Най -добрите анализатори и нюхачи на мрежов трафик за Windows и Linux безплатно

Днес използването на интернет става все по -често и важно за много хора, тъй като благодарение на тази връзка ще можем да осъществяваме достъп до различни платформи като имейл, корпоративни страници, сайтове, които представляват интерес или забавление и като цяло всичко, което предлага интернет нас.

Въпреки това е много важно да вземем предвид сигурността на мрежата. Знаем, че голям процент атаки срещу информационно оборудване се извършват през мрежата и много пъти това е наша вина (лоши пароли, изтегляне на неизвестни файлове, отваряне на изпълними файлове в имейли), но ако нямате основни познания за това как работи мрежата можете да бъдете (ако не сте били) още една жертва на този тип атаки.

Интернет наистина е гигантска мрежа от протоколи, услуги и инфраструктура, която позволява мрежовата свързаност да се носи навсякъде и повече от 90% от нас са чували за TCP / IP, HTTP, SMTP и т.н.

Всичко това са протоколи, които играят ключова роля в начина, по който мрежата достига до вашия компютър или устройство, но зад него има маршрутизатори и други компоненти, които, ако се провалят, се случват две неща или оставате без достъп до мрежата. Или вие сте податливи на нападение. Ето защо разработчиците на мрежови и мрежови продукти са положили усилия да създадат приложения, които познаваме като Sniffers и мрежови анализатори и въпреки че като цяло са много технически, истината е, че това е ценен инструмент за определяне в кой момент на комуникация може да възникне грешка.

Какво е SnifferSniffer или мрежов анализатор са както хардуерни, така и софтуерни помощни програми, разработени с цел генериране на постоянен мониторинг на локалния или външния мрежов трафик. Това проследяване основно отговаря за анализирането на потоците от пакети данни, които се изпращат и получават между компютрите в мрежата, вътрешно или външно.

Той използва режим на проследяване, наречен „безразборен режим“, с който ни дава възможност да изследваме всички пакети, независимо от тяхната дестинация, това може да отнеме време, но е от ключово значение да се знае със сигурност какво преминава през нашата мрежа.

Можем да конфигурираме Sniffer по два различни начина в зависимост от изискването за поддръжка, тези режими са:

• Можем да го конфигурираме без филтър, така че инструментът да улавя всички налични пакети и да съхранява запис от тях на локалния твърд диск, за да ги анализира по -късно.

• Той може да бъде конфигуриран със специфичен филтър, който ни дава възможност да улавяме пакети въз основа на критериите, които задаваме преди търсенето.

Нюхачи или мрежови анализатори могат да се използват еднакво в LAN или Wi-Fi мрежа. Основната разлика е, че ако се използва в LAN мрежа, ще имаме достъп до пакетите на всяко свързано оборудване. Или можете да установите ограничение въз основа на мрежовите устройства, в случай на използване на безжична мрежа, мрежовият анализатор ще може да сканира само един канал наведнъж поради мрежовото ограничение, но ако използваме няколко безжични интерфейса, това може да се подобри малко, но винаги е по -добре да го използвате в кабелна или LAN мрежа.

Когато проследяваме пакетите с помощта на Sniffer или мрежов анализатор, можем да получим достъп до подробности като:

• Информация за посетените сайтове

• Съдържание и получател на изпратени и получени имейли

• Преглед на изтеглени файлове и много други подробности

Основната цел на Sniffer е да анализира всички пакети в мрежата, особено входящия трафик, да търси всеки обект, чието съдържание съдържа злонамерен код и по този начин да повиши сигурността в организацията, като предотврати инсталирането на всеки тип устройство на всеки клиент компютър. зловреден софтуер.

Познавайки малко как работи мрежовият анализатор, ще разберем някои от най -добрите мрежови анализатори или Sniffer, налични за Windows и Linux.

Wireshark

Ако по всяко време сте се опитвали да извършите мрежов анализ без съмнение, че сте виждали или сте били препоръчани WireShark като едно от най -добрите решения и не е неразумно да мислите за това, причината е проста, WireShark се е позиционирал като един от най-широко използваните анализатори на мрежови протоколи от милиони в света благодарение не само на лекотата на използване, но и на вградените му функции.

ХарактеристикаСред неговите характеристики подчертаваме следното:

• Може да се изпълнява безпроблемно в системи като Windows, Linux, macOS, Solaris, FreeBSD, NetBSD и др.

• Той интегрира мощен анализ за VoIP.

• Той може да извърши задълбочена проверка на повече от 100 протокола.

• Той може да извършва улавяне на живо и офлайн анализ на мрежови пакети.

• Той поддържа формати за четене и писане като tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (компресиран и некомпресиран), Sniffer® Pro и NetXray®, Network Instruments Observer, NetScreen snoop, Novell LANalyzer, RADCOM WAN / LAN Analyzer, Shomiti / Finisar Surveyor, Tektronix K12xx, Visual Networks Time Up Visual, WildPackets EtherPeek / TokenPeek / AiroPeek и др.

• Данните, които са заснети на живо, могат да бъдат прочетени от платформи като Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, което ни дава широк спектър от възможности за достъп.

• Заснетите мрежови данни могат да бъдат изследвани с помощта на графичен интерфейс (GUI) или чрез TShark в режим TTY.

• Поддържа декриптиране на множество протоколи като IPsec, ISAKMP, Kerberos, SNMPv3, SSL / TLS, WEP и WPA / WPA2

• Можем да приложим цветови правила за по -добро управление на получените данни.

• Резултатите могат да бъдат експортирани в XML, PostScript®, CSV или обикновен текст (CSV)

Изтеглянето му е достъпно на следния линк:

Там можем да изтеглим изпълнимия файл за Windows 10, а в случай на Linux можем да изтеглим изходния код или да изпълним следните команди в терминала:

 sudo apt update sudo apt install wireshark sudo usermod -aG wireshark $ (whoami) sudo рестартиране

След като бъде инсталиран в Windows 10 или Linux, по време на неговото изпълнение ще изберем мрежовия адаптер за анализ и след това ще видим следното:

В Windows 10

След като искаме да спрем процеса, щракнете върху Стоп и можем да видим съответните резултати, които можем да дефинираме по -подробно от наличните менюта:

LinuxВ случай на Linux ще видим следното:

EtherApe

Това е изключителна помощна програма за UNIX системи, тъй като може да се изпълнява само на операционни системи като:

• Arch Linux

• Mageia 6

• CENTOS 7

• Fedora 24, 25, 26, 27, 28 и 29

• ScientificLinux 7

• SLES 12, 12 SP1 и 12 SP3

• OpenSUSE 13.2, скок 42.1 / 42.2 / 42.3 и Tumbleweed / Factory.

EtherApe е разработен като приложение GTK 3, с което можем да наблюдаваме и преглеждаме състоянието на устройството чрез графичен интерфейс, получавайки подробности за IP и TCP протоколите в реално време, което е полезно за откриване на всяка аномалия или грешка.

ХарактеристикаНякои от най -забележителните му характеристики са:

• И възелът, и цветът на връзката подчертават най -активния протокол в мрежата.

• Можем да изберем нивото на протоколите за филтриране.

• Използваният мрежов трафик е представен графично за по -добро разбиране на детайлите.

• Поддържа протоколи като ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN, ICMP, IGMP, GGP, IPIP, TCP, EGP, PUP, UDP, IDP, TP, ROUTING, RSVP, GRE, ESP, AH, EON, VINES, EIGRP, OSPF, ENCAP, PIM, IPCOMP, VRRP;

• Поддържа TCP и UDP услуги, TELNET, FTP, HTTP, POP3, NNTP, NETBIOS, IRC, DOMAIN, SNMP и др.

• Той поддържа използването на мрежов филтър, като приема синтаксиса на pcap.

• Тя позволява да се анализира мрежата от край до край IP или от порт до порт TCP.

• Данните могат да бъдат заснети офлайн.

• Събраните данни могат да бъдат прочетени от Ethernet, FDDI, PPP, SLIP и WLAN интерфейси.

• Показва статистиката за трафика по възел.

• С EtherApe разделителната способност на имената се извършва с помощта на стандартни libc функции, това означава, че поддържа DNS, файлове на хост и други услуги.

• Резултатите могат да бъдат експортирани в XML файл.

За да инсталираме тази помощна програма в Linux, трябва да изпълним следното:

 sudo apt-get update sudo apt-get install etherape

След като бъде инсталиран, ние влизаме в помощната програма, като изпълним следното:

 sudo etherape

Това ще накара EtherApe да се изпълни от терминала и графичният интерфейс на приложението автоматично ще се покаже:

Увеличете

Там ще имаме меню, където ще бъде възможно да се приложат филтри или правила.

Tcpdump

Това е помощна програма за Linux системи, която улавя както входящия, така и изходящия мрежов трафик и това приложение може да бъде инсталирано на Unix / Linux операционни системи, тъй като има библиотеката libpcap за извършване на процеса на улавяне на трафик от избраната мрежа.
За да го инсталирате, просто изпълнете следното в терминала:

 sudo apt install tcpdump

ПараметриНякои от параметрите, които трябва да използвате, са:

• -A: Отпечатайте всеки пакет (без заглавката на нивото на връзката) в ASCII.

• -b: Отпечатайте AS номера в BGP пакети в ASDOT нотация вместо ASPLAIN нотация.

• -B buffer_size, --buffer-size = buffer_size: Позволява ви да определите размера на буфера за улавяне в buffer_size, в KiB единици (1024 байта).

• -c count: Излиза от командата след получаване на мрежови пакети.

• -C file_size: проверете дали файлът е по -голям от оригиналния размер на файла.

• -d: Изхвърлете компилирания код на пакет в четлива от човека форма.

• -dd: Изхвърлете кода на пакета като фрагмент от C програма.

• -D --list-интерфейси: Отпечатайте списъка с налични интерфейси.

• -e: Отпечатайте заглавката на нивото на връзката.

• -E: Използвайте spi @ ipaddr за декриптиране на ESP IPsec пакети.

• -f: Отпечатайте IPv4 адресите.

• -F файл: Позволява ни да изберем филтриращ файл.

• -h -help: Отпечатайте помощ за командата.

• --version: Показва използваната версия на tcpdump.

• -i интерфейс --interface = интерфейс: Позволява ни да изберем интерфейса за анализ за улавяне на пакети.

• -I --monitor-mode: Активирайте интерфейса в "мониторен режим"; което е съвместимо само с Wi-Fi интерфейси IEEE 802.11 и някои операционни системи.

Кисмет

Kismet е проста помощна програма, която е по -фокусирана върху безжичните мрежи, но благодарение на която можем да анализираме трафика на скрити мрежи или SSID, които не са изпратени, можем да го използваме в UNIX, Windows под Cygwin и OSX системи.

Kismet работи изцяло върху Wi-Fi интерфейси, Bluetooth, SDR хардуер (софтуерно дефинирано радио- софтуерно дефинирано радио) и специализиран хардуер за улавяне.

ХарактеристикаСред неговите характеристики откриваме:

• Позволява ви да експортирате стандартните данни в JSON, за да помогнете при създаването на скриптове за вашите Kismet екземпляри.

• Той интегрира уеб базиран потребителски интерфейс.

• Поддръжка на безжичен протокол.

• Той има нов код за дистанционно улавяне, който е оптимизиран за двоичен размер и RAM, което улеснява използването на интегрирани устройства за улавяне на пакети в мрежата.

• Той има формат на запис, който може да бъде за осигуряване на сложна информация за устройствата, състоянието на системата, сигналите и други параметри.

Можем да изпълним инсталацията му със следната команда:

 sudo apt install kismet

В следната връзка ще намерите още опции за инсталиране на kismet:

NetworkMiner

Това е помощна програма за мрежов съдебен анализ (NFAT - Network Forensic Analysis Tool), която се основава на отворен код за Windows, Linux, macOS и FreeBSD системи. Когато инсталираме този инструмент, можем да стартираме цялостно мрежово сканиране, за да уловим всички пакети и с тях да можем да открием операционни системи, сесии, имена на хостове и т.н., за пълно управление на тези променливи.

ХарактеристикаНякои от най -забележителните му характеристики са:

• Можем да анализираме PCAP файлове за офлайн анализ.

• Ще бъде възможно да се извърши разширен анализ на мрежовия трафик (NTA).

• Изпълнение в реално време.

• Поддържа IPv6 адресиране.

• Възможно е извличане на файлове от FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 и IMAP трафик

• Поддържа SSL, HTTPS, SMTPS, IMAPS, POP3S, FTPS и повече криптиране

• Декапсулиране на GRE, 802.1Q, PPPoE, VXLAN, OpenFlow, SOCKS, MPLS и EoMPLS

Изтеглянето му е достъпно на следния линк:

Етап 1
За правилното използване на NetworkMiner ще е необходимо първо да създадете входящо правило в защитната стена на Windows 10:

Увеличете

Стъпка 2
След това трябва да стартираме помощната програма като администратор за достъп до сканирането на компютри в мрежата и там да изберем различните опции:

Увеличете

Стъпка 3
Когато избираме хост, можем да видим заредените елементи в съответните раздели:

Увеличете

Анализатор на съобщения на Microsoft

Както може би вече подозирате от името му, това е изключителна помощна програма за Windows 10, разработена от Microsoft за изпълнение на задачи като улавяне, показване и анализ на трафика от протоколни съобщения и други съобщения от операционната система, в допълнение към това, когато ние използваме Тази помощна програма може да импортира, добавя или анализира данни от лог файловете и мрежово проследяване.

Някои от функциите му са

• Уловете данни на живо

• Зареждайте данни от множество източници на данни едновременно

• Показване на данни за проследяване или регистрация

• Различни опции за изглед и др

Етап 1
Неговото безплатно изтегляне е достъпно на следния линк:

Стъпка 2
След като се изпълни, ще видим следната среда (тя трябва да се изпълни като администратор):

Увеличете

Стъпка 3
Там ще бъде възможно да се установят правила за оцветяване, да се добавят колони, да се зададат филтри и други, когато изберем някой от редовете в долната част откриваме по -конкретни подробности за него:

Увеличете

Windump

Windump е версията на Tcpdump за среди на Windows, тъй като Windump е съвместим с Tcpdump и можем да го инсталираме за преглед, диагностика или ако искаме да спестим мрежовия трафик чрез използването и прилагането на правила.

WinDump улавя мрежовия трафик чрез библиотеката и драйверите на WinPcap, така че първо трябва да изтеглим WinPcap безплатно на следната връзка:

След това можем да изтеглим Windump на следната връзка:

Когато го изпълнявате, ще се отвори конзолата за командния ред и там можем да определим интерфейса с параметъра -i:

 WinDump.exe -i 1

Увеличете

Capsa мрежов анализатор

Предлага се в безплатна версия и платена версия с повече функционалности, но и двете ни позволяват да изпълняваме задачи за анализ на мрежата, като следим всеки входящ и изходящ пакет, както и използваните протоколи, това ще бъде от голяма полза за коригиране на грешки и извършване на подробен анализ на мрежата.

В безплатната версия ще бъде възможно:

• Наблюдавайте до 10 IP адреса в избраната мрежа.

• До 4 часа продължителност на сесия.

• Можем да получаваме сигнали от мрежови адаптери.

• Позволява ви да запазвате и експортирате резултатите.

Безплатната версия може да бъде изтеглена на следния линк:

След като бъде изтеглена и изпълнена, това ще бъде средата, предлагана от помощната програма:

Увеличете

Там ще имаме графично представяне на мрежовия трафик, а в горната част ще имаме различни инструменти за филтриране и контрол на мрежови пакети.

Netcat

Netcat е интегрирана команда в Windows и Linux системи, благодарение на която ще бъде възможно да се четат и записват данни чрез TCP / IP протокол в различните мрежови връзки, може да се използва независимо или с други приложения, които да се използват като помощна програма за проучване и отстраняване на грешки в локална или външна мрежа.
Сред неговите функции откриваме:

• Интегриран в самата система

• Уловете изходящи и входящи връзки

• Има вградени възможности за сканиране на портове

• Има разширени функции

• Може да сканира RFC854 и telnet кодове

Можем да изпълним следния ред например:

 netcat -z -v solutiontic.com 15-30

Това ще чете портове 15 до 30, за да покаже кои са отворени и кои не:

Променливата -z се използва за сканиране (нулев режим), а параметърът -v (подробно) показва информацията четливо.
Има допълнителни параметри, които можем да използваме като:

• -4: Показва IPv4 адресите

• -6: Поддържа IPv6 адреси

• -b: Поддържа излъчване

• -D: Активиране на режима за отстраняване на грешки

• -h: Показва помощната команда

• -i Интервал: Позволява да се приложи интервал от време между редовете

• -l: Активиране на режима на слушане

• -n: Потискане на името или разделителната способност на порта

• -r: Оптимизиране на отдалечени портове

Видяхме различните опции за мрежови анализатори и Sniffer, налични за Windows и Linux, с които можем да увеличим резултатите от нашите задачи за поддръжка и контрол.