Wireshark, care era cunoscut anterior ca Ethereal, există de 20 de ani. Dacă nu este cel mai bun, este cu siguranță cel mai popular instrument de sniffing de rețea. Ori de câte ori apare nevoia de analiză a pachetelor, acesta este adesea instrumentul de bază al majorității administratorilor. Cu toate acestea, oricât de bun poate fi Wireshark, există multe alternative disponibile. Unii dintre voi s-ar putea să vă întrebați ce este în neregulă cu Wireshark care ar justifica înlocuirea acestuia. Pentru a fi total sincer, nu este absolut nimic în neregulă cu Wireshark și, dacă ești deja un utilizator fericit, nu văd niciun motiv pentru care ar trebui să te schimbi. Pe de altă parte, dacă ești nou în scenă, ar putea fi o idee bună să te uiți la ceea ce este disponibil înainte de a alege o soluție. Pentru a vă ajuta, am adunat această listă cu unele dintre cele mai bune alternative Wireshark.
Ne vom începe explorarea aruncând o privire la Wireshark. La urma urmei, dacă vrem să sugerăm alternative, ar putea la fel de bine să cunoaștem măcar puțin produsul. Vom discuta apoi pe scurt ce sunt snifferele de pachete – sau analizoarele de rețea, așa cum sunt adesea numiți –. Deoarece sniffer-urile de pachete pot fi relativ complexe, vom petrece apoi ceva timp discutând cum să le folosim. Acesta nu este în niciun caz un tutorial complet, dar ar trebui să vă ofere suficiente informații de fundal pentru a aprecia mai bine recenziile viitoare despre produse. Vorbind despre recenzii despre produse, aceasta este ceea ce vom avea în continuare. Am identificat mai multe produse de tipuri foarte diferite care ar putea fi o alternativă bună la Wireshark și vom introduce cele mai bune caracteristici ale fiecăruia.
Cuprins
Despre Wireshark
Înainte de Wireshark, piața avea în esență un sniffer de pachete care se numea potrivit Sniffer. A fost un produs excelent care a suferit de un dezavantaj major, prețul său. La sfârșitul anilor 90, produsul costa aproximativ 1500 de dolari, ceea ce era mai mult decât își puteau permite mulți. Acest lucru a determinat dezvoltarea lui Ethereal ca un sniffer de pachete gratuit și open-source de către un absolvent UMKC pe nume Gerald Combs, care este încă principalul întreținător al Wireshark douăzeci de ani mai târziu. Vorbește despre angajament serios.
Astăzi, Wireshark a devenit referința în sniffer-urile de pachete. Este standardul de facto și majoritatea celorlalte instrumente tind să-l emuleze. Wireshark face în esență două lucruri. În primul rând, captează tot traficul pe care îl vede pe interfața sa. Dar nu se oprește aici, produsul are și capacități de analiză destul de puternice. Capacitățile de analiză ale instrumentului sunt atât de bune încât nu este neobișnuit ca utilizatorii să folosească alte instrumente pentru capturarea pachetelor și să facă analiza folosind Wireshark. Acesta este un mod atât de comun de a folosi Wireshark încât, la pornire, vi se solicită fie să deschideți un fișier de captură existent, fie să începeți să capturați trafic. Un alt punct forte al Wireshark sunt toate filtrele pe care le încorporează, care vă permit să vă concentrați exact asupra datelor care vă interesează.
Despre Instrumentele de analiză a rețelei
Deși chestiunea a fost deschisă pentru dezbatere de ceva vreme, de dragul acestui articol, vom presupune că termenii „sniffer de pachete” și „analizator de rețea” sunt unul și același. Unii vor argumenta că sunt două concepte diferite și, deși s-ar putea să aibă dreptate, le vom analiza împreună, chiar dacă doar de dragul simplității. La urma urmei, chiar dacă aceștia pot funcționa diferit – dar chiar oare? – au un scop similar.
Packet Sniffers fac în esență trei lucruri. În primul rând, captează toate pachetele de date pe măsură ce intră sau ies dintr-o interfață de rețea. În al doilea rând, opțional aplică filtre pentru a ignora unele dintre pachete și pentru a salva altele pe disc. Apoi efectuează o formă de analiză a datelor capturate. În această ultimă funcție se află majoritatea diferențelor dintre produse.
Majoritatea sniffer-urilor de pachete se bazează pe un modul extern pentru capturarea efectivă a pachetelor de date. Cele mai comune sunt libpcap pe sistemele Unix/Linux și Winpcap pe Windows. De obicei, nu va trebui să instalați aceste instrumente, totuși, deoarece sunt de obicei instalate de instalatorii packet sniffer.
Un alt lucru important de știut este că, pe cât de bune și utile sunt, Packet Sniffers nu va face totul pentru tine. Sunt doar unelte. Vă puteți gândi la ele ca la un ciocan care pur și simplu nu va bate un cui de la sine. Trebuie să vă asigurați că învățați cum să utilizați cel mai bine fiecare instrument. Sniffer-ul de pachete vă va permite să analizați traficul pe care îl captează, dar depinde de dvs. să vă asigurați că captează datele potrivite și să le utilizați în avantajul dvs. Au fost scrise cărți întregi despre utilizarea instrumentelor de captare a pachetelor. Am urmat odată un curs de trei zile pe această temă.
Folosind un Packet Sniffer
După cum tocmai am spus, un sniffer de pachete va captura și analiza traficul. Prin urmare, dacă încercați să remediați o problemă specifică – o utilizare tipică pentru un astfel de instrument, primul lucru pe care trebuie să-l faceți este să vă asigurați că traficul pe care îl captați este cel potrivit. Imaginați-vă un caz în care fiecare utilizator al unei anumite aplicații se plânge că este lentă. Într-o astfel de situație, cel mai bun pariu ar fi probabil să captezi trafic la interfața de rețea a serverului de aplicații, deoarece fiecare utilizator pare să fie afectat. S-ar putea să realizați apoi că cererile ajung la server în mod normal, dar că serverul durează mult timp pentru a trimite răspunsuri. Aceasta ar indica o întârziere pe server, mai degrabă decât o problemă de rețea.
Pe de altă parte, dacă vedeți că serverul răspunde la solicitări în timp util, ar putea însemna că problema este undeva în rețea între client și server. Apoi veți muta sniffer-ul de pachete cu un hop mai aproape de client și veți vedea dacă răspunsurile sunt întârziate. Dacă nu, ați muta mai mult hop mai aproape de client și așa mai departe și așa mai departe. În cele din urmă veți ajunge la locul unde apar întârzieri. Și odată ce ați identificat locația problemei, sunteți cu un pas mare mai aproape de rezolvarea acesteia.
Să vedem cum putem reuși să captăm pachete într-un anumit punct al unei rețele. O modalitate simplă de a realiza acest lucru este de a profita de o caracteristică a majorității switch-urilor de rețea numită oglindire sau replicare a porturilor. Această opțiune de configurare va reproduce tot traficul dinspre și dinspre un anumit port de comutare către un alt port de pe același switch. De exemplu, dacă serverul dvs. este conectat la portul 15 al unui comutator și portul 23 al aceluiași comutator este disponibil. Vă conectați sniffer-ul de pachete la portul 23 și configurați comutatorul pentru a replica tot traficul către și de la portul 15 la portul 23.
Cele mai bune alternative Wireshark
Acum că înțelegi mai bine ce sunt Wireshark și alte dispozitive de sniffer de pachete și analizoare de rețea, hai să vedem ce produse alternative există. Lista noastră include o combinație de instrumente de linie de comandă și GUI, precum și instrumente care rulează pe diferite sisteme de operare.
1. Instrumentul SolarWinds Deep Packet Inspection and Analysis (ÎNCERCARE GRATUITĂ)
SolarWinds este bine-cunoscut pentru instrumentele sale de ultimă generație de gestionare a rețelei. Compania există de aproximativ 20 de ani și ne-a adus câteva instrumente grozave. Produsul său emblematic numit SolarWinds Network Performance Monitor este recunoscut de majoritatea drept unul dintre cele mai bune instrumente de monitorizare a lățimii de bandă a rețelei. SolarWinds este, de asemenea, renumit pentru realizarea unor instrumente gratuite excelente, fiecare abordând o nevoie specifică a administratorilor de rețea. Două exemple de aceste instrumente sunt SolarWinds TFTP Server și Advanced Subnet Calculator.
Ca o alternativă potențială la Wireshark – și poate ca cea mai bună alternativă, deoarece este un instrument atât de diferit – SolarWinds propune instrumentul de inspecție și analiză profundă a pachetelor. Vine ca o componentă a monitorului de performanță a rețelei SolarWinds. Funcționarea sa este destul de diferită de snifferele de pachete mai „tradiționale”, deși servește unui scop similar.
Instrumentul de inspecție și analiză profundă a pachetelor nu este nici un sniffer de pachete, nici un analizor de rețea, dar vă va ajuta să găsiți și să rezolvați cauza latențelor rețelei, să identificați aplicațiile afectate și să determinați dacă încetinirea este cauzată de rețea sau de o aplicație. Deoarece are un scop similar cu Wireshark, am simțit că merită să fie pe această listă. Instrumentul va folosi tehnici de inspecție profundă a pachetelor pentru a calcula timpul de răspuns pentru peste 1200 de aplicații. De asemenea, va clasifica traficul de rețea după categorie (de exemplu, afaceri vs. sociale) și nivel de risc. Acest lucru poate ajuta la identificarea traficului non-business care ar putea beneficia de a fi filtrat sau cumva controlat sau eliminat.
Instrumentul Deep Packet Inspection and Analysis este o componentă integrală a Network Performace Monitor sau NPM, așa cum este adesea numit, care este în sine o bucată de software impresionantă cu atât de multe componente încât ar putea fi scris un articol întreg despre el. Este o soluție completă de monitorizare a rețelei care combină unele dintre cele mai bune tehnologii precum SNMP și inspecția profundă a pachetelor pentru a oferi cât mai multe informații despre starea rețelei dvs.
Prețurile pentru monitorul de performanță a rețelei SolarWinds, care include instrumentul de inspecție și analiză profundă a pachetelor, încep de la 2 955 USD pentru până la 100 de elemente monitorizate și crește în funcție de numărul de elemente monitorizate. Instrumentul are o perioadă de încercare gratuită de 30 de zile, astfel încât să vă puteți asigura că se potrivește cu adevărat nevoilor dvs. înainte de a vă angaja să-l achiziționați.
2. tcpdump
Tcpdump este probabil sniffer-ul original de pachete. A fost creat în 1987. Adică cu peste zece ani înainte de Wireshark și chiar înainte de Sniffer. De la lansarea sa inițială, instrumentul a fost menținut și îmbunătățit, dar rămâne în esență neschimbat. Modul în care este folosit instrumentul nu s-a schimbat prea mult prin evoluția sa. Este disponibil pentru a fi instalat pe aproape orice sistem de operare asemănător Unix și a devenit standardul de facto pentru un instrument rapid de capturare a pachetelor. La fel ca majoritatea produselor similare de pe platformele *nix, tcpdump folosește biblioteca libpcap pentru capturarea efectivă a pachetelor.
Operația implicită a tcpdump este relativ simplă. Acesta captează tot traficul de pe interfața specificată și îl „elimină” – de unde și numele – pe ecran. Fiind un instrument standard *nix, puteți direcționa rezultatul într-un fișier de captură pentru a fi analizat ulterior folosind instrumentul de analiză la alegere. De fapt, nu este neobișnuit ca utilizatorii să capteze trafic cu tcpdump pentru o analiză ulterioară în Wireshark. Una dintre cheile pentru puterea și utilitatea tcpdump este posibilitatea de a aplica filtre și/sau de a-și canaliza ieșirea către grep – un alt utilitar comun de linie de comandă *nix – pentru filtrare ulterioară. Cineva care stăpânește tcpdump, grep și shell-ul de comandă îl poate face să capteze exact traficul potrivit pentru orice sarcină de depanare.
3. Windump
Pe scurt, Windump este un port al tcpdump pe platforma Windows. Ca atare, se comportă aproape în același mod. Acest lucru înseamnă că aduce o mare parte din funcționalitatea tcpdump computerelor bazate pe Windows. Windump poate fi o aplicație Windows, dar nu vă așteptați la o interfață grafică elegantă. Este într-adevăr tcpdump pe Windows și, ca atare, este un utilitar numai pe linia de comandă.
Utilizarea Windump este, practic, aceeași cu utilizarea omologul său *nix. Opțiunile din linia de comandă sunt aproape aceleași și rezultatele sunt, de asemenea, aproape identice. La fel ca tcpdump, ieșirea de la Windump poate fi salvată într-un fișier pentru analiza ulterioară cu un instrument terță parte. Cu toate acestea, grep nu este de obicei disponibil pe computerul Windows, limitând astfel abilitățile de filtrare ale instrumentului.
O altă diferență importantă între tcpdump și Windump este că este la fel de ușor disponibil din depozitul de pachete al sistemului de operare. Va trebui să descărcați software-ul de pe site-ul web Windump. Este livrat ca fișier executabil și nu necesită instalare. Ca atare, este un instrument portabil care ar putea fi lansat de pe o cheie USB. Cu toate acestea, la fel cum tcpdump folosește biblioteca libpcap, Windump folosește Winpcap care trebuie descărcat și instalat separat.
4. Rechinul
Vă puteți gândi la Tshark ca la o încrucișare între tcpdump și Wireshark, dar, în realitate, este, mai mult sau mai puțin, versiunea de linie de comandă a Wireshark. Este de la același dezvoltator ca Wireshark. Tshark se aseamănă cu tcpdump prin faptul că este un instrument numai pe linia de comandă. Dar este și ca Wireshark prin faptul că nu va capta doar traficul. De asemenea, are aceleași capabilități puternice de analiză ca și Wireshark și utilizează același tip de filtrare. Prin urmare, poate izola rapid traficul exact pe care trebuie să îl analizați.
Tshark ridică o întrebare, totuși. De ce ar vrea cineva o versiune de linie de comandă a Wireshark? De ce nu folosiți pur și simplu Wireshark? Majoritatea administratorilor – de fapt, majoritatea oamenilor – ar fi de acord că, în general, instrumentele cu interfețe grafice de utilizator sunt adesea mai ușor de utilizat și de învățat și mai intuitive și mai ușor de utilizat. La urma urmei, nu de aceea au devenit atât de populare sistemele de operare grafică? Motivul principal pentru care oricine ar alege Tshark în detrimentul Wireshark este atunci când doresc doar să facă o captură rapidă direct pe un server în scopul depanării. Și dacă bănuiți o problemă de performanță cu serverul, poate doriți să preferați să utilizați un instrument non-GUI, deoarece poate fi mai puțin solicitant pentru resurse.
5. Network Miner
Network Miner este mai mult un instrument criminalistic decât un sniffer de pachete sau un analizor de rețea. Acest instrument va urma un flux TCP și poate reconstrui o întreagă conversație. Este un instrument cu adevărat puternic pentru analiza aprofundată a traficului, deși unul care poate fi greu de stăpânit. Instrumentul poate funcționa într-un mod offline, în care ar putea importa un fișier de captură – poate creat folosind unul dintre celelalte instrumente analizate – și l-ar lăsa pe Network Miner să-și facă magia. Avand in vedere ca softul ruleaza doar pe Windows, posibilitatea de a lucra din fisiere de captare este cu siguranta un plus. Ai putea, de exemplu, să folosești tcpdump pe Linux pentru a capta o parte din trafic și Network Miner pe Windows pentru a-l analiza.
Network Miner este disponibil într-o versiune gratuită, dar, pentru caracteristicile mai avansate, cum ar fi localizarea geografică și scriptarea bazată pe adrese IP, va trebui să achiziționați o licență Professional care vă va costa 900 USD. O altă funcție avansată a versiunii profesionale este posibilitatea de a decoda și reda apelurile VoIP.
6. Lăutar
Unii dintre cititorii noștri – în special cei mai cunoscători – vor fi tentați să argumenteze că Fiddler, ultima noastră intrare, nu este nici un sniffer de pachete, nici un analizor de rețea. Pentru a fi sincer, ar putea foarte bine să aibă dreptate, dar totuși, am considerat că ar trebui să includem acest instrument pe lista noastră, deoarece poate fi foarte util în mai multe situații diferite.
În primul rând, să clarificăm lucrurile, Fiddler va capta de fapt traficul. Totuși, nu va capta orice trafic. Va funcționa numai cu trafic HTTP. În ciuda acestei limitări, când considerați că atât de multe aplicații de astăzi sunt bazate pe web sau folosesc protocolul HTTP în fundal, este ușor să vedeți cât de valoros poate fi un astfel de instrument. Și, deoarece instrumentul va capta nu numai traficul din browser, ci aproape orice HTTP, poate fi foarte util în depanarea diferitelor tipuri de aplicații.
Principalul avantaj al unui instrument precum Fiddler față de un „adevărat” sniffer de pachete precum Wireshark, este că a fost construit pentru a „înțelege” traficul HTTP. De exemplu, va descoperi module cookie și certificate. De asemenea, va găsi date reale care provin din aplicații bazate pe HTTP. Fiddler este gratuit și este disponibil numai pentru Windows. Cu toate acestea, versiunile beta pentru OS X și Linux (folosind cadrul Mono) pot fi descărcate.