Поиск по сайту:

Популярные анализаторы пакетов в Linux


Инструмент анализатора пакетов захватывает живые пакеты из сетей, декодирует их в соответствии со спецификациями протокола и, при необходимости, выполняет действия в соответствии с содержимым проанализированного пакета (например, в случае систем обнаружения/предотвращения вторжений). Инструменты анализа пакетов очень полезны при диагностике сетей или защите от сетевых атак. В следующем списке показаны популярные анализаторы пакетов с открытым исходным кодом, доступные в Linux.

1. tcpdump

Самый популярный анализатор пакетов общего назначения. tcpdump использует библиотеку libpcap для захвата пакетов на уровне 2 OSI (например, Ethernet, PPP и SLIP) и выше. Он также поддерживает регулярные выражения для расширенной фильтрации пакетов и позволяет экспортировать и импортировать дампы пакетов в файл и из него.

2. Wireshark

Wireshark, ранее известный как Ethereal, представляет собой анализатор пакетов с открытым исходным кодом и графическим интерфейсом. Функционально Wireshark очень похож на tcpdump и доступен на нескольких платформах, включая Linux, BSD, Mac OS X и MS Windows. Вместе с ним поставляется CLI-клиент под названием tshark.

3. dhcpdump

Отслеживает трафик запросов/ответов DHCP, захваченный библиотекой libpcap, и отображает пакеты DHCP в удобочитаемых форматах. dhcpdump полезен для отладки DHCP и устранения неполадок.

4. p0f

Инструмент пассивного снятия отпечатков ОС, который идентифицирует операционные системы двух узлов конечных точек, связанных с существующим соединением TCP. Для точного снятия отпечатков пальцев p0f использует различные подписи, включая заголовки TCP/IP, динамику трехэтапного рукопожатия TCP, содержимое полезных данных на уровне приложения (например, HTTP-запрос/ответ). Помимо снятия отпечатков ОС, p0f также определяет типы HTTP-клиентов, сетевых соединений (например, Ethernet, DSL, модем), а также совместное использование соединения NAT, настройку балансировки нагрузки и т. д.

5. Snort

Система обнаружения и предотвращения вторжений с открытым исходным кодом, основанная на прослушивании и анализе сети в реальном времени. Snort проводит обширный анализ протоколов и сопоставление контента для обнаружения различных сетевых атак и враждебных сканирований.

6. Kismet

Детектор беспроводной сети и система обнаружения вторжений для беспроводных соединений 802.11 с поддержкой 802.11a, 802.11b, 802.11g и 802.11n. Он идентифицирует беспроводных клиентов и их сетевые ассоциации, пассивно собирая пакеты на интерфейсах беспроводных сетевых карт. Kismet также обнаруживает активные программы прослушивания беспроводных сетей, чтобы предупредить об атаках на беспроводные сети.

7. hcidump

Сниффер трафика Bluetooth, который захватывает пакеты HCI, связанные с устройствами Bluetooth, и отображает действия, связанные с Bluetooth, в удобочитаемых форматах.

8. httpry

Инструмент для анализа HTTP-пакетов с открытым исходным кодом, который перехватывает живые HTTP-пакеты с помощью библиотеки libpcap и отображает HTTP-запросы и ответы в удобном для человека формате. Он поставляется с коллекцией Perl-скриптов для анализа различной информации из стандартного вывода.

9. dsniff

Набор инструментов CLI, используемых для аудита сети и тестирования на проникновение. Поддерживаемые функции включают в себя пароли из сеансов входа в систему (dsniff), анализ файлов из трафика NSF (filesnarf), сообщения электронной почты из трафика SMTP/POP (mailsnarf ), URL-адреса из веб-трафика (urlsnarf) и т. д.

10. ngrep

grep по сетевым пакетам. Работает с библиотекой libpcap, перехватывает пакеты, полезная нагрузка которых соответствует расширенным регулярным выражениям или шестнадцатеричным выражениям.

11. ntopng

Полнофункциональная веб-система мониторинга сетевого трафика в режиме реального времени, которая обеспечивает анализ трафика локальной сети на уровне потоков/протоколов/пакетов. Долгосрочная история трафика заархивирована в базе данных.

12. Wireless IDS

Инструмент обнаружения вторжений с открытым исходным кодом для беспроводных сетей. Он перехватывает связь между беспроводными устройствами и точками доступа, чтобы обнаружить любые потенциальные атакующие пакеты WEP/WPA/WPS или возможную мошенническую точку доступа.

13. mysql-sniffer

Инструмент сниффера MySQL с открытым исходным кодом, который захватывает живые пакеты, отправленные на сервер MySQL, и формирует дамп запросов MySQL в удобочитаемом формате.

14. bro

Мощная и гибкая система мониторинга сети и обнаружения вторжений. Анализирует текущий или записанный трафик для запуска событий, которые затем обрабатываются политиками действий.

Статьи по данной тематике: