11 Netzwerkpaketanalysatoren für Sysadmin- und Sicherheitsanalysten

Ihr Netzwerk ist das Rückgrat Ihres Geschäftsbetriebs. Stellen Sie sicher, dass Sie wissen, was tief im Inneren vor sich geht.

In vielerlei Hinsicht hat die Landschaft für digitale Unternehmen eine oder zwei Revolutionen erlebt. Was so einfach begann CGI-Skripte In Perl geschrieben hat sich nun zu Cluster-Bereitstellungen entwickelt, die vollautomatisch ausgeführt werden Kubernetes und andere Orchestrierungs-Frameworks (Entschuldigung für den schweren Jargon - ich mache es überhaupt nicht nach; es ist einfach so, wie die Dinge heutzutage sind!).

Aber ich kann nicht anders, als über den Gedanken zu lächeln, dass die Grundlagen immer noch dieselben sind wie in den 1970er Jahren.

Alles, was wir haben, sind Abstraktionen über Abstraktionen, die von harten, physischen Kabeln unterstützt werden, die das Netzwerk bilden (okay, es gibt virtuelle Netzwerke, aber Sie haben die Idee). Wenn wir Lust haben, können wir das Netzwerk gemäß dem OSI-Modell in Schichten aufteilen, aber alles gesagt und getan, wir haben es immer und immer zu tun TCP / IP-Protokolle (Warnung, viel Lesen voraus!), Pings, Router, die alle ein gemeinsames Ziel haben - die Übertragung von Datenpaketen.

Was ist ein Netzwerkpaket?

Egal was wir tun – chatten, Video-Streaming, spielen, surfen, Sachen kaufen – es ist im Wesentlichen ein Austausch von Datenpaketen zwischen zwei Computern (Netzwerken). Ein „Paket“ ist die kleinste Informationseinheit, die in einem Netzwerk (oder zwischen Netzwerken) fließt, und es gibt eine genau definierte Methode zum Erstellen und Verifizieren von Netzwerkpaketen (über den Rahmen dieses Artikels hinaus, aber wenn Sie sich abenteuerlustig fühlen, hier ist mehr).

Einfacher ausgedrückt stellt jedes Paket ein Glied in der Kette dar und wird ordnungsgemäß an der Quelle übertragen und am Ziel validiert. Selbst wenn ein einzelnes Paket eingeht oder bestellt wird, wird der Prozess angehalten, bis alle Pakete in der richtigen Reihenfolge empfangen wurden. Erst dann werden sie zu den Daten zusammengesetzt, die sie ursprünglich dargestellt haben (z. B. ein Bild).

Jetzt wo wir verstehen Was für ein Netzwerk istwird es zu verstehen, was ein Netzwerkanalysator tut. Mit diesem Tool können Sie einen Blick in einzelne Pakete in Ihrem Netzwerk werfen.

Aber warum sollten Sie sich diese Mühe machen wollen? Lassen Sie uns das als nächstes diskutieren.

Warum müssen wir Pakete analysieren?

Es sieht so aus, als wären Pakete so ziemlich die Grundbausteine ​​in einem Netzwerkdatenfluss, ähnlich wie Atome die Basis aller Materie sind (ja, ich weiß, das sind keine echten fundamentalen Teilchen, aber es ist eine gute Analogie für unsere Zwecke). . Und wenn es darum geht, Materialien oder Gase zu analysieren, kümmern wir uns nie darum, was ein einzelnes Atom tut. Warum sollten Sie sich also um ein einzelnes Netzwerkpaket auf individueller Ebene sorgen? Was können wir außer dem, was wir bereits wissen, wissen?

Es ist schwer, die Bedeutung der Analyse auf Paketebene zu verkaufen, wenn Sie noch nie in den Rücken gebissen wurden, aber ich werde es versuchen.

Paketanalyse bedeutet, sich die Hände schmutzig zu machen und in die Rohrleitungen zu greifen, um etwas herauszufinden. Im Allgemeinen müssen Sie Netzwerkpakete analysieren, wenn alles andere fehlgeschlagen ist. In der Regel umfasst dies scheinbar hoffnungslose Szenarien wie folgt:

Alles in allem fällt die Paketanalyse unter bestimmte, harte Beweise. Wenn Sie wissen, wie man eine Paketanalyse durchführt und einen Schnappschuss erstellt, können Sie sich davor bewahren, fälschlicherweise eines Hacks beschuldigt zu werden oder einfach als inkompetenter Entwickler oder beschuldigt zu werden Netzwerkadministrator.

In Bezug auf eine echte Geschichte denke ich, dass dieser Kommentar zum Blog-Beitrag gefunden wurde hier ist außergewöhnlich (hier nur für den Fall wiedergegeben):

Eine für mein Unternehmen kritische Anwendung wies Leistungsprobleme auf und fiel bei Kundenbereitstellungen auf den Kopf. Es war eine Aktienkursanwendung, die an der Spitze von Ticker-Werken in Finanzunternehmen auf der ganzen Welt eingesetzt wurde. Wenn Sie um 401 einen 2000 (k) hatten, hing dies wahrscheinlich von dieser Anwendung ab. Ich habe eine Analyse der von Ihnen beschriebenen Art durchgeführt, insbesondere des TCP-Verhaltens. Ich habe festgestellt, dass das Problem in der Implementierung von TCP durch den Betriebssystemhersteller liegt. Das fehlerhafte Verhalten war, dass der sendende Stapel, wenn er in die Überlastungskontrolle ging, nie wiederhergestellt wurde. Dies führte zu einem komisch kleinen Sendefenster, manchmal nur ein paar Vielfachen von MSS.

Es dauerte eine Weile, bis ich mit Kundenbetreuern und Entwicklern des Betriebssystemanbieters kämpfte, die das Problem, meine Erklärung oder das Problem * nicht * in der Anwendung verstanden hatten, weil die Anwendung die TCP-Machenschaften glücklicherweise nicht kannte. Es war, als würde man mit einer Wand reden. Ich begann mit jeder Telefonkonferenz auf dem ersten Platz. Schließlich telefonierte ich mit einem Mann, mit dem ich eine gute Diskussion führen konnte. Es stellt sich heraus, dass er die RFC1323-Erweiterungen in den Stapel gelegt hat! Am nächsten Tag hatte ich einen Patch für das Betriebssystem in der Hand und das Produkt funktionierte von diesem Zeitpunkt an perfekt.

Der Entwickler erklärte, dass es einen Fehler gab, der dazu führte, dass eingehende ACKs * mit Nutzdaten * als DUPACKs falsch eingestuft wurden, wenn sich der Stack in der Überlastungskontrolle befand.

Dies würde bei Halbduplex-Anwendungen wie HTTP niemals passieren, aber die von mir unterstützte Anwendung hat Daten immer bidirektional auf dem Socket gesendet.

Ich hatte zu der Zeit nicht viel Unterstützung vom Management (mein Manager schrie mich sogar an, weil ich immer einen Sniffer verwenden wollte, um Probleme zu beheben), und niemand außer mir betrachtete die TCP-Implementierung des Betriebssystemherstellers als Quelle von dem Problem. Das Ringen des Fixes vom OS-Anbieter selbst machte diesen Sieg besonders süß, brachte mir eine Menge Kapital ein, um mein eigenes Ding zu machen, und führte zu den interessantesten Problemen, die auf meinem Schreibtisch auftauchten.

Für den Fall, dass Sie keine Lust hatten, diese Textplatte durchzulesen, oder wenn es nicht viel Sinn machte, hatte dieser Herr mit Leistungsproblemen zu kämpfen, die seiner Bewerbung angelastet wurden, und das Management gewährte erwartungsgemäß keine Unterstützung . Es war nur eine gründliche Paketanalyse, die bewies, dass das Problem nicht in der Anwendung lag, sondern darin, wie das Betriebssystem mit dem Netzwerkprotokoll umging!

Das Update war keine Verbesserung der Anwendung, sondern ein Patch der Betriebssystementwickler! 😮

Junge, Junge . . . Wo würde sich diese Person ohne Analyse auf Paketebene wohl befinden? Wahrscheinlich arbeitslos. Wenn Sie dies nicht von der Bedeutung der Paketanalyse (auch als Paket-Sniffing bezeichnet) überzeugt, weiß ich nicht, was passiert. 🙂

Jetzt, da Sie wissen, dass die Paketanalyse eine Supermacht ist, habe ich eine gute Nachricht: Es ist nicht alles schwierig, dies zu tun!

Dank leistungsstarker und dennoch einfach zu bedienender Packet-Sniffing-Tools kann das Sammeln von Informationen aus der Analyse auf Paketebene so einfach sein wie das Lesen eines Verkaufs-Dashboards. Das heißt, Sie benötigen etwas mehr als nur oberflächliche Kenntnisse darüber, was in einem Netzwerk vor sich geht. Aber andererseits gibt es hier keine Raketenwissenschaft, keine verdrehte Logik, die es zu meistern gilt – einfach nur gesunder Menschenverstand.

Wenn Sie in Kürze die Dokumentation eines dieser Tools lesen, während Sie sie in Ihrem Netzwerk verwenden, sind Sie ein Experte. 😀

Wireshark

Wireshark ist ein altes Projekt (es begann 1998), das so ziemlich der Industriestandard ist, wenn es darum geht, tief in Netzwerke einzutauchen. Es ist beeindruckend, wenn man bedenkt, dass es sich um eine reine Freiwilligenorganisation handelt, die von einigen großzügigen Sponsoren unterstützt wird. Wireshark bleibt Open Source (nicht auf GitHub, aber der Code kann gefunden werden hier) und hat sogar eine tech Konferenz zu seinem Namen!

Zu den vielen Funktionen von Wireshark gehören:

Schauen Sie sich diesen fantastischen Online-Kurs an lehre dich, Wireshark zu beherrschen.

Suchen Sie nach Wireshark in Ihrem Terminal? Klar, versuch es Termhark

tcpdump

Wenn Sie alte Schule sind (lesen Sie Hardcore-Kommandozeilen-Junkie), tcpdump ist für Sie.

Es ist eine andere dieser Ikonen Linux-Dienstprogramme (wie Curl) das bleibt so relevant wie immer, so dass fast alle anderen „schickeren“ Werkzeuge darauf aufbauen. Wie ich bereits sagte, gibt es keine grafische Umgebung, aber das Tool macht das mehr als wett.

Aber die Installation kann schmerzhaft sein. tcpdump wird mit den meisten modernen Linux-Distributionen geliefert. Wenn dies bei Ihnen nicht der Fall ist, müssen Sie am Ende aus der Quelle erstellen.

tcpdump-Befehle sind kurz und einfach und zielen darauf ab, ein bestimmtes Problem zu lösen, wie z.

. . . und so weiter.

Wenn Ihre Anforderungen einfach sind und Sie einen schnellen Scan ausführen müssen, kann tcpdump eine gute Option sein (insbesondere, wenn Sie tippen tcpdump und finde, dass es bereits installiert ist!). Schauen Sie sich diesen Beitrag in Echtzeit an Beispiele für tcpdump-Befehle.

NetworkMiner

Werbung als forensisches Netzwerkanalyse-Tool (FNAT), NetzwerkMiner ist einer der besten Analysatoren auf Paketebene, auf die Sie stoßen werden. Es ist ein Open-Source-Tool, das ein Netzwerk passiv analysieren kann und über eine beeindruckende GUI-Oberfläche zur Analyse verfügt, mit der einzelne Bilder und andere übertragene Dateien angezeigt werden können.

Aber das ist nicht alles. NetworkMiner bietet hervorragende weitere Funktionen wie:

Beachten Sie, dass einige dieser Funktionen in der kommerziellen Version verfügbar sind.

Fiddler

Im Gegensatz zu anderen passiven Netzwerk-Sniffern Fiedler ist etwas, das sich zwischen Ihrem Gerät und der Außenwelt befindet und daher einige Einstellungen erfordert (wurde es deshalb „Fiddler“ genannt? 😉).

Es ist ein anpassbares (mit FiddlerScript) kostenloses Tool mit einer langen und angesehenen Geschichte. Wenn Sie also den HTTP / HTTPS-Verkehr wie ein Boss abhören möchten, ist Fiddler der richtige Weg.

Mit Fiddler können Sie viel anfangen, besonders wenn Sie Lust haben, den Hacker-Hoodie anzuziehen:

Falls Sie sich verloren fühlen, können Sie die Dokumentation ist sehr gut und ist sehr zu empfehlen.

WinDump

Wenn Sie die Einfachheit von tcpdump vermissen und es auf Ihre Windows-Systeme bringen möchten, sagt hallo zu WinDump. Nach der Installation funktioniert es über die Befehlszeile, indem Sie "tcpdump" eingeben, genauso wie das Dienstprogramm auf Linux-Systemen funktioniert.

Beachten Sie, dass an sich nichts zu installieren ist. WinDump ist eine Binärdatei, die sofort ausgeführt werden kann, vorausgesetzt, Sie haben eine Pcap-Bibliotheksimplementierung installiert (npcap wird empfohlen, da sich winpcap nicht mehr in der Entwicklung befindet.

BruteShark

BruteShark ist ein effektives Network Forensic Analysis Tool (NFAT), mit dem Sie den Netzwerkverkehr wie PCAP-Dateien verarbeiten und untersuchen und direkt von Netzwerkschnittstellen erfassen können. 

Es umfasst die Rekonstruktion von TCP-Sitzungen, das Erstellen von Netzwerkkarten, das Extrahieren von Hashes stark verschlüsselter Kennwörter und das Konvertieren von Hashes in ein Hashcat-Format, um einen Brute-Force-Angriff offline durchzuführen.

Die Hauptabsicht dieses Projekts besteht darin, Netzwerkadministratoren und Sicherheitsforschern zu helfen, die für die Analyse des Netzwerkverkehrs und die Ermittlung von Schwachstellen verantwortlich sind.

Es gibt zwei Versionen von BruteShark: eine grafische Benutzeroberfläche (GUI) basierte Anwendung für Windows und a CLI Tool für Linux und Windows. Einige der in dieser Lösung enthaltenen Projekte können sogar unabhängig voneinander zur Analyse des Netzwerkverkehrs auf Windows- und Linux-Computern verwendet werden.

BruteShark kann auch verschiedene Vorgänge ausführen, z. B. das Extrahieren von DNS-Abfragen, das Schnitzen von Dateien, das Extrahieren von VoIP-Anrufen (SIP, RTP), das Erstellen eines Netzwerkdiagramms für Benutzer und Netzwerkknoten sowie das Extrahieren von Authentifizierungs-Hashes mit Hashcat (NTLM, HTTP-Digest, CRAM-MD5, Kerberos, usw.) und Abrufen und Codieren von Passwörtern und Benutzernamen.

Alle Projekte werden über .Net Standard und .Net Core für plattformübergreifenden und modernen Support implementiert. Diese Lösung bietet eine dreischichtige Architektur und umfasst ein oder mehrere Projekte, einschließlich PL, BLL und DAL auf jeder Ebene. 

Über DAL (Data Access Layer) hilft das Projekt beim Lesen von PCAP-Rohdateien mithilfe von Treibern wie WinPcap, libpcap und Wrapper-Bibliotheken wie SharpPcap. In ähnlicher Weise ist die BLL (Business Logic Layer) für die Analyse von Netzwerkinformationen (TCP, Paket usw.) verantwortlich, und PL verwendet ein Querschnittsprojekt und bezieht sich sowohl auf die BLL- als auch auf die DAL-Schicht. 

OmniPeek

Bei größeren Netzwerken, durch die jede Sekunde Tonnen von MB Daten fließen, gehen den Tools, die alle anderen verwenden, möglicherweise die Puste aus. Wenn Sie vor dem gleichen stehen, OmniPeek könnte einen Blick wert sein.

Es ist eine Leistung, Analyse und Forensik-Tool Zum Analysieren von Netzwerken, insbesondere wenn Sie sowohl Funktionen auf niedriger Ebene als auch umfassende Dashboards benötigen.

Capsa

Wenn Sie sich nur um die Windows-Plattform sorgen, Kapsa ist auch ein ernsthafter Anwärter. Es gibt drei Versionen: kostenlos, Standard und Enterprise mit jeweils unterschiedlichen Funktionen.

Das heißt, sogar die kostenlose Version unterstützt über 300 Protokolle und verfügt über interessante Funktionen wie Warnungen (ausgelöst, wenn bestimmte Bedingungen erfüllt sind). Das Standardangebot ist eine Stufe höher und unterstützt mehr als 1000 Protokolle. So können Sie Konversationen analysieren und Paketströme rekonstruieren.

Alles in allem eine solide Option für Windows-Benutzer.

EtherApe

Wenn Sie nach leistungsstarken Visualisierungen und Open Source suchen, ÄtherAffe ist eine gute Option. Während vorgefertigte Binärdateien nur für eine Handvoll von verfügbar sind Linux-Distributionenist die Quelle verfügbar (sowohl auf SourceForge als auch auf GitHub), daher ist es eine Option, sie selbst zu erstellen.

Folgendes macht EtherApe meiner Meinung nach großartig:

CommView

Wenn Sie ein exklusiver Windows-Shop sind und den Komfort der Prioritätsunterstützung schätzen, CommView ist empfohlen. Es ist ein leistungsstarker Netzwerkverkehrsanalysator mit integrierten Funktionen wie VoIP-Analyse, Remote-Tracking usw.

Was mich am meisten beeindruckt hat, ist die Fähigkeit, Daten in Formate zu exportieren, die von mehreren offenen und proprietären Formaten wie Sniffer verwendet werden®, EtherPeek ™, AiroPeek ™, Observer®, NetMon, Wireshark / Tcpdump und Wireshark / pcapng und sogar einfache Hex-Dumps.

Wifi Explorer

Der letzte auf der Liste ist WLAN-Explorer, die eine kostenlose Version für Windows und eine Standardversion für Windows und MacOS hat. Wenn Sie nur eine WiFi-Netzwerkanalyse benötigen (was heutzutage so ziemlich der Standard ist), wird Ihnen der Wifi Explorer das Leben leichter machen.

Es ist ein wunderschön gestaltetes und funktionsreiches Tool, mit dem Sie direkt ins Herz des Netzwerks gelangen können.

Auszeichnung: Es wäre ein schlechter Dienst, diesen Beitrag zu schließen, ohne einen MacOS-exklusiven Netzwerkanalysator zu erwähnen, auf den ich gestoßen bin - Kleiner Verräter. Es verfügt über eine integrierte Firewall, sodass Sie den gesamten Datenverkehr sofort perfekt steuern können (was schmerzhaft erscheinen kann, aber auf lange Sicht ein enormer Gewinn ist).

Was kommt als nächstes?

Sie sollten diese auch erkunden Software zur Netzwerküberwachung für eine bessere Sichtbarkeit der Infrastruktur. Wenn Sie eine Karriere im Bereich Netzwerk und Sicherheit aufbauen möchten, schauen Sie sich einige der folgenden an beste Online-Kurse hier.