Qual farejador de pacotes você recomendaria usar, especialmente em um ambiente de estação de trabalho de mais de 50 anos? Eu sou fã do Wireshark, mas tem um pouco de histórico de segurança. Existe algo melhor?
Eu não encontrei nada livre que seja melhor. Meu trabalho é muito barato para pagar um sniffer quando o Wireshark é tão bom no que faz. Sim, parece que o Wireshark tem uma nova vuln contra um decodificador a cada dois dias, mas esse tipo de coisa acontece quando você é de longe o melhor em um campo como este. Sim, gostaria que eles fossem atualizados com mais frequência. Mas a utilidade pura do Wireshark me faz continuar a usá-lo.
Eu uso o Wireshark no Windows o tempo todo - com uma sessão de SPAN ou similar, além do uso inteligente de filtros de captura / exibição, você pode fazê-lo dizer praticamente tudo que precisar. E você pode fazer gráficos bonitos para o seu chefe também. O que você quis dizer com 'histórico de segurança'?
Eu não uso essas coisas quase tanto quanto costumava, mas sempre gostei do Microsoft Network Monitor quando precisei de um analisador de protocolo livre para rastrear um problema. link
(Divulgação: Meu nome está no topo da lista de autores do Wireshark.)
O recorde de segurança do Wireshark é um dos poucos aspectos do projeto que eu não gostei. A boa notícia é que temos uma equipe talentosa de desenvolvedores e uma arquitetura sólida. Uma das razões pelas quais você ouve falar sobre a segurança do Wireshark é que procuramos ativamente por falhas e as reportamos. Nós geralmente somos os primeiros a descobri-los, e eu tento enviar atualizações e avisos o mais rápido possível quando eles são encontrados. A má notícia é que eliminar todas as falhas em 1,7 milhão de linhas de código é Really Damn Hard.
Algo que você deve ter em mente se estiver analisando um analisador comercial: muitos deles usam versões mais antigas do Wireshark (ou Ethereal) como um back-end para decodificação.
Obtenha a versão para Windows tcpdump e analise os rastreamentos mais tarde com qualquer coisa [incluindo wireshark] em uma caixa de desktop separada.
ou use o comutador de rede com espelhamento de porta e anexe o linux [ou - no pior dos casos - a máquina virtual com linux e bridging para separar a interface ethernet] e faça todo o sniffing nele.
Eu uso o Wireshark e ainda recomendaria o mesmo, mas uma alternativa à sugestão do pQd de fazer dois passos para a captura real de pacotes (presumivelmente Windump ) e análise (Wireshark) estariam usando o Monitor de Rede da Microsoft de primeira parte atualizado ou verificando a matriz de "Ferramentas e programas baseados no WinPcap" no site WinPcap (o suporte subjacente para muitos analisadores de pacotes, incluindo WinDump e Wireshark ). Eu usei "Analyzer" no passado.
Netmon 3.3 é definitivamente sua melhor aposta. A melhor novidade é a funcionalidade especialistas
Eu concordaria com o RainyRat (que é um incrível nome de usuário, cara da BTW) e expressar minha própria incredulidade com seus sentimentos anti-wireshark. (Eu também não sei de quaisquer vulnerabilidades de segurança, e eu uso um pouco.) Dito isto, eu adoraria saber se há algum.
Nesse ínterim, sempre há LanHound
Se você tiver algum dinheiro para gastar, tente OmniPeek da Wildpacket . Ele possui recursos e decodificadores de análise enormes, visualizações baseadas em sessão / fluxo, filtros fáceis de criar e excelente suporte para NICs reais com filtragem de hardware.
Eu costumo usá-lo para o meu trabalho diário para analisar problemas em redes de clientes tagarela - você pode soltar algumas pequenas caixas-linux com o tcpdump e usá-las como NIC remoto para configurações maiores.
Você pode baixar uma versão de teste e tentar.
O appliance Netmon da netmon.com (não afiliado ao software Windows) faz um bom trabalho na captura de pacotes. É também uma ferramenta de monitoramento de rede completa.