netsniff-ng
O netsniff-ng é um analisador e kit de ferramentas de rede Linux gratuito originalmente escrito por Daniel Borkmann. Seu ganho de desempenho é alcançado por mecanismos de cópia zero para pacotes de rede (RX_RING, TX_RING),[3] para que o núcleo (kernel) Linux não precise copiar pacotes do espaço do núcleo (kernel) para o espaço do usuário por meio de chamadas de sistema, como a recvmsg()
.[4] A libpcap, a partir da versão 1.0.0, também suporta o mecanismo de cópia zero no Linux para captura (RX_RING), portanto, os programas que usam a libpcap também usam esse mecanismo no Linux.
Autor original | Daniel Borkmann |
Desenvolvedores | Daniel Borkmann, Tobias Klauser, Herbert Haas, Emmanuel Roullit, Markus Amend e muitos outros |
Lançamento inicial | dezembro de 2009 |
Versão estável | 0.6.8[1] / 11 de janeiro de 2021 |
Repositório | https://github.com/netsniff-ng/netsniff-ng |
Escrito em | C |
Sistema operacional | Linux |
Disponível em | inglês |
Tipo | |
Licença | Licença pública geral GNU (GPLv2)[2] |
Página web | http://netsniff-ng.org/ |
Visão geral
editarO netsniff-ng foi inicialmente criado como um analisador de pacotes (sniffer) de rede com suporte da interface de pacotes mmap do núcleo (kernel) Linux para pacotes de rede, mas posteriormente, mais ferramentas foram adicionadas para o tornar um kit de ferramentas útil, como a suíte iproute2, por exemplo. Por meio da interface de cópia zero do núcleo (kernel), o processamento de pacotes eficiente pode ser alcançado até mesmo em hardware comum. Por exemplo, a velocidade do fio Gigabit Ethernet foi alcançada com o trafgen do netsniff-ng.[5][6] O kit de ferramentas netsniff-ng não depende da biblioteca libpcap. Além disso, nenhum patch especial do sistema operacional é necessário para executar o kit de ferramentas. O netsniff-ng é um software livre e foi lançado sob os termos da licença pública geral GNU versão 2.
O kit de ferramentas atualmente consiste em um analisador de rede, capturador e reprodutor de pacotes, um gerador de tráfego de taxa de fio, um túnel de protocolo de Internet (IP) multiusuário criptografado, um compilador filtro de pacotes Berkeley, ferramentas de estatísticas de rede, uma rota de rastreamento de sistema autônomo e mais:[7]
- netsniff-ng, um analisador de cópia zero, capturador e reprodutor de pacotes, que oferece suporte ao formato de arquivo pcap
- trafgen, um gerador de tráfego com taxa zero de cópia
- mausezahn, um gerador e analisador de pacotes para ferramenras de hardware/software (HW/SW) com interface de linha de comandos (CLI) Cisco
- bpfc, um compilador do filtro de pacotes Berkeley
- ifpps, uma ferramenta de estatísticas de rede do núcleo (kernel) top-like
- flowtop, uma ferramenta de rastreamento de conexão de filtro de rede com informações Geo-IP
- curvetun, um túnel IP multiusuário leve baseado em criptografia de curva elíptica]]
- astraceroute, um utilitário de rastreamento de rota de sistema autônomo com informações Geo-IP
Pacotes específicos de distribuição estão disponíveis para todas as principais distribuições de sistemas operacionais, como o Debian[8] ou o Fedora Linux. Também foi adicionado ao kit de ferramentas forenses Xplico,[9] ao GRML Linux, ao SecurityOnion[10] e ao kit de ferramentas forenses. [11] O kit de ferramentas netsniff-ng também é usado na academia.[12][13]
Comandos básicos que funcionam no netsniff-ng
editarNestes exemplos, se assume que eth0 é a interface de rede usada. Os programas no pacote netsniff-ng aceitam opções longas, por exemplo, --in (-i), --out (-o), --dev (-d).
astraceroute -d eth0 -N -S -H <host e.g., netsniff-ng.org>
- Para estatísticas de rede do núcleo (kernel) no modo promíscuo:
ifpps -d eth0 -p
- Para geração de tráfego de pacote de rede de alta velocidade, trafgen.txf é a configuração do pacote:
trafgen -d eth0 -c trafgen.txf
- Para compilar um filtro de pacote Berkeley fubar.bpf:
bpfc fubar.bpf
- Para rastreamento ao vivo de conexões TCP atuais (incluindo protocolo, nome do aplicativo, cidade e país de origem e destino):
flowtop
- Para descarregar o tráfego de rede de maneira eficiente em um arquivo pcap:
netsniff-ng -i eth0 -o dump.pcap -s -b 0
Plataformas
editarO kit de ferramentas netsniff-ng atualmente é executado apenas em sistemas Linux. Seus desenvolvedores recusam portar para o Microsoft Windows.[14]
Ver também
editarReferências
editar- ↑ «Lançamento 0.6.8» (em inglês). Consultado em 20 de dezembro de 2021
- ↑ «Licença do netsniff-ng» (em inglês). Consultado em 20 de dezembro de 2021
- ↑ «Descrição do mecanismo mmap de pacotes do Linux» (em inglês). Consultado em 28 de dezembro de 2021
- ↑ «Página inicial do netsniff-ng, resumo, cópia zero» (em inglês). Consultado em 20 de dezembro de 2021. Cópia arquivada em 8 de setembro de 2016
- ↑ «Artigo do Network Security Toolkit sobre os recursos de desempenho do trafgen» (em inglês). Consultado em 20 de dezembro de 2021
- ↑ «Blog do desenvolvedor sobre o desempenho do trafgen» (em inglês). 16 de outubro de 2011. Consultado em 20 de dezembro de 2021. Cópia arquivada em 25 de abril de 2012
- ↑ «Leia-me do netsniff-ng». GitHub (em inglês). Consultado em 20 de dezembro de 2021
- ↑ «netsnif-ng no Debian» (em inglês). Consultado em 20 de dezembro de 2021
- ↑ «Suporte do Xplico para o netsniff-ng» (em inglês). Consultado em 20 de dezembro de 2021
- ↑ «Security Onion 12.04 RC1 disponível agora!» (em inglês). Consultado em 20 de dezembro de 2021
- ↑ «Kit de ferramentas de segurança de rede (NST) adiciona o netsniff-ng» (em inglês). Consultado em 21 de dezembro de 2021
- ↑ «trafgen do netsniff-ng na Universidade de Napoli Federico II» (em inglês). Consultado em 20 de dezembro de 2021. Arquivado do original em 10 de novembro de 2011
- ↑ «trafgen do netsniff-ng na Universidade de Columbia» (em inglês). Consultado em 20 de dezembro de 2021
- ↑ «Perguntas mais frequentes sobre o netsniff-ng recusando portar para o Microsoft Windows» (em inglês). Consultado em 20 de dezembro de 2021
Ligações externas
editar- Página oficial do netsniff-ng (em inglês)
- Perguntas mais frequentes sobre o netsniff-ng (em inglês)
- netsniff-ng no GitHub (em inglês)
- arquivo da lista de discussão do netsniff-ng(em inglês)
- mmap() de pacote do Linux, filtro de pacotes Berkeley (BPF) e o kit de ferramentas netsniff-ng, palestra DevConf (longa) (em inglês)
- Soquetes de pacotes, filtro de pacote Berkeley (BPF), netsniff-ng, palestra OpenSourceDays (curta) (em inglês)
netsniff-ng(8)
– Manual de administração e comandos privilegiados do Linux