Популярные анализаторы пакетов в Linux
Инструмент анализатора пакетов захватывает живые пакеты из сетей, декодирует их в соответствии со спецификациями протокола и, при необходимости, выполняет действия в соответствии с содержимым проанализированного пакета (например, в случае систем обнаружения/предотвращения вторжений). Инструменты анализа пакетов очень полезны при диагностике сетей или защите от сетевых атак. В следующем списке показаны популярные анализаторы пакетов с открытым исходным кодом, доступные в Linux.
1. tcpdump
Самый популярный анализатор пакетов общего назначения. tcpdump
использует библиотеку libpcap
для захвата пакетов на уровне 2 OSI (например, Ethernet, PPP и SLIP) и выше. Он также поддерживает регулярные выражения для расширенной фильтрации пакетов и позволяет экспортировать и импортировать дампы пакетов в файл и из него.
2. Wireshark
Wireshark, ранее известный как Ethereal, представляет собой анализатор пакетов с открытым исходным кодом и графическим интерфейсом. Функционально Wireshark очень похож на tcpdump
и доступен на нескольких платформах, включая Linux, BSD, Mac OS X и MS Windows. Вместе с ним поставляется CLI-клиент под названием tshark
.
3. dhcpdump
Отслеживает трафик запросов/ответов DHCP, захваченный библиотекой libpcap
, и отображает пакеты DHCP в удобочитаемых форматах. dhcpdump
полезен для отладки DHCP и устранения неполадок.
4. p0f
Инструмент пассивного снятия отпечатков ОС, который идентифицирует операционные системы двух узлов конечных точек, связанных с существующим соединением TCP. Для точного снятия отпечатков пальцев p0f
использует различные подписи, включая заголовки TCP/IP, динамику трехэтапного рукопожатия TCP, содержимое полезных данных на уровне приложения (например, HTTP-запрос/ответ). Помимо снятия отпечатков ОС, p0f
также определяет типы HTTP-клиентов, сетевых соединений (например, Ethernet, DSL, модем), а также совместное использование соединения NAT, настройку балансировки нагрузки и т. д.
5. Snort
Система обнаружения и предотвращения вторжений с открытым исходным кодом, основанная на прослушивании и анализе сети в реальном времени. Snort проводит обширный анализ протоколов и сопоставление контента для обнаружения различных сетевых атак и враждебных сканирований.
6. Kismet
Детектор беспроводной сети и система обнаружения вторжений для беспроводных соединений 802.11 с поддержкой 802.11a, 802.11b, 802.11g и 802.11n. Он идентифицирует беспроводных клиентов и их сетевые ассоциации, пассивно собирая пакеты на интерфейсах беспроводных сетевых карт. Kismet также обнаруживает активные программы прослушивания беспроводных сетей, чтобы предупредить об атаках на беспроводные сети.
7. hcidump
Сниффер трафика Bluetooth, который захватывает пакеты HCI, связанные с устройствами Bluetooth, и отображает действия, связанные с Bluetooth, в удобочитаемых форматах.
8. httpry
Инструмент для анализа HTTP-пакетов с открытым исходным кодом, который перехватывает живые HTTP-пакеты с помощью библиотеки libpcap
и отображает HTTP-запросы и ответы в удобном для человека формате. Он поставляется с коллекцией Perl-скриптов для анализа различной информации из стандартного вывода.
9. dsniff
Набор инструментов CLI, используемых для аудита сети и тестирования на проникновение. Поддерживаемые функции включают в себя пароли из сеансов входа в систему (dsniff
), анализ файлов из трафика NSF (filesnarf
), сообщения электронной почты из трафика SMTP/POP (mailsnarf
), URL-адреса из веб-трафика (urlsnarf
) и т. д.
10. ngrep
grep
по сетевым пакетам. Работает с библиотекой libpcap
, перехватывает пакеты, полезная нагрузка которых соответствует расширенным регулярным выражениям или шестнадцатеричным выражениям.
11. ntopng
Полнофункциональная веб-система мониторинга сетевого трафика в режиме реального времени, которая обеспечивает анализ трафика локальной сети на уровне потоков/протоколов/пакетов. Долгосрочная история трафика заархивирована в базе данных.
12. Wireless IDS
Инструмент обнаружения вторжений с открытым исходным кодом для беспроводных сетей. Он перехватывает связь между беспроводными устройствами и точками доступа, чтобы обнаружить любые потенциальные атакующие пакеты WEP/WPA/WPS или возможную мошенническую точку доступа.
13. mysql-sniffer
Инструмент сниффера MySQL с открытым исходным кодом, который захватывает живые пакеты, отправленные на сервер MySQL, и формирует дамп запросов MySQL в удобочитаемом формате.
14. bro
Мощная и гибкая система мониторинга сети и обнаружения вторжений. Анализирует текущий или записанный трафик для запуска событий, которые затем обрабатываются политиками действий.