Articles

Analisi del traffico di rete per IR: alternative a Wireshark

Introduzione

È quasi impossibile lasciare una conversazione con un professionista della cybersicurezza, seguire un corso introduttivo di networking, o entrare nell’hacking etico senza sentire parlare di Wireshark. Wireshark è probabilmente lo strumento più popolare e probabilmente il gold standard quando si tratta di catturare e analizzare il protocollo di rete.

Dal momento in cui il software viene eseguito, Wireshark presenta agli utenti uno sguardo molto dettagliato sulle attività che si verificano su una rete e presenta dati pronti per l’analisi attraverso centinaia di protocolli.

Tuttavia, senza un’adeguata introduzione e formazione con lo strumento, Wireshark può essere molto scoraggiante da decifrare e comprendere. Allo stesso modo, potrebbe fornirvi più dati in un’interfaccia che potrebbe non sempre soddisfare le vostre esigenze particolari. Ecco perché questo articolo illustrerà alcune comuni alternative a Wireshark che potresti facilmente aggiungere alla tua cassetta degli attrezzi per la sicurezza delle informazioni.

Panoramica di Wireshark

Mentre questo articolo può servire come introduzione a diverse altre potenti alternative a Wireshark, probabilmente non ci sono altri strumenti sul mercato – open-source e disponibili in commercio – che ti diranno tutte le informazioni su un pacchetto che attraversa la tua rete come fa Wireshark. Originariamente chiamato Ethereal quando è stato rilasciato nel 1998, l’analizzatore di pacchetti open-source è stato rinominato in Wireshark nel 2006 e da allora ha preso d’assalto il mondo dell’informatica.

Al suo interno, Wireshark mette i controller di interfaccia di rete del suo host in modalità promiscua in modo che tutto il traffico che passa dall’interfaccia sia reso visibile all’utente sulla sua interfaccia utente. Mentre lavora, i dissettori di Wireshark scompongono ciò che ogni pacchetto è e le informazioni che sta trasportando (a seconda dei protocolli di sicurezza del traffico), sia via etere che fuori dal filo. In altre parole, Wireshark funziona proprio come il comando nativo tcpdump che legge il traffico dal livello di trasporto del modello OSI, ma con una serie di strumenti e funzionalità integrate.

Nel corso degli anni, il team di Wireshark e la più grande comunità di cybersecurity e ingegneria di rete hanno pubblicato molti tutorial, guide how-to e riferimenti per aiutare gli utenti a sfruttare le funzioni avanzate integrate in Wireshark. Tuttavia, se hai uno scopo o un obiettivo più specifico in mente per ciò che vorresti realizzare nella tua analisi di rete, uno dei seguenti strumenti potrebbe adattarsi meglio alle tue esigenze.

Alternative a Wireshark

A seconda delle tue esigenze, dell’ambiente di lavoro e del livello di esperienza, le seguenti alternative a Wireshark meritano uno sguardo più attento.

tcpdump

Se un utente ha familiarità con la linea di comando o lavora comunemente nella risoluzione dei problemi di rete, la gestione della rete o tcpdump è uno degli strumenti che si può finire per preferire più di Wireshark. Il comando tcpdump presenta all’utente i pacchetti di rete effettivi che stanno attraversando una rete cablata o wireless senza dover passare a un ambiente Windows o Linux separato mentre si lavora sulla linea di comando.

Ovviamente, tcpdump non è visivamente organizzato e ricco di funzionalità come Wireshark, ma la sua cattura dei dati può essere salvata ed esportata per essere utilizzata da altri programmi ed è un modo semplice e veloce per monitorare il traffico in entrata o in uscita senza dover eseguire un software separato.

CloudShark

Oltre ad avere un nome simile, CloudShark è un’alternativa molto popolare a Wireshark a causa della sua interfaccia basata su dashboard che dà agli utenti un sacco di funzioni di filtraggio, condivisione e analisi avanzate. CloudShark è uno strumento disponibile in commercio installato su un dispositivo Apple o Windows che utilizza una piattaforma web-based per visualizzare, analizzare e condividere i file di cattura dei pacchetti su server interni pubblici o privati in uno stile simile a dropbox.

CloudShark è un’opzione popolare perché consente l’analisi della rete all’interno di un browser web, mantenendo l’utente in quell’ambiente per le prestazioni, l’attività di rete e altre analisi possono essere condotte in tempo reale. L’interfaccia di CloudShark può anche essere organizzata e i suoi dati condivisi con altri per la facilità d’uso e per consentire la collaborazione con clienti o colleghi.

Infine, a differenza di Wireshark, CloudShark è compatibile con molte applicazioni API per facilitare l’integrazione degli strumenti. Il suo output può anche essere condiviso e visualizzato da più dispositivi, compresi quelli mobili, senza un software speciale.

Colasoft Capsa

Colasoft Capsa è noto nella comunità di ingegneria di rete per le sue dashboard intuitive piene di visualizzazioni di traffico di rete e attività dei pacchetti. Capsa è disponibile sia in edizioni gratuite che con licenza, a seconda del numero di utenti e della scala dell’analisi di rete richiesta, ma molti credono che valga il costo grazie alla sua facilità d’uso, al cruscotto intuitivo e alla capacità di essere integrato nella gestione dei server.

Inoltre, Capsa è favorito per la sua capacità di salvare e condividere grandi quantità di traffico di rete e applicazioni per supportare la collaborazione tra più analisti, compresa la capacità di riprodurre il traffico per periodi di tempo. Tuttavia, il suo prezzo elevato per licenza aziendale e la sua capacità di funzionare solo su macchine Windows sono notevoli svantaggi per alcuni.

Sysdig

Di nuovo sul lato open-source della casa, Sysdig è uno strumento creato per monitorare, proteggere e risolvere il traffico di rete. È ampiamente noto per la sua capacità di essere flessibile attraverso i dispositivi Windows e Apple e la sua integrazione nativa con le tecnologie container.

Sysdig è anche dotato di una propria interfaccia a riga di comando che dà agli utenti la possibilità di navigare rapidamente le sue caratteristiche e gestire il traffico di rete in tempo reale, che è molto utile per la risoluzione dei problemi di sistema e il debug. Infine, Sysdig ha caratteristiche di sicurezza integrate e avvisi che possono aiutare le organizzazioni a mantenere i loro dispositivi di rete e dati sicuri come parte di una più ampia piattaforma di cybersecurity.

Mojo Packets

Mojo Packets è un’alternativa agile e su misura a Wireshark, offrendo agli utenti semplici capacità di tracciamento dei pacchetti attraverso le reti Wi-Fi. Ottimo per l’uso su piccole reti o per la risoluzione di errori di rete, guasti o problemi di prestazioni, Mojo Packets può essere utilizzato come strumento autonomo o in combinazione con altri grazie alla sua compatibilità e alle funzioni di esportazione e importazione di file.

Mojo Packets può anche essere usato per tracciare specificamente i pacchetti e analizzare le prestazioni di rete su qualsiasi dispositivo di rete remoto all’interno di una LAN più grande di cui fa parte e viene fornito con una funzione di tagging per evidenziare gli eventi o segnalare gli elementi per le azioni di follow-up.

SolarWinds RMM

SolarWinds è un grande nome nell’analisi del traffico di rete, offrendo una serie di strumenti capaci di monitoraggio di rete avanzato su scala aziendale o organizzativa. Gli strumenti di monitoraggio e gestione remota di SolarWinds hanno, per esempio, la capacità di gestire più viste utente dello stesso flusso di rete, un cruscotto altamente funzionale e un’interfaccia progettata per fornire una profonda visibilità della rete aziendale e altri strumenti che supportano il monitoraggio e la risoluzione dei problemi.

In definitiva, SolarWinds è progettato per aiutare a prevenire le interruzioni di rete, migliorare le prestazioni della rete e aiutare nella risoluzione dei problemi su larga scala, compresa la capacità di integrarsi con altri strumenti di monitoraggio della rete.

Wrap-up

Questo conclude un rapido riassunto di alcune delle migliori alternative a Wireshark. Quale strumento o suite di strumenti si adatta meglio alle vostre esigenze dipende dai vostri obiettivi, dal livello di abilità e dalle dimensioni della rete che state analizzando, con ogni strumento che porta al tavolo i propri vantaggi rispetto agli altri così come gli svantaggi.

Alla fine, acquisire familiarità con ciascuno e tenere d’occhio altre alternative che non abbiamo incluso è un ottimo modo per rimanere in sintonia con le ultime novità nel campo dell’analisi del traffico di rete.