Погружение в tshark, или Подводные камни в работе анализаторов трафика

Отслеживать сетевой трафик с каждым годом становится сложнее. Базовых утилит часто бывает недостаточно, и тогда на помощь приходят специализированные инструменты. В их числе tshark и другие анализаторы сетевых протоколов.

Однако использовать такие решения на практике бывает непросто. На что обращать внимание при выборе и какие нюансы учитывать потом, читайте в этой статье.

Снифферы: что, когда и почему

Анализаторы сетевых протоколов, анализаторы трафика и снифферы – все это названия диагностических приложений, благодаря которым можно анализировать трафик на уровне единиц передачи протоколов.

Владимир Арышев

Эксперт по комплексным ИБ-проектам STEP LOGIC

Каждый сетевой инженер хотя бы раз использовал анализатор сетевых пакетов: он значительно облегчает и ускоряет процесс анализа и поиска неисправностей. Анализатор полезен в таких ситуациях, как отладка сетевых проблем (проблемы сетевого взаимодействия, потеря пакетов, неправильная конфигурация сетевых устройств), анализ безопасности (отслеживание сетевых потоков и аномалий в трафике), новых и нестандартных протоколов.

Один из самых популярных снифферов – Wireshark, который распространяется бесплатно под лицензией GNU GPL. Тот же инструмент, но для командной строки, называется tshark. Использовать его можно в разных операционных системах. Так, есть tshark Linux и tshark Windows, а также версии для MacOS, FreeBSD и Solaris.

Tshark в реальном времени захватывает информацию о пакетах данных, которые находятся на разных сетевых уровнях. При этом он умеет читать и анализировать файлы .pcap. Для этого решение использует библиотеку libpcap.

Как правило, установка tshark не отнимает много времени и сил. Дистрибутив анализатора сетевых протоколов обычно уже есть на современных Linux-системах, поэтому для запуска достаточно воспользоваться стандартным менеджером пакетов. И это еще один из плюсов, за который tshark ценят в ИБ-сообществе. Впрочем, многие аналоги тоже устанавливаются быстро и просто.

Главное в выборе – не спешить

Прежде чем устанавливать сниффер, эксперты советуют обратить внимание на несколько моментов. И в первую очередь – на функциональность инструмента.

Казалось бы, анализаторы сетевых протоколов используют одни и те же программные библиотеки. Однако на практике они могут выполнять разные задачи. Именно поэтому такую информацию лучше заранее загуглить или уточнить у коллег по киберцеху.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Например, стоит обратить внимание на то, насколько гибко решение может фильтровать полученный трафик. Или может быть важно, как оно работает с оперативной памятью – при захвате длительных сессий это может стать решающим фактором.

Еще одна полезная вещь – это умение работать с конкретными протоколами и разбирать именно их трафик. Даже в бесплатных решениях сейчас есть поддержка HTTP, SQL и прочих подобных решений.

Подобрать лучший сниффер по функционалу можно, только если вы хорошо знаете свою инфраструктуру – считают эксперты. Перед поиском лучше сразу определить, где именно будет применяться анализатор сетевых протоколов, на каких операционных системах его нужно установить и как должен выглядеть результат работы такого инструмента. 

Владимир Арышев

Эксперт по комплексным ИБ-проектам STEP LOGIC

Если мы решаем разовые задачи, то можно использовать локальные инсталляции анализатора. При потребности в непрерывном анализе и мониторинге сети стоит рассмотреть установку решения на выделенный сервер / виртуальную инфраструктуру, продумать точки сбора трафика и механизмы его доставки в анализатор, а также параметры хранения «сырого» трафика и обработанных метаданных. 

Кроме того, при выборе эксперты рекомендуют обращать внимание на удобство инструмента. Важно понимать, насколько легко его настроить и интегрировать с другими приложениями.

Но и это еще не все. Каждый, кто планирует использовать tshark Linux или любой другой анализатор трафика, должен знать о подводных камнях. Как правило, они «‎всплывают» поздно – уже после установки сниффера.

Артем Избаенков

Директор по развитию направления кибербезопасности компании EdgeЦентр

Важно, какими будут скорость обработки трафика и возможность масштабирования. Если они не смогут соответствовать вашим потребностям, это может привести к потере данных или снижению производительности.

Кроме того, стоит обращать внимание на регулярность обновления. Лучше выбирать популярные анализаторы с активными сообществами, которые часто обновляются. В противном случае анализатор может быстро устареть.

И наконец, эксперт советует учитывать легальные ограничения. Здесь главное – помнить, что при анализе сетевого трафика придется соблюдать законодательство и правила о конфиденциальности данных.

А нужно ли платить

Почти все анализаторы трафика сейчас распространяются бесплатно. Их функциональности обычно хватает, чтобы закрыть текущие задачи системных администраторов и ИБ-специалистов.

Однако платные решения все-таки есть, и их главное отличие – инструменты аналитики и визуализации. В некоторые из них даже встроены функции базового управления сетевыми устройствами. Но все это не относится к задачам снифферов – напоминают эксперты.

Тем не менее платные снифферы рассматривают минимум по двум причинам. Первая – есть техническая поддержка и сопровождение пользователей. Вторая – обычно коммерческие решения больше подходят для постоянной эксплуатации в корпоративной сети. 

Владимир Арышев

Эксперт по комплексным ИБ-проектам STEP LOGIC

Opensource-анализаторы позволяют эффективно решать разовые задачи (найти причину проблемы, выполнить анализ сетевого взаимодействия). Коммерческие продукты решают более глобальные вопросы: непрерывный мониторинг и аудит сети, в том числе высоконагруженных сетей, интеграция с другими решениями, обеспечение высокой производительности и масштабируемости.

При этом некоторые компании используют как opensource-анализаторы, так и платные аналоги. Как поясняют эксперты, такое происходит редко и обычно из-за желания получить больше возможностей для анализа трафика.

Выводы

Tshark – хоть и самый популярный, но не единственный инструмент для анализа сетевого трафика. В компаниях также используют SolarWinds Network Bandwidth Analyzer, tspdump, Kismet, Cain and Abel, NetworkMiner и другие аналоги.

Некоторые решения вызывают умиление у тех, кто когда-то работал с терминальным шрифтом и интерфейсом командной строки. Другие, наоборот, отличаются максимально современным UI/IX и обилием различной инфографики. Какие инструменты будут популярными через 10 лет – вопрос, на который пока у экспертов нет вопросов. Ясно лишь одно – в борьбе за пользователей точно победит функциональность.