O netsniff-ng é um analisador e kit de ferramentas de rede Linux gratuito originalmente escrito por Daniel Borkmann. Seu ganho de desempenho é alcançado por mecanismos de cópia zero para pacotes de rede (RX_RING, TX_RING),[3] para que o núcleo (kernel) Linux não precise copiar pacotes do espaço do núcleo (kernel) para o espaço do usuário por meio de chamadas de sistema, como a recvmsg().[4] A libpcap, a partir da versão 1.0.0, também suporta o mecanismo de cópia zero no Linux para captura (RX_RING), portanto, os programas que usam a libpcap também usam esse mecanismo no Linux.

Kit de ferramentas netsniff-ng
Netsniff-ng
Netsniff-ng
Autor original Daniel Borkmann
Desenvolvedores Daniel Borkmann, Tobias Klauser, Herbert Haas, Emmanuel Roullit, Markus Amend e muitos outros
Lançamento inicial dezembro de 2009
Versão estável 0.6.8[1] / 11 de janeiro de 2021; há 3 anos
Repositório https://github.com/netsniff-ng/netsniff-ng
Escrito em C
Sistema operacional Linux
Disponível em inglês
Tipo
Licença Licença pública geral GNU (GPLv2)[2]
Página web http://netsniff-ng.org/

Visão geral

editar

O netsniff-ng foi inicialmente criado como um analisador de pacotes (sniffer) de rede com suporte da interface de pacotes mmap do núcleo (kernel) Linux para pacotes de rede, mas posteriormente, mais ferramentas foram adicionadas para o tornar um kit de ferramentas útil, como a suíte iproute2, por exemplo. Por meio da interface de cópia zero do núcleo (kernel), o processamento de pacotes eficiente pode ser alcançado até mesmo em hardware comum. Por exemplo, a velocidade do fio Gigabit Ethernet foi alcançada com o trafgen do netsniff-ng.[5][6] O kit de ferramentas netsniff-ng não depende da biblioteca libpcap. Além disso, nenhum patch especial do sistema operacional é necessário para executar o kit de ferramentas. O netsniff-ng é um software livre e foi lançado sob os termos da licença pública geral GNU versão 2.

O kit de ferramentas atualmente consiste em um analisador de rede, capturador e reprodutor de pacotes, um gerador de tráfego de taxa de fio, um túnel de protocolo de Internet (IP) multiusuário criptografado, um compilador filtro de pacotes Berkeley, ferramentas de estatísticas de rede, uma rota de rastreamento de sistema autônomo e mais:[7]

  • netsniff-ng, um analisador de cópia zero, capturador e reprodutor de pacotes, que oferece suporte ao formato de arquivo pcap
  • trafgen, um gerador de tráfego com taxa zero de cópia
  • mausezahn, um gerador e analisador de pacotes para ferramenras de hardware/software (HW/SW) com interface de linha de comandos (CLI) Cisco
  • bpfc, um compilador do filtro de pacotes Berkeley
  • ifpps, uma ferramenta de estatísticas de rede do núcleo (kernel) top-like
  • flowtop, uma ferramenta de rastreamento de conexão de filtro de rede com informações Geo-IP
  • curvetun, um túnel IP multiusuário leve baseado em criptografia de curva elíptica]]
  • astraceroute, um utilitário de rastreamento de rota de sistema autônomo com informações Geo-IP

Pacotes específicos de distribuição estão disponíveis para todas as principais distribuições de sistemas operacionais, como o Debian[8] ou o Fedora Linux. Também foi adicionado ao kit de ferramentas forenses Xplico,[9] ao GRML Linux, ao SecurityOnion[10] e ao kit de ferramentas forenses. [11] O kit de ferramentas netsniff-ng também é usado na academia.[12][13]

Comandos básicos que funcionam no netsniff-ng

editar

Nestes exemplos, se assume que eth0 é a interface de rede usada. Os programas no pacote netsniff-ng aceitam opções longas, por exemplo, --in (-i), --out (-o), --dev (-d).

  • Para sondagem de rastreamento de rota geográfica AS TCP SYN para um site:
astraceroute -d eth0 -N -S -H <host e.g., netsniff-ng.org>
ifpps -d eth0 -p
  • Para geração de tráfego de pacote de rede de alta velocidade, trafgen.txf é a configuração do pacote:
trafgen -d eth0 -c trafgen.txf
  • Para compilar um filtro de pacote Berkeley fubar.bpf:
bpfc fubar.bpf
  • Para rastreamento ao vivo de conexões TCP atuais (incluindo protocolo, nome do aplicativo, cidade e país de origem e destino):
flowtop
  • Para descarregar o tráfego de rede de maneira eficiente em um arquivo pcap:
netsniff-ng -i eth0 -o dump.pcap -s -b 0

Plataformas

editar

O kit de ferramentas netsniff-ng atualmente é executado apenas em sistemas Linux. Seus desenvolvedores recusam portar para o Microsoft Windows.[14]

Ver também

editar

Referências

editar
  1. «Lançamento 0.6.8» (em inglês). Consultado em 20 de dezembro de 2021 
  2. «Licença do netsniff-ng» (em inglês). Consultado em 20 de dezembro de 2021 
  3. «Descrição do mecanismo mmap de pacotes do Linux» (em inglês). Consultado em 28 de dezembro de 2021 
  4. «Página inicial do netsniff-ng, resumo, cópia zero» (em inglês). Consultado em 20 de dezembro de 2021. Cópia arquivada em 8 de setembro de 2016 
  5. «Artigo do Network Security Toolkit sobre os recursos de desempenho do trafgen» (em inglês). Consultado em 20 de dezembro de 2021 
  6. «Blog do desenvolvedor sobre o desempenho do trafgen» (em inglês). 16 de outubro de 2011. Consultado em 20 de dezembro de 2021. Cópia arquivada em 25 de abril de 2012 
  7. «Leia-me do netsniff-ng». GitHub (em inglês). Consultado em 20 de dezembro de 2021 
  8. «netsnif-ng no Debian» (em inglês). Consultado em 20 de dezembro de 2021 
  9. «Suporte do Xplico para o netsniff-ng» (em inglês). Consultado em 20 de dezembro de 2021 
  10. «Security Onion 12.04 RC1 disponível agora!» (em inglês). Consultado em 20 de dezembro de 2021 
  11. «Kit de ferramentas de segurança de rede (NST) adiciona o netsniff-ng» (em inglês). Consultado em 21 de dezembro de 2021 
  12. «trafgen do netsniff-ng na Universidade de Napoli Federico II» (em inglês). Consultado em 20 de dezembro de 2021. Arquivado do original em 10 de novembro de 2011 
  13. «trafgen do netsniff-ng na Universidade de Columbia» (em inglês). Consultado em 20 de dezembro de 2021 
  14. «Perguntas mais frequentes sobre o netsniff-ng recusando portar para o Microsoft Windows» (em inglês). Consultado em 20 de dezembro de 2021 

Ligações externas

editar