Geekflare
In De redes y Seguridad  |  Última actualizaciónated:
Comparte en:
Software de Jira es la herramienta de gestión de proyectos número uno utilizada por equipos ágiles para planificar, rastrear, lanzar y respaldar software excelente.

12 analizadores de paquetes de red para administradores de sistemas y analistas de seguridad

By
analizador de redes

Su red es la columna vertebral de sus operaciones comerciales. Asegúrese de saber lo que está pasando en su interior.

En muchos sentidos, el panorama de los negocios digitales ha visto un revsolución o dos. Lo que empezó tan simple Scripts CGI escrito en Perl ahora tiene bloomIntegrado en implementaciones en clúster que se ejecutan de forma totalmente automática.ated en Kubernetes y otros marcos de orquestación (perdón por la jerga pesada, no me lo estoy inventando; ¡así son las cosas en estos días!).

Una típica aplicación web moderna distribuida en contenedores (fuente: medium.com)
Una típica aplicación web moderna distribuida en contenedores (fuente: medium.com)
Una típica aplicación web moderna distribuida en contenedores (fuente: medium.com)

Pero no puedo evitar sonreír al pensar que los fundamentos siguen siendo los mismos que en la década de 1970.

Todo lo que tenemos es abstractiones sobre abstractiones sostenidos por cables físicos duros que forman la red (está bien, hay redes virtuales, pero ya te haces una idea). Si queremos ser más sofisticados, podemos dividir la red en capas según el modelo OSI, pero todo dicho y hecho, siempre, siempre estamos tratando con Protocolos TCP / IP (¡advertencia, mucha lectura por delante!), pings, enrutadores, todos los cuales tienen un objetivo en común: la transmisión de paquetes de datos.

Entonces, ¿qué es un paquete de red?

No importa lo que estemos haciendo, chateando, streaming de vídeo, jugar, navegar, comprar cosas: es esencialally un intercambio de paquetes de datos entre dos computadoras (redes). Un "paquete" es la unidad más pequeña de información que fluye en una red (o entre redes), y existe un método bien definido para construir y verificar paquetes de red (más allá del alcance de este artículo, pero si te sientes aventurero, aquí tienes más, ).

Flujo de paquetes en una red (fuente: training.ukdw.ac.id)
Flujo de paquetes en una red (fuente: training.ukdw.ac.id)
Flujo de paquetes en una red (fuente: training.ukdw.ac.id)

En términos más simples, cada paquete representa un eslabón de la cadena y se transmite correctamente en el origen y es válido.ated en el destino. Incluso si llega un solo paquete o se realiza un pedido, el process se suspende hasta que se hayan recibido todos los paquetes en el orden correcto, y sólo entonces se juntan para formar los datos que originanally representado (una imagen, por ejemplo).

Ahora que entendemos que es una red, se convierte en comprender lo que hace un analizador de redes. Es una herramienta que le permite echar un vistazo a paquetes individuales en su red.

Pero, ¿por qué querrías tomar esa molestia? Discutamos eso a continuación.

¿Por qué necesitamos analizar paquetes?

Parece que los paquetes son prácticamente los componentes básicos del flujo de datos de una red, al igual que los átomos son la base de toda la materia (sí, lo sé, estas no son verdaderas partículas fundamentales, pero es una analogía suficientemente buena para nuestros propósitos). . Y cuando se trata de analizar materiales o gases, nunca nos preocupamos por lo que está haciendo un átomo individual; Entonces, ¿por qué preocuparse por un único paquete de red a nivel individual? ¿Qué podemos saber además de lo que ya sabemos?

Es difícil vender la importancia del análisis a nivel de paquetes cuando no se ha estado bitdiez atrás antes, pero lo intentaré.

El análisis de paquetes significa ensuciarse las manos y buscar en las tuberías para descubrir algo. géneroally, debe analizar los paquetes de red cuando todo lo demás haya fallado. típicoally, esto incluye escenarios aparentemente desesperados como los siguientes:

  • Pérdida inexplicable de datos secretos a pesar de que no hay una violación evidente
  • Diagnosticar aplicaciones lentas cuando parece que no hay evidencia alguna
  • Asegurarse de que su computadora / red no se haya visto comprometida
  • Demostrar o refutar que un atacante no lo es a cuestas fuera de tu wifi
  • Averiguar por qué tu el servidor es el cuello de botella a pesar de poco tráfico

Con todo, el análisis de paquetes se incluye en ciertos tipos de evidencia contundentes. Si sabe cómo realizar análisis de paquetes y tiene una instantánea, puede guardar suself de ser acusado injustamente de un hack o simplemente ser culpado como un desarrollador incompetente o administrador de red.

¡Se trata de los cerebros! (fuente: dailydot.com)
¡Se trata de los cerebros! (fuente: dailydot.com)
¡Se trata de los cerebros! (fuente: dailydot.com)

Con respecto a una historia real, creo que este comentario en la publicación del blog encontró Haga clic aquí para entrar. es excepcional (reproducido aquí por si acaso):

Una aplicación crítica para la exposición de mi empresa.bitproblemas de rendimiento, estaba cayendo de bruces en las implementaciones de los clientes. Era una aplicación de valoración de acciones utilizada en la cabecera de las plantas de cotizaciones de empresas financieras de todo el mundo. Si tenía un 401(k) alrededor del año 2000, probablemente dependía de esta aplicación. Hice un análisis del tipo que has estado describiendo, específicoally Comportamiento TCP. Identifiqué que el problema estaba en la implementación de TCP por parte del proveedor del sistema operativo. El comportamiento defectuoso fue que cada vez que la pila de envío entraba en control de congestión, nunca se recuperaba. Esto resultó en un cómic.ally pequeño envío window, a veces sólo unos pocos múltiplos de MSS.

Me tomó un tiempo luchar con los administradores de cuentas y la gente de soporte para desarrolladores del proveedor del sistema operativo que no entendían el problema, mi explicación o que el problema *no* podía estar en la aplicación porque la aplicación ignora maravillosamente las maquinaciones de TCP. Era como hablarle a una pared. comencé en square uno con cada conferencia telefónica. Eventoally Hablé por teléfono con un chico con quien podría tener una buena conversación. ¡Resulta que puso las extensiones RFC1323 en la pila! Al día siguiente tenía en mis manos un parche para el sistema operativo y el producto funcionó perfectamente a partir de ese momento.

El desarrollador explicó que había un error que causaba que los ACK entrantes *con cargas útiles* fueran misceláneos.ateGorizados como DUPACK cuando la pila estaba en control de congestión.

Esto nunca sucedería con aplicaciones semidúplex como HTTP, pero la aplicación que yo soportaba enviaba datos bidireccionalmente.ally en el enchufe en todo momento.

No tenía mucho apoyo de la gerencia en ese momento (mi gerente incluso me gritó por "siempre querer usar un rastreador" para solucionar problemas), y nadie más que yo estaba mirando la implementación TCP del proveedor del sistema operativo como fuente. del problema. Luchando por la solución del proveedor del sistema operativo por mi parteself Hizo que esta victoria fuera particularmente dulce, me valió una gran cantidad de capital para hacer lo mío y provocó que los problemas más interesantes aparecieran en mi escritorio.

En caso de que no tuviera ganas de leer ese fragmento de texto, o si no tenía mucho sentido, este caballero enfrentaba problemas de rendimiento que se achacaban a su solicitud, y la gerencia, como se esperaba, estaba prestando zero apoyo. ¡Fue solo un análisis exhaustivo de paquetes lo que demostró que el problema no estaba en la aplicación, sino en cómo el sistema operativo manejaba el protocolo de red!

La solución no fue una puesta a punto en la aplicación, ¡sino un parche de los desarrolladores del sistema operativo! 😮

Chico Oh chico . . . Sin un análisis a nivel de paquete, ¿dónde crees que estaría esta persona? Probablemente fuera de su trabajo. Si esto no le convence de la importancia del análisis de paquetes (también llamado rastreo de paquetes), no sé qué lo hará. 🙂

Ahora que sabe que el análisis de paquetes es una superpotencia, tengo buenas noticias: ¡no es del todo difícil hacerlo!

Gracias a las herramientas de detección de paquetes potentes pero fáciles de usar, la recopilación de información del análisis a nivel de paquete puede ser tan fácil como leer un panel de ventas. Dicho esto, necesitará algo más que un conocimiento superficial de lo que sucede dentro de una red. Pero, de nuevo, aquí no hay ciencia espacial, no hay lógica retorcida que dominar, solo sentido común.

Si comienza a leer la documentación de una de estas herramientas a medida que las usa en su red, muy pronto se convertirá en un experto. 😀

Wireshark

Wireshark es un proyecto antiguo (que comenzó en 1998) que es prácticamente el estándar de la industria cuando se trata de sumergirse profundamente en las redes. Es impresionante si se tiene en cuenta que es una organización puramente dirigida por voluntarios, respaldada por algunos patrocinadores generosos. Wireshark sigue siendo de código abierto (no en GitHub, pero se puede encontrar el código Haga clic aquí para entrar.) e incluso tiene una tecnología conferencia a su nombre!

Entre las muchas capacidades de Wireshark se encuentran:

  • Soporte para cientos de protocolos de red.
  • Interoperable con muchos formatos de archivo (tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (comprimido y sin comprimir), Sniffer® Pro y NetXray®, etc.).
  • Virtud de ejecuciónally todos platformularios que existen (Linux, Windows, macOS, Solaris, FreeBSD y más).
  • Lectura de datos en vivo desde Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, entre otros.
  • Descompresión gzip sobre la marcha.
  • un montón decryption protocolos compatibles (WPA/WPA2, SNMPv3, etc.)
  • Análisis extenso de VoIP
  • Reglas de colores para un escaneo visual más rápido

Consulte este fantástico curso en línea para enseñarte a dominar Wireshark.

¿Busca Wireshark en su terminal? Claro, prueba Terremoto

tcpdump

Si eres de la vieja escuela (lee adicto a la línea de comandos), tcpdump es para ti.

Es otro de esos icónicos Utilidades de Linux (como curl) que sigue siendo tan relevante como siempre, tanto que casi todas las demás herramientas "más sofisticadas" se basan en él. Como dije antes, no hay un entorno gráfico, pero la herramienta lo compensa con creces.

Pero instalarlo puede ser complicado; mientras que tcpdump viene incluido con la mayoría de las distribuciones modernas de Linux, si la tuya no lo hace, tendrás que compilar desde la fuente.

Los comandos tcpdump son cortos y simples, destinados a resolver un problema en particular, como:

  • Visualización de todas las interfaces disponibles
  • Capturando solo una de las interfaces
  • Guardar paquetes capturados en un archivo
  • Capturando solo paquetes fallidos

. . . y así.

Si sus necesidades son simples y necesita ejecutar un análisis rápido, tcpdump puede ser una excelente opción a considerar (especialmenteally si escribe tcpdump ¡y descubra que ya está instalado!). Echa un vistazo a esta publicación para ver algo en tiempo real. ejemplos del comando tcpdump.

Proxy

Proxy es una herramienta de línea de comandos sencilla y de código abierto para proxy de conexiones TCP a través de la red. Tproxy está escrito en el lenguaje de programación Go y es una herramienta de línea de comandos de Go, y está empaquetado como un binario de Go, por lo que está disponible en todos los sistemas Linux y macOS modernos. platformas.

La siguiente imagen muestra la línea de comando para monitor Conexiones mysql:

Su caso de uso principal es proxy de conexiones HTTP y inspect el contenido de la solicitud HTTP y las respuestas. También se puede utilizar para proxy de otros protocolos, como CALCETINES DIVERTIDOS o TCP. Se puede utilizar para conexiones TCP proxy entre dos hosts o para analizar el tráfico en una conexión activa. Es útil para depurar y probar aplicaciones que utilizan TCP como protocolo de transporte y para crear servicios de proxy TCP.

Fue escrito con el objetivo de proporcionar una interfaz fácil de usar para la utilidad de línea de comandos tcpdump, lo que permite a los usuarios realizar conexiones TCP proxy y realizar otros análisis de red avanzados sin necesidad de comprender el protocolo TCP subyacente.

Debajo de la línea de comando se muestran las conexiones de gRPC:

Actúa como un proxy TCP, lo que le permite conectarse a servicios y aplicaciones remotos como si estuviera en la máquina local. Permite crear servicios TCP personalizados en hosts remotos, similar a un revErse TCP proxy que permite una variedad de mejoras de seguridad, resolución de problemas y rendimiento cuando se trata de aplicaciones que utilizan TCP.

A continuación se muestran algunos usos más de Tproxy

  • Es útil para depurar y optimizar conexiones TCP.
  • También es útil para entenderanding cómo funcionan otros programas proxy, como Burp Suite y ZAP.
  • Se puede utilizar para conexiones TCP proxy entre dos hosts, o entre un host y un servicio TCP remoto, como una base de datos o un servicio web.
  • Monitor Conexiones MySQL y conexiones gRPC y también verifica la confiabilidad de la conexión en términos de Retrans rate y RTT

La mayoría de los usuarios encontrarán que Tproxy simplifica su flujo de trabajo y les permite realizar análisis de red complejos y analizar aplicaciones web sin necesidad de alterar la aplicación o la red.self. La herramienta se puede descargar desde GitHub.

NetworkMiner

promocionándoloself como herramienta de análisis de redes forenses (FNAT), NetworkMiner es uno de los mejores analizadores de nivel de paquetes que encontrará. Es una herramienta de código abierto que puede analizar una red de forma pasiva y viene con una impresionante interfaz GUI para análisis que puede mostrar imágenes individuales y otros archivos transferidos.

Pero eso no es todo. NetworkMiner viene con excelentes otras características como:

  • Soporte IPv6
  • Análisis de archivos PCAP
  • Extracertificado ct X.509ates de tráfico cifrado SSL
  • Pcap sobre IP
  • Funciona con varios tipos de tráfico, como FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3, etc.
  • Huellas digitales del SO
  • Localización geográfica de IP
  • Compatibilidad con secuencias de comandos de línea de comandos

Tenga en cuenta que algunas de estas funciones están disponibles en la versión comercial.

Fiddler

A diferencia de otros rastreadores de redes pasivos, Fiddler es algo que se encuentra entre su dispositivo y el mundo exterior y, por lo tanto, requiere cierta configuración (¿es por eso que lo llamaron "Fiddler"? 😉).

Es una herramienta gratuita personalizable (usando FiddlerScript) que tiene un historial largo y distinguido, por lo que si su objetivo es rastrear el tráfico HTTP / HTTPS como un jefe, Fiddler es el camino a seguir.

Hay muchas cosas que puedes hacer con Fiddler, especialmenteally Si estás de humor para ponerte la sudadera con capucha de hacker:

  • Manipulación de sesiones: Extraiga los encabezados HTTP abiertos y los datos de sesión, modificándolos de la forma que desee.
  • Prueba de seguridad: Le permite simultáneamenteate ataques de intermediario y descifre todo el tráfico HTTPS por usted.
  • Pruebas de rendimiento: Analice los tiempos de carga de la página (o respuesta de la API) y vea qué parte de la respuesta es el cuello de botella.

En caso de que se sienta perdido, documentación es muy bueno y es muy recomendable.

WinDump

Si echas de menos la simplicidad de tcpdump y quieres llevarlo a tu Windows sistemas, saluda a WinDump. Una vez instalada, funciona desde la línea de comandos escribiendo "tcpdump" de la misma manera que la utilidad funciona en sistemas Linux.

Tenga en cuenta que no hay nada que instalar per se; WinDump es un binario que se puede ejecutar de inmediato, siempre que tenga instalada una implementación de biblioteca Pcap (npcap se recomienda ya que winpcap ya no está en desarrollo).

Tiburón Bruto

Tiburón Bruto es una eficaz herramienta de análisis forense de red (NFAT) que puede utilizar para process y inspect el tráfico de red, como archivos PCAP, y capturarlo directamente desde las interfaces de red. 

Incluye la reconstrucción de sesiones TCP, la construcción de mapas de red, extraCting hashes de contraseñas fuertemente cifradas, convirtiendo hashes en un formato Hashcat para realizar un ataque de Fuerza Bruta sin conexión.

La intención principal detrás de este proyecto es ayudar a los administradores de red e investigadores de seguridad responsables de analizar el tráfico de la red e identificar las debilidades.

Hay dos versiones de BruteShark disponibles: una interfaz gráfica de usuario (GUI) solicitud basada en Windowsy una CLI herramienta para Linux y Windows. Algunos de los proyectos incluidos en esta solución pueden incluso utilizarse de forma independiente para analizar el tráfico de red en Windows y máquinas Linux.

BruteShark también puede realizar varias operaciones como extracting consultas DNS, tallado de archivos, extracting llamadas VoIP (SIP, RTP), construcción de diagramas de red para usuarios y nodos de red, extracting hashes de autenticación usando Hashcat (NTLM, HTTP-Digest, CRAM-MD5, Kerberos, etc.) y recuperando y codificando contraseñas y nombres de usuario.

Todos los proyectos se implementan a través de .Net Standard y .Net Core para cross-platForma y soporte moderno. Esta solución ofrece una arquitectura de tres capas e incluye uno o varios proyectos, incluidos PL, BLL y DAL en cada capa. 

A través de DAL (Data Access Layer), el proyecto ayuda a leer archivos sin procesar de PCAP utilizando controladores como WinPcap, libpcap y bibliotecas contenedoras como SharpPcap. De manera similar, BLL (Business Logic Layer) es responsable del análisis de la información de la red (TCP, paquete, etc.) y PL utiliza un proyecto transversal y se refiere a las capas BLL y DAL. 

OmniPeek

Para redes más grandes que tienen toneladas de MB de datos fluyendo a través de ellas cada segundo, las herramientas que usan todos los demás pueden quedarse sin fuerza. Si te enfrentas a lo mismo OmniPeek podría valer la pena echarle un vistazo.

Es un rendimiento, análisis y herramienta forense para analizar redes, especialmenteally cuando necesita tanto capacidades de bajo nivel como paneles de control completos.

Fuente: sniffwifi.com
Fuente: sniffwifi.com
Fuente: sniffwifi.com

Capsa

Si lo único que te preocupa es el Windows platformar, Capsa También es un serio contendiente. Viene en tres versiones: gratuita, estándar y enterp.rise, cada uno con capacidades diferentes.

Dicho esto, incluso la versión gratuita admite más de 300 protocolos y tiene características interesantes como alertas (que se activan cuando se cumplen ciertas condiciones). La oferta estándar es superior, admite más de 1000 protocolos y le permite analizar conversaciones y reconstruir flujos de paquetes.

Considerándolo todo, una opción sólida para Windows usuarios.

ÉterApe

Si lo que busca son visualizaciones poderosas y código abierto, ÉterApe es una gran opción. Si bien los binarios prediseñados están disponibles solo para un puñado de Distribuciones de Linux, la fuente está disponible (tanto en SourceForge como en GitHub), por lo que crearla por su cuenta es una opción.

Esto es lo que hace que EtherApe sea excelente en mi opinión:

  • Multinodo, codificado por colores monitoring.
  • Soporte para una gran cantidad de formatos de paquetes como ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN, etc. (actualmenteally, mucho, mucho, mas).
  • Leer datos en vivo desde el "cable" o desde un archivo tcpdump.
  • Soporta resolución de nombres estándar
  • a partir de yoateEn las primeras versiones, la GUI se ha trasladado a GTK3, lo que resulta en una experiencia más placentera.

CommView

Si eres un Windowcompre s-exclusive y valore la conveniencia del soporte prioritario, CommView es recomendado. Es un potente analizador de tráfico de red con funciones avanzadas como análisis de VoIP, seguimiento remoto, etc., integradas.

Lo que más me impresionó es su capacidad para exportar datos a formatos utilizados por varios formatos abiertos y propietarios, como Sniffer®, EtherPeek ™, AiroPeek ™, Observer®, NetMon, Wireshark / Tcpdump y Wireshark / pcapng, e incluso volcados hexadecimales simples.

Explorador Wifi

El último en la lista es Explorador Wifi, que tiene una versión gratuita para Windows y una versión estándar para Windowsy macOS. Si todo lo que necesita es el análisis de la red WiFi (que es prácticamente el estándar hoy en día), Wifi Explorer le facilitará la vida.

Se trata de un beautifulHerramienta elegantemente diseñada y rica en funciones para llegar directamente al corazón de la red.

Mención de Honor: Sería un flaco favor cerrar esta publicación sin mencionar un analizador de red exclusivo de macOS con el que me topé: Little Snitch. Tiene un firewall incorporado, por lo que viene con el beneficio adicional de acceso inmediato.atePermitiéndote controlar todo el tráfico perfectamente (lo que puede parecer una molestia, pero es una gran ganancia a largo plazo).

¿Qué es lo siguiente?

También deberías explorar estos del sistema, monitorsoftware de ingeniería para una mejor visibilidad de la infraestructura. Si está buscando desarrollar una carrera en redes y seguridad, consulte algunos de los mejores cursos en línea aquí.

Comparte en:
  • Ankush
    Autor
    Escribo sobre, alrededor y para el desarrollador. ecossistema. Recomendaciones, tutoriales, discusiones técnicas: ¿por qué?ateCada vez que publico, hago todo lo posible para eliminar la confusión y las tonterías, y proporcionar respuestas prácticas basadas en la experiencia personal...

Gracias a nuestros patrocinadores

Más lecturas excelentes sobre Networking

Impulse su negocio

Algunas de las herramientas y servicios para ayudar a su negocio grow.
  • Murf AI

    La herramienta de conversión de texto a voz que utiliza IA para generarate Voces realistas parecidas a las humanas.

    Intente Murf AI
  • Datos brillantes

    Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.

    Prueba Brightdata
  • Monday.com

    Monday.com es un sistema operativo de trabajo todo en uno para ayudarlo a administrar proyectos, tareas, trabajo, ventas, CRM, operaciones, workflows, y más.

    Intente Monday
  • Intruder

    Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.

    Intente Intruder