Программы для анализа трафика. Сетевые анализаторы

Еще года четыре назад высокоскоростной интернет был прерогативой исключительно жителей крупных городов, тогда как на периферии зачастую не было даже плохонького ADSL. Сегодня ситуация меняется, но далеко не такими стремительными темпами, как бы нам того хотелось. А потому старый добрый до сих пор является одной из наиболее необходимых программ на компьютере любого пользователя.

Проблема лишь в том, что за прошедшие годы количество подобных приложений возросло многократно, так что выбрать среди них оптимальный вариант бывает очень и очень непросто. Как же быть? Именно этой проблеме посвящена наша статья.

Начнем с общепризнанного (по мнению Рунета) приложения. Называется оно Download Master. Этот появился уже давно, причем с первых дней покорил пользователей своим функционалом и прекрасной скоростью при закачке файлов. Отличается небольшим размером установочного пакета, полной русификацией и удобным «плавающим окном», которое в виде графика отображает скорость загрузки. Вроде бы все отлично, но…

Но проблема заключается в том, что с каждой новой версией в приложении появляется все больше и больше рекламных сервисов, которые никак не улучшают функционал, зато неплохо потребляют трафик, раздражают пользователя и зачастую тревожат антивирусные программы. Именно поэтому некоторые пользователи выбирают менеджер загрузки Orbit Downloader. Он полностью бесплатен, по части рекламы практически не нагружает юзера, ограничиваясь небольшими текстовыми заметками, отличается неплохой скоростью закачки.

Но и в этом меде не обошлось без изрядной порции дегтя. Начать с того, что последнее обновление программы было в мае текущего года, тогда как у его вышеописанного конкурента новые версии появляются едва ли не каждую неделю. Кроме того, существуют сведения, что этот менеджер загрузки на «полставки» подрабатывает мастером DDoS-атак, а потому в последнее время многие антивирусы относятся к нему не слишком положительно.

Как же быть в такой щекотливой ситуации? Решение есть! Называется оно Internet Download Manager, который сегодня стремительно завоевывает себе огромную армию преданных поклонников. Произошло так потому, что он предлагает отличную скорость при закачке, может «ловить» видео с онлайн-кинотеатров, позволяет просматривать некоторые категории файлов еще до окончания процесса скачивания. Кроме того, этот менеджер загрузки (Windows 7 его отлично поддерживает) не имеет в своем составе ни одного

Но есть свои минусы и у данного приложения. Речь идет о его платности, причем при стоимости почти в 1400 р. согласятся на такую покупку далеко не все отечественные пользователи, которые традиционно привыкли к бесплатному программному обеспечению.

Итак, что же сказать в заключение? Какой из вышеописанных выбрать? Следует отметить, что здесь многое зависит исключительно от вашего вкуса и отношения к рекламе, включенной в состав многих бесплатных продуктов. Если вы не желаете платить и вполне способны смириться со статусом adware, то Download Master - это отличный менеджер загрузки (операционных систем семейства Windows).

Менеджеры загрузки - одна из самых востребованных категорий ПО для домашнего пользователя наряду с браузером и файловым менеджером. Программы, демо-версии игр, патчи, огромные массивы информации в файловых хранилищах - трудно представить себе, как бы мы закачивали их из Интернета без помощи этих полезных утилит. Тем более когда их внушительная функциональность предлагается совершенно даром.

Новые направления развития менеджеров закачки

На первый взгляд, добавить что-то новое в привычный арсенал функций download managers довольно проблематично - за долгий период своего развития они уже обзавелись всем необходимым, и последние пару лет на рынке данного ПО наблюдалась своеобразная стагнация. Неудивительно, что разработка многих ветеранов вроде Go!Zilla или GetRight практически прекращена.

Но прогресс не стоит на месте, и за прошедшее время появилось немало новых задач для download managers - онлайновые видеосервисы, загрузить с которых полюбившийся клип напрямую не получится, или же файловые хостинги, намеренно оставляющие поддержку менеджеров закачки только для VIP-клиентов. К счастью, большинство разработчиков подобного ПО быстро обошли ограничения подобных сервисов на радость благодарной аудитории. Отдельные умельцы продвинулись еще дальше, добавив в свои детища BitTorrent- и eDonkey-клиенты. С одной стороны, отличная идея - ведь теперь вместо нескольких программ нам придется использовать лишь одну, но если рассматривать данный вопрос более глобально и принимать в расчет не только сам факт наличия, но еще и функциональность, становится понятно, что толку от этого немного.

Download Master 5.5.3.1131

Download Master 5.5.3.1131

Freeware

Разработчик WestByte

Размер 4,9 МБ

Вердикт

Прекрасная функциональность; поддержка видеохостингов и файловых хранилищ

На редкость неудобные настройки интерфейса по умолчанию

Украинская программа успешно ломает два закостенелых стереотипа - о том, что бесплатное ПО обязательно должно быть хуже коммерческого и что download managers пригодны только для закачки файлов с HTTP/FTP. Download Master - это уже больше чем просто «менеджер закачки», перед нами универсальный агент для загрузки данных из Сети на все случаи жизни. Теперь не надо мучиться с различным ПО для сохранения клипов с YouTube и прочих видеосервисов - достаточно добавить URL вида youtube.com/watch?v=, и программа сама сгенерирует прямую ссылку, скачает файл, а по вашему желанию тут же проиграет его во встроенном FLV-плеере. Теплых слов заслуживают и FTP-клиент, гибкая регулировка скорости интернет-соединения, мощнейший планировщик, наконец-то догнавший по функциональности своего собрата из ReGet, и множество других бонусов. Правда, об ограничении скорости на каждую закачку, как это умеет делать ReGet, пока остается только мечтать, но учитывая энтузиазм разработчиков, регулярно радующих нас обновлениями программы, мы с большой долей вероятности увидим эту возможность в ближайших версиях DM.

Но особенно радует отличное взаимодействие утилиты с многочисленными файловыми хостингами, где и хранится 90% всей информации НТТР-сектора Интернета. Не секрет, что основная часть файлохранилищ в бесплатном режиме не поддерживают менеджеры загрузки, заставляя нас качать файлы исключительно браузером. DM в большинстве случаев ухитряется «захватить» сгенерированные URL, даже со знаменитого Rapidshare, а при наличии у вас премиум-аккаунта утилита совершенно незаметно интегрируется с подобными сервисами.

Впрочем, кое-какие недостатки у Download Master все-таки есть - на редкость неудобные настройки интерфейса по умолчанию. Программа буквально заваливает нас баннерами, всплывающими окошечками и прочей мишурой, и все это только мешает. К счастью, потратив всего пару минут на «тюнинг» утилиты, пользователь получает в свое распоряжение на удивление комфортный и интуитивно понятный продукт, который заслуженно награждается знаком «Выбор редакции» .

FlashGet 1.96

FlashGet 1.96

Freeware

Размер 4,43 МБ

Вердикт

Универсальный «комбайн» из менеджера закачки, BitTorrent- и eMule-клиента

Отсутствие существенных обновлений на протяжении нескольких лет

Заслуженный ветеран среди download managers: FlashGet до сих пор в почете у многих пользователей, хотя все реже и реже радует нас по-настоящему глобальными обновлениями. Начиная с версии 1.72, создатели FlashGet и вовсе отпустили программу в свободное плавание, переведя ее в статус freeware на радость фанатов и добавив поддержку протоколов eMule и BitTorrent. Последний шаг разработчиков понять довольно трудно - все равно функциональность подобного «комбайна» по сравнению с теми же µTorrent и eMule Plus оставляет желать лучшего, а раздувать программу исключительно ради «галочки» просто несерьезно. Тем более что функциональность самого менеджера по-прежнему осталась на уровне 2004 года - во FlashGet нет даже опции получения размера файла до начала загрузки, не говоря уже о частичной закачке Zip-архивов или поддержки видеосервисов. Конечно, базовые функции ПО подобного класса у FlashGet на месте, как то: многопоточная закачка, гибкая регулировка пропускной способности соединения, простенький планировщик. Но этого явно недостаточно для того, чтобы программа претендовала на титул лучшей в своей категории, да и работа со многими популярными файловыми хостингами у FlashGet тоже далека от идеала. Итого, перед нами неплохой комплекс из менеджера загрузки и р2р-клиента, который вполне подойдет для нетребовательного пользователя, но есть и лучшие утилиты в этой категории.

Free Download Manager 2.5

Free Download Manager 2.5

Freeware

Разработчик Free Download Manager.ORG

Размер 5,62 МБ

Вердикт

Внушительная функциональность; удобный интерфейс

Планировщик нуждается в доработке

Невероятно, но факт - под столь невзрачным названием скрывается на редкость мощная и функциональная утилита, во многом обогнавшая даже хваленый Download Master. К услугам пользователя поддержка популярных файлохранилищ, встроенные torrent-клиент и HTML-«паук», специальный Upload manager для мгновенной загрузки файлов на хостинг WikiFortio (до 100 МБ) - чего желать еще? Отдельного комплимента заслуживает практически идеальная работа FDM с многочисленными видеосервисами - просто добавьте URL странички с клипом, все остальное утилита сделает сама. Если же формат FLV (в котором закодированы видеоролики на YouTube и подобных ему сервисах) вам не по душе, то FDM позволит преобразовать его в более доступный AVI или WMV с помощью встроенного перекодировщика видео. Отлично разработчики потрудились и над интерфейсом - интуитивный, простой и не перегруженный ненужными окошками, он ни в чем не уступает своему «тюнингованному» собрату из DM. Завершает картину встроенный поисковик «зеркал», частичная загрузка Zip-архивов, удобный менеджмент скачанных файлов и даже портативная версия для энтузиастов, привыкших все носить с собой на флэшке. Пожалуй, единственный (и то несущественный) минус утилиты - не самый лучший планировщик, серьезно уступающий своим собратьям из DM и ReGet, но именно этот нюанс не позволил ей претендовать на лавры лидера. Во всем остальном - замечательная альтернатива Download Master!

Orbit Downloader 2.6.1

Orbit Downloader 2.6.1

Freeware

Разработчик OrbitDownloader.com

Размер 2,03 МБ

Вердикт

Лучшая из существующих утилит для работы с файловыми хранилищами и видеосервисами

Не помешал бы FTP-клиент; слабенький планировщик

Несмотря на непритязательный внешний вид, это один из наиболее мощных менеджеров закачки. Сами разработчики называют свое детище social media downloader, как бы подчеркивая его соответствие духу Веб 2.0 и многочисленных WWW-сервисов, запущенных под его эгидой,- MySpace, YouTube, Google Video и т. д. Не хуже у Orbit Downloader дела обстоят и с традиционным сегментом Сети - продвинутый алгоритм поиска «зеркал», базирующийся на р2р-технологиях, отменная работа с Rapidshare и еще почти полусотней других подобных хостингов, поддержка потокового видео и аудио (MMS- и RTSP-протоколы), интеграция с популярными браузерами и т. п. Предметом особой гордости создателей являются минимальные системные требования программы - всего 3 МБ потребляемой оперативной памяти и 3% загрузки процессора во время закачки - выдающийся показатель. Что же касается недостатков, то у Orbit Downloader их практически нет, не считая уже упоминавшегося выше простенького интерфейса, во многом напоминающего классический FlashGet, хотя это скорее плюс, чем минус. Ну и конечно, после идеальных DM и FDM здесь также хотелось бы увидеть мощный планировщик, FTP-клиент и ряд дополнительных функций по работе с видео - раз они есть у конкурентов, то почему им бы не появиться в Orbit? Итого - заслуженные 4 балла и прекрасный выбор для маломощных ПК, где на счету каждый мегабайт памяти и мегагерц процессора.

ReGet Deluxe 5.2 Personal

ReGet Deluxe 5.2 Personal

Freeware

Разработчик ReGet Software

Размер 2,75 МБ

Вердикт

Мощный и удобный download manager

Не умеет скачивать видео с YouTube и подобных ему сервисов

Самый большой сюрприз в стане менеджеров закачки 2007 года - официальный переход одной из наиболее известных программ этой категории в статус freeware для домашнего использования. И хотя нововведений в версии 5.2 не так уж и много (слегка доработан интерфейс, исправлены самые досадные ошибки, приводившие к «падению» программы), этого вполне достаточно для победоносного возвращения бывшего короля рынка. ReGet по-прежнему замечательно справляется с загрузкой файлов даже c самых проблематичных веб-хостингов, поддерживает все известные протоколы (HTTP/HTTPS/FTP/MMS/RTSP) и предоставляет практически неограниченные возможности по настройке параметров каждой закачки. Изюминкой программы по праву считается мощный планировщик, не уступающий по функциональности отдельным коммерческим утилитам, а FTP-клиент и FTP-поисковик выгодно отличают ReGet от остальных конкурентов. Конечно, до идеала ReGet Deluxe пока далеко - в частности, отдельные элементы интерфейса (например, переключение на лету между количеством секций и индивидуальные настройки закачки) нуждаются в дальнейшей полировке, да и поддержка новомодной загрузки флэш-видео с YouTube и прочих видеохостингов была бы совсем не лишней. С другой стороны, с Rapidshare ReGet Deluxe 5.2 работает отменно, экономно расходует системные ресурсы, а по общей функциональности по-прежнему держится на лидирующих позициях среди остальных менеджеров закачки. Разумный выбор для прагматичного пользователя.

Другие бесплатные менеджеры закачки

Одна из первых бесплатных утилит в своей категории, сегодня Fresh Download уже не удивляет ни функциональностью, ни интерфейсом. Поддержка файловых хранилищ или YouTube отсутствует, да и довольно глупая система открытия каждой задачи в новом окне не способствует комфортности работы. Тем не менее, если вас не интересуют веяния Веб 2.0, Fresh Download может оказаться достойным внимания пользователя.

Download Accelerator Manager 3.1

Очередной кандидат на звание штатного менеджера закачки, но с традиционно слабеньким планировщиком. Кроме того, в бесплатной версии утилиты есть ряд неприятных ограничений, не лучшим образом сказывающихся на удобстве работы с ней. К счастью, с видеосервисами никаких проблем не возникло, и это частично реабилитирует программу. Для функционирования DAM требуется.NET Framework 1.1.

Оригинал: 8 best packet sniffers and network analyzers
Автор: Jon Watson
Дата публикации: 22 ноября 2017 года
Перевод: А. Кривошей
Дата перевода: декабрь 2017 г.

Сниффинг пакетов - это разговорный термин, который относится к искусству анализа сетевого трафика. Вопреки распространенному мнению, такие вещи, как электронные письма и веб-страницы, не проходят через сеть интернет одним куском. Они разбиты на тысячи небольших пакетов данных и таким образом отправляются через интернет. В этой статье мы рассмотрим лучшие бесплатные анализаторы сети и снифферы пакетов.

Есть множество утилит, которые собирают сетевой трафик, и большинство из них используют pcap (в Unix-подобных системах) или libcap (в Windows) в качестве ядра. Другой вид утилит помогает анализировать эти данные, так как даже небольшой объем траффика может генерировать тысячи пакетов, в которых трудно ориентироваться. Почти все эти утилиты мало отличаются друг от друга в сборе данных, основные отличия заключаются в том, как они анализируют данные.

Анализ сетевого трафика требует понимания того, как работает сеть. Нет никакого инструмента, который бы волшебным образом заменил знания аналитика об основах работы сети, такие как "3-х этапное рукопожатие" TCP, которое используется для инициирования соединения между двумя устройствами. Аналитики также должны иметь некоторое представление о типах сетевого трафика в нормально функционирующей сети, таких как ARP и DHCP. Это знание важно, потому что аналитические инструменты просто покажут вам то, о чем вы их попросите. Вам решать, что нужно просить. Если вы не знаете, как обычно выглядит ваша сеть, может быть сложно понять, что вы нашли то, что нужно, в массе собранных вами пакетов.

Лучшие снифферы пакетов и анализаторы сети

Промышленные инструменты

Начнем с вершины и далее спустимся к основам. Если вы имеете дело с сетью уровня предприятия, вам понадобится большая пушка. Хотя в основе почти все использует tcpdump (подробнее об этом позже), инструменты уровня предприятия могут решать определенные сложные проблемы, такие как корреляция трафика со множества серверов, предоставление интеллектуальных запросов для выявления проблем, предупреждение об исключениях и создание хороших графиков, чего всегда требует начальство.

Инструменты уровня предприятия, как правило, заточены на потоковую работу с сетевым трафиком, а не на оценку содержимого пакетов. Под этим я подразумеваю, что основное внимание большинства системных администраторов на предприятии заключается в том, чтобы сеть не имела узких мест в производительности. Когда такие узкие места возникают, цель обычно заключается в том, чтобы определить, вызвана ли проблема сетью или приложением в сети. С другой стороны, эти инструменты обычно могут обрабатывать такой большой трафик, что они могут помочь предсказать момент, когда сегмент сети будет полностью загружен, что является критическим моментом управления пропускной способностью сети.

Это очень большой набор инструментов управления IT. В этой статье более уместна утилита Deep Packet Inspection and Analysis которая является его составной частью. Сбор сетевого трафика довольно прост. С использованием таких инструментов, как WireShark, базовый анализ также не является проблемой. Но не всегда ситуация полностью понятна. В очень загруженной сети может быть трудно определить даже очень простые вещи, например:

Какое приложение в сети создает этот трафик?
- если приложение известно (скажем, веб-браузер), где его пользователи проводят большую часть своего времени?
- какие соединения самые длинные и перегружают сеть?

Большинство сетевых устройств, чтобы убедиться, что пакет идет туда, куда нужно, используют метаданные каждого пакета. Содержимое пакета неизвестно сетевому устройству. Другое дело - глубокая инспекция пакетов; это означает, что проверяется фактическое содержимое пакета. Таким образом можно обнаружить критическую сетевую информацию, которую нельзя почерпнуть из метаданных. Инструменты, подобные тем, которые предоставляются SolarWinds, могут выдавать более значимые данные, чем просто поток трафика.

Другие технологии управления сетями с большим объемом данных включают NetFlow и sFlow. У каждой есть свои сильные и слабые стороны,

Вы можете узнать больше о NetFlow и sFlow.

Анализ сетей в целом является передовой темой, которая базируется как на основе полученных знаний, так и на основе практического опыта работы. Можно обучить человека детальным знаниям о сетевых пакетах, но если этот человек не обладает знаниями о самой сети, и не имеет опыта выявления аномалий, он не слишком преуспеет. Инструменты, описанные в этой статье, должны использоваться опытными сетевыми администраторами, которые знают, что они хотят, но не уверены в том, какая утилита лучше. Они также могут использоваться менее опытными системными администраторами, чтобы получить повседневный опыт работы с сетями.

Основы

Основным инструментом для сбора сетевого трафика является

Это приложение с открытым исходным кодом, которое устанавливается практически во всех Unix-подобных операционных системах. Tcpdump - отличная утилита для сбора данных, которая имеет очень сложный язык фильтрации. Важно знать, как фильтровать данные при их сборе, чтобы в итоге получить нормальный набор данных для анализа. Захват всех данных с сетевого устройства даже в умеренно загруженной сети может породить слишком много данных, которые будет очень трудно проанализировать.

В некоторых редких случаях достаточно будет выводить захваченные tcpdump данные прямо на экран, чтобы найти то, что вам нужно. Например, при написании этой статьи я собрал трафик и заметил, что моя машина отправляет трафик на IP-адрес, который я не знаю. Оказывается, моя машина отправляла данные на IP-адрес Google 172.217.11.142. Поскольку у меня не было никаких продуктов Google, и не был открыт Gmail, я не знал, почему это происходит. Я проверил свою систему и нашел следующее:

[ ~ ]$ ps -ef | grep google user 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

Оказывыается, что даже когда Chrome не работает, он остается запущенным как служба. Я не заметил бы этого без анализа пакетов. Я перехватил еще несколько пакетов данных, но на этот раз дал tcpdump задачу записать данные в файл, который затем открыл в Wireshark (подробнее об этом позже). Вот эти записи:

Tcpdump - любимый инструмент системных администраторов, потому что это утилита командной строки. Для запуска tcpdump не требуется графический интерфейс. Для производственных серверов графический интерфес скорее вреден, так как потребляет системные ресурсы, поэтому предпочтительны программы командной строки. Как и многие современные утилиты, tcpdump имеет очень богатый и сложный язык, который требует некоторого времени для его освоения. Несколько самых базовых команд включают в себя выбор сетевого интерфейса для сбора данных и запись этих данных в файл, чтобы его можно было экспортировать для анализа в другом месте. Для этого используются переключатели -i и -w.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes ^C51 packets captured

Эта команда создает файл с захваченными данными:

File tcpdump_packets tcpdump_packets: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 262144)

Стандартом для таких файлов является формат pcap. Он не является текстом, поэтому его можно анализировать только с помощью программ, которые понимают данный формат.

3. Windump

Большинство полезных утилит с открытым исходным кодом в конечном итоге клонируют в другие операционные системы. Когда это происходит, говорят, что приложение было перенесено. Windump - это порт tcpdump и ведет себя очень похожим образом.

Самое существенное различие между Windump и tcpdump заключается в том, что Windump нуждается в библиотеке Winpcap, установленной до запуска Windump. Несмотря на то, что Windump и Winpcap предоставляются одним и тем же майнтайнером, их нужно скачивать отдельно.

Winpcap - это библиотека, которая должна быть предварительно установлена. Но Windump - это exe-файл, который не нуждается в установке, поэтому его можно просто запускать. Это нужно иметь в виду, если вы используете сеть Windows. Вам не обязательно устанавливать Windump на каждой машине, поскольку вы можете просто копировать его по мере необходимости, но вам понадобится Winpcap для поддержки Windup.

Как и в случае с tcpdump, Windump может выводить сетевые данные на экран для анализа, фильтровать таким же образом, а также записывать данные в файл pcap для последующего анализа.

4. Wireshark

Wireshark является следующим самым известным инструментом в наборе системного администратора. Он позволяет не только захватывать данные, но также предоставляет некоторые расширенные инструменты анализа. Кроме того, Wireshark является программой с открытым исходным кодом и перенесен практически на все существующие серверные операционные системы. Под названием Etheral, Wireshark теперь работает везде, в том числе в качестве автономного переносимого приложения.

Если вы анализируете трафик на сервере с графическим интерфейсом, Wireshark может сделать все за вас. Он может собрать данные, а затем анализировать их все здесь же. Однако на серверах графический интерфейс встречается редко, поэтому вы можете собирать сетевые данные удаленно, а затем изучать полученный файл pcap в Wireshark на своем компьютере.

При первом запуске Wireshark позволяет либо загрузить существующий файл pcap, либо запустить захват трафика. В последнем случае вы можете дополнительно задать фильтры для уменьшения количества собираемых данных. Если вы не укажете фильтр, Wireshark будет просто собирать все сетевые данные с выбранного интерфейса.

Одной из самых полезных возможностей Wireshark является возможность следовать за потоком. Лучше всего представить поток как цепочку. На скриншоте ниже мы можем видеть множество захваченных данных, но меня больше всего интересовал IP-адрес Google. Я могу щелкнуть правой кнопкой мыши и следовать потоку TCP, чтобы увидеть всю цепочку.

Если захват трафика производился на другом компьютере, вы можете импортировать файл PCAP с помощью диалога Wireshark File -> Open. Для импортированных файлов доступны те же фильтры и инструменты, что и для захваченных сетевых данных.

5. tshark

Tshark - это очень полезное звено между tcpdump и Wireshark. Tcpdump превосходит их при сборе данных и может хирургически извлекать только те данные, которые вам нужны, однако его возможности анализа данных очень ограничены. Wireshark отлично справляется как с захватом, так и с анализом, но имеет тяжелый пользовательский интерфейс и не может использоваться на серверах без графического интерфейса. Попробуйте tshark, он работает в командной строке.

Tshark использует те же правила фильтрации, что и Wireshark, что не должно удивлять, так как они по сути являются одним и тем же продуктом. Приведенная ниже команда говорит tshark только о том, что необходимо захватить IP-адрес пункта назначения, а также некоторые другие интересующие нас поля из HTTP-части пакета.

# tshark -i eth0 -Y http.request -T fields -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico

Если вы хотите записать трафик в файл, используйте для этого параметр-W, а затем переключатель -r (чтение), чтобы прочитать его.

Сначала захват:

# tshark -i eth0 -w tshark_packets Capturing on "eth0" 102 ^C

Прочитайте его здесь же, или перенесите в другое место для анализа.

# tshark -r tshark_packets -Y http.request -T fields -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /contact 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reservations/ 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reservations/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/images/title.png

Это очень интересный инструмент, который скорее попадает в категорию инструментов сетевого криминалистического анализа, а не просто снифферов. Сфера криминалистики, как правило, занимается расследованиями и сбором доказательств, и Network Miner выполняет эту работу просто отлично. Также, как wireshark может следовать потоку TCP, чтобы восстановить всю цепочку передачи паков, Network Miner может следовать потоку для того, чтобы восстановить файлы, которые были переданы по сети.

Network Miner может быть стратегически размещен в сети, чтобы иметь возможность наблюдать и собирать трафик, который вас интересует, в режиме реального времени. Он не будет генерировать свой собственный трафик в сети, поэтому будет работать скрытно.

Network Miner также может работать в автономном режиме. Вы можете использовать tcpdump, чтобы собрать пакеты в интересующей вас точке сети, а затем импортировать файлы PCAP в Network Miner. Далее можно будет попробовать восстановить какие-либо файлы или сертификаты, найденные в записанном файле.

Network Miner сделан для Windows, но с помощью Mono он может быть запущен в любой ОС, которая поддерживает платформу Mono, например Linux и MacOS.

Есть бесплатная версия, начального уровня, но с приличным набором функций. Если вам нужны дополнительные возможности, такие как геолокация и пользовательские сценарии, потребуется приобрести профессиональную лицензию.

7. Fiddler (HTTP)

Технически не является утилитой для захвата сетевых пакетов, но он так невероятно полезен, что попал в этот список. В отличие от других перечисленных здесь инструментов, которые предназначены для захвата трафика в сети из любого источника, Fiddler скорее служит инструментом отладки. Он захватывает HTTP трафик. Хотя многие браузеры уже имеют эту возможность в своих средствах разработчика, Fiddler не ограничивается трафиком браузера. Fiddler может захватить любой HTTP-трафик на компьютере, в том числе и не из веб-приложений.

Многие настольные приложения используют HTTP для подключения к веб-службам, и помимо Fiddler, единственным способом захвата такого трафика для анализа является использование таких инструментов, как tcpdump или Wireshark. Однако они работают на уровне пакетов, поэтому для анализа необходимо реконструировать этии пакеты в потоки HTTP. Это может потребовать много работы для выполнения простых исследований и здесь на помощь приходит Fiddler. Fiddler поможет обнаружить куки, сертификаты, и прочие полезные данные, отправляемые приложениями.

Fiddler является бесплатным и, так же, как Network Miner, он может быть запущен в Mono практически на любой операционной системе.

8. Capsa

Анализатор сети Capsa имеет несколько редакций, каждая из которых имеет различные возможности. На первом уровне Capsa бесплатна, и она по существу позволяет просто захватывает пакеты и производить их базовый графический анализ. Панель мониторинга уникальна и может помочь неопытному системному администратору быстро определить проблемы в сети. Бесплатный уровень предназначен для людей, которые хотят узнать больше о пакетах, и наращивать свои навыки в анализе.

Бесплатная версия позволяет контролировать более 300 протоколов, подходит для мониторинга электронной почты, а также сохранения содержимого электронной почты, она также поддерживает триггеры, которые могут использоваться для включения оповещений при возникновении определенных ситуаций. В связи с этим Capsa в какой-то степени может использоваться в качестве средства поддержки.

Capsa доступна только для Windows 2008/Vista/7/8 и 10.

Заключение

Несложно понять, как с помощью описанных нами инструментов системный админимтратор может создать инфраструктуру мониторинга сети. Tcpdump или Windump могут быть установлены на всех серверах. Планировщик, такой как cron или планировщик Windows, в нужный момент запускает сеанса сбора пакетов и записывает собранные данные в файл pcap. Далее системный администратор может передать эти пакеты центральной машине и анализировать их с помощью wireshark. Если сеть слишком велика для этого, имеются инструменты корпоративного уровня, такие как SolarWinds, чтобы превратить все сетевые пакеты в управляемый набор данных.

Почитайте другие статьи о перехвате и анализе сетевого трафика :

• Dan Nanni, Утилиты с интерфейсом командной строки для мониторинга сетевого трафика в Linux
• Paul Cobbaut, Администрирование систем Linux. Перехват сетевого трафика
• Paul Ferrill, 5 инструментов для мониторинга сети в Linux
• Pankaj Tanwar, Захват пакетов при помощи библиотеки libpcap
• Riccardo Capecchi, Использование фильтров в Wireshark
• Nathan Willis, Анализ сети с помощью Wireshark
• Prashant Phatak,