6 най-добри инструмента за анализатор на протоколи

А анализатор на протоколи предоставя подробности за информацията в заглавките на пакетите с данни, докато се движат из мрежата. Задачата за откриване е известна още като „ подслушване на пакети ”.

Подробностите в заглавката на пакета включват адреса на източника и местоназначението на пътуващото съобщение и част от този адрес е номерът на порта.

Чрез изброяване на номерата на портовете на пакетите, анализаторът на протоколи може да предостави специфични за приложението подробности за мрежовата активност.

Ето нашия списък с шестте най-добри инструмента за анализатор на протоколи:

1. Монитор на производителността на мрежата SolarWinds (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)Този пакет за наблюдение на мрежата включва анализатор на протоколи като част от средство за дълбока проверка на пакети. Работи на Windows Server. Започнете 30-дневен безплатен пробен период.
2. Wireshark Това е водещият анализатор на протоколи и един от най-старите. Ако вземете курс по мрежов анализ или киберсигурност, ще използвате Wireshark в лабораторията. Предлага се за Windows, macOS и Linux.
3. Paessler PRTG Това е пакет от инструменти за наблюдение на мрежи, сървъри и приложения и включва снифър за пакети, който има анализатор на протоколи в своя потребителски интерфейс. Работи на Windows Server.
4. Пръхтене Този инструмент за анализ на трафика е известен главно като система за откриване на проникване, но включва анализатор на протоколи. Предлага се за Linux, Unix и Windows.
5. Splunk този анализатор на данни се използва широко за търсене в данни и може да бъде захранен с pcap файл, за да стане анализатор на протоколи. Предлага се за Windows, Linux, Unix и macOS.
6. Анализатор на мрежови протоколи Omnipeek Анализатор на трафик на живо, който може да се използва и за извършване на търсения чрез анализ на исторически данни. Работи под Windows.

Можете да прочетете повече за всяка от тези опции в следващите раздели.

Номера на портове и протоколи

На мрежов език, „ порт ” не е физически рецептор отстрани на устройство; това е логически идентификатор, който създава адрес. Концепцията за логически портове е част от пакета на TCP/IP протоколи и се намира на Транспортен слой от стека. Портовете са идентифицирани като използвани за TCP или UDP , докато много от тях се използват и за двете.

Глобална организация, наречена Орган за присвоени номера в Интернет (IANA), поддържа списък с присвоени номера на портове. Номерата се присвояват на конкретни приложения, които също се наричат ​​протоколи.

Целта на списъка на IANA е да предостави универсален списък на идентификатори на протоколи . Заданията не принадлежат на отделен бизнес. Това означава, че никой няма предимство пред контрола на номерата на портовете. Стойността на тази универсалност е, че разработчиците на софтуер, работещи независимо, могат да създават съвместими системи, които могат да изпращат и получават данни, без да се налага да постигат споразумения с всички други разработчици на софтуер в света.

Всеки може да получи достъп до списъка с присвоени номера на портове. IANA поддържа списък с портове но не е много добре представен. Можете да получите по-добра таблица с номера на портове на други уебсайтове, като например Страница в Wikipedia за номера на портове .

Пълният набор от номера на портове е подразделен на секции:

• Добре известни пристанища : 0 – 1023
• Регистрирани портове : 1024 – 49151
• Ефимерни пристанища : 49152 – 65535

Разликата между тези диапазони е, че добре познатите портове са най-старите разпределения и представляват дългогодишни протоколи, като например протокола за прехвърляне на файлове (FTP) и протокола за прехвърляне на проста поща (SNMP).

Докато добре познати пристанища почти всички се използват за стандарти с отворен код, регистрирани пристанища са присвоени на услуги, които компаниите може да са разработили. Протоколите с отворен код обаче също получават номера в този диапазон, тъй като няма останали резервни номера в диапазона на добре познатите портове.

Ефимерни пристанища са умишлено нерегистрирани и IANA няма да присвои номера в този диапазон. Неофициалните списъци с номера на портове ще включват насоки за използване на номера на портове в този диапазон, където редовното използване на един от тези номера на портове е кодирано в част от широко използван софтуер.

Една от основните употреби на ефемерните портове е да позволяват едновременно управление на връзките. В този сценарий софтуерен пакет може да сигнализира на кореспондент, че връзката трябва да продължи на друг порт, като по този начин освободи добре познатия порт за връзки от други клиенти.

Улавяне на пакети и анализатори на протоколи

Анализаторите на протоколи се нуждаят от данни за анализ. Тези данни са поток от пакети които се събират от мрежа. Задачата за анализ на протокола не е същата като улавянето на пакети – това са две отделни функции. Анализаторът на протоколи не работи само с живи данни, защото пакетите могат да бъдат прочетени от файлове за анализ.

Най-добрите анализатори на протоколи включват интегрирана система за улавяне на пакети. Този процес на улавяне на пакети обаче вероятно не е вграден в анализатора на протоколи. Най-широко използваната система за улавяне на пакети е pcap и това се прилага за Unix и Unix-подобни операционни системи, включително Linux и macOS, чрез libpcap . Потребителите на Windows се нуждаят WinPcap . Тези системи са безплатни за използване.

Най-добрите инструменти за анализатор на протоколи

Анализ на протокола, базиран на улавяне на пакети е една от най-старите техники за отстраняване на мрежови проблеми. Налични са много анализатори на дълготрайни протоколи, които са безплатни за използване. Въпреки че тези системи са безплатни и стари, много от тях все още са водещи в индустрията, защото са приети от големи доставчици на мрежови системи и финансиран , като същевременно се съхранява безплатно за използване.

Какво трябва да търсите в инструмента за анализатор на протоколи?

Проучихме пазара за анализатори на протоколи и оценихме наличните опции въз основа на следните критерии:

• Интегриран инструмент за улавяне на пакети, като libpcap и WinPcap
• Опции за улавяне на смешен пакет от анализатора
• Филтри за улавяне и показване на пакети
• Цветово кодиране за различни протоколи
• Индикация за разговори или свързани потоци
• Безплатен инструмент или безплатна пробна версия за платен инструмент, така че оценката да може да се извърши без плащане
• Стойност за парите, която се осигурява от платен инструмент, който си заслужава цената, или безплатен инструмент, който работи добре

Имайки предвид тези критерии, ние идентифицирахме безплатни и платени анализатори на протоколи, като търсим и по-широки пакети за мониторинг на системата, които включват анализатор на протоколи като допълнителна услуга.

1. Монитор на производителността на мрежата SolarWinds (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)

Монитор на производителността на мрежата SolarWinds е водеща система за наблюдение на мрежата с много помощни програми. Един от инструментите в пакета SolarWinds е услугата Deep Packet Inspection. Това ви позволява да разделите всички показатели за ефективност на мрежата по приложение. Приложенията, посочени от SolarWinds, са протоколи и това се извлича чрез разглеждане на номера на портове в преминаващите пакети.

Основни функции:

• Статистика на трафика за приложение
• Категоризира трафика по използване
• Обобщава пакетите за крайна точка
• QoS статистика

Голямо предимство, което това решение има пред другите инструменти в този списък е, че то не е самостоятелен анализатор на протоколи; той е част от много по-голям набор от наблюдение на мрежата инструменти, които включват услуга за автоматично откриване, създател на мрежов инвентар и картограф на мрежова топология.

Потребителският интерфейс за Network Performance Monitor е много усъвършенстван и представя много графични изображения на данни за трафика, както и списъци. Екраните са добре оформени и улесняват тълкуването на данните. Инструментът не включва програма за преглед на данни за ръчен анализ на трафика.

Професионалисти:

• Лесен за използване с добре представени екрани с данни
• Сигнали за необичайни модели на трафик
• Категоризиране на трафика за бизнес или лична употреба
• Измервания на качеството на опит (QoS).

Минуси:

• Няма механизъм за ръчен анализ на данни

Софтуерът за SolarWinds Network Performance Monitor се инсталира на Windows сървър и можете да оцените системата с30-дневен безплатен пробен период.

SolarWinds Network Performance Monitor Изтеглете 30-дневна БЕЗПЛАТНА пробна версия

2. Wireshark

Wireshark отбелязва всички полета, за да бъде страхотен анализатор на протоколи: интегрира система за улавяне на пакети, цветно кодира протоколите и дава набор от бързи опции за филтриране на пакети чрез меню с десен бутон. Това, което прави Wireshark още по-добър е, че е така безплатно за използване .

Основни функции:

• Лесен за инсталиране и използване
• Графичен потребителски интерфейс
• Стартиране и спиране на улавянето на пакети
• Език за заявки
• Проследяване на TCP поток

Системата Wireshark няма свои собствени процедури за улавяне на пакети, но работи безпроблемно с WinPcap и libpcap . Инсталаторът за Wireshark изтегля и инсталира правилната версия на pcap за вас, докато инсталира свой собствен софтуер. Стартирате и спирате улавянето на пакети с бутон в интерфейса на Wireshark.

Професионалисти:

• Да се ​​научат да използват Wireshark дават на мрежовите специалисти търсено умение
• Изчерпателен набор от команди за филтриране за заснемане и търсене на данни
• Опции за съхраняване на пакети във файл
• Версия от командния ред, наречена Tshark
• Безплатен за използване

Минуси:

• Езикът на заявките е много сложен

Wireshark има свои собствени език за заявки с дълги списъци от команди и дефиниции на данни. Големият проблем на системата е, че езикът на заявките е много сложен – изисква обучение и много време, за да можете да го използвате. Могат да се прилагат филтри за улавяне на пакети, които значително намаляват обема на пакетите, които се въвеждат в зрителя. Потребителят получава опция дали да спаси уловени пакети.

3. Paessler PRTG

Paessler PRTG предоставя избор на системи за наблюдение на мрежи, сървъри и приложения. Пакетът включва голям брой монитори, които се наричат ​​сензори. Цената, която плащате за системата, зависи от това колко сензора искате да включите и след това избирате кой да активирате.

Основни функции:

• Избор на техники за анализ на пакети
• Графични дисплеи
• Класиране на генератор на пропускателна способност
• Включва други мрежови монитори

Списъкът със сензори PRTG включва номер, който може да се използва за подслушване на пакети и анализ на протокола . Опростеният пакетен снифър ще улавя пакети и ще показва статистики за тях. Екранът или този сензор включва класация за най-добрите генератори на трафик за приложение, устройство и разговор.

Други опции за анализ на трафика идват от анализ на честотната лента системи, като IPFIX, NetFlow, J-Flow и SNMP. Можете също да превключите към екрани за производителност на мрежата, за да видите дали някой от комутаторите и рутерите във вашата мрежа изпитва проблеми.

Професионалисти:

• Анализ на трафика
• Показва трафик по протокол
• Анализ на връзката
• Анализ на трафика от край до край

Минуси:

• Не включва инструменти за ръчен анализ на протокола

Paessler PRTG се инсталира на Windows сървър и можете да го използвате безплатно завинаги, ако активирате само 100 сензора. Можеш да получиш 30-дневен безплатен пробен период на системата с активирани всички сензори.

4. Подсмърчете се

Snort е добре позната система за откриване на проникване. Пакетът обаче е анализатор на данни и може да се прилага към няколко различни приложения, като например сканиране на ниво пакет и анализ на протоколи.

Основни функции:

• Режим на снифиране на пакети
• Показване и търсене на пакети
• Автоматизирани правила

Snort има режим на подслушване на пакети, който е базиран на системата pcap. Не е необходимо да стартирате libpcap или WinPcap отделно, защото Snort може да се интегрира с тези инструменти, за да чете пакети директно от мрежата.

Ключовата сила на Snort са неговите автоматизирани търсения, които се прилагат по правила. Можете сами да придобиете правила или да ги напишете сами. С тези правила можете да създадете свои собствени условия за предупреждение и да позволите на Snort да работи като монитор на мрежовата ефективност на живо.

Професионалисти:

• Автоматизирани търсения
• Персонализируеми правила за филтриране и откриване
• Персонализируеми сигнали

Минуси:

• Това е мощна система и отнема време, за да се научите как да извлечете най-доброто от нея

Snort е наличен за много Linux дистрибуции, BSD Unix и Windows. Системата е безплатна за използване, но става по-мощна с набор от правила. Можете да получите правила, създадени от общността, за безплатни и по-мощни пакети с правила, насочени към бизнеса, срещу абонамент.

5. Сплънк

Splunk е инструмент за анализ на данни и е достъпен както на място, така и в SaaS версии. Въпреки че можете да използвате Splunk за създаване на всяко търсене на данни, създавайки свои собствени приложения за анализ от него, инструментът стана по-успешен чрез производството на предварително написани инструменти, особено Splunk Enterprise Security . Този пакет за сигурност е a SIEM и също така предлага монитор на активността на порт и протокол на живо.

Основни функции:

• SIEM система
• Адаптивен към персонализирани приложения
• Анализира всякакви данни

Възможно е да използвате Splunk за разглеждане на пакети данни и идентифициране на активността на протокола чрез безплатен плъгин. Общността на потребителите на Spunk включва пазар за приложения, наречен Splunkbase . В този форум има наличен пакет, наречен PCAP анализатор за Splunk . Тази услуга е безплатна за използване и предоставя конектор за четене на pcap файлове и набор от търсения, които поставят данни в собствените си Splunk екрани – в този инструмент има функция за анализ на протоколи.

Професионалисти:

• Адаптивен за набор от персонализирани приложения
• Безплатна добавка за анализ на пакети
• Анализатор на протоколи

Минуси:

• Изпълнява PCAP файлове, а не интегриран пакетен снифър

Splunk Enterprise се инсталира на Windows , Windows сървър , Linux , Unix , и macOS , или можете да получите достъп до Splunk Cloud през всеки стандартен уеб браузър. И двете системи са налични за безплатен пробен период – 14 дни за Spunk Cloud и 60 дни за Splunk Enterprise.

6. Omnipeek Network Protocol Analyzer

Ако просто искате чист анализатор на протоколи без много периферни възможности, тогава Анализатор на мрежови протоколи Omnipeek от LiveAction вероятно е най-добрият ви залог. Както подсказва името, този инструмент е изцяло за проследяване на трафика по протокол и го прави много добре.

Основни функции:

• Фокусиран върху анализа на протокола
• Пропускателна способност на трафика на живо
• Графично представяне на данни

Когато използвате Wireshark, започвате с екран, пълен със съдържание на пакети, и след това филтрирате данните, така че да преминете през масата налични данни до нещо с работещ размер. С Omnipeek е обратното, защото започва с Преглед и ви позволява да щракате по пътя си до части от данни, докато не стигнете до пакетите. Това е много по-управляем начин за подход към данните за трафика, защото трябва само да слезете до ниво на детайлност, което обяснява проблемите, които среща вашата мрежа.

Ако техническите ви умения не са толкова големи и не искате да научите цял език за програмиране, за да получите нещо смислен да се появи на екрана, тогава Omnipeek Protocol Analyzer ще ви хареса много.

Професионалисти:

• Лесни за четене екрани
• Показва данни за трафика на живо
• Предлага подробности за детайлизиране

Минуси:

• Не прави нищо друго освен анализ на протоколи

Omnipeek Protocol Analyzer е локален софтуерен пакет, който се инсталира на Windows сървър. Инструментът може сам да събира пакети, така че не е необходимо да настройвате отделна PCAP услуга и да я захранвате с файлове. Системата може да анализира безжични мрежи, както и LAN мрежи. Разгледайте възможностите на Omnipeek Protocol Analyzer с 30-дневен безплатен пробен период .