Pakkesniffing er en dyb type netværksanalyse, hvor detaljer om netværkstrafikken afkodes for at blive analyseret. Det er en af de vigtigste fejlfindingsevner, som enhver netværksadministrator bør besidde. At analysere netværkstrafik er en kompliceret opgave. For at kunne klare upålidelige netværk sendes data ikke i én kontinuerlig strøm. I stedet hugges det op i fragmenter, der sendes enkeltvis. At analysere netværkstrafik indebærer at være i stand til at indsamle disse datapakker og samle dem igen til noget meningsfuldt. Dette er ikke noget, du kan gøre manuelt, så pakkesniffer og netværksanalysatorer blev oprettet. I dag ser vi på syv af de bedste pakkesniffere og netværksanalysatorer.
Vi starter dagens rejse med at give dig nogle baggrundsoplysninger om, hvad packet sniffere er. Vi vil prøve at finde ud af, hvad forskellen er – eller hvis der er forskel – mellem en pakkesniffer og en netværksanalysator. Vi vil derefter fortsætte til kernen af vores emne og ikke kun liste, men også kort gennemgå hver af vores syv valg. Det, vi har til dig, er en kombination af GUI-værktøjer og kommandolinjeværktøjer, der kører på forskellige operativsystemer.
Indholdsfortegnelse
Et par ord om pakkesniffer og netværksanalysatorer
Lad os begynde med at afgøre noget. Af hensyn til denne artikel antager vi, at pakkesniffer og netværksanalysatorer er en og samme. Nogle vil hævde, at de er forskellige, og de kan have ret. Men i forbindelse med denne artikel vil vi se på dem sammen, hovedsageligt fordi selvom de måske fungerer anderledes – men gør de virkelig? – tjener de samme formål.
Packet Sniffers gør normalt tre ting. For det første fanger de alle datapakker, når de går ind eller ud af en netværksgrænseflade. For det andet anvender de valgfrit filtre for at ignorere nogle af pakkerne og gemme andre på disken. De udfører derefter en form for analyse af de opfangede data. Det er i den sidste funktion af packet sniffere, at de adskiller sig mest.
Til selve opsamlingen af datapakkerne bruger de fleste værktøjer et eksternt modul. De mest almindelige er libpcap på Unix/Linux-systemer og Winpcap på Windows. Du behøver typisk ikke installere disse værktøjer, da de normalt installeres af de forskellige værktøjsinstallatører.
En anden vigtig ting at vide er, at Packet Sniffers – selv den bedste – ikke vil gøre alt for dig. De er bare værktøjer. Det er ligesom en hammer, der ikke slår nogen søm af sig selv. Så du skal sørge for at lære, hvordan du bedst bruger hvert værktøj. Pakkesnifferen vil bare lade dig se trafikken, men det er op til dig at bruge disse oplysninger til at finde problemer. Der har været hele bøger om brug af pakkeopsamlingsværktøjer. Jeg selv tog engang et tre-dages kursus om emnet. Jeg prøver ikke at afskrække dig. Jeg prøver kun at stille dine forventninger lige.
Sådan bruger du en pakkesniffer
Som vi har forklaret, vil en pakkesniffer fange og analysere trafik. Så hvis du forsøger at fejlfinde et specifikt problem – hvilket typisk er grunden til at du vil bruge et sådant værktøj – skal du først sikre dig, at den trafik, du fanger, er den rigtige trafik. Forestil dig en situation, hvor alle brugere klager over, at en bestemt applikation er langsom. I den type situation ville dit bedste bud sandsynligvis være at fange trafik på applikationsserverens netværksgrænseflade. Du kan derefter indse, at anmodninger ankommer til serveren normalt, men at serveren tager lang tid om at sende svar. Det ville indikere et serverproblem.
Hvis du på den anden side ser serveren reagere rettidigt, betyder det muligvis, at problemet er et sted på netværket mellem klienten og serveren. Du vil derefter flytte din pakkesniffer et hop tættere på klienten og se, om svar er forsinket. Hvis det ikke er det, flytter du mere hop tættere på klienten, og så videre og så videre. Du kommer til sidst til det sted, hvor der opstår forsinkelser. Og når du først har identificeret problemets placering, er du et stort skridt tættere på at løse det.
Nu undrer du dig måske over, hvordan vi formår at fange pakker på et bestemt tidspunkt. Det er ret simpelt, vi drager fordel af en funktion i de fleste netværksswitches kaldet portspejling eller replikering. Dette er en konfigurationsmulighed, der vil replikere al trafik ind og ud af en specifik switchport til en anden port på den samme switch. Lad os sige, at din server er forbundet til port 15 på en switch, og at port 23 på den samme switch er tilgængelig. Du forbinder din packet sniffer til port 23 og konfigurerer switchen til at replikere al trafik fra port 15 til port 23. Det, du får som et resultat på port 23, er et spejlbillede – deraf portspejlingsnavnet – af det, der går gennem port 15.
De bedste pakkesniffere og netværksanalysatorer
Nu hvor du bedre forstår, hvad pakkesniffer og netværksanalysatorer er, lad os se, hvad der er de syv bedste, vi kunne finde. Vi har forsøgt at inkludere en blanding af kommandolinje- og GUI-værktøjer samt inkludere værktøjer, der kører på forskellige operativsystemer. Det er trods alt ikke alle netværksadministratorer, der kører Windows.
1. SolarWinds Deep Packet Inspection and Analysis Tool (GRATIS PRØVE)
SolarWinds er kendt for sine mange nyttige gratis værktøjer og dens avancerede netværksstyringssoftware. Et af dets værktøjer kaldes Deep Packet Inspection and Analysis Tool. Det kommer som en komponent i SolarWinds’ flagskibsprodukt, Network Performance Monitor. Dens drift er ret forskellig fra mere “traditionelle” pakkesniffere, selvom den tjener et lignende formål.
For at opsummere værktøjets funktionalitet: Det hjælper dig med at finde og løse årsagen til netværksforsinkelser, identificere berørte applikationer og afgøre, om langsomhed er forårsaget af netværket eller en applikation. Softwaren vil også bruge dybe pakkeinspektionsteknikker til at beregne responstid for over 1200 applikationer. Det vil også klassificere netværkstrafik efter kategori, forretning vs. socialt og risikoniveau, hvilket hjælper dig med at identificere ikke-forretningstrafik, som muligvis skal filtreres eller på anden måde elimineres.
Og glem ikke, at SolarWinds Deep Packet Inspection and Analysis Tool kommer som en del af Network Performace Monitor. NPM, som det ofte kaldes, er et imponerende stykke software med så mange komponenter, at en hel artikel kunne dedikeres til det. I sin kerne er det en komplet netværksovervågningsløsning, der kombinerer de bedste teknologier såsom SNMP og deep packet inspection for at give så meget information om dit netværks tilstand som muligt. Værktøjet, som er rimeligt prissat, kommer med en 30-dages gratis prøveperiode, så du kan sikre dig, at det virkelig passer til dine behov, før du forpligter dig til at købe det.
Officielt downloadlink: https://www.solarwinds.com/topics/deep-packet-inspection
2. tcpdump
Tcpdump er sandsynligvis DEN originale pakkesniffer. Det blev skabt tilbage i 1987. Siden da er det blevet vedligeholdt og forbedret, men forbliver stort set uændret, i det mindste den måde, det bruges på. Det er forudinstalleret i stort set alle Unix-lignende operativsystemer og er blevet de-facto standard, når man har brug for et hurtigt værktøj til at fange pakker. Tcpdump bruger libpcap-biblioteket til den faktiske pakkefangst.
Som standard. tcpdump fanger al trafik på den angivne grænseflade og “dumper” den – deraf navnet – på skærmen. Dumpet kan også overføres til en opsamlingsfil og analyseres senere ved hjælp af et – eller en kombination – af flere tilgængelige værktøjer. En nøgle til tcpdumps styrke og anvendelighed er muligheden for at anvende alle slags filtre og overføre dets output til grep – et andet almindeligt Unix kommandolinjeværktøj – for yderligere filtrering. En person med et godt kendskab til tcpdump, grep og kommandoskallen kan få det til at fange præcis den rigtige trafik til enhver fejlretningsopgave.
3. Vinddump
Vinddump er i bund og grund kun en port af tcpdump til Windows-platformen. Som sådan opfører den sig på nogenlunde samme måde. Det er ikke ualmindeligt at se sådanne porte af succesfulde hjælpeprogrammer fra en platform til en anden. Windump er et Windows-program, men forvent ikke en fancy GUI. Dette er kun et kommandolinjeværktøj. At bruge Windump er derfor grundlæggende det samme som at bruge dets Unix-modstykke. Kommandolinjeindstillingerne er de samme, og resultaterne er også næsten identiske. Outputtet fra Windump kan også gemmes i en fil til senere analyse med et tredjepartsværktøj.
En stor forskel med tcpdump er, at Windump ikke er indbygget i Windows. Du skal downloade den fra Windump hjemmeside. Softwaren leveres som en eksekverbar fil og kræver ingen installation. Men ligesom tcpdump bruger libpcap-biblioteket, bruger Windump Winpcap, der ligesom de fleste Windows-biblioteker skal downloades og installeres separat.
4. Wireshark
Wireshark er referencen i packet sniffers. Det er blevet de-facto-standarden, og de fleste andre værktøjer har en tendens til at efterligne det. Dette værktøj vil ikke kun fange trafik, det har også ret kraftfulde analysemuligheder. Så kraftfuld, at mange administratorer vil bruge tcpdump eller Windump til at fange trafik til en fil og derefter indlæse filen i Wireshark til analyse. Dette er en så almindelig måde at bruge Wireshark på, at du ved opstart bliver bedt om enten at åbne en eksisterende pcap-fil eller begynde at fange trafik. En anden styrke ved Wireshark er alle de filtre, den inkorporerer, som giver dig mulighed for at nulstille præcis de data, du er interesseret i.
For at være helt ærlig har dette værktøj en stejl indlæringskurve, men det er værd at lære. Det vil vise sig uvurderligt gang på gang. Og når du først har lært det, vil du være i stand til at bruge det overalt, da det er blevet overført til næsten alle operativsystemer, og det er gratis og open source.
5. tshark
Tshark er en slags krydsning mellem tcpdump og Wireshark. Dette er en fantastisk ting, da de er nogle af de bedste pakkesniffere derude. Tshark er ligesom tcpdump, idet det kun er et kommandolinjeværktøj. Men det er også ligesom Wireshark, fordi det ikke kun fanger, men også analyserer trafik. Tshark er fra de samme udviklere som Wireshark. Det er mere eller mindre kommandolinjeversionen af Wireshark. Den bruger samme type filtrering som Wireshark og kan derfor hurtigt isolere netop den trafik, du skal analysere.
Men hvorfor, kan du spørge, ville nogen ønske en kommandolinjeversion af Wireshark? Hvorfor ikke bare bruge Wireshark; med dens grafiske grænseflade, skal det være lettere at bruge og lære? Hovedårsagen er, at det ville give dig mulighed for at bruge det på en ikke-GUI-server.
6. Network Miner
Network Miner er mere et retsmedicinsk værktøj mere end en ægte pakkesniffer. Network Miner vil følge en TCP-stream og rekonstruere en hel samtale. Det er virkelig et stærkt værktøj. Det kan fungere i offline-tilstand, hvor du vil importere en eller anden optagelsesfil for at lade Network Miner arbejde med sin magi. Dette er en nyttig funktion, da softwaren kun kører på Windows. Du kan bruge tcpdump på Linux til at fange noget trafik og Network Miner på Windows til at analysere det.
Network Miner er tilgængelig i en gratis version, men for de mere avancerede funktioner såsom IP-baseret geolocation og scripting skal du købe en professionel licens. En anden avanceret funktion af den professionelle version er muligheden for at afkode og afspille VoIP-opkald.
7. Fiddler (HTTP)
Nogle af vores mere kyndige læsere vil måske hævde, at Fiddler ikke er en pakkesniffer og heller ikke en netværksanalysator. De har sandsynligvis ret, men vi følte, at vi skulle inkludere dette værktøj på vores liste, da det er meget nyttigt i mange situationer. Violinist vil faktisk fange trafik, men ikke nogen trafik. Det virker kun med HTTP-trafik. Du kan forestille dig, hvor værdifuldt det kan være på trods af dets begrænsning, når du tænker på, at så mange applikationer i dag er webbaserede eller bruger HTTP-protokollen i baggrunden. Og da Fiddler ikke kun fanger browsertrafik, men næsten enhver HTTP, er den meget nyttig til fejlfinding
Fordelen ved et værktøj som Fiddler frem for en bona fide pakkesniffer som for eksempel Wireshark er, at Fiddler blev bygget til at “forstå” HTTP-trafik. Det vil for eksempel opdage cookies og certifikater. Det vil også finde faktiske data, der kommer fra HTTP-baserede applikationer. Fiddler er gratis, og det er kun tilgængeligt til Windows, selvom beta-builds til OS X og Linux (ved hjælp af Mono-rammerne) kan downloades.
Konklusion
Når vi udgiver lister som denne, bliver vi ofte spurgt, hvilken der er den bedste. I denne særlige situation, hvis jeg blev stillet det spørgsmål, ville jeg skulle svare “dem alle”. De er alle gratis værktøjer og har alle deres værdi. Hvorfor ikke have dem alle ved hånden og gøre dig fortrolig med hver enkelt. Når du kommer til en situation, hvor du skal bruge dem, vil det være meget nemmere og effektivt. Selv kommandolinjeværktøjer har en enorm værdi. For eksempel kan de scriptes og planlægges. Forestil dig, at du har et problem, der opstår kl. 02.00 dagligt. Du kan planlægge et job til at køre tcpdump af Windump mellem 1:50 og 2:10 og analysere capture-filen næste morgen. Ingen grund til at være vågen hele natten.