Articles

Análise de tráfego de rede para IR: Alternativas a Wireshark

Introdução

É quase impossível deixar uma conversa com um profissional de segurança cibernética, fazer uma aula introdutória de rede ou entrar em hacking ético sem ouvir falar de Wireshark. Wireshark é sem dúvida a ferramenta mais popular e provavelmente o padrão ouro quando se trata de captura e análise de protocolos de rede.

Desde o momento em que o software é executado, Wireshark apresenta aos usuários uma visão muito detalhada das atividades que ocorrem em uma rede e apresenta dados prontos para análise através de centenas de protocolos.

No entanto, sem uma introdução e treinamento adequado com a ferramenta, Wireshark pode ser muito assustador de decifrar e entender. Da mesma forma, ele pode estar fornecendo mais dados em uma interface que pode nem sempre atender às suas necessidades particulares. É por isso que este artigo irá apresentar algumas alternativas comuns ao Wireshark que você poderia facilmente adicionar à sua caixa de ferramentas de segurança da informação.

Wireshark overview

Embora este artigo possa servir como uma introdução a várias outras alternativas poderosas ao Wireshark, não existem, indiscutivelmente, outras ferramentas no mercado – de código aberto e comercialmente disponíveis – que lhe dirão toda a informação sobre um pacote voando através da sua rede como o Wireshark faz. Originalmente chamado Ethereal quando foi lançado em 1998, o analisador de pacotes de código aberto foi renomeado para Wireshark em 2006 e desde então tomou o mundo da ciência da computação por tempestade.

Em seu núcleo, Wireshark coloca os controladores de interface de rede de seu host em modo promíscuo para que todo o tráfego que passa pela interface se torne visível para o usuário em sua interface de usuário. Como funciona, os dissetores do Wireshark quebram o que cada pacote é e as informações que ele está carregando (dependendo dos protocolos de segurança do tráfego), tanto por via aérea ou fora do fio. Em outras palavras, Wireshark funciona como o comando nativo tcpdump lendo o tráfego fora da camada de transporte do modelo OSI, mas com uma série de ferramentas e recursos embutidos.

Overso os anos, a equipe Wireshark e a grande comunidade de cybersecurity e engenharia de rede publicaram muitos tutoriais, guias de como fazer e referências para ajudar os usuários a tirar proveito dos recursos avançados embutidos no Wireshark. Entretanto, se você tem uma meta ou objetivo mais específico em mente para o que você gostaria de realizar em sua análise de rede, uma das seguintes ferramentas pode se ajustar melhor às suas necessidades.

Alternativos para Wireshark

Dependente de suas necessidades, ambiente de trabalho e nível de especialização, as seguintes alternativas ao Wireshark valem a pena uma análise mais detalhada.

tcpdump

Se um usuário está familiarizado com a linha de comando ou trabalha comumente na solução de problemas de rede, o gerenciamento de rede ou tcpdump é uma das ferramentas que você pode acabar preferindo mais do que o Wireshark. O comando tcpdump apresenta a um usuário os pacotes de rede reais que estão rodando através de uma rede com ou sem fio sem a necessidade de mudar para um ambiente Windows ou Linux separado enquanto trabalha dentro da linha de comando.

Obviamente, o tcpdump não é tão organizado visualmente e rico em recursos como o Wireshark, mas sua captura de dados pode ser salva e exportada para uso por outros programas e é uma forma rápida e simples de monitorar o tráfego de entrada ou saída sem a necessidade de executar um software separado.

CloudShark

Além de ter um nome semelhante, o CloudShark é uma alternativa muito popular ao Wireshark devido à sua interface baseada em dashboard que dá aos utilizadores muita filtragem, partilha e funcionalidades analíticas avançadas. CloudShark é uma ferramenta comercialmente disponível instalada em qualquer dispositivo Apple of Windows que utiliza uma plataforma baseada na web para visualizar, analisar e compartilhar arquivos de captura de pacotes em servidores internos públicos ou privados, em um estilo dropbox.

CloudShark é uma opção popular porque permite que a análise de rede ocorra dentro de um navegador web, mantendo o usuário nesse ambiente ao desempenho, a atividade da rede e outras análises podem ser conduzidas em tempo real. A interface do CloudShark também pode ser organizada e seus dados compartilhados com outros para facilitar o uso e para permitir a colaboração com clientes ou colegas.

Finalmente, ao contrário do Wireshark, o CloudShark é compatível com muitas APIs de aplicações para facilitar a integração de ferramentas. Sua saída também pode ser compartilhada e visualizada a partir de vários dispositivos, incluindo móveis, sem software especial.

Colasoft Capsa

Colasoft Capsa é conhecida na comunidade de engenharia de rede por seus painéis de controle intuitivos, repletos de grandes visualizações do tráfego de rede e da atividade de pacotes. Capsa está disponível em edições gratuitas e licenciadas, dependendo do número de usuários e da escala da análise de rede necessária, mas muitos acreditam que vale a pena o custo graças à sua facilidade de uso, painel intuitivo e capacidade de ser integrado à gestão de servidores.

Adicionalmente, a Capsa é favorecida por sua capacidade de salvar e compartilhar grandes quantidades de tráfego de rede e aplicativos para suportar a colaboração entre vários analistas, incluindo a capacidade de reproduzir o tráfego ao longo de períodos de tempo. Entretanto, sua grande etiqueta de preço por licença corporativa e sua habilidade de rodar apenas em máquinas Windows são desvantagens notáveis para alguns.

Sysdig

Back no lado open-source da casa, Sysdig é uma ferramenta criada para monitorar, proteger e solucionar problemas de tráfego de rede. É amplamente conhecido pela sua capacidade de ser flexível entre dispositivos Windows e Apple e pela sua integração nativa com tecnologias de contentores.

Sysdig também vem com sua própria interface de linha de comando que dá aos usuários a capacidade de navegar rapidamente por suas características e lidar com o tráfego de rede em tempo real, o que é muito útil para a resolução de problemas e depuração do sistema. Finalmente, Sysdig tem embutidos recursos de segurança e alertas que podem ajudar as organizações a manter seus dispositivos de rede e dados seguros como parte de uma plataforma de segurança cibernética maior.

Mojo Packets

Mojo Packets é uma alternativa ágil e sob medida para o Wireshark, oferecendo aos usuários recursos simples de rastreamento de pacotes através de redes Wi-Fi. Excelente para uso em redes pequenas ou para resolução de erros de rede, falhas ou problemas de desempenho, os Pacotes Mojo podem ser usados como uma ferramenta independente ou em conjunto com outros, graças à sua compatibilidade e características de exportação e importação de arquivos.

Mojo Packets também pode ser usado para rastrear especificamente pacotes e analisar o desempenho da rede em qualquer dispositivo de rede remota dentro de uma LAN maior da qual faz parte e vem com um recurso de marcação para destacar eventos ou itens de sinalização para ação de acompanhamento.

SolarWinds RMM

SolarWinds é um grande nome em análise de tráfego de rede, oferecendo uma série de ferramentas capazes de monitoramento avançado de rede em uma escala corporativa ou organizacional. As ferramentas de Monitoramento e Gerenciamento Remoto do SolarWinds têm, por exemplo, a capacidade de lidar com várias visões de usuário do mesmo fluxo de rede, um painel de controle e interface altamente funcional projetado para fornecer visibilidade profunda da rede corporativa e outras ferramentas que suportam o monitoramento e a solução de problemas.

Ultimamente, o SolarWinds foi projetado para ajudar a evitar interrupções na rede, melhorar o desempenho da rede e ajudar na resolução de problemas em larga escala, incluindo a capacidade de integração com outras ferramentas de monitoramento de rede.

Reembolso

Que resume rapidamente algumas das melhores alternativas ao Wireshark. A ferramenta ou conjunto de ferramentas que melhor se adapta às suas necessidades depende de seus objetivos, nível de habilidade e do tamanho da rede que você está analisando, com cada ferramenta trazendo para a mesa suas próprias vantagens sobre as outras, bem como desvantagens.

No final, familiarizar-se com cada uma delas e estar atento a outras alternativas que não incluímos é uma óptima forma de se manter sintonizado com as últimas novidades no domínio da análise de tráfego de rede.