Nätverkspaketanalysatorer. Sniffer - vad är det och varför behövs det?

Trafikanalys är en process vars betydelse är känd för alla IT-proffs, oavsett om han arbetar för ett litet företag eller ett stort företag. Att identifiera och korrigera nätverksproblem är trots allt en verklig konst, som direkt beror både på instinkten hos specialisten själv och på djupet och kvaliteten på de data som han driver. Och trafikanalysatorn är precis det verktyg som ger dig denna information. En klokt vald lösning för analys av nätverkstrafik kan inte bara hjälpa dig att ta reda på hur paket skickas, tas emot och säkert överförs över ditt nätverk, utan den kan också göra mycket, mycket mer!

Det finns nu ett stort antal varianter av programvara för att analysera nätverkstrafik på marknaden. Dessutom kan några av dem väcka nostalgiska minnen bland "old school"-specialister; de använder terminaltypsnitt och gränssnitt kommandorad, och verkar vid första anblicken svår att använda. Andra lösningar, tvärtom, sticker ut för sin enkla installation och riktar sig till en publik med visuell uppfattning (de är bokstavligen övermättade olika grafer). Prisklassen på dessa lösningar skiljer sig också ganska markant – från gratis till lösningar med en mycket dyr företagslicens.

Så att du, beroende på dina uppgifter och preferenser, kan välja Det bästa beslutet för analys av nätverkstrafik presenterar vi en lista över de mest intressanta mjukvaruprodukterna för trafikanalys som för närvarande finns tillgängliga på marknaden, samt en kort översikt över den inbyggda funktionaliteten för att extrahera, bearbeta och visuellt presentera olika nätverksinformation. Vissa av dessa funktioner är lika för alla lösningar för att analysera nätverkstrafik som presenteras i denna recension - de låter dig se skickade och mottagna nätverkspaket med en eller annan detaljnivå - men nästan alla har några egenskaper, vilket gör dem unika när de används i vissa situationer eller nätverksmiljöer. I slutändan vänder vi oss till nätverkstrafikanalys när vi har ett nätverksproblem, men vi kan inte snabbt begränsa det till en specifik maskin, enhet eller protokoll, och vi måste göra mer djup sökning. Vi hjälper dig att välja den mest lämpliga mjukvarulösningen för trafikanalys för dessa ändamål.

SolarWinds nätverksbandbreddsanalysator

Denna lösning är positionerad av tillverkaren som ett mjukvarupaket med två produkter - Network Performance Monitor ( grundläggande lösning) och NetFlow Traffic Analyzer (modulär förlängning). De har som sagt liknande men ändå olika funktionalitet för att analysera nätverkstrafik och kompletterar varandra när man använder två produkter tillsammans.

Network Performance Monitor, som namnet antyder, övervakar nätverkets prestanda och är ett frestande val om du vill få en överblick över vad som händer på ditt nätverk. Genom att köpa den här lösningen betalar du för möjligheten att övervaka ditt nätverks övergripande hälsa: baserat på en mängd statistik, såsom hastigheten och tillförlitligheten för data och paketöverföring, kommer du i de flesta fall snabbt att kunna identifiera problem i driften av ditt nätverk. Och programmets avancerade intellektuella förmåga att identifiera potentiella problem och stora möjligheter att visuellt presentera resultat i form av tabeller och grafer med tydliga varningar om eventuella problem, kommer att göra det här jobbet ännu enklare.

NetFlow Traffic Analyzer modulära tillägg är mer fokuserad på att analysera själva trafiken. Medan funktionaliteten hos den grundläggande mjukvarulösningen Network Performance Monitor är mer utformad för att ge en översikt över nätverksprestanda, fokuserar NetFlow Traffic Analyzer på en mer detaljerad analys av processerna som sker i nätverket. I synnerhet denna del mjukvarupaket låter dig analysera trafikstockningar eller onormala ökningar i bandbredd och tillhandahålla statistik sorterad efter användare, protokoll eller applikation. anteckna det det här programmet Endast tillgängligt för Windows-miljö.

Wireshark

Är ett relativt nytt verktyg i en stor familj av lösningar för nätverksdiagnostik, men under den här tiden har han redan lyckats vinna erkännande och respekt från IT-proffs. WireShark gör ett utmärkt jobb med att analysera trafik och gör sitt jobb perfekt för dig. Utvecklarna kunde hitta en mellanväg mellan källdata och den visuella representationen av denna data, så i WireShark hittar du inte fördomar i en eller annan riktning, vilket är vanligt i de flesta andra lösningar för att analysera nätverkstrafik. WireShark är enkel, kompatibel och bärbar. Med WireShark får du precis vad du förväntar dig, och du får det snabbt.

WireShark har ett fantastiskt användargränssnitt, massor av filtrerings- och sorteringsalternativ, och som många av oss kommer att uppskatta fungerar WireShark-trafikanalys utmärkt med någon av de tre mest populära operativsystemfamiljerna—*NIX, Windows och macOS. Lägg till allt ovanstående att WireShark är en programvara med öppen källkod. källkod och delas ut gratis, och du får ett utmärkt verktyg för att dirigera snabb diagnostik ditt nätverk.

tcpdump

tcpdump-trafikanalysatorn ser ut som något slags gammalt verktyg, och för att vara helt ärlig, när det gäller funktionalitet fungerar den också. Trots att det gör sitt jobb och gör det bra, med så lite systemresurser som möjligt, kommer många moderna specialister att ha svårt att förstå det enorma antalet "torra" tabeller med data. Men det finns situationer i livet då användningen av sådana avgränsade och resurskrävande lösningar kan vara till nytta. I vissa miljöer eller på knappt presterande datorer kan minimalism vara det enda genomförbara alternativet.

Mjukvarulösningen tcpdump utvecklades ursprungligen för *NIX-miljön, men fungerar för närvarande även med flera Windows-portar. Den har alla grundläggande funktioner du kan förvänta dig att se i vilken trafikanalysator som helst - fånga, spela in, etc. - men du kan inte begära mycket mer av den.

Kismet

Kismet-trafikanalysatorn är ett annat exempel på programvara med öppen källkod som är skräddarsydd för att lösa specifika problem. Kismet analyserar inte bara nätverkstrafik, det ger dig mycket mer avancerad funktionalitet. Till exempel kan den analysera trafiken från dolda nätverk och även trådlösa nätverk som inte sänder sitt SSID! Ett trafikanalysverktyg som detta kan vara extremt användbart när det är något på ditt trådlösa nätverk som orsakar problem, men du inte snabbt kan hitta källan. Kismet hjälper dig att upptäcka ett falskt nätverk eller en åtkomstpunkt som fungerar men inte är korrekt konfigurerad.

Många av oss vet på egen hand att uppgiften blir mer komplex när det gäller att analysera trådlös nätverkstrafik, så att ha ett specialiserat verktyg som Kismet till hands är inte bara önskvärt, utan ofta nödvändigt. Kismet trafikanalysator är ett utmärkt val för dig om du ständigt hanterar mycket trådlös trafik och trådlösa enheter, och du behöver ett bra verktyg för att analysera trådlös nätverkstrafik. Kismet är tillgängligt för *NIX, Windows under Cygwin- och macOS-miljöer.

EtherApe

Enligt deras egna funktionalitet EtherApe liknar WireShark på många sätt, och det är också öppen källkod och gratis. Men där det verkligen sticker ut från andra lösningar är dess fokus på grafik. Och om du till exempel ser resultaten av WireShark-trafikanalys i klassisk stil digital form, då visas EtherApes nätverkstrafik med avancerad GUI, där varje hörn i grafen representerar en individuell värd, storleken på hörn och kanter indikerar storleken på nätverkstrafiken och färgerna indikerar olika protokoll. För de människor som föredrar visuell uppfattning av statistisk information kan EtherApe-analysatorn vara det bästa valet. Tillgänglig för *NIX- och macOS-miljöer.

Kain och Abel

Denna programvara med ett mycket intressant namn har förmågan att analysera trafik. hjälpfunktionän den huvudsakliga. Om dina uppgifter går långt utöver enkel trafikanalys, bör du vara uppmärksam på det här verktyget. Med den kan du återställa Windows-lösenord, utföra attacker för att få förlorade referenser, undersöka VoIP-data på nätverket, analysera paketrouting och mycket mer. Detta är en verkligt kraftfull verktygslåda för en systemadministratör med breda befogenheter. Fungerar endast i Windows-miljö.

NetworkMiner

NetworkMiner är en annan mjukvarulösning vars funktionalitet går utöver grundläggande trafikanalys. Medan andra trafikanalysatorer fokuserar på att skicka och ta emot paket, övervakar NetworkMiner de som faktiskt skickar och tar emot paket. Detta verktyg är mer lämpat för att identifiera problemdatorer eller användare än för allmän diagnostik eller övervakning av själva nätverket. NetworkMiner designad för OS Windows.

KisMAC

KisMAC - namnet på denna mjukvaruprodukt talar för sig självt - det här är Kismet för macOS. Dessa dagar har Kismet redan en hamn för operativ miljö macOS, så existensen av KisMAC kan verka överflödig, men det är värt att notera det faktum att KisMAC-lösningen faktiskt har sin egen kodbas och inte är direkt härledd från Kismet-trafikanalysatorn. Särskilt anmärkningsvärt är att KisMAC erbjuder vissa funktioner, såsom platskartläggning och avautentiseringsattacker på macOS, som Kismet själv inte tillhandahåller. Dessa unika funktioner kan tippa skalan till förmån för just denna mjukvarulösning i vissa situationer.

Slutsats

Programvara för analys av nätverkstrafik kan vara ett viktigt verktyg för dig när du med jämna mellanrum stöter på nätverksproblem olika typer- vare sig det är prestanda, avbrutna anslutningar eller nätverksproblem säkerhetskopior. Nästan allt relaterat till överföring och mottagning av data på nätverket kan snabbt identifieras och korrigeras tack vare informationen som erhålls med hjälp av programvaran från listan ovan.

Resultaten som en kvalitativ analys av nätverkstrafik kommer att ge dig med hjälp av beprövade specialiserade mjukvaruverktyg hjälper dig att gå mycket djupare än det översta lagret av problemet och förstå vad som faktiskt händer i ditt nätverk, eller inte händer, men borde hända .

Prenumerera på nyhetsbrevet, dela artiklar på sociala nätverk och ställ frågor i kommentarerna!

Alltid i kontakt, Igor Panov.

tcpdump

Huvudverktyget för nästan alla nätverkstrafiksamlingar är tcpdump. Detta är ett program med öppen källkod som installeras på nästan alla Unix-liknande system. operativsystem. Tcpdump är ett utmärkt datainsamlingsverktyg och kommer med en mycket kraftfull filtreringsmotor. Det är viktigt att veta hur man filtrerar data under insamlingen för att få en hanterbar databit för analys. Fånga all data från nätverksenhetäven på ett måttligt upptaget nätverk kan skapa för mycket data för enkel analys.

I vissa sällsynta fall kan tcpdump mata ut utdata direkt till din skärm, och detta kan vara tillräckligt för att hitta det du letar efter. Till exempel, när du skrev en artikel, fångades en del trafik och det märktes att maskinen skickade trafik till en okänd IP-adress. Det visar sig att maskinen skickade data till Googles IP-adress 172.217.11.142. Eftersom inga Google-produkter lanserades uppstod frågan om varför detta hände.

En systemkontroll visade följande:

[ ~ ]$ ps -ef | grep google

Lämna din kommentar!

Analysatorer nätverkspaket, eller sniffers, utvecklades ursprungligen som ett sätt att lösa nätverksproblem. De kan fånga upp, tolka och lagra paket som sänds över nätverket för efterföljande analys. Å ena sidan tillåter detta systemadministratörer och serviceingenjörer teknisk support Observera hur data överförs över nätverket, diagnostisera och åtgärda problem som uppstår. I denna mening är paketsniffer ett kraftfullt verktyg för att diagnostisera nätverksproblem. Å andra sidan, liksom många andra kraftfulla verktyg som ursprungligen var avsedda för administration, började sniffers med tiden användas för helt andra ändamål. En sniffer i händerna på en angripare är faktiskt ett ganska farligt verktyg och kan användas för att få lösenord och annan konfidentiell information. Du bör dock inte tro att sniffers är något slags magiskt verktyg genom vilket alla hackare enkelt kan se konfidentiell information som överförs över nätverket. Och innan vi bevisar att faran som sniffers utgör inte är så stor som ofta presenteras, låt oss överväga mer i detalj principerna för deras funktion.

Funktionsprinciper för paketsniffer

Vidare i den här artikeln kommer vi endast att överväga mjukvarusniffer designade för Ethernet-nätverk. En sniffer är ett program som arbetar på NIC (Network Interface Card) nätverksadapternivå (länklager) och som i hemlighet fångar upp all trafik. Sedan sniffers jobbar på länknivå OSI-modell, de behöver inte spela efter reglerna för protokoll på högre nivå. Sniffers kringgår filtreringsmekanismerna (adresser, portar, etc.) som Ethernet-drivrutiner och TCP/IP-stacken använder för att tolka data. Packet sniffers fångar från tråden allt som kommer genom den. Sniffers kan lagra ramar i binärt format och senare dekryptera dem för att avslöja information på högre nivå gömd inuti (Figur 1).

För att sniffern ska fånga alla paket som passerar genom nätverksadaptern måste nätverksadapterns drivrutin stödja promiskuöst läge. Det är i detta funktionsläge för nätverksadaptern som sniffern kan fånga upp alla paket. Detta funktionsläge för nätverksadaptern aktiveras automatiskt när sniffern startas eller ställs in manuellt av motsvarande snifferinställningar.

All uppfångad trafik skickas till en paketavkodare, som identifierar och delar upp paket i lämpliga hierarkinivåer. Beroende på kapaciteten hos en viss sniffer kan den tillhandahållna paketinformationen därefter analyseras ytterligare och filtreras.

Begränsningar för att använda sniffers

Sniffers utgjorde den största faran på den tiden då information överfördes över nätverket i öppen form(utan kryptering), och lokala nätverk byggdes på basis av koncentratorer (hubbar). Men dessa dagar är borta för alltid, och nuförtiden är det inte en lätt uppgift att använda sniffers för att få tillgång till konfidentiell information.

Poängen är att när man bygger lokala nätverk baserat på hubbar finns det ett visst gemensamt dataöverföringsmedium (nätverkskabel) och alla nätverksnoder utbyter paket, som konkurrerar om åtkomst till detta medium (fig. 2), och ett paket som skickas av en nätverksnod sänds till alla portar på hub och detta paket lyssnas på av alla andra noder i nätverket, men endast den nod som det är adresserat till tar emot det. Dessutom, om en paketsniffer är installerad på en av nätverksnoderna, kan den fånga upp alla nätverkspaket relaterade till ett givet nätverkssegment (nätverket som bildas av hubben).

Switchar är mer intelligenta enheter än broadcast-hubbar och isolerar nätverkstrafik. Switchen känner till adresserna för de enheter som är anslutna till varje port och sänder endast paket mellan de nödvändiga portarna. Detta gör att du kan avlasta andra portar utan att behöva vidarebefordra varje paket till dem, som en hubb gör. Således sänds ett paket som skickas av en viss nätverksnod endast till switchporten till vilken paketmottagaren är ansluten, och alla andra nätverksnoder kan inte detektera detta paket (fig. 3).

Därför, om nätverket är byggt på basis av en switch, kan en sniffer installerad på en av nätverksdatorerna endast fånga upp de paket som utbyts mellan denna dator och andra nätverksnoder. Som ett resultat, för att kunna fånga upp paket som datorn eller servern av intresse för angriparen utbyter med andra nätverksnoder, är det nödvändigt att installera en sniffer på just denna dator (server), vilket faktiskt inte är så enkelt. Du bör dock komma ihåg att vissa paketsniffer startas från kommandoraden och kanske inte har något grafiskt gränssnitt. Sådana sniffers kan i princip installeras och startas på distans och obemärkt av användaren.

Dessutom bör du också komma ihåg att även om switchar isolerar nätverkstrafik, har alla hanterade switchar portvidarebefordran eller portspegling. Det vill säga, switchporten kan konfigureras på ett sådant sätt att alla paket som kommer till andra switchportar dupliceras på den. Om i det här fallet en dator med en paketsniffer är ansluten till en sådan port, kan den fånga upp alla paket som utbyts mellan datorer på ett givet nätverkssegment. Men som regel är möjligheten att konfigurera switchen endast tillgänglig för nätverksadministratören. Detta betyder naturligtvis inte att han inte kan vara en angripare, men en nätverksadministratör har många andra sätt att kontrollera alla användare av det lokala nätverket, och det är osannolikt att han kommer att övervaka dig på ett så sofistikerat sätt.

En annan anledning till att sniffers inte längre är så farliga som de en gång var är att de flesta känsliga data nu överförs krypterade. Öppna, okrypterade tjänster försvinner snabbt från Internet. Till exempel när du besöker webbplatser används det allt mer SSL-protokoll(Secure Sockets Layer); istället för öppna FTP SFTP (Secure FTP) används, och för andra tjänster som inte använder kryptering som standard används virtuella privata nätverk (VPN) allt mer.

Så de som är oroade över risken för skadlig användning av paketsniffer bör ha följande i åtanke. För det första, för att utgöra ett allvarligt hot mot ditt nätverk, måste sniffers finnas inom själva nätverket. För det andra gör dagens krypteringsstandarder det extremt svårt att fånga upp känslig information. Därför tappar paketsniffer för närvarande gradvis sin relevans som hackerverktyg, men samtidigt förblir de ett effektivt och kraftfullt verktyg för att diagnostisera nätverk. Dessutom kan sniffers framgångsrikt användas inte bara för att diagnostisera och lokalisera nätverksproblem, utan också för att granska nätverkssäkerhet. I synnerhet gör användningen av paketanalysatorer att du kan upptäcka obehörig trafik, upptäcka och identifiera obehörig programvara, identifiera oanvända protokoll för att ta bort dem från nätverket, generera trafik för penetrationstestning (penetrationstest) för att kontrollera säkerhetssystemet, arbeta med intrångsdetekteringssystem (IDS).

Översikt över mjukvarupaketsniffer

Alla mjukvarusniffare kan delas in i två kategorier: sniffers som stödjer start från kommandoraden och sniffers som har ett grafiskt gränssnitt. Vi noterar dock att det finns sniffers som kombinerar båda dessa funktioner. Dessutom skiljer sig sniffers från varandra i de protokoll de stöder, analysdjupet av uppfångade paket, möjligheten att konfigurera filter och möjligheten till kompatibilitet med andra program.

Vanligtvis består fönstret för en sniffer med ett grafiskt gränssnitt av tre områden. Den första av dem visar sammanfattningsdata för avlyssnade paket. Vanligtvis visar detta område ett minimum av fält, nämligen: paketavlyssningstid; IP-adresser för paketsändaren och mottagaren; MAC-adresser för avsändaren och mottagaren av paketet, käll- och destinationsportadresser; protokolltyp (nätverk, transport eller applikationsnivå); viss sammanfattande information om de avlyssnade uppgifterna. Det andra området visar statistisk information om det individuella valda paketet, och slutligen visar det tredje området paketet i hexadecimal eller ASCII-teckenform.

Nästan alla paketsniffer låter dig analysera avkodade paket (vilket är anledningen till att paketsniffer också kallas paketanalysatorer, eller protokollanalysatorer). Sniffaren distribuerar avlyssnade paket över lager och protokoll. Vissa paketsniffare kan känna igen protokollet och visa den infångade informationen. Denna typ av information visas vanligtvis i det andra området av snifferfönstret. Till exempel kan alla sniffers känna igen TCP-protokollet, och avancerade sniffers kan avgöra vilken applikation som genererade denna trafik. De flesta protokollanalysatorer känner igen över 500 olika protokoll och kan beskriva och avkoda dem med namn. Hur mer information kan avkoda och visa sniffern på skärmen, desto mindre behöver du avkoda manuellt.

Ett problem som paketsniffer kan stöta på är oförmågan att korrekt identifiera ett protokoll med en annan port än standardporten. Till exempel, för att förbättra säkerheten, kan vissa välkända applikationer konfigureras för att använda andra portar än standardportarna. Så istället för den traditionella porten 80 reserverad för webbservern, denna server Du kan kraftfullt konfigurera om den till port 8088 eller någon annan. Vissa paketanalysatorer i den här situationen kan inte korrekt bestämma protokollet och visar endast information om protokollet på lägre nivå (TCP eller UDP).

Det finns mjukvarusniffer som kommer med mjukvaruanalytiska moduler som plugins eller inbyggda moduler som låter dig skapa rapporter med användbar analytisk information om avlyssnad trafik.

Övrig karakteristisk de flesta mjukvarupaketanalysatorer förmåga att konfigurera filter före och efter trafikfångst. Filter väljer vissa paket från den allmänna trafiken enligt ett givet kriterium, vilket gör att du kan bli av med onödig information när du analyserar trafik.

Original: 8 bästa paketsniffer och nätverksanalysatorer
Författare: Jon Watson
Publiceringsdatum: 22 november 2017
Översättning: A. Krivoshey
Överföringsdatum: december 2017

Packet sniffing är en vardagsterm som syftar på konsten att analysera nätverkstrafik. Tvärtemot vad många tror, ​​saker som e-postmeddelanden och webbsidor färdas inte över Internet i ett stycke. De är uppdelade i tusentals små paket data och skickas därmed via Internet. I den här artikeln kommer vi att titta på de bästa gratis nätverksanalysatorerna och paketsnifferarna.

Det finns många verktyg som samlar nätverkstrafik, och de flesta av dem använder pcap (på Unix-liknande system) eller libcap (på Windows) som sin kärna. En annan typ av verktyg hjälper till att analysera denna data, eftersom även en liten mängd trafik kan generera tusentals paket som är svåra att navigera. Nästan alla dessa verktyg skiljer sig lite från varandra när det gäller att samla in data, de största skillnaderna är hur de analyserar data.

Att analysera nätverkstrafik kräver förståelse för hur nätverket fungerar. Det finns inget verktyg som magiskt kan ersätta en analytikers kunskap om nätverkets grunder, till exempel TCP "3-vägs handskakning" som används för att initiera en anslutning mellan två enheter. Analytiker måste också ha en viss förståelse för typerna av nätverkstrafik på ett normalt fungerande nätverk, såsom ARP och DHCP. Denna kunskap är viktig eftersom analysverktyg helt enkelt visar dig vad du ber dem att göra. Det är upp till dig att bestämma vad du ska be om. Om du inte vet hur ditt nätverk vanligtvis ser ut kan det vara svårt att veta att du har hittat det du behöver i den mängd paket du har samlat in.

De bästa paketsniffarna och nätverksanalysatorerna

Industriella verktyg

Låt oss börja på toppen och sedan arbeta oss ner till grunderna. Om du har att göra med ett nätverk på företagsnivå behöver du en stor pistol. Medan nästan allt använder tcpdump i sin kärna (mer om det senare), kan verktyg på företagsnivå hantera vissa komplexa problem, som att korrelera trafik från flera servrar, tillhandahålla intelligenta frågor för att identifiera problem, varna om undantag och skapa bra grafer, vilket alltid krävs av ledningen.

Verktyg på företagsnivå är vanligtvis inriktade på att strömma nätverkstrafik snarare än att bedöma innehållet i paket. Med detta menar jag att fokus för de flesta systemadministratörer i företaget är att säkerställa att nätverket inte har prestandaflaskhalsar. När sådana flaskhalsar uppstår är målet vanligtvis att avgöra om problemet orsakas av nätverket eller en applikation på nätverket. Å andra sidan klarar dessa verktyg oftast sådana hög trafik att de kan hjälpa till att förutsäga ögonblicket när ett nätverkssegment kommer att vara fulladdat, vilket är en kritisk hanteringspunkt genomströmning nätverk.

Detta är en mycket stor uppsättning IT-hanteringsverktyg. I den här artikeln är verktyget Deep Packet Inspection and Analysis, som är dess komponent, mer lämpligt. Att samla nätverkstrafik är ganska enkelt. Med verktyg som WireShark är grundläggande analys inte heller ett problem. Men situationen är inte alltid helt klar. På ett mycket upptaget nätverk kan det vara svårt att avgöra även mycket enkla saker, som:

Vilken applikation på nätverket genererar denna trafik?
- om en applikation är känd (säg en webbläsare), var tillbringar dess användare större delen av sin tid?
- vilka anslutningar är längst och överbelasta nätverket?

De flesta nätverksenheter använder varje pakets metadata för att se till att paketet går dit det ska. Innehållet i paketet är okänt för nätverksenheten. En annan sak är djup paketinspektion; detta innebär att det faktiska innehållet i förpackningen kontrolleras. På så sätt är det möjligt att upptäcka kritiska nätverksinformation, som inte kan hämtas från metadata. Verktyg som de som tillhandahålls av SolarWinds kan ge mer meningsfull data än bara trafikflöde.

Andra tekniker för att hantera dataintensiva nätverk inkluderar NetFlow och sFlow. Var och en har sina egna styrkor och svagheter,

Du kan lära dig mer om NetFlow och sFlow.

Nätverksanalys i allmänhet är ett avancerat ämne som bygger på både förvärvad kunskap och praktisk arbetslivserfarenhet. Du kan träna en person att ha detaljerad kunskap om nätverkspaket, men om den personen inte har kunskap om själva nätverket och erfarenhet av att identifiera anomalier, kommer de inte att klara sig särskilt bra. Verktygen som beskrivs i den här artikeln bör användas av erfarna nätverksadministratörer som vet vad de vill ha men som inte är säkra på vilket verktyg som är bäst. De kan också användas av mindre erfarna systemadministratörer för att få daglig erfarenhet av nätverk.

Grunderna

Det huvudsakliga verktyget för att samla in nätverkstrafik är

Det är ett program med öppen källkod som installeras på nästan alla Unix-liknande operativsystem. Tcpdump - stor nytta för datainsamling, som har ett mycket komplext filtreringsspråk. Det är viktigt att veta hur man filtrerar data när man samlar in den för att få en normal uppsättning data för analys. Att fånga all data från en nätverksenhet, även på ett måttligt upptaget nätverk, kan generera för mycket data som är mycket svår att analysera.

I vissa sällsynta fall kommer det att räcka med att skriva ut tcpdump-fångad data direkt på skärmen för att hitta det du behöver. Till exempel, när jag skrev den här artikeln, samlade jag in trafik och märkte att min maskin skickade trafik till en IP-adress som jag inte kände till. Det visar sig att min maskin skickade data till Googles IP-adress 172.217.11.142. Eftersom jag inte hade några Google-produkter och Gmail inte var öppet visste jag inte varför detta hände. Jag kollade mitt system och hittade följande:

[ ~ ]$ ps -ef | grep google användare 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

Det visar sig att även när Chrome inte körs fortsätter den att köras som en tjänst. Jag skulle inte ha märkt detta utan paketanalys. Jag fångade några fler datapaket, men den här gången gav jag tcpdump uppgiften att skriva data till en fil, som jag sedan öppnade i Wireshark (mer om detta senare). Det här är inläggen:

Tcpdump är ett favoritverktyg för systemadministratörer eftersom det är ett kommandoradsverktyg. Att köra tcpdump kräver inget GUI. För produktionsservrar är det grafiska gränssnittet ganska skadligt, eftersom det förbrukar systemresurser, så kommandoradsprogram är att föredra. Liksom många moderna verktyg har tcpdump ett mycket rikt och komplext språk som tar lite tid att bemästra. Flera av de flesta grundläggande kommandon involvera att välja ett nätverksgränssnitt för att samla in data och spela in dessa data till en fil så att de kan exporteras för analys någon annanstans. Omkopplarna -i och -w används för detta.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: lyssnar på eth0, länktyp EN10MB (Ethernet), infångningsstorlek 262144 byte ^C51-paket infångade

Det här kommandot skapar en fil med de insamlade data:

Fil tcpdump_packets tcpdump_packets: tcpdump capture file (little-endian) - version 2.4 (Ethernet, infångningslängd 262144)

Standarden för sådana filer är pcap-formatet. Det är inte text, så det kan bara analyseras med hjälp av program som förstår detta format.

3.Windump

Majoritet användbara verktygöppen källkod klonas så småningom in i andra operativsystem. När detta händer sägs applikationen ha migrerats. Windump är en port av tcpdump och beter sig på ett mycket liknande sätt.

Den viktigaste skillnaden mellan Windump och tcpdump är att Windump behöver Winpcap-biblioteket installerat innan Windump körs. Även om Windump och Winpcap tillhandahålls av samma underhållare måste de laddas ner separat.

Winpcap är ett bibliotek som måste vara förinstallerat. Men Windump är en exe-fil som inte behöver installeras, så du kan bara köra den. Detta är något att tänka på om du använder Windows-nätverk. Du behöver inte installera Windump på varje maskin eftersom du bara kan kopiera den efter behov, men du behöver Winpcap för att stödja Windup.

Som med tcpdump kan Windump visa nätverksdata för analys, filtrera det på samma sätt och även skriva data till en pcap-fil för senare analys.

4. Wireshark

Wireshark är det näst mest kända verktyget i en systemadministratörs verktygslåda. Det låter dig inte bara fånga data utan tillhandahåller också några avancerade analysverktyg. Dessutom är Wireshark öppen källkod och har porterats till nästan alla befintliga serveroperativsystem. Wireshark, som kallas Etheral, körs nu överallt, inklusive som en fristående, bärbar applikation.

Om du analyserar trafik på en server med ett GUI kan Wireshark göra allt åt dig. Den kan samla in data och sedan analysera allt där. GUI:er är dock sällsynta på servrar, så du kan samla in nätverksdata på distans och sedan undersöka den resulterande pcap-filen i Wireshark på din dator.

När du först startar Wireshark kan du antingen ladda en befintlig pcap-fil eller köra en trafikfångst. I det senare fallet kan du dessutom ställa in filter för att minska mängden data som samlas in. Om du inte anger ett filter kommer Wireshark helt enkelt att samla in all nätverksdata från det valda gränssnittet.

En av de mest användbara funktionerna i Wireshark är möjligheten att följa en ström. Det är bäst att tänka på en tråd som en kedja. I skärmdumpen nedan kan vi se en hel del infångad data, men det jag var mest intresserad av var Googles IP-adress. Jag kan högerklicka och följa TCP-strömmen för att se hela kedjan.

Om trafiken fångades på en annan dator kan du importera PCAP-filen med hjälp av dialogrutan Wireshark File -> Öppna. Samma filter och verktyg är tillgängliga för importerade filer som för infångade nätverksdata.

5.tshark

Tshark är en mycket användbar länk mellan tcpdump och Wireshark. Tcpdump är överlägsen på datainsamling och kan kirurgiskt extrahera endast den data du behöver, men dess dataanalysmöjligheter är mycket begränsade. Wireshark är bra på både infångning och analys, men har ett tungt användargränssnitt och kan inte användas på servrar utan ett GUI. Prova tshark, det fungerar på kommandoraden.

Tshark använder samma filtreringsregler som Wireshark, vilket inte borde vara förvånande eftersom de i huvudsak är samma produkt. Kommandot nedan säger bara till tshark att fånga destinationens IP-adress, såväl som några andra intresseområden från HTTP-delen av paketet.

# tshark -i eth0 -Y http.request -T fields -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100 /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.20.0.4 Linux; x612.20.0. rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_601 Firefox1.0rv:501 Firefox1.0rv:500/0rv:501 Firefox1. Linux x86_64; /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png 172.20.0.5 172.20.0.5 Linux; x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/201007101 Firefox/fa5.con.

Om du vill skriva trafiken till en fil, använd alternativet -W för att göra det, och sedan -r (läs) omkopplaren för att läsa den.

Första fångst:

# tshark -i eth0 -w tshark_packets Fånga på "eth0" 102 ^C

Läs den här, eller flytta den till en annan plats för analys.

# tshark -r tshark_packets -Y http.request -T fields -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko1/00201 Firefox /57.0 /kontakt 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reservations/ 172.20.0.122 Mozilla/5.0 (X114 x 0 Linux; 1 Firefox 5.0; 1 Firefox 7,0 / reservations/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js.201.pack .0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_640; Linux x86_640; 1 Firefox. 0rv:50; 1 Firefox. res/images/title.png

Detta är ett mycket intressant verktyg som faller mer i kategorin nätverkskriminaltekniska analysverktyg snarare än bara sniffers. Området kriminalteknik handlar vanligtvis om undersökningar och bevisinsamling, och Network Miner gör det här jobbet bra. Precis som wireshark kan följa en TCP-ström för att rekonstruera en hel paketöverföringskedja, kan Network Miner följa en ström för att återställa filer som har överförts över ett nätverk.

Network Miner kan placeras strategiskt på nätverket för att kunna observera och samla in trafik som intresserar dig i realtid. Det kommer inte att generera sin egen trafik på nätverket, så det kommer att fungera smygande.

Network Miner kan också arbeta offline. Du kan använda tcpdump för att samla in paket på en nätverksintressant och sedan importera PCAP-filerna till Network Miner. Därefter kan du försöka återställa alla filer eller certifikat som finns i den inspelade filen.

Network Miner är gjord för Windows, men med Mono kan den köras på alla operativsystem som stöder Mono-plattformen, som Linux och MacOS.

Det finns en gratisversion, instegsnivå, men med en anständig uppsättning funktioner. Om du behöver ytterligare funktioner som geolokalisering och anpassade skript måste du köpa en professionell licens.

7. Spelman (HTTP)

Det är inte tekniskt ett verktyg för nätverkspaketfångst, men det är så otroligt användbart att det hamnar på den här listan. Till skillnad från de andra verktygen som listas här, som är designade för att fånga nätverkstrafik från vilken källa som helst, är Fiddler mer av ett felsökningsverktyg. Den fångar HTTP-trafik. Även om många webbläsare redan har denna funktion i sina utvecklarverktyg, är Fiddler inte begränsad till webbläsartrafik. Fiddler kan fånga all HTTP-trafik på en dator, inklusive icke-webbapplikationer.

Många stationära applikationer använder HTTP för att ansluta till webbtjänster, och förutom Fiddler är det enda sättet att fånga sådan trafik för analys att använda verktyg som tcpdump eller Wireshark. Men de fungerar på paketnivå, så analys kräver att dessa paket rekonstrueras till HTTP-strömmar. Det kan vara mycket jobb att göra enkel research, och det är där Fiddler kommer in. Fiddler hjälper dig att upptäcka cookies, certifikat och annan användbar data som skickas av applikationer.

Fiddler är gratis och, precis som Network Miner, kan den köras i Mono på nästan alla operativsystem.

8. Capsa

Capsa nätverksanalysator har flera utgåvor, var och en med olika möjligheter. På den första nivån är Capsa gratis, och det låter dig i princip helt enkelt fånga paket och utföra grundläggande grafisk analys på dem. Instrumentpanelen är unik och kan hjälpa en oerfaren systemadministratör att snabbt identifiera nätverksproblem. Den kostnadsfria nivån är för personer som vill lära sig mer om paket och bygga sina analysfärdigheter.

Gratisversionen låter dig övervaka över 300 protokoll, är lämplig för e-postövervakning samt lagring av e-postinnehåll, och den stöder även triggers som kan användas för att utlösa varningar när vissa situationer uppstår. I detta avseende kan Capsa till viss del användas som ett stödverktyg.

Capsa är endast tillgängligt för Windows 2008/Vista/7/8 och 10.

Slutsats

Det är lätt att förstå hur en systemadministratör kan skapa en nätverksövervakningsinfrastruktur med hjälp av de verktyg vi har beskrivit. Tcpdump eller Windump kan installeras på alla servrar. Schemaläggare som cron eller Windows schemaläggare, vid rätt tidpunkt startar en paketinsamlingssession och skriver insamlad data till pcap-filen. Systemadministratören kan sedan överföra dessa paket till den centrala maskinen och analysera dem med hjälp av wireshark. Om nätverket är för stort för detta finns verktyg av företagsklass som SolarWinds tillgängliga för att förvandla alla nätverkspaket till en hanterbar datamängd.

Läs andra artiklar om att avlyssna och analysera nätverkstrafik :

• Dan Nanni, kommandoradsverktyg för övervakning av nätverkstrafik på Linux
• Paul Cobbaut, Linux System Administration. Avlyssning av nätverkstrafik
• Paul Ferrill, 5 verktyg för nätverksövervakning på Linux
• Pankaj Tanwar, paketfångst med libpcap-bibliotek
• Riccardo Capecchi, Använda filter i Wireshark
• Nathan Willis, nätverksanalys med Wireshark
• Prashant Phatak,

Behovet av att analysera nätverkstrafik kan uppstå av flera skäl. Övervakning av datorsäkerhet, felsökning av lokal nätverksdrift, övervakning utgående trafik för att optimera driften av en delad Internetanslutning - alla dessa uppgifter är ofta på dagordningen för systemadministratörer och vanliga användare. För att lösa dem finns det många verktyg som kallas sniffers, både specialiserade, som syftar till att lösa ett smalt område av uppgifter, och multifunktionella "skördare" som ger användaren brett välja verktyg. Den här artikeln introducerar en av representanterna för den senare gruppen, nämligen CommView-verktyget som produceras av företaget. Programmet låter dig tydligt se hela bilden av trafiken som passerar genom en dator eller ett lokalt nätverkssegment; ett anpassningsbart larmsystem låter dig varna om närvaron av misstänkta paket i trafiken, uppkomsten av noder med onormala adresser i nätverket eller en ökning av nätverksbelastningen.

CommView ger möjlighet att upprätthålla statistik på alla IP-anslutningar, avkoda IP-paket upp till låg nivå och analysera dem. Det inbyggda filtersystemet baserat på flera parametrar låter dig konfigurera spårning exklusivt för de nödvändiga paketen, vilket gör deras analys mer effektiv. Programmet kan känna igen paket från mer än sju dussin av de vanligaste protokollen (inklusive DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP, etc.), och spara dem även i filer för efterföljande analys. En mängd andra verktyg, som att identifiera nätverkskorttillverkaren genom MAC-adress, HTML-rekonstruktion och fjärrpaketfångning med hjälp av det valfria CommView Remote Agent-verktyget, kan också vara användbart i vissa fall.

Arbetar med programmet

Först måste du välja nätverksgränssnittet där trafiken ska övervakas.

CommView stöder nästan alla typer av Ethernet-adapter - 10, 100 och 1000 Mbit/s, såväl som analoga modem, xDSL, Wi-Fi, etc. Genom att analysera Ethernet-adaptertrafik kan CommView avlyssna inte bara inkommande och utgående, utan även transitering paket adresserade till vilken dator som helst i det lokala nätverkssegmentet. Det är värt att notera att om uppgiften är att övervaka all trafik på ett lokalt nätverkssegment, så krävs det att datorerna i det är anslutna via en hubb och inte via en switch. Några moderna modeller switchar har en portspeglingsfunktion, vilket gör att de även kan konfigureras för nätverksövervakning med CommView. Du kan läsa mer om detta. Efter att ha valt önskad anslutning kan du börja fånga paket. Start- och stoppfångstknapparna finns nära gränssnittsvalsraden. Att arbeta med regulatorn Fjärranslutning, VPN och PPPoE, när du installerar programmet måste du installera lämplig drivrutin.

Programmets huvudfönster är uppdelat i flera flikar som ansvarar för ett eller annat arbetsområde. Den första av dem, "Aktuella IP-anslutningar", visas detaljerad information om datorns aktuella IP-anslutningar. Här kan du se den lokala och fjärranslutna IP-adressen, antalet överförda och mottagna paket, överföringsriktningen, antalet etablerade IP-sessioner, portar, värdnamn (om DNS-igenkänningsfunktionen inte är inaktiverad i programinställningarna), och namnet på processen som tar emot eller sänder paketet för denna session. senaste informationen inte tillgängligt för transitpaket eller på datorer som kör Windows 9x/ME.

Aktuella IP-anslutningar Tab

Om du högerklickar på någon anslutning öppnas en snabbmeny där du kan hitta verktyg som gör det lättare att analysera kopplingarna. Här kan du se mängden data som överförs inom anslutningen, en komplett lista över portar som används, detaljerad information om processen som tar emot eller sänder paket för denna session. CommView låter dig skapa alias för MAC- och IP-adresser. Genom att till exempel ange alias istället för krångliga digitala adresser till maskiner i ett lokalt nätverk kan du få lättläsbara och minnesvärda datornamn och på så sätt underlätta anslutningsanalys.

För att skapa ett alias för en IP-adress måste du välja innehållsmeny sekventiellt objekten "Skapa ett alias" och "använda lokal IP" eller "använda fjärr-IP". I fönstret som dyker upp är IP-adressfältet redan ifyllt och det återstår bara att ange ett passande namn. Om ny ingång Ett IP-namn skapas genom att högerklicka på ett paket, namnfältet fylls automatiskt i med värdnamnet (om tillgängligt) och kan redigeras. Detsamma gäller för att arbeta med MAC-alias.

Från samma meny, genom att välja SmartWhois, kan du skicka den valda källan eller destinations-IP-adressen till SmartWhois, en fristående applikation från Tamosoft som samlar in information om vilken IP-adress eller värdnamn som helst, som nätverksnamn, domän, land, stat eller provins , stad och tillhandahåller det till användaren.

Andra fliken, "paket", visar alla avlyssnade på den valda nätverksgränssnitt paket och detaljerad information om dem.

Fliken Paket

Fönstret är uppdelat i tre områden. Den första av dem visar en lista över alla avlyssnade paket. Om du väljer ett av paketen genom att klicka på det med muspekaren kommer de återstående fönstren att visa information om det. Detta visar paketnummer, protokoll, Mac- och IP-adresser för den sändande och mottagande värden, de portar som används och den tid då paketet dök upp.

Det mellersta området visar innehållet i paketet - i hexadecimal eller text. I det senare fallet ersätts tecken som inte är utskrivna med punkter. Om flera paket väljs samtidigt i det övre området, kommer det mellersta fönstret att visa det totala antalet valda paket, deras totala storlek, samt tidsintervallet mellan det första och sista paketet.

Det nedre fönstret visar det avkodade detaljerad information om det valda paketet.

Genom att klicka på en av de tre knapparna i den nedre högra delen av fönstret kan du välja platsen för avkodningsfönstret: längst ner eller justerat till vänster eller höger. De andra två knapparna låter dig automatiskt gå till det senast mottagna paketet och spara det valda paketet i det synliga listområdet.

Kontextmenyn låter dig kopiera MAC, IP-adresser och hela paket till urklipp, tilldela alias, tillämpa ett snabbfilter för att välja de nödvändiga paketen och även använda verktygen TCP Session Reconstruction och Packet Generator.

Med verktyget för återuppbyggnad av TCP-sessioner kan du se utbytesprocessen mellan två värdar via TCP. För att göra sessionens innehåll mer förståeligt måste du välja lämplig "visningslogik". Denna funktion är mest användbar för att återställa textinformation som HTML eller ASCII.

Den resulterande informationen kan exporteras som en text-, RTF- eller binärfil.

Fliken Loggfiler. Här kan du konfigurera inställningarna för att spara infångade paket till en fil. CommView sparar loggfiler till eget format NCF; För att se dem används ett inbyggt verktyg, som kan startas från menyn "Arkiv".

Det är möjligt att aktivera automatisk lagring av avlyssnade paket när de anländer, och bibehålla protokoll HTTP-sessioner i TXT- och HTML-format, spara, ta bort, slå samman och dela loggfiler. En sak att komma ihåg är att ett paket inte sparas direkt vid ankomst, så om du visar loggfilen i realtid kommer den med största sannolikhet inte att visa de senaste paketen. För att programmet omedelbart ska skicka bufferten till en fil måste du klicka på knappen "Slutför infångning".

I fliken "Regler" du kan ställa in villkor för att fånga upp eller ignorera paket.

För att underlätta valet och analysen av de nödvändiga paketen kan du använda filtreringsregler. Detta kommer också att avsevärt minska mängden systemresurser som används av CommView.

För att aktivera en regel måste du välja lämplig sektion till vänster i fönstret. Totalt finns sju typer av regler tillgängliga: enkla - "Protokoll och riktning", "Mac-adresser", "IP-adresser", "Portar", "Text", "TCP-flaggor", "Process", samt den universella regel "Formel" " För var och en av enkla regler Det är möjligt att välja individuella parametrar, som att välja riktning eller protokoll. Den universella formelregeln är en kraftfull och flexibel mekanism för att skapa filter med hjälp av boolesk logik. En detaljerad referens om dess syntax kan hittas.

Flik "Varningar" hjälper dig att konfigurera inställningarna för aviseringar om olika händelser som inträffar i nätverkssegmentet som studeras.

På fliken Alerts kan du skapa, redigera, ta bort varningsregler och visa aktuella händelser som matchar dessa regler

För att ställa in en varningsregel måste du klicka på knappen "Lägg till..." och välja i fönstret som öppnas nödvändiga förutsättningarna, vid uppkomsten av vilket ett meddelande kommer att utlösas, samt en metod för att meddela användaren om detta.

CommView låter dig definiera följande typer av händelser att övervaka:

• "Detektera ett paket" som matchar den angivna formeln. Formelsyntaxen beskrivs i detalj i användarmanualen;
• "Byte per sekund." Den här varningen utlöses när den angivna nätverksbelastningsnivån överskrids;
• "Paket per sekund." Utlöses när den specificerade nivån för paketöverföringsfrekvens överskrids;
• "Sändningar per sekund." Samma sak, bara för broadcast-paket;
• "Multicasts per second" - samma sak för multicast-paket.
• "Okänd MAC-adress." Denna varning kan användas för att upptäcka ny eller obehörig utrustning som ansluter till nätverket genom att först definiera en lista över kända adresser med hjälp av alternativet Setup;
• Varningen "Okänd IP-adress" kommer att utlösas när paket med okända avsändare eller mottagares IP-adresser fångas upp. Om du i förväg anger en lista över kända adresser kan denna varning användas för att upptäcka obehöriga anslutningar genom företagets brandvägg.

CommView har ett kraftfullt verktyg för att visualisera statistiken för den trafik som studeras. För att öppna statistikfönstret måste du välja objektet med samma namn från menyn "Visa".

Statistikfönster i läget "Allmänt".

I det här fönstret kan du se nätverkstrafikstatistik: här kan du se antalet paket per sekund, byte per sekund, distribution av Ethernet, IP-protokoll och subprotokoll. Diagram kan kopieras till urklipp, vilket hjälper dig när du behöver sammanställa rapporter.

Tillgänglighet, kostnad, systemkrav

Den nuvarande versionen av programmet är CommView 5.1. Från Tamosofts webbplats kan du, som kommer att fungera i 30 dagar.

Utvecklaren erbjuder sina kunder två licensalternativ:

• Hemlicens (hemlicens), värd 2000 rubel, ger rätt att använda programmet hemma på icke-kommersiell basis, medan antalet värdar tillgängliga för övervakning i din hemnätverk, begränsad till fem. Inom av denna typ licenser är inte tillåtna att arbeta med på distans med fjärrkontrollen Ombud.
• Enterprise License (företag, kostnad - 10 000 rubel) ger rätten till kommersiell och icke-kommersiell användning av programmet av en person som personligen använder programmet på en eller flera maskiner. Programmet kan också installeras på en arbetsstation och användas av flera personer, men inte samtidigt.

Applikationen fungerar i operationssalar Windows-system 98/Me/NT/2000/XP/2003. En nätverksanslutning krävs för drift. Ethernet-adapter, Trådlöst Ethernet, Token Ring med NDIS 3.0-stöd eller en standardkontroll för fjärråtkomst.

Fördelar:

• lokaliserat gränssnitt;
• utmärkt hjälpsystem;
• stöd för olika typer av nätverksadaptrar;
• avancerade verktyg för att analysera paket och identifiera protokoll;
• statistisk visualisering;
• funktionellt varningssystem.

Minus:

• för hög kostnad;
• brist på förinställningar för avlyssning och varningsregler;
• inte en särskilt bekväm mekanism för att välja ett paket på fliken "Paket".

Slutsats

Tack vare dess utmärkta funktionalitet och bekvämt gränssnitt CommView kan vara ett oumbärligt verktyg lokala nätverksadministratörer, internetleverantörer och hemanvändare. Jag var nöjd med utvecklarens noggranna inställning till den ryska lokaliseringen av paketet: både gränssnittet och referensmanualen gjordes på en mycket hög nivå. Bilden är något grumlig av den höga kostnaden för programmet, men en trettio dagar lång testversion hjälper en potentiell köpare att besluta om det är lämpligt att köpa det här verktyget.