Анализ на мрежовия трафик без търговски инструменти

  • Анализът на мрежовия трафик позволява откриването на проблеми с производителността, аномалии и потенциални нарушители чрез проверка на пакети и потоци.
  • Безплатни инструменти като Wireshark, WinDump, Nagios, Zabbix или Pandora FMS предлагат разширено наблюдение и анализ без платени лицензи.
  • Комбинираното използване на заснемане на пакети, непрекъснато наблюдение и анализ на потока осигурява много подробна видимост на мрежата.
  • Въпреки че Windows включва основни помощни програми, за реален мрежов контрол е препоръчително да се разчита на отворени и специализирани решения.
Daniel Terrasa

14 Minutos

мрежов анализ

Мониторингът на случващото се в нашата мрежа, както в компанията, така и у дома, се превърна в критична задача. Бавна, претоварена или нестабилна мрежа почти винаги е знак, че нещо не е наред.Заразено устройство, пречка, приложение, което използва цялата честотна лента, или дори потенциален нарушител, който се промъква там, където не би трябвало. Без видимост на трафика, например, открийте колко устройства са във вашата мрежаНа практика е невъзможно да се вземат добри решения или да се реагира навреме.

Проблемът е, че много търговски решения са скъпи, сложни за внедряване и, на всичкото отгоре, прекалено големи за ежедневните ни нужди. Добрата новина е, че е възможно да се създаде... Висококачествен анализ на мрежовия трафик, без да се прибягва до платени търговски инструменти, комбинирайки безплатни помощни програми, безплатен софтуер и някои функции, интегрирани в самите операционни системи.

Какво точно представлява анализът на мрежовия трафик?

Когато говорим за анализ на мрежовия трафик, имаме предвид процеса на да улавя, проверява и разбира пакетите данни и потоците, циркулиращи през мрежатаТози анализ може да се извърши на много ниско ниво (пакет по пакет) или на по-агрегирано ниво (потоци, разговори, статистика за честотната лента и др.).

На практика анализът на трафика се използва за Идентифицирайте кой с кого говори, какви протоколи и приложения се използват, какво натоварване генерират и как се държи мрежата с течение на времето.Оттам възникват модели, тенденции, а също и странности, които ни помагат както по отношение на производителността, така и на сигурността; например, използването на методи за Открийте IP адресите във вашата локална мрежа и локализирайте основните източници на трафик.

За постигане на тази видимост се използват два допълващи се подхода: директно заснемане на пакети (снифинг) и събирането на данни за потока (NetFlow, sFlow, IPFIX, J-Flow и др.)Първите показват максимална детайлност на всеки пакет, докато вторите предлагат много ефективни обобщения на трафика между началните и крайните точки.

Този тип анализ не е приложим само за големи корпоративни мрежи. Всеки администратор, който иска да разбере защо мрежата му изостава, откъде идва скокът в използването или кое оборудване генерира необичаен трафик Той се възползва от наблюдението на трафика, дори ако има само няколко устройства.

Инструменти за анализ на мрежовия трафик

За какво е полезен анализът на трафика: ключови приложения и предимства

Основната цел обикновено е производителността, но анализът на трафика предлага много повече. Това са най-често срещаните задачи, които се покриват от добър мрежов анализ без търговски инструменти:

  • Заснемане на информация, пътуваща през мрежатаИнспектирането на пакети ви позволява да видите съдържание в открит текст (когато не е криптирано), заглавки, протоколи, портове и параметри на сесията.
  • Статистика за употребата: знаейки колко честотна лента консумира всеки хост, приложение, порт или протокол и в кои времеви периоди са концентрирани пиковете.
  • Откриване на проблеми с производителностталокализиране на пречки, насищане в определени връзки, TCP ретрансмисии, аномални латентности или оборудване, което генерира твърде много трафик.
  • Записване и експортиране на данниЗапазвайте записи и потоци, за да ги анализирате по-късно, сравнявайте ги във времето или ги използвайте като доказателство в одити и експертни доклади.
  • Откриване на нарушители и аномалииИдентифицирайте неоторизирани устройства, подозрителни модели на трафик, сканиране на портове, опити за груба сила или поведение, типично за злонамерен софтуер.

Всичко това се превръща в много осезаеми ползи: По-бързо разрешаване на инциденти, по-малко прекъсвания на услугите, по-добро потребителско изживяване и много по-високо ниво на сигурностОсобено в бизнес среда, наличието на този контрол предотвратява много проблеми... и много разходи.

Освен това, с исторически данни за трафика можем планирайте разширяването на честотната лента или инфраструктурата с добра преценкаВместо постоянно да гасим пожари, ние знаем кои връзки са на предела си, кои приложения оправдават това натоварване и кога си струва да инвестираме например в... Ултра Ethernet за домашни мрежи.

Не бива да се пренебрегва един важен момент: определени възможности на тези инструменти технически позволяват, прихващане на чувствителна информация, като например пароли или некриптирано съдържание на сесииЕто защо е изключително важно да ги използвате, като спазвате закона и политиките за поверителност, особено в корпоративна среда.

Мрежов мониторинг: защо е толкова важен в ежедневието

Отвъд специфичните анализи, това, което наистина прави разликата, е поддържането на непрекъснато наблюдение на мрежата, за да се знае какво се случва по всяко времеНе е същото да прегледате екранна снимка, след като услугата вече е спряла да работи, както да получите предупреждения, които предупреждават потребителите, преди проблемът да ги засегне; ето защо е добра идея да прегледате ръководствата за това как да... Поддържане на здрава мрежова инфраструктура в Windows и адаптирайте практиките към вашата среда.

Една съвременна корпоративна мрежа съчетава десетки критични приложения, натоварени сървъри, облачни връзки, VPN мрежи и устройства от всякакъв вид. Без наблюдение, откриването на източника на забавяне или скок в трафика е почти игра на догадки.С добри данни за трафика, локализирането на проблема обикновено е въпрос на минути.

В корпоративна среда мониторингът има и ясен икономически компонент. Ако изберете правилните безплатни или инструменти с отворен код За анализ и мониторинг на трафика, спестяванията от лицензи могат да бъдат огромни, като същевременно се поддържа напълно професионално ниво на контрол.

Струва си дори на лично ниво или в малък офис. Разбиране кое устройство използва целия Wi-FiОткриването дали има устройства, които не разпознавате, или виждането кое приложение претоварва връзката ви са задачи, които се решават прецизно с добър поглед върху трафика.

Анализ на мрежовия трафик без търговски инструменти

Най-популярните безплатни анализатори на пакети и трафик

Едно от големите предимства на мрежовия свят е, че има Безплатни инструменти, които са установени от години, са много зрели и се използват от професионалисти.Не са ви необходими търговски пакети, за да имате анализи на високо ниво. По-долу са някои от най-мощните опции, които се вписват идеално в среда без платени лицензи.

Wireshark: незаменимата класика за анализ на пакети

Wireshark вероятно е Най-известният и широко използван анализатор на трафик в светаРоден е в края на 90-те години, с отворен код е, напълно безплатен и е достъпен за Linux, Windows, macOS и няколко Unix системи (Solaris, FreeBSD и др.).

Основната му функция е заснемане на пакети и задълбочен анализТова ви позволява да видите всеки кадър, който преминава през интерфейс, с подробности като:

  • Идентификационен номер или последователност на всеки пакет.
  • Точно време за обработка и времеви марки.
  • IP (или MAC) адреси на източника и местоназначението.
  • Използван протокол (TCP, UDP, HTTP, HTTPS, DNS и др.).
  • Размер на опаковката.
  • Обобщена информация за съдържанието или фазата на сесията.

След като изберете ред в заснемането, Получавате пълно разбиване на пакета: заглавки на слоеве (Ethernet, IP, TCP/UDP, приложение), отделни полета, флагове, портове и др. Идеален е за отстраняване на грешки при фини протоколни проблеми, анализ на VoIP трафик, преглед на TCP ретрансмисии или подробно изучаване на това как се установява сесия.

Wireshark се откроява със своите поддръжка на стотици протоколи, много мощни филтри за заснемане и преглед, както и възможност за запазване и споделяне на заснети изображения за по-късен анализ или за изпращането им на други техници.

WinDump: версията на tcpdump за Windows

Ако предпочитате командния ред, WinDump е Windows адаптацията на историческия инструмент tcpdumpТой е лек, бърз и идеален за писане на скриптове или диагностика от конзолата.

С WinDump можете Заснемане на трафик от специфични интерфейси чрез прилагане на BPF филтри (по IP, порт, протокол и т.н.), да изхвърлите пакетите във файл, за да ги анализирате с Wireshark и да проверите за грешки, като например деформирани пакети или неуспехи на определени сесии.

Няма графичен интерфейс, но точно затова е идеален в сървърно оборудване, отдалечени сесии или когато искате да автоматизирате периодични заснемания без инсталиране на тежки приложения.

BruteShark: Разширен анализ на сесиите и сигурност

BruteShark е по-нова и по-ориентирана помощна програма. анализ на сигурността на мрежови записиВключва както графична, така и версия за команден ред и се фокусира върху задачи като:

  • Реконструиране на TCP сесии, за да се види пълният поток на комуникация.
  • Генериране на мрежова карта от наблюдаван трафик.
  • Извличане на хешове и идентификационни данни от протоколи, които го позволяват, полезно при одити.

Това е много мощен инструмент, предназначен за Мрежова криминалистика, тестове за проникване и преглед на сигурността на протоколи и услугиРаботи от файлове за заснемане (напр. pcap, генериран от Wireshark или tcpdump/WinDump).

Други специализирани инструменти, които са безплатни или имат версия с отворен код

В допълнение към чистите анализатори, има приложения, които Те съчетават мониторинг, статистика и диагностика.:

  • OmniPeekТой е насочен към големи професионални среди. Има много напреднали възможности за анализ на производителността, въпреки че най-мощните му издания са търговски.
  • КапсаПредлага се за Windows в безплатна, стандартна и корпоративна версия. Дори безплатната версия предлага поддръжка за над 300 протокола и добър брой изгледи за анализ.

Тези алтернативи могат да бъдат полезни за тези, които търсят по-насочен и визуален подход отколкото класическия Wireshark, като същевременно се възползвате от много пълни безплатни или пробни опции.

zabbix

Безплатни инструменти за мрежов мониторинг: Nagios, Zabbix и Pandora FMS

Ако целта не е просто да се видят конкретни снимки, а непрекъснато наблюдение на състоянието на сървърите, услугите и мрежовите възлиТова въвежда в действие много сериозни платформи за мониторинг, които могат да се използват и без търговски лицензи.

Nagios Това е един от ветераните. Той ви позволява да наблюдавате наличността, латентността, състоянието на портовете, потреблението на ресурси и услугите на почти всяко устройство в мрежата чрез агенти и отдалечени проверки. Мониторинговата му среда показва консолидирани изгледи за състоянието на хостовете и услугитекакто и предупреждения, когато нещо падне или надвиши определени прагове.

Zabbix Това е друго широко използвано решение с отворен код. Можете да видите [следното от уеб интерфейса му]. графики на мрежовия трафик, използването на процесора, паметта, дисковото пространство и много други показателиОфициалната му документация показва ясни примери за това как представя трафика по интерфейс, което го прави идеален за проследяване на еволюцията на честотната лента във времето.

Пандора FMS (Гъвкава система за мониторинг) е изключително гъвкава испанска платформа за мониторинг. Нейната документация обяснява... панели, където се показват мрежови показатели, наличност и производителностКомбинирането на мрежови сонди с агенти, инсталирани на устройствата, е много завършена опция за всеки, който иска да създаде централизирана среда за наблюдение, без да плаща за основни търговски лицензи.

Всяко от тези три решения ще постигне глобален преглед на състоянието на инфраструктурата...перфектно допълващи анализаторите на пакети и потоци. Докато Wireshark или WinDump са за фина настройка, Nagios, Zabbix или Pandora FMS предоставят панорамна гледка.

Видимост чрез потоци: некомерсиални алтернативи на големите анализатори

Големите доставчици продават пакети за анализ на трафика, базирани на потока (NetFlow, sFlow, IPFIX, J-Flow и др.). Въпреки че много от тях са комерсиални, концепцията е лесно възпроизводима с безплатни или инструменти с отворен код. Идеята е, че рутерите и комутаторите експортират обобщения на комуникациитеи приложение събира и представя тези данни.

Типичният анализатор на потока ви позволява да видите, с точност до една минута, обемът на входящия и изходящия трафик по интерфейс, IP адрес, приложение, порт и протоколОттам се генерират графики, показващи пикове на трафика и показващи статистически данни като:

  • Скорост (бит/с).
  • Общ прехвърлен обем.
  • Брой пакети.
  • Процент на използване на наличната честотна лента.

Интересното е, че тези доклади могат да бъдат прегледани, за да последния час, последния ден, цяла четвърт или персонализиран периоди да бъдат експортирани във формати като CSV или PDF за управленско отчитане или вътрешна документация.

В допълнение към общото използване на честотна лента, анализът на потока предоставя видимост на основните „говорещи“ в мрежатаПоказва кои хостове, приложения, портове и протоколи консумират най-много ресурси. Също така ви позволява да се задълбочите в специфичните разговори между IP адресите на източника и получателя, за да разрешите проблеми с производителността или сигурността.

Много безплатни и кросплатформени решения могат да изпълняват тази роля на колектор и визуализатор на потоци, предлагайки персонализируеми табла за управление, сигнали за прагове и изгледи на исторически тенденции без да е необходимо да плащате за затворен търговски апартамент.

Използване на анализ на трафика за подобряване на безопасността

Анализът на трафика не е само за производителност. В областта на сигурността той е един от най-ценните източници на информация. Преди атаката да стане видима, обикновено има промяна в модела на движение.повече връзки от нормалното, деформирани пакети, масивни неуспешни опити за удостоверяване или странни изходящи потоци.

Инструментите за анализ ви позволяват да генерирате доклади за сигурност, фокусирани върху аномално поведениепотоци с невалидни типове услуги (TOS), необичайни комбинации източник-дестинация, пикове на трафика в моменти, когато мрежата би трябвало да е тиха и др.

Например, много ransomware и бързо разпространяващи се червеи генерират характерни модели на мрежово сканиране и трафик към командни и контролни сървъриЧрез наблюдение на този фонов трафик е възможно да се спре инцидентът много преди инфекцията да засегне цялата организация.

Друго предимство е възможността за блокиране на трафик от IP адреси или диапазони, които не са част от организацията Когато се открие подозрителна активност, като по този начин се засилва сигурността; полезно е също така да се знаят методи за блокирайте подозрителни връзки с команди в Windows среди и реагират бързо.

Въпреки това, не е препоръчително да разчитате изцяло на магически инструмент. Ключът е да се комбинират добри източници на данни за трафика с добре дефинирани правила и ясни процедури за реагиране.за да не бъдат забравени предупрежденията и да бъдат превърнати в конкретни действия.

Как да изберем правилния инструмент за анализ на трафика

Няма едно-единствено решение, което да работи за всички случаи. Размерът на мрежата, бюджетът, нивото на експертиза на екипа и специфичните цели Те оказват голямо влияние върху избора. Въпреки това, има редица основни критерии, които трябва да се вземат предвид при търсене на алтернативи на търговските инструменти:

  • Конфигурируеми отчети: което позволява персонализиране на това кои показатели да се показват (по IP, приложение, протокол, интерфейс и др.), с какъв интервал от време и в какъв формат, за да се адаптират изгледите към реалните нужди.
  • Съвместимост с множество производителиКолкото по-отворен е инструментът и колкото повече устройства поддържа (рутери, комутатори, защитни стени от различни доставчици), толкова по-малко ще зависите от собствени решения от производителя.
  • Опции за оптимизация на мрежатаТой не само трябва да показва данни, но и да помага при вземането на управленски решения, като например идентифициране на критични приложения, ограничаване на несъществен трафик или реорганизиране на използването на честотна лента.
  • Лесно внедряване и интеграцияРешение, което изисква седмици настройка, може да е непрактично. По-добре е да изберете нещо, което можете да настроите и използвате бързо, като постепенно интегрирате допълнителни модули или плъгини.

В много случаи печелившата комбинация се състои от Използвайте анализатор на пакети (Wireshark/WinDump), система за мониторинг (Nagios/Zabbix/Pandora) и инструмент за управление на потока. да обхване всички фронтове: детайлност, глобална визия и статистически анализ.

Какво предлага Windows вече и кога не е достатъчно

Windows включва някои помощни програми, които, макар и да не са истински анализатори на трафика, Те ви помагат да получите бърза представа за случващото се с мрежата на конкретен екип. Те не заместват предишните инструменти, но служат като първи поглед.

El Управление на задачите Разделът „Производителност“ показва графики на използването на мрежата по интерфейс. Освен това, списъкът с процеси показва какъв процент от мрежовата честотна лента използва всяка задача. Това е лесен начин да откриване коя програма използва връзката във всеки даден момент.

El Монитор на ресурси (достъпен чрез търсене на „Монитор на ресурси“ в менюто „Старт“) отива още една стъпка: предлага Детайли за трафика за всеки процес, активни TCP връзки, портове за слушане и статистика за изпращане/получаванеЗа бърза диагностика е много по-изчерпателен от диспечера на задачите.

Въпреки това, тези инструменти Те не позволяват улавяне на пакети, задълбочен анализ на протоколи или преглед на трафика на други устройства в мрежата.Те са полезни за ежедневни задачи на един компютър, но за сериозен анализ трябва да разчитате на специфичните приложения, споменати по-рано.

Ако просто искате да знаете какво прави вашият компютър по отношение на трафика, това може да е достатъчно. Винаги, когато пожелаете одит на цялата мрежа, изучаване на глобални модели или разследване на инциденти със сигурносттаЩе трябва да продължите по-нататък.

Накратко, въпреки че има много мощни търговски решения, Напълно възможно е да се постигне пълна видимост на мрежовия трафик, използвайки само безплатни инструменти с отворен код.Анализатори на пакети като Wireshark или WinDump, платформи за мониторинг като Nagios, Zabbix или Pandora FMS и системи за анализ на потока, способни да използват данни от NetFlow, sFlow или IPFIX, са полезни инструменти. С малко практика и добре дефинирана методология можете да имате добре наблюдавана, високопроизводителна и много по-сигурна мрежа, без да харчите нито едно евро за търговски лицензи.

Nmap
Свързана статия:
Одитирайте локалната си мрежа с Nmap и Wireshark стъпка по стъпка