Bedste netværkstrafikanalysatorer og sniffere til Windows og Linux gratis

Indholdsfortegnelse

I dag bliver brugen af ​​internettet mere og mere hyppig og vigtig for mange mennesker, da vi takket være denne forbindelse vil have adgang til forskellige platforme som f.eks. E -mail, virksomhedssider, interessante steder eller underholdning og generelt alt, hvad Internettet tilbyder os.

Det er dog meget vigtigt, at vi overvejer netværkssikkerhed. Vi ved, at en høj procentdel af angreb på informationsudstyr foretages gennem netværket, og mange gange er det vores skyld (dårlige adgangskoder, download af ukendte filer, åbning af eksekverbare filer i e -mails), men hvis du ikke har den grundlæggende viden om, hvordan netværket fungerer du kan være (hvis du ikke har været) endnu et offer for denne type angreb.

Internettet er virkelig et kæmpe web af protokoller, tjenester og infrastruktur, der gør det muligt at bære netværkstilslutning overalt, og mere end 90% af os har hørt om TCP / IP, HTTP, SMTP osv.

Alt dette er protokoller, der spiller en nøglerolle i den måde, netværket når din pc eller enhed på, men bag det er der routere og andre komponenter, der, hvis de fejler, sker to ting, eller du står uden adgang til netværket. Eller du er modtagelig for at blive angrebet. Det er derfor, udviklerne af netværks- og netværksprodukter har gjort en indsats for at oprette applikationer, som vi kender som Sniffers og netværksanalysatorer, og selvom de generelt er meget tekniske, er sandheden, at det er et værdifuldt værktøj til at bestemme på hvilket kommunikationspunkt en fejl kan opstå.

Hvad er en snifferEn Sniffer eller netværksanalysator er både hardware- eller softwareværktøjer, der er udviklet med det formål at generere konstant overvågning af den lokale eller eksterne netværkstrafik. Denne sporing er dybest set ansvarlig for at analysere datapakkestrømmene, der sendes og modtages mellem computerne på netværket, enten internt eller eksternt.

Den bruger en sporingstilstand kaldet "promiskuøs tilstand", som den giver os mulighed for at undersøge alle pakker uanset deres destination, dette kan tage tid, men det er vigtigt at vide med sikkerhed, hvad der passerer gennem vores netværk.

Vi kan konfigurere en Sniffer på to forskellige måder afhængigt af supportkravet, disse tilstande er:

  • Vi kan konfigurere det uden et filter, så værktøjet fanger alle de tilgængelige pakker og gemmer en registrering af dem på den lokale harddisk for at analysere dem senere.
  • Det kan konfigureres med et specifikt filter, som giver os mulighed for at fange pakker baseret på de kriterier, som vi angav før søgningen.

Sniffere eller netværksanalysatorer kan bruges ens i et LAN- eller Wi-Fi-netværk. Den største forskel er, at hvis det bruges i et LAN -netværk, har vi adgang til pakkerne med alt tilsluttet udstyr. Eller du kan etablere en begrænsning baseret på netværksenhederne, i tilfælde af brug af et trådløst netværk, vil netværksanalysatoren kun kunne scanne en kanal ad gangen på grund af netværksbegrænsningen, men hvis vi bruger flere trådløse grænseflader kan dette forbedre lidt, men det er altid bedre at bruge det på et kablet eller LAN -netværk.

Når vi sporer pakkerne ved hjælp af en Sniffer eller en netværksanalysator, kan vi få adgang til detaljer som:

  • Information om de besøgte websteder
  • Indhold og modtager af e -mails sendt og modtaget
  • Se downloadede filer og mange flere detaljer

Hovedformålet med en Sniffer er at analysere alle pakker på netværket, især indgående trafik, for at søge efter ethvert objekt, hvis indhold indeholder ondsindet kode og på denne måde øge sikkerheden i organisationen ved at forhindre, at enhver type enhed installeres på enhver klient computer. malware.

Når vi kender lidt til, hvordan netværksanalysatoren fungerer, vil vi kende nogle af de bedste netværksanalysatorer eller Sniffer, der er tilgængelige til Windows og Linux.

Wireshark

Hvis du på noget tidspunkt uden tvivl har forsøgt at foretage en netværksanalyse, at du har set eller er blevet anbefalet WireShark som en af ​​de bedste løsninger, og det ikke er urimeligt at tænke over det, er årsagen enkel, WireShark har positioneret sig som en af ​​de mest udbredte netværksprotokolanalysatorer af millioner i verden takket være dens brugervenlighed, men også dens indbyggede funktioner.

funktionerBlandt dens egenskaber fremhæver vi følgende:

  • Det kan køres problemfrit på systemer som Windows, Linux, macOS, Solaris, FreeBSD, NetBSD og mere.
  • Det integrerer en kraftfuld analyse for VoIP.
  • Det kan udføre en dyb inspektion af mere end 100 protokoller.
  • Det kan udføre live capture og offline analyse af netværkspakker.
  • Det understøtter læse- og skriveformater som tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (komprimeret og ukomprimeret), Sniffer® Pro og NetXray®, Network Instruments Observer, NetScreen snoop, Novell LANalyzer, RADCOM WAN / LAN Analyzer, Shomiti / Finisar Surveyor, Tektronix K12xx, Visual Networks Time Up Visual, WildPackets EtherPeek / TokenPeek / AiroPeek og mere.
  • De data, der fanges live, kan læses fra platforme som Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, som giver os en lang række adgangsmuligheder.
  • De registrerede netværksdata kan udforskes ved hjælp af en grafisk grænseflade (GUI) eller via TShark i TTY -tilstand.
  • Understøtter at dekryptere flere protokoller som IPsec, ISAKMP, Kerberos, SNMPv3, SSL / TLS, WEP og WPA / WPA2
  • Vi kan implementere farveregler for bedre styring af de opnåede data.
  • Resultater kan eksporteres til XML, PostScript®, CSV eller almindelig tekst (CSV)

Dens download er tilgængelig på følgende link:

Der kan vi downloade den eksekverbare til Windows 10, og i tilfælde af Linux kan vi downloade kildekoden eller udføre følgende kommandoer i terminalen:

 sudo apt opdatering sudo apt installer wireshark sudo usermod -aG wireshark $ (whoami) sudo genstart
Når den er installeret i Windows 10 eller Linux, på tidspunktet for dens udførelse, vælger vi den netværksadapter, der skal analyseres, og derefter vil vi se følgende:

På Windows 10

Når vi vil stoppe processen, skal du klikke på Stop, og vi kan se de respektive resultater, som vi kan definere mere detaljeret fra de tilgængelige menuer:

LinuxI tilfælde af Linux vil vi se følgende:

EtherApe

Dette er et eksklusivt værktøj til UNIX -systemer, da det kun kan udføres på operativsystemer som:

  • Arch Linux
  • Mageia 6
  • CENTOS 7
  • Fedora 24, 25, 26, 27, 28 og 29
  • ScientificLinux 7
  • SLES 12, 12 SP1 og 12 SP3
  • OpenSUSE 13.2, Leap 42.1 / 42.2 / 42.3 og Tumbleweed / Factory.
EtherApe er udviklet som et GTK 3 -program, som vi kan overvåge og se enhedens status via en grafisk grænseflade, hvor vi kan få oplysninger om IP- og TCP -protokoller i realtid, hvilket er nyttigt til at opdage enhver anomali eller fejl.

funktionerNogle af dens mest fremragende funktioner er:

  • Både noden og linkfarven fremhæver den mest aktive protokol på netværket.
  • Vi kan vælge niveauet for protokoller, der skal filtreres.
  • Den anvendte netværkstrafik er repræsenteret på en grafisk måde for en bedre forståelse af detaljerne.
  • Understøtter protokoller som ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN, ICMP, IGMP, GGP, IPIP, TCP, EGP, PUP, UDP, IDP, TP, ROUTING, RSVP, GRE, ESP, AH, EON, VINES, EIGRP, OSPF, ENCAP, PIM, IPCOMP, VRRP;
  • Understøtter TCP- og UDP -tjenester, TELNET, FTP, HTTP, POP3, NNTP, NETBIOS, IRC, DOMAIN, SNMP og mere.
  • Det understøtter brug af et netværksfilter ved at tage syntaks for pcap.
  • Det giver mulighed for at analysere netværket fra ende til ende IP eller port til port TCP.
  • Data kan fanges offline.
  • De indsamlede data kan læses fra Ethernet-, FDDI-, PPP-, SLIP- og WLAN -grænseflader.
  • Viser trafikstatistikken efter node.
  • Med EtherApe udføres navneopløsningen ved hjælp af standard libc -funktioner, det betyder, at den understøtter DNS, værtsfiler og andre tjenester.
  • Resultaterne kan eksporteres til en XML -fil.

For at installere dette værktøj i Linux skal vi udføre følgende:

 sudo apt-get opdatering sudo apt-get install etherape
Når det er installeret, får vi adgang til værktøjet ved at udføre følgende:
 sudo etherape
Dette får EtherApe til at blive eksekveret fra terminalen, og appens grafiske interface vises automatisk:

FORSTØRRE

Der vil vi have en menu, hvor det vil være muligt at anvende filtre eller regler.

Tcpdump

Dette er et værktøj til Linux -systemer, der fanger både indgående og udgående netværkstrafik, og denne applikation kan installeres på Unix / Linux -operativsystemer, da den har libpcap -biblioteket til at udføre processen med at fange trafik fra det valgte netværk.
For at installere det skal du bare køre følgende i terminalen:

 sudo apt installere tcpdump
ParametreNogle af de parametre, der skal bruges, er:
  • -A: Udskriv hver pakke (ikke inklusive overskrift på linkniveau) i ASCII.
  • -b: Udskriv AS -nummeret i BGP -pakker i ASDOT -notation i stedet for ASPLAIN -notation.
  • -B buffer_size, --buffer-size = buffer_size: Giver dig mulighed for at definere størrelsen på capture buffer i buffer_size, i KiB enheder (1024 bytes).
  • -c count: Afslutter kommandoen efter modtagelse af netværkspakker.
  • -C filstørrelse: Kontroller, om filen er større end den originale filstørrelse.
  • -d: Dump den kompilerede pakkekode i en læsbar form.
  • -dd: Dump pakkekoden som et C -programfragment.
  • -D --list-interfaces: Udskriv listen over tilgængelige grænseflader.
  • -e: Udskriv overskriften på linkniveau.
  • -E: Brug spi @ ipaddr til at dekryptere ESP IPsec -pakker.
  • -f: Udskriv IPv4 -adresserne.
  • -F -fil: Det giver os mulighed for at vælge en filterfil.
  • -h -help: Udskriv hjælp til kommandoen.
  • --version: Vis den brugte version af tcpdump.
  • -i interface --interface = interface: Giver os mulighed for at vælge det interface, der skal analyseres for pakkeoptagelse.
  • -I-monitor-mode: Aktiver grænsefladen i "monitor mode"; som kun er kompatibel med IEEE 802.11 Wi-Fi-grænseflader og nogle operativsystemer.

skæbne

Kismet er et simpelt værktøj, der er mere fokuseret på trådløse netværk, men takket være det kan vi analysere trafikken fra skjulte netværk eller SSID'er, der ikke er blevet sendt, vi kan bruge det i UNIX-, Windows Under Cygwin- og OSX -systemer.

Kismet fungerer fuldt ud på Wi-Fi-grænseflader, Bluetooth, SDR-hardware (software defineret radio- software defineret radio) og specialiseret capture-hardware.

funktionerBlandt dens egenskaber finder vi:

  • Giver dig mulighed for at eksportere standarddata i JSON for at hjælpe med scripting til dine Kismet -forekomster.
  • Det integrerer en webbaseret brugergrænseflade.
  • Trådløs protokolunderstøttelse.
  • Den har en ny fjernoptagelseskode, der er optimeret til binær størrelse og RAM, dette letter brugen af ​​integrerede enheder til at fange pakker på netværket.
  • Det har et rekordformat, der kan være at sikre kompleks information om enhederne, systemstatus, advarsler og flere parametre.

Vi kan udføre installationen med følgende kommando:

 sudo apt installere kismet
I det følgende link finder du flere muligheder for at installere kismet:

NetworkMiner

Dette er et netværk forensisk analyseværktøj (NFAT - Network Forensic Analysis Tool), der er baseret på open source til Windows, Linux, macOS og FreeBSD -systemer. Når vi installerer dette værktøj, er vi i stand til at køre en komplet netværksscanning for at fange alle pakkerne og med dem for at kunne registrere operativsystemer, sessioner, værtsnavne osv. For en komplet styring af disse variabler.

funktionerNogle af dens mest fremragende funktioner er:

  • Vi kan analysere PCAP -filer til offline analyse.
  • Det vil være muligt at køre en avanceret netværkstrafikanalyse (NTA).
  • Udførelse i realtid.
  • Understøtter IPv6 -adressering.
  • Det er muligt at udtrække filer fra FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 og IMAP -trafik
  • Understøtter SSL, HTTPS, SMTPS, IMAPS, POP3S, FTPS og mere kryptering
  • GRE, 802.1Q, PPPoE, VXLAN, OpenFlow, SOCKS, MPLS og EoMPLS de-indkapsling

Dens download er tilgængelig på følgende link:

Trin 1
For korrekt brug af NetworkMiner er det nødvendigt først at oprette en indgående regel i Windows 10 Firewall:

FORSTØRRE

Trin 2
Efter dette skal vi køre værktøjet som administrator for at få adgang til scanning af computere på netværket og der vælge de forskellige muligheder:

FORSTØRRE

Trin 3
Når vi vælger en vært, kan vi se de indlæste elementer i de respektive faner:

FORSTØRRE

Microsoft Message Analyzer

Som du måske allerede har mistanke om fra sit navn, er dette et eksklusivt Windows 10 -værktøj, der er blevet udviklet af Microsoft til at udføre opgaver såsom at fange, vise og analysere trafikken af ​​protokolmeddelelser og andre meddelelser fra operativsystemet, ud over dette når vi bruger Dette værktøj kan importere, tilføje eller analysere data fra logfilerne og netværkssporing.

Nogle af dets funktioner er

  • Optag live data
  • Indlæs data fra flere datakilder samtidigt
  • Vis spor- eller logdata
  • Forskellige visningsmuligheder og mere

Trin 1
Dens gratis download er tilgængelig på følgende link:

Trin 2
Når det er udført, ser vi følgende miljø (det skal udføres som administrator):

FORSTØRRE

Trin 3
Der vil det være muligt at etablere farveregler, tilføje kolonner, indstille filtre og andre, når vi vælger en af ​​linjerne i bunden finder vi mere specifikke detaljer om det:

FORSTØRRE

Windump

Windump er versionen af ​​Tcpdump til Windows -miljøer, da Windump er kompatibel med Tcpdump, og vi kan installere det for at se, diagnosticere eller hvis vi vil spare netværkstrafik gennem brug og implementering af regler.

WinDump fanger netværkstrafik gennem WinPcap -biblioteket og drivere, så vi skal downloade WinPcap gratis først på følgende link:

Derefter kan vi downloade Windump på følgende link:

Når den udføres, åbnes en kommandopromptkonsol, og der kan vi definere grænsefladen med parameteren -i:

 WinDump.exe -i 1

FORSTØRRE

Capsa Network Analyzer

Den fås i en gratis version og en betalt version med flere funktionaliteter, men begge giver os mulighed for at udføre netværksanalyseopgaver, der overvåger hver indgående og udgående pakke samt de anvendte protokoller, dette vil være til stor nytte til at rette fejl og udføre en analyse af netværket i detaljer.

I den gratis version vil det være muligt at:

  • Overvåg op til 10 IP -adresser på det valgte netværk.
  • Op til 4 timers varighed pr. Session.
  • Vi kan modtage advarsler fra netværkskort.
  • Giver dig mulighed for at gemme og eksportere resultaterne.
Den gratis version kan downloades på følgende link:

Når det er downloadet og eksekveret, er dette det miljø, som værktøjet tilbyder:

FORSTØRRE

Der vil vi have en grafisk fremstilling af netværkstrafik, og i den øverste del vil vi have forskellige værktøjer til filtrering og styring af netværkspakker.

Netcat

Netcat er en integreret kommando i Windows- og Linux -systemer, takket være hvilken det vil være muligt at læse og skrive data ved hjælp af TCP / IP -protokollen i de forskellige netværksforbindelser, det kan bruges uafhængigt eller sammen med andre apps, der kan bruges som et værktøj til lokal eller ekstern netværksudforskning og fejlfinding.
Blandt dens funktioner finder vi:

  • Integreret i selve systemet
  • Optag udgående og indgående forbindelser
  • Har indbygget portscanningsfunktioner
  • Det har avancerede funktioner
  • Kan scanne RFC854 og telnet koder

Vi kan f.eks. Udføre følgende linje:

 netcat -z -v solvetic.com 15-30
Dette vil læse porte 15 til 30 for at vise, hvilke der er åbne, og hvilke der ikke er:

Variablen -z bruges til scanningsformål (Zero Mode), og parameteren -v (verbose) viser oplysningerne læseligt.
Der er yderligere parametre, som vi kan bruge som:

  • -4: Viser IPv4 -adresserne
  • -6: Understøtter IPv6 -adresser
  • -b: Understøtter udsendelse
  • -D: Aktiver fejlfindingstilstand
  • -h: Viser kommandoen hjælp
  • -i Interval: Gør det muligt at anvende et tidsinterval mellem linjer
  • -l: Aktiver lyttefunktion
  • -n: Undertryk navn eller portopløsning
  • -r: Optimer eksterne porte

Vi har set de forskellige muligheder for netværksanalysatorer og Sniffer tilgængelige til Windows og Linux, som vi kan øge resultaterne af vores support- og kontrolopgaver med.

wave wave wave wave wave