Ücretsiz Windows ve Linux için En İyi Ağ Trafiği Analizörleri ve Sniffers

Bu bağlantı sayesinde e-posta, kurumsal sayfalar, ilgi veya eğlence siteleri gibi farklı platformlara ve genel olarak İnternet'in sunduğu her şeye erişebileceğiz, bugün internet kullanımı birçok insan için giderek daha sık ve önemli hale geliyor. Biz.

Ancak, ağ güvenliğini dikkate almamız çok önemlidir. Bilgi ekipmanına yönelik saldırıların yüksek bir yüzdesinin ağ üzerinden yapıldığını biliyoruz ve çoğu zaman bu bizim suçumuzdur (kötü parolalar, bilinmeyen dosyaları indirmek, e-postalarda yürütülebilir dosyaları açmak), ancak ağın nasıl çalıştığına dair temel bilgilere sahip değilseniz bu tür saldırıların bir kurbanı daha olabilirsiniz (eğer değilseniz).

İnternet gerçekten de ağ bağlantısının her yere taşınmasını sağlayan dev bir protokoller, hizmetler ve altyapı ağıdır ve %90'dan fazlası TCP/IP, HTTP, SMTP vb.'yi duymuştur.

Tüm bunlar, ağın PC'nize veya cihazınıza ulaşma biçiminde önemli bir rol oynayan protokollerdir, ancak bunun arkasında, başarısız olduklarında iki şey olan veya ağa erişiminiz olmayan yönlendiriciler ve diğer bileşenler vardır. veya saldırıya açıksın. Bu nedenle ağ ve ağ ürünleri geliştiricileri, Sniffers ve ağ analizörleri olarak bildiğimiz uygulamalar oluşturmak için çaba sarf ettiler ve genellikle çok teknik olmalarına rağmen, gerçek şu ki, iletişimin hangi noktasında ve hangi noktada olduğunu belirlemek için değerli bir araçtır. hata oluşabilir.

Sniffer nedirSniffer veya ağ analizörü, yerel veya harici ağ trafiğinin sürekli izlenmesini sağlamak amacıyla geliştirilmiş hem donanım hem de yazılım yardımcı programlarıdır. Bu izleme, temel olarak, ağdaki bilgisayarlar arasında dahili veya harici olarak gönderilen ve alınan veri paketi akışlarını analiz etmekten sorumludur.

Hedeflerinden bağımsız olarak tüm paketleri inceleme fırsatı veren "rastgele mod" adı verilen bir izleme modu kullanır, bu zaman alabilir ancak ağımızdan ne geçtiğini kesin olarak bilmenin anahtarıdır.

Destek gereksinimine bağlı olarak bir Sniffer'ı iki farklı şekilde yapılandırabiliriz, bu modlar şunlardır:

• Aracın mevcut tüm paketleri yakalaması ve daha sonra analiz etmek için yerel sabit diskte bir kaydını saklaması için bir filtre olmadan yapılandırabiliriz.

• Aramadan önce belirlediğimiz kriterlere göre paketleri yakalamamıza olanak sağlayan belirli bir filtre ile yapılandırılabilir.

Sniffers veya ağ analizörleri, bir LAN veya Wi-Fi ağında eşit olarak kullanılabilir. Temel fark, bir LAN ağında kullanılıyorsa, bağlı herhangi bir ekipmanın paketlerine erişebileceğimizdir. Veya ağ cihazlarına dayalı bir sınırlama oluşturabilirsiniz, kablosuz ağ kullanılması durumunda, ağ analizörü ağ sınırlaması nedeniyle bir seferde yalnızca bir kanalı tarayabilir, ancak birkaç kablosuz arabirim kullanırsak bu olabilir. biraz geliştirin ama kablolu veya LAN ağında kullanmak her zaman daha iyidir.

Sniffer veya ağ analizörü kullanarak paketleri izlediğimizde aşağıdaki gibi ayrıntılara erişebiliriz:

• Ziyaret edilen sitelerin bilgileri

• Gönderilen ve alınan e-postaların içeriği ve alıcısı

• İndirilen dosyaları ve daha birçok ayrıntıyı görüntüleyin

Sniffer'ın temel amacı, ağdaki tüm paketleri, özellikle gelen trafiği analiz etmek, içeriği kötü amaçlı kod içeren herhangi bir nesneyi aramak ve bu şekilde herhangi bir tür cihazın herhangi bir istemciye yüklenmesini engelleyerek kuruluştaki güvenliği artırmaktır. bilgisayar. kötü amaçlı yazılım.

Ağ analizörünün nasıl çalıştığını biraz bilerek, Windows ve Linux için mevcut olan en iyi ağ analizörlerinden veya Sniffer'lardan bazılarını öğreneceğiz.

Tel köpekbalığı

Herhangi bir zamanda WireShark'ı en iyi çözümlerden biri olarak gördüğünüz veya tavsiye edildiğinizden şüphe duymadan bir ağ analizi yapmaya çalıştıysanız ve bunu düşünmek mantıksız değilse, nedeni basittir, WireShark kendini konumlandırmıştır. sadece kullanım kolaylığı değil, aynı zamanda yerleşik özellikleri sayesinde dünyada milyonlarca kişi tarafından en yaygın kullanılan ağ protokolü analizörlerinden biridir.

özellikleriÖzellikleri arasında aşağıdakileri vurgularız:

• Windows, Linux, macOS, Solaris, FreeBSD, NetBSD ve daha fazlası gibi sistemlerde sorunsuz bir şekilde çalıştırılabilir.

• VoIP için güçlü bir analizi entegre eder.

• 100'den fazla protokolün derinlemesine incelemesini gerçekleştirebilir.

• Ağ paketlerinin canlı yakalama ve çevrimdışı analizini gerçekleştirebilir.

• tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (sıkıştırılmış ve sıkıştırılmamış), Sniffer® Pro ve NetXray®, Network Instruments Observer gibi okuma ve yazma formatlarını destekler, NetScreen snoop, Novell LANalyzer, RADCOM WAN / LAN Analyzer, Shomiti / Finisar Surveyor, Tektronix K12xx, Visual Networks Time Up Visual, WildPackets EtherPeek / TokenPeek / AiroPeek ve daha fazlası.

• Canlı olarak yakalanan veriler Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI gibi platformlardan okunabilir ve bu da bize çok çeşitli erişim olanakları sunar.

• Yakalanan ağ verileri, bir grafik arabirim (GUI) kullanılarak veya TTY modunda TShark aracılığıyla araştırılabilir.

• IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP ve WPA/WPA2 gibi birden çok protokolün şifresini çözmeyi destekler

• Elde edilen verilerin daha iyi yönetilmesi için renk kurallarını uygulayabiliriz.

• Sonuçlar XML, PostScript®, CSV veya düz metne (CSV) aktarılabilir

İndirmesi aşağıdaki bağlantıda mevcuttur:

Orada Windows 10 için yürütülebilir dosyayı indirebiliriz ve Linux durumunda Kaynak Kodunu indirebilir veya terminalde aşağıdaki komutları çalıştırabiliriz:

 sudo apt güncellemesi sudo apt wireshark kurulumu sudo usermod -aG wireshark $ (whoami) sudo yeniden başlatma

Windows 10 veya Linux'a yüklendikten sonra, yürütüldüğü sırada analiz edilecek ağ bağdaştırıcısını seçeceğiz ve ardından aşağıdakileri göreceğiz:

Windows 10'da

İşlemi durdurmak istediğimizde, Durdur'a tıklayın ve mevcut menülerden daha ayrıntılı olarak tanımlayabileceğimiz ilgili sonuçları görebiliriz:

LinuxLinux durumunda aşağıdakileri göreceğiz:

EterMaymun

Bu, UNIX sistemleri için özel bir yardımcı programdır, çünkü yalnızca aşağıdaki gibi işletim sistemlerinde yürütülebilir:

• Arch Linux

• Mageia 6

• CENTOS 7

• Fedora 24, 25, 26, 27, 28 ve 29

• BilimselLinux 7

• SLES 12, 12 SP1 ve 12 SP3

• OpenSUSE 13.2, Leap 42.1 / 42.2 / 42.3 ve Tumbleweed / Fabrika.

EtherApe, herhangi bir anormallik veya hatayı tespit etmek için yararlı olan, IP ve TCP protokollerinin ayrıntılarını gerçek zamanlı olarak elde eden, grafiksel bir arayüz aracılığıyla cihazın durumunu izleyip görüntüleyebildiğimiz bir GTK 3 uygulaması olarak geliştirilmiştir.

özellikleriEn göze çarpan özelliklerinden bazıları şunlardır:

• Hem düğüm hem de bağlantı rengi, ağdaki en aktif protokolü vurgular.

• Filtrelenecek protokollerin seviyesini seçebiliriz.

• Kullanılan ağ trafiği, ayrıntıların daha iyi anlaşılması için grafiksel olarak temsil edilir.

• ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN, ICMP, IGMP, GGP, IPIP, TCP, EGP, PUP, UDP gibi protokolleri destekler, IDP, TP, YÖNLENDİRME, RSVP, GRE, ESP, AH, EON, VINES, EIGRP, OSPF, ENCAP, PIM, IPCOMP, VRRP;

• TCP ve UDP hizmetlerini, TELNET, FTP, HTTP, POP3, NNTP, NETBIOS, IRC, DOMAIN, SNMP ve daha fazlasını destekler.

• pcap sözdizimini alarak bir ağ filtresi kullanmayı destekler.

• Ağı uçtan uca IP veya porttan port TCP'ye analiz etmeye izin verir.

• Veriler çevrimdışı olarak yakalanabilir.

• Toplanan veriler Ethernet, FDDI, PPP, SLIP ve WLAN arayüzlerinden okunabilir.

• Düğüme göre trafik istatistiklerini görüntüler.

• EtherApe ile ad çözümlemesi standart libc işlevleri kullanılarak gerçekleştirilir; bu, DNS'yi, ana bilgisayar dosyalarını ve diğer hizmetleri desteklediği anlamına gelir.

• Sonuçlar bir XML dosyasına aktarılabilir.

Bu yardımcı programı Linux'a kurmak için aşağıdakileri yürütmeliyiz:

 sudo apt-get güncellemesi sudo apt-get install etherape

Kurulduktan sonra, aşağıdakileri yürüterek yardımcı programa erişiriz:

 sudo eterape

Bu, EtherApe'in terminalden yürütülmesini sağlayacak ve uygulamanın grafik arayüzü otomatik olarak görüntülenecektir:

BÜYÜT

Orada filtreler veya kurallar uygulamanın mümkün olacağı bir menümüz olacak.

Tcpdump

Bu, hem gelen hem de giden ağ trafiğini yakalayan Linux sistemleri için bir yardımcı programdır ve bu uygulama, seçilen ağdan trafik yakalama işlemini gerçekleştirmek için libpcap kitaplığına sahip olduğu için Unix / Linux işletim sistemlerine kurulabilir.
Yüklemek için terminalde aşağıdakileri çalıştırmanız yeterlidir:

 sudo apt tcpdump'u kurun

parametrelerKullanılacak parametrelerden bazıları şunlardır:

• -A: Her paketi (bağlantı düzeyi başlığı dahil değil) ASCII'de yazdırın.

• -b: BGP paketlerindeki AS numarasını ASPLAIN gösterimi yerine ASDOT gösteriminde yazdırın.

• -B buffer_size, --buffer-size = buffer_size: Yakalama arabelleğinin boyutunu tampon_size cinsinden, KiB birimlerinde (1024 bayt) tanımlamanızı sağlar.

• -c count: Ağ paketlerini aldıktan sonra komuttan çıkar.

• -C file_size: dosyanın orijinal dosya boyutundan daha büyük olup olmadığını kontrol edin.

• -d: Derlenmiş paket kodunu insan tarafından okunabilir bir biçimde boşaltın.

• -dd: Paket kodunu bir C program parçası olarak boşaltın.

• -D --list-interfaces: Kullanılabilir arayüzlerin listesini yazdırın.

• -e: Bağlantı düzeyi başlığını yazdırın.

• -E: ESP IPsec paketlerinin şifresini çözmek için spi @ ipaddr kullanın.

• -f: IPv4 adreslerini yazdırın.

• -F dosyası: Bir filtre dosyası seçmemizi sağlar.

• -h -help: Komut için yardım yazdırın.

• --version: tcpdump'ın kullanılan sürümünü görüntüleyin.

• -i interface --interface = interface: Paket yakalama için analiz edilecek arayüzü seçmemize izin verir.

• -I --monitor-mode: "monitör modunda" arabirimi etkinleştirin; yalnızca IEEE 802.11 Wi-Fi arabirimleri ve bazı işletim sistemleriyle uyumludur.

Kısmet

Kısmet, daha çok kablosuz ağlara odaklanan, ancak gizli ağların veya gönderilmemiş SSID'lerin trafiğini analiz edebildiğimiz, UNIX, Windows Under Cygwin ve OSX sistemlerinde kullanabildiğimiz basit bir yardımcı programdır.

Kısmet, Wi-Fi arayüzleri, Bluetooth, SDR donanımı (yazılım tanımlı radyo-yazılım tanımlı radyo) ve özel yakalama donanımı üzerinde tam olarak çalışır.

özellikleriÖzellikleri arasında şunları buluyoruz:

• Kısmet örnekleriniz için komut dosyası oluşturmaya yardımcı olması için standart verileri JSON'a aktarmanıza olanak tanır.

• Web tabanlı bir kullanıcı arayüzünü bütünleştirir.

• Kablosuz protokol desteği.

• İkili boyut ve RAM için optimize edilmiş yeni bir uzaktan yakalama koduna sahiptir, bu, ağdaki paketleri yakalamak için entegre cihazların kullanımını kolaylaştırır.

• Cihazlar, sistem durumu, uyarılar ve daha fazla parametre hakkında karmaşık bilgiler sağlayabilecek bir kayıt formatına sahiptir.

Kurulumunu aşağıdaki komutla gerçekleştirebiliriz:

 sudo apt yükleme kısmet

Aşağıdaki bağlantıda kısmet yüklemek için daha fazla seçenek bulacaksınız:

Ağ Madenci

Bu, Windows, Linux, macOS ve FreeBSD sistemleri için açık kaynak tabanlı bir ağ adli analiz aracıdır (NFAT - Network Forensic Analysis Tool). Bu aracı kurduğumuzda, tüm paketleri yakalamak ve bu değişkenlerin eksiksiz bir yönetimi için işletim sistemlerini, oturumları, ana bilgisayar adlarını vb. tespit edebilmek için tam bir ağ taraması gerçekleştirebiliriz.

özellikleriEn göze çarpan özelliklerinden bazıları şunlardır:

• PCAP dosyalarını çevrimdışı analiz için analiz edebiliriz.

• Gelişmiş bir ağ trafiği analizi (NTA) çalıştırmak mümkün olacaktır.

• Gerçek zamanlı yürütme.

• IPv6 adreslemesini destekler.

• FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 ve IMAP trafiğinden dosya çıkarmak mümkündür.

• SSL, HTTPS, SMTPS, IMAPS, POP3S, FTPS ve daha fazla şifrelemeyi destekler

• GRE, 802.1Q, PPPoE, VXLAN, OpenFlow, SOCKS, MPLS ve EoMPLS kapsülsüzleştirme

İndirmesi aşağıdaki bağlantıda mevcuttur:

Aşama 1
NetworkMiner'ın doğru kullanımı için önce Windows 10 Güvenlik Duvarı'nda bir gelen kuralı oluşturmanız gerekecektir:

BÜYÜT

Adım 2
Bundan sonra, ağdaki bilgisayarların taranmasına erişmek için yardımcı programı yönetici olarak çalıştırmalıyız ve orada çeşitli seçenekleri seçmeliyiz:

BÜYÜT

Aşama 3
Bir ana bilgisayar seçerken, yüklenen öğeleri ilgili sekmelerde görebiliriz:

BÜYÜT

Microsoft İleti Çözümleyicisi

Adından da şüphelenebileceğiniz gibi, bu, Microsoft tarafından protokol mesajlarının ve işletim sisteminden gelen diğer mesajların trafiğini yakalamak, görüntülemek ve analiz etmek gibi görevleri yerine getirmek için geliştirilmiş özel bir Windows 10 yardımcı programıdır. Kullanıyoruz Bu yardımcı program, günlük dosyalarından ve ağ takibinden veri alabilir, ekleyebilir veya analiz edebilir.

İşlevlerinden bazıları

• Canlı verileri yakalayın

• Aynı anda birden çok veri kaynağından veri yükleyin

• İzleme veya günlük verilerini göster

• Çeşitli görünüm seçenekleri ve daha fazlası

Aşama 1
Aşağıdaki bağlantıdan ücretsiz olarak indirilebilir:

Adım 2
Yürütüldükten sonra aşağıdaki ortamı göreceğiz (yönetici olarak yürütülmelidir):

BÜYÜT

Aşama 3
Orada renk kuralları oluşturmak, sütunlar eklemek, filtreler ayarlamak ve diğerlerini yapmak mümkün olacak, alttaki satırlardan herhangi birini seçtiğimizde bununla ilgili daha spesifik ayrıntılar buluyoruz:

BÜYÜT

rüzgar gülü

Windump, Tcpdump ile uyumlu olduğundan Windows ortamları için Tcpdump sürümüdür ve kuralların kullanımı ve uygulanması yoluyla ağ trafiğini görüntülemek, teşhis etmek veya kaydetmek istiyorsak onu kurabiliriz.

WinDump, WinPcap kitaplığı ve sürücüleri aracılığıyla ağ trafiğini yakalar, bu nedenle önce aşağıdaki bağlantıdan WinPcap'ı ücretsiz olarak indirmeliyiz:

Ardından Windump'ı aşağıdaki bağlantıdan indirebiliriz:

Çalıştırırken, bir komut istemi konsolu açılacak ve burada arayüzü -i parametresiyle tanımlayabiliriz:

 WinDump.exe -i 1

BÜYÜT

Capsa Ağ Analizörü

Ücretsiz bir sürümde ve daha fazla işlevselliğe sahip ücretli bir sürümde mevcuttur, ancak her ikisi de gelen ve giden her paketin yanı sıra kullanılan protokolleri izleyen ağ analizi görevlerini gerçekleştirmemize izin verir, bu, hataları düzeltmek ve yürütmek için çok yararlı olacaktır. Ağın ayrıntılı analizi.

Ücretsiz sürümde şunları yapmak mümkün olacaktır:

• Seçilen ağda 10 adede kadar IP adresini izleyin.

• Seans başına 4 saate kadar süre.

• Ağ bağdaştırıcılarından uyarılar alabiliriz.

• Sonuçları kaydetmenizi ve dışa aktarmanızı sağlar.

Ücretsiz sürüm aşağıdaki bağlantıdan indirilebilir:

İndirilip çalıştırıldığında, yardımcı program tarafından sunulan ortam bu olacaktır:

BÜYÜT

Orada ağ trafiğinin grafiksel bir temsiline sahip olacağız ve üst kısımda ağ paketlerini filtrelemek ve kontrol etmek için çeşitli araçlara sahip olacağız.

ağ kedisi

Netcat, çeşitli ağ bağlantılarında TCP / IP protokolünü kullanarak veri okumanın ve yazmanın mümkün olacağı, Windows ve Linux sistemlerinde entegre bir komuttur, bağımsız olarak veya başka uygulamalarla birlikte bir yardımcı program olarak kullanılabilir. yerel veya harici ağ araştırması ve hata ayıklama.
İşlevleri arasında şunları buluyoruz:

• Sistemin kendisinde entegre

• Giden ve gelen bağlantıları yakalayın

• Yerleşik bağlantı noktası tarama özelliklerine sahiptir

• Gelişmiş fonksiyonlara sahiptir

• RFC854 ve telnet kodlarını tarayabilir

Örneğin aşağıdaki satırı çalıştırabiliriz:

 netcat -z -v çözücü.com 15-30

Bu, hangilerinin açık olduğunu ve hangilerinin olmadığını görüntülemek için 15'ten 30'a kadar olan bağlantı noktalarını okuyacaktır:

-z değişkeni tarama amacıyla kullanılır (Sıfır Modu) ve -v parametresi (ayrıntılı) bilgileri okunaklı bir şekilde görüntüler.
Kullanabileceğimiz ek parametreler var:

• -4: IPv4 adreslerini görüntüler

• -6: IPv6 adreslerini destekler

• -b: Yayını destekler

• -D: Hata ayıklama modunu etkinleştir

• -h: Komut yardımını görüntüler

• -i Aralık: Satırlar arasında bir zaman aralığı uygulanmasına izin verir

• -l: Dinleme modunu etkinleştir

• -n: Adı veya bağlantı noktası çözünürlüğünü gizle

• -r: Uzak bağlantı noktalarını optimize et

Destek ve kontrol görevlerimizin sonuçlarını artırabileceğimiz Windows ve Linux için farklı ağ analizörleri ve Sniffer seçeneklerini gördük.