Pakkefangst & analyse: 5 verktøy for sikkerhet & feilsøking

by
Tweet
Share
Share
Pin
0 Shares

Innfanging og granskning av datapakker er uvurderlig for å studere interaksjoner i nettverk, avdekke ineffektiv dataoverføring og identifisere potensielle cybertrusler.

Med pakkefangst menes det å avskjære og lagre datapakker når de sendes over en nettverksforbindelse. Disse pakkene registreres og analyseres for å identifisere og håndtere nettverksproblemer, som høy forsinkelse og feil. Informasjonen som hentes ut gjennom pakkeanalyse, hjelper nettverksadministratorer med å raskere feilsøke og korrigere nettverksrelaterte problemer.

Pakkeanalyse brukes til en rekke oppgaver, inkludert:

  • Avdekke sikkerhetsrisikoer
  • Feilsøke DNS-relaterte problemer
  • Identifisere og løse problemer med nettverkstilkobling
  • Oppdage nettverksfeil
  • Oppdage og korrigere pakkelekkasje
  • Identifisere og forhindre skadelig programvare

Det er mulig å fange opp enten hele datapakker eller deler av dem. En full datapakke består av en nyttelast og en header. Nyttelasten inneholder selve innholdet i pakken, mens headeren inneholder informasjon som kilde- og destinasjonsadresser.

Vi har satt sammen en liste over noen applikasjoner for fullstendig pakkefangst og analyse.

La oss starte.

Colasoft Capsa

Capsa er et sanntids, transportabelt verktøy for nettverksanalyse, overvåkning og diagnostisering, både for kablede og trådløse nettverk. Inspeksjoner av datapakker kan planlegges til å kjøre på bestemte tidspunkter, som for eksempel regelmessig eller månedlig. Slike regelmessige skanninger sørger for at du ikke overser ytelsesproblemer. Hvis noe skulle gå glipp av, vil e-post- og lydvarsler varsle deg når en nettverksøkt krever din oppmerksomhet.

Capsa hjelper brukeren med å være oppdatert om sårbarheter og trusler som kan føre til tjenesteavbrudd. Alle viktige VoIP-beregninger (Voice over Internet Protocol), som type kodek og hendelsesdistribusjon, overvåkes effektivt med dette verktøyet. Det er et utmerket verktøy for de som ønsker å lære om pakkeinspeksjon og hvordan man oppdager nettverksproblemer og forbedrer sikkerheten.

Funksjoner:

  • Gratis innebygde verktøy for å lage og spille av pakker, samt skanne og pinge IP-adresser.
  • Diagnostiserer automatisk nettverksproblemer og foreslår løsninger.
  • Støtter VoIP- og TCP-flytanalyse, som kan brukes til å diagnostisere nettverksproblemer som treg responstid og CRM-transaksjoner (Customer Relationship Management).
  • DDoS-angrep, ARP-angrep og TCP-portskanninger kan oppdages, og det hjelper også brukeren å identifisere tekniske feil i nettverket.
  • Verktøyet støtter over 1800 protokoller, noe som forenkler undersøkelse av protokoller i et nettverk og forståelse av hva som skjer.
  • Det samler alle datapakker og viser fullstendig pakkesekvensinformasjon i heksadesimalt og ASCII-format (dyptgående pakkedekoding).
  • Informasjon om nettverkstrafikk og gjennomstrømning kan vises i grafer.

Colasoft tilbyr også andre verktøy som Network Performance Analysis System (nChronos) og Unified Performance Management Solution (Colasoft UPM). Det tilbys en 30-dagers gratis prøveperiode der man kan teste funksjonene før man bestemmer seg for et kjøp.

TCPDump

TCPDump er et kraftig kommandolinjeverktøy med åpen kildekode for pakkeanalyse som fanger opp protokoller som TCP, UDP og ICMP (Internet Control Message Protocol). Dette verktøyet er forhåndsinstallert på alle Unix-lignende operativsystemer, og er utgitt under BSD-lisensen. Med tcpdump kan man enkelt inspisere overskriftene i TCP/IP-pakker. Verktøyet sender ut informasjon for hver dataoverføring, og skriptet kjører helt til du avslutter det med Ctrl+C-alternativet.

Tcpdump er enkelt å konfigurere, og hvis du lærer deg bruken av verktøyet, flaggene og argumentene, kan du bruke det til å feilsøke tilkoblingsproblemer og sikre nettverket. Registrerte datapakker lagres i en fil for videre analyse. Filene lagres i PCAP-format, som enkelt kan inspiseres med tcpdump eller Wireshark, som kan lese PCAP-filer (forkortelse for packet capture).

Funksjoner:

  • Det er mulig å filtrere fangede datapakker etter kilde, destinasjon og protokoll.
  • Gratis og åpen kildekode

Her er en artikkel om hvordan man fanger opp og analyserer nettverkstrafikk med tcpdump.

Paessler PRTG

Paessler PRTG Network Monitor er et av de mest populære verktøyene for nettverksovervåking og trafikk analyse. Verktøyet gir viktig informasjon om nettverkets infrastruktur og ytelse.

Det er kompatibelt med Windows, og inkluderer en rekke overvåkningsalternativer, inkludert båndbreddeovervåking og trafikk analyse. En gratisversjon av Paessler PRTG er tilgjengelig. For å rapportere målinger av nettverksytelsen, bruker verktøyet en kombinasjon av en pakkesniffer, WMI og SNMP.

Funksjoner:

  • Fleksibel varsling – PRTG har over ti utformede teknologier, inkludert SMS, push-varsler, e-poster, utløsende HTTP-forespørsler osv.
  • Flere brukergrensesnitt – Bygget på AJAX med strenge sikkerhetskrav, og høy ytelse som kan tilskrives Single Page Application (SPA)-teknologi.
  • Cluster failover-løsning – For å utgjøre en mer robust overvåkningsløsning.
  • Kart og dashbord – Bruk sanntidskart med oppdatert informasjon for å visualisere nettverket.
  • Distribuert overvåking – Ved hjelp av bærbare interceptorer kan du overvåke en rekke nettverk på forskjellige steder og flere nettverk i organisasjonen din.
  • Dybderapportering i form av tall, statistikk og grafer

Verktøyet støtter en rekke varslingsmetoder, inkludert SMS, e-post og tredjepartsforbindelser til plattformer som Slack. PRTG er tilgjengelig i en ubegrenset versjon i 30 dager. Etter gratisperioden vil den gå over til gratisversjonen.

Wireshark

Wireshark er en gratis og åpen kildekode-pakkeanalysator som lar deg undersøke nettverksdataoverføringer i sanntid. Verktøyet gir nettverksledere mulighet til å analysere nettverket på et mikroskopisk nivå for å finne kilden til trafikkproblemer og feil. Det er et godt verktøy, men det krever en god forståelse av nettverkskonsepter.

Funksjoner:

  • Det fungerer med de fleste operativsystemer, inkludert Windows, Linux-distribusjoner, Mac OS X osv.
  • Lag rapporter basert på gjeldende statistiske data.
  • Filtrering av utdata kan gjøres med en rekke alternativer, som for eksempel tidtakere og filtre.
  • Visualiser nettverkspakker med IO-grafer og diagrammer.
  • Det kan også ta opp USB-trafikk.
  • Det tilbyr et bredt spekter av bruksområder, inkludert fingeravtrykk av uautorisert trafikk, pakkefiltreringsinnstillinger med mer.
  • Fargekodingsregler kan brukes til å identifisere trafikktyper.
  • Detaljert VoIP-forskning (Voice over Internet Protocol).

Tapte datapakker, problemer med nettverksforsinkelse, applikasjonsavhengigheter og ineffektive vindusstørrelser er vanlige feilsøkingsutfordringer som Wireshark kan hjelpe med. Dette verktøyet lar deg overvåke nettverkstrafikk og gir mekanismer for å søke og finne kilden til et problem.

Unicast (tilkoblingsløs) trafikk som ikke sendes til nettverkets MAC-adressegrensesnitt, kan også overvåkes med Wireshark.

Ta gjerne en titt på denne artikkelen om feilsøking av nettverksforsinkelse med Wireshark.

Arkime

Arkime fungerer i samarbeid med det eksisterende sikkerhetssystemet for å samle og indeksere nettverkstrafikk og dataoverføringer i standard PCAP-format.

Alle registrerte datapakker lagres og eksporteres i vanlig PCAP-format, slik at du kan bruke dine foretrukne PCAP-inntaksverktøy, som Wireshark eller tcpdump, i den analytiske prosessen.

PCAP-retensjon bestemmes av hvor mye sensor-diskplass som er tilgjengelig, mens API-retensjon bestemmes av størrelsen på Elasticsearch-klyngen. Begge disse parameterne kan endres når som helst.

Arkime er utviklet for å fungere på tvers av flere systemer og skalere for å håndtere titalls gigabit trafikk per sekund. Alle PCAP-formatfiler som er lagret på Arkime-sensorene, kan installeres og nås via Arkimes webgrensesnitt eller API. PCAP-filer kan krypteres i hvile med Arkime.

Funksjoner:

  • Tilbyr et brukervennlig webgrensesnitt for å undersøke, finne og trekke ut PCAP-filer.
  • Gratis og åpen kildekode
  • Lar andre PCAP-inntaksverktøy inspisere de lagrede PCAP-filene.

PCAP-data og JSON-formaterte transaksjonsdata kan hentes direkte gjennom API-er. Du finner den komplette API-dokumentasjonen for Arkime her.

Konklusjon

Analyse av pakkefangstdata krever som regel et høyt nivå av teknisk ekspertise, noe som kan oppnås ved å bruke disse verktøyene.

Jeg håper denne artikkelen var nyttig når du skal lære om verktøy for fullstendig pakkefangst og analyse for små til store nettverk.

Du kan også være interessert i å lære mer om de beste programvareverktøyene for Wi-Fi-analyse.