Analýza síťového provozu pro IR: Alternativy k Wiresharku
Úvod
Je téměř nemožné opustit rozhovor s odborníkem na kybernetickou bezpečnost, absolvovat úvodní kurz síťových technologií nebo proniknout do etického hackingu, aniž byste slyšeli o Wiresharku. Wireshark je pravděpodobně nejpopulárnějším nástrojem a pravděpodobně zlatým standardem, pokud jde o zachycování a analýzu síťových protokolů.
Od okamžiku spuštění softwaru poskytuje Wireshark uživatelům velmi podrobný pohled na činnosti probíhající v síti a předkládá data připravená k analýze napříč stovkami protokolů.
Bez řádného seznámení a zaškolení s nástrojem však může být Wireshark velmi náročný na rozluštění a pochopení. Stejně tak vám může poskytovat více dat v rozhraní, které nemusí vždy vyhovovat vašim konkrétním potřebám. Proto vám tento článek představí několik běžných alternativ k nástroji Wireshark, které můžete snadno přidat do své sady nástrojů pro zabezpečení informací.
Přehled nástroje Wireshark
Přestože tento článek může sloužit jako úvod k několika dalším výkonným alternativám k nástroji Wireshark, na trhu pravděpodobně neexistují žádné jiné nástroje – open-source ani komerčně dostupné – které by vám sdělily všechny informace o paketu letícím vaší sítí tak, jako to dělá Wireshark. Tento open-source analyzátor paketů, který se při svém vydání v roce 1998 původně jmenoval Ethereal, byl v roce 2006 přejmenován na Wireshark a od té doby vzal svět počítačové vědy útokem.
V jádru Wireshark přepíná řadiče síťového rozhraní hostitele do promiskuitního režimu, takže veškerý provoz procházející rozhraním je uživateli viditelný v jeho uživatelském rozhraní. Při své práci dissektory programu Wireshark rozebírají, co je každý paket a jakou informaci přenáší (v závislosti na bezpečnostních protokolech provozu), a to jak vzduchem, tak po drátě. Jinými slovy, Wireshark funguje stejně jako nativní příkaz tcpdump, který čte provoz z transportní vrstvy modelu OSI, ale s řadou vestavěných nástrojů a funkcí.
V průběhu let tým Wiresharku a širší komunita kybernetické bezpečnosti a síťového inženýrství publikovali mnoho výukových materiálů, návodů a odkazů, které uživatelům pomáhají využívat pokročilé funkce vestavěné do Wiresharku. Pokud však máte na mysli konkrétnější cíl nebo úkol, kterého chcete při analýze sítě dosáhnout, může vašim potřebám lépe vyhovovat některý z následujících nástrojů.
Alternativy k nástroji Wireshark
V závislosti na vašich potřebách, pracovním prostředí a úrovni odborných znalostí stojí za bližší prozkoumání následující alternativy k nástroji Wireshark.
tcpdump
Pokud je uživatel obeznámen s příkazovým řádkem nebo běžně pracuje při odstraňování problémů v síti, je správa sítě nebo tcpdump jedním z nástrojů, kterému možná nakonec dáte přednost před nástrojem Wireshark. Příkaz tcpdump představuje uživateli skutečné síťové pakety, které probíhají v drátové nebo bezdrátové síti, aniž by musel při práci v příkazovém řádku přepínat do samostatného prostředí systému Windows nebo Linux.
Příkaz tcpdump samozřejmě není tak vizuálně uspořádaný a funkčně bohatý jako Wireshark, ale jeho zachycená data lze ukládat a exportovat pro použití jinými programy a představuje rychlý a jednoduchý způsob monitorování příchozího nebo odchozího provozu bez nutnosti spouštět samostatný software.
CloudShark
Kromě podobného názvu je CloudShark velmi oblíbenou alternativou k Wiresharku díky svému rozhraní založenému na ovládacím panelu, které uživatelům poskytuje spoustu funkcí pro filtrování, sdílení a pokročilé analýzy. CloudShark je komerčně dostupný nástroj nainstalovaný na zařízení Apple nebo Windows, který využívá webovou platformu k prohlížení, analýze a sdílení souborů zachycujících pakety na veřejných nebo soukromých interních serverech ve stylu dropboxu.
CloudShark je oblíbenou možností, protože umožňuje provádět síťovou analýzu v rámci webového prohlížeče a udržuje uživatele v tomto prostředí, aby mohl v reálném čase provádět výkon, síťovou aktivitu a další analýzy. Rozhraní aplikace CloudShark lze také uspořádat a její data sdílet s ostatními, což usnadňuje používání a umožňuje spolupráci s klienty nebo kolegy.
Na rozdíl od nástroje Wireshark je CloudShark kompatibilní s mnoha aplikačními rozhraními API, což usnadňuje integraci nástrojů. Jeho výstupy lze také sdílet a prohlížet z různých zařízení, včetně mobilních, bez speciálního softwaru.
Colasoft Capsa
Colasoft Capsa je v komunitě síťových inženýrů známý pro své intuitivní ovládací panely plné skvělých vizualizací síťového provozu a aktivity paketů. Capsa je k dispozici v bezplatné i licencované edici v závislosti na počtu uživatelů a rozsahu požadované síťové analýzy, ale mnozí se domnívají, že se vyplatí ji pořídit díky snadnému použití, intuitivnímu ovládacímu panelu a možnosti integrace do správy serverů.
Dále je Capsa oblíbená pro svou schopnost ukládat a sdílet velké objemy síťového a aplikačního provozu pro podporu spolupráce více analytiků, včetně možnosti přehrávat provoz po určitou dobu. Jeho vysoká cena za podnikovou licenci a schopnost běžet pouze na počítačích se systémem Windows jsou však pro některé výraznou nevýhodou.
Sysdig
Zpět na stranu open-source, Sysdig je nástroj vytvořený pro monitorování, zabezpečení a řešení problémů se síťovým provozem. Je všeobecně známý svou schopností být flexibilní napříč zařízeními Windows a Apple a nativní integrací s kontejnerovými technologiemi.
Sysdig také přichází s vlastním rozhraním příkazového řádku, které dává uživatelům možnost rychle procházet jeho funkce a zpracovávat síťový provoz v reálném čase, což je velmi užitečné pro řešení problémů a ladění systému. V neposlední řadě má Sysdig vestavěné bezpečnostní funkce a výstrahy, které mohou organizacím pomoci zajistit bezpečnost jejich síťových zařízení a dat jako součást širší platformy kybernetické bezpečnosti.
Mojo Packets
Mojo Packets je svižná a na míru šitá alternativa k Wiresharku, která uživatelům nabízí jednoduché možnosti sledování paketů v sítích Wi-Fi. Mojo Packets, který se skvěle hodí pro použití v malých sítích nebo pro řešení chyb, poruch či problémů s výkonem sítě, lze díky jeho kompatibilitě a funkcím exportu a importu souborů používat jako samostatný nástroj nebo ve spojení s jinými.
Mojo Packets lze také použít ke specifickému sledování paketů a analýze výkonu sítě na jakýchkoli vzdálených síťových zařízeních v rámci větší sítě LAN, jejíž je součástí, a je vybaven funkcí označování pro zvýraznění událostí nebo označení položek pro následné kroky.
SolarWinds RMM
SolarWinds je velké jméno v oblasti analýzy síťového provozu, které nabízí řadu nástrojů schopných pokročilého monitorování sítě v podnikovém měřítku nebo v rámci celé organizace. Nástroje společnosti SolarWinds pro vzdálené monitorování a správu disponují například schopností zpracovat více uživatelských pohledů na stejný síťový tok, vysoce funkčním řídicím panelem a rozhraním určeným k zajištění hlubokého přehledu o podnikové síti a dalšími nástroji podporujícími monitorování a řešení problémů.
Společnost SolarWinds je nakonec navržena tak, aby pomáhala předcházet výpadkům sítě, zlepšovala její výkon a pomáhala při řešení problémů ve velkém měřítku, včetně možnosti integrace s dalšími nástroji pro monitorování sítě.
Závěr
Tímto končí krátké shrnutí některých nejlepších alternativ k nástroji Wireshark. Který nástroj nebo sada nástrojů nejlépe vyhovuje vašim potřebám, závisí na vašich cílech, úrovni dovedností a velikosti analyzované sítě, přičemž každý nástroj přináší oproti ostatním své vlastní výhody i nevýhody.
Nakonec, seznámení se s každým z nich a sledování dalších alternativ, které jsme neuvedli, je skvělý způsob, jak zůstat v obraze v oblasti nejnovější analýzy síťového provozu.