5 个适用于小型到大型网络的完整数据包捕获和分析工具

已发表: 2022-04-19

数据包捕获和分析对于检查网络交互和识别低效传输以及危险的网络威胁非常有用。

数据包捕获是指在数据包通过网络连接时拦截和收集数据包。 记录和检查数据包以识别和管理网络问题,例如高延迟和故障。 从数据包分析中获取的信息用于帮助网络管理员在更短的时间内排除故障并修复网络故障。

数据包分析用于以下一些任务。

  • 检测安全风险
  • 解决 DNS 问题
  • 识别和解决网络连接问题
  • 检测网络故障
  • 检测和修复数据包泄漏
  • 恶意软件检测和预防

可以捕获完整的数据包或数据包的特定段。 一个完整的数据包由两部分组成:有效载荷和报头。 有效载荷段包含数据包的实际内容,而报头段包含数据包的源地址和目标地址等信息。

我们总结了一些执行完整数据包捕获和分析的应用程序的列表。

让我们开始吧。

可乐软胶囊

Capsa 是一款适用于有线和无线网络的实时便携式网络分析仪、监控和诊断工具。 数据包检查可以安排在指定时间运行,例如定期或每月。 定期扫描可确保您不会错过任何出现的性能问题。 如果您最终遗漏了任何内容,只要网络会话需要您参与,电子邮件和音频警报就会通知您。

Capsa 帮助用户及时了解可能导致服务中断的漏洞和威胁。 使用此工具可以很好地跟踪所有关键的 VoIP(Internet 协议语音)指标,例如呼叫编解码器类型和事件分布。 对于想要进行数据包检查并学习如何检测网络问题和提高网络安全性的个人来说,它是一个极好的工具。

特征:

  • 免费的内置实用程序,用于创建和重放数据包,以及扫描和 ping IP 地址。
  • 自动诊断网络问题并推荐解决方案。
  • 支持 VoIP 和 TCP 流量分析,可用于诊断网络问题,例如响应时间慢和 CRM(客户关系管理)事务。
  • 可以检测 DDoS 攻击、ARP 攻击和 TCP 端口扫描,还可以让用户发现网络中的技术故障。
  • 该工具支持超过 1800 种协议,可以轻松检查网络中的协议并了解正在发生的事情。
  • 它收集所有数据包并以十六进制和 ASCII 格式显示完整的数据包排序信息。 (深度包解码)
  • 网络流量和吞吐量信息可以图表格式显示。

Colaso​​ft 提供其他工具,例如网络性能分析系统 (nChronos) 和统一性能管理解决方案 (Colaso​​ft UPM)。 它提供了 30 天的免费试用期,以便在购买前检查功能。

TCP转储

TCPDump 是一个开源且功能强大的命令行数据包分析工具,可捕获 TCP、UDP 和 ICMP(Internet 控制消息协议)等协议。 该工具预装在所有类 Unix 操作系统上。 TCPDump 在 BSD 许可下发布。 您可以使用 tcpdump 轻松检查 TCP/IP 数据包的标头。 它输出每次数据传输的信息,并且脚本一直运行,直到您使用 Ctrl+C 选项终止它。

Tcpdump 的设置非常简单,如果您了解该工具的用法、标志和参数,则可以使用此工具来解决连接问题并保护网络。 记录的数据包将保存在一个文件中,以便使用 tcpdump 进行进一步分析。 它以 PCAP 扩展格式保存文件,可以使用读取 PCAP(数据包捕获的缩写)格式文件的 tcpdump 或 Wireshark 轻松检查。

特征:

  • 可以按源、目标和协议过滤捕获的数据包。
  • 免费和开源

这是一篇关于如何使用 tcpdump 捕获和分析网络流量的文章。

帕斯勒 PRTG

Paessler PRTG Network Monitor 是最受欢迎的网络监控和流量分析工具之一。 此工具提供有关您的网络基础设施及其性能的重要信息。

它与 Windows 兼容。 它包括各种监控选项,包括带宽监控和流量分析。 Paessler PRTG 提供免费版本。 为了报告网络性能指标,它结合了数据包嗅探器、WMI 和 SNMP。

特征:

  • 灵活的警报——PRTG 拥有十多种设计技术,包括短信、推送通知、电子邮件、触发 HTTP 请求等。
  • 多用户界面——基于 AJAX 构建,具有强大的安全要求,可归因于单页应用程序 (SPA) 技术的高性能,
  • 集群故障转移解决方案——构成一个稍微提升的监控解决方案。
  • 地图和仪表板——使用具有当前实时信息的实时地图来可视化网络。
  • 分布式监控——使用便携式拦截器,您可以监控不同位置的众多网络以及组织内的多个网络。
  • 以数字、统计数据和图表的形式进行深入报告

该工具支持多种警报方式,包括短信、电子邮件和第三方连接到 Slack 等平台。 PRTG 提供 30 天的无限制版本。 免费期过后,它将恢复为免费形式。

线鲨

Wireshark 是一款免费的开源数据包分析器,可让您实时检查网络数据传输。 该工具使网络管理员能够在微观层面上探测网络,以查明流量问题和错误的根源。 这是一个很好的工具,需要对网络概念有深刻的理解。

特征:

  • 它实际上适用于任何操作系统,包括 Windows、Linux 发行版、Mac OS X 等。
  • 根据当前统计数据创建报告。
  • 可以使用多种选项(例如计时器和过滤器)对输出进行过滤。
  • 使用 IO 图形和图表可视化网络数据包。
  • 它还可以记录 USB 流量。
  • 它提供了广泛的用途,包括对未经授权的流量进行指纹识别、数据包过滤设置等。
  • 可以应用颜色编码规则来识别流量类型。
  • 详细的 VoIP(互联网协议语音)研究。

丢失的数据包、网络延迟问题、应用程序依赖性和低效的窗口大小是 Wireshark 可能帮助解决的常见故障排除挑战。 此工具允许您监控网络流量并提供搜索和查明问题根源的机制。

未发送到网络 MAC 地址接口的单播(无连接)流量也可以使用 Wireshark 工具进行监控。

随意访问这篇关于使用 Wireshark 解决网络延迟问题的文章。

阿基米

Arkime 与现有的安全系统合作,以标准 PCAP 格式收集和索引网络流量和数据传输。

所有记录的数据包都以普通的 PCAP 格式存储和导出,允许您在分析过程中使用您喜欢的 PCAP 摄取工具,例如 Wireshark 或 tcpdump。

PCAP 保留由可用的传感器磁盘空间量决定,而 API 保留由 Elasticsearch 集群的大小决定。 这两个参数都可以随时更改。

Arkime 旨在跨多个系统和规模工作,以适应每秒数十千兆位的流量。 所有保存在 Arkime 传感器上的 PCAP 格式文件都可以安装,并且只能通过 Arkime Web 界面或 API 访问。 PCAP 文件可以使用 Arkime 进行静态加密。

特征:

  • 提供用户友好的 Web 界面,用于检查、查找和提取 PCAP 文件。
  • 免费和开源
  • 允许其他 PCAP 摄取工具检查保存的 PCAP 文件。

可以通过 API 直接检索 PCAP 数据和 JSON 格式的交易数据。 在此处查看 Arkime 完整的 API 文档。

结论

数据包捕获数据的分析通常需要高水平的技术专业知识,而这可以使用这些工具来完成。

我希望您发现这篇文章对于学习适用于小型到大型网络的完整数据包捕获和分析工具非常有用。

您可能也有兴趣了解最好的 Wi-Fi Analyzer 软件工具。