Analyse van netwerkverkeer voor IR: alternatieven voor Wireshark
Inleiding
Het is bijna onmogelijk om een gesprek met een cyberbeveiligingsprofessional te verlaten, een inleidende netwerkcursus te volgen of in te breken in ethisch hacken zonder iets over Wireshark te horen. Wireshark is waarschijnlijk de meest populaire tool en de gouden standaard als het gaat om het vastleggen en analyseren van netwerkprotocollen.
Vanaf het moment dat de software draait, geeft Wireshark gebruikers een zeer gedetailleerd beeld van de activiteiten die op een netwerk plaatsvinden en presenteert het gegevens die klaar zijn voor analyse over honderden protocollen.
Maar zonder een goede introductie en training met de tool, kan Wireshark erg ontmoedigend zijn om te ontcijferen en te begrijpen. Ook kan het u meer gegevens opleveren in een interface die niet altijd aan uw specifieke behoeften voldoet. Daarom zal dit artikel een aantal veelgebruikte alternatieven voor Wireshark uiteenzetten die je gemakkelijk aan je informatiebeveiligingsgereedschapskist zou kunnen toevoegen.
Wireshark overzicht
Terwijl dit artikel kan dienen als een introductie tot verschillende andere krachtige alternatieven voor Wireshark, zijn er waarschijnlijk geen andere tools op de markt – open-source en commercieel verkrijgbaar – die je alle informatie vertellen over een pakket dat over je netwerk vliegt zoals Wireshark dat doet. Oorspronkelijk Ethereal genoemd toen het in 1998 werd uitgebracht, werd de open-source packet analyzer in 2006 omgedoopt tot Wireshark en heeft sindsdien de computerwetenschap stormenderhand veroverd.
In de kern zet Wireshark de netwerkinterfacecontrollers van zijn host in promiscue modus, zodat al het verkeer dat langs de interface passeert zichtbaar wordt gemaakt voor de gebruiker op zijn gebruikersinterface. De dissectoren van Wireshark breken af wat elk pakket is en welke informatie het vervoert (afhankelijk van de beveiligingsprotocollen van het verkeer), zowel over de lucht als over de draad. Met andere woorden, Wireshark werkt net als het native tcpdump commando dat verkeer leest van de transportlaag van het OSI-model, maar met een groot aantal ingebouwde tools en functies.
In de loop der jaren hebben het Wireshark team en de grotere cybersecurity en netwerk engineering gemeenschap vele tutorials, how-to gidsen en referenties gepubliceerd om gebruikers te helpen bij het profiteren van de geavanceerde functies die in Wireshark zijn ingebouwd. Als u echter een specifieker doel of doelstelling in gedachten hebt voor wat u zou willen bereiken in uw netwerkanalyse, kan een van de volgende tools beter aan uw behoeften voldoen.
Alternatieven voor Wireshark
Afhankelijk van uw behoeften, werkomgeving en niveau van expertise, zijn de volgende alternatieven voor Wireshark de moeite waard om nader te bekijken.
tcpdump
Als een gebruiker bekend is met de commandoregel of gewoonlijk werkt in het oplossen van netwerkproblemen, is netwerkbeheer of tcpdump een van de gereedschappen die u uiteindelijk misschien meer zult verkiezen dan Wireshark. Het tcpdump commando toont de gebruiker de werkelijke netwerk pakketten die over een draad of draadloos netwerk lopen, zonder dat hij hoeft over te schakelen naar een aparte Windows of Linux omgeving terwijl hij in de commandoregel werkt.
Uiteraard is tcpdump niet zo visueel georganiseerd en feature-rijk als Wireshark, maar de data capture kan worden opgeslagen en geëxporteerd voor gebruik door andere programma’s en is een snelle en eenvoudige manier om inkomend of uitgaand verkeer te monitoren zonder een apart stuk software te hoeven draaien.
CloudShark
Naast een vergelijkbare naam, is CloudShark een zeer populair alternatief voor Wireshark vanwege zijn dashboard-gebaseerde interface die gebruikers veel filter-, delen- en geavanceerde analytische functies biedt. CloudShark is een commercieel beschikbare tool geïnstalleerd op een Apple of Windows-apparaat dat een web-based platform gebruikt voor het bekijken, analyseren en delen van packet capture bestanden op openbare of private interne servers in een dropbox-achtige stijl.
CloudShark is een populaire optie omdat het netwerkanalyse binnen een webbrowser laat plaatsvinden, waardoor de gebruiker in die omgeving blijft om prestaties, netwerkactiviteit en andere analyses in real time te kunnen uitvoeren. CloudShark’s interface kan ook worden ingericht en de gegevens kunnen worden gedeeld met anderen voor gebruiksgemak en om samenwerking met klanten of collega’s mogelijk te maken.
Ten slotte is CloudShark, in tegenstelling tot Wireshark, compatibel met veel applicatie-API’s om de integratie van tools te vergemakkelijken. De output kan ook worden gedeeld met en bekeken vanaf meerdere apparaten, waaronder mobiele, zonder speciale software.
Colasoft Capsa
Colasoft Capsa is bekend in de netwerk engineering gemeenschap voor zijn intuïtieve dashboards vol met geweldige visualisaties van netwerkverkeer en packet-activiteit. Capsa is beschikbaar in zowel gratis als gelicenseerde edities, afhankelijk van het aantal gebruikers en de schaal van de vereiste netwerkanalyse, maar velen geloven dat het de kosten waard is dankzij het gebruiksgemak, intuïtieve dashboard en de mogelijkheid om te worden geïntegreerd in server management.
Daarnaast wordt Capsa geprezen vanwege zijn vermogen om grote hoeveelheden netwerk- en applicatieverkeer op te slaan en te delen ter ondersteuning van de samenwerking tussen meerdere analisten, inclusief de mogelijkheid om verkeer over perioden van tijd opnieuw af te spelen. Echter, het grote prijskaartje per enterprise licentie en de mogelijkheid om alleen op Windows-machines te draaien zijn opmerkelijke nadelen voor sommigen.
Sysdig
Terug op de open-source kant van het huis, Sysdig is een tool gemaakt voor het monitoren, beveiligen en troubleshooten van netwerkverkeer. Het is algemeen bekend om zijn vermogen om flexibel te zijn over Windows en Apple-apparaten en zijn native integratie met container technologieën.
Sysdig wordt ook geleverd met een eigen opdrachtregelinterface waarmee gebruikers snel door de functies kunnen navigeren en netwerkverkeer in realtime kunnen afhandelen, wat erg handig is voor het oplossen van systeemproblemen en het debuggen. Ten slotte heeft Sysdig ingebouwde beveiligingsfuncties en waarschuwingen die organisaties kunnen helpen hun netwerkapparaten en -gegevens veilig te houden als onderdeel van een groter cyberbeveiligingsplatform.
Mojo Packets
Mojo Packets is een wendbaar en op maat gemaakt alternatief voor Wireshark, dat gebruikers eenvoudige pakkettraceermogelijkheden biedt over Wi-Fi-netwerken. Zeer geschikt voor gebruik op kleine netwerken of voor het oplossen van netwerkfouten, storingen of prestatieproblemen, kan Mojo Packets worden gebruikt als een stand-alone tool of in combinatie met anderen dankzij de compatibiliteit en bestand export- en importfuncties.
Mojo Packets kan ook worden gebruikt om specifiek pakketten te volgen en netwerkprestaties te analyseren op externe netwerkapparaten binnen een groter LAN waar het deel van uitmaakt en wordt geleverd met een tagging-functie om gebeurtenissen te markeren of items te markeren voor vervolgactie.
SolarWinds RMM
SolarWinds is een grote naam in netwerkverkeeranalyse en biedt een aantal tools die in staat zijn tot geavanceerde netwerkbewaking op een bedrijfs- of organisatiebrede schaal. SolarWinds’ Remote Monitoring and Management tools hebben bijvoorbeeld de mogelijkheid om meerdere gebruikers views van dezelfde netwerk flow te verwerken, een zeer functioneel dashboard en interface ontworpen om diep enterprise netwerk zichtbaarheid te bieden en andere tools die monitoring en troubleshooting ondersteunen.
Ultimately, SolarWinds is ontworpen om netwerkstoringen te helpen voorkomen, netwerkprestaties te verbeteren en te helpen bij het oplossen van problemen op grote schaal, inclusief de mogelijkheid om te integreren met andere netwerkbewakingstools.
Wrap-up
Dat wraps up een snelle samenvatting van enkele van de beste alternatieven voor Wireshark. Welke tool of suite van tools het beste past bij je behoeften hangt af van je doelen, vaardigheidsniveau en de grootte van het netwerk dat je analyseert, waarbij elke tool zijn eigen voordelen heeft ten opzichte van de andere, maar ook nadelen.
Uiteindelijk is vertrouwd raken met elk en een oogje open houden voor andere alternatieven die we niet hebben opgenomen een geweldige manier om op de hoogte te blijven van het laatste op het gebied van netwerkverkeeranalyse.