Programem komputerowym przeznaczonym do analizy ruchu w sieci jest

Prawidłową odpowiedzią jest Wireshark, ponieważ jest to wyspecjalizowany analizator protokołów sieciowych, tzw. network protocol analyzer lub sniffer. To narzędzie przechwytuje pakiety przesyłane w sieci (np. Ethernet, Wi-Fi) i pozwala je szczegółowo analizować – od nagłówków warstw 2 i 3 (MAC, IP), przez TCP/UDP, aż po protokoły aplikacyjne typu HTTP, DNS, SMTP, FTP i dziesiątki innych. W praktyce administratorzy, serwisanci i pentesterzy używają Wiresharka do diagnozowania problemów z łącznością, opóźnieniami, utratą pakietów, nieprawidłową konfiguracją VLAN-ów, a także do analizy bezpieczeństwa, np. wykrywania podejrzanego ruchu czy prób ataków. Moim zdaniem to jedno z podstawowych narzędzi, które każdy technik informatyk powinien przynajmniej w podstawowym stopniu ogarniać. W dobrych praktykach, zgodnie z zaleceniami producentów urządzeń sieciowych (Cisco, Mikrotik, HP/Aruba), analiza ruchu pakiet po pakiecie jest standardową metodą przy trudniejszych awariach – i właśnie do tego służy Wireshark. Program potrafi filtrować ruch według adresów IP, portów, protokołów, flag TCP, a nawet zawartości payloadu. Można np. szybko sprawdzić, czy klient wysyła zapytania DNS, czy są odpowiedzi, jak wygląda handshake TCP (SYN, SYN-ACK, ACK), czy nie ma retransmisji. W środowiskach produkcyjnych używa się go często w połączeniu z port mirroringiem na switchu (SPAN), żeby podsłuchać ruch konkretnego hosta lub VLAN-u bez wpływania na pracę sieci. Dodatkowo Wireshark pozwala zapisywać zrzuty ruchu w formacie pcap/pcapng, które potem można analizować ponownie, wysyłać innym specjalistom albo archiwizować jako materiał dowodowy przy incydentach bezpieczeństwa. To narzędzie jest też świetne do nauki protokołów – widać dokładnie, jak przebiega np. DHCP, ARP czy TLS w realnym ruchu, a nie tylko w teorii z książki.