tcpdump

Основният инструмент за събиране на почти всички мрежови трафик е tcpdump. Това е приложение с отворен код, което се инсталира на почти всички Unix-подобни операционни системи. Tcpdump е отличен инструмент за събиране на данни и идва с много мощен механизъм за филтриране. Важно е да знаете как да филтрирате данните по време на събирането, за да получите управляема част от данните за анализ. Улавянето на всички данни от мрежово устройство, дори при умерено натоварена мрежа, може да създаде твърде много данни за прост анализ.

В някои редки случаи tcpdump може да изведе резултата директно на вашия екран и това може да е достатъчно, за да намерите това, което търсите. Например, докато пишех статия, беше уловен някакъв трафик и беше забелязано, че машината изпраща трафик към неизвестен IP адрес. Оказва се, че машината е изпращала данни към IP адреса на Google 172.217.11.142. Тъй като не бяха пуснати продукти на Google, възникна въпросът защо се случва това.

Проверка на системата показа следното:

[ ~ ]$ ps -ef | grep google

Оставете вашия коментар!

полезност CommViewслужи за събиране и анализиране на локален мрежов и интернет трафик. Програмата улавя и декодира данните, преминаващи през мрежата до най-ниското ниво, включително списък с мрежови връзки и IP пакети на повече от 70 от най-често срещаните мрежови протоколи. CommViewподдържа IP статистика; прихванатите пакети могат да бъдат записани във файл за по-късен анализ. Използвайки гъвкава филтърна система в програмата, можете да изхвърлите ненужните за улавяне на пакетиили прихванете само необходимите. Включеният в програмата VoIP модул позволява задълбочен анализ, запис и възпроизвеждане на гласови съобщения по стандартите SIP и H.323. CommView ви позволява да видите подробна картина на информационния трафик, преминаващ през мрежова карта или отделен мрежов сегмент.

Скенер за интернет и локална мрежа

Като мрежов скенер програмата CommView ще бъде полезна за системни администратори, хора, работещи в областта на мрежовата сигурност и програмисти, разработващи софтуер, който използва мрежови връзки. Помощната програма поддържа руски език, има удобен за потребителя интерфейс и включва подробна и разбираема помощна система за всички функции и възможности, внедрени в програмата.

Основни характеристики на CommView

• Прихващане на интернет или локален трафик, преминаващ през мрежов адаптер или комутируем контролер
• Подробна статистика на IP връзките (адреси, портове, сесии, име на хост, процеси и др.)
• Пресъздаване на TCP сесия
• Настройка на известия за събития
• Диаграми на IP протоколи и протоколи от горно ниво
• Преглед на заснети и декодирани пакети в реално време
• Търсете съдържанието на прихванатите пакети по низ или HEX данни
• Запазване на пакети в архиви
• Изтеглете и прегледайте предварително запазени пакети, когато връзката е прекъсната
• Експорт и импорт на архиви с пакети във (от) формати NI Observer или NAI Sniffer
• Получаване на информация за IP адрес
• Поддръжка на протокол и декодиране: ARP, BCAST, RTSP, SAP, SER, SIP, SMB, SMTP, SNA, SNMP, SNTP, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG, DNS, EIGRP, FTP, G.723, GRE, H. 225, H.261, H.263, H.323, HTTP, HTTPS, 802.1Q, 802.1X, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX, HSRP, LDAP, MS SQL, NCP , NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, LDAP, MS SQL, NCP, NDS, NetBIOS, RDP, RIP, RIPX, RMCP, RPC, RSVP, RTP, RTCP, SOCKS, SPX, SSH, TCP, TELNET, TFTP, TIME, TLS, UDP, VTP, WDOG, YMSG.

В някои случаи анализът на мрежовия трафик се използва за откриване на проблеми във функционирането на мрежовия стек на хост и мрежови сегменти. Има инструменти, които ви позволяват да показвате (слушате) и анализирате работата на мрежата на ниво предавани рамки, мрежови пакети, мрежови връзки, дейтаграми и протоколи на приложения.

Зависи от ситуация, както трафикът на възела, на който се слуша мрежовият трафик, така и трафикът на мрежов сегмент, порт на рутер и т.н. могат да бъдат достъпни за диагностика. Разширените възможности за прихващане на трафик се основават на "безразборен" режимработа на мрежовия адаптер: всички кадри се обработват (а не само тези, предназначени за даден MAC адрес и излъчване, както при нормална работа).

В Ethernet мрежа съществуват следните основни възможности за слушане на трафик:

• В мрежа, базирана на хъб, целият трафик на домейн за колизия е достъпен за всяка мрежова станция.
• В мрежи, базирани на комутатори на мрежови станции, неговият трафик, както и целият излъчван трафик на този сегмент, е наличен.
• Някои управлявани комутатори имат способността да копират трафик от даден порт към порта за наблюдение(„огледално копиране“, наблюдение на портове).
• Използването на специални средства (съединители), които са включени в мрежовата връзка, прекъсва и предава трафика на връзката към отделен порт.
• "Трик" с главина- портът на превключвателя, чийто трафик трябва да се слуша, се включва през хъб, като също така свързва мониторен възел към хъба (в този случай в повечето случаи производителността на мрежовата връзка е намалена).

Има програми ( мрежови монитори или анализатори, снифър), които изпълняват функцията за слушане на мрежовия трафик (включително в безразборен режим), показването му или записването му във файл. Освен това софтуерът за анализ може да филтрира трафика въз основа на правила, да декодира (дешифрира) протоколи, да чете статистики и да диагностицира някои проблеми.

Забележка: Добър избор на основен инструмент за анализ на мрежовия трафик в графична средае безплатен пакет wireshark[43], наличен за Windows и в хранилищата на някои Linux дистрибуции.

помощна програма tcpdump

Конзолната програма tcpdump е включена в повечето Unix системи и ви позволява да прихващате и показвате мрежов трафик [44]. Помощната програма използва libpcap, преносима C/C++ библиотека за улавяне на мрежов трафик.

За да инсталирате tcpdump на Debian, можете да използвате командата:

# apt-get инсталирайте tcpdump

За да стартирате тази помощна програма, трябва да имате права суперпотребител(по-специално, поради необходимостта от поставяне на мрежовия адаптер в "промискуитетен" режим). Като цяло форматът на командата е както следва:

tcpdump<опции> <фильтр-выражение>

За конзолен изход описание на заглавката(дешифрирани данни) на прихванати пакети, трябва да посочите интерфейс за анализ на трафика (опция -i):

# tcpdump -i eth0

Можете да деактивирате преобразуването на IP адреси в имена на домейни (тъй като големите обеми трафик създават голям брой заявки към DNS сървъра) - опция -n:

# tcpdump -n -i eth0

За да изведете данни на ниво връзка (например mac адреси и т.н.), използвайте опцията -e:

# tcpdump -en -i eth0

Отпечатайте допълнителна информация (напр. TTL, IP опции) - опция -v:

# tcpdump -ven -i eth0

Увеличаване на размера на уловените пакети (повече от 68 байта по подразбиране) - опция -s, указваща размера (-s 0 - улавяне на цели пакети):

Записване във файл (директно пакети - "dump") - опция -w, указваща името на файла:

# tcpdump -w traf.dump

Четене на пакети от файл - опция - r, указваща името на файла:

# tcpdump -r traf.dump

По подразбиране tcpdump работи в безразборен режим. Превключвателят -p казва на tcpdump да прихване само трафика, предназначен за този хост.

За повече информация относно превключвателите и формата на филтъра tcpdump вижте справочното ръководство (man tcpdump).

Анализ на трафика на ниво мрежов интерфейс и мрежово ниво с помощта на tcpdump

За разпределяне на Ethernet рамки се използват следните tcpdump конструкции (общ изглед):

tcpdump ether ( src | dst | хост ) MAC_АДРЕС

където src е MAC адресът на източника, dst- MAC адрес на дестинация, хост - src или dst, както и за подчертаване на излъчвания трафик.

Министерство на образованието и науката на Руската федерация

Държавна образователна институция "Санкт Петербургски държавен политехнически университет"

Чебоксарски институт по икономика и управление (клон)

Катедра Висша математика и информационни технологии

РЕЗЮМЕ

в дисциплината „Информационна сигурност“.

по темата: „Мрежови анализатори“

Завършено

Студент 4 курс, заплата 080502-51M

специалност "Мениджмънт"

в машиностроително предприятие"

Павлов К.В.

Проверено

Учител

Чебоксари 2011 г

ВЪВЕДЕНИЕ

Ethernet мрежите придобиха огромна популярност поради добрата си пропускателна способност, лесна инсталация и разумна цена за инсталиране на мрежово оборудване.
Ethernet технологията обаче не е без значителни недостатъци. Основната е несигурността на предаваната информация. Компютрите, свързани към Ethernet мрежа, могат да прихващат информация, адресирана до техните съседи. Причината за това е така нареченият механизъм за излъчване на съобщения, възприет в Ethernet мрежите.

Свързването на компютри в мрежа нарушава старите аксиоми за информационна сигурност. Например за статичната сигурност. В миналото уязвимостта на системата можеше да бъде открита и коригирана от системния администратор чрез инсталиране на подходяща актуализация, който можеше да провери функционалността на инсталирания „пач“ само няколко седмици или месеци по-късно. Въпреки това, тази „кръпка“ може да бъде премахната от потребителя случайно или по време на работа, или от друг администратор при инсталиране на нови компоненти. Всичко се променя и сега информационните технологии се променят толкова бързо, че статичните механизми за сигурност вече не осигуряват пълна сигурност на системата.

Доскоро основният механизъм за защита на корпоративните мрежи бяха защитните стени. Въпреки това защитните стени, предназначени да защитават информационните ресурси на организацията, често се оказват уязвими. Това се случва, защото системните администратори създават толкова много опростявания в системата за достъп, че в крайна сметка каменната стена на системата за сигурност става пълна с дупки като сито. Защитата със защитна стена (Firewall) може да не е практична за корпоративни мрежи с висок трафик, тъй като използването на множество защитни стени може значително да повлияе на производителността на мрежата. В някои случаи е по-добре да „оставите вратите широко отворени“ и да се съсредоточите върху методите за откриване и реагиране на мрежови прониквания.

За постоянно (24 часа в денонощието, 7 дни в седмицата, 365 дни в годината) наблюдение на корпоративна мрежа за откриване на атаки са проектирани „активни“ системи за защита - системи за откриване на атаки. Тези системи откриват атаки срещу корпоративни мрежови възли и реагират на тях по начин, определен от администратора по сигурността. Например, те прекъсват връзката с атакуващия възел, информират администратора или въвеждат информация за атаката в регистрационните файлове.

1. МРЕЖОВИ АНАЛИЗАТОРИ

1.1 IP - ТРЕВОГА 1 ИЛИ ПЪРВИ МРЕЖОВ МОНИТОР

Първо, трябва да кажем няколко думи за местното излъчване. В Ethernet мрежа компютрите, свързани към нея, обикновено споделят един и същ кабел, който служи като среда за изпращане на съобщения между тях.

Всеки, който желае да предаде съобщение по общ канал, трябва първо да се увери, че този канал е свободен в даден момент. След като започне предаването, компютърът слуша носещата честота на сигнала, определяйки дали сигналът е бил изкривен в резултат на сблъсъци с други компютри, които предават своите данни по същото време. Ако има сблъсък, предаването се прекъсва и компютърът „замлъква“ за определен период от време, за да се опита да повтори предаването малко по-късно. Ако компютърът, свързан към Ethernet мрежа, сам не предава нищо, той въпреки това продължава да „слуша“ всички съобщения, предавани по мрежата от съседни компютри. След като забележи своя мрежов адрес в заглавката на входящата част от данните, компютърът копира тази част в своята локална памет.

Има два основни начина за свързване на компютри към Ethernet мрежа. В първия случай компютрите са свързани с коаксиален кабел. Този кабел се полага от компютър на компютър, свързва се към мрежови адаптери с Т-образен конектор и завършва в краищата с BNC терминатори. Тази топология на професионален език се нарича Ethernet 10Base2 мрежа. Но може да се нарече и мрежа, в която „всеки чува всеки“. Всеки компютър, свързан към мрежа, може да прихваща данни, изпратени през тази мрежа от друг компютър. Във втория случай всеки компютър е свързан чрез кабел с усукана двойка към отделен порт на централно превключващо устройство - хъб или суич. В такива мрежи, наречени Ethernet lOBaseT мрежи, компютрите са разделени на групи, наречени сблъсъчни домейни. Домейните на колизия се дефинират от портове на хъб или комутатор, които са свързани към обща шина. В резултат на това не възникват сблъсъци между всички компютри в мрежата. и поотделно - между тези от тях, които са част от един и същи колизионен домейн, което увеличава пропускателната способност на мрежата като цяло.

Наскоро започнаха да се появяват нов тип комутатори в големи мрежи, които не използват излъчване и не затварят групи от портове заедно. Вместо това всички данни, изпратени по мрежата, се буферират в паметта и се изпращат възможно най-скоро. Въпреки това все още има доста такива мрежи - не повече от 5% от общия брой мрежи от тип Ethernet.

По този начин алгоритъмът за пренос на данни, възприет в по-голямата част от Ethernet мрежите, изисква всеки компютър, свързан към мрежата, непрекъснато да „слуша“ целия мрежов трафик без изключение. Алгоритмите за достъп, предложени от някои хора, при които компютрите ще бъдат изключени от мрежата, докато предават съобщения на „други хора“, останаха нереализирани поради тяхната прекомерна сложност, висока цена на внедряване и ниска ефективност.

Какво е IPAlert-1 и откъде идва? Някога практическите и теоретични изследвания на авторите в областта, свързана с изучаването на мрежовата сигурност, доведоха до следната идея: в Интернет, както и в други мрежи (например Novell NetWare, Windows NT), имаше сериозна липса на софтуер за сигурност, който би комплекс контрол (мониторинг) на ниво връзка на целия поток от информация, предавана по мрежата, с цел откриване на всички видове дистанционни въздействия, описани в литературата. Проучване на пазара на софтуер за интернет мрежова сигурност разкри, че такива цялостни инструменти за откриване на отдалечени атаки не съществуват, а тези, които съществуват, са предназначени да откриват един специфичен тип атака (например ICMP Redirect или ARP). Затова започна разработването на инструмент за мониторинг на IP мрежов сегмент, предназначен за използване в Интернет и получи следното име: IP Alert-1 монитор за мрежова сигурност.

Основната задача на този инструмент, който програмно анализира мрежовия трафик в предавателен канал, не е да отблъсква отдалечени атаки, извършвани по комуникационен канал, а да ги открива и регистрира (поддържане на одитен файл с логване във форма, удобна за последващо визуално анализ на всички събития, свързани с отдалечени атаки на даден мрежов сегмент) и незабавно уведомяване на администратора по сигурността, ако бъде открита отдалечена атака. Основната задача на монитора за мрежова сигурност IP Alert-1 е да следи сигурността на съответния интернет сегмент.

Мониторът за мрежова сигурност IP Alert-1 има следната функционалност и позволява, чрез мрежов анализ, да открие следните отдалечени атаки върху мрежовия сегмент, който контролира:

1. Следене на съответствието на IP и Ethernet адреси в пакети, предавани от хостове, намиращи се в контролирания мрежов сегмент.

На хоста IP Alert-1 администраторът по сигурността създава статична ARP таблица, където въвежда информация за съответните IP и Ethernet адреси на хостове, разположени в рамките на контролирания мрежов сегмент.

Тази функция ви позволява да откриете неоторизирана промяна на IP адреса или неговата замяна (т.нар. IP Spoofing, подправяне, IP-spoofing (jarg)).

2. Мониторинг на правилното използване на механизма за отдалечено ARP търсене. Тази функция ви позволява да откриете отдалечена фалшива ARP атака с помощта на статична ARP таблица.

3. Мониторинг на правилното използване на механизма за отдалечено DNS търсене. Тази функция ви позволява да идентифицирате всички възможни типове отдалечени атаки срещу DNS услугата

4. Следене на правилността на опитите за отдалечено свързване чрез анализ на предадените заявки. Тази функция ви позволява да откриете, първо, опит за изучаване на закона за промяна на първоначалната стойност на идентификатора на TCP връзката - ISN, второ, отдалечена атака за отказ на услуга, извършена чрез препълване на опашката за заявка за връзка, и трето, насочена "буря" от фалшиви заявки за връзка (както TCP, така и UDP), което също води до отказ на услуга.

Така мониторът за мрежова сигурност IP Alert-1 ви позволява да откривате, уведомявате и записвате повечето видове отдалечени атаки. Тази програма обаче по никакъв начин не е конкурент на защитните стени. IP Alert-1, използвайки функциите на отдалечени атаки в Интернет, служи като необходимо допълнение - между другото, несравнимо по-евтино - към системите за защитна стена. Без монитор за сигурност повечето опити за стартиране на отдалечени атаки към вашия мрежов сегмент ще останат скрити от очите ви. Нито една от известните защитни стени не се занимава с такъв интелигентен анализ на съобщенията, преминаващи през мрежата, за да идентифицира различни видове отдалечени атаки, ограничавайки се в най-добрия случай до поддържане на дневник, който записва информация за опити за отгатване на парола, сканиране на портове и мрежово сканиране с помощта на добре познати програми за дистанционно търсене. Ето защо, ако администраторът на IP мрежа не иска да остане безразличен и да се задоволява с ролята на обикновен статист по време на отдалечени атаки в неговата мрежа, тогава е препоръчително той да използва монитора за мрежова сигурност IP Alert-1.

И така, примерът на IPAlert-1 показва важното място, което мрежовите монитори заемат при осигуряването на мрежова сигурност.

Разбира се, съвременните мрежови монитори поддържат много повече функции, а самите те са доста много. Има по-прости системи, струващи около 500 долара, но има и много мощни системи, оборудвани с експертни системи, способни да извършват мощен евристичен анализ, тяхната цена е многократно по-висока - от 75 хиляди долара.

1.2 ВЪЗМОЖНОСТИ НА СЪВРЕМЕННИТЕ МРЕЖОВИ АНАЛИЗАТОРИ

Съвременните монитори поддържат много други функции освен основните си по дефиниция (които прегледах за IP Alert-1). Например сканиране на кабели.

Статистика на мрежата (коефициент на използване на сегмента, ниво на сблъсък, процент грешки и ниво на излъчвания трафик, определяне на скоростта на разпространение на сигнала); Ролята на всички тези показатели е, че при превишаване на определени прагови стойности можем да говорим за проблеми в сегмента. Това също включва в литературата проверка на легитимността на мрежовите адаптери, ако внезапно се появи „подозрителен“ (проверка по MAC адрес и т.н.).

Статистика на грешни кадри. Късите рамки са рамки, които са по-малки от максималната дължина, т.е. по-малки от 64 байта. Този тип кадри се разделят на два подкласа - къси кадри с правилна контролна сума и къси кадри (runts), които нямат правилна контролна сума. Най-вероятната причина за появата на такива „мутанти“ е неизправност на мрежовите адаптери. Удължени рамки, които са резултат от дълго предаване и показват проблеми с адаптерите. Призрачни рамки, които са резултат от смущения в кабела. Нормалният процент грешки в кадрите в мрежа не трябва да надвишава 0,01%. Ако е по-високо, тогава или има технически неизправности в мрежата, или е станало неоторизирано проникване.

Статистика на сблъсъци. Показва броя и видовете сблъсъци в мрежов сегмент и ви позволява да определите наличието на проблем и неговото местоположение. Сблъсъците могат да бъдат локални (в един сегмент) и дистанционни (в друг сегмент спрямо монитора). Обикновено всички сблъсъци в Ethernet мрежите са отдалечени. Интензивността на сблъсъци не трябва да надвишава 5%, а пикове над 20% показват сериозни проблеми.

Има много повече възможни функции, просто е невъзможно да ги изброим всички.

Бих искал да отбележа, че мониторите се предлагат както софтуерни, така и хардуерни. Въпреки това, те са склонни да играят повече статистическа функция. Например мрежовият монитор LANtern. Това е лесно за инсталиране хардуерно устройство, което помага на супервайзорите и обслужващите организации централно да поддържат и поддържат мрежи от различни доставчици. Той събира статистически данни и идентифицира тенденции за оптимизиране на производителността и разширяването на мрежата. Мрежовата информация се показва на централната конзола за управление на мрежата. По този начин хардуерните монитори не осигуряват адекватна защита на информацията.

Microsoft Windows съдържа мрежов монитор (NetworkMonitor), но съдържа сериозни уязвимости, които ще обсъдя по-долу.

Ориз. 1. Мрежов монитор за клас WINDOWS OS NT.

Интерфейсът на програмата е малко труден за овладяване в движение.

Ориз. 2. Преглед на кадри в WINDOWS Network Monitor.

Повечето производители сега се стремят да направят своите монитори с прост и удобен за потребителя интерфейс. Друг пример е мониторът NetPeeker (не толкова богат на допълнителни възможности, но все пак):

Ориз. 3. Удобен за потребителя интерфейс на монитора NetPeeker.

Ще дам пример за интерфейса на сложна и скъпа програма NetForensics ($95 000):

Фиг.4. Интерфейс на NetForensics.

Съществува определен задължителен набор от „умения“, които мониториращите трябва да притежават, според днешните тенденции:

1. Най-малко:

• настройка на шаблони за филтриране на трафик;
• централизирано управление на проследяващи модули;
• филтриране и анализ на голям брой мрежови протоколи, вкл. TCP, UDP и ICMP;
• филтриране на мрежовия трафик по протокол, портове и IP адреси на изпращача и получателя;
• необичайно прекъсване на връзката с атакуващия възел;
• управление на защитна стена и рутер;
• настройка на скриптове за обработка на атаки;
• запис на атака за по-нататъшно възпроизвеждане и анализ;
• поддръжка на мрежови интерфейси Ethernet, Fast Ethernet и Token Ring;
• няма изискване за използване на специален хардуер;
• установяване на защитена връзка между компонентите на системата, както и други устройства;
• наличие на изчерпателна база данни за всички открити атаки;
• минимално намаляване на производителността на мрежата;
• работа с един проследяващ модул от няколко контролни конзоли;
• мощна система за генериране на отчети;
• лекота на използване и интуитивен графичен интерфейс;
• ниски системни изисквания за софтуер и хардуер.

2. Да може да създава отчети:

• Разпределение на трафика по потребители;
• Разпределение на трафика по IP адреси;
• Разпределение на трафика между услугите;
• Разпределение на трафика по протокол;
• Разпределение на трафика по тип данни (снимки, видео, текстове, музика);
• Разпределение на трафика по програми, използвани от потребителите;
• Разпределение на трафика по време на деня;
• Разпределение на трафика по дни от седмицата;
• Разпределение на трафика по дати и месеци;
• Разпределение на трафика между посетените от потребителя сайтове;
• Грешки при авторизация в системата;
• Влизане и излизане от системата.

Примери за конкретни атаки, които мрежовите монитори могат да разпознаят:

"Отказ на услуга". Всяко действие или последователност от действия, които причиняват повреда на която и да е част от атакуваната система, при което тя престава да изпълнява своите функции. Причината може да е неоторизиран достъп, забавяне на услугата и др. Примерите включват SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) атаки и др.

" Неразрешено достъп “ (Опит за неоторизиран достъп).Всяко действие или последователност от действия, което води до опит за четене на файлове или изпълнение на команди по начин, който заобикаля установената политика за сигурност. Включва също опити на нападател да получи привилегии, по-големи от зададените от системния администратор. Пример за това са FTP Root, E-mail WIZ и др. атаки.

"Предварителна сонда"
Всяко действие или последователност от действия за получаване на информация ОТ или ЗА мрежата (например потребителски имена и пароли), които впоследствие се използват за извършване на неоторизиран достъп. Пример може да бъде сканиране на портове (Port scan), сканиране с помощта на програмата SATAN (SATAN сканиране) и т.н.

"Подозрителна дейност"
Мрежов трафик, който попада извън определението за "стандартен" трафик. Може да показва подозрителна дейност, извършвана онлайн. Пример за това са събитията Дублиране на IP адрес, IP неизвестен протокол и др.

„Анализ на протокола“ (декодиране на протокол.Мрежова активност, която може да се използва за извършване на един от горните видове атаки. Може да показва подозрителна дейност, извършвана онлайн. Пример за това са събитията FTP User decode, Portmapper Proxy decode и др.

1.3 ОПАСНОСТ ОТ ИЗПОЛЗВАНЕТО НА МРЕЖОВИ МОНИТОРИ

Използването на мрежови монитори също крие потенциални опасности. Макар и само защото през тях преминава огромно количество информация, включително поверителна. Нека да разгледаме пример за уязвимост, използвайки гореспоменатия NetworkMonitor, който е включен в семейството на Windows NT. Този монитор има така наречения HEX панел (вижте фиг. 2), който ви позволява да виждате данни от рамката под формата на ASCII текст. Тук например можете да видите некриптирани пароли, които се носят из мрежата. Можете да опитате например да прочетете пакетите на пощенското приложение Eudora. След като прекарате малко време, можете безопасно да ги видите отворени. Въпреки това винаги трябва да сте нащрек, тъй като криптирането не помага. Тук има два възможни случая. В литературата има жаргонен термин „непристойност“ - това е съсед на определена машина в същия сегмент, на същия хъб или, както се нарича сега, превключвател. Така че, ако „напреднал“ „безобразие“ реши да сканира мрежовия трафик и да извади пароли, тогава администраторът може лесно да идентифицира такъв нападател, тъй като мониторът поддържа идентифицирането на потребителите, които го използват. Всичко, което трябва да направите, е да натиснете бутон и пред администратора се отваря списък с „нецензурни хакери“. Ситуацията е много по-сложна, когато атаката се извършва отвън, например от интернет. Информацията, предоставяна от монитора, е изключително информативна. Показани са списък с всички заснети кадри, поредни номера на кадри, времена на тяхното заснемане, дори MAC адреси на мрежови адаптери, което ви позволява да идентифицирате компютъра доста конкретно. Панелът с подробна информация съдържа "вътрешностите" на рамката - описание на нейните заглавия и др. Дори любопитен начинаещ ще намери много познати тук.

Външните атаки са много по-опасни, тъй като по правило е много, много трудно да се идентифицира нападателят. За да защитите в този случай, трябва да използвате защита с парола на монитора. Ако драйверът за мрежов монитор е инсталиран и паролата не е зададена, тогава всеки, който използва мрежовия монитор от същата дистрибуция (същата програма) на друг компютър, може да се присъедини към първия компютър и да го използва за прихващане на данни в мрежата. Освен това мрежовият монитор трябва да осигурява възможност за откриване на други инсталации в сегмента на локалната мрежа. Това обаче също има своя собствена сложност. В някои случаи мрежовата архитектура може да потисне откриването на едно инсталирано копие на Network Monitor от друго. Например, ако инсталирано копие на Network Monitor е отделено от второ копие от рутер, който не позволява мултикаст съобщения, тогава второто копие на Network Monitor няма да може да открие първото.

Хакери и други нападатели не губят време. Те непрекъснато търсят нови и нови начини за деактивиране на мрежови монитори. Оказва се, че има много начини, като се започне от деактивирането на монитора чрез препълване на буфера му, завършвайки с факта, че можете да принудите монитора да изпълни всяка команда, изпратена от нападател.

Има специални лаборатории, които анализират сигурността на софтуера. Сигналите им са тревожни, тъй като доста често се констатират сериозни нарушения. Примери за реални пропуски в реални продукти:

1. RealSecure е търговска система за откриване на проникване (IDS) от ISS.

RealSecure се държи нестабилно, когато обработва някои DHCP подписи (DHCP_ACK - 7131, DHCP_Discover - 7132 и DHCP_REQUEST - 7133), доставени със системата. Чрез изпращане на злонамерен DHCP трафик, уязвимостта позволява на отдалечен нападател да наруши програмата. Открита уязвимост в системите за интернет сигурност RealSecure Network Sensor 5.0 XPU 3.4-6.5

2. Програма: RealSecure 4.9 мрежов монитор

Опасност: Висока; наличие на експлойт: Не.

Описание: Открити са няколко уязвимости в RS. Отдалеченият потребител може да определи местоположението на устройството. Отдалеченият потребител може също да дефинира и промени конфигурацията на устройството.

Решение: Инсталирайте актуализирана версия на програмата. Свържете се с производителя.

1.4 АНАЛИЗАТОРИ НА ПРОТОКОЛИ, ТЕХНИТЕ ПРЕДИМСТВА, ОПАСНОСТИ И МЕТОДИ ЗА ЗАЩИТА СРЕЩУ ОПАСНОСТИ

Анализаторите на протоколи са отделен клас софтуер, въпреки че по същество са подмножество от мрежови монитори. Всеки монитор има поне няколко вградени анализатора на протоколи. Защо тогава да ги използвате, ако можете да внедрите по-прилична система, използвайки мрежови монитори? Първо, инсталирането на мощен монитор не винаги е препоръчително, и второ, не всяка организация може да си позволи да закупи такъв за хиляди долари. Понякога възниква въпросът: няма ли самият монитор да е по-скъп от информацията, която е предназначен да защитава? Именно в такива (или подобни) случаи се използват анализатори на протоколи в техния чист вид. Тяхната роля е подобна на ролята на мониторите.

Мрежовият адаптер на всеки компютър в Ethernet мрежа, като правило, „чува“ всичко, за което неговите съседи в сегмента на тази мрежа „говорят“ помежду си. Но той обработва и поставя в своята локална памет само онези части (така наречените рамки) от данни, които съдържат уникален адрес, който му е присвоен в мрежата. В допълнение към това, по-голямата част от съвременните Ethernet адаптери позволяват работа в специален режим, наречен promiscuous, когато се използва, адаптерът копира всички кадри с данни, предавани по мрежата, в локалната памет на компютъра. Специализираните програми, които поставят мрежовия адаптер в безразборен режим и събират целия мрежов трафик за последващ анализ, се наричат ​​анализатори на протоколи.

Последните се използват широко от мрежовите администратори за наблюдение на работата на тези мрежи. За съжаление анализаторите на протоколи се използват и от нападатели, които могат да ги използват за прихващане на пароли на други хора и друга поверителна информация.

Трябва да се отбележи, че анализаторите на протоколи представляват сериозна опасност. Анализаторът на протоколи може да е бил инсталиран от външен човек, който е влязъл в мрежата отвън (например, ако мрежата има достъп до Интернет). Но това също може да е дело на „домашно отгледан“ хакер с легален достъп до мрежата. Във всеки случай настоящата ситуация трябва да се приеме сериозно. Експертите по компютърна сигурност класифицират атаките срещу компютри, използващи анализатори на протоколи, като така наречените атаки от второ ниво. Това означава, че компютърен хакер вече е успял да проникне през защитните бариери на мрежата и сега се стреми да надгради успеха си. Използвайки анализатор на протоколи, той може да се опита да прихване потребителски влизания и пароли, чувствителни финансови данни (като номера на кредитни карти) и чувствителни комуникации (като имейл). При наличието на достатъчно ресурси компютърният атакуващ може по принцип да прихване цялата информация, предавана по мрежата.

Анализатори на протоколи съществуват за всяка платформа. Но дори и да се окаже, че анализаторът на протоколи все още не е написан за определена платформа, заплахата, породена от атака срещу компютърна система, използваща анализатор на протоколи, все още трябва да се вземе предвид. Факт е, че анализаторите на протоколи анализират не конкретен компютър, а протоколи. Следователно анализаторът на протоколи може да бъде инсталиран във всеки мрежов сегмент и оттам да прихваща мрежовия трафик, който в резултат на излъчване на предавания достига до всеки компютър, свързан към мрежата.

Най-честите цели на атаки от компютърни хакери, използващи анализатори на протоколи, са университетите. Макар и само заради огромния брой различни потребителски имена и пароли, които могат да бъдат откраднати по време на такава атака. Използването на анализатор на протоколи на практика не е толкова лесна задача, колкото може да изглежда. За да се възползва от анализатор на протоколи, компютърният атакуващ трябва да има достатъчно познания за мрежовата технология. Невъзможно е просто да инсталирате и стартирате анализатор на протоколи, тъй като дори в малка локална мрежа от пет компютъра трафикът възлиза на хиляди и хиляди пакети на час. И следователно за кратко време изходните данни на анализатора на протоколи ще запълнят наличната памет докрай. Следователно компютърният атакуващ обикновено конфигурира анализатор на протоколи да прихваща само първите 200-300 байта от всеки пакет, предаван по мрежата. Обикновено в заглавката на пакета се намира информация за потребителското име и парола, което по правило представлява най-голям интерес за нападателя. Въпреки това, ако нападателят има достатъчно място на твърдия си диск, тогава увеличаването на обема на трафика, който прихваща, ще му бъде от полза и ще му позволи да научи много интересни неща.

В ръцете на мрежов администратор анализаторът на протоколи е много полезен инструмент, който му помага да открие и отстрани проблеми, да се отърве от тесните места, които намаляват пропускателната способност на мрежата, и своевременно да открива нарушители. Как да се предпазите от натрапници? Можем да препоръчаме следното. Като цяло тези съвети се отнасят не само за анализаторите, но и за мониторите. Първо, опитайте се да вземете мрежов адаптер, който принципно не може да функционира в безразборен режим. Такива адаптери съществуват в природата. Някои от тях не поддържат безразборен режим на хардуерно ниво (има малцинство от тях), а останалите просто са оборудвани със специален драйвер, който не позволява работа в безразборен режим, въпреки че този режим е внедрен хардуерно. За да намерите адаптер, който няма безразборен режим, просто се свържете с техническата поддръжка на всяка компания, която продава анализатори на протоколи, и разберете с кои адаптери техните софтуерни пакети не работят. Второ, като се има предвид, че спецификацията PC99, изготвена в дълбините на корпорациите Microsoft и Intel, изисква безусловното наличие на безразборен режим в мрежовата карта, закупете модерен мрежов интелигентен комутатор, който буферира съобщението, предадено по мрежата в паметта и го изпраща, доколкото е възможно точно до адрес. По този начин няма нужда адаптерът да „слуша“ целия трафик, за да извлече от него съобщения, чийто адресат е този компютър. Трето, предотвратяване на неоторизирано инсталиране на анализатори на протоколи на мрежови компютри. Тук трябва да използвате инструменти от арсенала, който се използва за борба със софтуерни отметки и по-специално с троянски програми (инсталиране на защитни стени) Четвърто, криптирайте целия мрежов трафик. Има широк набор от софтуерни пакети, които ви позволяват да правите това доста ефективно и надеждно. Например възможността за шифроване на имейл пароли се предоставя от добавка към имейл протокола POP (Post Office Protocol) - протокол APOP (Authentication POP). Когато работите с APOP, всеки път по мрежата се предава нова криптирана комбинация, което не позволява на атакуващия да извлече практическа полза от информацията, прихваната с помощта на анализатора на протоколи. Единственият проблем е, че днес не всички пощенски сървъри и клиенти поддържат APOP.

Друг продукт, наречен Secure Shell или накратко SSL, първоначално е разработен от легендарната финландска компания SSH Communications Security (http://www.ssh.fi) и сега има много приложения, достъпни безплатно в Интернет. SSL е защитен протокол за сигурно предаване на съобщения през компютърна мрежа чрез криптиране.

Особено известни са софтуерните пакети, предназначени да защитават данни, предавани по мрежа чрез криптиране и обединени от присъствието в името си на съкращението PGP, което означава Pretty Good Privacy.

Трябва да се отбележи, че семейството на анализаторите на протоколи включва достойни вътрешни разработки. Ярък пример е многофункционалният анализатор Observer (разработен от ProLAN).

Ориз. 5. Интерфейс на анализатора Russian Observer.

Но като правило повечето анализатори имат много по-прост интерфейс и по-малко функции. Например програмата Ethereal.

Ориз. 6. Интерфейс на чуждия анализатор Ethereal.

ЗАКЛЮЧЕНИЕ

Мрежовите монитори, подобно на анализаторите на протоколи, са мощен и ефективен инструмент за администриране на компютърни мрежи, тъй като ви позволяват да оцените точно много параметри на работа на мрежата, като скорости на сигнала, зони, където са концентрирани сблъсъци и т.н. Въпреки това основната им задача, с която се справят успешно, е идентифицирането на атаки срещу компютърни мрежи и уведомяване на администратора за тях въз основа на анализ на трафика. В същото време използването на тези софтуерни инструменти е изпълнено с потенциална опасност, тъй като поради факта, че информацията преминава през монитори и анализатори, може да се извърши неоторизирано улавяне на тази информация. Системният администратор трябва да обърне необходимото внимание на защитата на своята мрежа и да помни, че комбинираната защита е много по-ефективна. Трябва да внимавате, когато избирате софтуер за анализ на трафика въз основа на реалната цена на информацията, която трябва да бъде защитена, вероятността от проникване, стойността на информацията за трети страни, наличието на готови решения за сигурност и възможностите от бюджета на организацията. Компетентният избор на решение ще помогне за намаляване на вероятността от неоторизиран достъп и няма да бъде твърде „тежък“ по отношение на финансирането. Винаги трябва да помните, че днес няма идеален инструмент за сигурност и това се отнася, разбира се, за мониторите и анализаторите. Винаги трябва да помните, че колкото и перфектен да е мониторът, той няма да е готов за нови видове заплахи, които не е програмиран да разпознава. Съответно трябва не само да планирате правилно защитата на мрежовата инфраструктура на вашето предприятие, но и постоянно да наблюдавате актуализациите на софтуерните продукти, които използвате.

ЛИТЕРАТУРА

1. Атака в интернет. ДОКУМЕНТ ЗА САМОЛИЧНОСТ. Медведковски, П.В. Семянов, Д.Г. Леонов. – 3-то изд., изтрито. – М.: ДМК, 2000

2. Microsoft Windows 2000. Наръчник на администратора. Серия “ITProfessional” (превод от английски). U.R. Станек. – М.: Издателска и търговска къща „Руско издание“, 2002 г.

3. Основни неща за работа в мрежа. E. Tittel, K. Hudson, J.M. Стюарт. пер. от английски – Санкт Петербург: Издателство Петър, 1999

4. Информацията за пропуски в софтуерните продукти е взета от сървърната база данни на SecurityLab (www.securitylab.ru)

5. Компютърни мрежи. Теория и практика. http://network-journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=3&pa=9&ar=1

6. Мрежов анализ. Статия в 2 части. http://www.ru-board.com/new/article.php?sid=120

7. Електронен речник на телекомуникационните термини. http://europestar.ru/info/

8. Хардуерни и софтуерни методи за защита срещу отдалечени атаки в Интернет. http://personal.primorye.ru/desperado/Xattack/7.2.htm

9. Сигурност в мрежовия монитор. Урок за Windows XP. http://www.soft32.ru/literature.shtml?topic=windows&book=WinXP&page=Glava16/Index0.htm&subpage=Glava16/Index52.htm

10. Документация за монитора RealSecure. Предоставя се от производителя в електронен вид при поискване.

11. Сигурност на компютърни системи. Анализатори на протоколи. http://kiev-security.org.ua/box/12/130.shtml

12. Интернет сървър на руския разработчик на анализатори - компанията “ProLAN” http://www.prolan.ru/

Главна информация

Инструментите, наречени мрежови анализатори, са кръстени на Sniffer Network Analyzer. Този продукт беше пуснат през 1988 г. от Network General (сега Network Associates) и беше едно от първите устройства, които позволиха на мениджърите буквално да научат какво се случва в голяма мрежа, без да напускат бюрото си. Първите анализатори четат заглавки на съобщения в пакети с данни, изпратени по мрежата, като по този начин предоставят на администраторите информация за адресите на подателя и получателя, размерите на файловете и друга информация от ниско ниво. И всичко това е в допълнение към проверката на правилността на предаването на пакети. Използвайки графики и текстови описания, анализаторите помогнаха на мрежовите администратори да диагностицират сървъри, мрежови връзки, хъбове и комутатори, както и приложения. Грубо казано, мрежовият анализатор слуша или „подушва“ пакети от конкретен физически сегмент на мрежата. Това ви позволява да анализирате трафика за определени модели, да коригирате определени проблеми и да идентифицирате подозрителна дейност. Системата за откриване на проникване в мрежа не е нищо повече от усъвършенстван снифър, който съпоставя всеки пакет в мрежата с база данни с известни модели на злонамерен трафик, подобно на това, което антивирусната програма прави с файлове на компютър. За разлика от инструментите, описани по-рано, анализаторите работят на по-ниско ниво.

Ако се обърнем към референтния модел OSI, анализаторите проверяват двете по-ниски нива - физическо и канално.

BOS номер на ниво на модела	Име на ниво	Примери за протоколи
Ниво 7	Приложен слой	DNS, FTP, HTTP, SMTP, SNMP, Telnet
Ниво 6	Презентационен слой
Ниво 5	Ниво на сесията
Ниво 4	Транспортен слой	NetBIOS, TCP, UDP
Ниво 3	Мрежов слой	ARP, IP, IPX, OSPF
Ниво 2	Слой за връзка с данни	Arcnet, Ethernet, Token ring
Ниво 1	Физически слой	Коаксиален кабел, оптично влакно, усукана двойка

Физическият слой е действителното физическо окабеляване или друга среда, използвана за създаване на мрежата. В слоя на връзката за данни данните първоначално се кодират за предаване през специфична среда. Мрежовите стандарти на ниво връзка включват безжични 802.11, Arcnet, коаксиален кабел, Ethernet, Token Ring и др. Анализаторите обикновено зависят от типа мрежа, в която работят. Например, за да анализирате трафика в Ethernet мрежа, трябва да имате Ethernet анализатор.

Има анализатори за търговски клас от производители като Fluke, Network General и други. Това обикновено са персонализирани хардуерни устройства, които могат да струват десетки хиляди долари. Въпреки че този хардуер е способен на по-задълбочен анализ, възможно е да се създаде евтин мрежов анализатор, като се използва софтуер с отворен код и евтин компютър, базиран на Intel.

Видове анализатори

Днес се произвеждат много анализатори, които са разделени на два вида. Първият включва самостоятелни продукти, инсталирани на мобилен компютър. Консултантът може да го вземе със себе си при посещение в офиса на клиента и да го свърже към мрежата за събиране на диагностични данни.

Първоначално преносимите устройства, предназначени за тестване на работата на мрежата, са предназначени изключително за проверка на техническите параметри на кабела. С течение на времето обаче производителите са оборудвали оборудването си с редица функции за анализатор на протоколи. Съвременните мрежови анализатори са способни да откриват широк спектър от възможни проблеми - от физическо увреждане на кабела до претоварване на мрежовите ресурси.

Вторият тип анализатор е част от по-широка категория хардуер и софтуер за наблюдение на мрежата, който позволява на организациите да наблюдават своите локални и широкообхватни мрежови услуги, включително уеб. Тези програми дават на администраторите цялостен поглед върху здравето на мрежата. Например, с помощта на такива продукти можете да определите кои приложения се изпълняват в момента, кои потребители са регистрирани в мрежата и кой от тях генерира по-голямата част от трафика.

В допълнение към идентифицирането на мрежови характеристики на ниско ниво, като източник на пакети и тяхното местоназначение, съвременните анализатори декодират информацията, получена на всичките седем слоя на мрежовия стек за свързване на отворена система (OSI) и често предоставят препоръки за отстраняване на проблеми. Ако анализът на ниво приложение не позволява да се направи адекватна препоръка, анализаторите провеждат изследване на по-ниско, мрежово ниво.

Съвременните анализатори обикновено поддържат стандарти за дистанционно наблюдение (Rmon и Rmon 2), които осигуряват автоматично получаване на ключови данни за производителността, като информация за натоварването на наличните ресурси. Анализаторите, които поддържат Rmon, могат редовно да проверяват състоянието на мрежовите компоненти и да сравняват получените данни с предварително натрупаните данни. Ако е необходимо, те ще издадат предупреждение, ако нивата на трафик или производителността надхвърлят ограниченията, определени от мрежовите администратори.

NetScout Systems представи системата nGenius Application Service Level Manager, предназначена да следи времето за реакция в отделни секции на канала за достъп до уеб сайт и да определя текущата производителност на сървърите. Това приложение може да анализира производителността в публичната мрежа, за да пресъздаде цялостната картина на компютъра на потребителя. Датската фирма NetTest (по-рано GN Nettest) започна да предлага Fastnet, система за наблюдение на мрежата, която помага на компаниите за електронен бизнес да планират капацитет и да отстраняват мрежови проблеми.

Анализ на конвергентни (мултисервизни) мрежи

Разпространението на мултисервизни мрежи (конвергентни мрежи) може да има решаващо въздействие върху развитието на телекомуникационните системи и системите за предаване на данни в бъдеще. Идеята за комбиниране на способността за предаване на данни, гласови потоци и видео информация в една мрежова инфраструктура, базирана на пакетен протокол, се оказа много примамлива за доставчиците, специализирани в предоставянето на телекомуникационни услуги, тъй като може незабавно значително да разшири обхвата на услугите, които предоставят.

Тъй като корпорациите започват да осъзнават ефективността и ползите от разходите на конвергентните IP мрежи, доставчиците на мрежови инструменти активно разработват анализатори за това. През първата половина на годината много компании представиха компоненти за своите продукти за мрежово администриране, предназначени за глас през IP мрежи.

„Конвергенцията създаде нови усложнения, с които мрежовите администратори трябва да се справят“, каза Глен Гросман, директор продуктов мениджмънт в NetScout Systems. -- Гласовият трафик е много чувствителен към закъснения във времето. Анализаторите могат да разглеждат всеки бит и байт, изпратен по кабел, да интерпретират заглавките и автоматично да определят приоритета на данните.

Използването на технологии за конвергенция на глас и данни може да предизвика нова вълна от интерес към анализаторите, тъй като приоритизирането на трафика на ниво IP пакет става съществено за работата на гласови и видео услуги. Например Sniffer Technologies пусна Sniffer Voice, инструментариум, предназначен за администратори на мултисервизни мрежи. Този продукт не само предоставя традиционни диагностични услуги за управление на имейл, интернет и трафик на бази данни, но също така идентифицира мрежови проблеми и препоръчва решения за осигуряване на правилното предаване на гласов трафик през IP мрежи.

Недостатъкът на използването на анализатори

Трябва да се помни, че има две страни на монетата, свързана с анализаторите. Те помагат за поддържане на работата на мрежата, но могат да бъдат използвани и от хакери за търсене на потребителски имена и пароли в пакети с данни. За да се предотврати прихващане на пароли от анализаторите, заглавките на пакетите са криптирани (например чрез стандарта Secure Sockets Layer).

В крайна сметка няма алтернатива на мрежовия анализатор в ситуации, когато е необходимо да се разбере какво се случва в глобална или корпоративна мрежа. Добрият анализатор ви позволява да разберете здравето на даден мрежов сегмент и да определите обема на трафика, както и да определите как този обем варира през деня, кои потребители създават най-голямо натоварване и в кои ситуации има проблеми с разпределението на трафика или недостиг на честотна лента. Благодарение на използването на анализатор е възможно да се получат и анализират всички части от данни в мрежов сегмент за даден период.

Мрежовите анализатори обаче са скъпи. Ако планирате да закупите такъв, първо изяснете какво очаквате от него.

Характеристики на използването на мрежови анализатори

За да използвате мрежовите анализатори етично и продуктивно, трябва да се следват следните указания.

Винаги се изисква разрешение

Мрежовият анализ, подобно на много други функции за сигурност, има потенциал за злоупотреба. Прехващане на всичко данни, предавани по мрежата, можете да шпионирате пароли за различни системи, съдържанието на имейл съобщения и други критични данни, както вътрешни, така и външни, тъй като повечето системи не криптират своя трафик в локалната мрежа. Ако такива данни попаднат в неподходящи ръце, това очевидно може да доведе до сериозни пробиви в сигурността. Това също може да е нарушение на поверителността на служителите. Преди всичко трябва да получите писмено разрешение от ръководството, за предпочитане висшето ръководство, преди да започнете такива дейности. Трябва също така да помислите какво да правите с данните, след като бъдат получени. В допълнение към паролите, това може да са други чувствителни данни. Като общо правило регистрационните файлове за анализ на мрежата трябва да бъдат изчистени от системата, освен ако не са необходими за наказателно или гражданско преследване. Има документирани прецеденти на добронамерени системни администратори, които са уволнявани за неразрешено прихващане на данни.

Трябва да разберете мрежовата топология

Преди да настроите анализатора, е необходимо да разберете напълно физическата и логическата организация на тази мрежа. Като извършите анализ на грешното място в мрежата, можете да получите грешни резултати или просто да не намерите това, от което се нуждаете. Необходимо е да се провери дали няма маршрутизатори между анализиращата работна станция и мястото на наблюдение. Рутерите ще препращат трафик към мрежов сегмент само ако има повикване към възел, разположен там. По същия начин, в комутирана мрежа, ще трябва да конфигурирате порта, към който се свързвате, като порт за „монитор“ или „огледало“. Различните производители използват различна терминология, но по същество портът трябва да действа като хъб, а не като комутатор, тъй като трябва да вижда целия трафик, преминаващ през комутатора, а не само този, насочен към работната станция. Без тази настройка портът на монитора ще вижда само това, което е насочено към порта, към който е свързан, и мрежовия трафик.

Трябва да използвате строги критерии за търсене

В зависимост от това какво искате да намерите, използването на отворен филтър (т.е. показване на всичко) ще направи резултата голям и труден за анализ. По-добре е да използвате специални критерии за търсене, за да намалите резултата, който анализаторът произвежда. Дори и да не знаете точно какво да търсите, пак можете да напишете филтър, за да ограничите резултатите от търсенето. Ако трябва да намерите вътрешна машина, правилно е да зададете критериите да разглеждате само адресите на източника в дадена мрежа. Ако трябва да наблюдавате конкретен тип трафик, да речем FTP трафик, можете да ограничите резултатите само до това, което идва в порта, използван от приложението. Правейки това, можете да постигнете значително по-добри резултати от анализа.

Задаване на референтното състояние на мрежата

Използване на мрежов анализатор по време на нормална работа и чрез записване на крайните резултати се постига референтно състояние, което може да се сравни с резултатите, получени по време на опитите за изолиране на проблема. Обсъденият по-долу анализатор Ethereal създава някои удобни отчети за това. Някои данни също ще бъдат получени за проследяване на използването на мрежата във времето. Използвайки тези данни, можете да определите кога мрежата е наситена и какви са основните причини за това - претоварен сървър, увеличаване на броя на потребителите, промяна на типа трафик и др. Ако има отправна точка, по-лесно се разбира кой за какво е виновен.