Nejlepší analyzátory a sniffery síťového provozu pro Windows a Linux zdarma

Obsah

Dnes je používání internetu pro mnoho lidí stále častější a důležitější, protože díky tomuto připojení budeme mít přístup k různým platformám, jako jsou e -maily, firemní stránky, stránky zájmu nebo zábavy a obecně vše, co internet nabízí nás.

Je však velmi důležité, abychom zvážili zabezpečení sítě. Víme, že vysoké procento útoků na informační zařízení je prováděno prostřednictvím sítě a mnohokrát je to naše chyba (špatná hesla, stahování neznámých souborů, otevírání spustitelných souborů v e -mailech), ale pokud nemáte základní znalosti o tom, jak síť funguje můžete být (pokud jste nebyli) ještě jednou obětí tohoto typu útoku.

Internet je opravdu obrovská síť protokolů, služeb a infrastruktury, která umožňuje připojení k síti všude a více než 90% z nás slyšelo o TCP / IP, HTTP, SMTP atd.

Všechno to jsou protokoly, které hrají klíčovou roli ve způsobu, jakým se síť dostane k vašemu PC nebo zařízení, ale za tím jsou routery a další komponenty, které pokud selžou, stanou se dvě věci, nebo vy zůstanete bez přístupu k síti. jste náchylní k napadení. Proto se vývojáři sítí a síťových produktů pokusili vytvořit aplikace, které známe jako Sniffers a síťové analyzátory, a přestože jsou obecně velmi technické, pravdou je, že je to cenný nástroj k určení, v jakém bodě komunikace může dojít k chybě.

Co je SnifferSniffer nebo síťový analyzátor jsou hardwarové nebo softwarové nástroje, které byly vyvinuty s cílem generovat neustálé monitorování lokálního nebo externího síťového provozu. Toto sledování má v zásadě na starosti analýzu toků datových paketů, které jsou odesílány a přijímány mezi počítači v síti, ať už interně nebo externě.

Používá režim sledování nazývaný „promiskuitní režim“, se kterým nám dává příležitost prozkoumat všechny pakety bez ohledu na místo určení, což může nějakou dobu trvat, ale je klíčové s jistotou vědět, co prochází naší sítí.

Můžeme konfigurovat Sniffer dvěma různými způsoby v závislosti na požadavku podpory, tyto režimy jsou:

  • Můžeme jej nakonfigurovat bez filtru, aby nástroj zachytil všechny dostupné balíčky a uložil o nich záznam na místní pevný disk, aby je mohl později analyzovat.
  • Lze jej nakonfigurovat pomocí specifického filtru, který nám dává příležitost zachytit pakety na základě kritérií, která zadáme před vyhledáváním.

Sniffery nebo síťové analyzátory lze použít stejně v síti LAN nebo Wi-Fi. Hlavní rozdíl je v tom, že pokud je používán v síti LAN, budeme mít přístup k paketům jakéhokoli připojeného zařízení. Nebo můžete stanovit omezení na základě síťových zařízení, v případě použití bezdrátové sítě bude analyzátor sítě schopen skenovat pouze jeden kanál najednou kvůli omezení sítě, ale pokud použijeme několik bezdrátových rozhraní, může to trochu vylepšit, ale vždy je lepší jej použít v kabelové nebo LAN síti.

Když sledujeme pakety pomocí Sniffer nebo síťového analyzátoru, můžeme získat přístup k podrobnostem, jako jsou:

  • Informace o navštívených stránkách
  • Obsah a příjemce odeslaných a přijatých e -mailů
  • Zobrazit stažené soubory a mnoho dalších podrobností

Hlavním cílem Sniffer je analyzovat všechny pakety v síti, zejména příchozí provoz, hledat jakýkoli objekt, jehož obsah obsahuje škodlivý kód a tímto způsobem zvýšit zabezpečení v organizaci tím, že zabrání instalaci jakéhokoli typu zařízení na libovolného klienta počítač. malware.

S trochou znalostí toho, jak funguje síťový analyzátor, budeme znát některé z nejlepších síťových analyzátorů nebo Sniffer, které jsou k dispozici pro Windows a Linux.

Wireshark

Pokud jste se kdykoli pokusili provést síťovou analýzu bez pochyb, že jste viděli nebo vám byl doporučen WireShark jako jedno z nejlepších řešení a není nerozumné o tom přemýšlet, důvod je jednoduchý, WireShark se umístil jako jeden z nejpoužívanějších analyzátorů síťových protokolů miliony lidí na světě, a to nejen díky snadnému použití, ale také díky vestavěným funkcím.

funkceMezi jeho vlastnosti zdůrazňujeme následující:

  • Lze jej bezproblémově spustit na systémech jako Windows, Linux, macOS, Solaris, FreeBSD, NetBSD a dalších.
  • Integruje výkonnou analýzu pro VoIP.
  • Může provést hloubkovou kontrolu více než 100 protokolů.
  • Může provádět živé zachycení a offline analýzu síťových paketů.
  • Podporuje formáty čtení a zápisu, jako jsou tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (komprimované a nekomprimované), Sniffer® Pro a NetXray®, Network Instruments Observer, NetScreen snoop, Novell LANalyzer, RADCOM WAN / LAN Analyzer, Shomiti / Finisar Surveyor, Tektronix K12xx, Visual Networks Time Up Visual, WildPackets EtherPeek / TokenPeek / AiroPeek a další.
  • Data, která jsou zachycena živě, lze číst z platforem, jako je Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, což nám poskytuje širokou škálu přístupových možností.
  • Zachycená síťová data lze prozkoumat pomocí grafického rozhraní (GUI) nebo prostřednictvím TShark v režimu TTY.
  • Podporuje dešifrování více protokolů, jako jsou IPsec, ISAKMP, Kerberos, SNMPv3, SSL / TLS, WEP a WPA / WPA2
  • Pro lepší správu získaných dat můžeme implementovat barevná pravidla.
  • Výsledky lze exportovat do formátu XML, PostScript®, CSV nebo prostého textu (CSV)

Jeho stažení je k dispozici na následujícím odkazu:

Tam si můžeme stáhnout spustitelný soubor pro Windows 10 a v případě Linuxu si můžeme stáhnout zdrojový kód nebo v terminálu spustit následující příkazy:

 sudo apt aktualizovat sudo apt nainstalovat WireShark sudo usermod -aG WireShark $ (whoami) sudo restart
Jakmile je nainstalován ve Windows 10 nebo Linuxu, v době jeho provedení vybereme síťový adaptér k analýze a poté uvidíme následující:

Ve Windows 10

Jakmile chceme proces zastavit, klikněte na Zastavit a uvidíme příslušné výsledky, které můžeme definovat podrobněji z dostupných nabídek:

LinuxV případě Linuxu uvidíme následující:

EtherApe

Toto je exkluzivní nástroj pro systémy UNIX, protože jej lze spustit pouze na operačních systémech, jako jsou:

  • Arch Linux
  • Mageia 6
  • CENTOS 7
  • Fedora 24, 25, 26, 27, 28 a 29
  • ScientificLinux 7
  • SLES 12, 12 SP1 a 12 SP3
  • OpenSUSE 13.2, Leap 42.1 / 42.2 / 42.3 a Tumbleweed / Factory.
EtherApe byl vyvinut jako aplikace GTK 3, pomocí které můžeme monitorovat a zobrazovat stav zařízení prostřednictvím grafického rozhraní a získávat podrobnosti o protokolech IP a TCP v reálném čase, což je užitečné pro detekci jakékoli anomálie nebo chyby.

funkceMezi jeho nejvýraznější funkce patří:

  • Uzel i barva odkazu zvýrazňují nejaktivnější protokol v síti.
  • Můžeme vybrat úroveň protokolů, které se mají filtrovat.
  • Použitý síťový provoz je pro lepší pochopení detailů znázorněn graficky.
  • Podporuje protokoly jako ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN, ICMP, IGMP, GGP, IPIP, TCP, EGP, PUP, UDP, IDP, TP, ROUTING, RSVP, GRE, ESP, AH, EON, VINES, EIGRP, OSPF, ENCAP, PIM, IPCOMP, VRRP;
  • Podporuje služby TCP a UDP, TELNET, FTP, HTTP, POP3, NNTP, NETBIOS, IRC, DOMAIN, SNMP a další.
  • Podporuje použití síťového filtru převzetím syntaxe pcap.
  • Umožňuje analyzovat síť od konce do konce IP nebo port na port TCP.
  • Data lze zachytit offline.
  • Shromážděná data lze číst z rozhraní Ethernet, FDDI, PPP, SLIP a WLAN.
  • Zobrazí statistiku provozu podle uzlu.
  • U EtherApe se překlad názvů provádí pomocí standardních funkcí libc, to znamená, že podporuje DNS, hostitelské soubory a další služby.
  • Výsledky lze exportovat do souboru XML.

K instalaci tohoto nástroje v Linuxu musíme provést následující:

 sudo apt-get update sudo apt-get install etherape
Jakmile je nainstalován, přistupujeme k tomuto nástroji provedením následujícího:
 sudo etherape
Díky tomu bude EtherApe spuštěn z terminálu a automaticky se zobrazí grafické rozhraní aplikace:

ZVĚTŠIT

Tam budeme mít nabídku, kde bude možné aplikovat filtry nebo pravidla.

Tcpdump

Jedná se o nástroj pro systémy Linux, který zachycuje příchozí i odchozí síťový provoz, a tuto aplikaci lze nainstalovat na operační systémy Unix / Linux, protože má knihovnu libpcap, která provádí proces zachycování provozu z vybrané sítě.
Chcete -li jej nainstalovat, spusťte v terminálu následující:

 sudo apt nainstalovat tcpdump
ParametryNěkteré z použitých parametrů jsou:
  • -A: Vytiskněte každý paket (bez záhlaví na úrovni odkazu) v ASCII.
  • -b: Vytiskněte číslo AS v paketech BGP v notaci ASDOT místo zápisu ASPLAIN.
  • -B buffer_size, --buffer-size = buffer_size: Umožňuje definovat velikost vyrovnávací paměti pro zachycení v buffer_size, v jednotkách KiB (1024 bytů).
  • -c count: Ukončí příkaz po přijetí síťových paketů.
  • -C velikost_souboru: zkontrolujte, zda je soubor větší než původní velikost souboru.
  • -d: Zkopírujte zkompilovaný kód balíčku do čitelné podoby.
  • -dd: Zkopírujte kód balíčku jako fragment programu C.
  • -D --list-interfaces: Vytiskne seznam dostupných rozhraní.
  • -e: Vytiskne záhlaví na úrovni odkazu.
  • -E: Použijte spi @ ipaddr k dešifrování paketů ESP IPsec.
  • -f: Vytiskněte adresy IPv4.
  • -F soubor: Umožňuje nám vybrat soubor filtru.
  • -h -help: Tisk nápovědy k příkazu.
  • --version: Zobrazí použitou verzi tcpdump.
  • -i interface --interface = interface: Umožňuje nám vybrat rozhraní pro analýzu pro zachycování paketů.
  • -I --monitor-mode: Aktivujte rozhraní v "režimu monitoru"; který je kompatibilní pouze s rozhraními Wi-Fi IEEE 802.11 a některými operačními systémy.

Kismet

Kismet je jednoduchý nástroj, který se více zaměřuje na bezdrátové sítě, ale díky kterému můžeme analyzovat provoz skrytých sítí nebo SSID, které nebyly odeslány, můžeme jej použít v systémech UNIX, Windows Under Cygwin a OSX.

Kismet plně funguje na rozhraních Wi-Fi, Bluetooth, hardwaru SDR (softwarově definované rádio rádiem definované softwarem) a specializovaném hardwaru pro zachycování.

funkceMezi jeho charakteristikami najdeme:

  • Umožňuje vám exportovat standardní data v JSON a pomáhat při skriptování vašich instancí Kismet.
  • Integruje webové uživatelské rozhraní.
  • Podpora bezdrátového protokolu.
  • Má nový kód vzdáleného snímání, který byl optimalizován pro binární velikost a RAM, což usnadňuje použití integrovaných zařízení pro zachycování paketů v síti.
  • Má formát záznamu, který může zajistit komplexní informace o zařízeních, stavu systému, výstrahách a dalších parametrech.

Jeho instalaci můžeme provést následujícím příkazem:

 sudo apt install kismet
V následujícím odkazu najdete další možnosti instalace kismetu:

NetworkMiner

Jedná se o nástroj pro forenzní analýzu sítě (NFAT - Network Forensic Analysis Tool), který je založen na open source pro systémy Windows, Linux, macOS a FreeBSD. Když nainstalujeme tento nástroj, budeme moci spustit úplnou kontrolu sítě, abychom zachytili všechny pakety, a abychom s nimi mohli detekovat operační systémy, relace, názvy hostitelů atd., A zajistit tak kompletní správu těchto proměnných.

funkceMezi jeho nejvýraznější funkce patří:

  • Můžeme analyzovat soubory PCAP pro offline analýzu.
  • Bude možné spustit pokročilou analýzu síťového provozu (NTA).
  • Provedení v reálném čase.
  • Podporuje adresování IPv6.
  • Je možné extrahovat soubory z provozu FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 a IMAP
  • Podporuje šifrování SSL, HTTPS, SMTPS, IMAPS, POP3S, FTPS a další
  • Dekódování GRE, 802.1Q, PPPoE, VXLAN, OpenFlow, SOCKS, MPLS a EoMPLS

Jeho stažení je k dispozici na následujícím odkazu:

Krok 1
Pro správné používání programu NetworkMiner bude nutné nejprve vytvořit příchozí pravidlo v bráně firewall systému Windows 10:

ZVĚTŠIT

Krok 2
Poté musíme spustit nástroj jako správce pro přístup ke skenování počítačů v síti a tam vybrat různé možnosti:

ZVĚTŠIT

Krok 3
Při výběru hostitele můžeme vidět načtené prvky na příslušných kartách:

ZVĚTŠIT

Analyzátor zpráv Microsoft

Jak již z názvu můžete tušit, jedná se o exkluzivní nástroj Windows 10, který byl vyvinut společností Microsoft k provádění úkolů, jako je zachycování, zobrazování a analýza provozu protokolových zpráv a dalších zpráv z operačního systému, navíc při používáme Tento nástroj dokáže importovat, přidávat nebo analyzovat data ze souborů protokolu a sledování sítě.

Některé z jeho funkcí jsou

  • Zachyťte živá data
  • Načíst data z více zdrojů dat současně
  • Zobrazit data trasování nebo protokolu
  • Různé možnosti zobrazení a další

Krok 1
Jeho bezplatné stažení je k dispozici na následujícím odkazu:

Krok 2
Po spuštění uvidíme následující prostředí (musí být spuštěno jako správce):

ZVĚTŠIT

Krok 3
Tam bude možné stanovit pravidla barev, přidat sloupce, nastavit filtry a další, když vybereme některý z řádků v dolní části, najdeme o něm konkrétnější podrobnosti:

ZVĚTŠIT

Windump

Windump je verze Tcpdump pro prostředí Windows, protože Windump je kompatibilní s Tcpdump a můžeme jej nainstalovat pro prohlížení, diagnostiku nebo pokud chceme ušetřit síťový provoz pomocí používání a implementace pravidel.

WinDump zachycuje síťový provoz prostřednictvím knihovny WinPcap a ovladačů, proto si nejprve musíme WinPcap stáhnout zdarma na následujícím odkazu:

Poté můžeme Windump stáhnout na následujícím odkazu:

Při jeho spuštění se otevře konzola příkazového řádku a tam můžeme definovat rozhraní pomocí parametru -i:

 WinDump.exe -i 1

ZVĚTŠIT

Analyzátor sítě Capsa

Je k dispozici v bezplatné verzi a placené verzi s více funkcemi, ale oba nám umožňují provádět úkoly síťové analýzy monitorující každý příchozí a odchozí paket i použité protokoly, což bude velmi užitečné pro opravu chyb a provádění podrobná analýza sítě.

V bezplatné verzi bude možné:

  • Monitorujte až 10 IP adres ve vybrané síti.
  • Trvání až 4 hodiny na relaci.
  • Můžeme přijímat upozornění ze síťových adaptérů.
  • Umožňuje uložit a exportovat výsledky.
Bezplatnou verzi si můžete stáhnout na následujícím odkazu:

Po stažení a spuštění bude toto prostředí nabízené obslužným programem:

ZVĚTŠIT

Tam budeme mít grafické znázornění síťového provozu a v horní části budeme mít různé nástroje pro filtrování a řízení síťových paketů.

Netcat

Netcat je integrovaný příkaz v systémech Windows a Linux, díky kterému bude možné číst a zapisovat data pomocí protokolu TCP / IP v různých síťových připojeních, lze jej použít samostatně nebo s jinými aplikacemi jako nástroj pro průzkum a ladění lokální nebo externí sítě.
Mezi jeho funkce patří:

  • Integrováno v samotném systému
  • Zachyťte odchozí a příchozí připojení
  • Má vestavěné možnosti skenování portů
  • Má pokročilé funkce
  • Může skenovat kódy RFC854 a telnet

Můžeme spustit například následující řádek:

 netcat -z -v solvetic.com 15-30
Tím se načtou porty 15 až 30 a zobrazí se, které z nich jsou otevřené a které nikoli:

Proměnná -z se používá pro účely skenování (nulový režim) a parametr -v (podrobný) zobrazuje informace čitelně.
Existují další parametry, které můžeme použít jako:

  • -4: Zobrazí adresy IPv4
  • -6: Podporuje adresy IPv6
  • -b: Podporuje vysílání
  • -D: Povolit režim ladění
  • -h: Zobrazí nápovědu k příkazu
  • -i Interval: Umožňuje použít časový interval mezi řádky
  • -l: Povolit režim poslechu
  • -n: Potlačí název nebo rozlišení portu
  • -r: Optimalizace vzdálených portů

Viděli jsme různé možnosti síťových analyzátorů a Sniffer, které jsou k dispozici pro Windows a Linux, pomocí kterých můžeme zvýšit výsledky našich úkolů podpory a řízení.

wave wave wave wave wave