tcpdump

Hlavním nástrojem pro téměř všechny kolekce síťového provozu je tcpdump. Je to open source aplikace, která se instaluje na téměř všechny operační systémy podobné Unixu. Tcpdump je vynikající nástroj pro sběr dat a přichází s velmi výkonným filtrovacím jádrem. Je důležité vědět, jak filtrovat data během shromažďování, abyste získali spravovatelný kus dat pro analýzu. Zachycení všech dat ze síťového zařízení, dokonce i na středně vytížené síti, může vytvořit příliš mnoho dat pro jednoduchou analýzu.

V některých vzácných případech může tcpdump vytisknout výstup přímo na vaši obrazovku a to může stačit k nalezení toho, co hledáte. Například při psaní článku byl zachycen určitý provoz a bylo zjištěno, že stroj odesílá provoz na neznámou IP adresu. Ukázalo se, že stroj odesílal data na IP adresu Google 172.217.11.142. Protože nebyly spuštěny žádné produkty Google, vyvstala otázka, proč se tak děje.

Kontrola systému ukázala následující:

[ ~ ]$ ps -ef | grep google

Zanechte svůj komentář!

Utility CommView slouží pro sběr a analýzu místního síťového a internetového provozu. Program zachycuje a dekóduje data procházející sítí na nejnižší úroveň, včetně seznamu síťových připojení a IP paketů více než 70 nejběžnějších síťových protokolů. CommView uchovává statistiky IP; zachycené pakety lze uložit do souboru pro pozdější analýzu. Pomocí flexibilního filtračního systému v programu můžete zlikvidovat nepotřebné k zachycení paketů nebo zachytit jen ty nezbytné. Modul VoIP obsažený v programu umožňuje hloubkovou analýzu, záznam a přehrávání hlasových zpráv standardů SIP a H.323. CommView umožňuje zobrazit detailní obraz informačního provozu procházejícího síťovou kartou nebo samostatným segmentem sítě.

Internetový a lokální síťový skener

Jako síťový skener bude program CommView užitečný systémovým administrátorům, lidem pracujícím v oblasti síťové bezpečnosti a programátorům vyvíjejícím software využívající síťová připojení. Nástroj podporuje ruský jazyk, má uživatelsky přívětivé rozhraní a obsahuje podrobný a srozumitelný systém nápovědy pro všechny funkce a možnosti implementované v programu.

Klíčové vlastnosti CommView

• Zachycování internetového nebo místního provozu procházejícího přes síťový adaptér nebo řadič telefonického připojení
• Podrobné statistiky IP připojení (adresy, porty, relace, název hostitele, procesy atd.)
• Obnovení relace TCP
• Nastavení upozornění na události
• Schémata IP protokolů a protokolů vyšší úrovně
• Prohlížejte zachycené a dekódované pakety v reálném čase
• Prohledávejte obsah zachycených paketů podle řetězce nebo HEX dat
• Ukládání balíčků do archivů
• Stahujte a zobrazujte dříve uložené balíčky, když je připojení odpojeno
• Export a import archivů s balíčky ve formátech (z) NI Observer nebo NAI Sniffer
• Získání informací o IP adrese
• Podpora protokolů a dekódování: ARP, BCAST, RTSP, SAP, SER, SIP, SMB, SMTP, SNA, SNMP, SNTP, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG, DNS, EIGRP, FTP, G.723, GRE, H. 225, H.261, H.263, H.323, HTTP, HTTPS, 802.1Q, 802.1X, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX, HSRP, LDAP, MS SQL, NCP , NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, LDAP, MS SQL, NCP, NDS, NetBIOS, RDP, RIP, RIPX, RMCP, RPC, RSVP, RTP, RTCP, SOCKS, SPX, SSH, TCP, TELNET, TFTP, TIME, TLS, UDP, VTP, WDOG, YMSG.

V některých případech se k detekci problémů ve fungování síťového zásobníku hostitele a segmentů sítě používá analýza síťového provozu. Existují nástroje, které umožňují zobrazit (naslouchat) a analyzovat provoz sítě na úrovni přenášených rámců, síťových paketů, síťových připojení, datagramů a aplikačních protokolů..

Záleží na V situaci může být pro diagnostiku k dispozici jak provoz uzlu, na kterém je provoz sítě naslouchán, tak provoz segmentu sítě, portu routeru atd.. Pokročilé možnosti odposlechu provozu jsou založeny na „promiskuitním“ režimu provoz síťového adaptéru: jsou zpracovány všechny rámce (a nejen ty určené pro danou MAC adresu a vysílání, jako v běžném provozu).

V síti Ethernet existují následující základní funkce pro naslouchání provozu:

• V síti založené na rozbočovačích je veškerý provoz kolizní domény dostupný jakékoli síťové stanici.
• V sítích založených na síťových přepínačích stanic je dostupný její provoz, stejně jako veškerý broadcast provoz tohoto segmentu.
• Některé spravované přepínače mají schopnost kopírovat provoz z daného portu na monitorovací port(„zrcadlení“, monitorování portů).
• Použití speciálních prostředků (spojovačů), které jsou součástí síťového spojení, přeruší a přenese provoz spojení na samostatný port.
• "Trik" s nábojem- port přepínače, jehož provoz je třeba naslouchat, je zapnutý prostřednictvím rozbočovače, který také připojuje uzel monitoru k rozbočovači (v tomto případě je ve většině případů snížen výkon síťového připojení).

Existují programy ( síťové monitory nebo analyzátory, sniffer), které implementují funkci odposlechu síťového provozu (včetně v promiskuitním režimu), jeho zobrazení nebo zápisu do souboru. Kromě toho může analytický software filtrovat provoz na základě pravidel, dekódovat (dešifrovat) protokoly, číst statistiky a diagnostikovat některé problémy.

Poznámka: Dobrá volba základního nástroje pro analýzu síťového provozu v grafické prostředí je bezplatný balíček wireshark[43], dostupný pro Windows a v repozitářích některých distribucí Linuxu.

nástroj tcpdump

Konzolový nástroj tcpdump je součástí většiny unixových systémů a umožňuje zachytit a zobrazit síťový provoz [44]. Nástroj používá libpcap, přenosnou knihovnu C/C++ pro zachycení síťového provozu.

Chcete-li nainstalovat tcpdump na Debian, můžete použít příkaz:

# apt-get install tcpdump

Chcete-li spustit tento nástroj, musíte mít práva superuživatel(zejména kvůli nutnosti uvést síťový adaptér do "promiskuitního" režimu). Obecně je formát příkazu následující:

tcpdump<опции> <фильтр-выражение>

Pro výstup na konzolu popis záhlaví(dešifrovaná data) zachycených paketů, musíte zadat rozhraní pro analýzu provozu (volba -i):

# tcpdump -i eth0

Převod IP adres na názvy domén můžete zakázat (protože velké objemy provozu vytvářejí velké množství požadavků na server DNS) - volba -n:

# tcpdump -n -i eth0

Pro výstup dat na úrovni linky (například mac adresy atd.) použijte volbu -e:

# tcpdump -en -i eth0

Tisk dalších informací (např. možnosti TTL, IP) - volba -v:

# tcpdump -ven -i eth0

Zvětšení velikosti zachycených paketů (ve výchozím nastavení více než 68 bajtů) - volba -s udávající velikost (-s 0 - zachytit celé pakety):

Zápis do souboru (přímo balíčky - "dump") - volba -w označující název souboru:

# tcpdump -w traf.dump

Čtení balíčků ze souboru - volba - r určující název souboru:

# tcpdump -r traf.dump

Ve výchozím nastavení běží tcpdump v promiskuitním režimu. Přepínač -p říká tcpdump, aby zachytil pouze provoz určený pro tohoto hostitele.

Další informace o přepínačích a formátu filtru tcpdump naleznete v referenční příručce (man tcpdump).

Analýza provozu na úrovni síťového rozhraní a na úrovni sítě pomocí tcpdump

K alokaci ethernetových rámců se používají následující konstrukce tcpdump (obecný pohled):

tcpdump ether ( src | dst | hostitel ) MAC_ADDRESS

kde src je zdrojová MAC adresa, dst- cílová MAC adresa, hostitel - src nebo dst a také pro zvýraznění vysílání.

Ministerstvo školství a vědy Ruské federace

Státní vzdělávací instituce "St. Petersburg State Polytechnic University"

Cheboksary Institute of Economics and Management (pobočka)

Katedra vyšší matematiky a informačních technologií

ABSTRAKTNÍ

v kurzu „Informační bezpečnost“.

na téma: "Síťové analyzátory"

Dokončeno

Student 4. ročníku, plat 080502-51M

obor "Management"

ve strojírenském podniku"

Pavlov K.V.

Kontrolovány

Učitel

Čeboksary 2011

ÚVOD

Sítě Ethernet si získaly obrovskou popularitu díky své dobré propustnosti, snadné instalaci a přiměřeným nákladům na instalaci síťového zařízení.
Technologie Ethernet však není bez významných nedostatků. Tím hlavním je nezabezpečenost přenášených informací. Počítače připojené k síti Ethernet jsou schopny zachytit informace adresované jejich sousedům. Důvodem je takzvaný mechanismus vysílání zpráv přijatý v sítích Ethernet.

Propojení počítačů v síti boří staré axiomy informační bezpečnosti. Například o statickém zabezpečení. V minulosti mohl zranitelnost systému objevit a opravit správce systému instalací příslušné aktualizace, který mohl zkontrolovat funkčnost nainstalované „záplaty“ až o několik týdnů nebo měsíců později. Tato „záplata“ však mohla být odstraněna uživatelem náhodně nebo během práce nebo jiným správcem při instalaci nových komponent. Všechno se mění a nyní se informační technologie mění tak rychle, že statické bezpečnostní mechanismy již nezajišťují kompletní zabezpečení systému.

Donedávna byly hlavním mechanismem ochrany podnikových sítí firewally. Firewally navržené k ochraně informačních zdrojů organizace se však často samy o sobě ukáží jako zranitelné. To se děje proto, že správci systému vytvářejí v přístupovém systému tolik zjednodušení, že se nakonec kamenná zeď bezpečnostního systému stane plná děr jako síto. Ochrana firewallem (Firewall) nemusí být praktická pro podnikové sítě s vysokým provozem, protože použití více firewallů může výrazně ovlivnit výkon sítě. V některých případech je lepší „nechat dveře dokořán“ a zaměřit se na metody detekce a reakce na narušení sítě.

Pro neustálé (24 hodin denně, 7 dní v týdnu, 365 dní v roce) monitorování podnikové sítě za účelem odhalování útoků jsou určeny systémy „aktivní“ ochrany – systémy detekce útoků. Tyto systémy detekují útoky na uzly podnikové sítě a reagují na ně způsobem určeným bezpečnostním administrátorem. Například přeruší spojení s útočícím uzlem, informují administrátora nebo zanesou informace o útoku do logů.

1. SÍŤOVÉ ANALYZÁTORY

1.1 IP - VÝSTRAHA 1 NEBO PRVNÍ SÍŤOVÝ MONITOR

Nejprve bychom si měli říci pár slov o místním vysílání. V ethernetové síti počítače k ​​ní připojené obvykle sdílejí stejný kabel, který slouží jako médium pro posílání zpráv mezi nimi.

Každý, kdo si přeje přenést zprávu přes společný kanál, se musí nejprve ujistit, že tento kanál je v daný čas volný. Po zahájení přenosu počítač poslouchá nosnou frekvenci signálu a zjišťuje, zda nedošlo ke zkreslení signálu v důsledku kolize s jinými počítači, které současně vysílají svá data. Pokud dojde ke kolizi, přenos se přeruší a počítač se na určitou dobu „ztiší“, aby se pokusil přenos zopakovat o něco později. Pokud počítač připojený k ethernetové síti sám nic nevysílá, přesto nadále „poslouchá“ všechny zprávy přenášené po síti sousedními počítači. Poté, co si počítač všimne jeho síťové adresy v hlavičce příchozích dat, zkopíruje tuto část do své lokální paměti.

Existují dva hlavní způsoby připojení počítačů k síti Ethernet. V prvním případě jsou počítače propojeny pomocí koaxiálního kabelu. Tento kabel se vede z počítače do počítače, připojuje se k síťovým adaptérům s konektorem ve tvaru T a na koncích je zakončen BNC terminátory. Tato topologie se v odborném jazyce nazývá síť Ethernet 10Base2. Lze ji však také nazvat sítí, ve které „každý každého slyší“. Jakýkoli počítač připojený k síti je schopen zachytit data odeslaná přes tuto síť jiným počítačem. V druhém případě je každý počítač připojen kroucenou dvojlinkou k samostatnému portu centrálního spínacího zařízení - rozbočovače nebo přepínače. V takových sítích, nazývaných sítě Ethernet lOBaseT, jsou počítače rozděleny do skupin nazývaných kolizní domény. Kolizní domény jsou definovány porty rozbočovače nebo přepínače, které jsou připojeny ke společné sběrnici. V důsledku toho nedochází ke kolizím mezi všemi počítači v síti. a odděleně - mezi těmi z nich, které jsou součástí stejné kolizní domény, což zvyšuje propustnost sítě jako celku.

V poslední době se ve velkých sítích začal objevovat nový typ přepínačů, které nevyužívají broadcasting a neuzavírají mezi sebou skupiny portů. Místo toho jsou všechna data odeslaná přes síť uložena do vyrovnávací paměti a odeslána co nejdříve. Takových sítí je však stále poměrně dost – ne více než 5 % z celkového počtu sítí typu Ethernet.

Algoritmus přenosu dat používaný ve velké většině ethernetových sítí tedy vyžaduje, aby každý počítač připojený k síti nepřetržitě „naslouchal“ veškerému síťovému provozu bez výjimky. Některými lidmi navrhované přístupové algoritmy, ve kterých by byly počítače odpojeny od sítě při přenosu zpráv „jiných lidí“, zůstaly nerealizovány kvůli jejich přílišné složitosti, vysoké ceně implementace a nízké účinnosti.

Co je IPAlert-1 a odkud pochází? Praktický a teoretický výzkum autorů v oblasti studia síťové bezpečnosti vedl kdysi k následující myšlence: na internetu, stejně jako v jiných sítích (např. Novell NetWare, Windows NT), existoval vážný nedostatek bezpečnostního softwaru, který by to dokázal komplex řízení (monitorování) na úrovni spoje celého toku informací přenášených po síti za účelem detekce všech typů vzdálených dopadů popsaných v literatuře. Studie trhu se softwarem pro zabezpečení internetových sítí odhalila, že takové komplexní nástroje pro vzdálenou detekci útoků neexistují a ty, které existovaly, byly navrženy tak, aby detekovaly jeden konkrétní typ útoku (například ICMP Redirect nebo ARP). Proto byl zahájen vývoj monitorovacího nástroje pro segment IP sítě, určeného pro použití na internetu a dostal název: IP Alert-1 network security monitor.

Hlavním úkolem tohoto nástroje, který programově analyzuje síťový provoz v přenosovém kanálu, není odrážení vzdálených útoků prováděných přes komunikační kanál, ale jejich odhalování a protokolování (udržování auditního souboru s logováním ve formě vhodné pro následné vizuální analýza všech událostí spojených se vzdálenými útoky na daný segment sítě) a okamžité upozornění bezpečnostního správce, pokud je detekován vzdálený útok. Hlavním úkolem monitoru zabezpečení sítě IP Alert-1 je sledování bezpečnosti odpovídajícího segmentu internetu.

Monitor zabezpečení sítě IP Alert-1 má následující funkce a umožňuje prostřednictvím analýzy sítě detekovat následující vzdálené útoky na segment sítě, který kontroluje:

1. Sledování korespondence IP a ethernetových adres v paketech přenášených hostiteli umístěnými v řízeném segmentu sítě.

Na hostiteli IP Alert-1 vytvoří bezpečnostní administrátor statickou ARP tabulku, kam zadá informace o odpovídajících IP a ethernetových adresách hostitelů umístěných v řízeném segmentu sítě.

Tato funkce umožňuje odhalit neoprávněnou změnu IP adresy nebo její nahrazení (tzv. IP Spoofing, spoofing, IP-spoofing (jarg)).

2. Sledování správného používání mechanismu vzdáleného vyhledávání ARP. Tato funkce umožňuje detekovat vzdálený útok False ARP pomocí statické tabulky ARP.

3. Sledování správného používání mechanismu vzdáleného vyhledávání DNS. Tato funkce umožňuje identifikovat všechny možné typy vzdálených útoků na službu DNS

4. Sledování správnosti pokusů o vzdálené připojení pomocí analýzy přenášených požadavků. Tato funkce umožňuje odhalit zaprvé pokus o prozkoumání zákona o změně počáteční hodnoty identifikátoru TCP spojení - ISN, zadruhé útok vzdáleného odmítnutí služby provedený přetečením fronty žádostí o připojení a zatřetí řízený útok. „bouře“ falešných požadavků na připojení (jak TCP, tak UDP), což také vede k odmítnutí služby.

Monitor zabezpečení sítě IP Alert-1 vám tedy umožňuje detekovat, upozorňovat a zaznamenávat většinu typů vzdálených útoků. Tento program však není v žádném případě konkurentem systémů Firewall. IP Alert-1, využívající vlastnosti vzdálených útoků na internetu, slouží jako nezbytný doplněk – mimochodem nesrovnatelně levnější – k systémům Firewall. Bez bezpečnostního monitoru zůstane většina pokusů o spuštění vzdálených útoků na váš segment sítě vašim očím skryta. Žádný ze známých firewallů není zapojen do tak inteligentní analýzy zpráv procházejících sítí, aby identifikoval různé typy vzdálených útoků, omezuje se v nejlepším případě na vedení protokolu, který zaznamenává informace o pokusech o uhodnutí hesla, skenování portů a skenování sítě. pomocí známých programů pro vzdálené vyhledávání. Pokud tedy správce IP sítě nechce zůstat lhostejný a spokojit se s rolí prostého statistika při vzdálených útocích na svou síť, pak je vhodné, aby použil monitor zabezpečení sítě IP Alert-1.

Příklad IPAlert-1 tedy ukazuje důležité místo, které monitory sítě zaujímají při zajišťování bezpečnosti sítě.

Moderní síťové monitory samozřejmě podporují mnohem více funkcí a samy o sobě jich je poměrně dost. Existují jednodušší systémy, které stojí kolem 500 dolarů, ale existují i ​​velmi výkonné systémy vybavené expertními systémy schopnými provádět výkonnou heuristickou analýzu, jejichž cena je mnohonásobně vyšší – od 75 tisíc dolarů.

1.2 SCHOPNOSTI MODERNÍCH SÍŤOVÝCH ANALYZÁTORŮ

Moderní monitory podporují mnoho dalších funkcí kromě svých základních z definice (které jsem recenzoval pro IP Alert-1). Například skenování kabelů.

Statistiky sítě (míra využití segmentů, úroveň kolize, chybovost a úroveň vysílání, určení rychlosti šíření signálu); Úlohou všech těchto ukazatelů je, že pokud jsou překročeny určité prahové hodnoty, můžeme hovořit o problémech v segmentu. K tomu patří v literatuře i kontrola legitimity síťových adaptérů, pokud se náhle objeví „podezřelý“ (kontrola podle MAC adresy atd.).

Statistika chybných snímků. Krátké rámce jsou rámce, které jsou menší než maximální délka, tj. menší než 64 bajtů. Tento typ rámců se dělí na dvě podtřídy – krátké snímky se správným kontrolním součtem a krátké snímky (runty), které nemají správný kontrolní součet. Nejpravděpodobnějším důvodem výskytu takových „mutantů“ je porucha síťových adaptérů. Prodloužené rámce, které jsou výsledkem dlouhého přenosu a indikují problémy s adaptéry. Ghost rámečky, které jsou výsledkem rušení na kabelu. Normální chybovost snímků v síti by neměla být vyšší než 0,01 %. Pokud je vyšší, pak jsou buď technické závady v síti, nebo došlo k neoprávněnému vniknutí.

Statistika kolizí. Označuje počet a typy kolizí v segmentu sítě a umožňuje určit přítomnost problému a jeho umístění. Kolize mohou být lokální (v jednom segmentu) a vzdálené (v jiném segmentu vzhledem k monitoru). Všechny kolize v sítích Ethernet jsou obvykle vzdálené. Intenzita kolizí by neměla překročit 5 % a špičky nad 20 % znamenají vážné problémy.

Možných funkcí je mnohem více, je prostě nemožné je všechny vyjmenovat.

Chtěl bych poznamenat, že monitory se dodávají jak softwarově, tak hardwarově. Mají však tendenci hrát spíše statistickou funkci. Například síťový monitor LANtern. Jedná se o snadno instalovatelné hardwarové zařízení, které pomáhá supervizorům a servisním organizacím centrálně udržovat a podporovat sítě více dodavatelů. Shromažďuje statistiky a identifikuje trendy za účelem optimalizace výkonu a rozšíření sítě. Informace o síti se zobrazují na konzole centrální správy sítě. Hardwarové monitory tedy neposkytují dostatečnou ochranu informací.

Microsoft Windows obsahuje síťový monitor (NetworkMonitor), ale obsahuje závažné zranitelnosti, o kterých pojednám níže.

Rýže. 1. Síťový monitor pro třídu WINDOWS OS NT.

Rozhraní programu je trochu obtížné zvládnout za chodu.

Rýže. 2. Zobrazte snímky v nástroji Sledování sítě WINDOWS.

Většina výrobců nyní usiluje o to, aby jejich monitory měly jednoduché a uživatelsky přívětivé rozhraní. Dalším příkladem je monitor NetPeeker (není tak bohatý na další funkce, ale přesto):

Rýže. 3. Uživatelsky přívětivé rozhraní monitoru NetPeeker.

Uvedu příklad rozhraní složitého a drahého programu NetForensics (95 000 $):

Obr.4. Rozhraní NetForensics.

Existuje určitá povinná sada „dovedností“, které monitory musí mít podle dnešních trendů:

1. Minimálně:

• nastavení šablon filtrování provozu;
• centralizovaná správa sledovacích modulů;
• filtrování a analýzy velkého množství síťových protokolů, vč. TCP, UDP a ICMP;
• filtrování síťového provozu podle protokolu, portů a IP adres odesílatele a příjemce;
• abnormální ukončení spojení s útočícím uzlem;
• správa firewallu a routeru;
• nastavení skriptů pro zpracování útoků;
• záznam útoku pro další přehrávání a analýzu;
• podpora síťových rozhraní Ethernet, Fast Ethernet a Token Ring;
• žádný požadavek na použití speciálního hardwaru;
• vytvoření bezpečného spojení mezi komponentami systému a dalšími zařízeními;
• dostupnost komplexní databáze všech detekovaných útoků;
• minimální snížení výkonu sítě;
• pracovat s jedním sledovacím modulem z několika ovládacích konzolí;
• výkonný systém generování zpráv;
• snadné použití a intuitivní grafické rozhraní;
• nízké systémové požadavky na software a hardware.

2. Umět vytvářet přehledy:

• Distribuce provozu podle uživatelů;
• Distribuce provozu podle IP adres;
• Distribuce provozu mezi službami;
• Distribuce provozu protokolem;
• Rozdělení návštěvnosti podle typu dat (obrázky, videa, texty, hudba);
• Distribuce provozu pomocí programů používaných uživateli;
• Rozložení dopravy podle denní doby;
• Rozložení provozu podle dne v týdnu;
• Rozložení provozu podle dat a měsíců;
• Rozdělení návštěvnosti mezi stránky navštěvované uživatelem;
• Chyby autorizace v systému;
• Vstupy a výstupy ze systému.

Příklady konkrétních útoků, které mohou síťové monitory rozpoznat:

"Odmítnutí služby". Jakákoli akce nebo sekvence akcí, která způsobí selhání kterékoli části napadeného systému, při kterém přestane plnit své funkce. Důvodem může být neoprávněný přístup, zpoždění v servisu atd. Příklady zahrnují SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) útoky atd.

" Neoprávněný přístup " (Pokus o neoprávněný přístup). Jakákoli akce nebo sekvence akcí, která vede k pokusu o čtení souborů nebo provádění příkazů způsobem, který obchází zavedenou bezpečnostní politiku. Zahrnuje také pokusy útočníka získat větší oprávnění, než jaké nastavil správce systému. Příkladem mohou být FTP Root, E-mail WIZ atd. útoky.

"Předútoková sonda"
Jakákoli akce nebo sekvence akcí k získání informací ZE sítě nebo O síti (například uživatelská jména a hesla), které jsou následně použity k provedení neoprávněného přístupu. Příkladem může být skenování portů (Port scan), skenování pomocí programu SATAN (SATAN scan) atd.

"Podezřelá aktivita"
Síťový provoz, který nespadá do definice „standardního“ provozu. Může naznačovat podezřelou aktivitu probíhající online. Příkladem mohou být události Duplicate IP Address, IP Unknown Protocol atd.

"Analýza protokolu" (dekódování protokolu. Síťová aktivita, kterou lze použít k provedení jednoho z výše uvedených typů útoků. Může naznačovat podezřelou aktivitu probíhající online. Příkladem mohou být události FTP User decode, Portmapper Proxy decode atd.

1.3 NEBEZPEČÍ POUŽÍVÁNÍ SÍŤOVÝCH MONITORŮ

Použití síťových monitorů také představuje potenciální nebezpečí. Už jen proto, že jimi prochází obrovské množství informací, včetně těch důvěrných. Podívejme se na příklad zranitelnosti pomocí výše zmíněného NetworkMonitoru, který je součástí rodiny Windows NT. Tento monitor má tzv. HEX panel (viz obr. 2), který umožňuje vidět data snímku ve formě ASCII textu. Zde můžete například vidět nezašifrovaná hesla plující po síti. Vyzkoušet si můžete například čtení balíčků poštovní aplikace Eudora. Poté, co strávíte trochu času, můžete je bezpečně vidět otevřené. Musíte však být vždy ve střehu, protože šifrování nepomáhá. Jsou zde dva možné případy. V literatuře existuje slangový výraz „obscénnost“ - jedná se o souseda určitého stroje ve stejném segmentu, na stejném rozbočovači, nebo, jak se tomu nyní říká, přepínač. Pokud se tedy nějaký „pokročilý“ „obscénnost“ rozhodl skenovat síťový provoz a vylovit hesla, pak může správce takového útočníka snadno identifikovat, protože monitor podporuje identifikaci uživatelů, kteří jej používají. Stačí stisknout tlačítko a před administrátorem se otevře seznam „obscénních hackerů“. Situace je mnohem složitější, když je útok veden zvenčí, například z internetu. Informace poskytované monitorem jsou mimořádně informativní. Zobrazí se seznam všech zachycených snímků, pořadová čísla snímků, časy jejich zachycení, dokonce i MAC adresy síťových adaptérů, což umožňuje zcela konkrétně identifikovat počítač. Panel s podrobnými informacemi obsahuje „vnitřnosti“ rámu – popis jeho názvů atd. I zvídavý začátečník zde najde mnoho známého.

Externí útoky jsou mnohem nebezpečnější, protože je zpravidla velmi, velmi obtížné identifikovat útočníka. Chcete-li se v tomto případě chránit, musíte na monitoru použít ochranu heslem. Pokud je nainstalován ovladač Sledování sítě a není nastaveno heslo, může se k prvnímu počítači připojit kdokoli, kdo používá Sledování sítě ze stejné distribuce (stejného programu) na jiném počítači a používat jej k zachycení dat v síti. Kromě toho musí monitor sítě poskytovat schopnost detekovat další instalace v segmentu místní sítě. To má však také svou složitost. V některých případech může architektura sítě potlačit detekci jedné nainstalované kopie nástroje Sledování sítě jinou. Pokud je například nainstalovaná kopie nástroje Sledování sítě oddělena od druhé kopie směrovačem, který neumožňuje zprávy vícesměrového vysílání, druhá kopie nástroje Sledování sítě nebude schopna detekovat první.

Hackeři a další útočníci neztrácejí čas. Neustále hledají nové a nové způsoby, jak vypnout síťové monitory. Ukazuje se, že existuje mnoho způsobů, počínaje deaktivací monitoru přeplněním jeho vyrovnávací paměti a konče tím, že můžete monitor donutit, aby provedl jakýkoli příkaz odeslaný útočníkem.

Existují speciální laboratoře, které analyzují zabezpečení softwaru. Jejich zprávy jsou alarmující, protože vážná porušení jsou zjištěna poměrně často. Příklady skutečných mezer ve skutečných produktech:

1. RealSecure je komerční systém detekce narušení (IDS) od ISS.

RealSecure se chová nestabilně při zpracování některých podpisů DHCP (DHCP_ACK - 7131, DHCP_Discover - 7132 a DHCP_REQUEST - 7133) dodaných se systémem. Odesláním škodlivého provozu DHCP umožňuje tato chyba zabezpečení vzdálenému útočníkovi narušit program. Zjištěná zranitelnost v Internet Security Systems RealSecure Network Sensor 5.0 XPU 3.4-6.5

2. Program: RealSecure 4.9 network-monitor

Nebezpečí: vysoké; přítomnost exploitu: Ne.

Popis: V RS bylo objeveno několik zranitelností. Vzdálený uživatel může určit umístění zařízení. Vzdálený uživatel může také definovat a měnit konfiguraci zařízení.

Řešení: Nainstalujte aktualizovanou verzi programu. Kontaktujte výrobce.

1.4 ANALYZÁTORY PROTOKOLU, JEJICH VÝHODY, NEBEZPEČÍ A ZPŮSOBY OCHRANY PŘED NEBEZPEČÍM

Analyzátory protokolů jsou samostatnou třídou softwaru, i když jsou v podstatě podmnožinou síťových monitorů. Každý monitor má vestavěno alespoň několik analyzátorů protokolů. Proč je tedy používat, když můžete implementovat slušnější systém pomocí síťových monitorů? Za prvé, instalace výkonného monitoru není vždy vhodná a za druhé, ne každá organizace si může dovolit pořídit si jej za tisíce dolarů. Občas se nabízí otázka: nebude samotný monitor dražší než informace, které má chránit? Právě v takových (nebo podobných) případech se používají protokolové analyzátory v jejich čisté formě. Jejich role je podobná roli monitorů.

Síťový adaptér každého počítače v síti Ethernet zpravidla „slyší“ vše, o čem jeho sousedé v segmentu této sítě „mluví“ mezi sebou. Zpracovává a umísťuje do své lokální paměti pouze ty části (tzv. rámce) dat, které obsahují jedinečnou adresu, která mu byla v síti přidělena. Kromě toho naprostá většina moderních ethernetových adaptérů umožňuje provoz ve speciálním režimu zvaném promiskuitní, kdy adaptér při použití zkopíruje všechny datové rámce přenášené po síti do lokální paměti počítače. Specializované programy, které uvádějí síťový adaptér do promiskuitního režimu a shromažďují veškerý síťový provoz pro následnou analýzu, se nazývají analyzátory protokolů.

Ty jsou široce používány správci sítí ke sledování provozu těchto sítí. Analyzátory protokolů bohužel využívají i útočníci, kteří je mohou využít k zachycení hesel jiných lidí a dalších důvěrných informací.

Je třeba poznamenat, že analyzátory protokolů představují vážné nebezpečí. Analyzátor protokolu mohl nainstalovat někdo zvenčí, který vstoupil do sítě zvenčí (například pokud má síť přístup k internetu). Ale to může být také práce „domácího“ útočníka s legálním přístupem do sítě. V každém případě je třeba brát současnou situaci vážně. Odborníci na počítačovou bezpečnost klasifikují útoky na počítače pomocí analyzátorů protokolů jako takzvané útoky druhé úrovně. To znamená, že počítačový hacker již dokázal proniknout bezpečnostními bariérami sítě a nyní se snaží na svůj úspěch navázat. Pomocí analyzátoru protokolů se může pokusit zachytit uživatelská přihlášení a hesla, citlivá finanční data (jako jsou čísla kreditních karet) a citlivou komunikaci (jako je e-mail). S dostatečnými zdroji může počítačový útočník v zásadě zachytit všechny informace přenášené po síti.

Analyzátory protokolů existují pro každou platformu. Ale i když se ukáže, že analyzátor protokolů ještě nebyl napsán pro konkrétní platformu, stále je třeba vzít v úvahu hrozbu, kterou představuje útok na počítačový systém pomocí analyzátoru protokolů. Faktem je, že analyzátory protokolů neanalyzují konkrétní počítač, ale protokoly. Proto může být analyzátor protokolů instalován v jakémkoli segmentu sítě a odtud zachycovat síťový provoz, který se v důsledku vysílání všesměrového vysílání dostane ke každému počítači připojenému k síti.

Nejčastějším cílem útoků počítačových hackerů pomocí analyzátorů protokolů jsou univerzity. Už jen kvůli obrovskému množství různých loginů a hesel, které lze při takovém útoku ukrást. Použití analyzátoru protokolů v praxi není tak snadný úkol, jak by se mohlo zdát. Aby mohl počítačový útočník využívat analyzátor protokolů, musí mít dostatečné znalosti síťové technologie. Není možné jednoduše nainstalovat a spustit analyzátor protokolů, protože i v malé lokální síti pěti počítačů provoz dosahuje tisíce a tisíce paketů za hodinu. A proto v krátké době výstupní data analyzátoru protokolů zaplní dostupnou paměť do kapacity. Počítačový útočník proto obvykle nakonfiguruje analyzátor protokolů tak, aby zachytil pouze prvních 200–300 bajtů každého paketu přenášeného přes síť. Typicky se v hlavičce paketu nachází informace o přihlašovacím jménu a heslu uživatele, které jsou pro útočníka zpravidla nejvíce zajímavé. Pokud má však útočník na pevném disku dostatek místa, pak mu zvýšení objemu provozu, který zachytí, jen prospěje a umožní mu naučit se spoustu zajímavých věcí.

V rukou správce sítě je analyzátor protokolů velmi užitečným nástrojem, který mu pomáhá najít a řešit problémy, zbavit se úzkých míst snižujících propustnost sítě a rychle odhalit narušitele. Jak se chránit před vetřelci? Můžeme doporučit následující. Obecně platí, že tyto rady platí nejen pro analyzátory, ale také pro monitory. Nejprve se pokuste získat síťový adaptér, který zásadně nemůže fungovat v promiskuitním režimu. Takové adaptéry existují v přírodě. Některé z nich nepodporují promiskuitní režim na hardwarové úrovni (je jich menšina) a zbytek je jednoduše vybaven speciálním ovladačem, který neumožňuje provoz v promiskuitním režimu, ačkoliv je tento režim hardwarově implementován. Chcete-li najít adaptér, který nemá promiskuitní režim, jednoduše kontaktujte technickou podporu kterékoli společnosti, která prodává analyzátory protokolů, a zjistěte, se kterými adaptéry jejich softwarové balíčky nefungují. Zadruhé, vzhledem k tomu, že specifikace PC99, připravená v hloubi korporací Microsoft a Intel, vyžaduje bezpodmínečnou přítomnost promiskuitního režimu v síťové kartě, pořiďte si moderní síťový chytrý přepínač, který uloží zprávu přenášenou po síti do paměti a odešle ji, pokud možno přesně na adresu . Není tedy potřeba, aby adaptér „naslouchal“ veškerému provozu, aby z něj extrahoval zprávy, jejichž adresátem je tento počítač. Za třetí, zabraňte neoprávněné instalaci analyzátorů protokolů na síťové počítače. Zde byste měli používat nástroje z arzenálu, který se používá k boji se softwarovými záložkami a zejména s trojskými koňmi (instalace firewallů) Za čtvrté zašifrujte veškerý síťový provoz. Existuje široká škála softwarových balíků, které vám to umožňují poměrně efektivně a spolehlivě. Možnost šifrovat hesla k e-mailům například poskytuje doplněk k e-mailovému protokolu POP (Post Office Protocol) - protokol APOP (Authentication POP). Při práci s APOP se po síti pokaždé přenáší nová šifrovaná kombinace, což útočníkovi neumožňuje získat žádný praktický užitek z informací zachycených pomocí analyzátoru protokolu. Jediným problémem je, že dnes ne všechny poštovní servery a klienti podporují APOP.

Další produkt s názvem Secure Shell nebo zkráceně SSL byl původně vyvinut legendární finskou společností SSH Communications Security (http://www.ssh.fi) a nyní má mnoho implementací dostupných zdarma přes internet. SSL je zabezpečený protokol pro bezpečný přenos zpráv přes počítačovou síť pomocí šifrování.

Obzvláště známé jsou softwarové balíčky určené k ochraně dat přenášených po síti pomocí šifrování a spojuje je v názvu zkratka PGP, což znamená Pretty Good Privacy.

Je pozoruhodné, že rodina protokolových analyzátorů zahrnuje hodný domácí vývoj. Pozoruhodným příkladem je multifunkční analyzátor Observer (vyvinutý společností ProLAN).

Rýže. 5. Rozhraní analyzátoru Russian Observer.

Ale zpravidla má většina analyzátorů mnohem jednodušší rozhraní a méně funkcí. Například program Ethereal.

Rýže. 6. Rozhraní zahraničního analyzátoru Ethereal.

ZÁVĚR

Síťové monitory, stejně jako analyzátory protokolů, jsou výkonným a efektivním nástrojem pro správu počítačových sítí, protože umožňují přesně vyhodnotit mnoho provozních parametrů sítě, jako jsou rychlosti signálu, oblasti, kde se koncentrují kolize atd. Jejich hlavním úkolem, se kterým se úspěšně vyrovnávají, je však identifikace útoků na počítačové sítě a upozorňování na ně správce na základě analýzy provozu. Použití těchto softwarových nástrojů je zároveň spojeno s potenciálním nebezpečím, protože vzhledem k tomu, že informace procházejí monitory a analyzátory, může dojít k neoprávněnému zachycení těchto informací. Správce systému musí ochraně své sítě věnovat náležitou pozornost a pamatovat na to, že kombinovaná ochrana je mnohem efektivnější. Při výběru softwaru pro analýzu provozu byste měli být opatrní na základě skutečných nákladů na informace, které mají být chráněny, pravděpodobnosti narušení, hodnoty informací pro třetí strany, dostupnosti hotových bezpečnostních řešení a schopností. rozpočtu organizace. Kompetentní výběr řešení pomůže snížit pravděpodobnost neoprávněného přístupu a nebude příliš „těžký“ z hlediska financování. Měli byste si vždy pamatovat, že dnes neexistuje žádný dokonalý bezpečnostní nástroj, a to platí samozřejmě pro monitory a analyzátory. Vždy byste měli mít na paměti, že bez ohledu na to, jak dokonalý je monitor, nebude připraven na nové typy hrozeb, které nebyl naprogramován tak, aby rozpoznával. V souladu s tím byste měli nejen správně naplánovat ochranu podnikové síťové infrastruktury, ale také neustále sledovat aktualizace softwarových produktů, které používáte.

LITERATURA

1. Útok na internetu. I.D. Medvědkovský, P.V. Semjanov, D.G. Leonov. – 3. vyd., vymazáno. – M.: DMK, 2000

2. Microsoft Windows 2000. Příručka správce. Řada „ITProfessional“ (přeloženo z angličtiny). U.R. Staněk. – M.: Vydavatelství a obchodní dům „Russian Edition“, 2002.

3. Networking Essentials. E. Tittel, K. Hudson, J.M. Stewarte. Za. z angličtiny – Petrohrad: Peter Publishing House, 1999

4. Informace o nedostatcích v softwarových produktech jsou převzaty z databáze serveru SecurityLab (www.securitylab.ru)

5. Počítačové sítě. Teorie a praxe. http://network-journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=3&pa=9&ar=1

6. Síťová analýza. Článek ve 2 částech. http://www.ru-board.com/new/article.php?sid=120

7. Elektronický slovník telekomunikačních pojmů. http://europestar.ru/info/

8. Hardwarové a softwarové způsoby ochrany před vzdálenými útoky na Internetu. http://personal.primorye.ru/desperado/Xattack/7.2.htm

9. Zabezpečení v programu Network Monitor. Návod na WindowsXP. http://www.soft32.ru/literature.shtml?topic=windows&book=WinXP&page=Glava16/Index0.htm&subpage=Glava16/Index52.htm

10. Dokumentace k monitoru RealSecure. Na vyžádání poskytuje výrobce v elektronické podobě.

11. Bezpečnost počítačových systémů. Analyzátory protokolů. http://kiev-security.org.ua/box/12/130.shtml

12. Internetový server ruského vývojáře analyzátorů - společnosti „ProLAN“ http://www.prolan.ru/

Obecná informace

Nástroje zvané síťové analyzátory jsou pojmenovány po Sniffer Network Analyzer. Tento produkt byl uveden na trh v roce 1988 společností Network General (nyní Network Associates) a byl jedním z prvních zařízení, které umožnilo manažerům doslova se dozvědět o tom, co se děje ve velké síti, aniž by opustili svůj stůl. První analyzátory čtou hlavičky zpráv v datových paketech odeslaných přes síť, čímž poskytují správcům informace o adresách odesílatele a příjemce, velikosti souborů a další informace nízké úrovně. A to vše navíc ke kontrole správnosti přenosu paketů. Pomocí grafů a textových popisů pomohly analyzátory správcům sítě diagnostikovat servery, síťová spojení, rozbočovače a přepínače a také aplikace. Zhruba řečeno, síťový analyzátor naslouchá nebo „snímá“ pakety z určitého fyzického segmentu sítě. To vám umožní analyzovat provoz na určité vzorce, opravit určité problémy a identifikovat podezřelou aktivitu. Systém detekce narušení sítě není nic jiného než pokročilý sniffer, který porovnává každý paket v síti s databází známých vzorců škodlivého provozu, podobně jako to dělá antivirový program se soubory v počítači. Na rozdíl od výše popsaných nástrojů pracují analyzátory na nižší úrovni.

Pokud se podíváme na referenční model OSI, analyzátory kontrolují dvě nižší úrovně – fyzickou a kanálovou.

Číslo úrovně modelu BOC	Název úrovně	Příklady protokolů
Úroveň 7	Aplikační vrstva	DNS, FTP, HTTP, SMTP, SNMP, Telnet
Úroveň 6	Prezentační vrstva
Úroveň 5	Úroveň relace
Úroveň 4	Transportní vrstva	NetBIOS, TCP, UDP
Úroveň 3	Síťová vrstva	ARP, IP, IPX, OSPF
Úroveň 2	Data Link Layer	Arcnet, Ethernet, Token ring
Úroveň 1	Fyzická vrstva	Koaxiální kabel, optické vlákno, kroucená dvoulinka

Fyzická vrstva je skutečné fyzické zapojení nebo jiné médium použité k vytvoření sítě. Ve vrstvě datového spojení jsou data zpočátku zakódována pro přenos přes specifické médium. Mezi síťové standardy linkové vrstvy patří bezdrátové 802.11, Arcnet, koaxiální kabel, Ethernet, Token Ring a další. Analyzátory obvykle závisí na typu sítě, na které pracují. Chcete-li například analyzovat provoz v síti Ethernet, musíte mít analyzátor Ethernet.

Existují komerční analyzátory od výrobců, jako je Fluke, Network General a další. Obvykle se jedná o vlastní hardwarová zařízení, která mohou stát desítky tisíc dolarů. Přestože je tento hardware schopen hloubkové analýzy, je možné vytvořit levný síťový analyzátor pomocí softwaru s otevřeným zdrojovým kódem a levného počítače s procesorem Intel.

Typy analyzátorů

V současné době se vyrábí mnoho analyzátorů, které se dělí na dva typy. První zahrnuje samostatné produkty nainstalované na mobilním počítači. Konzultant si jej může vzít s sebou při návštěvě kanceláře klienta a připojit jej k síti pro sběr diagnostických dat.

Zpočátku byla přenosná zařízení určená pro testování síťového provozu určena výhradně pro kontrolu technických parametrů kabelu. Postupem času však výrobci vybavili svá zařízení řadou funkcí analyzátoru protokolů. Moderní síťové analyzátory jsou schopny detekovat širokou škálu možných problémů – od fyzického poškození kabelu až po přetížení síťových zdrojů.

Druhý typ analyzátoru je součástí širší kategorie hardwaru a softwaru pro monitorování sítě, který umožňuje organizacím monitorovat jejich místní a rozlehlé síťové služby, včetně webu. Tyto programy poskytují správcům holistický pohled na stav sítě. Pomocí těchto produktů můžete například určit, které aplikace jsou aktuálně spuštěny, kteří uživatelé jsou registrováni v síti a kteří z nich generují většinu provozu.

Kromě identifikace nízkoúrovňových síťových charakteristik, jako je zdroj paketů a jejich cíl, moderní analyzátory dekódují informace získané na všech sedmi vrstvách síťového zásobníku Open System Interconnection (OSI) a často poskytují doporučení pro řešení problémů. Pokud analýza na aplikační úrovni neumožňuje učinit adekvátní doporučení, provedou analyzátoři průzkum na nižší úrovni sítě.

Moderní analyzátory obvykle podporují standardy vzdáleného monitorování (Rmon a Rmon 2), které poskytují automatické získávání klíčových dat o výkonu, jako jsou informace o zatížení dostupných zdrojů. Analyzátory, které podporují Rmon, mohou pravidelně kontrolovat stav síťových komponent a porovnávat přijatá data s dříve nashromážděnými daty. V případě potřeby vydají varování, pokud úroveň provozu nebo výkon překročí limity stanovené správci sítě.

Společnost NetScout Systems představila systém nGenius Application Service Level Manager, který je navržen tak, aby sledoval dobu odezvy v jednotlivých sekcích přístupového kanálu k webové stránce a zjišťoval aktuální výkon serverů. Tato aplikace může analyzovat výkon ve veřejné síti, aby znovu vytvořila celkový obraz na počítači uživatele. Dánská firma NetTest (dříve GN Nettest) začala nabízet Fastnet, síťový monitorovací systém, který pomáhá společnostem elektronického obchodování plánovat kapacitu a řešit problémy se sítí.

Analýza konvergentních (multiservisních) sítí

Šíření sítí s více službami (konvergované sítě) může mít v budoucnu rozhodující vliv na rozvoj telekomunikačních systémů a systémů přenosu dat. Myšlenka spojit schopnost přenášet data, hlasové toky a video informace v jediné síťové infrastruktuře založené na paketovém protokolu se ukázala jako velmi lákavá pro poskytovatele specializující se na poskytování telekomunikačních služeb, protože může okamžitě výrazně rozšířit rozsah. služeb, které poskytují.

Jak si společnosti začínají uvědomovat efektivitu a cenové výhody konvergovaných IP sítí, dodavatelé síťových nástrojů aktivně vyvíjejí analyzátory, aby tak učinily. V první polovině roku představilo mnoho společností komponenty pro své produkty pro správu sítě určené pro sítě Voice over IP.

„Konvergence vytvořila nové složitosti, se kterými se musí správci sítí vypořádat,“ řekl Glenn Grossman, ředitel produktového managementu ve společnosti NetScout Systems. -- Hlasový provoz je velmi citlivý na časová zpoždění. Analyzátory se mohou podívat na každý bit a byte odeslaný po drátě, interpretovat záhlaví a automaticky určit prioritu dat.“

Použití technologií konvergence hlasu a dat může vyvolat novou vlnu zájmu o analyzátory, protože prioritizace provozu na úrovni paketů IP se stává zásadní pro provoz hlasových a video služeb. Například společnost Sniffer Technologies vydala Sniffer Voice, sadu nástrojů navrženou pro správce sítí s více službami. Tento produkt poskytuje nejen tradiční diagnostické služby pro správu e-mailu, internetu a databázového provozu, ale také identifikuje síťové problémy a doporučuje řešení pro zajištění správného přenosu hlasového provozu přes IP sítě.

Nevýhody používání analyzátorů

Je třeba si uvědomit, že s analyzátory jsou spojeny dvě strany mince. Pomáhají udržovat síť v chodu, ale mohou je také použít hackeři k vyhledávání uživatelských jmen a hesel v datových paketech. Aby se zabránilo zachycení hesla analyzátory, jsou hlavičky paketů šifrovány (například pomocí standardu Secure Sockets Layer).

Nakonec neexistuje žádná alternativa k síťovému analyzátoru v situacích, kdy je nutné porozumět tomu, co se děje v globální nebo podnikové síti. Dobrý analyzátor vám umožňuje porozumět stavu segmentu sítě a určit objem provozu a také určit, jak se tento objem mění v průběhu dne, kteří uživatelé vytvářejí největší zátěž a ve kterých situacích dochází k problémům s rozložením provozu nebo nedostatek šířky pásma. Díky použití analyzátoru je možné získat a analyzovat všechna data v segmentu sítě za dané období.

Síťové analyzátory jsou však drahé. Pokud si ho plánujete pořídit, ujasněte si nejprve, co od něj očekáváte.

Vlastnosti použití síťových analyzátorů

Chcete-li používat síťové analyzátory eticky a produktivně, je třeba dodržovat následující pokyny.

Vždy je vyžadováno povolení

Síťová analýza, stejně jako mnoho dalších bezpečnostních funkcí, má potenciál ke zneužití. Zachycování všeho data přenášená po síti, můžete špehovat hesla pro různé systémy, obsah e-mailových zpráv a další důležitá data, interní i externí, protože většina systémů svůj provoz v místní síti nešifruje. Pokud se taková data dostanou do nesprávných rukou, může to samozřejmě vést k vážnému narušení bezpečnosti. Může se také jednat o porušení soukromí zaměstnanců. Před zahájením takových činností byste měli nejprve získat písemné povolení od vedení, nejlépe od vrcholového vedení. Měli byste také zvážit, co dělat s daty, jakmile je obdrží. Kromě hesel se může jednat o další citlivá data. Obecným pravidlem je, že protokoly síťové analýzy by měly být ze systému odstraněny, pokud nejsou potřebné pro trestní nebo občanskoprávní stíhání. Existují zdokumentované precedenty, kdy byli dobře mínění správci systému propuštěni za neoprávněné zachycení dat.

Musíte porozumět topologii sítě

Před nastavením analyzátoru je nutné plně porozumět fyzické a logické organizaci této sítě. Provedením analýzy na nesprávném místě v síti můžete získat chybné výsledky nebo jednoduše nenajdete, co potřebujete. Je nutné zkontrolovat, že mezi analyzačním pracovištěm a pozorovacím místem nejsou žádné routery. Směrovače budou přesměrovávat provoz do segmentu sítě pouze v případě, že existuje volání do tam umístěného uzlu. Podobně v komutované síti budete muset nakonfigurovat port, ke kterému se připojujete, jako „monitorovací“ nebo „zrcadlový“ port. Různí výrobci používají různou terminologii, ale port musí v zásadě fungovat jako rozbočovač spíše než jako přepínač, protože potřebuje vidět veškerý provoz procházející přepínačem, nejen ten, který směřuje k pracovní stanici. Bez tohoto nastavení bude port monitoru vidět pouze to, co je směrováno na port, ke kterému je připojen, a síťový přenos.

Musíte použít přísná kritéria vyhledávání

V závislosti na tom, co chcete najít, použití otevřeného filtru (to znamená zobrazení všeho) způsobí, že výstup bude velký a obtížně analyzovatelný. Pro snížení výstupu, který analyzátor produkuje, je lepší použít speciální vyhledávací kritéria. I když přesně nevíte, co hledat, stále můžete napsat filtr, který omezí výsledky vyhledávání. Pokud potřebujete najít interní počítač, je správné nastavit kritéria tak, aby se dívaly pouze na zdrojové adresy v dané síti. Pokud potřebujete sledovat konkrétní typ provozu, řekněme provoz FTP, můžete omezit výsledky pouze na to, co přichází do portu používaného aplikací. Tímto způsobem můžete dosáhnout výrazně lepších výsledků analýzy.

Nastavení referenčního stavu sítě

Použití síťového analyzátoru během normálního provozu a záznamem konečných výsledků se dosáhne referenčního stavu, který lze porovnat s výsledky získanými během pokusů o izolaci problému. Níže popsaný analyzátor Ethereal k tomu vytváří několik užitečných zpráv. Některá data budou také získána pro sledování využití sítě v průběhu času. Pomocí těchto údajů můžete určit, kdy je síť nasycená a jaké jsou hlavní důvody - přetížený server, nárůst počtu uživatelů, změna typu provozu atd. Pokud existuje východisko, je snazší pochopit, kdo za co může.