NetBoar Versione attuale 1.371b English version

Perchè?

Facile. Ho scritto questo programma perchè mi serviva.
A volte, analizzando la rete si ha bisogno di capire cosa sta succedendo, e bisogna scoprirlo alla svelta, ad esempio, se vedi una interfaccia a 100 Mbit che la vora al 70%, invece del solito 30%. Chi sta facendo cosa? NetBoar ti aiuta.

How?

NetBoar sniffa il traffico sulla connessione di rete, e ne mostra un riassunto. Lavora come iftop o Etherape sui sistemi Unix, mostrando tutte le conversazioni in corso. Inoltre le divide secondo la porta di destinazione, dando un'informazione su quali protocolli stanno generando il traffico.

Bene, quindi?

NetBoar da una prima idea di cosa sta succedendo, poi se hai bisogno di analisi specifiche devi usare un prodotto specifico, come ad esempio Ethereal.
NetBoar non fa nulla che altri prodotti specializzati facciano meglio. Ti da un'idea della situazione con un'occhiata, senza necessità di sniffare, immagazzinare e analizzare centinaia di Mbytes di traffico. Lavora in realtime, senza usare tanta RAM o spazio su disco.

Cosa mi serve per farlo funzionare?

Un computer con Windows 2000, XP, 2003 o Vista, con il Microsoft .NET Framework 2 installato. Inoltre serve WinPcap, per sniffare il traffico. Ti servono circa 20-32 Mb di RAM e un po' di potenza di calcolo. Il programma è multithreaded e sniffa in maniera asincrona il traffico rispetto all'analisi dei dati, così da sfruttare i processori dual core.

Cosa vedo e cosa mi perdo?

Ti perdi tutto il traffico non IP. Ti perdi il traffico IPX ed altri protocolli esotici, anche per quanto riguarda il conto totale dei bytes. Vedrai diversi protocolli "conosciuti", con l'opzione di vedere ogni singola porta TCP/UDP in uso. In questa prima versione la lista dei protocolli "conosciuti" è fissa. Questo potrebbe cambiare in futuro. Per una migliore individuazione, i protocolli sono associati a colori diversi..
NetBoar mediante l'uso di filtri BPF, permette di filtrare il traffico sniffato. La sintassi la trovi nelle man pages di libpcap, o facendo googling. NetBoar ha una serie di filtri predefiniti.
Le liste sono sempre ordinate per volume di traffico decrescente.

Esempi di utilizzo

Ricevi molto traffico da una tua sede remota, e la cosa è strana. Lancia NetBoar e ad esempio puoi scoprire che uno specifico IP sta facendo un sacco di traffico SMTP.

Oppure semplicemente ti interessa sapere quali siti accede il tuo computer mentre lavori.

Uso

L'uso è banale, scegli l'interfaccia di rete e premi Start. Se il numero di conversazioni supera l'area visibile, seleziona freeze nel menu Options, oppure premi CTRL+F. La cattura continua in background. Potresti anche voler risolvere gli IP in nomi host. Se hai molto traffico questa è una pessima idea, dal momento che la risoluzione dei nomi genera molte query DNS e rallenta il programma

Ci sono diverse opzioni nel menu:

• Promiscuous mode: imposta la modalità di acttura dell'interfaccia. Utile soprattutto per alcune interfacce wireless
• Only known protocols: Filtra tutti i protocollo non "conosciuti".
• Resolve ports: trasforma i numeri porta in nomi dei protocolli (53->DNS, 80->HTTP).
• Resolve addresses: risolve gli IP in nomi (da usare con attenzione)
• Freeze display: blocca l'aggiornamento del display 
• Don't distinguish ports: elimina l'analisi delle porte di destinazione, così vedrai una sola conversazione pr un server acceduto da un client su diversi servizi (1 http, 1 ftp e1 SMB dal client A al server B saranno una sola conversazione, e il traffico verrà sommato)
• Collapse (source / destination): mostra una sola conversazione per (rispettivamente)  diversi server acceduti dallo stesso client o differenti clients sullo stesso server
• Packet filters: imposta alcuni filtri BPF preconfezionati
• Display limit: limita il numero di elementi nelle liste
• Units scaling: imposta le unità dei contatori

Se hai qualche idea o consiglio, usa il forum!

Crediti

Questo programma si basa sulla libreria WinPcap del Politecnico di Torino. Inoltre mediante SharpPcap è stato semplice usare WinPcap nel .NET framework.

Licenza

Questo è free software. Puoi scaricarlo e usarlo senza limiti, purchè non lo modifichi. Se vuoi ridistribuire il software dentro il tuo programma, devi notificarmelo attraverso questa pagina e inserire un riferimento al sito. Lo stesso vale per l'uso in ambienti governativi, militari o forensi. 

Se trovi questo programma utile, dona un importo qualsiasi premendo qui

Download

L'ultima versione è la 1.371b. Puoi scaricarla da qui. L'MD5 Hash è DF0009ED2D3BDD95DA38BAE05B63B561

Version History

1.371b 20070915
First public release