Administrateur Réseau

6 meilleurs outils d'analyse de protocole

Meilleurs outils d



UN analyseur de protocole fournit des détails sur les informations contenues dans les en-têtes des paquets de données lorsqu'ils se déplacent sur un réseau. La tâche de détection est également connue sous le nom de « reniflage de paquets ».

Les détails d'un en-tête de paquet incluent l'adresse source et de destination du message circulant et une partie de cette adresse est le numéro de port.



En répertoriant les numéros de port sur les paquets, un analyseur de protocole peut fournir des détails spécifiques à l'application sur l'activité du réseau.

Voici notre liste des six meilleurs outils d’analyse de protocole :



  1. Moniteur de performances du réseau SolarWinds (ESSAI GRATUIT)Ce package de surveillance du réseau comprend un analyseur de protocole dans le cadre d'une installation d'inspection approfondie des paquets. Fonctionne sur Windows Server. Démarrez un essai gratuit de 30 jours.
  2. Requin filaire Il s’agit du principal analyseur de protocole et l’un des plus anciens. Si vous suivez un cours sur l'analyse des réseaux ou la cybersécurité, vous utiliserez Wireshark en laboratoire. Disponible pour Windows, macOS et Linux.
  3. Paessler PRTG Il s'agit d'un ensemble d'outils de surveillance pour les réseaux, les serveurs et les applications. Il comprend un renifleur de paquets doté d'un analyseur de protocole dans son interface utilisateur. Fonctionne sur Windows Server.
  4. Renifler Cet outil d'analyse du trafic est principalement connu sous le nom de système de détection d'intrusion mais il comprend un analyseur de protocole. Disponible pour Linux, Unix et Windows.
  5. Splunk cet analyseur de données est largement utilisé pour rechercher des données et peut être alimenté par un fichier pcap pour en faire un analyseur de protocole. Disponible pour Windows, Linux, Unix et macOS.
  6. Analyseur de protocole réseau Omnipeek Un analyseur de trafic en direct qui peut également être utilisé pour effectuer des recherches grâce à l'analyse des données historiques. Fonctionne sous Windows.

Vous pouvez en savoir plus sur chacune de ces options dans les sections suivantes.

Numéros de port et protocoles

Dans le langage des réseaux, un « port ' n'est pas un récepteur physique sur le côté d'un appareil ; c'est un identifiant logique qui crée une adresse. Le concept de ports logiques fait partie de la suite de TCP/IP protocoles et on le trouve au Couche de transport de la pile. Les ports sont identifiés comme étant utilisés pour TCP ou UDP , alors que beaucoup sont utilisés pour les deux.

Une organisation mondiale, appelée L'autorité d'assignation des numéros internet (IANA), maintient une liste des numéros de port attribués. Les numéros sont attribués à des applications spécifiques, également appelées protocoles.

L'objectif de la liste IANA est de fournir une liste universelle de identifiants de protocole . Les missions n’appartiennent à aucune entreprise individuelle. Cela signifie que personne n’a d’avantage sur le contrôle des numéros de port. La valeur de cette universalité réside dans le fait que les développeurs de logiciels travaillant de manière indépendante peuvent créer des systèmes compatibles capables d’envoyer et de recevoir des données sans avoir à conclure d’accords avec tous les autres développeurs de logiciels du monde.

Tout le monde peut accéder à la liste des numéros de port attribués. L'IANA maintient une liste de ports mais ce n'est pas très bien présenté. Vous pouvez obtenir un meilleur tableau des numéros de port sur d'autres sites Web, tels que le Page Wikipédia sur les numéros de port .

La gamme complète des numéros de port est subdivisée en sections :

  • Ports connus : 0 – 1023
  • Ports enregistrés : 1024 – 49151
  • Portages éphémères : 49152 – 65535

La différence entre ces plages réside dans le fait que les ports les plus connus sont les allocations les plus anciennes et représentent des protocoles de longue date, tels que le protocole de transfert de fichiers (FTP) et le protocole de transfert de courrier simple (SNMP).

Alors que ports connus sont presque tous utilisés pour les standards open source, les ports enregistrés sont affectés à des services que les entreprises auraient pu développer. Cependant, les protocoles open source se voient également attribuer des numéros dans cette plage car il n'y a plus de numéros de rechange dans la plage de ports bien connue.

Portages éphémères sont délibérément non enregistrés et l’IANA n’attribuera pas de numéros dans cette plage. Les listes non officielles de numéros de port comprendront des conseils d'utilisation pour les numéros de port dans cette plage, lorsque l'utilisation régulière de l'un de ces numéros de port a été codée dans un logiciel largement utilisé.

L’une des principales utilisations des ports éphémères est de permettre la gestion simultanée des connexions. Dans ce scénario, un progiciel peut signaler à un correspondant que la connexion doit se poursuivre sur un autre port, libérant ainsi le port connu pour les connexions d'autres clients.

Capture de paquets et analyseurs de protocoles

Les analyseurs de protocole ont besoin de données à analyser. Ces données sont un flux de paquets qui sont collectés à partir d’un réseau. La tâche d'analyse de protocole n'est pas la même que la capture de paquets : ce sont deux fonctions distinctes. Un analyseur de protocole ne fonctionne pas uniquement sur des données en direct, car les paquets peuvent être lus à partir de fichiers pour analyse.

Les meilleurs analyseurs de protocole incluent un système intégré de capture de paquets. Cependant, ce processus de capture de paquets n’est probablement pas intégré à l’analyseur de protocole. Le système le plus largement utilisé pour la capture de paquets est pcap et ceci est implémenté pour les systèmes d'exploitation Unix et de type Unix, y compris Linux et macOS, via libpcap . Les utilisateurs Windows ont besoin WinPcap . Ces systèmes sont gratuits.

Les meilleurs outils d'analyse de protocole

Analyse du protocole basée sur captures de paquets est l’une des techniques de dépannage réseau les plus anciennes. Il existe de nombreux analyseurs de protocoles de longue durée dont l'utilisation est gratuite. Bien que ces systèmes soient gratuits et anciens, nombre d'entre eux sont toujours à la pointe du secteur car ils ont été adoptés par de grands fournisseurs de systèmes de réseau et financé , tout en restant libre d'utilisation.

Que devez-vous rechercher dans un outil d’analyse de protocole ?

Nous avons examiné le marché des analyseurs de protocoles et évalué les options disponibles sur la base des critères suivants :

  • Un outil de capture de paquets intégré, tel que libpcap et WinPcap
  • Options pour rire la capture de paquets à partir de l'analyseur
  • Filtres pour la capture et l'affichage des paquets
  • Codage couleur pour différents protocoles
  • Une indication des conversations ou des flux associés
  • Un outil gratuit ou un essai gratuit pour un outil payant afin que l'évaluation puisse avoir lieu sans paiement
  • Un rapport qualité/prix offert par un outil payant qui vaut son prix ou un outil gratuit qui fonctionne bien

En gardant ces critères à l’esprit, nous avons identifié des analyseurs de protocole gratuits et payants, en recherchant également des packages de surveillance du système plus larges incluant un analyseur de protocole comme service supplémentaire.

1. Moniteur de performances du réseau SolarWinds (ESSAI GRATUIT)

Moniteur de performances du réseau SolarWinds

Moniteur de performances du réseau SolarWinds est un système de surveillance de réseau leader doté de nombreux utilitaires. L'un des outils du package SolarWinds est le service Deep Packet Inspection. Cela vous permet de répartir toutes les mesures de performances du réseau par application. Les applications mentionnées par SolarWinds sont des protocoles et ceci est dérivé de l'examen du numéros de port en passant des paquets.

Principales caractéristiques:

  • Statistiques de trafic par application
  • Catégorise le trafic par utilisation
  • Résume les paquets par point de terminaison
  • Statistiques QoS

Un gros avantage de cette solution par rapport aux autres outils de cette liste est qu’il ne s’agit pas d’un analyseur de protocole autonome ; cela fait partie d'un ensemble beaucoup plus vaste de surveillance du réseau des outils qui incluent un service de découverte automatique, un créateur d'inventaire réseau et un mappeur de topologie réseau.

L'interface utilisateur de Network Performance Monitor est très sophistiquée et présente de nombreux représentations graphiques des données de trafic ainsi que des listes. Les écrans sont bien disposés et facilitent l’interprétation des données. L'outil n'inclut pas de visionneuse de données pour l'analyse manuelle du trafic.

Avantages:

  • Facile à utiliser avec des écrans de données bien présentés
  • Alertes en cas de trafic inhabituel
  • Catégorisation du trafic pour un usage professionnel ou personnel
  • Mesures de qualité d'expérience (QoS)

Les inconvénients:

  • Aucune fonction d'analyse manuelle des données

Le logiciel pour SolarWinds Network Performance Monitor s’installe sur Serveur Windows et vous pouvez évaluer le système avecun essai gratuit de 30 jours.

SolarWinds Network Performance Monitor Téléchargez un essai GRATUIT de 30 jours

2. Wireshark

Écran principal de Wireshark

Requin filaire coche toutes les cases pour être un excellent analyseur de protocole : il intègre un système de capture de paquets, il code les protocoles par couleur et il offre une gamme d'options rapides pour filtrer les paquets via un menu contextuel. Ce qui rend Wireshark encore meilleur, c'est qu'il est utilisation gratuite .

Principales caractéristiques:

  • Facile à installer et à utiliser
  • Interface utilisateur graphique
  • Démarrer et arrêter la capture de paquets
  • Langage de requête
  • Suivi du flux TCP

Le système Wireshark ne dispose pas de ses propres routines de capture de paquets, mais il fonctionne de manière transparente avec WinPcap et libpcap . Le programme d'installation de Wireshark télécharge et installe la bonne version de pcap pour vous pendant qu'il installe son propre logiciel. Vous démarrez et arrêtez la capture de paquets avec un bouton dans l'interface Wireshark.

Avantages:

  • Apprendre à utiliser Wireshark donne aux professionnels des réseaux une compétence recherchée
  • Un ensemble complet de commandes de filtrage pour les captures et les recherches de données
  • Options pour stocker les paquets dans un fichier
  • Version en ligne de commande, appelée Tshark
  • Utilisation gratuite

Les inconvénients:

  • Le langage de requête est très compliqué

Wireshark a le sien langage de requête avec de longues listes de commandes et de définitions de données. Le gros problème du système est que le langage de requête est très compliqué – il faut une formation et beaucoup de temps pour pouvoir l’utiliser. Des filtres peuvent être appliqués à la capture de paquets pour réduire considérablement le volume de paquets transmis au visualiseur. L'utilisateur a la possibilité de choisir sauvegarder paquets capturés.

3. Paessler PRTG

Tableau de bord du moniteur réseau Paessler PRTG

Paessler PRTG propose un choix de systèmes de surveillance pour les réseaux, les serveurs et les applications. Le bundle comprend un grand nombre de moniteurs, appelés capteurs. Le prix que vous payez pour le système dépend du nombre de capteurs que vous souhaitez activer, puis vous choisissez lequel activer.

Principales caractéristiques:

  • Un choix de techniques d'analyse de paquets
  • Affichages graphiques
  • Classement des générateurs de débit
  • Comprend d'autres moniteurs réseau

La liste des capteurs PRTG comprend un numéro qui peut être utilisé pour le reniflage de paquets et analyse du protocole . Le simple renifleur de paquets capturera les paquets et affichera des statistiques à leur sujet. L'écran ou ce capteur comprend un classement des principaux générateurs de trafic par application, par appareil et par conversation.

D'autres options d'analyse du trafic proviennent de analyse de bande passante systèmes, tels que IPFIX, NetFlow, J-Flow et SNMP. Vous pouvez également basculer vers les écrans de performances du réseau pour voir si l'un des commutateurs et routeurs de votre réseau rencontre des problèmes.

Avantages:

  • Analyse du trafic
  • Affiche le trafic par protocole
  • Analyse des liens
  • Analyse du trafic de bout en bout

Les inconvénients:

  • N'inclut pas d'outils pour l'analyse manuelle du protocole

Paessler PRTG s'installe sur Serveur Windows et vous pouvez l'utiliser gratuitement pour toujours si vous n'activez que 100 capteurs. Tu peux recevoir un essai gratuit de 30 jours du système avec tous les capteurs activés.

4. Renifler

Snort 3.0 avec ElasticSearch LogStash et Kibana (ELK)

Snort est un système de détection d'intrusion bien connu. Cependant, le package est un analyseur de données et peut être appliqué à plusieurs applications différentes, telles que l'analyse au niveau des paquets et l'analyse de protocole.

Principales caractéristiques:

  • Mode de détection de paquets
  • Affichage et recherche de paquets
  • Règles automatisées

Snort dispose d'un mode de détection de paquets basé sur le système pcap. Vous n'avez pas besoin d'exécuter libpcap ou WinPcap séparément car Snort peut s'intégrer à ces outils pour lire les paquets directement depuis le réseau.

La principale force de Snort réside dans ses recherches automatisées qui sont mises en œuvre par des règles. Vous pouvez acquérir des règles vous-même ou les rédiger vous-même. Avec ces règles, vous pouvez créer vos propres conditions d'alerte et laisser Snort fonctionner comme un moniteur de performances réseau en direct.

Avantages:

  • Recherches automatisées
  • Règles de filtrage et de détection personnalisables
  • Alertes personnalisables

Les inconvénients:

  • Il s’agit d’un système puissant et il faut du temps pour apprendre à en tirer le meilleur parti.

Snort est disponible pour de nombreuses distributions Linux, BSD Unix et Windows. Le système est gratuit mais il devient plus puissant grâce à un ensemble de règles. Vous pouvez obtenir gratuitement des règles créées par la communauté et des packs de règles plus puissants centrés sur l'entreprise moyennant un abonnement.

5. Splunk

Fantôme Splunk

Splunk est un outil d'analyse de données disponible à la fois sur site et SaaS versions. Bien que vous puissiez utiliser Splunk pour créer n'importe quelle recherche de données, en créant vos propres applications d'analyse à partir de celles-ci, l'outil a connu plus de succès grâce à la production d'outils pré-écrits, notamment Sécurité d'entreprise Splunk . Ce package de sécurité est un SIEM et il offre également un moniteur d'activité de port et de protocole en direct.

Principales caractéristiques:

  • Un système SIEM
  • Adaptable aux applications personnalisées
  • Analyse toutes les données

Il est possible d'utiliser Splunk pour examiner les données des paquets et identifier l'activité du protocole via un plug-in gratuit. La communauté des utilisateurs de Spunk comprend un marché d'applications, appelé Base Splunk . Il existe un package disponible sur ce forum appelé Analyseur PCAP pour Splunk . Ce service est gratuit et fournit un connecteur pour lire les fichiers pcap et un ensemble de recherches qui placent les données dans ses propres écrans Splunk – il existe une fonction d'analyse de protocole dans cet outil.

Avantages:

  • Adaptable à une gamme d’applications personnalisées
  • Un plug-in gratuit pour l'analyse des paquets
  • Un analyseur de protocole

Les inconvénients:

  • Exécute des fichiers PCAP plutôt qu'un renifleur de paquets intégré

Splunk Enterprise s'installe sur les fenêtres , Serveur Windows , Linux , Unix , et macOS , ou vous pouvez accéder à Splunk Cloud via n'importe quel navigateur Web standard. Les deux systèmes sont disponibles pour un essai gratuit – 14 jours pour Spunk Cloud et 60 jours pour Splunk Enterprise.

6. Analyseur de protocole réseau Omnipeek

Écran Omnipeek

Si vous souhaitez simplement un analyseur de protocole pur sans beaucoup de capacités périphériques, alors le Analyseur de protocole réseau Omnipeek de LiveAction est probablement votre meilleur pari. Comme son nom l'indique, cet outil consiste à suivre le trafic par protocole et il le fait très bien.

Principales caractéristiques:

  • Axé sur l'analyse du protocole
  • Débit du trafic en direct
  • Représentations graphiques des données

Lorsque vous utilisez Wireshark, vous commencez avec un écran rempli du contenu des paquets, puis filtrez les données afin de passer de la masse de données disponibles à quelque chose de taille exploitable. Avec Omnipeek, c’est l’inverse car ça commence par un aperçu et vous permet de cliquer sur des tranches de données jusqu'à ce que vous vous retrouviez directement dans les paquets. Il s'agit d'une manière beaucoup plus gérable d'aborder les données de trafic, car il vous suffit de descendre à un niveau de détail qui explique les problèmes rencontrés par votre réseau.

Si vos compétences techniques ne sont pas très bonnes et que vous ne voulez pas avoir à apprendre tout un langage de programmation pour obtenir quelque chose significatif pour apparaître à l'écran, alors vous aimerez beaucoup l'Omnipeek Protocol Analyzer.

Avantages:

  • Écrans faciles à lire
  • Affiche les données de trafic en direct
  • Offre des détails détaillés

Les inconvénients:

  • Ne fait pas grand chose d'autre que l'analyse du protocole

Omnipeek Protocol Analyzer est un progiciel sur site qui s'installe sur les fenêtres Serveur. L'outil peut rassembler lui-même les paquets, vous n'avez donc pas besoin de configurer un service PCAP distinct et de lui fournir des fichiers. Le système peut analyser les réseaux sans fil ainsi que les réseaux locaux. Examinez les capacités d’Omnipeek Protocol Analyzer avec un essai gratuit de 30 jours .

^