Τι είδους λογισμικό παρακολουθεί την κυκλοφορία πακέτων για μεταγενέστερη ανάλυση;

Το λογισμικό που παρακολουθεί και καταγράφει την κυκλοφορία πακέτων για μεταγενέστερη ανάλυση ονομάζεται γενικά A Capture Packet ή Παρακολούθηση δικτύου εργαλείο. Υπάρχουν πολλοί διαφορετικοί τύποι, που κυμαίνονται από απλά βοηθητικά προγράμματα γραμμής εντολών έως εξελιγμένες λύσεις επιχείρησης. Ακολουθούν μερικά παραδείγματα που κατηγοριοποιούνται από τις δυνατότητές τους:

* Αναλυτές πρωτοκόλλων (αναλυτές δικτύων): Αυτά είναι τα πιο ισχυρά εργαλεία, ικανά για Deep Packet Inspection (DPI), επιτρέποντάς σας να δείτε τα περιεχόμενα των πακέτων και να κατανοήσετε τα πρωτόκολλα υψηλότερου επιπέδου που χρησιμοποιούνται. Συνήθως προσφέρουν ισχυρό φιλτράρισμα, στατιστικά στοιχεία και δυνατότητες αναφοράς. Παραδείγματα περιλαμβάνουν:

* Wireshark: Ο πιο δημοφιλής αναλυτής πρωτοκόλλου ανοιχτού κώδικα, γνωστός για τα εκτεταμένα χαρακτηριστικά του και την υποστήριξη των πλατφορμών.

* tcpdump: Ένα ισχυρό εργαλείο λήψης πακέτων γραμμής εντολών, το οποίο συχνά χρησιμοποιείται ως θεμέλιο για άλλα εργαλεία. Είναι εξαιρετικά ευπροσάρμοστο, αλλά έχει μια πιο απότομη καμπύλη μάθησης.

* Παρακολούθηση απόδοσης δικτύου SolarWinds: Μια εμπορική λύση που προσφέρει ολοκληρωμένη παρακολούθηση και ανάλυση δικτύου.

* Παρακολούθηση δικτύου PRTG: Μια άλλη εμπορική λύση που παρέχει παρακολούθηση δικτύου σε πραγματικό χρόνο και ανάλυση κυκλοφορίας.

* Εργαλεία παρακολούθησης δικτύου (με δυνατότητες λήψης πακέτων): Πολλά εργαλεία παρακολούθησης δικτύου περιλαμβάνουν τη λήψη πακέτων ως ένα από τα χαρακτηριστικά τους. Αυτά τα εργαλεία επικεντρώνονται συχνά στην παροχή συνολικών μετρήσεων απόδοσης δικτύου, αλλά επιτρέπουν επίσης λεπτομερή επιθεώρηση πακέτων όταν χρειάζεται. Τα παραπάνω παραδείγματα (SolarWinds και PRTG) εμπίπτουν και σε αυτήν την κατηγορία. Άλλοι περιλαμβάνουν:

* Nagios: Κυρίως ένα εργαλείο παρακολούθησης, αλλά μπορεί να επεκταθεί για να συλλάβει πακέτα.

* zabbix: Παρόμοια με το Nagios, προσφέροντας ευρείες δυνατότητες παρακολούθησης με προαιρετικά πρόσθετα σύλληψης πακέτων.

* Συστήματα ανίχνευσης/πρόληψης εισβολής (IDS/IPS): Ενώ ο πρωταρχικός τους σκοπός είναι η ασφάλεια, τα συστήματα IDS/IPS συχνά καταγράφουν πακέτα για την ανίχνευση κακόβουλης δραστηριότητας. Συνήθως καταγράφουν τα συμβάντα και τα ύποπτα πρότυπα κυκλοφορίας, αλλά επιτρέπουν επίσης λεπτομερή ανάλυση των συλληφθέντων πακέτων όταν χρειάζεται. Παραδείγματα περιλαμβάνουν:

* snort: Ένα ευρέως χρησιμοποιούμενο σύστημα ανίχνευσης εισβολής ανοιχτού κώδικα.

* suricata: Ένα άλλο δημοφιλές IDs/IPs ανοιχτού κώδικα.

* Διάφορες εμπορικές λύσεις IDS/IPS από προμηθευτές όπως η Cisco, Palo Alto Networks κ.λπ.

Το καλύτερο εργαλείο για εσάς εξαρτάται από τις συγκεκριμένες ανάγκες και την τεχνική σας εμπειρία. Για απλές εργασίες, μπορεί να αρκεί το `tcpdump`. Για σε βάθος ανάλυση και αναφορά, το Wireshark είναι μια ισχυρή επιλογή. Για την παρακολούθηση και τη διαχείριση σε επίπεδο επιχείρησης, μια εμπορική λύση όπως η SolarWinds ή η PRTG θα ήταν πιο κατάλληλη. Εάν η ασφάλεια είναι η κύρια ανησυχία σας, ένα σύστημα IDS/IPS θα ήταν το πιο σχετικό.