11 meilleurs renifleurs de paquets en 2022
Reniflage de paquetsest un terme familier qui fait référence à l'art de l'analyse du trafic réseau.
Il existe de nombreux outils puissants qui collectent l'activité du trafic réseau et la plupart d'entre eux utilisentpcap(Systèmes de type Unix) oulibcap(Systèmes Windows) à la base pour effectuer la collecte proprement dite.
Le logiciel de détection de paquets est conçu pour aider à analyser ces paquets collectés, car même une petite quantité de données peut générer des milliers de paquets difficiles à parcourir.
Nous avons classé les analyseurs de paquets suivants en fonction des considérations générales suivantes : fonctionnalités utiles, fiabilité, facilité d'installation, d'intégration, d'utilisation, quantité d'aide et de support offert, qualité de la mise à jour et de la maintenance du logiciel et qualité des développeurs. L'industrie.
Voici notre liste des meilleurs renifleurs de paquets :
- Outil d’inspection et d’analyse approfondie des paquets SolarWinds CHOIX DE L’ÉDITEURDonne des informations détaillées sur les causes de la lenteur du réseau et utilise une inspection approfondie des paquets pour vous permettre de résoudre les causes profondes. Vous pouvez identifier le trafic par application, catégorie et niveau de risque pour éliminer et filtrer le trafic problématique. Doté d'une excellente interface utilisateur, cet excellent logiciel de détection de paquets est parfait pour l'analyse du réseau. Téléchargez un essai gratuit de 30 jours.
- Analyseur ManageEngine NetFlow Un outil d'analyse du trafic qui fonctionne avec NetFlow, J-Flow, sFlow Netstream, IPFIX et AppFlow
- Outil de capture de paquets PaesslerUn renifleur de paquets, un capteur NetFlow, un capteur sFlow et un capteur J-Flow intégrés à Paessler PRTG.
- Analyseur de protocole réseau Omnipeek Un moniteur réseau qui peut être étendu pour capturer des paquets.
- tcpdumpL'outil gratuit de capture de paquets essentiel dont tout gestionnaire de réseau a besoin dans sa boîte à outils.
- Décharge à ventUn clone gratuit de tcpdump écrit pour les systèmes Windows.
- Requin filaireUn outil gratuit bien connu de capture de paquets et d’analyse de données.
- requinUne réponse légère à ceux qui veulent la fonctionnalité de Wireshark, mais le profil mince de tcpdump.
- Mineur de réseauUn analyseur de réseau basé sur Windows avec une version gratuite sans fioritures.
- VioloneuxUn outil de capture de paquets qui se concentre sur le trafic HTTP.
- CapsaÉcrit pour Windows, l'outil gratuit de capture de paquets peut être mis à niveau contre paiement pour ajouter des fonctionnalités analytiques.
Avantages du reniflage de paquets
Un renifleur de paquets est un outil utile pour vous permettre de mettre en œuvre la politique de capacité réseau de votre entreprise. Les principaux avantages sont les suivants :
- Identifier les liens encombrés
- Identifiez les applications qui génèrent le plus de trafic
- Collecter des données pour une analyse prédictive
- Mettre en évidence les pics et les creux de la demande réseau
Les actions que vous entreprenez dépendent de votre budget disponible. Si vous disposez des ressources nécessaires pour étendre la capacité du réseau, le renifleur de paquets vous permettra de cibler de nouvelles ressources plus efficacement. Si vous n'avez pas de budget, le reniflage de paquets aidera à façonner le trafic en hiérarchisant le trafic des applications, en redimensionnant les sous-réseaux, en reprogrammant les événements à fort trafic, en limitant la bande passante pour des applications spécifiques ou en remplaçant les applications par des alternatives plus efficaces.
Mode promiscuité
Il est important de comprendre comment fonctionne la carte réseau de votre ordinateur lorsque vous installez un logiciel de détection de paquets. L’interface de votre ordinateur au réseau s’appelle le « contrôleur d'interface réseau', ou carte réseau. Votre carte réseau ne captera que le trafic Internet adressé à son adresse MAC.
Pour capturer le trafic général, vous devez mettre votre carte réseau dans «mode promiscuité». Cela supprime la limite d'écoute sur la carte réseau. En mode promiscuité, votre carte réseau récupérera tout le trafic réseau. La plupart des renifleurs de paquets disposent d'un utilitaire dans l'interface utilisateur qui gère le changement de mode pour vous.
Types de trafic réseau
L'analyse du trafic réseau nécessite une compréhension du fonctionnement du réseau. Aucun outil ne supprimera comme par magie la nécessité pour un analyste de comprendre les bases de la mise en réseau, telles que la négociation à trois voies TCP utilisée pour établir une connexion entre deux appareils. Les analystes doivent également avoir une certaine compréhension des types de trafic réseau qui existent sur un réseau fonctionnant normalement, tels que le trafic ARP et DHCP. Cette connaissance est essentielle car les outils d’analyse vous montreront simplement ce que vous demandez – c’est à vous de savoir quoi demander. Si vous n’êtes pas sûr de l’apparence normale de votre réseau, il peut être difficile de garantir que vous recherchez la bonne chose dans la masse de paquets que vous avez collectés.
Outils d'entreprise
Commençons par le haut et avançons vers les bases essentielles. Si vous avez affaire à un réseau d’entreprise, vous aurez besoin de gros canons. Bien que presque tout utilise tcpdump à la base (nous en parlerons plus tard), les outils de niveau entreprise peuvent fournir d'autres fonctions analytiques telles que la corrélation du trafic provenant de nombreux serveurs, la fourniture d'outils de requête intelligents pour détecter les problèmes, l'alerte en cas d'exception et la production de jolis graphiques qui exigences de la direction.
Les outils d'entreprise ont tendance à se concentrer sur le flux du trafic réseau plutôt que sur le contenu des paquets. J'entends par là que l'objectif de la plupart des administrateurs système d'une entreprise est de maintenir le réseau en activité sans goulots d'étranglement en termes de performances. Lorsque des goulots d'étranglement surviennent, l'objectif est généralement de déterminer si le problème vient du réseau ou d'une application sur le réseau. De l’autre côté de la médaille, ces outils d’entreprise sont généralement capables de détecter une telle quantité de trafic qu’ils peuvent aider à prédire le moment où un segment de réseau saturera, ce qui constitue un élément essentiel de la gestion de la capacité.
Outils de piratage
Les renifleurs de paquets sont également utilisés par les pirates. Sachez que ces outils peuvent être utilisés pour attaquer votre réseau ainsi que pour résoudre des problèmes. Les renifleurs de paquets peuvent être utilisés commeles écoutes téléphoniquespour aider à voler des données en transit et ils peuvent également contribuer à «l'homme au milieu» des attaques qui altèrent les données en transit et détournent le trafic afin d'escroquer un utilisateur sur le réseau. Investir dans détection d'intrusion des systèmes pour protéger votre réseau de ces formes d’accès non autorisé
Comment fonctionnent les renifleurs de paquets et les analyseurs de réseau ?
LeLa principale caractéristique d'un renifleur de paquets est qu'il copie les données lorsqu'elles transitent sur un réseau et les rend disponibles pour visualisation.. Le dispositif de détection copie simplement toutes les données qu'il voit passer sur un réseau. Lorsqu'ils sont implémentés sur un commutateur, les paramètres de l'appareil permettent d'envoyer le paquet qui passe vers un deuxième port ainsi que vers la destination prévue, dupliquant ainsi le trafic. Habituellement, les paquets de données récupérés du réseau sont copiés dans un fichier. Certains outils afficheront également ces données dans un tableau de bord. Cependant,les renifleurs de paquets peuvent collecter beaucoup de données, notamment des informations d'administration codées. Tu devrastrouver un outil d'analyse qui peut vous aider à déréférencer les informationssur le parcours des paquets dans l'extrait et d'autres informations, telles que la pertinence des numéros de port entre lesquels les paquets voyagent.
Un simple renifleur de paquets copiera tous les paquets circulant sur le réseau.Cela peut être un problème. Dans ce cas, le contenu du paquet n'est pas nécessaire pour l'analyse des performances du réseau. Si vous souhaitez suivre l'utilisation du réseau sur une période de 24 heures ou sur quelques jours, le stockage de chaque paquet occupera une très grande quantité d'espace disque, même si vous ne récupérez que les en-têtes des paquets. Dans ces scénarios, il est conseillé d’échantillonner les paquets, ce qui signifie copier tous les 10 ou 20 paquets plutôt que de copier sur chacun d’entre eux.
Les meilleurs renifleurs de paquets
Les outils que j’ai répertoriés dans cet article peuvent être utilisés par des administrateurs réseau expérimentés qui savent déjà ce qu’ils recherchent, mais ne savent pas quels outils sont les meilleurs. Ils peuvent également être utilisés par des administrateurs système plus débutants pour acquérir de l'expérience sur l'apparence des réseaux modernes lors des opérations quotidiennes, ce qui aidera à identifier les problèmes de réseau ultérieurement.
Notre méthodologie de sélection d'un renifleur de paquets
Nous avons examiné le marché des renifleurs de paquets et analysé les options en fonction des critères suivants :
- La capacité de lire les en-têtes de paquets et d'identifier les adresses source et de destination
- Un analyseur de protocole capable de catégoriser le trafic par application
- L'option de capturer tous les paquets ou d'échantillonner chaque nième paquet
- La capacité de communiquer avec les commutateurs et les routeurs via NetFlow et d'autres langages de protocole d'analyse du trafic
- Outils de planification de la capacité et de gestion du trafic
- Une période d'essai gratuite ou une garantie de remboursement pour une évaluation sans risque
- Un outil gratuit qui vaut la peine d’être installé ou un outil payant qui vaut son prix
Presque tous ces outils se collectent de la même manière ; c’est l’analyse qui les différencie.
1. Outil d’inspection et d’analyse approfondie des paquets SolarWinds (ESSAI GRATUIT)
Vents solairesest une suite complète d'outils de gestion informatique. L'outil le plus pertinent pour cet article est leOutil d’inspection et d’analyse approfondie des paquets.
Principales caractéristiques:
- Catégorise le trafic réseau
- Analyseur de pile de protocoles
- Surveillance en direct
- Prend en charge la mise en forme du trafic
- 30 jours d'essai gratuit
La collecte de l’activité du trafic réseau est relativement simple. En utilisant des outils comme WireShark, l’analyse de niveau de base n’est pas non plus un obstacle. Mais toutes les situations ne sont pas aussi simples. Dans un réseau très actif, il peut être difficile de déterminer ne serait-ce que certains éléments fondamentaux tels que :
- Quelle application sur le réseau local crée ce trafic ?
- Si l'application est connue (par exemple, un navigateur Web), où les gens passent-ils la plupart de leur temps ?
- Quelles connexions prennent le plus de temps et encombrent le réseau ?
La plupart des périphériques réseau utilisent simplement les métadonnées de chaque paquet pour garantir que le paquet arrive là où il va. Le contenu du paquet est inconnu du périphérique réseau. L’inspection approfondie des paquets est différente ; cela signifie que le contenu réel du paquet est inspecté pour en savoir plus.
Les informations réseau critiques qui ne peuvent pas être glanées à partir des métadonnées peuvent ainsi être découvertes. Des outils comme ceux fournis par SolarWinds peuvent fournir des données plus significatives que le simple flux de trafic.
D'autres techniques de gestion de réseaux à volume élevé incluent NetFlow et sFlow. Chacun a ses forces et ses faiblesses et vous pouvez en savoir plus sur Techniques NetFlow et sFlow ici .
L'analyse de réseau, en général, est un sujet avancé qui relève à moitié de l'expérience et à moitié de la formation. Il est possible de former quelqu’un à comprendre chaque détail des paquets réseau. Néanmoins, à moins que cette personne n’ait également une connaissance du réseau cible et une certaine expérience pour identifier les anomalies, elle n’ira pas très loin.
Avantages:
- Offre une combinaison de fonctionnalités DPI et d'analyse, ce qui en fait une excellente option tout-en-un pour le dépannage détaillé et les audits de sécurité.
- Conçue pour l'entreprise, la suite offre une collecte de données robuste et une variété d'options pour visualiser et rechercher les données collectées.
- Prend en charge la collecte NetFlow et sFlow, ce qui lui confère plus de flexibilité pour les réseaux à volume plus élevé
- Le code couleur et d'autres indices visuels aident les administrateurs à trouver rapidement les problèmes avant une analyse approfondie.
Les inconvénients:
- Outil très avancé, conçu pour les professionnels du réseau, pas idéal pour les utilisateurs à domicile ou les amateurs.
LE CHOIX DES ÉDITEURS
Le mode SolarWinds Network Performance Monitor donne des informations détaillées sur les causes de la lenteur du réseau et vous permet de résoudre rapidement les causes profondes grâce à une inspection approfondie des paquets. En identifiant le trafic par application, catégorie (professionnelle ou sociale) et niveau de risque, vous pouvez éliminer et filtrer le trafic problématique et mesurer le temps de réponse des applications. Doté d'une excellente interface utilisateur, cet excellent logiciel de détection de paquets est parfait pour l'analyse du réseau.
Obtenez un essai gratuit de 30 jours :www.solarwinds.com/topics/deep-packet-inspection/
TOI:Microsoft Windows Serveur 2016 et 2019
2. Outil de capture de paquets Paessler (ESSAI GRATUIT)
Le Paessler Packet-Capture-Tool PRTG : All-In-One-Monitoring est un outil de surveillance d'infrastructure unifié. Il vous aide à gérer votre réseau et vos serveurs. Le segment de surveillance du réseau de l'utilitaire couvre deux types de tâches. Il s'agit d'un moniteur de performances réseau, qui examine l'état des périphériques réseau, et d'un analyseur de bande passante réseau, qui couvre le flux de trafic sur les liaisons du réseau.
Principales caractéristiques:
- Quatre capteurs de capture de paquets
- Graphiques de trafic en direct
- Dépannage des performances
- Alertes trafic
La partie analyse de bande passante de PRTG est mise en œuvre grâce à l'utilisation de quatre outils de capture de paquets différents. Ceux-ci sont:
- Un renifleur de paquets
- Un capteur NetFlow
- Le capteur sFlow
- Un capteur J-Flow
Le renifleur de paquets PRTG capture uniquement les en-têtes des paquets circulant sur votre réseau. Cela donne à l'analyseur de paquets un avantage en termes de vitesse et réduit également la quantité d'espace de stockage nécessaire pour conserver les fichiers de capture. Le tableau de bord du renifleur de paquets classe le trafic par type d'application. Ceux-ci incluent le trafic de courrier électronique, les paquets Web, les données de trafic des applications de chat et les volumes de paquets de transfert de fichiers.
NetFlow est un système de messagerie de flux de données très largement utilisé. Il a été créé par Cisco Systems mais il est également utilisé pour des équipements produits par d'autres fabricants. Le capteur PRTG NetFlow détecte également les messages IPFIX — cette norme de messagerie est une IETF -successeur sponsorisé de NetFlow. La méthode J-Flow est un système de messagerie similaire utilisé par Juniper Networks pour ses équipements. Le standard sFlow échantillonne les flux de trafic, il collectera donc un paquet sur nième. NetFlow et J-Flow capturent tous deux des flux continus de paquets.
Paessler évalue son logiciel PRTG en fonction du nombre de « capteurs » activés par une implémentation. Un capteur est une condition du système ou un composant matériel. Par exemple, chacun des quatre renifleurs de paquets proposés par Paessler compte pour un capteur PRTG. Le système est gratuit si vous activez 100 capteurs ou moins, donc si vous utilisez uniquement ce package pour ses interfaces de détection de paquets, vous n'aurez rien à payer à Paessler.
Avantages:
- Conçu pour être un outil de surveillance d'infrastructure prenant en charge plusieurs types de capteurs tels que NetFlow, sFlow et J-Flow
- Donne aux utilisateurs la possibilité de personnaliser les capteurs en fonction du type d'application ou de serveur qu'ils testent
- Capture uniquement les en-têtes de paquets, permet d'accélérer l'analyse et de réduire les coûts de stockage pour la collecte à long terme
- Utilise des graphiques simples mais intuitifs pour la visualisation du trafic
Les inconvénients:
- Plateforme très détaillée – prend du temps pour apprendre et utiliser pleinement toutes les fonctionnalités disponibles
Le système Paessler comprend de nombreuses autres fonctionnalités de surveillance du réseau et des serveurs, notamment un moniteur de virtualisation et un moniteur d'applications. PRTG peut être installé sur site ou vous pouvez y accéder en tant que service cloud. Le logiciel fonctionne sur les environnements Windows et vous pouvez l'obtenir sur un30 jours d'essai gratuit.
Paessler Packet Capture Tool PRTG Téléchargez la version d'essai GRATUITE de 30 jours
3. Analyseur ManageEngine NetFlow
LeAnalyseur ManageEngine NetFlowprend les informations de trafic de vos appareils réseau. Vous pouvez choisir d'échantillonner le trafic, de capturer des flux entiers ou de recueillir des statistiques sur les modèles de trafic avec cet outil.
Principales caractéristiques:
- Basé sur SNMP
- Façonnage du trafic
- NetFlow, IPFIX, sFlow, J-Flow, NetStream, AppFlow
Les fabricants d’appareils réseau n’utilisent pas tous le même protocole pour communiquer les données de trafic. Ainsi, NetFlow Analyzer est capable d'utiliser différentes langues pour collecter des informations. Ceux-ci inclus Cisco NetFlow , Juniper Networks J-Flow , et Huawei Netstream . Il est également capable de communiquer avec le sFlux , IPFIX , et AppFlow normes.
Le moniteur est capable de suivre la cohérence des flux de données ainsi que la charge sur chaque périphérique réseau. Les capacités d'analyse du trafic vous permettent voir les paquets lorsqu'ils traversent un appareil et les capturent dans un fichier. Cette visibilité vous permettra de voir quelles applications réseau consomment la plus grande partie de votre bande passante et de prendre des décisions sur les mesures de gestion du trafic, telles que la file d'attente prioritaire ou la limitation.
Le tableau de bord du système comporte des graphiques à code couleur, ce qui facilite grandement votre tâche de détection des problèmes. L'apparence et la convivialité attrayantes de la console sont liées à d'autres outils de surveillance de l'infrastructure ManageEngine, car ils ont tous été construits sur une plate-forme commune. Cela le rend intégré à plusieurs produits ManageEngine. Par exemple, il est très courant que les administrateurs réseau achètent à la fois leSur le gestionnaireet l'analyseur NetFlow de Manage Engine.
OpManager surveille l'état des appareils avec SNMP procédures, que NetFlow Analyzer se concentre sur les niveaux de trafic et les modèles de flux de paquets.
ManageEngine NetFlow Analyzer s'installe sur les fenêtres , Serveur Windows , et RHEL , CentOS , Feutre , Debian , SUSE , et Ubuntu-Linux . Le système est proposé en deux éditions.
L'édition Essential vous offre les fonctions standard de surveillance du trafic réseau ainsi qu'un module de reporting et de facturation. Le plan supérieur s’appelle Enterprise Edition. Celui-ci possède toutes les fonctionnalités de l'Essential Edition plus N.B.A.R. & CBQoS surveillance, un module d'analyse de sécurité avancé, des utilitaires de planification de capacité et des capacités d'inspection approfondie des paquets. Cette édition comprend également SLA IP et WLC surveillance.
Avantages:
- Excellente interface utilisateur, facile à naviguer et reste épurée même lorsqu'elle est utilisée sur des réseaux à volume élevé
- Prend en charge plusieurs technologies de mise en réseau telles que Cisco Netflow, Juniper Networks J-Flow et Huawei Netstream, ce qui en fait une solution indépendante du matériel
- Les modèles prédéfinis vous permettent d'extraire immédiatement des informations de la capture de paquets
- S'installe sur Windows ainsi que sur plusieurs versions de Linux
- Conçu pour l'entreprise, offre des fonctionnalités de suivi et de surveillance SLA
Les inconvénients:
- Conçu pour les entreprises qui traitent beaucoup de données, ce n'est pas la meilleure solution pour les petits réseaux locaux ou les utilisateurs domestiques.
Vous pouvez obtenir l'une ou l'autre édition de NetFlow Analyzer sur un essai gratuit de 30 jours .
4. Analyseur de protocole réseau Omnipeek
LiveAction Omnipeek, auparavant un produit de Savvius , est un analyseur de protocole réseau qui peut être utilisé pour capturer des paquets ainsi que pour produire une analyse de protocole du trafic réseau.
Principales caractéristiques:
- Analyseur de protocole
- Outil de capture de paquets
- Également pour les réseaux sans fil
Omnipeek peut être étendu par des plug-ins. Le système Omnipeek de base ne capture pas les paquets réseau. Cependant, l'ajout du Moteur de capture le plug-in obtient le capture de paquets fonction. Le système Capture Engine récupère les paquets sur un réseau filaire ; une autre extension, appelée Adaptateur Wi-Fi ajoute des fonctionnalités sans fil et permet de capturer les paquets Wifi via Omnipeek.
Les fonctions de l'Omnipeek Network Protocol Analyzer de base s'étendent à la surveillance des performances du réseau. En plus de répertorier le trafic par protocole, le logiciel mesurera la vitesse de transfert et la régularité du trafic, déclencher des alertes si le trafic ralentit ou si les déplacements dépassent les conditions limites définies par l'administrateur réseau.
L'analyseur de trafic peut suivre de bout en bout transférer les performances sur l’ensemble d’un réseau, ou simplement surveiller chacun lien . D'autres fonctions surveillent les interfaces, y compris le trafic entrant arrivant sur les serveurs Web depuis l'extérieur du réseau. Le logiciel s'intéresse particulièrement au débit du trafic et à un affichage du trafic par protocole. Les données peuvent être visualisées sous forme de listes de protocoles et de leur débit ou sous forme de graphiques et de diagrammes en direct. Les paquets capturés avec le Capture Engine peuvent être stocké pour analyse ou rejoué sur le réseau pendant test de capacité .
Avantages:
- Installation légère, des fonctionnalités supplémentaires peuvent être étendues via des plug-ins
- Prend en charge la capture de paquets Ethernet et sans fil
- Offre la relecture des paquets pour les tests et la planification de la capacité
Les inconvénients:
- L'interface pourrait être améliorée, notamment autour de la section barre d'outils
Omnipeek s'installe sur Windows et Windows Server. Le système n’est pas gratuit. Cependant, il est possible d'obtenir Omnipeek avec un essai gratuit de 30 jours.
5. tcpdump
L'outil fondamental de presque toute collecte de trafic réseau est tcpdump . Il s'agit d'une application open source installée sur presque tous les systèmes d'exploitation de type Unix. Tcpdump est un excellent outil de collecte et est livré avec un langage de filtrage très complexe. Il est essentiel de savoir comment filtrer les données au moment de la collecte pour obtenir un ensemble de données gérable à analyser. Capturer toutes les données d'un périphérique réseau, même sur un réseau modérément occupé, peut créer trop de données pour être analysées efficacement.
Principales caractéristiques:
- Outil de ligne de commande
- Capture de paquets
- Utilisation gratuite
Dans de rares cas, autoriser tcpdump à afficher sa capture directement sur votre écran peut suffire à trouver ce que vous recherchez. Par exemple, en écrivant cet article, j'ai capturé du trafic et j'ai remarqué que ma machine envoyait du trafic vers une adresse IP que je ne reconnaissais pas. Il s'avère que ma machine envoyait des données à une adresse IP Google de 172.217.11.142. Comme je n'avais aucun produit Google en cours d'exécution ni Gmail ouvert, je ne savais pas pourquoi cela se produisait. J'ai examiné mon système et j'ai trouvé ceci :
|_+_|Il semble que même lorsque Chrome ne s'exécute pas au premier plan, il reste exécuté en tant que service. Je n'aurais pas nécessairement remarqué cela sans une analyse des paquets pour m'avertir. J'ai récupéré d'autres données tcpdump, mais cette fois j'ai dit à tcpdump d'écrire les données dans un fichier que j'ai ouvert dans Wireshark (nous en parlerons plus tard). Voici cette entrée :
Tcpdump est un outil préféré des administrateurs système car il s'agit d'un outil en ligne de commande. Cela signifie qu’il ne nécessite pas un bureau à part entière pour fonctionner. Il est inhabituel que les serveurs de production fournissent un bureau en raison des ressources que cela nécessiterait, c'est pourquoi les outils en ligne de commande sont préférés. Comme pour de nombreux outils avancés, tcpdump possède un langage très riche et obscur qui prend un certain temps à maîtriser.
Avantages:
- Outil open source soutenu par une communauté large et dédiée
- Application légère – utilise CLI pour la plupart des commandes
- Complètement libre
Les inconvénients:
- N'est pas aussi convivial que les autres options
- Utilise un langage de requête compliqué pour le filtrage
- La capture de paquets ne peut être lue que par les applications capables de lire les fichiers pcap, et non enregistrée dans des fichiers texte brut
Quelques-unes des commandes les plus élémentaires consistent à sélectionner l'interface réseau à partir de laquelle collecter les données et à écrire ces données dans un fichier afin qu'elles puissent être exportées pour analyse ailleurs. Le |_+_| et |_+_| des interrupteurs sont utilisés à cet effet.
|_+_|Cela produit un fichier de capture :
|_+_|Le fichier de capture TCP standard est un |_+_| déposer. Ce n'est pas du texte, il ne peut donc être lu que par un programme d'analyse capable de lire les fichiers pcap.
6. WinDump
Les outils open source les plus utiles sont finalement clonés sur d'autres systèmes d'exploitation. Lorsque cela se produit, on dit que l'application a étéportésur. WinDump est un portage de tcpdump et se comporte de manière très similaire.
Principales caractéristiques:
- Tcpdump pour Windows
- Fonctionne avec WinPcap
- Utilisation gratuite
Une différence majeure entre WinDump et tcpdump est que Windump nécessite l'installation de la bibliothèque WinpCap avant de pouvoir exécuter WinDump. Bien que WinDump et WinpCap soient fournis par le même responsable, il s'agit de téléchargements distincts.
WinpCap est une véritable bibliothèque qui doit être installée. Mais, une fois installé, WinDump est un fichier .exe qui ne nécessite aucune installation et peut donc simplement s'exécuter. C'est peut-être quelque chose à garder à l'esprit si vous utilisez un réseau Windows. Vous n'avez pas nécessairement besoin d'installer WinDump sur chaque machine puisque vous pouvez simplement le copier si nécessaire, mais vous souhaiterez que WinpCap soit installé pour prendre en charge WinDump.
Comme avec tcpdump, WinDump peut afficher les données réseau à l'écran pour analyse, être filtrées de la même manière et également écrire des données dans un fichier pcap pour analyse hors site.
Avantages:
- Outil open source, très similaire à tcpdump en termes d'interface et de fonctionnalités
- Fonctionne via un exécutable, aucune installation longue n'est nécessaire
- Grande communauté de soutien
Les inconvénients:
- N'est pas aussi convivial que les autres options
- Nécessite la bibliothèque WinpCap installée sur les systèmes Windows
- Utilise un langage de requête compliqué pour le filtrage
7. Requin filaire
Requin filaire est probablement le deuxième outil le plus connu de la boîte à outils de tout administrateur système. Il peut non seulement capturer des données, mais fournit également des outils d'analyse avancés. Pour ajouter à son attrait, Wireshark est open source et a été porté sur presque tous les systèmes d'exploitation serveur existants. Ayant commencé sa vie sous le nom d'Ethereal, Wireshark fonctionne désormais partout, y compris en tant qu'application portable autonome.
Principales caractéristiques:
- Outil indispensable pour les réseaux
- Langage de requête
- Utilisation gratuite
Si vous analysez le trafic sur un serveur sur lequel un ordinateur de bureau est installé, Wireshark peut tout faire pour vous. Les paquets collectés peuvent ensuite être analysés en un seul endroit. Cependant, les ordinateurs de bureau ne sont pas courants sur les serveurs, donc dans de nombreux cas, vous souhaiterez capturer les paquets de données réseau à distance, puis extraire le fichier pcap résultant dans Wireshark.
Au premier lancement, Wireshark vous permet soit de charger un fichier pcap existant, soit de lancer la capture. Si vous choisissez de capturer le trafic réseau, vous pouvez éventuellement spécifier des filtres pour réduire la quantité de données collectées par Wireshark. Étant donné que ses outils d’analyse sont très performants, il est moins important de vous assurer d’identifier chirurgicalement les données au moment de la collecte avec Wireshark. Si vous ne spécifiez pas de filtre, Wireshark collectera simplement toutes les données réseau observées par l'interface sélectionnée.
L'un des outils les plus utiles fournis par Wireshark est la possibilité de suivre unflux. Il est probablement plus utile de considérer un flux comme une conversation entière. Dans la capture d'écran ci-dessous, nous pouvons voir que de nombreuses données ont été capturées, mais ce qui m'intéresse le plus, c'est l'adresse IP de Google. Je peux cliquer dessus avec le bouton droit etSuivrele flux TCP pour voir l’intégralité de la conversation.
Si vous avez capturé du trafic ailleurs, vous pouvez importer le fichier pcap à l'aide de Wireshark.Déposer->Ouvrirdialogue. Les mêmes filtres et outils qui peuvent être utilisés pour les données réseau capturées de manière native sont disponibles pour les fichiers importés.
Avantages:
- L'un des outils de renifleur les plus populaires, avec une énorme communauté derrière lui
- Projet open source qui ajoute de nouvelles fonctionnalités et plugins
- Prend en charge la collecte et l'analyse de paquets dans le même programme
Les inconvénients:
- A une courbe d'apprentissage abrupte, conçue pour les professionnels des réseaux
- Le filtrage peut prendre du temps à apprendre, collecte tout par défaut, ce qui peut être écrasant sur les grands réseaux
8. Requin
Requin est un croisement pratique entre tcpdump et Wireshark. Tcpdump excelle dans la collecte de paquets de données et peut extraire de manière très chirurgicale uniquement les données souhaitées, mais son utilité pour l'analyse est limitée. Wireshark fait un excellent travail de collecte et d’analyse, mais comme son interface utilisateur est lourde, il ne peut pas être utilisé sur des serveurs sans tête. Entrez TShark ; il capture et analyse mais effectue cette dernière sur la ligne de commande.
Principales caractéristiques:
- Ligne de commande
- Basé sur Wireshark
- Utilisation gratuite
TShark utilise les mêmes conventions de filtrage que Wireshark, ce qui ne devrait pas surprendre puisqu'il s'agit essentiellement du même produit. Cette commande indique à TShark uniquement de prendre la peine de capturer l'adresse IP de destination ainsi que certains autres champs intéressants de la partie HTTP du paquet.
|_+_|Si vous souhaitez capturer dans un fichier, vous pouvez utiliser le |_+_| switch pour l'écrire, puis utilisez |_+_| de TShark. (mode lecture) pour le lire.
Capturez d'abord :
|_+_|Lisez-le, soit sur le même serveur, soit transférez-le vers un autre serveur d'analyse.
|_+_|Avantages:
- Permet une collecte de données plus précise, permettant des options de filtrage plus faciles que des outils similaires
- Fonctionne de la même manière que Wireshark, ce qui le rend plus facile à utiliser pour ceux qui ont utilisé Wireshark
- Plus axé sur la CLI, ce qui en fait un choix populaire pour ceux qui préfèrent moins d'interfaces
Les inconvénients:
- Outils d'analyse limités intégrés
- Pas convivial pour les utilisateurs/débutants
9. Mineur de réseau
Mineur de réseauest un outil fascinant qui entre davantage dans la catégorie d’un outil médico-légal que dans la catégorie d’un simple renifleur de réseau. Le domaine de la médecine légale s'occupe généralement de l'enquête et de la collecte de preuves et Network Miner fait bien ce travail pour le trafic réseau. Tout comme WireShark peut suivre un flux TCP pour récupérer l'intégralité d'une conversation TCP, Network Miner peut suivre un flux pour reconstruire les fichiers envoyés sur le réseau.
Pour capturer le trafic en direct, Network Miner doit être stratégiquement placé sur le réseau pour pouvoir observer et collecter le trafic qui vous intéresse. Il n'introduira aucun de son propre trafic sur le réseau, il fonctionne donc de manière très furtive.
Principales caractéristiques:
- Outil d'analyse
- Interface facile à utiliser
- Version gratuite
Network Miner peut également fonctionner en mode hors ligne. Vous pouvez utiliser le modèle éprouvétcpdumpoutil pour capturer des paquets à un point d'intérêt sur votre réseau, puis importer les fichiers pcap dans Network Miner. Il tentera ensuite de reconstruire tous les fichiers ou certificats trouvés dans le fichier de capture.
Network Miner est conçu pour Windows, mais par en utilisant Mono, il peut être exécuté sur n'importe quel système d'exploitation doté d'un framework Mono comme Linux et macOS.
Il existe une version gratuite pour vous aider à démarrer, dotée d'un large éventail de fonctionnalités. Si vous souhaitez des fonctionnalités plus avancées telles que la localisation GeoIP et les scripts personnalisés, vous devrez acheter une licence professionnelle.
Avantages:
- Agit comme un outil médico-légal ainsi qu'un renifleur de paquets
- Peut reconstruire des fichiers et des paquets sur des flux TCP
- N'introduit aucun bruit dans le réseau pendant son utilisation, idéal pour éviter la contamination croisée
- Utilisation gratuite, comprend une version payante pour des fonctionnalités plus avancées
- Offre une interface graphique plutôt qu'une seule CLI
Les inconvénients:
- L'interface est désuète et peut parfois être difficile à naviguer
10. Violon (HTTP)
Fiddler n'est techniquement pas un outil de capture de paquets réseau, mais il est tellement utile qu'il figure sur la liste. Contrairement aux autres outils répertoriés ici qui sont conçus pour capturer le trafic ad hoc sur le réseau à partir de n'importe quelle source, Fiddler est davantage un outil de débogage de bureau. Il capture le trafic HTTP et, même si de nombreux navigateurs disposent déjà de cette fonctionnalité dans leurs outils de développement, Fiddler ne se limite pas au trafic des navigateurs. Fiddler peut capturer n'importe quel trafic HTTP sur le bureau, y compris celui des applications non Web.
De nombreuses applications réseau de bureau utilisent HTTP pour se connecter aux services Web et sans un outil tel que Fiddler, le seul moyen de capturer ce trafic à des fins d'analyse consiste à utiliser des outils tels que tcpdump ou WireShark. Cependant, ces outils fonctionnent au niveau des paquets, l'analyse inclut donc la reconstruction de ces paquets en flux HTTP. Cela peut représenter beaucoup de travail pour effectuer une simple enquête HTTP et Fiddler vient à la rescousse. Fiddler peut aider à découvrir les cookies, les certificats et les données utiles des paquets entrant ou sortant de ces applications.
Principales caractéristiques:
- Affiche le trafic HTTP
- Aide au débogage
- Utilisation gratuite
Il est utile que Fiddler soit gratuit et, tout comme NetworkMiner, il peut être exécuté dans Mono sur n'importe quel autre système d'exploitation doté d'un framework Mono.
Avantages:
- Axé sur la capture uniquement du trafic HTTP, permettant une solution plus ciblée et moins complexe
- Idéal pour ceux qui s'intéressent à la sécurité et aux communications du protocole HTTP
- Peut découvrir tout le trafic HTTP, pas seulement limité aux navigateurs
- Est totalement gratuit
- Offre une interface graphique pour ceux qui veulent plus qu'un outil CLI
Les inconvénients:
- Courbe d’apprentissage abrupte
- Il peut être difficile de trouver de l'aide sur certains problèmes
11.capsa
Capsa Network Analyzer propose plusieurs éditions, chacune avec des fonctionnalités variables. Au premier niveau, Capsa gratuit, le logiciel se contente essentiellement de capturer les paquets et d'en permettre une analyse très graphique. Le tableau de bord est tout à fait unique et peut aider les administrateurs système novices à identifier rapidement les problèmes de réseau, même avec peu de connaissances réelles sur les paquets. Le niveau gratuit s'adresse aux personnes qui souhaitent en savoir plus sur les paquets et développer leurs compétences pour devenir des analystes à part entière.
La version gratuite sait comment surveiller plus de 300 protocoles, elle permet la surveillance des e-mails, elle peut également enregistrer le contenu des e-mails et prend également en charge les déclencheurs. Les déclencheurs peuvent être utilisés pour définir des alertes pour des situations spécifiques, ce qui signifie que la norme Capsa peut également être utilisée à titre de support dans une certaine mesure.
Principales caractéristiques:
- Analyse 300 protocoles
- Interprète les données dans des graphiques
- Version gratuite
Capsa est uniquement disponible pour Windows 2008/Vista/7/8 et 10.
Avantages:
- Comprend des outils d'analyse du trafic et des graphiques intégrés pour une visualisation en direct
- Interface plus intuitive que les outils similaires
- Meilleure option pour les administrateurs système juniors, plus facile à apprendre la plateforme
- La version gratuite prend en charge plus de 300 protocoles différents, ce qui en fait une option gratuite robuste
Les inconvénients:
- Pas aussi léger que les autres outils CLI
- Les professionnels peuvent trouver l’interface encombrante et moins efficace
Choisir un renifleur de paquets
Avec les outils de détection de paquets que j'ai mentionnés, il n'est pas difficile de voir comment un administrateur système pourrait créer une infrastructure de surveillance réseau à la demande.
Si le réseau est si vaste que cela n’est pas réalisable, alors des outils d’entreprise comme leSuite SolarWinds et son essai gratuit de 30 jourspeut aider à apprivoiser toutes ces données réseau dans un ensemble de données gérable.
Tcpdump, ou Windump, pourrait être installé sur tous les serveurs. Un planificateur, tel que cron ou Windows, pourrait lancer une session de collecte de paquets à un moment donné et écrire ces collections dans un fichier pcap.
Plus tard, un administrateur système peut transférer ces paquets vers une machine centrale et utiliser Wireshark pour les analyser.
FAQ sur les renifleurs de paquets
À quoi servent les outils PCAP ?
PCAP est l'abréviation de « capture de paquets ». Un outil PCAP copie les paquets au fur et à mesure de leur déplacement sur le réseau. Les paquets capturés sont affichés dans une visionneuse au sein de l'outil, stockés dans un fichier, ou les deux. Certains outils PCAP copient l'intégralité de chaque paquet, y compris sa charge utile de données, tandis que d'autres affichent et/ou stockent uniquement les en-têtes des paquets. Les outils PCAP qui capturent les paquets dans leur intégralité créent des fichiers très volumineux et sont stockés avec l'extension .pcap.
Quels sont les meilleurs outils d’analyse du trafic réseau ?
Nos recherches montrent que les meilleurs outils d'analyse du trafic réseau sont l'outil d'inspection et d'analyse approfondie des paquets SolarWinds, l'outil de capture de paquets Paessler, l'analyseur ManageEngine NetFlow et l'analyseur de protocole réseau Omnipeek. Il existe également certains favoris de l'industrie tels que tcpdump, Windump et Wireshark.
Comment fonctionne un analyseur de paquets ?
Un analyseur de paquets capture les paquets lorsqu'ils voyagent sur le réseau. Cela peut être implémenté en tant que périphérique de capture de paquets autonome qui fonctionne comme un TAP ou un logiciel accédant à la carte réseau de son ordinateur hôte en « mode promiscuité ». En plus de copier les paquets réseau, un analyseur de paquets doit offrir un utilitaire permettant d'afficher, de rechercher et de filtrer les données des paquets. Certains analyseurs de paquets incluent également des outils d'analyse plus sophistiqués.
Le reniflage de paquets peut-il être détecté ?
Le reniflage de paquets peut être détecté dans certaines circonstances. La solution pour trouver la capture de paquets dépend de l'emplacement du renifleur de paquets et de la méthode qu'il utilise. Un outil de détection de paquets logiciels nécessite que la carte réseau de l’ordinateur hôte soit en mode promiscuité. L'émission d'un ping avec la bonne adresse IP mais la mauvaise adresse MAC pour chaque ordinateur du réseau devrait détecter les hôtes qui sont en mode promiscuité et donc susceptibles d'être utilisés pour le reniflage de paquets.
Qu’est-ce que la capture complète de paquets ?
La capture complète des paquets copie l'intégralité d'un paquet, y compris la charge utile des données. Généralement, les données complètes de capture de paquets sont stockées dans un fichier portant l'extension .pcap. Les entreprises n’apprécient pas que les professionnels du réseau utilisent cette méthode, car le contenu du paquet risque de ne pas être chiffré. Permettre au personnel du service informatique d'utiliser toutes les capacités de capture de paquets peut briser la confidentialité des données détenues par l'entreprise et invalider la conformité aux normes de sécurité des données.