Geriausi tinklo srauto analizatoriai ir uostikliai „Windows“ ir „Linux“ nemokamai

Šiandien naudojimasis internetu tampa vis dažnesnis ir svarbus daugeliui žmonių, nes šio ryšio dėka galėsime pasiekti įvairias platformas, pvz., El. Paštą, įmonių puslapius, dominančias ar pramogų svetaines ir apskritai viską, ką siūlo internetas mus.

Tačiau labai svarbu atsižvelgti į tinklo saugumą. Mes žinome, kad didelė dalis atakų prieš informacinę įrangą vykdoma per tinklą ir dažnai tai yra mūsų kaltė (blogi slaptažodžiai, nežinomų failų atsisiuntimas, vykdomųjų failų atidarymas el. Laiškuose), tačiau jei neturite pagrindinių žinių apie tinklo veikimą galite būti (jei nesate buvę) dar viena tokio tipo atakos auka.

Internetas iš tikrųjų yra milžiniškas protokolų, paslaugų ir infrastruktūros tinklas, leidžiantis nešti tinklo ryšį visur ir daugiau nei 90% mūsų yra girdėję apie TCP / IP, HTTP, SMTP ir kt.

Visa tai yra protokolai, kurie atlieka pagrindinį vaidmenį, kai tinklas pasiekia jūsų kompiuterį ar įrenginį, tačiau už jo slypi maršrutizatoriai ir kiti komponentai, kurių nepavykus įvyksta du dalykai arba jūs neturite prieigos prie tinklo. Arba esate linkęs būti užpultas. Štai kodėl tinklo ir tinklų produktų kūrėjai stengėsi sukurti programas, kurias mes žinome kaip šnipintuvus ir tinklo analizatorius. gali atsirasti klaida.

Kas yra Sniffer„Sniffer“ arba tinklo analizatorius yra tiek aparatinė, tiek programinė įranga, sukurta siekiant nuolat stebėti vietinio ar išorinio tinklo srautą. Šis stebėjimas iš esmės yra atsakingas už duomenų paketų srautų, kurie siunčiami ir gaunami tarp tinklo kompiuterių tiek viduje, tiek išorėje, analizę.

Jis naudoja stebėjimo režimą, vadinamą „keistu režimu“, kuriuo naudodamasis suteikia mums galimybę ištirti visus paketus, neatsižvelgiant į jų paskirties vietą, tai gali užtrukti, tačiau labai svarbu tiksliai žinoti, kas eina per mūsų tinklą.

Mes galime sukonfigūruoti „Sniffer“ dviem skirtingais būdais, priklausomai nuo palaikymo poreikio, šie režimai:

• Galime jį sukonfigūruoti be filtro, kad įrankis užfiksuotų visus turimus paketus ir išsaugotų jų įrašą vietiniame kietajame diske, kad vėliau juos išanalizuotų.

• Jis gali būti sukonfigūruotas naudojant specialų filtrą, kuris suteikia mums galimybę užfiksuoti paketus pagal kriterijus, kuriuos nurodėme prieš paiešką.

Sniffers arba tinklo analizatoriai gali būti vienodai naudojami LAN arba „Wi-Fi“ tinkle. Pagrindinis skirtumas yra tas, kad jei jis bus naudojamas LAN tinkle, turėsime prieigą prie bet kokios prijungtos įrangos paketų. Arba galite nustatyti apribojimą pagal tinklo įrenginius, jei naudojate belaidį tinklą, tinklo analizatorius dėl tinklo apribojimų vienu metu galės nuskaityti tik vieną kanalą, tačiau jei naudosime kelias belaidžio ryšio sąsajas, tai gali šiek tiek patobulinti, tačiau visada geriau jį naudoti laidiniame arba LAN tinkle.

Kai sekame paketus naudodami „Sniffer“ arba tinklo analizatorių, galime pasiekti tokią informaciją:

• Informacija apie lankomas svetaines

• Išsiųstų ir gautų el. Laiškų turinys ir gavėjas

• Peržiūrėkite atsisiųstus failus ir daug daugiau informacijos

Pagrindinis „Sniffer“ tikslas yra išanalizuoti visus tinklo paketus, ypač įeinantį srautą, ieškoti bet kokio objekto, kurio turinyje yra kenkėjiško kodo, ir tokiu būdu padidinti organizacijos saugumą, užkertant kelią bet kokio tipo įrenginių įdiegimui bet kuriame kliente kompiuteris, kenkėjiška programa.

Šiek tiek žinodami, kaip veikia tinklo analizatorius, pažinsime keletą geriausių tinklo analizatorių arba „Sniffer“, prieinamų „Windows“ ir „Linux“.

„Wireshark“

Jei bet kuriuo metu be jokių abejonių bandėte atlikti tinklo analizę, kad „WireShark“ matėte ar jums buvo rekomenduotas vienas geriausių sprendimų ir nėra nepagrįsta apie tai galvoti, priežastis paprasta, „WireShark“ nustatė savo poziciją yra vienas iš plačiausiai naudojamų milijonų pasaulio tinklo protokolų analizatorių ne tik dėl paprasto naudojimo, bet ir dėl integruotų funkcijų.

funkcijosTarp jo savybių išskiriame šiuos dalykus:

• Jis gali būti sklandžiai paleistas tokiose sistemose kaip „Windows“, „Linux“, „MacOS“, „Solaris“, „FreeBSD“, „NetBSD“ ir kt.

• Jame integruota galinga VoIP analizė.

• Jis gali atlikti išsamų daugiau nei 100 protokolų patikrinimą.

• Jis gali atlikti tiesioginį tinklo paketų fiksavimą ir neprisijungus analizę.

• Jis palaiko skaitymo ir rašymo formatus, tokius kaip „tcpdump“ (libpcap), „Pcap NG“, „Catapult DCT2000“, „Cisco Secure IDS iplog“, „Microsoft Network Monitor“, „Network General Sniffer®“ (suspaustas ir nesuspaustas), „Sniffer® Pro“ ir „NetXray®“, „Network Instruments Observer“, „NetScreen snoop“, „Novell LANalyzer“, RADCOM WAN / LAN analizatorius, „Shomiti“ / „Finisar Surveyor“, „Tektronix K12xx“, „Visual Networks Time Up Visual“, „WildPackets EtherPeek“ / „TokenPeek“ / „AiroPeek“ ir kt.

• Tiesiogiai užfiksuotus duomenis galima skaityti iš tokių platformų kaip „Ethernet“, IEEE 802.11, PPP / HDLC, bankomatai, „Bluetooth“, USB, „Token Ring“, „Frame Relay“, FDDI, o tai suteikia mums platų prieigos galimybių spektrą.

• Užfiksuotus tinklo duomenis galima tyrinėti naudojant grafinę sąsają (GUI) arba per TShark TTY režimu.

• Palaiko iššifruoti kelis protokolus, tokius kaip IPsec, ISAKMP, Kerberos, SNMPv3, SSL / TLS, WEP ir WPA / WPA2

• Mes galime įgyvendinti spalvų taisykles, kad geriau valdytume gautus duomenis.

• Rezultatai gali būti eksportuojami į XML, PostScript®, CSV arba paprastą tekstą (CSV)

Jos atsisiuntimą galima rasti šioje nuorodoje:

Ten galime atsisiųsti vykdomąjį failą, skirtą „Windows 10“, o „Linux“ atveju galime atsisiųsti šaltinio kodą arba vykdyti šias komandas terminale:

 sudo apt atnaujinti sudo apt įdiegti WireShark sudo usermod -aG wirehark $ (whoami)

Įdiegę „Windows 10“ arba „Linux“, jo vykdymo metu mes pasirinksime tinklo adapterį, kurį norime analizuoti, ir tada matysime šiuos dalykus:

„Windows 10“

Kai norime sustabdyti procesą, spustelėkite Sustabdyti ir galime pamatyti atitinkamus rezultatus, kuriuos galime išsamiau apibrėžti iš galimų meniu:

Linux„Linux“ atveju matysime šiuos dalykus:

„EtherApe“

Tai išskirtinė programa, skirta UNIX sistemoms, nes ją galima vykdyti tik tokiose operacinėse sistemose kaip:

• Arch „Linux“

• Mageia 6

• CENTOS 7

• „Fedora“ 24, 25, 26, 27, 28 ir 29

• „ScientificLinux 7“

• SLES 12, 12 SP1 ir 12 SP3

• „OpenSUSE 13.2“, šuolis 42.1 / 42.2 / 42.3 ir „Tumbleweed“ / „Factory“.

„EtherApe“ buvo sukurta kaip „GTK 3“ programa, su kuria galime stebėti ir peržiūrėti įrenginio būseną per grafinę sąsają, realiu laiku gauti išsamią informaciją apie IP ir TCP protokolus, o tai naudinga aptikti bet kokias anomalijas ar klaidas.

funkcijosKai kurios jo išskirtinės savybės yra šios:

• Tiek mazgas, tiek nuorodos spalva išryškina aktyviausią tinklo protokolą.

• Mes galime pasirinkti filtruojamų protokolų lygį.

• Naudojamas tinklo srautas vaizduojamas grafiškai, kad būtų galima geriau suprasti detales.

• Palaiko tokius protokolus kaip ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN, ICMP, IGMP, GGP, IPIP, TCP, EGP, PUP, UDP, IDP, TP, ROUTING, RSVP, GRE, ESP, AH, EON, VINES, EIGRP, OSPF, ENCAP, PIM, IPCOMP, VRRP;

• Palaiko TCP ir UDP paslaugas, TELNET, FTP, HTTP, POP3, NNTP, NETBIOS, IRC, DOMAIN, SNMP ir kt.

• Jis palaiko tinklo filtro naudojimą paimdamas pcap sintaksę.

• Tai leidžia analizuoti tinklą nuo galo iki IP arba prievado iki prievado TCP.

• Duomenis galima fiksuoti neprisijungus.

• Surinktus duomenis galima skaityti iš Ethernet, FDDI, PPP, SLIP ir WLAN sąsajų.

• Rodo srauto statistiką pagal mazgą.

• Naudojant „EtherApe“, vardo skiriamoji geba atliekama naudojant standartines libc funkcijas, tai reiškia, kad ji palaiko DNS, pagrindinius failus ir kitas paslaugas.

• Rezultatus galima eksportuoti į XML failą.

Norėdami įdiegti šią paslaugą „Linux“, turime atlikti šiuos veiksmus:

 sudo apt-get update sudo apt-get install etherape

Įdiegę prieiname prie programos, atlikdami šiuos veiksmus:

 sudo eterrapija

Dėl to „EtherApe“ bus vykdomas iš terminalo, o programos grafinė sąsaja bus automatiškai rodoma:

DIDELIS

Ten turėsime meniu, kuriame bus galima taikyti filtrus ar taisykles.

Tcpdump

Tai programa, skirta „Linux“ sistemoms, kuri fiksuoja tiek įeinantį, tiek išeinantį tinklo srautą, ir šią programą galima įdiegti „Unix“ / „Linux“ operacinėse sistemose, nes joje yra libpcap biblioteka, skirta srautui iš pasirinkto tinklo surinkti.
Norėdami jį įdiegti, tiesiog paleiskite terminale:

 sudo apt įdiegti tcpdump

ParametraiKai kurie parametrai, kuriuos reikia naudoti, yra šie:

• -A: Spausdinkite kiekvieną paketą (neįskaitant nuorodos lygio antraštės) į ASCII.

• -b: spausdinkite AS numerį BGP paketuose ASDOT žymėjime, o ne ASPLAIN žymėjime.

• -B buffer_size, --buffer-size = buffer_size: leidžia nustatyti fiksavimo buferio dydį, esantį buffer_size, KiB vienetais (1024 baitai).

• -c count: išeina iš komandos gavus tinklo paketus.

• -C failo_dydis: patikrinkite, ar failas yra didesnis už pradinį failo dydį.

• -d: Išmeskite surinktą paketo kodą žmonėms suprantama forma.

• -dd: išmeskite paketo kodą kaip C programos fragmentą.

• -D --list-interfaces: išspausdinkite galimų sąsajų sąrašą.

• -e: išspausdinkite nuorodos lygio antraštę.

• -E: naudokite spi @ ipaddr, kad iššifruotumėte ESP IPsec paketus.

• -f: spausdinkite IPv4 adresus.

• -F failas: leidžia mums pasirinkti filtro failą.

• -h -help: išspausdinkite komandai skirtą pagalbą.

• --versija: rodyti naudotą tcpdump versiją.

• -i sąsaja --interface = interface: leidžia pasirinkti sąsają, kurią reikia analizuoti paketų gaudymui.

• -I-monitoriaus režimas: suaktyvinkite sąsają „monitoriaus režimu“; kuri suderinama tik su IEEE 802.11 „Wi-Fi“ sąsajomis ir kai kuriomis operacinėmis sistemomis.

Kismetas

„Kismet“ yra paprastas įrankis, labiau orientuotas į belaidžius tinklus, tačiau kurio dėka galime analizuoti paslėptų tinklų ar SSID, kurie nebuvo išsiųsti, srautą, galime naudoti jį UNIX, „Windows Under Cygwin“ ir OSX sistemose.

„Kismet“ visiškai veikia „Wi-Fi“ sąsajose, „Bluetooth“, SDR aparatinėje įrangoje (programinės įrangos apibrėžta radijo programinės įrangos apibrėžta radijo stotis) ir specializuotoje fiksavimo aparatūroje.

funkcijosTarp jo savybių mes pastebime:

• Leidžia eksportuoti standartinius JSON duomenis, kad būtų lengviau kurti „Kismet“ egzempliorius.

• Jame integruota žiniatinklio vartotojo sąsaja.

• Belaidžio protokolo palaikymas.

• Jis turi naują nuotolinio fiksavimo kodą, kuris buvo optimizuotas dvejetainiam dydžiui ir RAM, tai palengvina integruotų įrenginių naudojimą paketams tinkle fiksuoti.

• Jis turi įrašų formatą, kuris gali užtikrinti sudėtingą informaciją apie įrenginius, sistemos būseną, įspėjimus ir kitus parametrus.

Mes galime atlikti jo diegimą naudodami šią komandą:

 sudo apt install kismet

Šioje nuorodoje rasite daugiau kismet diegimo galimybių:

„NetworkMiner“

Tai tinklo teismo ekspertizės priemonė (NFAT - Network Forensic Analysis Tool), pagrįsta atviro kodo „Windows“, „Linux“, „MacOS“ ir „FreeBSD“ sistemomis. Įdiegę šį įrankį, galime atlikti pilną tinklo nuskaitymą, kad užfiksuotų visus paketus ir kartu su jais galėtume aptikti operacines sistemas, seansus, pagrindinio kompiuterio pavadinimus ir tt, kad galėtume visiškai valdyti šiuos kintamuosius.

funkcijosKai kurios jo išskirtinės savybės yra šios:

• Mes galime išanalizuoti PCAP failus, kad galėtume analizuoti neprisijungę.

• Bus galima atlikti išplėstinę tinklo srauto analizę (NTA).

• Vykdymas realiu laiku.

• Palaiko IPv6 adresavimą.

• Galima išgauti failus iš FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 ir IMAP srauto

• Palaiko SSL, HTTPS, SMTPS, IMAPS, POP3S, FTPS ir daugiau šifravimo

• GRE, 802.1Q, PPPoE, VXLAN, OpenFlow, SOCKS, MPLS ir EoMPLS išardymas

Jos atsisiuntimą galima rasti šioje nuorodoje:

1 žingsnis
Norint tinkamai naudoti „NetworkMiner“, pirmiausia reikės sukurti įeinančią taisyklę „Windows 10“ užkardoje:

DIDELIS

2 žingsnis
Po to mes turime paleisti įrankį kaip administratorių, kad galėtume pasiekti tinklo kompiuterių nuskaitymą ir ten pasirinkti įvairias parinktis:

DIDELIS

3 žingsnis
Renkantis pagrindinį kompiuterį, atitinkamuose skirtukuose galime pamatyti įkeltus elementus:

DIDELIS

„Microsoft“ pranešimų analizatorius

Kaip jau galite įtarti iš pavadinimo, tai yra išskirtinė „Windows 10“ programa, kurią „Microsoft“ sukūrė tam, kad atliktų tokias užduotis kaip fiksuoti, rodyti ir analizuoti protokolinių pranešimų ir kitų pranešimų srautą iš operacinės sistemos, be to, kai mes naudojame Ši programa gali importuoti, pridėti ar analizuoti duomenis iš žurnalo failų ir tinklo stebėjimo.

Kai kurios jo funkcijos yra

• Fiksuokite tiesioginius duomenis

• Įkelkite duomenis iš kelių duomenų šaltinių vienu metu

• Rodyti sekimo ar žurnalo duomenis

• Įvairios peržiūros parinktys ir dar daugiau

1 žingsnis
Nemokamą jos atsisiuntimą galite rasti šioje nuorodoje:

2 žingsnis
Vykdę matysime šią aplinką (ji turi būti vykdoma kaip administratorius):

DIDELIS

3 žingsnis
Ten bus galima nustatyti spalvų taisykles, pridėti stulpelių, nustatyti filtrus ir kitus, kai apačioje pasirenkame bet kurią eilutę, rasime daugiau konkrečios informacijos apie tai:

DIDELIS

„Windump“

„Windump“ yra „Tcpdump“, skirta „Windows“ aplinkai, versija, nes „Windump“ yra suderinama su „Tcpdump“, ir mes galime ją įdiegti, kad galėtume peržiūrėti, diagnozuoti arba jei norime sutaupyti tinklo srauto naudojant ir įgyvendinant taisykles.

„WinDump“ fiksuoja tinklo srautą per „WinPcap“ biblioteką ir tvarkykles, todėl pirmiausia turime nemokamai atsisiųsti „WinPcap“ naudodami šią nuorodą:

Tada galime atsisiųsti „Windump“ iš šios nuorodos:

Vykdant jį, atsidarys komandų eilutės konsolė ir ten galime apibrėžti sąsają su parametru -i:

 „WinDump.exe“ -i 1

DIDELIS

„Capsa“ tinklo analizatorius

Jis yra nemokamos ir mokamos versijos su daugiau funkcijų, tačiau leidžia mums atlikti tinklo analizės užduotis, stebint kiekvieną gaunamą ir siunčiamą paketą, taip pat naudojamus protokolus. Tai bus labai naudinga klaidoms ištaisyti ir atlikti išsami tinklo analizė.

Nemokamoje versijoje bus galima:

• Stebėkite iki 10 IP adresų pasirinktame tinkle.

• Vienos sesijos trukmė iki 4 valandų.

• Mes galime gauti įspėjimus iš tinklo adapterių.

• Leidžia išsaugoti ir eksportuoti rezultatus.

Nemokamą versiją galima atsisiųsti iš šios nuorodos:

Atsisiuntus ir įvykdžius, tai bus aplinka, kurią siūlo programa:

DIDELIS

Ten mes turėsime grafinį tinklo srauto vaizdą, o viršutinėje dalyje - įvairius tinklo paketų filtravimo ir valdymo įrankius.

„Netcat“

„Netcat“ yra integruota komanda „Windows“ ir „Linux“ sistemose, kurios dėka bus galima skaityti ir rašyti duomenis naudojant TCP / IP protokolą įvairiuose tinklo ryšiuose, jis gali būti naudojamas atskirai arba su kitomis programomis, kurios bus naudojamos kaip priemonė vietinio ar išorinio tinklo tyrimas ir derinimas.
Tarp jo funkcijų randame:

• Integruota pačioje sistemoje

• Užfiksuokite išeinančius ir gaunamus ryšius

• Turi integruotas prievadų nuskaitymo galimybes

• Jis turi išplėstines funkcijas

• Gali nuskaityti RFC854 ir telnet kodus

Pavyzdžiui, galime įvykdyti šią eilutę:

 netcat -z -v solvetic.com 15-30

Tai perskaitys nuo 15 iki 30 prievadų, kad būtų parodyta, kurie iš jų yra atidaryti, o kurie ne:

Kintamasis -z naudojamas nuskaitymui (nulinis režimas), o parametras -v (daugžodis) informaciją pateikia įskaitomai.
Yra papildomų parametrų, kuriuos galime naudoti:

• -4: rodo IPv4 adresus

• -6: palaiko IPv6 adresus

• -b: palaiko transliaciją

• -D: įjunkite derinimo režimą

• -h: rodo komandų pagalbą

• -i intervalas: leidžia taikyti laiko intervalą tarp eilučių

• -l: įjunkite klausymo režimą

• -n: slopina pavadinimą arba prievado skiriamąją gebą

• -r: optimizuokite nuotolinius prievadus

Mes matėme įvairias tinklo analizatorių ir „Sniffer“ parinktis, skirtas „Windows“ ir „Linux“, kuriomis galime padidinti palaikymo ir valdymo užduočių rezultatus.