Vilken typ av mjukvaruövervakare och loggarpaketstrafik för senare analys?

Programvara som övervakar och loggar pakettrafik för senare analys kallas vanligtvis en paketfångst eller nätverksövervakning verktyg. Det finns många olika typer, allt från enkla kommandoradsverktyg till sofistikerade lösningar för företagsklass. Här är några exempel kategoriserade efter deras kapacitet:

* protokollanalysatorer (nätverksanalysatorer): Dessa är de mest kraftfulla verktygen, som kan de djupa paketinspektion (DPI), så att du kan se innehållet i paket och förstå protokollen på högre nivå som används. De erbjuder vanligtvis robust filtrering, statistik och rapporteringsfunktioner. Exempel inkluderar:

* wireshark: Den mest populära öppna källkodsprotokollanalysatorn, känd för sina omfattande funktioner och support för plattform.

* tcpdump: Ett kraftfullt kommandoradspaketupptagningsverktyg, som ofta används som grund för andra verktyg. Det är mycket mångsidigt men har en brantare inlärningskurva.

* SolarWinds Network Performance Monitor: En kommersiell lösning som erbjuder omfattande nätverksövervakning och analys.

* PRTG Network Monitor: En annan kommersiell lösning som tillhandahåller realtidsnätverksövervakning och trafikanalys.

* Nätverksövervakningsverktyg (med paketfångstfunktioner): Många nätverksövervakningsverktyg inkluderar paketupptagning som en av deras funktioner. Dessa verktyg fokuserar ofta på att tillhandahålla övergripande nätverksprestanda, men möjliggör också detaljerad paketinspektion vid behov. Exemplen ovan (Solarwinds och PRTG) faller också in i denna kategori. Andra inkluderar:

* nagios: Främst ett övervakningsverktyg, men kan utvidgas till att fånga paket.

* zabbix: Liknar Nagios och erbjuder breda övervakningsfunktioner med tillägg till valfri paketfångst.

* intrångsdetektering/förebyggande system (IDS/IPS): Medan deras primära syfte är säkerhet, fångar IDS/IPS -system ofta paket för att upptäcka skadlig aktivitet. De loggar vanligtvis händelser och misstänkta trafikmönster, men möjliggör också detaljerad analys av fångade paket vid behov. Exempel inkluderar:

* snort: Ett allmänt använda system för intrång i öppen källkod.

* suricata: En annan populär öppen källkods/IPS.

* Olika kommersiella ID/IPS -lösningar från leverantörer som Cisco, Palo Alto Networks, etc.

Det bästa verktyget för dig beror på dina specifika behov och tekniska expertis. För enkla uppgifter kan "tcpdump" räcka. För djupgående analys och rapportering är Wireshark ett starkt val. För övervakning och hantering på företagsnivå skulle en kommersiell lösning som SolarWinds eller PRTG vara mer lämplig. Om säkerhet är ditt primära problem skulle ett IDS/IPS -system vara det mest relevanta.