Перевод: Анна Давыдова
Источник: n0where.net
Netsniff-ng — Сетевой анализатор Linux
Швейцарский армейский нож для ежедневного подключения к сети Linux
Скачать netsniff-ng
Netsniff-ng является бесплатным, эффективным сетевым анализатором Linux, а также сетевым набором инструментов. Если захотите, его можно называть швейцарским армейским ножом для сетевых пакетов. Усиление производительности достигается с помощью встроенного механизма нулевой копии таким образом, что при приеме и передаче пакетов ядру не нужно копировать пакеты из пространства ядра в пространство пользователя, и наоборот. Основная цель использования набора инструментов netsniff-ng заключается в том, чтобы облегчить повседневную работу Linux разработчик / хакера в сети. Он может использоваться для развития сети, отладки, анализа, аудита или сетевой разведки.
Инструменты Netsniff-ng
- netsniff-ng — является быстрым сетевым анализатором, основанным на пакетных механизмах mmap(2). Он может записывать pcap файлы на диск, повторять их? а также проводить оффлайн и онлайн анализ. Также поддерживаются захват, анализ или воспроизведение сырых кадров 802.11. Файлы pcap также совместимы с tcpdump или Wireshark трассировками. Netsniff-ng обрабатывает эти pcap трассировки или с помощью scatter-gather I/O или mmap(2) I/O.
- trafgen — многопоточный генератор сетевого трафика, основанный на пакетных механизмах mmap(2). Он имеет свой собственный гибкий, основанный на макросах низкоуровневый язык конфигурации пакетов. Также поддерживает введение сырых кадров 802.11. trafgen, имеет существенно более высокую скорость, чем mausezahn, примерно такую же как и pktgen, но работает из пользовательского пространства. pcap трассировки могут также быть конвертированы в trafgen пакетную конфигурацию.
- mausezahn — является генератором пакетов высокого уровня, который может работать на аппаратном программном обеспечении и поставляется с Cisco-подобным CLI. Он может создавать почти все возможные или невозможные пакеты. Таким образом, он может использоваться, например, для проверки поведения сети в непривычных обстоятельствах (стресс-тест, неверно сформированные пакеты) или же для тестирования аппаратно программных устройств в условиях воздействия различных атак.
- bpfc — является компилятором фильтра пакетов Беркли (Berkeley Packet Filter (BPF)), который понимает исходный язык BPF, разработанный McCanne и Jacobson. Он принимает BPF мнемонику и конвертирует её в читаемый для kernel/netsniff-ng так называемый BPF «opcodes» (код операции). Он также поддерживает недокументированные расширения фильтров. Это может быть особенно полезно для более сложных фильтров, которые не поддерживают высокоуровневые фильтры.
- ifpps — является инструментом, который периодически обеспечивает топовую сетевую и системную статистику из ядра Linux. Он собирает статистические данные напрямую из procfs файлов и не применяет никакой мониторинг трафика пользовательского пространства, который искажал бы статистические данные на высоких скоростях передачи пакетов. Для беспроводных подключений данные о возможностях связи также предоставляются.
- flowtop — является инструментом отслеживания соединений, который может работать на конечном хосте или роутере. Он может представить потоки TCP или UDP, которые были собраны в инфраструктуре ядра netfilter. Отображается информация о состоянии машин GeoIP и TCP. Также, на конечных хостах flowtop может показать PID и имена приложений, к которым относятся пакеты. Мониторинг трафика пользовательского пространства не производится, поэтому сбор данных производится ядром.
- curvetun — является легким, высокоскоростным многопользовательским туннелем ECDH для Linux. curvetun использует интерфейс Linux TUN/TAP interface и поддерживает {IPv4, IPv6} поверх {IPv4, IPv6} с UDP или TCP в качестве несущих протоколов. Пакеты шифруются непрерывной цепью симметричным поточным шифром (Salsa20) и аутентифицируются MAC (Poly1305), где ключи ранее были вычислены протоколом согласования ключей ECDH (Curve25519).
- astraceroute — это утилита трассировки автономной системы (AS). В отличие от traceroute или tcptraceroute, она не только отображает переходы, но также их AS информацию, к которой они принадлежат, а также информацию GeoIP и другие интересные вещи. По умолчанию, она использует TCP тестовый пакет и отступает назад к ICMP зондированию в случае, если не было получено никакого ICMP ответа.
И в завершение, данный набор инструментов разделен на небольшие полезные утилиты, которые обязательно, или необязательно связаны друг с другом. Каждая программа сама по себе понемногу помогает в вашей ежедневной работе по сетевой отладке, разработке и аудиту.
Netsniff-ng toolkit является проектом с открытым исходным кодом, защищенным лицензией GNU General Public License, версия 2.0. По любым вопросам или для получения обратной связи относительно netsniff-ng можете оставлять сообщения на <netsniff-ng@googlegroups.com>. Тetsniff-ng — это некоммерческий проект, созданный в надежде на то, что он окажется полезным. Нынешний статус проекта может быть оценен как «работающий». В общем, все инструменты были протестированы в значительной степени, включая их параметры командной строки. На самом деле, много из инструментов используются во многих производственных системах. Однако, нет никаких гарантий, что эти инструменты не имеют багов! Если вы вдруг обнаружите таковые, свяжитесь с командой netsniff, как описано в REPORTING-BUGS. Также, ознакомьтесь с онлайн FAQ для получения ответов на ваши вопросы. Счастливого взлома пакетов!