Ваша сеть – это основа вашего бизнеса.
Убедитесь, что вы знаете, что происходит глубоко внутри нее.
Во многих отношениях ландшафт цифрового бизнеса пережил революцию.
То, что начиналось как простые скрипты CGI, написанные на Perl, теперь превратилось в кластерные развертывания, полностью автоматизированные в Kubernetes и других фреймворках оркестрации.
Но я не могу не улыбнуться при мысли, что основы все те же, что и в 1970-е годы.
Все, что у нас есть, – это абстракции на абстракциях, поддерживаемые жесткими физическими кабелями, которые образуют сеть (хорошо, есть виртуальные сети, но вы поняли идею).
Если мы хотим пофантазировать, мы можем разделить сеть на уровни в соответствии с моделью OSI, но все уже сказано и сделано, и мы всегда имеем дело с протоколами TCP/IP, пингами, маршрутизаторами, все из которых имеют одну общую цель – передачу пакетов данных.
Итак, что такое сетевой пакет?
Независимо от того, чем мы занимаемся – сидим в чате, стримим видео, в играх, в серфинге, в покупках – это, по сути, обмен пакетами данных между двумя компьютерами (сетями).
«Пакет» – это наименьшая единица информации, передаваемой в сети (или между сетями), и существует четко определенный метод построения и проверки сетевых пакетов.
Проще говоря, каждый пакет представляет собой звено в цепочке и должным образом передается от источника и проверяется в пункте назначения.
Они собираются вместе, чтобы сформировать данные, которые они изначально представляли (например, изображение).
Теперь, когда мы понимаем, что такое сеть, мы приступаем к пониманию того, что делает сетевой анализатор.
Это инструмент, который позволяет вам просматривать отдельные пакеты в вашей сети.
Но зачем нам это делать? Давай обсудим это дальше.
Зачем нужно анализировать пакеты?
Похоже, что пакеты в значительной степени являются основными строительными блоками в потоке сетевых данных, так же как атомы являются основой всей материи.
А когда дело доходит до анализа материалов или газов, мы никогда не беспокоимся о том, что делает отдельный атом;
Итак, зачем беспокоиться об одном сетевом пакете на индивидуальном уровне?
Что мы можем знать, кроме того, что уже знаем?
Пакетный анализ означает запачкать руки и добраться до самого водопровода, чтобы что-то выяснить.
Как правило, вам нужно анализировать сетевые пакеты, когда все остальное дает сбой.
Обычно сюда входят, казалось бы, безнадежные сценарии:
- Необъяснимая потеря секретных данных, несмотря на отсутствие очевидного нарушения
- Диагностика медленных приложений при отсутствии каких-либо доказательств
- Убедиться, что ваш компьютер/сеть не были взломаны
- Доказательство или опровержение того, что злоумышленник не использует ваш Wi-Fi
В общем, пакетный анализ подпадает под определенные сбора неопровержимых доказательства.
Если вы знаете, как проводить анализ пакетов и собирать его дамп, вы можете уберечь себя от ошибочного обвинения во взломе.
Благодаря мощным, но простым в использовании анализаторам пакетов (снифферам) сбор информации из анализа на уровне пакетов может быть таким же простым, как чтение информационного дашборда.
Тем не менее, вам потребуется немного больше, чем поверхностные знания о том, что происходит внутри сети.
Но опять же, здесь нет ракетостроения, нет извращенной логики, которую нужно освоить – просто здравый смысл.
Если вы начнете читать документацию по одному из этих инструментов, когда будете использовать их в своей сети, довольно скоро вы станете экспертом.
Wireshark
Wireshark – это старый проект (он начался еще в 1998 году), который в значительной степени является отраслевым стандартом, когда дело доходит до глубокого погружения в сети.
Это впечатляет, если учесть, что это чисто добровольная организация, поддерживаемая щедрыми спонсорами.
Wireshark остается с открытым исходным кодом (не на GitHub, но код можно найти тут:
https://code.wireshark.org/review/gitweb?p=wireshark.git;a=tree
Статьи по теме:
- 🖧 10 советов в работе с Wireshark по анализу пакетов в сети
- 🖧 Как обнаружить злоупотребление сетью с помощью Wireshark
- Расшифровка трафика SSL / TLS с помощью Wireshark
- 🎍 Шпаргалка по Wireshark
- Как запустить Wireshark от пользователя root на Kali Linux
- Руководство для начинающих, как начать работу с фильтрами в WireShark
- Установка Wireshark Ubuntu
tcpdump
Если вы приверженец старой школы (заядлый фанат командной строки), tcpdump – то что вам нужно.
Это еще одна из легендарных утилит Linux (например, curl), которая по-прежнему актуальна, настолько, что почти все другие «причудливые» инструменты основываются на ней.
Как я уже говорил ранее, графической среды нет, но инструмент более чем компенсирует ее.
Tcpdump поставляется в комплекте в большинстве современных дистрибутивов Linux, если у вас его нет, вам придется собирать его из исходников.
Статьи по теме:
- 🖧 Как захватить и проанализировать сетевой трафик с помощью tcpdump?
- Как захватить сетевые пакеты и сохранить их в файл с помощью tcpdump
- 14 команд tcpdump для захвата сетевого трафика в Linux
NetworkMiner
NetworkMiner, рекламирующий себя как Forensic Network Analysis Tool (FNAT), является одним из лучших анализаторов уровня пакетов, с которыми вы когда-либо сталкивались.
Это инструмент с открытым исходным кодом, который может пассивно анализировать сеть и поставляется с впечатляющим графическим интерфейсом пользователя, который может отображать отдельные изображения и другие переданные файлы.
Но это не все.
NetworkMiner имеет отличные функции, такие как:
- Поддержка IPv6
- Разбор файлов PCAP
- Извлечение сертификатов X.509 из зашифрованного SSL-трафика
- Pcap-over-IP
- Работает с несколькими типами трафика, такими как FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 и т. д.
- Отпечатки ОС
- Локализация гео IP
- Поддержка скриптов командной строки
Обратите внимание, что некоторые из этих функций доступны в коммерческой версии.
Fiddler
В отличие от других пассивных сетевых снифферов, Fiddler находится между вашим устройством и внешним миром и, следовательно, требует некоторой настройки!
Это настраиваемый (с использованием FiddlerScript) бесплатный инструмент, имеющий долгую и выдающуюся историю, поэтому, если ваша цель – прослушивать HTTP/HTTPS-трафик, как босс, вам подойдет Fiddler.
С Fiddler вы можете многое сделать , особенно если хотите надеть хакерскую толстовку с капюшоном:
- Управление сеансом: копируйте открытые HTTP-заголовки и данные сеанса, изменяя их любым способом.
- Тестирование безопасности: позволяет имитировать атаки типа «злоумышленник посередине» и расшифровывать весь HTTPS-трафик за вас.
- Тестирование производительности: проанализируйте время загрузки страницы (или ответа API) и посмотрите, какая часть ответа является узким местом.
- Хорошая документация
С Fiddler вы можете сделать многое, особенно если хотите надеть хакерскую толстовку с капюшоном:
- Управление сеансом: копируйте открытые HTTP-заголовки и данные сеанса, изменяя их любым способом.
- Тестирование безопасности: позволяет имитировать атаки типа «злоумышленник посередине» и расшифровывать весь HTTPS-трафик за вас.
- Тестирование производительности: проанализируйте время загрузки страницы (или ответа API) и посмотрите, какая часть ответа является узким местом.
- Хорошая документация
WinDump
Если вам не хватает простоты tcpdump и вы хотите использовать его в своих системах Windows, рассмотрите WinDump.
После установки он работает из командной строки командой «tcpdump», так же, как утилита работает в системах Linux.
Обратите внимание, что устанавливать как таковое нечего; WinDump – это бинарный файл, который можно запустить сразу же, если у вас установлена реализация библиотеки Pcap (рекомендуется использовать npcap, поскольку winpcap больше не находится в разработке).
BruteShark
OmniPeek
Для более крупных сетей, через которые ежесекундно проходят тонны мегабайт данных, инструменты могут перестать работать.
Если вы столкнулись с такой же проблемой, возможно, стоит взглянуть на OmniPeek.
Это инструмент производительности, аналитики и форензики для анализа сетей, особенно когда вам нужны как низкоуровневые возможности, так и комплексные информационные панели.
Capsa
Если вас беспокоит только платформа Windows, Capsa также может быть хорошим вариантом.
Он доступен в трех версиях: бесплатная, стандартная и корпоративная, каждая с разными возможностями.
Тем не менее, даже бесплатная версия поддерживает более 300 протоколов и имеет интересные функции, такие как предупреждения (срабатывают при выполнении определенных условий).
Стандартное предложение – это ступенька выше, поддерживающая более 1000 протоколов и позволяющая анализировать разговоры и восстанавливать потоки пакетов.
В общем, хороший вариант для пользователей Windows.
EtherApe
Если вам нужны мощные визуализации и открытый исходный код, EtherApe – отличный вариант.
Хотя готовые бинарники доступны только для нескольких дистрибутивов Linux, исходный код доступен (как на SourceForge, так и на GitHub), поэтому вы можете собрать его самостоятельно.
CommView
Если вы являетесь фанатом Windows и цените удобство приоритетной поддержки, рекомендуется CommView.
Это мощный анализатор сетевого трафика со встроенными расширенными функциями, такими как анализ VoIP, удаленное отслеживание и т.д.
Что меня больше всего впечатлило, так это его способность экспортировать данные в форматы, используемые несколькими открытыми и проприетарными форматами, такими как Sniffer®, EtherPeek ™, AiroPeek ™, Observer®, NetMon, Wireshark/Tcpdump и Wireshark/pcapng, и даже обычные шестнадцатеричные дампы.
Wifi Explorer
Последним в списке идет Wifi Explorer, у которого есть бесплатная версия для Windows и стандартная версия для Windows и macOS.
Если вам нужен только анализ сети Wi-Fi (что в наши дни в значительной степени является стандартом), то Wifi Explorer упростит жизнь.
Это красиво оформленный и многофункциональный инструмент для прямого доступа к сердцевине сети.
Заключение
В этой статье мы рассмотрели различные инструменты!
Если что-то пропустили, напиши нам в комментариях!
