne vom uita la cele mai bune analizoare de rețea și sniffer de pachete gratuite.

Există multe utilitare care colectează trafic de rețea, iar cele mai multe dintre ele folosesc pcap (pe sisteme asemănătoare Unix) sau libcap (pe Windows) ca bază. Un alt tip de utilitate ajută la analiza acestor date, deoarece chiar și o cantitate mică de trafic poate genera mii de pachete greu de navigat. Aproape toate aceste utilități diferă puțin unele de altele în colectarea datelor, principalele diferențe fiind în modul în care analizează datele.

Analiza traficului de rețea necesită înțelegerea modului în care funcționează rețeaua. Nu există nicio unealtă care să poată înlocui în mod magic cunoștințele unui analist despre fundamentele rețelei, cum ar fi „strângerea de mână în trei direcții” TCP care este folosită pentru a iniția o conexiune între două dispozitive. De asemenea, analiștii trebuie să înțeleagă tipurile de trafic de rețea dintr-o rețea care funcționează normal, cum ar fi ARP și DHCP. Aceste cunoștințe sunt importante deoarece instrumentele de analiză vă vor arăta pur și simplu ceea ce le cereți să facă. Depinde de tine să decizi ce să ceri. Dacă nu știți cum arată de obicei rețeaua dvs., poate fi dificil să știți că ați găsit ceea ce aveți nevoie în masa de pachete pe care le-ați colectat.

Cele mai bune sniffer de pachete și analizoare de rețea

Unelte industriale

Să începem de la vârf și apoi să ne coborâm la elementele de bază. Dacă aveți de-a face cu o rețea la nivel de întreprindere, veți avea nevoie de o armă mare. În timp ce aproape totul folosește tcpdump în esență (mai multe despre asta mai târziu), instrumentele de nivel enterprise pot rezolva anumite probleme complexe, cum ar fi corelarea traficului de la mai multe servere, furnizarea de interogări inteligente pentru a identifica probleme, alerte despre excepții și crearea de grafice bune, care este ceea ce cer mereu șefii.

Instrumentele la nivel de întreprindere sunt de obicei orientate spre fluxul de trafic de rețea, mai degrabă decât spre evaluarea conținutului pachetelor. Prin aceasta vreau să spun că obiectivul principal al majorității administratorilor de sistem din întreprindere este să se asigure că rețeaua nu are blocaje de performanță. Când apar astfel de blocaje, scopul este de obicei de a determina dacă problema este cauzată de rețea sau de o aplicație din rețea. Pe de altă parte, aceste instrumente pot gestiona de obicei atât de mult trafic încât pot ajuta la prezicerea când un segment de rețea va fi complet încărcat, un punct critic în gestionarea lățimii de bandă a rețelei.

Acesta este un set foarte mare de instrumente de management IT. În acest articol, utilitarul Deep Packet Inspection and Analysis, care este componenta sa, este mai potrivit. Colectarea traficului de rețea este destul de simplă. Cu instrumente precum WireShark, nici analiza de bază nu este o problemă. Dar situația nu este întotdeauna complet clară. Într-o rețea foarte aglomerată, poate fi dificil să determinați chiar și lucruri foarte simple, cum ar fi:

Ce aplicație din rețea generează acest trafic?
- dacă o aplicație este cunoscută (să zicem un browser web), unde își petrec utilizatorii cea mai mare parte a timpului?
- care conexiuni sunt cele mai lungi și supraîncărcă rețeaua?

Majoritatea dispozitivelor din rețea folosesc metadatele fiecărui pachet pentru a se asigura că pachetul ajunge acolo unde trebuie. Conținutul pachetului este necunoscut dispozitivului de rețea. Un alt lucru este inspecția profundă a pachetelor; aceasta înseamnă că conținutul real al pachetului este verificat. În acest fel, pot fi descoperite informații critice de rețea care nu pot fi culese din metadate. Instrumente precum cele oferite de SolarWinds pot oferi date mai semnificative decât doar fluxul de trafic.

Alte tehnologii pentru gestionarea rețelelor cu consum mare de date includ NetFlow și sFlow. Fiecare are propriile sale puncte forte și puncte slabe,

Puteți afla mai multe despre NetFlow și sFlow.

Analiza rețelei în general este un subiect avansat care se bazează atât pe cunoștințele dobândite, cât și pe experiența practică de lucru. Puteți antrena o persoană să aibă cunoștințe detaliate despre pachetele de rețea, dar dacă persoana respectivă nu cunoaște rețeaua în sine și are experiență în identificarea anomaliilor, nu se va descurca prea bine. Instrumentele descrise în acest articol ar trebui să fie folosite de administratori de rețea experimentați, care știu ce vor, dar nu sunt siguri care este cel mai bun utilitar. Ele pot fi, de asemenea, folosite de administratori de sistem mai puțin experimentați pentru a câștiga experiență de zi cu zi în rețea.

Bazele

Instrumentul principal pentru colectarea traficului de rețea este

Este o aplicație open source care se instalează pe aproape toate sistemele de operare asemănătoare Unix. Tcpdump este un utilitar excelent de colectare a datelor care are un limbaj de filtrare foarte sofisticat. Este important să știți cum să filtrați datele atunci când le colectați pentru a ajunge la un set normal de date pentru analiză. Captarea tuturor datelor de pe un dispozitiv de rețea, chiar și într-o rețea moderat ocupată, poate genera prea multe date care sunt foarte greu de analizat.

În unele cazuri rare, va fi suficient să imprimați datele capturate tcpdump direct pe ecran pentru a găsi ceea ce aveți nevoie. De exemplu, în timp ce scriam acest articol, am colectat trafic și am observat că aparatul meu trimitea trafic la o adresă IP pe care nu o cunoșteam. Se pare că aparatul meu trimitea date la adresa IP Google 172.217.11.142. Deoarece nu aveam niciun produs Google și Gmail nu era deschis, nu știam de ce se întâmplă asta. Mi-am verificat sistemul și am găsit următoarele:

[ ~ ]$ ps -ef | utilizator grep google 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

Se dovedește că, chiar și atunci când Chrome nu rulează, acesta rămâne să ruleze ca serviciu. Nu aș fi observat asta fără analiza pachetelor. Am mai capturat câteva pachete de date, dar de data aceasta i-am dat tcpdump sarcina de a scrie datele într-un fișier, pe care l-am deschis apoi în Wireshark (mai multe despre asta mai târziu). Acestea sunt intrările:

Tcpdump este un instrument preferat al administratorilor de sistem, deoarece este un utilitar de linie de comandă. Rularea tcpdump nu necesită o interfață grafică. Pentru serverele de producție, interfața grafică este destul de dăunătoare, deoarece consumă resurse de sistem, așa că sunt de preferat programele de linie de comandă. La fel ca multe utilitare moderne, tcpdump are un limbaj foarte bogat și complex, care necesită ceva timp pentru a fi stăpânit. Câteva comenzi de bază implică selectarea unei interfețe de rețea pentru a colecta date și scrierea acestor date într-un fișier, astfel încât să poată fi exportate pentru analiză în altă parte. Comutatoarele -i și -w sunt folosite pentru aceasta.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: ascultare pe eth0, tip link EN10MB (Ethernet), dimensiune captură 262144 octeți ^C51 pachete capturate

Această comandă creează un fișier cu datele capturate:

fișier tcpdump_packets tcpdump_packets: fișier de captură tcpdump (little-endian) - versiunea 2.4 (Ethernet, lungime de captură 262144)

Standardul pentru astfel de fișiere este formatul pcap. Nu este text, deci poate fi analizat doar folosind programe care înțeleg acest format.

3.Windump

Cele mai utile utilități open source ajung să fie clonate în alte sisteme de operare. Când se întâmplă acest lucru, se spune că aplicația a fost migrată. Windump este un port al tcpdump și se comportă într-un mod foarte similar.

Cea mai semnificativă diferență dintre Windump și tcpdump este că Windump are nevoie de biblioteca Winpcap instalată înainte de a rula Windump. Chiar dacă Windump și Winpcap sunt furnizate de același întreținător, acestea trebuie descărcate separat.

Winpcap este o bibliotecă care trebuie preinstalată. Dar Windump este un fișier exe care nu trebuie instalat, așa că îl puteți rula. Acesta este ceva de reținut dacă utilizați o rețea Windows. Nu trebuie să instalați Windump pe fiecare mașină, deoarece îl puteți copia doar după cum este necesar, dar veți avea nevoie de Winpcap pentru a suporta Windup.

Ca și în cazul tcpdump, Windump poate afișa date de rețea pentru analiză, le poate filtra în același mod și, de asemenea, poate scrie datele într-un fișier pcap pentru analiză ulterioară.

4. Wireshark

Wireshark este următorul instrument cel mai faimos din cutia de instrumente a unui administrator de sistem. Nu numai că vă permite să capturați date, ci oferă și câteva instrumente avansate de analiză. În plus, Wireshark este open source și a fost portat pe aproape toate sistemele de operare server existente. Numit Etheral, Wireshark rulează acum peste tot, inclusiv ca aplicație autonomă, portabilă.

Dacă analizezi traficul pe un server cu o interfață grafică, Wireshark poate face totul pentru tine. Poate colecta date și apoi le poate analiza pe toate chiar acolo. Cu toate acestea, GUI-urile sunt rare pe servere, așa că puteți colecta date de rețea de la distanță și apoi puteți examina fișierul pcap rezultat în Wireshark pe computer.

Când lansați pentru prima dată Wireshark, puteți fie să încărcați un fișier pcap existent, fie să executați o captură de trafic. În acest din urmă caz, puteți seta suplimentar filtre pentru a reduce cantitatea de date colectate. Dacă nu specificați un filtru, Wireshark va colecta pur și simplu toate datele de rețea din interfața selectată.

Una dintre cele mai utile caracteristici ale Wireshark este capacitatea de a urmări un flux. Cel mai bine este să te gândești la un fir ca la un lanț. În captura de ecran de mai jos putem vedea o mulțime de date capturate, dar cel mai mult m-a interesat adresa IP a Google. Pot să dau clic dreapta și să urmăresc fluxul TCP pentru a vedea întregul lanț.

Dacă traficul a fost capturat pe alt computer, puteți importa fișierul PCAP utilizând dialogul Wireshark File -> Open. Aceleași filtre și instrumente sunt disponibile pentru fișierele importate ca și pentru datele de rețea capturate.

5.rechin

Tshark este o legătură foarte utilă între tcpdump și Wireshark. Tcpdump este superior la colectarea datelor și poate extrage chirurgical doar datele de care aveți nevoie, cu toate acestea capacitățile sale de analiză a datelor sunt foarte limitate. Wireshark este excelent atât la captură, cât și la analiză, dar are o interfață de utilizator grea și nu poate fi folosit pe servere fără GUI. Încercați tshark, funcționează pe linia de comandă.

Tshark folosește aceleași reguli de filtrare ca și Wireshark, ceea ce nu ar trebui să fie surprinzător, deoarece sunt în esență același produs. Comanda de mai jos îi spune doar lui tshark să capteze adresa IP de destinație, precum și alte câmpuri de interes din porțiunea HTTP a pachetului.

# tshark -i eth0 -Y http.request -T câmpuri -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.20.20.0.1;1540 (Xilla/1542; rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; 2010) Firefox /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png 172.20.20.0.1;1520 Linux (Mozilla/1; x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101/favicon.ico / Firefox

Dacă doriți să scrieți traficul într-un fișier, utilizați opțiunea -W pentru a face acest lucru, apoi comutatorul -r (citește) pentru a-l citi.

Prima captură:

# tshark -i eth0 -w tshark_packets Captură pe „eth0” 102 ^C

Citiți-l aici sau mutați-l în alt loc pentru analiză.

# tshark -r tshark_packets -Y http.request -T câmpuri -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/2010011 Firefox /57.0 /contact 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reservations/ 172.20.0.122 Mozilla/5.0; / 57,0 / reservations/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js.2.2.1.2.2 .0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_6; 570 Firefox) / 0.122 res/images/title.png

Acesta este un instrument foarte interesant, care se încadrează mai mult în categoria instrumentelor de analiză criminalistică de rețea decât doar sniffer. Domeniul criminalisticii se ocupă de obicei cu investigații și culegerea de dovezi, iar Network Miner face această treabă foarte bine. Așa cum wireshark poate urmări un flux TCP pentru a reconstrui un întreg lanț de transmisie de pachete, Network Miner poate urmări un flux pentru a recupera fișierele care au fost transferate printr-o rețea.

Network Miner poate fi plasat strategic în rețea pentru a putea observa și colecta traficul care vă interesează în timp real. Nu va genera propriul trafic în rețea, așa că va funcționa pe ascuns.

Network Miner poate funcționa și offline. Puteți utiliza tcpdump pentru a colecta pachete la un punct de interes din rețea și apoi importa fișierele PCAP în Network Miner. Apoi, puteți încerca să recuperați orice fișiere sau certificate găsite în fișierul înregistrat.

Network Miner este creat pentru Windows, dar cu Mono poate fi rulat pe orice sistem de operare care acceptă platforma Mono, cum ar fi Linux și MacOS.

Există o versiune gratuită, entry-level, dar cu un set decent de funcții. Dacă aveți nevoie de funcții suplimentare, cum ar fi localizarea geografică și scripturi personalizate, va trebui să achiziționați o licență profesională.

7. Lăutar (HTTP)

Din punct de vedere tehnic, nu este un utilitar de captare a pachetelor de rețea, dar este atât de incredibil de util încât se înscrie în această listă. Spre deosebire de celelalte instrumente enumerate aici, care sunt concepute pentru a capta traficul de rețea din orice sursă, Fiddler servește mai mult ca instrument de depanare. Captează traficul HTTP. În timp ce multe browsere au deja această capacitate în instrumentele lor de dezvoltare, Fiddler nu se limitează la traficul browserului. Fiddler poate captura orice trafic HTTP pe un computer, inclusiv aplicații non-web.

Multe aplicații desktop folosesc HTTP pentru a se conecta la serviciile web și, în afară de Fiddler, singura modalitate de a capta un astfel de trafic pentru analiză este utilizarea unor instrumente precum tcpdump sau Wireshark. Cu toate acestea, ele funcționează la nivel de pachet, așa că analiza necesită reconstrucția acestor pachete în fluxuri HTTP. Poate fi multă muncă să faci cercetări simple și aici intervine Fiddler. Fiddler vă va ajuta să detectați module cookie, certificate și alte date utile trimise de aplicații.

Fiddler este gratuit și, la fel ca Network Miner, poate fi rulat în Mono pe aproape orice sistem de operare.

8. Capsa

Analizorul de rețea Capsa are mai multe ediții, fiecare cu capacități diferite. La primul nivel, Capsa este gratuit și, în esență, vă permite să capturați pachete și să efectuați analize grafice de bază asupra acestora. Tabloul de bord este unic și poate ajuta un administrator de sistem fără experiență să identifice rapid problemele de rețea. Nivelul gratuit este pentru persoanele care doresc să învețe mai multe despre pachete și să-și dezvolte abilitățile de analiză.

Versiunea gratuită vă permite să monitorizați peste 300 de protocoale, este potrivită pentru monitorizarea e-mailului, precum și pentru stocarea conținutului de e-mail și, de asemenea, acceptă declanșatoare care pot fi utilizate pentru a declanșa alerte atunci când apar anumite situații. În acest sens, Capsa poate fi folosit ca instrument de sprijin într-o oarecare măsură.

Capsa este disponibil numai pentru Windows 2008/Vista/7/8 și 10.

Concluzie

Este ușor de înțeles cum, folosind instrumentele pe care le-am descris, un administrator de sistem poate crea o infrastructură de monitorizare a rețelei. Tcpdump sau Windump pot fi instalate pe toate serverele. Un planificator, cum ar fi cron sau planificatorul Windows, pornește o sesiune de colectare a pachetelor la momentul potrivit și scrie datele colectate într-un fișier pcap. Administratorul de sistem poate apoi transfera aceste pachete pe mașina centrală și le poate analiza folosind wireshark. Dacă rețeaua este prea mare pentru acest lucru, instrumente de nivel enterprise, cum ar fi SolarWinds, sunt disponibile pentru a transforma toate pachetele de rețea într-un set de date gestionabil.