Administrador De Rede

6 melhores ferramentas de análise de protocolo

Melhores ferramentas de análise de protocolo



A analisador de protocolo fornece detalhes das informações contidas nos cabeçalhos dos pacotes de dados à medida que eles se movem pela rede. A tarefa de detecção também é conhecida como “ detecção de pacotes ”.

Os detalhes em um cabeçalho de pacote incluem o endereço de origem e destino da mensagem em viagem e parte desse endereço é o número da porta.



Ao listar os números de porta nos pacotes, um analisador de protocolo pode fornecer detalhes específicos da aplicação sobre a atividade da rede.

Aqui está nossa lista das seis melhores ferramentas de análise de protocolo:



  1. Monitor de desempenho de rede SolarWinds (TESTE GRÁTIS)Este pacote de monitoramento de rede inclui um analisador de protocolo como parte de um recurso de inspeção profunda de pacotes. Funciona no Windows Server. Comece um teste gratuito de 30 dias.
  2. Wireshark Este é o principal analisador de protocolo e um dos mais antigos. Se você fizer um curso sobre análise de rede ou segurança cibernética, usará o Wireshark no laboratório. Disponível para Windows, macOS e Linux.
  3. Paessler PRTG Este é um pacote de ferramentas de monitoramento para redes, servidores e aplicativos e inclui um sniffer de pacotes que possui um analisador de protocolo em sua interface de usuário. Funciona no Windows Server.
  4. Bufar Esta ferramenta de análise de tráfego é conhecida principalmente como sistema de detecção de intrusão, mas inclui um analisador de protocolo. Disponível para Linux, Unix e Windows.
  5. Splunk este analisador de dados é amplamente utilizado para pesquisar dados e pode ser alimentado com um arquivo pcap para torná-lo um analisador de protocolo. Disponível para Windows, Linux, Unix e macOS.
  6. Analisador de protocolo de rede Omnipeek Um analisador de tráfego ao vivo que também pode ser usado para realizar pesquisas por meio de análise de dados históricos. Funciona no Windows.

Você pode ler mais sobre cada uma dessas opções nas seções a seguir.

Números de porta e protocolos

No jargão da rede, um “ porta ”Não é um receptor físico na lateral de um dispositivo; é um identificador lógico que cria um endereço. O conceito de portas lógicas faz parte do conjunto de TCP/IP protocolos e é encontrado no Camada de transporte da pilha. As portas são identificadas como sendo usadas para TCP ou UDP , enquanto muitos são usados ​​para ambos.

Uma organização global, chamada Internet Assigned Numbers Authority (IANA), mantém uma lista de números de porta atribuídos. Os números são alocados para aplicações específicas, também chamadas de protocolos.

O objetivo da lista da IANA é fornecer uma lista universal de identificadores de protocolo . As atribuições não pertencem a nenhuma empresa individual. Isso significa que ninguém obtém vantagem sobre o controle dos números das portas. O valor desta universalidade é que os desenvolvedores de software que trabalham de forma independente podem criar sistemas compatíveis que podem enviar e receber dados sem ter que chegar a acordos com todos os outros desenvolvedores de software no mundo.

Qualquer pessoa pode obter acesso à lista de números de porta atribuídos. IANA mantém uma lista de portas mas não está muito bem apresentado. Você pode obter uma tabela melhor de números de porta em outros sites, como o Página da Wikipedia sobre números de porta .

A gama completa de números de porta é subdividida em seções:

  • Portos conhecidos : 0 – 1023
  • Portas registradas : 1024 – 49151
  • Portas efêmeras : 49152 – 65535

A diferença entre esses intervalos é que as portas conhecidas são as alocações mais antigas e representam protocolos de longa data, como o File Transfer Protocol (FTP) e o Simple Mail Transfer Protocol (SNMP).

Enquanto portos conhecidos são quase todos usados ​​para padrões de código aberto, o portas registradas são atribuídos a serviços que as empresas possam ter desenvolvido. No entanto, os protocolos de código aberto também recebem números neste intervalo porque não há números sobressalentes no intervalo de portas bem conhecido.

Portas efêmeras não foram registrados deliberadamente e a IANA não atribuirá números nesse intervalo. Listas não oficiais de números de porta incluirão orientações de uso para números de porta nesta faixa, onde o uso regular de um desses números de porta foi codificado em um software amplamente utilizado.

Um dos principais usos das portas efêmeras é permitir o gerenciamento de conexões simultâneas. Neste cenário, um pacote de software pode sinalizar a um correspondente que a conexão deve continuar em outra porta, liberando assim a porta conhecida para conexões de outros clientes.

Captura de pacotes e analisadores de protocolo

Os analisadores de protocolo precisam de dados para analisar. Esses dados são um fluxo de pacotes que são coletados de uma rede. A tarefa de análise de protocolo não é a mesma que a captura de pacotes – são duas funções distintas. Um analisador de protocolo não opera apenas com dados ativos porque os pacotes podem ser lidos de arquivos para análise.

Os melhores analisadores de protocolo incluem um sistema integrado de captura de pacotes. No entanto, esse processo de captura de pacotes provavelmente não está integrado ao analisador de protocolo. O sistema mais utilizado para captura de pacotes é PCAP e isso é implementado para sistemas operacionais Unix e semelhantes a Unix, incluindo Linux e macOS, por meio de libpcap . Os usuários do Windows precisam WinPcap . Esses sistemas são de uso gratuito.

As melhores ferramentas de análise de protocolo

Análise de protocolo baseada em capturas de pacotes é uma das técnicas de solução de problemas de rede mais antigas que existem. Existem muitos analisadores de protocolo de longa duração disponíveis que são de uso gratuito. Embora esses sistemas sejam gratuitos e antigos, muitos deles ainda lideram o setor porque foram adotados por grandes provedores de sistemas de rede e financiado , embora ainda seja mantido livre para uso.

O que você deve procurar em uma ferramenta de análise de protocolo?

Examinamos o mercado de analisadores de protocolo e avaliamos as opções disponíveis com base nos seguintes critérios:

  • Uma ferramenta integrada de captura de pacotes, como libpcap e WinPcap
  • Opções para rir da captura de pacotes do analisador
  • Filtros para captura e exibição de pacotes
  • Codificação de cores para diferentes protocolos
  • Uma indicação de conversas ou fluxos relacionados
  • Uma ferramenta gratuita ou uma avaliação gratuita de uma ferramenta paga para que a avaliação possa ser realizada sem pagamento
  • Valor pelo dinheiro fornecido por uma ferramenta paga que vale seu preço ou por uma ferramenta gratuita que funciona bem

Com estes critérios em mente, identificamos analisadores de protocolo gratuitos e pagos, procurando também pacotes mais amplos de monitoramento de sistema que incluam um analisador de protocolo como serviço extra.

1. Monitor de desempenho de rede SolarWinds (TESTE GRATUITO)

Monitor de desempenho de rede SolarWinds

Monitor de desempenho de rede SolarWinds é um sistema líder de monitoramento de rede com muitos utilitários. Uma das ferramentas do pacote SolarWinds é o serviço Deep Packet Inspection. Isso permite dividir todas as métricas de desempenho da rede por aplicativo. Os aplicativos referidos pela SolarWinds são protocolos e isso é derivado observando-se o números de porta na passagem de pacotes.

Características principais:

  • Estatísticas de tráfego por aplicação
  • Categoriza o tráfego por uso
  • Resume pacotes por endpoint
  • Estatísticas de QoS

Uma grande vantagem que esta solução tem sobre as outras ferramentas desta lista é que ela não é um analisador de protocolo independente; faz parte de um conjunto muito maior de monitoramento de rede ferramentas que incluem um serviço de descoberta automática, um criador de inventário de rede e um mapeador de topologia de rede.

A interface do usuário do Network Performance Monitor é muito sofisticada e apresenta muitas representações gráficas de dados de tráfego, bem como listas. As telas são bem dispostas e facilitam a interpretação dos dados. A ferramenta não inclui visualizador de dados para análise manual de tráfego.

Prós:

  • Fácil de usar com telas de dados bem apresentadas
  • Alertas para padrões de tráfego incomuns
  • Categorização de tráfego para uso comercial ou pessoal
  • Medições de qualidade de experiência (QoS)

Contras:

  • Nenhum recurso de análise manual de dados

O software do SolarWinds Network Performance Monitor é instalado em Servidor Windows e você pode avaliar o sistema comum teste gratuito de 30 dias.

SolarWinds Network Performance Monitor Baixe a avaliação GRATUITA de 30 dias

2. Wireshark

Tela principal do Wireshark

Wireshark preenche todos os requisitos para ser um ótimo analisador de protocolo: integra um sistema de captura de pacotes, codifica protocolos por cores e oferece uma variedade de opções rápidas para filtrar pacotes por meio de um menu de clique com o botão direito. O que torna o Wireshark ainda melhor é que ele é livre para usar .

Características principais:

  • Fácil de instalar e usar
  • Interface gráfica do usuário
  • Iniciar e parar a captura de pacotes
  • Linguagem de consulta
  • Rastreamento de fluxo TCP

O sistema Wireshark não possui rotinas próprias de captura de pacotes, mas funciona perfeitamente com WinPcap e libpcap . O instalador do Wireshark baixa e instala a versão correta do pcap para você enquanto instala seu próprio software. Você inicia e interrompe a captura de pacotes com um botão na interface do Wireshark.

Prós:

  • Aprender a usar o Wireshark dá aos profissionais de rede uma habilidade muito procurada
  • Um conjunto abrangente de comandos de filtragem para capturas e pesquisas de dados
  • Opções para armazenar pacotes em arquivo
  • Versão de linha de comando, chamada Tshark
  • Grátis para usar

Contras:

  • A linguagem de consulta é muito complicada

Wireshark tem seu próprio Linguagem de consulta com longas listas de comandos e definições de dados. O grande problema do sistema é que a linguagem de consulta é muito complicada – é preciso treinamento e muito tempo para conseguir utilizá-la. Filtros podem ser aplicados à captura de pacotes que reduzem bastante o volume de pacotes trazidos para o visualizador. O usuário tem a opção de salvar pacotes capturados.

3. Paessler PRTG

Painel do monitor de rede Paessler PRTG

Paessler PRTG oferece opções de sistemas de monitoramento para redes, servidores e aplicativos. O pacote inclui um grande número de monitores, chamados sensores. O preço que você paga pelo sistema depende de quantos sensores você deseja ligar e depois você escolhe qual ativar.

Características principais:

  • Uma escolha de técnicas de análise de pacotes
  • Exibições gráficas
  • Classificações do gerador de rendimento
  • Inclui outros monitores de rede

A lista de sensores PRTG inclui um número que pode ser usado para detecção de pacotes e análise de protocolo . O sniffer de pacotes simples irá capturar pacotes e exibir estatísticas sobre eles. A tela ou este sensor inclui uma classificação dos principais geradores de tráfego por aplicativo, por dispositivo e por conversa.

Outras opções de análise de tráfego vêm de análise de largura de banda sistemas, como IPFIX, NetFlow, J-Flow e SNMP. Você também pode alternar para as telas de desempenho da rede para ver se algum dos switches e roteadores da sua rede está apresentando problemas.

Prós:

  • Análise de tráfego
  • Exibe o tráfego por protocolo
  • Análise de links
  • Análise de tráfego ponta a ponta

Contras:

  • Não inclui ferramentas para análise manual de protocolos

Paessler PRTG é instalado em Servidor Windows e você pode usá-lo gratuitamente para sempre se ativar apenas 100 sensores. Você pode ter um teste gratuito de 30 dias do sistema com todos os sensores ativados.

4. Bufar

Snort 3.0 com ElasticSearch LogStash e Kibana (ELK)

Snort é um conhecido sistema de detecção de intrusão. No entanto, o pacote é um analisador de dados e pode ser aplicado a diversas aplicações diferentes, como varredura em nível de pacote e análise de protocolo.

Características principais:

  • Modo de detecção de pacotes
  • Exibição e pesquisa de pacotes
  • Regras automatizadas

O Snort possui um modo de detecção de pacotes baseado no sistema pcap. Você não precisa executar libpcap ou WinPcap separadamente porque o Snort pode ser integrado a essas ferramentas para ler pacotes diretamente da rede.

O principal ponto forte do Snort são suas pesquisas automatizadas que são implementadas por regras. Você mesmo pode adquirir regras ou escrevê-las. Com essas regras, você pode criar suas próprias condições de alerta e permitir que o Snort opere como um monitor de desempenho de rede ao vivo.

Prós:

  • Pesquisas automatizadas
  • Regras personalizáveis ​​de filtragem e detecção
  • Alertas personalizáveis

Contras:

  • Este é um sistema poderoso e leva tempo para aprender como tirar o melhor proveito dele

Snort está disponível para muitas distribuições Linux, BSD Unix e Windows. O sistema é de uso gratuito, mas se torna mais poderoso com um conjunto de regras. Você pode obter regras criadas pela comunidade gratuitamente e pacotes de regras mais poderosos centrados nos negócios por meio de uma assinatura.

5. Espalhamento

Fantasma Splunk

Splunk é uma ferramenta de análise de dados e está disponível tanto no local quanto SaaS versões. Embora você possa usar o Splunk para criar qualquer pesquisa de dados, criando suas próprias aplicações de análise a partir dela, a ferramenta tem se tornado mais bem sucedida através da produção de ferramentas pré-escritas, especialmente Segurança Corporativa Splunk . Este pacote de segurança é um SIM e também oferece um monitor ativo de atividade de porta e protocolo.

Características principais:

  • Um sistema SIEM
  • Adaptável a aplicativos personalizados
  • Analisa quaisquer dados

É possível usar o Splunk para examinar dados de pacotes e identificar atividades de protocolo por meio de um plug-in gratuito. A comunidade de usuários do Spunk inclui um mercado de aplicativos, chamado Splunkbase . Existe um pacote disponível nesse fórum chamado Analisador PCAP para Splunk . Este serviço é de uso gratuito e fornece um conector para leitura de arquivos pcap e um conjunto de pesquisas que colocam os dados em suas próprias telas do Splunk – há um recurso de análise de protocolo nesta ferramenta.

Prós:

  • Adaptável para uma variedade de aplicações personalizadas
  • Um plug-in gratuito para análise de pacotes
  • Um analisador de protocolo

Contras:

  • Executa arquivos PCAP em vez de um sniffer de pacotes integrado

O Splunk Enterprise é instalado em janelas , Servidor Windows , Linux , Unix , e Mac OS , ou você pode acessar o Splunk Cloud através de qualquer navegador da Web padrão. Ambos os sistemas estão disponíveis para um teste gratuito – 14 dias para Spunk Cloud e 60 dias para Splunk Enterprise.

6. Analisador de protocolo de rede Omnipeek

Tela Omnipeek

Se você deseja apenas um analisador de protocolo puro, sem muitos recursos periféricos, então o Analisador de protocolo de rede Omnipeek do LiveAction é provavelmente sua melhor aposta. Como o nome sugere, esta ferramenta trata de rastrear o tráfego por protocolo e faz isso muito bem.

Características principais:

  • Focado na análise de protocolo
  • Taxa de transferência de tráfego ao vivo
  • Representações gráficas de dados

Ao usar o Wireshark, você começa com uma tela cheia de conteúdo de pacotes e depois filtra os dados para passar pela massa de dados disponíveis até algo de tamanho viável. Com Omnipeek, é o contrário porque começa com uma visão geral e permite que você clique em fatias de dados até chegar aos pacotes. Esta é uma maneira muito mais gerenciável de abordar os dados de tráfego porque você só precisa chegar a um nível de detalhe que explique os problemas que sua rede está enfrentando.

Se suas habilidades técnicas não são tão boas e você não quer ter que aprender uma linguagem de programação inteira para conseguir algo significativo aparecer na tela, então você vai gostar muito do Omnipeek Protocol Analyzer.

Prós:

  • Telas fáceis de ler
  • Exibe dados de tráfego ao vivo
  • Oferece detalhes detalhados

Contras:

  • Não faz muito mais além da análise de protocolo

Omnipeek Protocol Analyzer é um pacote de software local que pode ser instalado em janelas Servidor. A ferramenta pode coletar pacotes sozinha, então você não precisa configurar um serviço PCAP separado e alimentá-lo com arquivos. O sistema pode analisar redes sem fio e também LANs. Examine os recursos do Omnipeek Protocol Analyzer com um teste gratuito de 30 dias .

^