Najlepsze analizatory ruchu sieciowego i sniffery dla systemów Windows i Linux za darmo

Spisie treści

Dzisiaj korzystanie z Internetu staje się coraz częstsze i ważniejsze dla wielu osób, ponieważ dzięki temu połączeniu będziemy mogli uzyskać dostęp do różnych platform, takich jak poczta e-mail, strony firmowe, interesujące strony lub rozrywki i ogólnie do wszystkiego, co oferuje Internet nas.

Jednak bardzo ważne jest, abyśmy wzięli pod uwagę bezpieczeństwo sieci. Wiemy, że wysoki odsetek ataków na sprzęt informacyjny odbywa się za pośrednictwem sieci i wiele razy to nasza wina (złe hasła, pobieranie nieznanych plików, otwieranie plików wykonywalnych w wiadomościach e-mail), ale jeśli nie masz podstawowej wiedzy na temat działania sieci możesz być (jeśli nie byłeś) jeszcze jedną ofiarą tego typu ataku.

Internet to naprawdę gigantyczna sieć protokołów, usług i infrastruktury, która umożliwia łączność sieciową wszędzie, a ponad 90% z nas słyszało o TCP / IP, HTTP, SMTP itp.

Wszystko to są protokoły, które odgrywają kluczową rolę w sposobie, w jaki sieć dociera do twojego komputera lub urządzenia, ale za nimi znajdują się routery i inne komponenty, które jeśli zawiodą, zajdą dwie rzeczy lub pozostaniesz bez dostępu do sieci. jesteś podatny na atak. Dlatego twórcy produktów sieciowych i sieciowych podjęli wysiłek stworzenia aplikacji, które znamy jako Sniffery i analizatory sieci i choć generalnie są one bardzo techniczne, prawda jest taka, że ​​jest to cenne narzędzie do określania, w jakim punkcie komunikacji może wystąpić błąd.

Co to jest SnifferSniffer lub analizator sieci to narzędzia sprzętowe lub programowe, które zostały opracowane w celu generowania ciągłego monitorowania lokalnego lub zewnętrznego ruchu sieciowego. To śledzenie jest zasadniczo odpowiedzialne za analizę przepływów pakietów danych, które są wysyłane i odbierane między komputerami w sieci, zarówno wewnętrznie, jak i zewnętrznie.

Wykorzystuje tryb śledzenia zwany „trybem swobodnym”, dzięki któremu mamy możliwość zbadania wszystkich pakietów niezależnie od ich przeznaczenia, może to zająć trochę czasu, ale kluczowe jest, aby wiedzieć z całą pewnością, co przechodzi przez naszą sieć.

Sniffera możemy skonfigurować na dwa różne sposoby, w zależności od wymagań wsparcia, te tryby to:

  • Możemy go skonfigurować bez filtra, aby narzędzie przechwyciło wszystkie dostępne pakiety i zapisało ich zapis na lokalnym dysku twardym w celu ich późniejszej analizy.
  • Można go skonfigurować z konkretnym filtrem, który daje nam możliwość przechwytywania pakietów na podstawie kryteriów, które określimy przed wyszukiwaniem.

Sniffery lub analizatory sieci mogą być używane zarówno w sieci LAN, jak i Wi-Fi. Główna różnica polega na tym, że jeśli jest używany w sieci LAN, będziemy mieli dostęp do pakietów dowolnego podłączonego sprzętu. Lub można ustalić ograniczenie na podstawie urządzeń sieciowych, w przypadku korzystania z sieci bezprzewodowej analizator sieci będzie w stanie przeskanować tylko jeden kanał na raz ze względu na ograniczenie sieci, ale jeśli korzystamy z kilku interfejsów bezprzewodowych, może to poprawić, ale zawsze lepiej jest używać go w sieci przewodowej lub LAN.

Kiedy śledzimy pakiety za pomocą Sniffera lub analizatora sieci, możemy uzyskać dostęp do takich szczegółów jak:

  • Informacje o odwiedzanych witrynach
  • Treść i odbiorca wysyłanych i odbieranych e-maili
  • Zobacz pobrane pliki i wiele innych szczegółów

Głównym celem Sniffera jest analiza wszystkich pakietów w sieci, zwłaszcza ruchu przychodzącego, w celu wyszukania dowolnego obiektu, którego zawartość zawiera złośliwy kod i w ten sposób zwiększenie bezpieczeństwa w organizacji poprzez uniemożliwienie instalacji dowolnego typu urządzenia na dowolnym kliencie komputerowe złośliwe oprogramowanie.

Wiedząc trochę, jak działa analizator sieci, poznamy jedne z najlepszych analizatorów sieci lub Sniffer dostępnych dla systemów Windows i Linux.

Wireshark

Jeśli kiedykolwiek próbowałeś przeprowadzić analizę sieci bez wątpienia, że ​​widziałeś lub polecono Ci WireShark jako jedno z najlepszych rozwiązań i nie jest nierozsądne o tym myśleć, powód jest prosty, WireShark się pozycjonuje jako jeden z najczęściej używanych analizatorów protokołów sieciowych przez miliony na świecie, nie tylko dzięki łatwości obsługi, ale także wbudowanym funkcjom.

funkcjeWśród jego cech wyróżniamy:

  • Może działać płynnie w systemach takich jak Windows, Linux, macOS, Solaris, FreeBSD, NetBSD i innych.
  • Integruje potężną analizę dla VoIP.
  • Może przeprowadzić dogłębną inspekcję ponad 100 protokołów.
  • Może wykonywać przechwytywanie na żywo i analizę pakietów sieciowych w trybie offline.
  • Obsługuje formaty odczytu i zapisu, takie jak tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (skompresowany i nieskompresowany), Sniffer® Pro i NetXray®, Network Instruments Observer, NetScreen snoop, Novell LANalyzer, RADCOM WAN / LAN Analyzer, Shomiti / Finisar Surveyor, Tektronix K12xx, Visual Networks Time Up Visual, WildPackets EtherPeek / TokenPeek / AiroPeek i inne.
  • Przechwycone na żywo dane można odczytać z platform takich jak Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, co daje nam szerokie możliwości dostępu.
  • Przechwycone dane sieciowe można przeglądać za pomocą interfejsu graficznego (GUI) lub przez TShark w trybie TTY.
  • Obsługuje odszyfrowywanie wielu protokołów, takich jak IPsec, ISAKMP, Kerberos, SNMPv3, SSL / TLS, WEP i WPA / WPA2
  • Możemy wdrożyć reguły kolorów dla lepszego zarządzania uzyskanymi danymi.
  • Wyniki mogą być eksportowane do XML, PostScript®, CSV lub zwykłego tekstu (CSV)

Jego pobieranie jest dostępne pod następującym linkiem:

Tam możemy pobrać plik wykonywalny dla Windows 10, a w przypadku Linuksa możemy pobrać kod źródłowy lub wykonać następujące polecenia w terminalu:

 sudo apt aktualizacja sudo apt zainstaluj wireshark sudo usermod -aG wireshark $ (whoami) sudo reboot
Po zainstalowaniu w systemie Windows 10 lub Linux, w momencie jego wykonania wybierzemy kartę sieciową do analizy, a następnie zobaczymy:

W systemie Windows 10

Gdy chcemy zatrzymać proces, klikamy Stop i widzimy odpowiednie wyniki, które możemy bardziej szczegółowo zdefiniować z dostępnych menu:

LinuxW przypadku Linuksa zobaczymy:

EtherApe

Jest to ekskluzywne narzędzie dla systemów UNIX, ponieważ może być wykonywane tylko w systemach operacyjnych, takich jak:

  • Arch Linux
  • Magia 6
  • CENTOS 7
  • Fedora 24, 25, 26, 27, 28 i 29
  • Naukowy Linux 7
  • SLES 12, 12 SP1 i 12 SP3
  • OpenSUSE 13.2, Leap 42.1/42.2/42.3 i Tumbleweed/Fabryka.
EtherApe został opracowany jako aplikacja GTK 3, dzięki której możemy monitorować i przeglądać stan urządzenia za pomocą interfejsu graficznego, uzyskując w czasie rzeczywistym szczegóły protokołów IP i TCP, co jest przydatne do wykrycia wszelkich anomalii lub błędów.

funkcjeNiektóre z jego najbardziej wyróżniających się cech to:

  • Zarówno węzeł, jak i kolor łącza podkreślają najbardziej aktywny protokół w sieci.
  • Możemy wybrać poziom protokołów do filtrowania.
  • Wykorzystywany ruch sieciowy jest reprezentowany w sposób graficzny dla lepszego zrozumienia szczegółów.
  • Obsługuje protokoły takie jak ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN, ICMP, IGMP, GGP, IPIP, TCP, EGP, PUP, UDP , IDP, TP, ROUTING, RSVP, GRE, ESP, AH, EON, VINES, EIGRP, OSPF, ENCAP, PIM, IPCOMP, VRRP;
  • Obsługuje usługi TCP i UDP, TELNET, FTP, HTTP, POP3, NNTP, NETBIOS, IRC, DOMAIN, SNMP i inne.
  • Obsługuje użycie filtra sieciowego, przyjmując składnię pcap.
  • Pozwala na analizę sieci od końca do końca IP lub od portu do portu TCP.
  • Dane mogą być przechwytywane w trybie offline.
  • Zgromadzone dane można odczytać z interfejsów Ethernet, FDDI, PPP, SLIP i WLAN.
  • Wyświetla statystyki ruchu według węzła.
  • Dzięki EtherApe rozpoznawanie nazw odbywa się przy użyciu standardowych funkcji libc, co oznacza, że ​​obsługuje DNS, pliki hosta i inne usługi.
  • Wyniki można wyeksportować do pliku XML.

Aby zainstalować to narzędzie w systemie Linux, musimy wykonać następujące czynności:

 sudo apt-get aktualizacja sudo apt-get zainstaluj etherape
Po zainstalowaniu uzyskujemy dostęp do narzędzia, wykonując następujące czynności:
 sudo eterape
Spowoduje to, że EtherApe zostanie uruchomiony z terminala, a interfejs graficzny aplikacji zostanie automatycznie wyświetlony:

POWIĘKSZAĆ

Tam będziemy mieli menu, w którym będzie można zastosować filtry lub reguły.

Tcpdump

Jest to narzędzie dla systemów Linux, które przechwytuje zarówno przychodzący, jak i wychodzący ruch sieciowy, a tę aplikację można zainstalować w systemach operacyjnych Unix / Linux, ponieważ posiada bibliotekę libpcap do przeprowadzania procesu przechwytywania ruchu z wybranej sieci.
Aby go zainstalować, po prostu uruchom w terminalu:

 sudo apt zainstaluj tcpdump
ParametryNiektóre parametry, których należy użyć, to:
  • -A: Wydrukuj każdy pakiet (bez nagłówka poziomu łącza) w ASCII.
  • -b: Drukuj numer AS w pakietach BGP w notacji ASDOT zamiast notacji ASPLAIN.
  • -B rozmiar_bufora, --buffer-size = rozmiar_bufora: Pozwala zdefiniować rozmiar bufora przechwytywania w polu rozmiar_bufora, w jednostkach KiB (1024 bajty).
  • -c liczba: Kończy polecenie po otrzymaniu pakietów sieciowych.
  • -C rozmiar_pliku: sprawdź, czy plik jest większy niż oryginalny rozmiar pliku.
  • -d: Zrzuć skompilowany kod pakietu w formie czytelnej dla człowieka.
  • -dd: Zrzuć kod pakietu jako fragment programu w C.
  • -D --list-interfaces: Drukuje listę dostępnych interfejsów.
  • -e: Drukuj nagłówek poziomu łącza.
  • -E: Użyj spi @ ipaddr do odszyfrowania pakietów IPsec ESP.
  • -f: Wydrukuj adresy IPv4.
  • -F plik: Pozwala nam wybrać plik filtra.
  • -h -help: wyświetla pomoc dla polecenia.
  • --version: Wyświetla używaną wersję tcpdump.
  • -i interface --interface = interface: Pozwala nam wybrać interfejs do analizy pod kątem przechwytywania pakietów.
  • -I --monitor-mode: Aktywuj interfejs w "trybie monitora"; który jest kompatybilny tylko z interfejsami Wi-Fi IEEE 802.11 i niektórymi systemami operacyjnymi.

przeznaczenie

Kismet to proste narzędzie, które bardziej koncentruje się na sieciach bezprzewodowych, ale dzięki któremu możemy analizować ruch sieci ukrytych lub SSID, które nie zostały wysłane, możemy go używać w systemach UNIX, Windows Under Cygwin i OSX.

Kismet działa w pełni na interfejsach Wi-Fi, Bluetooth, sprzęcie SDR (radio definiowane programowo - radio definiowane programowo) i specjalistycznym sprzęcie do przechwytywania.

funkcjeWśród jego cech znajdziemy:

  • Pozwala wyeksportować standardowe dane w formacie JSON, aby pomóc w pisaniu skryptów dla instancji Kismet.
  • Integruje internetowy interfejs użytkownika.
  • Obsługa protokołów bezprzewodowych.
  • Ma nowy kod zdalnego przechwytywania, który został zoptymalizowany pod kątem rozmiaru binarnego i pamięci RAM, co ułatwia korzystanie ze zintegrowanych urządzeń do przechwytywania pakietów w sieci.
  • Posiada format zapisu, który może zapewnić kompleksowe informacje o urządzeniach, stanie systemu, alertach i innych parametrach.

Jego instalację możemy wykonać poleceniem:

 sudo apt zainstaluj kismet
W poniższym linku znajdziesz więcej opcji instalacji kismet:

NetworkMiner

Jest to narzędzie do analizy śledczej sieci (NFAT - Network Forensic Analysis Tool), które jest oparte na otwartym kodzie źródłowym dla systemów Windows, Linux, macOS i FreeBSD. Po zainstalowaniu tego narzędzia jesteśmy w stanie uruchomić pełne skanowanie sieci w celu przechwycenia wszystkich pakietów, a wraz z nimi, aby móc wykryć systemy operacyjne, sesje, nazwy hostów itp. w celu pełnego zarządzania tymi zmiennymi.

funkcjeNiektóre z jego najbardziej wyróżniających się cech to:

  • Możemy analizować pliki PCAP do analizy offline.
  • Będzie można uruchomić zaawansowaną analizę ruchu sieciowego (NTA).
  • Wykonanie w czasie rzeczywistym.
  • Obsługuje adresowanie IPv6.
  • Możliwe jest wyodrębnienie plików z ruchu FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 i IMAP
  • Obsługuje szyfrowanie SSL, HTTPS, SMTPS, IMAPS, POP3S, FTPS i inne
  • Deenkapsulacja GRE, 802.1Q, PPPoE, VXLAN, OpenFlow, SOCKS, MPLS i EoMPLS

Jego pobieranie jest dostępne pod następującym linkiem:

Krok 1
Aby poprawnie korzystać z NetworkMiner, konieczne będzie najpierw utworzenie reguły ruchu przychodzącego w Zaporze systemu Windows 10:

POWIĘKSZAĆ

Krok 2
Następnie musimy uruchomić narzędzie jako administrator, aby uzyskać dostęp do skanowania komputerów w sieci i wybrać różne opcje:

POWIĘKSZAĆ

Krok 3
Przy wyborze hosta możemy zobaczyć wczytane elementy w odpowiednich zakładkach:

POWIĘKSZAĆ

Analizator wiadomości Microsoft

Jak już można podejrzewać po nazwie, jest to ekskluzywne narzędzie Windows 10, które zostało opracowane przez Microsoft do wykonywania zadań, takich jak przechwytywanie, wyświetlanie i analizowanie ruchu komunikatów protokołu i innych komunikatów z systemu operacyjnego, oprócz tego, gdy używamy To narzędzie może importować, dodawać lub analizować dane z plików dziennika i śledzenia sieci.

Niektóre z jego funkcji to

  • Przechwytuj dane na żywo
  • Ładuj dane z wielu źródeł danych jednocześnie
  • Pokaż dane śledzenia lub dziennika
  • Różne opcje widoku i nie tylko

Krok 1
Jego bezpłatne pobranie jest dostępne pod następującym linkiem:

Krok 2
Po wykonaniu zobaczymy następujące środowisko (musi być wykonane jako administrator):

POWIĘKSZAĆ

Krok 3
Tam będzie można ustalić reguły kolorów, dodać kolumny, ustawić filtry i inne, po wybraniu którejś z linii na dole znajdziemy bardziej szczegółowe informacje na jej temat:

POWIĘKSZAĆ

Windump

Windump jest wersją Tcpdump dla środowisk Windows, ponieważ Windump jest kompatybilny z Tcpdump i możemy go zainstalować, aby przeglądać, diagnozować lub jeśli chcemy zaoszczędzić ruch sieciowy poprzez użycie i implementację reguł.

WinDump przechwytuje ruch sieciowy za pośrednictwem biblioteki i sterowników WinPcap, więc najpierw musimy pobrać WinPcap za darmo pod następującym linkiem:

Następnie możemy pobrać Windump pod następującym linkiem:

Po jego uruchomieniu otworzy się konsola wiersza poleceń, w której możemy zdefiniować interfejs za pomocą parametru -i:

 WinDump.exe -i 1

POWIĘKSZAĆ

Analizator sieci Capsa

Jest dostępny w wersji bezpłatnej i płatnej z większą liczbą funkcji, ale obie pozwalają nam przeprowadzać zadania analizy sieci, monitorując każdy przychodzący i wychodzący pakiet, a także używane protokoły, co będzie bardzo przydatne do korygowania błędów i przeprowadzania szczegółowa analiza sieci.

W wersji darmowej będzie można:

  • Monitoruj do 10 adresów IP w wybranej sieci.
  • Do 4 godzin trwania na sesję.
  • Możemy otrzymywać alerty z kart sieciowych.
  • Umożliwia zapisywanie i eksportowanie wyników.
Bezpłatną wersję można pobrać pod następującym linkiem:

Po pobraniu i uruchomieniu będzie to środowisko oferowane przez narzędzie:

POWIĘKSZAĆ

Tam będziemy mieli graficzną reprezentację ruchu sieciowego, aw górnej części będziemy mieli różne narzędzia do filtrowania i kontrolowania pakietów sieciowych.

Netcat

Netcat to zintegrowane polecenie w systemach Windows i Linux, dzięki któremu możliwe będzie odczytywanie i zapisywanie danych za pomocą protokołu TCP/IP w różnych połączeniach sieciowych, może być używane samodzielnie lub z innymi aplikacjami jako narzędzie do eksploracja i debugowanie sieci lokalnej lub zewnętrznej.
Wśród jego funkcji znajdziemy:

  • Zintegrowany w samym systemie
  • Przechwytuj połączenia wychodzące i przychodzące
  • Posiada wbudowane funkcje skanowania portów
  • Posiada zaawansowane funkcje
  • Może skanować kody RFC854 i telnet

Możemy wykonać np. następującą linię:

 netcat -z -v solvetic.com 15-30
Spowoduje to odczytanie portów od 15 do 30, aby wyświetlić, które z nich są otwarte, a które nie:

Zmienna -z jest używana do celów skanowania (tryb zerowy), a parametr -v (pełny) wyświetla informacje w czytelny sposób.
Istnieją dodatkowe parametry, których możemy użyć, takie jak:

  • -4: Wyświetla adresy IPv4
  • -6: Obsługuje adresy IPv6
  • -b: Obsługuje transmisję
  • -D: Włącz tryb debugowania
  • -h: Wyświetla pomoc do poleceń
  • -i Interwał: Pozwala na zastosowanie odstępu czasu między wierszami
  • -l: Włącz tryb słuchania
  • -n: Pomiń nazwę lub rozdzielczość portu
  • -r: Optymalizacja portów zdalnych

Widzieliśmy różne opcje analizatorów sieci i Sniffera dostępne dla systemów Windows i Linux, dzięki którym możemy zwiększyć wyniki naszych zadań wsparcia i kontroli.

wave wave wave wave wave