การตรวจสอบเครือข่ายโดยใช้ยูทิลิตี้ TCPView และ netstat เครื่องวิเคราะห์การรับส่งข้อมูลเครือข่าย: การทบทวนโซลูชันแบบชำระเงินและฟรี การวิเคราะห์แพ็กเก็ตบนเครือข่าย

การดมแพ็กเก็ตเป็นศัพท์เรียกที่หมายถึงศิลปะของการวิเคราะห์การรับส่งข้อมูลเครือข่าย ตรงกันข้ามกับความเชื่อที่นิยม สิ่งต่างๆ เช่น อีเมลและหน้าเว็บไม่ได้เดินทางผ่านอินเทอร์เน็ตในชิ้นเดียว พวกมันถูกแบ่งออกเป็นแพ็กเก็ตข้อมูลขนาดเล็กนับพันและส่งทางอินเทอร์เน็ต ในบทความนี้ เราจะดูตัววิเคราะห์เครือข่ายและเครื่องดมกลิ่นแพ็คเก็ตฟรีที่ดีที่สุด

มียูทิลิตี้มากมายที่รวบรวมการรับส่งข้อมูลเครือข่าย และส่วนใหญ่ใช้ pcap (บนระบบที่คล้าย Unix) หรือ libcap (บน Windows) เป็นแกนหลัก ยูทิลิตี้อีกประเภทหนึ่งช่วยวิเคราะห์ข้อมูลนี้ เนื่องจากแม้แต่การรับส่งข้อมูลเพียงเล็กน้อยก็สามารถสร้างแพ็กเก็ตนับพันที่ยากต่อการนำทาง ยูทิลิตี้เหล่านี้เกือบทั้งหมดมีความแตกต่างกันเล็กน้อยในการรวบรวมข้อมูล ความแตกต่างหลักอยู่ที่วิธีการวิเคราะห์ข้อมูล

การวิเคราะห์การรับส่งข้อมูลเครือข่ายจำเป็นต้องทำความเข้าใจวิธีการทำงานของเครือข่าย ไม่มีเครื่องมือใดที่สามารถแทนที่ความรู้ของนักวิเคราะห์เกี่ยวกับพื้นฐานเครือข่ายได้อย่างน่าอัศจรรย์ เช่น TCP "การจับมือกัน 3 ทาง" ที่ใช้ในการเริ่มต้นการเชื่อมต่อระหว่างอุปกรณ์ทั้งสอง นักวิเคราะห์จำเป็นต้องมีความเข้าใจเกี่ยวกับประเภทของการรับส่งข้อมูลเครือข่ายบนเครือข่ายที่ทำงานตามปกติ เช่น ARP และ DHCP ความรู้นี้มีความสำคัญเนื่องจากเครื่องมือวิเคราะห์จะแสดงให้คุณเห็นว่าคุณขอให้พวกเขาทำอะไร ขึ้นอยู่กับคุณที่จะตัดสินใจว่าจะขออะไร หากคุณไม่ทราบว่าโดยทั่วไปแล้วเครือข่ายของคุณมีลักษณะอย่างไร อาจเป็นเรื่องยากที่จะทราบว่าคุณพบสิ่งที่คุณต้องการในแพ็คเกจจำนวนมากที่คุณรวบรวมไว้

ตัวดมกลิ่นแพ็คเก็ตและตัววิเคราะห์เครือข่ายที่ดีที่สุด

เครื่องมืออุตสาหกรรม

มาเริ่มกันที่ด้านบนแล้วค่อยลงไปจนถึงพื้นฐาน หากคุณกำลังติดต่อกับเครือข่ายระดับองค์กร คุณจะต้องมีปืนใหญ่ แม้ว่าเกือบทุกอย่างจะใช้ tcpdump เป็นแกนหลัก (จะอธิบายเพิ่มเติมในภายหลัง) เครื่องมือระดับองค์กรสามารถแก้ไขปัญหาที่ซับซ้อนบางอย่างได้ เช่น การเชื่อมโยงการรับส่งข้อมูลจากเซิร์ฟเวอร์หลายเครื่อง ให้การสืบค้นที่ชาญฉลาดเพื่อระบุปัญหา การแจ้งเตือนเกี่ยวกับข้อยกเว้น และสร้างกราฟที่ดี ซึ่ง คือสิ่งที่เจ้านายเรียกร้องอยู่เสมอ

โดยทั่วไปเครื่องมือระดับองค์กรมุ่งเน้นไปที่การสตรีมการรับส่งข้อมูลเครือข่ายมากกว่าการประเมินเนื้อหาของแพ็กเก็ต ในกรณีนี้ ฉันหมายถึงจุดสนใจหลักของผู้ดูแลระบบส่วนใหญ่ในองค์กรคือการทำให้มั่นใจว่าเครือข่ายไม่มีปัญหาคอขวดด้านประสิทธิภาพ เมื่อเกิดปัญหาคอขวดดังกล่าว โดยปกติแล้วเป้าหมายคือการตรวจสอบว่าปัญหาเกิดจากเครือข่ายหรือแอปพลิเคชันบนเครือข่ายหรือไม่ ในทางกลับกัน เครื่องมือเหล่านี้มักจะสามารถรองรับการรับส่งข้อมูลได้มากจนสามารถช่วยคาดการณ์ได้ว่าเมื่อใดที่ส่วนของเครือข่ายจะถูกโหลดจนเต็ม ซึ่งเป็นจุดสำคัญในการจัดการแบนด์วิธของเครือข่าย

นี่เป็นชุดเครื่องมือการจัดการไอทีที่มีขนาดใหญ่มาก ในบทความนี้ ยูทิลิตี Deep Packet Inspection and Analysis ซึ่งเป็นส่วนประกอบ มีความเหมาะสมมากกว่า การรวบรวมการรับส่งข้อมูลเครือข่ายนั้นค่อนข้างง่าย ด้วยเครื่องมืออย่าง WireShark การวิเคราะห์ขั้นพื้นฐานก็ไม่เป็นปัญหาเช่นกัน แต่สถานการณ์ไม่ชัดเจนเสมอไป บนเครือข่ายที่มีผู้ใช้หนาแน่นมาก การระบุสิ่งง่ายๆ แม้กระทั่งสิ่งง่ายๆ เช่น:

แอปพลิเคชันใดบนเครือข่ายที่สร้างการรับส่งข้อมูลนี้
- หากรู้จักแอปพลิเคชัน (เช่น เว็บเบราว์เซอร์) ผู้ใช้ใช้เวลาส่วนใหญ่อยู่ที่ไหน
- การเชื่อมต่อใดที่ยาวที่สุดและโอเวอร์โหลดเครือข่าย?

อุปกรณ์เครือข่ายส่วนใหญ่ใช้ข้อมูลเมตาของแต่ละแพ็กเก็ตเพื่อให้แน่ใจว่าแพ็กเก็ตจะไปในที่ที่ต้องการ อุปกรณ์เครือข่ายไม่รู้จักเนื้อหาของแพ็กเก็ต อีกสิ่งหนึ่งคือการตรวจสอบแพ็คเก็ตเชิงลึก ซึ่งหมายความว่ามีการตรวจสอบเนื้อหาจริงของบรรจุภัณฑ์ ด้วยวิธีนี้ จึงสามารถค้นพบข้อมูลเครือข่ายที่สำคัญที่ไม่สามารถรวบรวมจากเมตาดาต้าได้ เครื่องมืออย่างเช่นที่ SolarWinds มอบให้สามารถให้ข้อมูลที่มีความหมายมากกว่าแค่กระแสการรับส่งข้อมูล

เทคโนโลยีอื่นๆ สำหรับการจัดการเครือข่ายที่มีข้อมูลจำนวนมาก ได้แก่ NetFlow และ sFlow แต่ละคนมีจุดแข็งและจุดอ่อนของตัวเอง

คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ NetFlow และ sFlow

การวิเคราะห์เครือข่ายโดยทั่วไปเป็นหัวข้อขั้นสูงที่อิงจากความรู้ที่ได้รับและประสบการณ์การทำงานจริง คุณสามารถฝึกอบรมบุคคลให้มีความรู้โดยละเอียดเกี่ยวกับแพ็กเก็ตเครือข่ายได้ แต่บุคคลนั้นจะไม่ทำได้ดีนักเว้นแต่บุคคลนั้นจะมีความรู้เกี่ยวกับเครือข่ายและมีประสบการณ์ในการระบุความผิดปกติ เครื่องมือที่อธิบายไว้ในบทความนี้ควรใช้โดยผู้ดูแลระบบเครือข่ายที่มีประสบการณ์ซึ่งรู้ว่าต้องการอะไร แต่ไม่แน่ใจว่ายูทิลิตี้ใดดีที่สุด ผู้ดูแลระบบที่มีประสบการณ์น้อยยังสามารถใช้เพื่อรับประสบการณ์เครือข่ายในแต่ละวันได้อีกด้วย

พื้นฐาน

เครื่องมือหลักในการรวบรวมการรับส่งข้อมูลเครือข่ายคือ

เป็นแอปพลิเคชั่นโอเพ่นซอร์สที่ติดตั้งบนระบบปฏิบัติการที่คล้ายกับ Unix เกือบทั้งหมด Tcpdump เป็นยูทิลิตี้การรวบรวมข้อมูลที่ยอดเยี่ยมซึ่งมีภาษาการกรองที่ซับซ้อนมาก สิ่งสำคัญคือต้องรู้วิธีกรองข้อมูลเมื่อรวบรวมข้อมูลเพื่อที่จะได้ชุดข้อมูลปกติสำหรับการวิเคราะห์ การจับข้อมูลทั้งหมดจากอุปกรณ์เครือข่าย แม้บนเครือข่ายที่มีการใช้งานปานกลาง ก็สามารถสร้างข้อมูลได้มากเกินไปจนยากต่อการวิเคราะห์

ในบางกรณีซึ่งเกิดขึ้นไม่บ่อยนัก การพิมพ์ข้อมูลที่บันทึก tcpdump ไปยังหน้าจอโดยตรงก็เพียงพอที่จะค้นหาสิ่งที่คุณต้องการ ตัวอย่างเช่น ขณะที่เขียนบทความนี้ ฉันได้รวบรวมปริมาณการใช้งานและสังเกตเห็นว่าเครื่องของฉันกำลังส่งข้อมูลไปยังที่อยู่ IP ที่ฉันไม่รู้ ปรากฎว่าเครื่องของฉันกำลังส่งข้อมูลไปยังที่อยู่ IP ของ Google 172.217.11.142 เนื่องจากฉันไม่มีผลิตภัณฑ์ของ Google และ Gmail ก็ไม่เปิด ฉันจึงไม่รู้ว่าทำไมจึงเกิดเหตุการณ์เช่นนี้ ฉันตรวจสอบระบบของฉันและพบสิ่งต่อไปนี้:

[ ~ ]$ PS -ef | ผู้ใช้ grep google 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

ปรากฎว่าแม้ในขณะที่ Chrome ไม่ได้ทำงานอยู่ Chrome ก็ยังคงทำงานเป็นบริการอยู่ ฉันคงไม่สังเกตเห็นสิ่งนี้หากไม่มีการวิเคราะห์แพ็กเก็ต ฉันบันทึกแพ็กเก็ตข้อมูลเพิ่มอีกสองสามชุด แต่คราวนี้ฉันมอบหมายงานให้ tcpdump เขียนข้อมูลลงในไฟล์ ซึ่งฉันก็เปิดใน Wireshark (เพิ่มเติมในภายหลัง) นี่คือรายการ:

Tcpdump เป็นเครื่องมือที่ชื่นชอบของผู้ดูแลระบบเนื่องจากเป็นยูทิลิตีบรรทัดคำสั่ง การรัน tcpdump ไม่จำเป็นต้องมี GUI สำหรับเซิร์ฟเวอร์ที่ใช้งานจริง อินเทอร์เฟซแบบกราฟิกค่อนข้างเป็นอันตราย เนื่องจากใช้ทรัพยากรระบบ ดังนั้นโปรแกรมบรรทัดคำสั่งจึงเหมาะกว่า เช่นเดียวกับยูทิลิตี้สมัยใหม่อื่นๆ tcpdump มีภาษาที่ซับซ้อนและซับซ้อนมากซึ่งต้องใช้เวลาพอสมควรจึงจะเชี่ยวชาญ คำสั่งพื้นฐานบางประการเกี่ยวข้องกับการเลือกอินเทอร์เฟซเครือข่ายเพื่อรวบรวมข้อมูลและเขียนข้อมูลนั้นลงในไฟล์เพื่อให้สามารถส่งออกไปวิเคราะห์ที่อื่นได้ สวิตช์ -i และ -w ใช้สำหรับสิ่งนี้

# tcpdump -i eth0 -w tcpdump_packets tcpdump: กำลังฟังบน eth0, ประเภทลิงก์ EN10MB (Ethernet), ขนาดการจับภาพ 262144 ไบต์ ^ แพ็กเก็ต C51 ที่บันทึก

คำสั่งนี้จะสร้างไฟล์ที่มีข้อมูลที่บันทึกไว้:

ไฟล์ tcpdump_packets tcpdump_packets: ไฟล์จับภาพ tcpdump (little-endian) - เวอร์ชัน 2.4 (Ethernet, ความยาวในการจับภาพ 262144)

มาตรฐานสำหรับไฟล์ดังกล่าวคือรูปแบบ pcap ไม่ใช่ข้อความ จึงสามารถวิเคราะห์ได้โดยใช้โปรแกรมที่เข้าใจรูปแบบนี้เท่านั้น

3.กังหันลม

ยูทิลิตี้โอเพ่นซอร์สที่มีประโยชน์ส่วนใหญ่มักจะถูกโคลนเข้าไปในระบบปฏิบัติการอื่น เมื่อสิ่งนี้เกิดขึ้น แสดงว่าแอปพลิเคชันถูกย้ายแล้ว Windump เป็นพอร์ตของ tcpdump และมีพฤติกรรมคล้ายกันมาก

ข้อแตกต่างที่สำคัญที่สุดระหว่าง Windump และ tcpdump คือ Windump จำเป็นต้องติดตั้งไลบรารี Winpcap ก่อนที่ Windump จะทำงาน แม้ว่า Windump และ Winpcap จะให้บริการโดยผู้ดูแลคนเดียวกัน แต่จะต้องดาวน์โหลดแยกกัน

Winpcap เป็นไลบรารี่ที่ต้องติดตั้งไว้ล่วงหน้า แต่ Windump เป็นไฟล์ exe ที่ไม่จำเป็นต้องติดตั้ง คุณจึงสามารถเปิดใช้งานได้เลย นี่คือสิ่งที่ควรคำนึงถึงหากคุณใช้เครือข่าย Windows คุณไม่จำเป็นต้องติดตั้ง Windump บนทุกเครื่อง เนื่องจากคุณสามารถคัดลอกได้ตามต้องการ แต่คุณจะต้องมี Winpcap เพื่อรองรับ Windup

เช่นเดียวกับ tcpdump Windump สามารถแสดงข้อมูลเครือข่ายเพื่อการวิเคราะห์ กรองด้วยวิธีเดียวกัน และยังเขียนข้อมูลลงในไฟล์ pcap เพื่อการวิเคราะห์ในภายหลัง

4. ไวร์ชาร์ก

Wireshark เป็นเครื่องมือที่มีชื่อเสียงอันดับถัดไปในกล่องเครื่องมือของผู้ดูแลระบบ ไม่เพียงแต่ช่วยให้คุณสามารถเก็บข้อมูลเท่านั้น แต่ยังมีเครื่องมือวิเคราะห์ขั้นสูงอีกด้วย นอกจากนี้ Wireshark ยังเป็นโอเพ่นซอร์สและได้รับการย้ายไปยังระบบปฏิบัติการเซิร์ฟเวอร์ที่มีอยู่เกือบทั้งหมด ปัจจุบัน Wireshark เรียกว่า Etheral ทำงานได้ทุกที่ รวมถึงเป็นแอปพลิเคชันพกพาแบบสแตนด์อโลนด้วย

หากคุณกำลังวิเคราะห์การรับส่งข้อมูลบนเซิร์ฟเวอร์ด้วย GUI Wireshark สามารถทำทุกอย่างให้คุณได้ มันสามารถรวบรวมข้อมูลแล้ววิเคราะห์ทั้งหมดได้ทันที อย่างไรก็ตาม GUI นั้นหาได้ยากบนเซิร์ฟเวอร์ ดังนั้นคุณจึงสามารถรวบรวมข้อมูลเครือข่ายจากระยะไกล จากนั้นตรวจสอบไฟล์ pcap ที่ได้ใน Wireshark บนคอมพิวเตอร์ของคุณ

เมื่อคุณเปิดใช้งาน Wireshark เป็นครั้งแรก คุณสามารถโหลดไฟล์ pcap ที่มีอยู่หรือเรียกใช้การจับปริมาณข้อมูลได้ ในกรณีหลังนี้ คุณสามารถตั้งค่าตัวกรองเพิ่มเติมเพื่อลดปริมาณข้อมูลที่รวบรวมได้ หากคุณไม่ระบุตัวกรอง Wireshark จะรวบรวมข้อมูลเครือข่ายทั้งหมดจากอินเทอร์เฟซที่เลือก

หนึ่งในคุณสมบัติที่มีประโยชน์ที่สุดของ Wireshark คือความสามารถในการติดตามสตรีม ทางที่ดีควรคิดว่าด้ายเป็นห่วงโซ่ ในภาพหน้าจอด้านล่าง เราจะเห็นข้อมูลจำนวนมากที่บันทึกไว้ แต่สิ่งที่ฉันสนใจมากที่สุดคือที่อยู่ IP ของ Google ฉันสามารถคลิกขวาและติดตามสตรีม TCP เพื่อดูเชนทั้งหมดได้

หากการรับส่งข้อมูลถูกจับบนคอมพิวเตอร์เครื่องอื่น คุณสามารถนำเข้าไฟล์ PCAP ได้โดยใช้ไฟล์ Wireshark -> เปิดกล่องโต้ตอบ ตัวกรองและเครื่องมือเดียวกันนี้ใช้ได้กับไฟล์ที่นำเข้าเช่นเดียวกับข้อมูลเครือข่ายที่บันทึกไว้

5.ฉลาม

Tshark เป็นลิงก์ที่มีประโยชน์มากระหว่าง tcpdump และ Wireshark Tcpdump มีความเหนือกว่าในการรวบรวมข้อมูลและสามารถดึงเฉพาะข้อมูลที่คุณต้องการโดยการผ่าตัด อย่างไรก็ตาม ความสามารถในการวิเคราะห์ข้อมูลนั้นมีจำกัดมาก Wireshark เก่งทั้งในการจับภาพและการวิเคราะห์ แต่มีอินเทอร์เฟซผู้ใช้ที่หนักหน่วงและไม่สามารถใช้บนเซิร์ฟเวอร์ที่ไม่มี GUI ได้ ลองใช้ tshark มันใช้งานได้บนบรรทัดคำสั่ง

Tshark ใช้กฎการกรองเดียวกันกับ Wireshark ซึ่งไม่น่าแปลกใจเนื่องจากโดยพื้นฐานแล้วเป็นผลิตภัณฑ์เดียวกัน คำสั่งด้านล่างนี้จะบอกเฉพาะ tshark ให้บันทึกที่อยู่ IP ปลายทาง รวมถึงช่องอื่นๆ ที่น่าสนใจจากส่วน HTTP ของแพ็กเก็ต

# tshark -i eth0 -Y http.request -T ฟิลด์ -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico

หากคุณต้องการเขียนการรับส่งข้อมูลไปยังไฟล์ ให้ใช้ตัวเลือก -W เพื่อดำเนินการดังกล่าว จากนั้นจึงสวิตช์ -r (อ่าน) เพื่ออ่าน

การจับครั้งแรก:

# tshark -i eth0 -w tshark_packets การจับภาพบน "eth0" 102 ^C

อ่านได้ที่นี่หรือย้ายไปที่อื่นเพื่อทำการวิเคราะห์

# tshark -r tshark_packets -Y http.request -T ฟิลด์ -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0/ติดต่อ 172.20.0.122 Mozilla/5.0 (x11; Linux x86_64; RV: 57.0) Gecko/20100101 Firefox/57.0/การจอง/172.20.0.122 Mozilla/5.0 (x11; Linux X86_64; / 57.0 /reservations/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack .js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/ 2010 0101 Firefox/57.0 /res/images/title.png

นี่เป็นเครื่องมือที่น่าสนใจมากซึ่งจัดอยู่ในหมวดหมู่ของเครื่องมือวิเคราะห์ทางนิติวิทยาศาสตร์เครือข่ายมากกว่าแค่การดมกลิ่น โดยทั่วไปสาขานิติเวชจะเกี่ยวข้องกับการสืบสวนและการรวบรวมหลักฐาน และ Network Miner ก็ทำหน้าที่นี้ได้ดี เช่นเดียวกับที่ wireshark สามารถติดตามสตรีม TCP เพื่อสร้างห่วงโซ่การส่งแพ็คเก็ตใหม่ทั้งหมด Network Miner ก็สามารถติดตามสตรีมเพื่อกู้คืนไฟล์ที่ถูกถ่ายโอนผ่านเครือข่ายได้

Network Miner สามารถวางอย่างมีกลยุทธ์บนเครือข่ายเพื่อให้สามารถสังเกตและรวบรวมปริมาณการใช้งานที่คุณสนใจแบบเรียลไทม์ มันจะไม่สร้างทราฟฟิกของตัวเองบนเครือข่าย ดังนั้นมันจะทำงานอย่างลับๆ

Network Miner สามารถทำงานแบบออฟไลน์ได้ คุณสามารถใช้ tcpdump เพื่อรวบรวมแพ็กเก็ตที่จุดเครือข่ายที่สนใจ จากนั้นนำเข้าไฟล์ PCAP ไปยัง Network Miner จากนั้น คุณสามารถลองกู้คืนไฟล์หรือใบรับรองใดๆ ที่พบในไฟล์ที่บันทึกไว้ได้

Network Miner สร้างขึ้นสำหรับ Windows แต่ด้วย Mono จึงสามารถทำงานบนระบบปฏิบัติการใดก็ได้ที่รองรับแพลตฟอร์ม Mono เช่น Linux และ MacOS

มีเวอร์ชันฟรี ระดับเริ่มต้น แต่มีชุดฟังก์ชันที่เหมาะสม หากคุณต้องการคุณสมบัติเพิ่มเติม เช่น ตำแหน่งทางภูมิศาสตร์และสคริปต์ที่กำหนดเอง คุณจะต้องซื้อใบอนุญาตประกอบวิชาชีพ

7. พู้ทำเล่น (HTTP)

ในทางเทคนิคแล้ว มันไม่ใช่ยูทิลิตี้การจับแพ็กเก็ตเครือข่าย แต่มีประโยชน์อย่างเหลือเชื่อจนรวมอยู่ในรายการนี้ แตกต่างจากเครื่องมืออื่นๆ ที่แสดงไว้ที่นี่ ซึ่งออกแบบมาเพื่อบันทึกการรับส่งข้อมูลเครือข่ายจากแหล่งที่มาใดๆ Fiddler เป็นเครื่องมือแก้ไขจุดบกพร่องมากกว่า มันจับการรับส่งข้อมูล HTTP แม้ว่าเบราว์เซอร์จำนวนมากจะมีความสามารถนี้ในเครื่องมือสำหรับนักพัฒนาอยู่แล้ว แต่ Fiddler ไม่ได้จำกัดอยู่เพียงการรับส่งข้อมูลของเบราว์เซอร์เท่านั้น Fiddler สามารถบันทึกการรับส่งข้อมูล HTTP บนคอมพิวเตอร์ รวมถึงแอปพลิเคชันที่ไม่ใช่เว็บ

แอปพลิเคชันเดสก์ท็อปจำนวนมากใช้ HTTP เพื่อเชื่อมต่อกับบริการบนเว็บ และนอกเหนือจาก Fiddler วิธีเดียวที่จะบันทึกการรับส่งข้อมูลดังกล่าวเพื่อการวิเคราะห์คือการใช้เครื่องมือ เช่น tcpdump หรือ Wireshark อย่างไรก็ตาม แพ็กเก็ตทำงานในระดับแพ็กเก็ต ดังนั้นการวิเคราะห์จึงต้องสร้างแพ็กเก็ตเหล่านี้ขึ้นใหม่เป็นสตรีม HTTP การค้นคว้าง่ายๆ อาจต้องใช้ความพยายามมากมาย และนั่นคือสิ่งที่ Fiddler เข้ามามีบทบาท Fiddler จะช่วยคุณตรวจจับคุกกี้ ใบรับรอง และข้อมูลที่เป็นประโยชน์อื่นๆ ที่ส่งมาจากแอปพลิเคชัน

Fiddler เป็นบริการฟรี และเช่นเดียวกับ Network Miner ก็คือสามารถทำงานแบบ Mono บนระบบปฏิบัติการเกือบทุกระบบได้

8. แคปซ่า

ตัววิเคราะห์เครือข่าย Capsa มีหลายรุ่น โดยแต่ละรุ่นมีความสามารถที่แตกต่างกัน ในระดับแรก Capsa ใช้งานได้ฟรี และโดยพื้นฐานแล้วมันช่วยให้คุณจับแพ็กเก็ตและทำการวิเคราะห์กราฟิกขั้นพื้นฐานกับแพ็กเก็ตเหล่านั้นได้ แดชบอร์ดมีเอกลักษณ์เฉพาะและสามารถช่วยให้ผู้ดูแลระบบที่ไม่มีประสบการณ์ระบุปัญหาเครือข่ายได้อย่างรวดเร็ว เทียร์ฟรีมีไว้สำหรับผู้ที่ต้องการเรียนรู้เพิ่มเติมเกี่ยวกับแพ็คเกจและสร้างทักษะการวิเคราะห์

เวอร์ชันฟรีช่วยให้คุณตรวจสอบโปรโตคอลได้มากกว่า 300 โปรโตคอล เหมาะสำหรับการตรวจสอบอีเมลรวมถึงการจัดเก็บเนื้อหาอีเมล และยังรองรับทริกเกอร์ที่สามารถใช้เพื่อกระตุ้นการแจ้งเตือนเมื่อเกิดสถานการณ์บางอย่าง ในเรื่องนี้ Capsa สามารถใช้เป็นเครื่องมือสนับสนุนได้ในระดับหนึ่ง

Capsa ใช้งานได้กับ Windows 2008/Vista/7/8 และ 10 เท่านั้น

บทสรุป

เป็นเรื่องง่ายที่จะเข้าใจว่าผู้ดูแลระบบสามารถสร้างโครงสร้างพื้นฐานการตรวจสอบเครือข่ายโดยใช้เครื่องมือที่เราอธิบายไว้ได้อย่างไร Tcpdump หรือ Windump สามารถติดตั้งได้บนเซิร์ฟเวอร์ทั้งหมด ตัวกำหนดเวลา เช่น cron หรือตัวกำหนดเวลาของ Windows จะเริ่มเซสชันการรวบรวมแพ็กเก็ตในเวลาที่เหมาะสมและเขียนข้อมูลที่รวบรวมไปยังไฟล์ pcap ผู้ดูแลระบบสามารถถ่ายโอนแพ็กเก็ตเหล่านี้ไปยังเครื่องกลางและวิเคราะห์โดยใช้ wireshark หากเครือข่ายมีขนาดใหญ่เกินไปสำหรับสิ่งนี้ เครื่องมือระดับองค์กร เช่น SolarWinds ก็พร้อมที่จะเปลี่ยนแพ็กเก็ตเครือข่ายทั้งหมดให้เป็นชุดข้อมูลที่จัดการได้

ต้นฉบับ: 8 ตัวดมกลิ่นแพ็คเก็ตที่ดีที่สุดและตัววิเคราะห์เครือข่าย
ผู้เขียน: จอน วัตสัน
วันที่เผยแพร่: 22 พฤศจิกายน 2017
การแปล: A. Krivoshey
วันที่โอน: ธันวาคม 2560

ตัวดมกลิ่นแพ็คเก็ตและตัววิเคราะห์เครือข่ายที่ดีที่สุด

เครื่องมืออุตสาหกรรม

คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ NetFlow และ sFlow

พื้นฐาน

เครื่องมือหลักในการรวบรวมการรับส่งข้อมูลเครือข่ายคือ

[ ~ ]$ PS -ef | ผู้ใช้ grep google 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

คำสั่งนี้จะสร้างไฟล์ที่มีข้อมูลที่บันทึกไว้:

ไฟล์ tcpdump_packets tcpdump_packets: ไฟล์จับภาพ tcpdump (little-endian) - เวอร์ชัน 2.4 (Ethernet ความยาวในการจับภาพ 262144)

3.กังหันลม

4. ไวร์ชาร์ก

5.ฉลาม

การจับครั้งแรก:

# tshark -i eth0 -w tshark_packets การจับภาพบน "eth0" 102 ^C

อ่านได้ที่นี่หรือย้ายไปที่อื่นเพื่อทำการวิเคราะห์

7. พู้ทำเล่น (HTTP)

8. แคปซ่า

Capsa ใช้งานได้กับ Windows 2008/Vista/7/8 และ 10 เท่านั้น

บทสรุป

อ่านบทความอื่นๆ เกี่ยวกับการสกัดกั้นและวิเคราะห์การรับส่งข้อมูลเครือข่าย :

Dan Nanni ยูทิลิตี้บรรทัดคำสั่งสำหรับตรวจสอบการรับส่งข้อมูลเครือข่ายบน Linux
Paul Cobbaut ผู้ดูแลระบบ Linux การสกัดกั้นการรับส่งข้อมูลเครือข่าย
Paul Ferrill, 5 เครื่องมือสำหรับการตรวจสอบเครือข่ายบน Linux
Pankaj Tanwar การจับแพ็คเก็ตโดยใช้ไลบรารี libpcap
Riccardo Capecchi การใช้ตัวกรองใน Wireshark
นาธาน วิลลิส การวิเคราะห์เครือข่ายกับ Wireshark
ประชานต์ ผาตัก,

กระทรวงศึกษาธิการและวิทยาศาสตร์แห่งสหพันธรัฐรัสเซีย

สถาบันการศึกษาของรัฐ "มหาวิทยาลัยโปลีเทคนิคแห่งรัฐเซนต์ปีเตอร์สเบิร์ก"

สถาบันเศรษฐศาสตร์และการจัดการเชบอคซารี (สาขา)

ภาควิชาคณิตศาสตร์ขั้นสูงและเทคโนโลยีสารสนเทศ

เชิงนามธรรม

ในรายวิชา “ความมั่นคงปลอดภัยสารสนเทศ”

ในหัวข้อ: “ตัววิเคราะห์เครือข่าย”

สมบูรณ์

นักศึกษาชั้นปีที่ 4 เงินเดือน 080502-51M

สาขาวิชา "การจัดการ"

ที่สถานประกอบการด้านวิศวกรรมเครื่องกล"

พาฟโลฟ เค.วี.

ตรวจสอบแล้ว

ครู

เชบอคซารย์ 2011

การแนะนำ

เครือข่ายอีเธอร์เน็ตได้รับความนิยมอย่างมากเนื่องจากมีปริมาณงานที่ดี ความง่ายในการติดตั้ง และต้นทุนที่สมเหตุสมผลในการติดตั้งอุปกรณ์เครือข่าย
อย่างไรก็ตาม เทคโนโลยีอีเธอร์เน็ตไม่ได้ปราศจากข้อบกพร่องที่สำคัญ สิ่งสำคัญคือความไม่ปลอดภัยของข้อมูลที่ส่ง คอมพิวเตอร์ที่เชื่อมต่อกับเครือข่ายอีเธอร์เน็ตสามารถดักจับข้อมูลที่ส่งถึงเพื่อนบ้านได้ เหตุผลนี้คือสิ่งที่เรียกว่ากลไกการส่งข้อความออกอากาศที่ใช้ในเครือข่ายอีเทอร์เน็ต

การเชื่อมต่อคอมพิวเตอร์ในเครือข่ายเป็นการทลายหลักการเดิมของความปลอดภัยของข้อมูล เช่น เกี่ยวกับการรักษาความปลอดภัยแบบคงที่ ในอดีต ผู้ดูแลระบบสามารถค้นพบและแก้ไขช่องโหว่ของระบบได้โดยการติดตั้งการอัปเดตที่เหมาะสม ซึ่งสามารถตรวจสอบการทำงานของ “แพตช์” ที่ติดตั้งไว้ได้ในไม่กี่สัปดาห์หรือหลายเดือนต่อมาเท่านั้น อย่างไรก็ตาม “แพตช์” นี้อาจถูกลบออกโดยผู้ใช้โดยไม่ตั้งใจหรือระหว่างทำงาน หรือโดยผู้ดูแลระบบรายอื่นเมื่อติดตั้งส่วนประกอบใหม่ ทุกอย่างเปลี่ยนแปลงไป และตอนนี้เทคโนโลยีสารสนเทศกำลังเปลี่ยนแปลงอย่างรวดเร็วจนกลไกความปลอดภัยแบบคงที่ไม่สามารถให้การรักษาความปลอดภัยของระบบที่สมบูรณ์ได้อีกต่อไป

จนกระทั่งเมื่อไม่นานมานี้ กลไกหลักในการปกป้องเครือข่ายองค์กรคือไฟร์วอลล์ อย่างไรก็ตาม ไฟร์วอลล์ที่ออกแบบมาเพื่อปกป้องทรัพยากรข้อมูลขององค์กรมักจะกลายเป็นจุดอ่อนในตัวเอง สิ่งนี้เกิดขึ้นเนื่องจากผู้ดูแลระบบสร้างความเรียบง่ายให้กับระบบการเข้าถึงจนในที่สุดกำแพงหินของระบบรักษาความปลอดภัยก็เต็มไปด้วยรูเหมือนตะแกรง การป้องกันไฟร์วอลล์ (ไฟร์วอลล์) อาจไม่สามารถใช้งานได้กับเครือข่ายองค์กรที่มีการรับส่งข้อมูลสูง เนื่องจากการใช้ไฟร์วอลล์หลายตัวอาจส่งผลกระทบอย่างมากต่อประสิทธิภาพของเครือข่าย ในบางกรณี เป็นการดีกว่าที่จะ “เปิดประตูทิ้งไว้” และมุ่งเน้นไปที่วิธีการตรวจจับและตอบสนองต่อการบุกรุกเครือข่าย

สำหรับการตรวจสอบเครือข่ายองค์กรอย่างต่อเนื่อง (ตลอด 24 ชั่วโมง 7 วันต่อสัปดาห์ 365 วันต่อปี) เพื่อตรวจจับการโจมตี ระบบป้องกัน "ที่ทำงานอยู่" ได้รับการออกแบบ - ระบบตรวจจับการโจมตี ระบบเหล่านี้จะตรวจจับการโจมตีบนโหนดเครือข่ายองค์กรและตอบสนองในลักษณะที่ผู้ดูแลระบบความปลอดภัยกำหนด ตัวอย่างเช่น พวกมันขัดจังหวะการเชื่อมต่อกับโหนดที่ถูกโจมตี แจ้งผู้ดูแลระบบ หรือป้อนข้อมูลเกี่ยวกับการโจมตีในบันทึก

1. เครื่องวิเคราะห์เครือข่าย

1.1 ไอพี - เตือน 1 หรือการตรวจสอบเครือข่ายแรก

อันดับแรก เราควรพูดสักสองสามคำเกี่ยวกับการออกอากาศในท้องถิ่น ในเครือข่ายอีเธอร์เน็ต คอมพิวเตอร์ที่เชื่อมต่ออยู่นั้นมักจะใช้สายเคเบิลเส้นเดียวกันร่วมกัน ซึ่งทำหน้าที่เป็นสื่อกลางในการส่งข้อความระหว่างกัน

ใครก็ตามที่ต้องการส่งข้อความผ่านช่องทางทั่วไปต้องตรวจสอบให้แน่ใจก่อนว่าช่องนี้ว่างในเวลาที่กำหนด เมื่อเริ่มส่งสัญญาณ คอมพิวเตอร์จะฟังความถี่พาหะของสัญญาณ เพื่อพิจารณาว่าสัญญาณนั้นผิดเพี้ยนเนื่องจากการชนกับคอมพิวเตอร์เครื่องอื่นที่กำลังส่งข้อมูลในเวลาเดียวกันหรือไม่ หากเกิดการชนกัน การส่งข้อมูลจะถูกขัดจังหวะและคอมพิวเตอร์จะ “เงียบ” เป็นระยะเวลาหนึ่งเพื่อพยายามส่งสัญญาณซ้ำในภายหลังเล็กน้อย หากคอมพิวเตอร์ที่เชื่อมต่อกับเครือข่ายอีเทอร์เน็ตไม่ส่งสัญญาณใดๆ เลย เครื่องจะยังคง "ฟัง" ข้อความทั้งหมดที่คอมพิวเตอร์ใกล้เคียงส่งผ่านเครือข่าย เมื่อสังเกตเห็นที่อยู่เครือข่ายในส่วนหัวของข้อมูลที่เข้ามา คอมพิวเตอร์จะคัดลอกส่วนนี้ไปยังหน่วยความจำภายในเครื่อง

มีสองวิธีหลักในการเชื่อมต่อคอมพิวเตอร์กับเครือข่ายอีเธอร์เน็ต ในกรณีแรก คอมพิวเตอร์จะเชื่อมต่อกันโดยใช้สายโคแอกเชียล สายเคเบิลนี้วางจากคอมพิวเตอร์เครื่องหนึ่งไปอีกเครื่องหนึ่งโดยเชื่อมต่อกับอะแดปเตอร์เครือข่ายที่มีขั้วต่อรูปตัว T และสิ้นสุดที่ปลายด้วยเทอร์มิเนเตอร์ BNC โทโพโลยีในภาษามืออาชีพนี้เรียกว่าเครือข่าย Ethernet 10Base2 อย่างไรก็ตาม อาจเรียกได้ว่าเป็นเครือข่ายที่ "ทุกคนได้ยินทุกคน" คอมพิวเตอร์ทุกเครื่องที่เชื่อมต่อกับเครือข่ายสามารถดักจับข้อมูลที่ส่งผ่านเครือข่ายนั้นโดยคอมพิวเตอร์เครื่องอื่นได้ ในกรณีที่สอง คอมพิวเตอร์แต่ละเครื่องเชื่อมต่อด้วยสายเคเบิลคู่บิดเข้ากับพอร์ตแยกต่างหากของอุปกรณ์สวิตช์ส่วนกลาง - ฮับหรือสวิตช์ ในเครือข่ายดังกล่าว เรียกว่าเครือข่าย Ethernet lOBaseT คอมพิวเตอร์จะถูกแบ่งออกเป็นกลุ่มที่เรียกว่าโดเมนการชนกัน โดเมนการชนกันถูกกำหนดโดยฮับหรือพอร์ตสวิตช์ที่เชื่อมต่อกับบัสทั่วไป ด้วยเหตุนี้ การชนกันจึงไม่เกิดขึ้นระหว่างคอมพิวเตอร์ทุกเครื่องบนเครือข่าย และแยกกัน - ระหว่างโดเมนที่เป็นส่วนหนึ่งของโดเมนการชนกันซึ่งจะเพิ่มปริมาณงานของเครือข่ายโดยรวม

ล่าสุดสวิตช์ประเภทใหม่เริ่มปรากฏในเครือข่ายขนาดใหญ่ที่ไม่ใช้การแพร่ภาพกระจายเสียงและไม่ปิดกลุ่มพอร์ตด้วยกัน แต่ข้อมูลทั้งหมดที่ส่งผ่านเครือข่ายจะถูกบัฟเฟอร์ไว้ในหน่วยความจำและส่งโดยเร็วที่สุด อย่างไรก็ตาม ยังมีเครือข่ายดังกล่าวอยู่บ้าง - ไม่เกิน 5% ของจำนวนเครือข่ายประเภทอีเทอร์เน็ตทั้งหมด

ดังนั้น อัลกอริธึมการถ่ายโอนข้อมูลที่นำมาใช้ในเครือข่ายอีเทอร์เน็ตส่วนใหญ่ต้องการให้คอมพิวเตอร์แต่ละเครื่องเชื่อมต่อกับเครือข่ายเพื่อ "ฟัง" การรับส่งข้อมูลเครือข่ายทั้งหมดอย่างต่อเนื่องโดยไม่มีข้อยกเว้น อัลกอริธึมการเข้าถึงที่เสนอโดยคนบางคน ซึ่งคอมพิวเตอร์จะถูกตัดการเชื่อมต่อจากเครือข่ายในขณะที่ส่งข้อความ "ของคนอื่น" ยังคงไม่เกิดขึ้นจริงเนื่องจากมีความซับซ้อนมากเกินไป ค่าใช้จ่ายในการดำเนินการสูง และประสิทธิภาพต่ำ

IPAlert-1 คืออะไร และมาจากไหน? กาลครั้งหนึ่งการวิจัยเชิงปฏิบัติและเชิงทฤษฎีของผู้เขียนในสาขาที่เกี่ยวข้องกับการศึกษาความปลอดภัยของเครือข่ายนำไปสู่แนวคิดต่อไปนี้: บนอินเทอร์เน็ตรวมถึงในเครือข่ายอื่น ๆ (เช่น Novell NetWare, Windows NT) ขาดซอฟต์แวร์รักษาความปลอดภัยอย่างร้ายแรง ซับซ้อน การควบคุม (การตรวจสอบ) ที่ระดับการเชื่อมโยงของการไหลของข้อมูลทั้งหมดที่ส่งผ่านเครือข่ายเพื่อตรวจจับผลกระทบระยะไกลทุกประเภทที่อธิบายไว้ในวรรณกรรม การศึกษาตลาดซอฟต์แวร์รักษาความปลอดภัยเครือข่ายอินเทอร์เน็ตเปิดเผยว่าไม่มีเครื่องมือตรวจจับการโจมตีระยะไกลที่ครอบคลุมดังกล่าว และเครื่องมือที่มีอยู่นั้นได้รับการออกแบบมาเพื่อตรวจจับการโจมตีประเภทใดประเภทหนึ่งโดยเฉพาะ (เช่น ICMP Redirect หรือ ARP) ดังนั้นการพัฒนาเครื่องมือตรวจสอบสำหรับส่วนเครือข่าย IP จึงเริ่มต้นขึ้นโดยมีจุดประสงค์เพื่อใช้บนอินเทอร์เน็ตและได้รับชื่อต่อไปนี้: ตัวตรวจสอบความปลอดภัยเครือข่าย IP Alert-1

งานหลักของเครื่องมือนี้ซึ่งวิเคราะห์การรับส่งข้อมูลเครือข่ายในช่องสัญญาณโดยทางโปรแกรมนั้น ไม่ใช่เพื่อขับไล่การโจมตีระยะไกลที่ดำเนินการผ่านช่องทางการสื่อสาร แต่เพื่อตรวจจับและบันทึกข้อมูลเหล่านั้น (การรักษาไฟล์การตรวจสอบด้วยการบันทึกในรูปแบบที่สะดวกสำหรับการมองเห็นในภายหลัง การวิเคราะห์เหตุการณ์ทั้งหมดที่เกี่ยวข้องกับการโจมตีระยะไกลบนเซ็กเมนต์เครือข่ายที่กำหนด) และแจ้งเตือนผู้ดูแลระบบความปลอดภัยทันทีหากตรวจพบการโจมตีระยะไกล ภารกิจหลักของการตรวจสอบความปลอดภัยเครือข่าย IP Alert-1 คือการตรวจสอบความปลอดภัยของส่วนอินเทอร์เน็ตที่เกี่ยวข้อง

การตรวจสอบความปลอดภัยเครือข่าย IP Alert-1 มีฟังก์ชันการทำงานดังต่อไปนี้ และช่วยให้สามารถตรวจจับการโจมตีระยะไกลต่อไปนี้ในส่วนเครือข่ายที่ควบคุมผ่านการวิเคราะห์เครือข่าย:

1. การตรวจสอบความสอดคล้องของที่อยู่ IP และอีเธอร์เน็ตในแพ็กเก็ตที่ส่งโดยโฮสต์ที่อยู่ภายในส่วนเครือข่ายที่ได้รับการควบคุม

บนโฮสต์ IP Alert-1 ผู้ดูแลระบบความปลอดภัยจะสร้างตาราง ARP แบบคงที่ โดยจะป้อนข้อมูลเกี่ยวกับที่อยู่ IP และอีเทอร์เน็ตที่สอดคล้องกันของโฮสต์ที่อยู่ภายในส่วนเครือข่ายที่ได้รับการควบคุม

ฟังก์ชั่นนี้ช่วยให้คุณตรวจจับการเปลี่ยนแปลงที่อยู่ IP หรือการทดแทนโดยไม่ได้รับอนุญาต (ที่เรียกว่าการปลอมแปลง IP, การปลอมแปลง, การปลอมแปลง IP (jarg))

2. ตรวจสอบการใช้กลไกการค้นหา ARP ระยะไกลอย่างถูกต้อง คุณสมบัตินี้ช่วยให้คุณตรวจจับการโจมตี ARP เท็จระยะไกลได้โดยใช้ตาราง ARP แบบคงที่

3. ตรวจสอบการใช้กลไกการค้นหา DNS ระยะไกลอย่างถูกต้อง คุณลักษณะนี้ช่วยให้คุณระบุประเภทการโจมตีระยะไกลที่เป็นไปได้ทั้งหมดบนบริการ DNS

4. การตรวจสอบความถูกต้องของความพยายามในการเชื่อมต่อระยะไกลโดยการวิเคราะห์คำขอที่ส่ง ฟังก์ชั่นนี้ช่วยให้คุณตรวจจับประการแรกความพยายามในการตรวจสอบกฎของการเปลี่ยนแปลงค่าเริ่มต้นของตัวระบุการเชื่อมต่อ TCP - ISN ประการที่สองการโจมตีการปฏิเสธบริการระยะไกลที่ดำเนินการโดยล้นคิวคำขอการเชื่อมต่อและประการที่สามคำสั่งโดยตรง "พายุ" ของคำขอเชื่อมต่อที่ผิดพลาด (ทั้ง TCP และ UDP) ซึ่งนำไปสู่การปฏิเสธการให้บริการด้วย

ดังนั้น การตรวจสอบความปลอดภัยเครือข่าย IP Alert-1 ช่วยให้คุณสามารถตรวจจับ แจ้งเตือน และบันทึกการโจมตีระยะไกลได้เกือบทุกประเภท อย่างไรก็ตาม โปรแกรมนี้ไม่ได้เป็นคู่แข่งกับระบบไฟร์วอลล์แต่อย่างใด IP Alert-1 ซึ่งใช้คุณสมบัติของการโจมตีระยะไกลบนอินเทอร์เน็ตทำหน้าที่เป็นส่วนเสริมที่จำเป็น - โดยวิธีการที่ถูกกว่าอย่างไม่มีที่เปรียบ - สำหรับระบบไฟร์วอลล์ หากไม่มีการตรวจสอบความปลอดภัย ความพยายามส่วนใหญ่ในการโจมตีระยะไกลบนส่วนเครือข่ายของคุณจะยังคงถูกซ่อนจากสายตาของคุณ ไม่มีไฟร์วอลล์ที่รู้จักตัวใดมีส่วนร่วมในการวิเคราะห์ข้อความที่ส่งผ่านเครือข่ายอย่างชาญฉลาดเพื่อระบุการโจมตีระยะไกลประเภทต่างๆ โดยจำกัดตัวเองอย่างดีที่สุดเพื่อเก็บบันทึกที่บันทึกข้อมูลเกี่ยวกับความพยายามในการคาดเดารหัสผ่าน การสแกนพอร์ต และการสแกนเครือข่าย ด้วยการใช้โปรแกรมค้นหาระยะไกลอันโด่งดัง ดังนั้นหากผู้ดูแลระบบเครือข่าย IP ไม่ต้องการที่จะเฉยเมยและพอใจกับบทบาทของนักสถิติธรรมดาระหว่างการโจมตีระยะไกลบนเครือข่ายของเขา ก็ขอแนะนำให้เขาใช้ตัวตรวจสอบความปลอดภัยเครือข่าย IP Alert-1

ความจำเป็นในการวิเคราะห์การรับส่งข้อมูลเครือข่ายอาจเกิดขึ้นได้จากหลายสาเหตุ การตรวจสอบความปลอดภัยของคอมพิวเตอร์ การดีบักเครือข่ายท้องถิ่น การตรวจสอบการรับส่งข้อมูลขาออกเพื่อเพิ่มประสิทธิภาพการทำงานของการเชื่อมต่ออินเทอร์เน็ตที่ใช้ร่วมกัน - งานทั้งหมดนี้มักจะอยู่ในวาระการประชุมของผู้ดูแลระบบและผู้ใช้ทั่วไป เพื่อแก้ปัญหาเหล่านี้ มีโปรแกรมอรรถประโยชน์มากมายที่เรียกว่า ดมกลิ่น ทั้งแบบเฉพาะทางที่มุ่งแก้ไขงานแคบ ๆ และ "เครื่องเก็บเกี่ยว" แบบมัลติฟังก์ชั่นที่ให้ผู้ใช้มีเครื่องมือให้เลือกมากมาย บทความนี้จะแนะนำหนึ่งในตัวแทนของกลุ่มหลัง ได้แก่ ยูทิลิตี้ CommView ที่ผลิตโดย บริษัท โปรแกรมช่วยให้คุณเห็นภาพเต็มของการรับส่งข้อมูลที่ส่งผ่านคอมพิวเตอร์หรือส่วนเครือข่ายท้องถิ่นได้อย่างชัดเจน ระบบสัญญาณเตือนที่ปรับแต่งได้ช่วยให้คุณเตือนเกี่ยวกับการมีอยู่ของแพ็กเก็ตที่น่าสงสัยในการรับส่งข้อมูล การปรากฏตัวของโหนดที่มีที่อยู่ผิดปกติในเครือข่าย หรือโหลดเครือข่ายที่เพิ่มขึ้น

CommView ให้ความสามารถในการรักษาสถิติเกี่ยวกับการเชื่อมต่อ IP ทั้งหมด ถอดรหัสแพ็กเก็ต IP ให้อยู่ในระดับต่ำ และวิเคราะห์ได้ ระบบตัวกรองในตัวตามพารามิเตอร์หลายตัวทำให้คุณสามารถกำหนดค่าการติดตามเฉพาะสำหรับแพ็คเกจที่จำเป็น ซึ่งทำให้การวิเคราะห์มีประสิทธิภาพมากขึ้น โปรแกรมสามารถจดจำแพ็กเก็ตจากโปรโตคอลทั่วไปมากกว่าเจ็ดโหล (รวมถึง DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP ฯลฯ) และยังบันทึกลงในไฟล์เพื่อการวิเคราะห์ในภายหลัง เครื่องมืออื่นๆ ที่หลากหลาย เช่น การระบุผู้ผลิตอะแดปเตอร์เครือข่ายด้วยที่อยู่ MAC การสร้าง HTML ใหม่ และการจับแพ็กเก็ตระยะไกลโดยใช้ยูทิลิตี้ CommView Remote Agent ซึ่งเป็นอุปกรณ์เสริม ก็มีประโยชน์ในบางกรณีเช่นกัน

การทำงานกับโปรแกรม

ก่อนอื่นคุณต้องเลือกอินเทอร์เฟซเครือข่ายที่จะตรวจสอบการรับส่งข้อมูล

CommView รองรับอะแดปเตอร์อีเธอร์เน็ตเกือบทุกประเภท - 10, 100 และ 1,000 Mbit/s เช่นเดียวกับโมเด็มอะนาล็อก, xDSL, Wi-Fi ฯลฯ ด้วยการวิเคราะห์การรับส่งข้อมูลของอะแดปเตอร์อีเธอร์เน็ต CommView ไม่เพียงสามารถสกัดกั้นไม่เพียงแต่ขาเข้าและขาออก แต่ยังรวมถึงการส่งผ่าน แพ็กเก็ตที่ส่งไปยังคอมพิวเตอร์เครื่องใดก็ได้ในส่วนเครือข่ายท้องถิ่น เป็นที่น่าสังเกตว่าหากงานคือการตรวจสอบการรับส่งข้อมูลทั้งหมดบนส่วนเครือข่ายท้องถิ่นก็จำเป็นต้องเชื่อมต่อคอมพิวเตอร์ในนั้นผ่านฮับไม่ใช่ผ่านสวิตช์ สวิตช์สมัยใหม่บางรุ่นมีฟังก์ชันการมิเรอร์พอร์ต ซึ่งช่วยให้สามารถกำหนดค่าสำหรับการตรวจสอบเครือข่ายโดยใช้ CommView ได้ คุณสามารถอ่านเพิ่มเติมเกี่ยวกับเรื่องนี้ได้ เมื่อเลือกการเชื่อมต่อที่ต้องการแล้วคุณสามารถเริ่มจับแพ็กเก็ตได้ ปุ่มเริ่มและหยุดจับภาพจะอยู่ใกล้กับเส้นเลือกอินเทอร์เฟซ หากต้องการทำงานกับตัวควบคุมการเข้าถึงระยะไกล VPN และ PPPoE คุณต้องติดตั้งไดรเวอร์ที่เหมาะสมเมื่อติดตั้งโปรแกรม

หน้าต่างหลักของโปรแกรมแบ่งออกเป็นหลายแท็บที่รับผิดชอบงานด้านใดด้านหนึ่ง คนแรกของพวกเขา "การเชื่อมต่อ IP ปัจจุบัน"จะแสดงข้อมูลโดยละเอียดเกี่ยวกับการเชื่อมต่อ IP ที่ใช้งานอยู่ของคอมพิวเตอร์ ที่นี่คุณสามารถดูที่อยู่ IP ในเครื่องและระยะไกล, จำนวนแพ็กเก็ตที่ส่งและรับ, ทิศทางของการส่ง, จำนวนเซสชัน IP ที่สร้างขึ้น, พอร์ต, ชื่อโฮสต์ (หากฟังก์ชั่นการรับรู้ DNS ไม่ได้ถูกปิดใช้งานในการตั้งค่าโปรแกรม) และชื่อของกระบวนการรับหรือส่งแพ็กเก็ตสำหรับเซสชันนี้ ไม่มีข้อมูลล่าสุดสำหรับแพ็คเกจการขนส่งสาธารณะหรือบนคอมพิวเตอร์ที่ใช้ Windows 9x/ME

แท็บการเชื่อมต่อ IP ปัจจุบัน

หากคุณคลิกขวาที่การเชื่อมต่อใดๆ เมนูบริบทจะเปิดขึ้นซึ่งคุณจะพบเครื่องมือที่ช่วยให้วิเคราะห์การเชื่อมต่อได้ง่ายขึ้น ที่นี่คุณสามารถดูจำนวนข้อมูลที่ถ่ายโอนภายในการเชื่อมต่อ รายการพอร์ตทั้งหมดที่ใช้ ข้อมูลโดยละเอียดเกี่ยวกับกระบวนการที่รับหรือส่งแพ็กเก็ตสำหรับเซสชันนี้ CommView ช่วยให้คุณสร้างนามแฝงสำหรับที่อยู่ MAC และ IP ตัวอย่างเช่น โดยการระบุนามแฝงแทนที่อยู่ดิจิทัลที่ยุ่งยากของเครื่องบนเครือข่ายท้องถิ่น คุณจะได้รับชื่อคอมพิวเตอร์ที่อ่านง่ายและจดจำได้ง่าย และช่วยอำนวยความสะดวกในการวิเคราะห์การเชื่อมต่อ

หากต้องการสร้างนามแฝงสำหรับที่อยู่ IP คุณต้องเลือก "สร้างนามแฝง" และ "ใช้ IP ในเครื่อง" หรือ "ใช้ IP ระยะไกล" ในเมนูบริบท ในหน้าต่างที่ปรากฏขึ้น ฟิลด์ที่อยู่ IP จะถูกกรอกแล้ว และสิ่งที่เหลืออยู่คือการป้อนชื่อที่เหมาะสม หากรายการชื่อ IP ใหม่ถูกสร้างขึ้นโดยการคลิกขวาที่แพ็กเก็ต ฟิลด์ชื่อจะถูกเติมด้วยชื่อโฮสต์โดยอัตโนมัติ (ถ้ามี) และสามารถแก้ไขได้ เช่นเดียวกับการทำงานกับนามแฝง MAC

จากเมนูเดียวกัน โดยการเลือก SmartWhois คุณสามารถส่งที่อยู่ IP ต้นทางหรือปลายทางที่เลือกไปยัง SmartWhois ซึ่งเป็นแอปพลิเคชันแบบสแตนด์อโลนจาก Tamosoft ที่รวบรวมข้อมูลเกี่ยวกับที่อยู่ IP หรือชื่อโฮสต์ เช่น ชื่อเครือข่าย โดเมน ประเทศ รัฐ หรือจังหวัด เมือง และมอบให้กับผู้ใช้

แท็บที่สอง "แพ็คเกจ"จะแสดงแพ็กเก็ตทั้งหมดที่ดักจับบนอินเทอร์เฟซเครือข่ายที่เลือก และข้อมูลโดยละเอียดเกี่ยวกับแพ็กเก็ตเหล่านั้น

แท็บแพ็คเกจ

หน้าต่างแบ่งออกเป็นสามส่วน อันแรกจะแสดงรายการแพ็กเก็ตที่ถูกสกัดกั้นทั้งหมด หากคุณเลือกแพ็คเกจใดแพ็คเกจหนึ่งโดยคลิกด้วยตัวชี้เมาส์ หน้าต่างที่เหลือจะแสดงข้อมูลเกี่ยวกับแพ็คเกจนั้น ซึ่งจะแสดงหมายเลขแพ็กเก็ต โปรโตคอล Mac และที่อยู่ IP ของโฮสต์ที่ส่งและรับ พอร์ตที่ใช้ และเวลาที่แพ็กเก็ตปรากฏ

พื้นที่ตรงกลางแสดงเนื้อหาของแพ็คเกจ - ในรูปแบบเลขฐานสิบหกหรือข้อความ ในกรณีหลัง อักขระที่ไม่พิมพ์จะถูกแทนที่ด้วยจุด หากเลือกหลายแพ็คเกจพร้อมกันในพื้นที่ด้านบน หน้าต่างตรงกลางจะแสดงจำนวนแพ็คเกจที่เลือกทั้งหมด ขนาดรวม ตลอดจนช่วงเวลาระหว่างแพ็คเกจแรกและแพ็คเกจสุดท้าย

หน้าต่างด้านล่างจะแสดงข้อมูลโดยละเอียดที่ถอดรหัสแล้วเกี่ยวกับแพ็คเกจที่เลือก

ด้วยการคลิกที่ปุ่มใดปุ่มหนึ่งจากสามปุ่มที่ส่วนล่างขวาของหน้าต่าง คุณสามารถเลือกตำแหน่งของหน้าต่างถอดรหัส: ที่ด้านล่าง หรือจัดชิดซ้ายหรือขวา อีกสองปุ่มช่วยให้คุณสามารถไปที่แพ็คเกจที่ได้รับล่าสุดโดยอัตโนมัติและบันทึกแพ็คเกจที่เลือกไว้ในพื้นที่รายการที่มองเห็นได้

เมนูบริบทช่วยให้คุณสามารถคัดลอก MAC ที่อยู่ IP และแพ็กเก็ตทั้งหมดไปยังคลิปบอร์ด กำหนดนามแฝง ใช้ตัวกรองด่วนเพื่อเลือกแพ็กเก็ตที่ต้องการ และยังใช้เครื่องมือ "การสร้างเซสชัน TCP ใหม่" และ "เครื่องมือสร้างแพ็กเก็ต"

เครื่องมือการสร้างเซสชัน TCP ใหม่ช่วยให้คุณดูกระบวนการแลกเปลี่ยนระหว่างสองโฮสต์ผ่าน TCP เพื่อให้เนื้อหาของเซสชันเข้าใจได้มากขึ้น คุณต้องเลือก "ตรรกะการแสดงผล" ที่เหมาะสม ฟังก์ชันนี้มีประโยชน์มากที่สุดสำหรับการกู้คืนข้อมูลข้อความ เช่น HTML หรือ ASCII

ข้อมูลผลลัพธ์สามารถส่งออกเป็นข้อความ RTF หรือไฟล์ไบนารีได้

แท็บไฟล์บันทึก- ที่นี่คุณสามารถกำหนดการตั้งค่าสำหรับบันทึกแพ็กเก็ตที่บันทึกลงในไฟล์ได้ CommView บันทึกไฟล์บันทึกในรูปแบบ NCF ดั้งเดิม หากต้องการดูจะใช้ยูทิลิตี้ในตัวซึ่งสามารถเปิดได้จากเมนู "ไฟล์"

คุณสามารถเปิดใช้งานการบันทึกอัตโนมัติของแพ็กเก็ตที่ถูกดักจับเมื่อมาถึง บันทึกเซสชัน HTTP ในรูปแบบ TXT และ HTML บันทึก ลบ ผสานและแยกไฟล์บันทึก สิ่งหนึ่งที่ควรจำก็คือแพ็กเก็ตจะไม่ถูกบันทึกทันทีที่มาถึง ดังนั้นหากคุณดูไฟล์บันทึกแบบเรียลไทม์ ก็มีแนวโน้มว่าจะไม่แสดงแพ็กเก็ตล่าสุด เพื่อให้โปรแกรมส่งบัฟเฟอร์ไปยังไฟล์ทันที คุณต้องคลิกปุ่ม "เสร็จสิ้นการจับภาพ"

ในแท็บ "กฎ"คุณสามารถกำหนดเงื่อนไขในการสกัดกั้นหรือละเว้นแพ็กเก็ตได้

เพื่ออำนวยความสะดวกในการเลือกและวิเคราะห์แพ็คเกจที่ต้องการ คุณสามารถใช้กฎการกรองได้ นอกจากนี้ยังจะช่วยลดจำนวนทรัพยากรระบบที่ใช้โดย CommView ได้อย่างมาก

หากต้องการเปิดใช้งานกฎ คุณต้องเลือกส่วนที่เหมาะสมทางด้านซ้ายของหน้าต่าง มีกฎทั้งหมดเจ็ดประเภท: แบบง่าย - "โปรโตคอลและทิศทาง", "ที่อยู่ Mac", "ที่อยู่ IP", "พอร์ต", "ข้อความ", "แฟล็ก TCP", "กระบวนการ" รวมถึงกฎสากล กฎ “สูตร”” สำหรับแต่ละกฎง่ายๆ คุณสามารถเลือกพารามิเตอร์แต่ละตัวได้ เช่น การเลือกทิศทางหรือโปรโตคอล กฎสูตรสากลเป็นกลไกที่ทรงพลังและยืดหยุ่นสำหรับการสร้างตัวกรองโดยใช้ตรรกะบูลีน สามารถดูการอ้างอิงโดยละเอียดเกี่ยวกับไวยากรณ์ได้

แท็บ "คำเตือน"จะช่วยคุณกำหนดการตั้งค่าสำหรับการแจ้งเตือนเกี่ยวกับเหตุการณ์ต่างๆ ที่เกิดขึ้นในส่วนเครือข่ายที่กำลังศึกษา

แท็บการแจ้งเตือนช่วยให้คุณสร้าง แก้ไข ลบกฎการแจ้งเตือน และดูเหตุการณ์ปัจจุบันที่ตรงกับกฎเหล่านี้ได้

ในการตั้งค่ากฎคำเตือน คุณต้องคลิกปุ่ม "เพิ่ม..." และในหน้าต่างที่เปิดขึ้นมา ให้เลือกเงื่อนไขที่จำเป็นที่จะทำให้เกิดการแจ้งเตือน รวมถึงวิธีการแจ้งเตือนผู้ใช้เกี่ยวกับเรื่องนี้

CommView ช่วยให้คุณสามารถกำหนดประเภทเหตุการณ์ต่อไปนี้เพื่อติดตาม:

"ตรวจหาแพ็คเกจ" ที่ตรงกับสูตรที่ระบุ ไวยากรณ์ของสูตรอธิบายไว้โดยละเอียดในคู่มือผู้ใช้
"ไบต์ต่อวินาที" การแจ้งเตือนนี้จะทริกเกอร์เมื่อเกินระดับโหลดเครือข่ายที่ระบุ
"แพ็กเก็ตต่อวินาที" ทริกเกอร์เมื่อเกินระดับความถี่การส่งแพ็กเก็ตที่ระบุ
"การออกอากาศต่อวินาที" เช่นเดียวกันสำหรับแพ็กเก็ตการออกอากาศเท่านั้น
"มัลติคาสต์ต่อวินาที" - เหมือนกันสำหรับแพ็กเก็ตมัลติคาสต์
"ที่อยู่ MAC ที่ไม่รู้จัก" การแจ้งเตือนนี้สามารถใช้เพื่อตรวจจับอุปกรณ์ใหม่หรืออุปกรณ์ที่ไม่ได้รับอนุญาตที่เชื่อมต่อกับเครือข่ายโดยการกำหนดรายการที่อยู่ที่รู้จักก่อนโดยใช้ตัวเลือกการตั้งค่า
คำเตือน “ที่อยู่ IP ที่ไม่รู้จัก” จะถูกทริกเกอร์เมื่อมีการดักจับแพ็กเก็ตที่มีที่อยู่ IP ของผู้ส่งหรือผู้รับที่ไม่รู้จัก หากคุณระบุรายการที่อยู่ที่รู้จักล่วงหน้า การแจ้งเตือนนี้สามารถใช้เพื่อตรวจจับการเชื่อมต่อที่ไม่ได้รับอนุญาตผ่านไฟร์วอลล์องค์กรของคุณ

CommView มีเครื่องมืออันทรงพลังสำหรับการแสดงภาพสถิติของทราฟฟิกที่กำลังศึกษาอยู่ ในการเปิดหน้าต่างสถิติ คุณต้องเลือกรายการที่มีชื่อเดียวกันจากเมนู "มุมมอง"

หน้าต่างสถิติในโหมด "ทั่วไป"

ในหน้าต่างนี้ คุณสามารถดูสถิติการรับส่งข้อมูลเครือข่าย: ที่นี่คุณสามารถดูจำนวนแพ็กเก็ตต่อวินาที ไบต์ต่อวินาที การกระจายอีเทอร์เน็ต โปรโตคอล IP และโปรโตคอลย่อย คุณสามารถคัดลอกแผนภูมิไปยังคลิปบอร์ดได้ ซึ่งจะช่วยได้เมื่อคุณต้องการรวบรวมรายงาน

ความพร้อมใช้งาน ต้นทุน ความต้องการของระบบ

เวอร์ชันปัจจุบันของโปรแกรมคือ CommView 5.1 จากเว็บไซต์ Tamosoft คุณสามารถทำได้ ซึ่งจะใช้งานได้เป็นเวลา 30 วัน

นักพัฒนาซอฟต์แวร์เสนอทางเลือกใบอนุญาตแก่ลูกค้าสองทาง:

ใบอนุญาตบ้าน (ใบอนุญาตบ้าน) มูลค่า 2,000 รูเบิล ให้สิทธิ์ในการใช้โปรแกรมที่บ้านบนพื้นฐานที่ไม่ใช่เชิงพาณิชย์ ในขณะที่จำนวนโฮสต์ที่พร้อมใช้งานสำหรับการตรวจสอบบนเครือข่ายในบ้านของคุณนั้นจำกัดอยู่ที่ห้า ใบอนุญาตประเภทนี้ไม่อนุญาตให้คุณทำงานจากระยะไกลโดยใช้ Remote Agent
ใบอนุญาตองค์กร (องค์กร ราคา - 10,000 รูเบิล) ให้สิทธิ์ในการใช้โปรแกรมในเชิงพาณิชย์และไม่ใช่เชิงพาณิชย์โดยบุคคลหนึ่งรายที่ใช้โปรแกรมเป็นการส่วนตัวบนเครื่องหนึ่งเครื่องหรือหลายเครื่อง โปรแกรมนี้สามารถติดตั้งบนเวิร์กสเตชันเดียวและใช้งานได้หลายคน แต่ไม่พร้อมกัน

แอปพลิเคชันทำงานบนระบบปฏิบัติการ Windows 98/Me/NT/2000/XP/2003 ในการทำงาน คุณต้องมีอะแดปเตอร์เครือข่ายอีเทอร์เน็ต อีเทอร์เน็ตไร้สาย Token Ring ที่รองรับมาตรฐาน NDIS 3.0 หรือตัวควบคุมการเข้าถึงระยะไกลมาตรฐาน

ข้อดี:

อินเทอร์เฟซที่แปลแล้ว
ระบบช่วยเหลือที่ยอดเยี่ยม
รองรับอะแดปเตอร์เครือข่ายประเภทต่างๆ
เครื่องมือขั้นสูงสำหรับการวิเคราะห์แพ็กเก็ตและระบุโปรโตคอล
การแสดงภาพสถิติ
ระบบเตือนการทำงาน

ข้อเสีย:

ต้นทุนสูงเกินไป
ขาดการตั้งค่าล่วงหน้าสำหรับกฎการสกัดกั้นและการเตือน
ไม่ใช่กลไกที่สะดวกมากในการเลือกแพ็คเกจในแท็บ "แพ็คเกจ"

บทสรุป

ด้วยฟังก์ชันการทำงานที่ยอดเยี่ยมและอินเทอร์เฟซที่ใช้งานง่าย ทำให้ CommView สามารถกลายเป็นเครื่องมือที่ขาดไม่ได้สำหรับผู้ดูแลระบบเครือข่ายท้องถิ่น ผู้ให้บริการอินเทอร์เน็ต และผู้ใช้ตามบ้าน ฉันพอใจกับแนวทางอย่างระมัดระวังของนักพัฒนาในการแปลภาษารัสเซียของแพ็คเกจ: ทั้งอินเทอร์เฟซและคู่มืออ้างอิงถูกสร้างขึ้นในระดับที่สูงมาก ภาพค่อนข้างถูกบดบังด้วยต้นทุนที่สูงของโปรแกรม แต่รุ่นทดลองใช้สามสิบวันจะช่วยให้ผู้ซื้อที่มีศักยภาพตัดสินใจเกี่ยวกับความเหมาะสมในการซื้อยูทิลิตี้นี้

สมาชิกแต่ละคนในทีม ][ มีการตั้งค่าซอฟต์แวร์และยูทิลิตี้ของตัวเองเป็นของตัวเอง
ทดสอบปากกา หลังจากปรึกษาหารือกันแล้วพบว่าตัวเลือกนั้นแตกต่างกันมากจนเป็นไปได้
สร้างชุดโปรแกรมที่ได้รับการพิสูจน์แล้วของสุภาพบุรุษตัวจริง แค่นั้นแหละ
ตัดสินใจแล้ว. เพื่อไม่ให้ผสมกันเราจึงแบ่งรายการทั้งหมดออกเป็นหัวข้อ - และใน
คราวนี้เราจะพูดถึงยูทิลิตี้สำหรับการดมกลิ่นและจัดการแพ็กเก็ต ใช้มันบน
สุขภาพ.

ไวร์ชาร์ก

เน็ตแคท

หากเราพูดถึงการสกัดกั้นข้อมูลแล้วล่ะก็ นักขุดเครือข่ายจะถูกถอดออกจากอากาศ
(หรือจากไฟล์ดัมพ์ที่เตรียมไว้ล่วงหน้าในรูปแบบ PCAP) ใบรับรอง
รูปภาพและสื่ออื่น ๆ รวมถึงรหัสผ่านและข้อมูลอื่น ๆ เพื่อการอนุญาต
คุณลักษณะที่มีประโยชน์คือการค้นหาส่วนของข้อมูลที่มีคำหลัก
(เช่น การเข้าสู่ระบบของผู้ใช้)

สคาปี้

เว็บไซต์:
www.secdev.org/projects/scapy

เป็นสิ่งที่แฮ็กเกอร์ต้องมี เพราะเป็นเครื่องมืออันทรงพลังสำหรับ
การจัดการแพ็คเก็ตแบบโต้ตอบ รับและถอดรหัสแพ็กเก็ตได้มากที่สุด
โปรโตคอลที่แตกต่างกัน ตอบสนองต่อคำขอ ฉีดแก้ไขและ
แพ็คเกจที่สร้างขึ้นเอง - ทุกอย่างเป็นเรื่องง่าย! ด้วยความช่วยเหลือคุณสามารถดำเนินการทั้งหมดได้
งานคลาสสิกจำนวนหนึ่ง เช่น การสแกน การติดตาม การโจมตี และการตรวจจับ
โครงสร้างพื้นฐานเครือข่าย ในขวดเดียวเราได้รับการทดแทนสาธารณูปโภคยอดนิยมเช่นนี้
เช่น: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f ฯลฯ ที่นั่น
มันขึ้นอยู่กับเวลา สคาปี้ช่วยให้คุณทำงานใด ๆ ได้แม้จะเฉพาะเจาะจงที่สุดก็ตาม
งานที่นักพัฒนารายอื่นไม่สามารถทำได้ซึ่งสร้างไว้แล้ว
วิธี. แทนที่จะเขียนทั้งบรรทัดในภาษา C ถึง เช่น
การสร้างแพ็กเก็ตที่ไม่ถูกต้องและการฟัซเดมอนบางตัวก็เพียงพอแล้ว
ใส่โค้ดสองสามบรรทัดโดยใช้ สคาปี้- โปรแกรมไม่มี
ส่วนต่อประสานกราฟิกและการโต้ตอบทำได้ผ่านล่าม
หลาม เมื่อคุณเข้าใจแล้ว คุณจะไม่ต้องเสียค่าใช้จ่ายใดๆ ในการสร้างสิ่งที่ไม่ถูกต้อง
แพ็กเก็ต, ฉีดเฟรม 802.11 ที่จำเป็น, รวมวิธีการโจมตีที่แตกต่างกัน
(เช่น ARP cache Poxing และการกระโดดของ VLAN) เป็นต้น นักพัฒนาเองก็ยืนยัน
เพื่อให้แน่ใจว่าความสามารถของ Scapy จะถูกนำมาใช้ในโครงการอื่น ๆ กำลังเชื่อมต่อมัน
เนื่องจากเป็นโมดูล จึงเป็นเรื่องง่ายที่จะสร้างยูทิลิตี้สำหรับการวิจัยในพื้นที่ประเภทต่างๆ
ค้นหาช่องโหว่, การแทรก Wi-Fi, การดำเนินการเฉพาะโดยอัตโนมัติ
งาน ฯลฯ

แพ็กเก็ต

เว็บไซต์:
แพลตฟอร์ม: *ระวัง มีพอร์ตสำหรับ Windows

การพัฒนาที่น่าสนใจที่ช่วยให้ในด้านหนึ่งสามารถสร้างสิ่งใดสิ่งหนึ่งได้
แพ็กเก็ตอีเธอร์เน็ต และในทางกลับกัน ส่งลำดับของแพ็กเก็ตโดยมีวัตถุประสงค์
การตรวจสอบแบนด์วิธ แตกต่างจากเครื่องมืออื่นที่คล้ายคลึงกัน แพ็กเก็ต
มีอินเทอร์เฟซแบบกราฟิกช่วยให้คุณสร้างแพ็คเกจได้ง่ายที่สุด
รูปร่าง. นอกจากนี้. การสร้างและการส่งมีรายละเอียดโดยเฉพาะ
ลำดับของแพ็คเก็ต คุณสามารถตั้งค่าความล่าช้าระหว่างการส่ง
ส่งแพ็กเก็ตด้วยความเร็วสูงสุดเพื่อทดสอบปริมาณงาน
ส่วนของเครือข่าย (ใช่ นี่คือที่ที่พวกเขาจะยื่น) และสิ่งที่น่าสนใจยิ่งกว่านั้นคือ
เปลี่ยนพารามิเตอร์ในแพ็กเก็ตแบบไดนามิก (เช่น IP หรือที่อยู่ MAC)

ตัวดมกลิ่นแพ็คเก็ตและตัววิเคราะห์เครือข่ายที่ดีที่สุด

เครื่องมืออุตสาหกรรม

พื้นฐาน

3.กังหันลม

4. ไวร์ชาร์ก

5.ฉลาม

7. พู้ทำเล่น (HTTP)

8. แคปซ่า

บทสรุป

การทำงานกับโปรแกรม

ความพร้อมใช้งาน ต้นทุน ความต้องการของระบบ

ข้อดี:

ข้อเสีย:

บทสรุป

ไวร์ชาร์ก

เน็ตแคท

สคาปี้

แพ็กเก็ต

ล่าสุด

คุณจำเป็นต้องรู้เรื่องนี้