Analys av nätverkstrafik utan kommersiella verktyg

  • Analys av nätverkstrafik möjliggör upptäckt av prestandaproblem, avvikelser och potentiella inkräktare genom att inspektera paket och flöden.
  • Gratisverktyg som Wireshark, WinDump, Nagios, Zabbix eller Pandora FMS erbjuder avancerad övervakning och analys utan betalda licenser.
  • Den kombinerade användningen av paketinsamling, kontinuerlig övervakning och flödesanalys ger mycket omfattande nätverkssynlighet.
  • Även om Windows innehåller grundläggande verktyg är det lämpligt att förlita sig på öppna och specialiserade lösningar för verklig nätverkskontroll.
Daniel Terrasa

14 minuter

nätverksanalys

Att övervaka vad som händer i vårt nätverk, både på företaget och hemma, har blivit en kritisk uppgift. Ett långsamt, överbelastat eller instabilt nätverk är nästan alltid ett tecken på att något är fel.En infekterad enhet, en flaskhals, en applikation som tar upp all bandbredd, eller till och med en potentiell inkräktare som smyger in där de inte borde. Utan trafikinsyn, till exempel för ta reda på hur många enheter som finns i ditt nätverkDet är praktiskt taget omöjligt att fatta bra beslut eller reagera i tid.

Problemet är att många kommersiella lösningar är dyra, komplexa att driftsätta och, som grädde på moset, överdimensionerade för våra dagliga behov. Den goda nyheten är att det är möjligt att skapa en Högkvalitativ nätverkstrafikanalys utan att behöva använda betalda kommersiella verktyg, som kombinerar gratisverktyg, fri programvara och vissa funktioner integrerade i själva operativsystemen.

Vad exakt är nätverkstrafikanalys?

När vi pratar om nätverkstrafikanalys syftar vi på processen för att fånga, inspektera och förstå datapaketen och strömmarna som cirkulerar genom ett nätverkDenna analys kan göras på en mycket låg nivå (paket för paket) eller på en mer aggregerad nivå (flöden, konversationer, bandbreddsstatistik etc.).

I praktiken används trafikanalys för att Identifiera vem som pratar med vem, vilka protokoll och applikationer som används, hur mycket belastning de genererar och hur nätverket beter sig över tid.Därifrån framträder mönster, trender och även egenheter som hjälper oss både med prestanda och säkerhet; till exempel genom att använda metoder för att Upptäck IP-adresser i ditt lokala nätverk och lokalisera de viktigaste trafikkällorna.

För att uppnå denna synlighet används två kompletterande metoder: direkt paketinsamling (sniffning) och samlingen av flödesdata (NetFlow, sFlow, IPFIX, J-Flow, etc.)De förra visar maximal detaljrikedom för varje paket, medan de senare erbjuder mycket effektiva sammanfattningar av trafiken mellan ursprung och destination.

Denna typ av analys är inte bara tillämplig på stora företagsnätverk. Alla administratörer som vill förstå varför deras nätverk laggar, varifrån en ökad användning kommer eller vilken utrustning som genererar ovanlig trafik Den drar nytta av att övervaka trafik, även om den bara har ett fåtal enheter.

Verktyg för att analysera nätverkstrafik

Vad är trafikanalys användbart för: viktiga användningsområden och fördelar

Det primära målet är vanligtvis prestanda, men trafikanalys erbjuder mycket mer. Dessa är de vanligaste uppgifterna som en bra nätverksanalys utan kommersiella verktyg täcker:

  • Insamling av information som färdas genom nätverketGenom att inspektera paket kan du se innehåll i klartext (när det inte är krypterat), rubriker, protokoll, portar och sessionsparametrar.
  • Användningsstatistik: att veta hur mycket bandbredd varje värd, applikation, port eller protokoll förbrukar, och under vilka tidsperioder topparna är koncentrerade.
  • Detektering av prestandaproblemlokalisera flaskhalsar, mättnad i vissa länkar, TCP-återöverföringar, avvikande latenser eller utrustning som genererar för mycket trafik.
  • Dataregistrering och exportSpara insamlingar och flöden för att analysera dem senare, jämföra dem över tid eller använda dem som bevis i revisioner och expertrapporter.
  • Inkräktar- och avvikelsedetekteringIdentifiera obehöriga enheter, misstänkta trafikmönster, portskanningar, brute-force-försök eller beteenden som är typiska för skadlig kod.

Allt detta leder till mycket konkreta fördelar: Snabbare incidentlösning, färre avbrott i tjänsten, en bättre användarupplevelse och en mycket högre säkerhetsnivåSpeciellt i affärsmiljöer förhindrar denna kontroll många problem ... och många kostnader.

Dessutom kan vi med historisk trafikdata planera bandbredd eller infrastrukturutbyggnader med gott omdömeIstället för att ständigt släcka bränder vet vi vilka länkar som är på sin gräns, vilka tillämpningar som motiverar den belastningen och när det är värt att investera i, till exempel Ultra Ethernet för hemnätverk.

En avgörande punkt bör inte förbises: vissa funktioner hos dessa verktyg tillåter tekniskt sett, fånga upp känslig information såsom lösenord eller okrypterat sessionsinnehållDärför är det avgörande att använda dem samtidigt som man respekterar lagen och integritetspolicyerna, särskilt i företagsmiljöer.

Nätverksövervakning: varför det är så viktigt i vardagen

Utöver specifika analyser är det som verkligen gör skillnaden att upprätthålla en kontinuerlig nätverksövervakning för att veta vad som händer hela tidenDet är inte samma sak att granska en skärmdump efter att en tjänst redan har gått ner som det är att ha varningar som varnar användare innan problemet drabbar dem; det är därför en bra idé att granska guider om hur Att upprätthålla en hälsosam nätverksinfrastruktur i Windows och anpassa rutinerna till din omgivning.

Ett modernt företagsnätverk kombinerar dussintals kritiska applikationer, upptagna servrar, molnanslutningar, VPN:er och enheter av alla de slag. Utan övervakning är det nästan en gissningslek att upptäcka källan till långsamhet eller en trafiktop.Med bra trafikdata tar det vanligtvis bara några minuter att lokalisera problemet.

I företagsmiljöer har övervakning också en tydlig ekonomisk komponent. Om du väljer rätt gratis- eller öppen källkodsverktyg För trafikanalys och övervakning kan besparingarna på licenser vara enorma, samtidigt som en helt professionell kontrollnivå bibehålls.

Det är värt det även på ett personligt plan eller på ett litet kontor. Att veta vilken enhet som använder allt Wi-FiAtt upptäcka om det finns enheter du inte känner igen eller att se vilken applikation som överbelastar din anslutning är uppgifter som löses exakt med en noggrann titt på trafiken.

Analys av nätverkstrafik utan kommersiella verktyg

Mest populära gratis paket- och trafikanalysatorer

En av de stora fördelarna med nätverksvärlden är att det finns Gratisverktyg som har funnits i åratal, är mycket mogna och används av proffs.Du behöver inte kommersiella programsviter för att ha analys på hög nivå. Nedan följer några av de mest kraftfulla alternativen som passar perfekt i en miljö utan betalda licenser.

Wireshark: den oumbärliga klassikern för paketanalys

Wireshark är förmodligen den världens mest kända och mest använda trafikanalysatorDet föddes i slutet av 90-talet, är öppen källkod, helt gratis och är tillgängligt för Linux, Windows, macOS och flera Unix-system (Solaris, FreeBSD, etc.).

Dess huvudsakliga funktion är paketinsamling och djupgående analysDet låter dig se varje bildruta som passerar genom ett gränssnitt, med detaljer som:

  • ID-nummer eller sekvens för varje paket.
  • Noggrann bearbetningstid och tidsstämplar.
  • Käll- och destinations-IP-adresser (eller MAC-adresser).
  • Protokoll som används (TCP, UDP, HTTP, HTTPS, DNS, etc.).
  • Paketstorlek.
  • Sammanfattningsinformation om innehållet eller fasen i sessionen.

När du väl har valt en linje i inspelningen, Du får en fullständig översikt över paketet: lagerrubriker (Ethernet, IP, TCP/UDP, applikation), enskilda fält, flaggor, portar etc. Den är idealisk för att felsöka fina protokollproblem, analysera VoIP-trafik, visa TCP-återöverföringar eller studera i detalj hur en session upprättas.

Wireshark utmärker sig för sina stöd för hundratals protokoll, mycket kraftfulla filter för inspelning och visning, och möjligheten att spara och dela inspelningar för senare analys eller skicka dem till andra tekniker.

WinDump: Windows-versionen av tcpdump

Om du föredrar kommandoraden är WinDump det Windows-anpassningen av det historiska tcpdump-verktygetDen är lätt, snabb och perfekt för skript eller diagnostik från konsolen.

Med WinDump kan du Samla in trafik från specifika gränssnitt genom att använda BPF-filter (via IP, port, protokoll, etc.), dumpa paketen till en fil för att sedan analysera dem med Wireshark och kontrollera om det finns fel, såsom felaktigt utformade paket eller fel i vissa sessioner.

Den har inget grafiskt gränssnitt, men det är just därför den är idealisk i serverutrustning, fjärrsessioner eller när du vill automatisera regelbundna inspelningar utan att installera tunga applikationer.

BruteShark: Avancerad sessionsanalys och säkerhet

BruteShark är ett nyare och mer anpassat verktyg säkerhetsanalys av nätverksfångsterDen innehåller både grafiska och kommandoradsversioner och fokuserar på uppgifter som:

  • Rekonstruera TCP-sessioner för att se hela kommunikationsflödet.
  • Generering av nätverkskartor från observerad trafik.
  • Extraktion av hashkoder och autentiseringsuppgifter från protokoll som tillåter det, användbart vid revisioner.

Det är ett mycket kraftfullt verktyg utformat för Nätverksforensik, penetrationstester och säkerhetsgranskning av protokoll och tjänsterDet fungerar från infångningsfiler (t.ex. pcap genererad av Wireshark eller tcpdump/WinDump).

Andra specialiserade verktyg som är gratis eller har en öppen källkodsversion

Förutom rena analysatorer finns det tillämpningar som De kombinerar övervakning, statistik och diagnostik.:

  • OmniPeekDen är inriktad på stora professionella miljöer. Den har mycket avancerade prestandaanalysfunktioner, även om dess kraftfullaste utgåvor är kommersiella.
  • CapsaTillgänglig för Windows i gratis-, standard- och företagsversioner. Även gratisutgåvan erbjuder stöd för över 300 protokoll och ett stort antal analysvyer.

Dessa alternativ kan vara användbara för dem som letar efter ett mer guidat och visuellt tillvägagångssätt än den klassiska Wireshark, samtidigt som man drar nytta av mycket kompletta gratis- eller provversionsalternativ.

zabbix

Gratis verktyg för nätverksövervakning: Nagios, Zabbix och Pandora FMS

Om målet inte bara är att se specifika bilder, utan kontinuerligt övervaka statusen för servrar, tjänster och nätverksnoderDetta möjliggör användning av mycket seriösa övervakningsplattformar som även kan användas utan kommersiella licenser.

Nagios Det är en av veteranerna. Den låter dig övervaka tillgänglighet, latens, portstatus, resursförbrukning och tjänster för praktiskt taget vilken enhet som helst i nätverket via agenter och fjärrkontroller. Dess övervakningsmiljö visar konsoliderade vyer över statusen för värdar och tjänstersamt varningar när något faller eller överskrider definierade tröskelvärden.

Zabbix Det är en annan allmänt använd öppen källkodslösning. Du kan se [följande från dess webbgränssnitt]. grafer över nätverkstrafik, CPU-användning, minne, diskutrymme och många andra indikatorerDess officiella dokumentation visar tydliga exempel på hur den representerar trafik per gränssnitt, vilket gör den idealisk för att spåra bandbreddsutveckling över tid.

Pandora FMS (Flexible Monitoring System) är en mycket flexibel spansk övervakningsplattform. Dess dokumentation förklarar... paneler där nätverksstatistik, tillgänglighet och prestanda visasGenom att kombinera nätverkssonder med agenter installerade på enheterna är det ett mycket komplett alternativ för alla som vill skapa en centraliserad övervakningsmiljö utan att betala för grundläggande kommersiella licenser.

Vilken som helst av dessa tre lösningar kommer att uppnå en global översikt över infrastrukturens tillstånd...ett perfekt komplement till paket- och strömningsanalysatorer. Medan Wireshark eller WinDump är till för finjustering, erbjuder Nagios, Zabbix eller Pandora FMS panoramavyn.

Synlighet genom flöden: icke-kommersiella alternativ till stora analysatorer

Stora leverantörer säljer flödesbaserade trafikanalyspaket (NetFlow, sFlow, IPFIX, J-Flow, etc.). Även om många är kommersiella, är konceptet enkelt replikerbart med gratis eller öppen källkodsverktyg. Tanken är att routrar och switchar exporterar sammanfattningar av kommunikationoch en applikation samlar in och presenterar den informationen.

En typisk flödesanalysator låter dig se, med en granularitet på upp till en minut, volymen av inkommande och utgående trafik per gränssnitt, IP, applikation, port och protokollDärifrån genereras grafer som visar trafiktoppar och visar statistik som:

  • Hastighet (bps).
  • Total överförd volym.
  • Antal paket.
  • Procentandel av tillgänglig bandbreddsutnyttjande.

Det intressanta är att dessa rapporter kan granskas för att den sista timmen, den sista dagen, en hel kvartal eller en anpassad periodoch exporteras i format som CSV eller PDF för ledningsrapportering eller intern dokumentation.

Förutom allmän bandbreddsanvändning ger flödesanalys insyn i de viktigaste "pratarna" i nätverketDen visar vilka värdar, applikationer, portar och protokoll som förbrukar mest resurser. Den låter dig också fördjupa dig i de specifika konversationerna mellan käll- och destinations-IP-adresser för att lösa prestanda- eller säkerhetsproblem.

Många gratis och plattformsoberoende lösningar kan utföra denna roll som strömsamlare och visualiserare, och erbjuder anpassningsbara instrumentpaneler, tröskelvarningar och historiska trendvyer utan att behöva betala för en sluten kommersiell svit.

Använda trafikanalys för att förbättra säkerheten

Trafikanalys är inte bara för prestanda. Inom säkerhet är det en av de mest värdefulla informationskällorna. Innan en attack blir synlig sker det vanligtvis en förändring i trafikmönstret.fler anslutningar än normalt, felaktigt utformade paket, massiva misslyckade autentiseringsförsök eller konstiga utgående flöden.

Analysverktygen låter dig generera säkerhetsrapporter fokuserade på avvikande beteende: flöden med ogiltiga tjänstetyper (TOS), ovanliga kombinationer av källa och destination, trafiktoppar vid tidpunkter då nätverket borde vara tyst, etc.

Till exempel genererar många ransomware och snabbspridande maskar karakteristiska mönster för nätverksskanning och trafik till kommando- och kontrollservrarGenom att övervaka denna bakgrundstrafik är det möjligt att stoppa incidenten långt innan infektionen drabbar hela organisationen.

En annan fördel är möjligheten till blockera trafik från IP-adresser eller intervall som inte ingår i organisationen När misstänkt aktivitet upptäcks, vilket stärker säkerhetsställningen, är det också bra att känna till metoder för blockera misstänkta anslutningar med kommandon i Windows-miljöer och svarar snabbt.

Det är dock inte lämpligt att helt förlita sig på ett magiskt verktyg. Nyckeln är att kombinera bra trafikdatakällor med väldefinierade regler och tydliga responsrutiner.så att varningarna inte glöms bort och omsätts i konkreta handlingar.

Hur man väljer rätt trafikanalysverktyg

Det finns ingen enda lösning som fungerar för alla fall. Nätverkets storlek, budgeten, teamets expertisnivå och de specifika målen De påverkar valet i hög grad. Ändå finns det ett antal grundläggande kriterier som bör beaktas när man letar efter alternativ till kommersiella verktyg:

  • Konfigurerbara rapporter: som möjliggör anpassning av vilka mätvärden som visas (efter IP, applikation, protokoll, gränssnitt etc.), med vilket tidsintervall och i vilket format, för att anpassa vyerna till verkliga behov.
  • Kompatibilitet mellan flera tillverkareJu mer öppet verktyget är och ju fler enheter det stöder (routrar, switchar, brandväggar från olika leverantörer), desto mindre kommer du att vara beroende av proprietära lösningar från tillverkaren.
  • Alternativ för nätverksoptimeringDen ska inte bara visa data, utan också hjälpa till att fatta hanteringsbeslut, såsom att identifiera kritiska applikationer, begränsa icke-nödvändig trafik eller omorganisera bandbreddsanvändningen.
  • Enkel implementering och integrationEn lösning som kräver veckors installation kan vara opraktisk. Det är bättre att välja något du kan få igång snabbt och gradvis integrera ytterligare moduler eller plugins.

I många fall består den vinnande kombinationen av Använd en paketanalysator (Wireshark/WinDump), ett övervakningssystem (Nagios/Zabbix/Pandora) och ett flödesverktyg. för att täcka alla fronter: detaljer, global vision och statistisk analys.

Vad Windows redan erbjuder och när det inte räcker

Windows innehåller vissa verktyg som, även om de inte är riktiga trafikanalysatorer, De hjälper dig att snabbt få en uppfattning om vad som händer med ett specifikt teams nätverk. De ersätter inte de tidigare verktygen, men de fungerar som en första titt.

El Uppgiftshanteraren Fliken Prestanda visar grafer över nätverksanvändning per gränssnitt. Dessutom anger processlistan hur stor procentandel av nätverksbandbredden varje uppgift använder. Det är ett enkelt sätt att upptäcka vilket program som använder anslutningen vid varje given tidpunkt.

El Resursövervakare (nås genom att söka efter "Resursövervakning" i Start-menyn) går ett steg längre: den erbjuder Trafikinformation per process, aktiva TCP-anslutningar, lyssnande portar och statistik för sändning/mottagningFör snabb diagnostik är den mycket mer omfattande än Aktivitetshanteraren.

Ändå, dessa verktyg De tillåter inte att fånga paket, analysera protokoll på djupet eller visa trafiken från andra enheter i nätverket.De är användbara för vardagliga uppgifter på en enda dator, men för seriös analys behöver du förlita dig på de specifika applikationer som nämnts tidigare.

Om du bara vill veta vad din dator gör i form av trafik kan det här räcka. När du vill granska hela nätverket, studera globala mönster eller utreda säkerhetsincidenterDu måste gå längre.

Kort sagt, även om det finns mycket kraftfulla kommersiella lösningar, Det är fullt möjligt att uppnå fullständig insyn i nätverkstrafiken med hjälp av endast gratis och öppen källkodsverktyg.Paketanalysatorer som Wireshark eller WinDump, övervakningsplattformar som Nagios, Zabbix eller Pandora FMS, och flödesanalyssystem som kan utnyttja data från NetFlow, sFlow eller IPFIX är alla användbara verktyg. Med lite övning och en väldefinierad metod kan du ha ett välövervakat, högpresterande och mycket säkrare nätverk utan att spendera en enda euro på kommersiella licenser.

nmap
Relaterad artikel:
Granska ditt lokala nätverk med Nmap och Wireshark steg för steg