Rastreadores de paquetes populares en Linux
Una herramienta de rastreo de paquetes captura paquetes en vivo de las redes, los decodifica de acuerdo con las especificaciones del protocolo y, opcionalmente, toma medidas de acuerdo con el contenido del paquete analizado (por ejemplo, en el caso de sistemas de detección/prevención de intrusos). Las herramientas de detección de paquetes son muy útiles cuando diagnostica redes o se protege contra ataques de seguridad en las redes. La siguiente lista muestra rastreadores de paquetes de código abierto populares que están disponibles en Linux.
1. tcpdump
El analizador de paquetes de propósito general más popular. tcpdump
utiliza la biblioteca libpcap
para capturar paquetes en la capa 2 de OSI (por ejemplo, Ethernet, PPP y SLIP) y superiores. También admite expresiones regulares para el filtrado de paquetes avanzado y permite exportar e importar volcados de paquetes hacia y desde un archivo.
2. Wireshark
Anteriormente conocido como Ethereal, Wireshark es un analizador de paquetes de código abierto con interfaz gráfica. En cuanto a la funcionalidad, Wireshark es bastante similar a tcpdump
y está disponible en varias plataformas, incluidas Linux, BSD, Mac OS X y MS Windows. Viene con un cliente CLI llamado tshark
.
3. dhcpdump
Snoops en el tráfico de solicitud/respuesta DHCP capturado por la biblioteca libpcap
y muestra los paquetes DHCP en formatos legibles por humanos. dhcpdump
es útil para la depuración y solución de problemas de DHCP.
4. p0f
Una herramienta pasiva de huellas dactilares del sistema operativo que identifica los sistemas operativos de dos hosts de punto final asociados con una conexión TCP existente. Para obtener huellas dactilares precisas, p0f
se basa en varias firmas, incluidos encabezados TCP/IP, dinámicas de protocolo de enlace de tres vías TCP, contenido de cargas útiles a nivel de aplicación (por ejemplo, solicitud/respuesta HTTP). Además de la toma de huellas dactilares del sistema operativo, p0f
también detecta los tipos de clientes HTTP, enlaces de red (por ejemplo, ethernet, DSL, módem), así como el uso compartido de conexiones NAT, configuración de equilibrio de carga, etc.
5. Snort
Un sistema de prevención y detección de intrusiones de código abierto que se basa en la detección y el análisis de la red en tiempo real. Snort lleva a cabo un extenso análisis de protocolos y coincidencias de contenido para detectar una variedad de ataques a la red y escaneos hostiles.
6. Kismet
Un detector de red inalámbrica y un sistema de detección de intrusos para enlaces inalámbricos 802.11, compatible con 802.11a, 802.11b, 802.11g y 802.11n. Identifica a los clientes inalámbricos y su asociación de red mediante la recopilación pasiva de paquetes en las interfaces de la tarjeta de red inalámbrica. Kismet también detecta programas activos de rastreo inalámbrico para alertar sobre ataques a la red inalámbrica.
7. hcidump
Un rastreador de tráfico Bluetooth que captura paquetes HCI asociados con dispositivos Bluetooth y muestra actividades relacionadas con Bluetooth en formatos legibles por humanos.
8. httpry
Una herramienta de rastreo de paquetes HTTP de código abierto que captura paquetes HTTP en vivo con la biblioteca libpcap
y muestra solicitudes y respuestas HTTP en un formato legible por humanos. Viene con una colección de scripts Perl de análisis para extraer información diversa de su salida estándar.
9. dsniff
Un conjunto de herramientas CLI que se utiliza para fines de auditoría de red y pruebas de penetración. La funcionalidad admitida incluye contraseñas de sesiones de inicio de sesión (dsniff
), rastreo de archivos del tráfico NSF (filesnarf
), mensajes de correo electrónico del tráfico SMTP/POP (mailsnarf
), URL del tráfico web (urlsnarf
), etc.
10. ngrep
grep
sobre paquetes de red. Desarrollado con la biblioteca libpcap
, captura paquetes cuya carga útil coincide con expresiones regulares extendidas o expresiones hexadecimales.
11. ntopng
Un completo sistema de monitoreo de tráfico de red en tiempo real basado en la web que proporciona análisis de flujo/protocolo/nivel de paquete del tráfico de red local. El historial de tráfico a largo plazo se archiva en el backend de la base de datos.
12. Wireless IDS
Una herramienta de detección de intrusos de código abierto para redes inalámbricas. Rastrea la comunicación entre los dispositivos inalámbricos y los puntos de acceso para detectar posibles paquetes de ataque WEP/WPA/WPS o posibles puntos de acceso no autorizados.
13. mysql-sniffer
Una herramienta rastreadora MySQL de código abierto que captura los paquetes en vivo enviados a un servidor MySQL y vuelca las consultas MySQL en un formato legible por humanos.
14. bro
Un potente y flexible sistema de monitoreo de red y detección de intrusos. Analiza el tráfico en vivo o grabado para desencadenar eventos que luego son manejados por políticas de acción.