TIP#047: Colasoft Capsa se může hodit, když potřebujete zjistit, co teče po síti

Někdy před měsícem byl u nás doma Jakubův kamarád a mastili Minecraft. Jakub na svém počítači, jeho kamarád na přineseném notebooku. Průvodní jev byl ten, že se během několika minut totálně ucpala VDSL linka. Chvíli jsem pátral u sebe, jestli se zase „něco“ nezačalo synchronizovat, ale to se ukázalo jako mylný předpoklad. Nakonec jsme zjistil, že to dělá právě onen notebook. Výsledkem zkoumání pak nakonec bylo to,že v něm byly desítky natahaných nesmyslů, malware, crapwware a všeho dalšího.

A něco z toho na plné koule samozřejmě komunikovalo. Notebook jsem mu nakonec vyčistil, stejně jako ještě pro jistotu prošel tablet s Androidem, kde měl taky natahané spousty velmi zábavných věcí. Ale to není až tak pointa dnešního tipu – ten dnešní tip je o tom, že se vám může hodit nástroj, který pustíte a on vám řekne, co pobíhá po vaší síti. V základní podobě aspoň co že po síti přenáší váš počítač, ale v té lepší, co všechno po síti běhá. colasoft-capsa-home Když jsem naposledy něco podobného dělal a potřeboval to pro Windows, tak jsme narazil na Colasoft Capsa . což je sice komerční software, ale trial verze tehdy postačila k tomu, aby zafungovala přesně na to na co jsem ji potřeboval a zdarma dostupné freeware podoba je pořád dobrou alternativou. Není to samozřejmě jediný software, pro Windows například existuje třeba prastarý Microsoft Network Monitor (a jeho následovník Message Analyzer) a najdete řadu dalších (třeba Wireshark, který umí i jiné platformy). Pro Linux je to, samozřejmě, podstatně jednodušší (a pro MAC netuším, protože nemám).

Síťový analyzátor a odchytávač paketů

Colasoft Capsa je síťový analyzátor, slouží k tomu, že si ho pustíte a necháte běžet. Bude poslouchat co pobíhá po síti, odchytávat pakety, ukládat vše odchycené. A hlavně, umět to analyzovat. Můžete odchytávat všechno, nebo jenom určitý druh komunikace Stejně tak třeba jenom komunikaci z určitého programu, počítače, IP adresy, MAC adresy, atd. colasoft-capsa-dashboard Hodí se vždy, když chcete vědět co posílá a přijímá nějaký software (třeba zda posílá hesla v textové podobě, zda na vás bonzuje něco co nemá). S kým vlastně komunikuje (když máte třeba podezření, že nějaký aplikace na tabletu „volá domů“) a co posílá či přijímá. Pomůže vám zjistit i to nejzákladnější, tedy kdo/co nejvíce komunikuje a posílá největší objemy. Můžete tak přijít na počítač, který je zodpovědný za zahlcení domácí či firemní sítě. A pak se podívat přimo na onen konkrétní počítač a zjistit, které programy to dělají. Colasoft Capsa má jednu výhodu, řadu těchto věcí vám ukáže v přehledné podobě pro BFU, takže nemusíte ani moc rozumět protokolům a jiným vymoženostem. Má předdefinované některé aktivity, takže stačí kliknout a dozvíte se potřebné. Včetně přímo připravených pohledů na potřebné věci – zjišťování problémů, detekci probíhající nebezpečných aktivit, atd. Najdete zde i některé další obvyklé pomůcky, ať už pro prohledávání sítě, práci s pakety, monitorování bezdrátových sítí, sledování toho jak se vám daří někam pingat, atd. Hodit se navíc mohou i analytické funkce – neexistující/nedosažitelné IP adresy, pomalá odpověď, nedosažitelné porty Popisované je klasicky součástí síťových analyzátorů a Colasoft Capsa je jednou z mnoha možností – na první pohled poměrně drahou (plná Enterprise za 995 USD, Professional za 695 USD). Může to vyvážit jednoduché a dobře navržené rozhraní, které usnadní používání, schopnost odchytávat klasický Ethernet i bezdrátové sítě. A pokud se pro Windows nechcete učit třeba právě Wireshark, tak to vypadá na vhodnou variantu.

Obrázky a grafy nejsou všechno

Pokud si budete jednoho dne hrát s nějakým síťovým analyzátorem, tak rychle zjistíte, že je dobré si všechny věci proklikávat. A také případně nechávat ukládat větší objem (a období odchytávaných dat). Platí to i u Colasoft Capsa, kde grafy a rychlé pohledy jsou skvělé třeba právě na odhalení počítače, který zahlcuje síť. Ale detailní rozklikání, průchod do hloubky, je pak nutný k tomu, abyste pochopili co se děje. Síťové analyzátory jsou ale především schopné odposlouchávat jednotlivé pakety (samozřejmě do té míry, jak jim to umožňuje topologie sítě) a něco takového se vám bude hodně hodit při hlubších analýzách – nejenom toho s kým něco komunikuje, ale co si vzájemně vyměňují. colasoft-capsa-ping Hodit se mohou i předdefinované filtry a pohledy, navíc možná brzy zjistíte, že při hledání problémů v sítí bývá dobré nechat anylýzy běžet poměrně dlouho a poté se zpětně probírat nashromážděnými daty. Ty navíc můžete, jak už je to u síťových analyzátorů zvykem, exportovat, tedy uložit mimo a zpracovat dalšími programy. Capsa software si můžete kdykoliv vyzkoušet, stačí stáhnout freeware podobu – jediné co budete muset udělat je, poskytnout e-mail, na který dostanete licenční klíč. A když už budete u Colasoftu na webu, mají tam ještě další užitečné pomůcky, také dostupné zdarma. Některé z nich jsou v placené verzi Capsa zahrnuté přímo. DODATEK: Protože jsem se o Colasoft Capsa zmiňoval kdesi na Twitteru, byl jsem Colasoftem osloven s nabídkou, že poskytnou plnou verzi výměnou za recenzi. Pro @365tipů bych došel k psaní o Capsa, Wiresharku i dalších tak jako tak, takže v tom nic nehledejte.  Ale platí nutnost a slušnost to uvést.