O Wireshark, anteriormente conhecido como Ethereal, existe há 20 anos. Se não for a melhor, certamente é a ferramenta de detecção de rede mais popular. Sempre que surge a necessidade de análise de pacotes, essa é geralmente a ferramenta preferida da maioria dos administradores. No entanto, por melhor que o Wireshark possa ser, existem muitas alternativas disponíveis. Alguns de vocês podem estar se perguntando o que há de errado com o Wireshark que justificaria sua substituição. Para ser totalmente honesto, não há absolutamente nada de errado com o Wireshark e se você já é um usuário feliz, não vejo razão para que você precise mudar. Por outro lado, se você é novo na cena, pode ser uma boa ideia verificar o que está disponível antes de escolher uma solução. Para ajudá-lo, reunimos esta lista com algumas das melhores alternativas do Wireshark.
Começaremos nossa exploração dando uma olhada no Wireshark. Afinal, se quisermos sugerir alternativas, é melhor conhecermos pelo menos um pouco o produto. Em seguida, discutiremos brevemente o que são os sniffers de pacotes — ou analisadores de rede, como costumam ser chamados. Como os sniffers de pacotes podem ser relativamente complexos, passaremos algum tempo discutindo como usá-los. Este não é de forma alguma um tutorial completo, mas deve fornecer informações básicas suficientes para apreciar melhor as próximas análises de produtos. Falando sobre análises de produtos, é isso que teremos a seguir. Identificamos vários produtos de tipos muito diferentes que podem ser uma boa alternativa ao Wireshark e apresentaremos os melhores recursos de cada um.
últimas postagens
Sobre o Wireshark
Antes do Wireshark, o mercado tinha essencialmente um sniffer de pacotes que era apropriadamente chamado de Sniffer. Era um excelente produto que sofria de uma grande desvantagem, seu preço. No final dos anos 90, o produto custava cerca de US$ 1.500, o que era mais do que muitos podiam pagar. Isso levou ao desenvolvimento do Ethereal como um sniffer de pacotes gratuito e de código aberto por um graduado da UMKC chamado Gerald Combs, que ainda é o principal mantenedor do Wireshark vinte anos depois. Fale sobre compromisso sério.
Hoje, o Wireshark se tornou a referência em sniffers de pacotes. É o padrão de fato e a maioria das outras ferramentas tende a imitá-lo. O Wireshark basicamente faz duas coisas. Primeiro, ele captura todo o tráfego que vê em sua interface. Mas não para por aí, o produto também possui recursos de análise bastante poderosos. Os recursos de análise da ferramenta são tão bons que não é incomum que os usuários usem outras ferramentas para captura de pacotes e façam a análise usando o Wireshark. Essa é uma maneira tão comum de usar o Wireshark que, na inicialização, você é solicitado a abrir um arquivo de captura existente ou iniciar a captura de tráfego. Outro ponto forte do Wireshark são todos os filtros que ele incorpora que permitem que você se concentre precisamente nos dados em que está interessado.
Sobre as ferramentas de análise de rede
Embora o assunto esteja aberto para debate há algum tempo, para fins deste artigo, vamos supor que os termos “packet sniffer” e “network analyzer” são a mesma coisa. Alguns argumentarão que são dois conceitos diferentes e, embora possam estar certos, vamos analisá-los juntos, mesmo que apenas por uma questão de simplicidade. Afinal, embora possam operar de maneira diferente — mas será que realmente funcionam? —, elas servem a um propósito semelhante.
Os Packet Sniffers fazem basicamente três coisas. Primeiro, eles capturam todos os pacotes de dados à medida que entram ou saem de uma interface de rede. Em segundo lugar, eles opcionalmente aplicam filtros para ignorar alguns dos pacotes e salvar outros em disco. Eles então realizam alguma forma de análise dos dados capturados. É nessa última função que estão a maioria das diferenças entre os produtos.
A maioria dos sniffers de pacotes conta com um módulo externo para a captura real dos pacotes de dados. Os mais comuns são libpcap em sistemas Unix/Linux e Winpcap em Windows. Você normalmente não precisará instalar essas ferramentas, pois elas geralmente são instaladas pelos instaladores do packet sniffer.
Outra coisa importante a saber é que, por mais bons e úteis que sejam, os Packet Sniffers não farão tudo por você. São apenas ferramentas. Você pode pensar neles como um martelo que simplesmente não crava um prego por si só. Você precisa ter certeza de aprender a melhor usar cada ferramenta. O sniffer de pacotes permitirá que você analise o tráfego que ele captura, mas cabe a você garantir que ele capture os dados corretos e usá-los a seu favor. Existem livros inteiros escritos sobre o uso de ferramentas de captura de pacotes. Certa vez, fiz um curso de três dias sobre o assunto.
Usando um Packet Sniffer
Como acabamos de dizer, um sniffer de pacotes capturará e analisará o tráfego. Portanto, se você estiver tentando solucionar um problema específico – um uso típico para essa ferramenta, a primeira coisa que você precisa fazer é certificar-se de que o tráfego que você está capturando é o tráfego correto. Imagine um caso em que todos os usuários de um determinado aplicativo estão reclamando que ele está lento. Em tal situação, sua melhor aposta provavelmente seria capturar o tráfego na interface de rede do servidor de aplicativos, pois todos os usuários parecem ser afetados. Você pode então perceber que as solicitações chegam ao servidor normalmente, mas que o servidor leva muito tempo para enviar as respostas. Isso indicaria um atraso no servidor em vez de um problema de rede.
Por outro lado, se você vir o servidor respondendo às solicitações em tempo hábil, isso pode significar que o problema está em algum lugar na rede entre o cliente e o servidor. Você então moveria seu sniffer de pacotes um salto para mais perto do cliente e veria se as respostas estão atrasadas. Caso contrário, você moveria mais saltos para mais perto do cliente e assim por diante. Você acabará por chegar ao local onde ocorrem atrasos. E uma vez que você identificou a localização do problema, você está um grande passo mais perto de resolvê-lo.
Vamos ver como podemos conseguir capturar pacotes em um ponto específico de uma rede. Uma maneira simples de fazer isso é aproveitar um recurso da maioria dos switches de rede chamado espelhamento de porta ou replicação. Essa opção de configuração replicará todo o tráfego de entrada e saída de uma porta específica do switch para outra porta no mesmo switch. Por exemplo, se seu servidor estiver conectado à porta 15 de um switch e a porta 23 desse mesmo switch estiver disponível. Você conecta seu sniffer de pacotes à porta 23 e configura o switch para replicar todo o tráfego de e para a porta 15 para a porta 23.
As melhores alternativas ao Wireshark
Agora que você entende melhor o que são o Wireshark e outros sniffers de pacotes e analisadores de rede, vamos ver quais produtos alternativos existem. Nossa lista inclui uma combinação de ferramentas de linha de comando e GUI, bem como ferramentas executadas em vários sistemas operacionais.
1. Ferramenta de análise e inspeção profunda de pacotes SolarWinds (TESTE GRATUITO)
A SolarWinds é conhecida por suas ferramentas de gerenciamento de rede de última geração. A empresa existe há cerca de 20 anos e nos trouxe várias ferramentas excelentes. Seu principal produto chamado SolarWinds Network Performance Monitor é reconhecido pela maioria como uma das melhores ferramentas de monitoramento de largura de banda de rede. A SolarWinds também é famosa por criar várias ferramentas gratuitas excelentes, cada uma atendendo a uma necessidade específica dos administradores de rede. Dois exemplos dessas ferramentas são o SolarWinds TFTP Server e a Advanced Subnet Calculator.
Como uma alternativa potencial ao Wireshark—e talvez como a melhor alternativa, já que é uma ferramenta tão diferente—SolarWinds propõe a Ferramenta de Análise e Inspeção de Pacotes Profundas. Ele vem como um componente do SolarWinds Network Performance Monitor. Sua operação é bem diferente dos sniffers de pacotes mais “tradicionais”, embora sirva a um propósito semelhante.
A Deep Packet Inspection and Analysis Tool não é um sniffer de pacotes nem um analisador de rede, mas ajudará você a encontrar e resolver a causa das latências da rede, identificar aplicativos afetados e determinar se a lentidão é causada pela rede ou por um aplicativo. Como ele serve a um propósito semelhante ao Wireshark, achamos que merecia estar nesta lista. A ferramenta usará técnicas de inspeção profunda de pacotes para calcular o tempo de resposta para mais de mil e duzentas aplicações. Também classificará o tráfego de rede por categoria (por exemplo, comercial versus social) e nível de risco. Isso pode ajudar a identificar o tráfego não comercial que pode se beneficiar de ser filtrado ou de alguma forma controlado ou eliminado.
A Deep Packet Inspection and Analysis Tool é um componente integral do Network Performace Monitor ou NPM, como é frequentemente chamado, que é em si um software impressionante com tantos componentes que um artigo inteiro poderia ser escrito sobre ele. É uma solução completa de monitoramento de rede que combina algumas das melhores tecnologias, como SNMP e inspeção profunda de pacotes, para fornecer o máximo possível de informações sobre o estado de sua rede.
Os preços do SolarWinds Network Performance Monitor, que inclui a Deep Packet Inspection and Analysis Tool, começam em US$ 2.955 para até 100 elementos monitorados e aumentam de acordo com o número de elementos monitorados. A ferramenta tem uma avaliação gratuita de 30 dias disponível para que você possa ter certeza de que ela realmente atende às suas necessidades antes de se comprometer a comprá-la.
2. tcpdump
Tcpdump é provavelmente o sniffer de pacotes original. Foi criado em 1987. Isso é mais de dez anos antes do Wireshark e até mesmo antes do Sniffer. Desde seu lançamento inicial, a ferramenta foi mantida e aprimorada, mas permanece essencialmente inalterada. A forma como a ferramenta é utilizada não mudou muito ao longo de sua evolução. Ele está disponível para instalação em praticamente todos os sistemas operacionais do tipo Unix e se tornou o padrão de fato para uma ferramenta rápida para capturar pacotes. Como a maioria dos produtos similares em plataformas *nix, o tcpdump usa a biblioteca libpcap para a captura real do pacote.
A operação padrão do tcpdump é relativamente simples. Ele captura todo o tráfego na interface especificada e o “despeja” – daí seu nome – na tela. Sendo uma ferramenta *nix padrão, você pode canalizar a saída para um arquivo de captura para ser analisado posteriormente usando a ferramenta de análise de sua escolha. Na verdade, não é incomum que os usuários capturem tráfego com o tcpdump para análise posterior no Wireshark. Uma das chaves para a força e utilidade do tcpdump é a possibilidade de aplicar filtros e/ou canalizar sua saída para grep—outro utilitário de linha de comando *nix comum—para filtragem adicional. Alguém que domine tcpdump, grep e o shell de comando pode fazer com que ele capture precisamente o tráfego certo para qualquer tarefa de depuração.
3. Windump
Em poucas palavras, Windump é uma porta de tcpdump para a plataforma Windows. Como tal, ele se comporta da mesma maneira. O que isso significa é que ele traz grande parte da funcionalidade tcpdump para computadores baseados em Windows. Windump pode ser um aplicativo do Windows, mas não espere uma GUI sofisticada. É realmente tcpdump no Windows e, como tal, é um utilitário somente de linha de comando.
Usar o Windump é basicamente o mesmo que usar sua contraparte *nix. As opções de linha de comando são praticamente as mesmas e os resultados também são quase idênticos. Assim como o tcpdump, a saída do Windump também pode ser salva em um arquivo para análise posterior com uma ferramenta de terceiros. No entanto, o grep geralmente não está disponível no computador Windows, limitando assim as capacidades de filtragem da ferramenta.
Outra diferença importante entre tcpdump e Windump é que está prontamente disponível no repositório de pacotes do sistema operacional. Você terá que baixar o software do site Windump. É entregue como um arquivo executável e não requer instalação. Como tal, é uma ferramenta portátil que pode ser iniciada a partir de uma chave USB. No entanto, assim como o tcpdump usa a biblioteca libpcap, o Windump usa o Winpcap, que precisa ser baixado e instalado separadamente.
4. Ttubarão
Você pode pensar no Tshark como um cruzamento entre tcpdump e Wireshark, mas na realidade, é mais ou menos a versão de linha de comando do Wireshark. É do mesmo desenvolvedor do Wireshark. O Tshark tem semelhança com o tcpdump, pois é uma ferramenta somente de linha de comando. Mas também é como o Wireshark, pois não captura apenas o tráfego. Ele também possui os mesmos recursos de análise poderosos do Wireshark e usa o mesmo tipo de filtragem. Ele pode, portanto, isolar rapidamente o tráfego exato que você precisa analisar.
Tshark levanta uma questão, no entanto. Por que alguém iria querer uma versão de linha de comando do Wireshark? Por que não usar o Wireshark? A maioria dos administradores — na verdade, a maioria das pessoas — concordaria que, de modo geral, as ferramentas com interfaces gráficas de usuário costumam ser mais fáceis de usar e aprender e mais intuitivas e fáceis de usar. Afinal, não é por isso que os sistemas operacionais gráficos se tornaram tão populares? A principal razão pela qual alguém escolheria o Tshark em vez do Wireshark é quando eles querem apenas fazer uma captura rápida diretamente em um servidor para fins de solução de problemas. E se você suspeitar de um problema de desempenho com o servidor, talvez prefira usar uma ferramenta que não seja GUI, pois pode ser menos onerosa para os recursos.
5. Minerador de Rede
O Network Miner é mais uma ferramenta forense do que um sniffer de pacotes ou analisador de rede. Essa ferramenta seguirá um fluxo TCP e poderá reconstruir uma conversa inteira. É uma ferramenta realmente poderosa para análise aprofundada do tráfego, embora possa ser difícil de dominar. A ferramenta pode funcionar em modo offline, onde se importaria um arquivo de captura – talvez criado usando uma das outras ferramentas analisadas – e deixaria o Network Miner fazer sua mágica. Considerando que o software roda apenas no Windows, a possibilidade de trabalhar a partir de arquivos de captura é certamente um plus. Você pode, por exemplo, usar o tcpdump no Linux para capturar algum tráfego e o Network Miner no Windows para analisá-lo.
O Network Miner está disponível em uma versão gratuita, mas para os recursos mais avançados, como geolocalização e scripts baseados em endereço IP, você precisará adquirir uma licença Professional que custará US $ 900. Outra função avançada da versão profissional é a possibilidade de decodificar e reproduzir chamadas VoIP.
6. Violinista
Alguns de nossos leitores – especificamente os mais experientes – serão tentados a argumentar que Fiddler, nossa última entrada, não é um sniffer de pacotes nem um analisador de rede. Para ser honesto, eles podem muito bem estar certos, mas ainda assim, sentimos que deveríamos incluir essa ferramenta em nossa lista, pois ela pode ser muito útil em várias situações diferentes.
Em primeiro lugar, vamos esclarecer as coisas, o Fiddler realmente capturará o tráfego. No entanto, ele não capturará qualquer tráfego. Ele só funcionará com tráfego HTTP. Apesar dessa limitação, quando você considera que muitos aplicativos hoje são baseados na web ou usam o protocolo HTTP em segundo plano, é fácil ver o quão valiosa essa ferramenta pode ser. E como a ferramenta captura não apenas o tráfego do navegador, mas praticamente qualquer HTTP, ela pode ser muito útil na solução de problemas de diferentes tipos de aplicativos.
A principal vantagem de uma ferramenta como o Fiddler sobre um sniffer de pacotes “verdadeiro” como o Wireshark, é que ele foi construído para “entender” o tráfego HTTP. Ele irá, por exemplo, descobrir cookies e certificados. Ele também encontrará dados reais provenientes de aplicativos baseados em HTTP. O Fiddler é gratuito e está disponível apenas para Windows. No entanto, versões beta para OS X e Linux (usando a estrutura Mono) podem ser baixadas.