Packet Capture and Analysis è estremamente utile per esaminare le interazioni di rete e identificare trasmissioni inefficienti e pericolose minacce informatiche.
Packet Capture si riferisce all’intercettazione e alla raccolta di un pacchetto di dati mentre viaggia su una connessione di rete. I pacchetti di dati vengono registrati e ispezionati per identificare e gestire problemi di rete come latenza elevata e problemi. Le informazioni acquisite dall’analisi dei pacchetti vengono utilizzate per assistere un amministratore di rete nella risoluzione dei problemi e nella risoluzione dei guasti di rete in un lasso di tempo più breve.
L’analisi dei pacchetti viene utilizzata per alcune delle seguenti attività.
- Rilevamento dei rischi per la sicurezza
- Risoluzione dei problemi relativi al DNS
- Identificazione e risoluzione dei problemi di connettività di rete
- Rilevamento di problemi di rete
- Rilevamento e correzione di perdite di pacchetti
- Rilevamento e prevenzione del malware
È possibile acquisire pacchetti di dati completi o segmenti particolari di un pacchetto. Un pacchetto di dati completo è costituito da due parti: un carico utile e un’intestazione. Il segmento del carico utile contiene il contenuto effettivo del pacchetto, mentre il segmento dell’intestazione contiene informazioni come gli indirizzi di origine e destinazione del pacchetto.
Abbiamo riassunto un elenco di alcune applicazioni per eseguire l’acquisizione e l’analisi di pacchetti completi.
Diamoci da fare.
Sommario:
Colasoft Capsa
Capsa è uno strumento di analisi, monitoraggio e diagnostica di rete portatile in tempo reale per reti cablate e wireless. È possibile programmare l’esecuzione delle ispezioni dei pacchetti di dati a un’ora specifica, ad esempio regolarmente o mensilmente. Scansioni regolari assicurano di non perdere alcun problema di prestazioni che si presenta. Se finisci per perdere qualcosa, e-mail e avvisi audio ti avviseranno ogni volta che si verifica una sessione di networking che richiede la tua partecipazione.
Capsa aiuta l’utente a rimanere aggiornato su vulnerabilità e minacce che potrebbero causare un’interruzione del servizio. Tutte le metriche critiche VoIP (Voice over Internet Protocol), come il tipo di codec delle chiamate e la distribuzione degli eventi, sono ben monitorate utilizzando questo strumento. È uno strumento eccellente per le persone che desiderano impegnarsi nell’ispezione dei pacchetti e imparare a rilevare i problemi di rete e migliorare la sicurezza della rete.
Caratteristiche:
- Utilità integrate gratuite per la creazione e la riproduzione di pacchetti, nonché per la scansione e il ping degli indirizzi IP.
- Diagnostica i problemi di rete e consiglia soluzioni automaticamente.
- Supporta l’analisi del flusso VoIP e TCP, che può essere utilizzata per diagnosticare problemi di rete come tempi di risposta lenti e transazioni CRM (Customer Relationship Management).
- È possibile rilevare l’attacco DDoS, l’attacco ARP e la scansione delle porte TCP e consente inoltre all’utente di individuare i problemi tecnici nella rete.
- Questo strumento supporta oltre 1800 protocolli, semplificando l’esame dei protocolli in una rete e la comprensione di cosa sta succedendo.
- Raccoglie tutti i pacchetti di dati e mostra le informazioni complete sulla sequenza dei pacchetti in formato esadecimale e ASCII. (Decodifica dei pacchetti approfondita)
- Le informazioni sul traffico di rete e sul throughput possono essere visualizzate in formati grafici.
Colasoft fornisce altri strumenti come Network Performance Analysis System (nChronos) e Unified Performance Management Solution (Colasoft UPM). Fornisce una prova gratuita di 30 giorni per verificare le funzionalità prima dell’acquisto.
TCPDump
TCPDump è un potente strumento di analisi dei pacchetti da riga di comando open source che acquisisce protocolli come TCP, UDP e ICMP (Internet Control Message Protocol). Questo strumento è preinstallato su tutti i sistemi operativi simili a Unix. TCPDump è rilasciato sotto la licenza BSD. Puoi controllare facilmente le intestazioni dei pacchetti TCP/IP con tcpdump. Emette le informazioni per ogni trasmissione di dati e lo script viene eseguito fino a quando non lo termini con l’opzione Ctrl+C.
Tcpdump è molto semplice da configurare e, se impari l’utilizzo dello strumento, i flag e gli argomenti, puoi utilizzare questo strumento per risolvere i problemi di connettività e proteggere la rete. I pacchetti di dati registrati verranno salvati in un file per ulteriori analisi con tcpdump. Salva il file nel formato di estensione PCAP, che può essere facilmente ispezionato con tcpdump o Wireshark che legge i file in formato PCAP (abbreviazione di packet capture).
Caratteristiche:
- È possibile filtrare i pacchetti di dati acquisiti per origine, destinazione e protocollo.
- Gratuito e open source
Ecco un articolo su come acquisire e analizzare il traffico di rete con tcpdump.
Paessler PRTG
Uno degli strumenti di monitoraggio della rete e analisi del traffico più popolari è Paessler PRTG Network Monitor. Questo strumento fornisce informazioni cruciali sull’infrastruttura della rete e sulle sue prestazioni.
È compatibile con Windows. Include una varietà di opzioni di monitoraggio, incluso il monitoraggio della larghezza di banda e l’analisi del traffico. È disponibile una versione gratuita di Paessler PRTG. Per segnalare le metriche delle prestazioni di rete, utilizza una combinazione di uno sniffer di pacchetti, WMI e SNMP.
Caratteristiche:
- Avvisi flessibili: PRTG ha oltre dieci tecnologie progettate, inclusi SMS, notifiche push, e-mail, attivazione di richieste HTTP, ecc.
- Interfacce utente multiple: costruite su AJAX con severi requisiti di sicurezza, altamente performanti attribuibili alla tecnologia Single Page Application (SPA),
- Soluzione di failover del cluster: per costituire una soluzione di monitoraggio leggermente elevata.
- Mappe e dashboard: utilizza mappe in tempo reale con informazioni in tempo reale per visualizzare la rete.
- Monitoraggio distribuito: utilizzando Portable Interceptor, puoi monitorare numerose reti in varie località e più reti all’interno della tua organizzazione.
- Reporting approfondito sotto forma di numeri, statistiche e grafici
Questo strumento supporta una varietà di metodi di avviso, inclusi SMS, e-mail e connessioni di terze parti a piattaforme come Slack. PRTG è disponibile in una versione illimitata per 30 giorni. Dopo il periodo gratuito, tornerà alla forma libera.
Wireshark
Wireshark è un analizzatore di pacchetti gratuito e open source che consente di esaminare le trasmissioni di dati di rete in tempo reale. Questo strumento consente ai gestori di rete di sondare la rete a livello microscopico per individuare l’origine di problemi ed errori di traffico. È un ottimo strumento che richiede una solida comprensione dei concetti di rete.
Caratteristiche:
- Funziona praticamente con qualsiasi sistema operativo, inclusi Windows, distribuzioni Linux, Mac OS X, ecc.
- Crea report basati sui dati statistici attuali.
- Il filtraggio dell’output può essere eseguito con una varietà di opzioni, come timer e filtri.
- Visualizza i pacchetti di rete con grafici e grafici IO.
- Può anche registrare il traffico USB.
- Offre un’ampia gamma di usi, tra cui il rilevamento delle impronte digitali del traffico non autorizzato, le impostazioni di filtraggio dei pacchetti e così via.
- È possibile applicare regole di codifica a colori per identificare i tipi di traffico.
- Ricerca dettagliata su VoIP (Voice over Internet Protocol).
Pacchetti di dati persi, problemi di latenza di rete, dipendenze delle applicazioni e dimensioni inefficienti della finestra sono le problematiche comuni per la risoluzione dei problemi con cui Wireshark può essere d’aiuto. Questo strumento consente di monitorare il traffico di rete e fornisce meccanismi per la ricerca e l’individuazione dell’origine di un problema.
Il traffico Unicast (senza connessione) che non viene inviato all’interfaccia dell’indirizzo MAC della rete può anche essere monitorato con lo strumento Wireshark.
Sentiti libero di visitare questo articolo sulla risoluzione dei problemi di latenza di rete con Wireshark.
Arkime
Arkime opera in collaborazione con il sistema di sicurezza esistente per raccogliere e indicizzare il traffico di rete e le trasmissioni di dati in formato standard PCAP.
Tutti i pacchetti di dati registrati vengono archiviati ed esportati nel normale formato PCAP, consentendoti di utilizzare i tuoi strumenti di acquisizione PCAP preferiti, come Wireshark o tcpdump nel tuo processo analitico.
La conservazione del PCAP è determinata dalla quantità di spazio disponibile su disco del sensore, mentre la conservazione dell’API è determinata dalle dimensioni del cluster Elasticsearch. Entrambi questi parametri possono essere modificati in qualsiasi momento.
Arkime è progettato per funzionare su diversi sistemi e scalabilità per ospitare decine di gigabit al secondo di traffico. Tutti i file in formato PCAP che vengono salvati sui sensori Arkime possono essere installati e accessibili solo tramite l’interfaccia Web Arkime o l’API. I file PCAP possono essere crittografati a riposo con Arkime.
Caratteristiche:
- Fornisce un’interfaccia Web intuitiva per esaminare, trovare ed estrarre file PCAP.
- Gratuito e open source
- Consente ad altri strumenti di acquisizione PCAP di ispezionare i file PCAP salvati.
I dati PCAP e i dati delle transazioni in formato JSON possono essere recuperati direttamente tramite le API. Visualizza la documentazione completa dell’API di Arkime qui.
Conclusione
L’analisi dei dati di acquisizione dei pacchetti richiede solitamente un elevato livello di competenza tecnica, che può essere ottenuta utilizzando questi strumenti.
Spero che tu abbia trovato questo articolo molto utile per apprendere gli strumenti di acquisizione e analisi di pacchetti completi per reti piccole e grandi.
Potresti anche essere interessato a conoscere i migliori strumenti software Wi-Fi Analyzer.