tcpdump

Das Haupttool für fast alle Netzwerkverkehrssammlungen ist tcpdump. Es handelt sich um eine Open-Source-Anwendung, die auf fast allen Unix-ähnlichen Betriebssystemen installiert werden kann. Tcpdump ist ein hervorragendes Datenerfassungstool und verfügt über eine sehr leistungsstarke Filter-Engine. Es ist wichtig zu wissen, wie man Daten während der Erfassung filtert, um am Ende überschaubare Daten für die Analyse zu erhalten. Das Erfassen aller Daten von einem Netzwerkgerät, selbst in einem mäßig ausgelasteten Netzwerk, kann zu viele Daten für eine einfache Analyse erzeugen.

In einigen seltenen Fällen kann tcpdump die Ausgabe direkt auf Ihrem Bildschirm ausgeben, und dies kann ausreichen, um das Gesuchte zu finden. Beim Schreiben eines Artikels wurde beispielsweise etwas Datenverkehr erfasst und festgestellt, dass das Gerät Datenverkehr an eine unbekannte IP-Adresse sendete. Es stellte sich heraus, dass die Maschine Daten an die Google-IP-Adresse 172.217.11.142 sendete. Da keine Google-Produkte auf den Markt kamen, stellte sich die Frage, warum dies geschah.

Eine Systemüberprüfung ergab Folgendes:

[ ~ ]$ ps -ef | grep google

Hinterlasse ein Kommentar!

Dienstprogramm CommView dient zum Sammeln und Analysieren des lokalen Netzwerk- und Internetverkehrs. Das Programm erfasst und dekodiert Daten, die das Netzwerk bis zur untersten Ebene durchlaufen, einschließlich einer Liste von Netzwerkverbindungen und IP-Paketen von mehr als 70 der gängigsten Netzwerkprotokolle. CommView führt IP-Statistiken; abgefangene Pakete können zur späteren Analyse in einer Datei gespeichert werden. Mithilfe eines flexiblen Filtersystems im Programm können Sie Unnötiges aussortieren um Pakete zu erfassen oder nur das Notwendige abfangen. Das im Programm enthaltene VoIP-Modul ermöglicht eine detaillierte Analyse, Aufzeichnung und Wiedergabe von Sprachnachrichten der Standards SIP und H.323. Mit CommView können Sie ein detailliertes Bild des Informationsverkehrs anzeigen, der über eine Netzwerkkarte oder ein separates Netzwerksegment läuft.

Internet- und lokaler Netzwerkscanner

Als Netzwerkscanner wird das CommView-Programm für Systemadministratoren, Personen, die im Bereich der Netzwerksicherheit arbeiten, und Programmierer, die Software entwickeln, die Netzwerkverbindungen nutzt, nützlich sein. Das Dienstprogramm unterstützt die russische Sprache, verfügt über eine benutzerfreundliche Oberfläche und enthält ein detailliertes und verständliches Hilfesystem für alle im Programm implementierten Funktionen und Möglichkeiten.

Hauptfunktionen von CommView

• Abfangen von Internet- oder lokalem Datenverkehr, der über einen Netzwerkadapter oder DFÜ-Controller geleitet wird
• Detaillierte Statistiken zu IP-Verbindungen (Adressen, Ports, Sitzungen, Hostnamen, Prozesse usw.)
• Neuerstellung einer TCP-Sitzung
• Ereignisbenachrichtigungen einrichten
• Diagramme von IP-Protokollen und Protokollen der oberen Ebene
• Sehen Sie sich erfasste und dekodierte Pakete in Echtzeit an
• Durchsuchen Sie den Inhalt abgefangener Pakete anhand von Zeichenfolgen oder HEX-Daten
• Pakete in Archiven speichern
• Laden Sie zuvor gespeicherte Pakete herunter und zeigen Sie sie an, wenn die Verbindung getrennt wird
• Export und Import von Archiven mit Paketen in (von) NI Observer- oder NAI Sniffer-Formaten
• Informationen über eine IP-Adresse erhalten
• Protokollunterstützung und Dekodierung: ARP, BCAST, RTSP, SAP, SER, SIP, SMB, SMTP, SNA, SNMP, SNTP, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG, DNS, EIGRP, FTP, G.723, GRE, H. 225, H.261, H.263, H.323, HTTP, HTTPS, 802.1Q, 802.1X, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX, HSRP, LDAP, MS SQL, NCP , NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, LDAP, MS SQL, NCP, NDS, NetBIOS, RDP, RIP, RIPX, RMCP, RPC, RSVP, RTP, RTCP, SOCKS, SPX, SSH, TCP, TELNET, TFTP, TIME, TLS, UDP, VTP, WDOG, YMSG.

In einigen Fällen wird die Netzwerkverkehrsanalyse verwendet, um Probleme bei der Funktion des Netzwerkstapels eines Hosts und von Netzwerksegmenten zu erkennen. Es gibt Tools, mit denen Sie den Betrieb des Netzwerks auf der Ebene übertragener Frames, Netzwerkpakete, Netzwerkverbindungen, Datagramme und Anwendungsprotokolle anzeigen (abhören) und analysieren können.

Abhängig von In dieser Situation kann sowohl der Datenverkehr des Knotens, auf dem der Netzwerkverkehr abgehört wird, als auch der Datenverkehr eines Netzwerksegments, eines Router-Ports usw. für die Diagnose verfügbar sein. Erweiterte Funktionen zum Abfangen des Datenverkehrs basieren auf „Promiskuitiv“-Modus Betrieb des Netzwerkadapters: Alle Frames werden verarbeitet (und nicht nur diejenigen, die für eine bestimmte MAC-Adresse bestimmt sind und gesendet werden, wie im normalen Betrieb)..

In einem Ethernet-Netzwerk gibt es die folgenden grundlegenden Funktionen zum Abhören des Datenverkehrs:

• In einem Hub-basierten Netzwerk steht der gesamte Kollisionsdomänenverkehr jeder Netzwerkstation zur Verfügung.
• In Netzwerken, die auf Netzwerkstations-Switches basieren, ist deren Verkehr sowie der gesamte Broadcast-Verkehr dieses Segments verfügbar.
• Einige verwaltete Switches verfügen über die Möglichkeit, Datenverkehr von einem bestimmten Port auf den Überwachungsport zu kopieren(„Spiegelung“, Portüberwachung).
• Die Verwendung spezieller Mittel (Koppler), die in eine Netzwerkverbindungsunterbrechung eingebunden sind und den Verbindungsverkehr an einen separaten Port weiterleiten.
• „Trick“ mit einem Hub- Der Switch-Port, dessen Datenverkehr überwacht werden muss, wird über einen Hub eingeschaltet, wobei auch ein Überwachungsknoten mit dem Hub verbunden wird (in diesem Fall ist in den meisten Fällen die Leistung der Netzwerkverbindung verringert).

Es gibt Programme ( Netzwerkmonitore oder -analysatoren, Sniffer), die die Funktion implementieren, den Netzwerkverkehr abzuhören (auch im Promiscuous-Modus), ihn anzuzeigen oder in eine Datei zu schreiben. Darüber hinaus kann Analysesoftware den Datenverkehr anhand von Regeln filtern, Protokolle dekodieren (entschlüsseln), Statistiken lesen und einige Probleme diagnostizieren.

Notiz: Eine gute Wahl als grundlegendes Tool zur Analyse des Netzwerkverkehrs in grafische Umgebung ist ein kostenloses Paket wireshark[43], verfügbar für Windows und in den Repositories einiger Linux-Distributionen.

tcpdump-Dienstprogramm

Das Konsolendienstprogramm tcpdump ist in den meisten Unix-Systemen enthalten und ermöglicht das Abfangen und Anzeigen von Netzwerkverkehr [44]. Das Dienstprogramm verwendet libpcap, eine portable C/C++-Bibliothek, um den Netzwerkverkehr zu erfassen.

Um tcpdump unter Debian zu installieren, können Sie den folgenden Befehl verwenden:

# apt-get install tcpdump

Um dieses Dienstprogramm auszuführen, müssen Sie über Rechte verfügen Superuser(insbesondere aufgrund der Notwendigkeit, den Netzwerkadapter in den „Promiscuous“-Modus zu versetzen). Im Allgemeinen ist das Befehlsformat wie folgt:

tcpdump<опции> <фильтр-выражение>

Für die Konsolenausgabe Header-Beschreibung(entschlüsselte Daten) der abgefangenen Pakete müssen Sie eine Schnittstelle für die Verkehrsanalyse angeben (Option -i):

# tcpdump -i eth0

Sie können die Umwandlung von IP-Adressen in Domänennamen deaktivieren (da große Datenmengen eine große Anzahl von Anfragen an den DNS-Server erzeugen) – Option -n:

# tcpdump -n -i eth0

Um Daten auf Verbindungsebene (z. B. Mac-Adressen usw.) auszugeben, verwenden Sie die Option -e:

# tcpdump -en -i eth0

Zusätzliche Informationen drucken (z. B. TTL, IP-Optionen) - Option -v:

# tcpdump -ven -i eth0

Erhöhen der Größe der erfassten Pakete (standardmäßig mehr als 68 Byte) – Option -s, die die Größe angibt (-s 0 – ganze Pakete erfassen):

Schreiben in eine Datei (direkte Pakete - „dump“) – Option -w, die den Dateinamen angibt:

# tcpdump -w traf.dump

Pakete aus einer Datei lesen – Option – r unter Angabe des Dateinamens:

# tcpdump -r traf.dump

Standardmäßig wird tcpdump im Promiscuous-Modus ausgeführt. Der Schalter -p weist tcpdump an, nur für diesen Host bestimmten Datenverkehr abzufangen.

Weitere Informationen zu TCPdump-Filterschaltern und -Formaten finden Sie im Referenzhandbuch (man tcpdump).

Verkehrsanalyse auf Netzwerkschnittstellenebene und Netzwerkebene mit tcpdump

Zur Zuweisung von Ethernet-Frames werden die folgenden tcpdump-Konstrukte verwendet (allgemeine Ansicht):

tcpdump ether ( src | dst | host ) MAC_ADDRESS

wobei src die Quell-MAC-Adresse ist, dst- Ziel-MAC-Adresse, Host - src oder dst sowie zur Hervorhebung des Rundfunkverkehrs.

Ministerium für Bildung und Wissenschaft der Russischen Föderation

Staatliche Bildungseinrichtung „Staatliche Polytechnische Universität St. Petersburg“

Tscheboksary-Institut für Wirtschaft und Management (Zweigstelle)

Abteilung für Höhere Mathematik und Informationstechnologien

ABSTRAKT

im Kurs „Informationssicherheit“.

zum Thema: „Netzwerkanalysatoren“

Vollendet

Student im 4. Jahr, Gehalt 080502-51M

Schwerpunkt „Management“

bei einem Maschinenbauunternehmen“

Pawlow K.V.

Geprüft

Lehrer

Tscheboksary 2011

EINFÜHRUNG

Ethernet-Netzwerke erfreuen sich aufgrund ihres guten Durchsatzes, der einfachen Installation und der angemessenen Kosten für die Installation von Netzwerkgeräten großer Beliebtheit.
Allerdings ist die Ethernet-Technologie nicht ohne erhebliche Nachteile. Der Hauptgrund ist die Unsicherheit der übermittelten Informationen. Mit einem Ethernet-Netzwerk verbundene Computer sind in der Lage, an ihre Nachbarn gerichtete Informationen abzufangen. Der Grund dafür ist der sogenannte Broadcast-Messaging-Mechanismus, der in Ethernet-Netzwerken zum Einsatz kommt.

Die Verbindung von Computern in einem Netzwerk bricht mit den alten Grundsätzen der Informationssicherheit. Zum Beispiel über statische Sicherheit. In der Vergangenheit konnte eine Systemschwachstelle vom Systemadministrator durch die Installation des entsprechenden Updates entdeckt und behoben werden, der die Funktionalität des installierten „Patches“ erst mehrere Wochen oder Monate später überprüfen konnte. Dieser „Patch“ könnte jedoch vom Benutzer versehentlich oder während der Arbeit oder von einem anderen Administrator bei der Installation neuer Komponenten entfernt worden sein. Alles ändert sich, und mittlerweile verändern sich die Informationstechnologien so schnell, dass statische Sicherheitsmechanismen keine vollständige Systemsicherheit mehr bieten.

Bis vor Kurzem waren Firewalls der wichtigste Mechanismus zum Schutz von Unternehmensnetzwerken. Allerdings erweisen sich Firewalls, die zum Schutz der Informationsressourcen eines Unternehmens konzipiert sind, häufig selbst als angreifbar. Dies liegt daran, dass Systemadministratoren so viele Vereinfachungen im Zugangssystem vornehmen, dass die Steinmauer des Sicherheitssystems irgendwann voller Löcher wird, wie ein Sieb. Der Firewall-Schutz (Firewall) ist für Unternehmensnetzwerke mit hohem Datenverkehr möglicherweise nicht praktikabel, da die Verwendung mehrerer Firewalls die Netzwerkleistung erheblich beeinträchtigen kann. In manchen Fällen ist es besser, „die Türen weit offen zu lassen“ und sich auf Methoden zur Erkennung und Reaktion auf Netzwerkeinbrüche zu konzentrieren.

Für die ständige (24 Stunden am Tag, 7 Tage die Woche, 365 Tage im Jahr) Überwachung eines Unternehmensnetzwerks zur Erkennung von Angriffen sind „aktive“ Schutzsysteme konzipiert – Angriffserkennungssysteme. Diese Systeme erkennen Angriffe auf Unternehmensnetzwerkknoten und reagieren darauf in einer vom Sicherheitsadministrator festgelegten Weise. Sie unterbrechen beispielsweise die Verbindung zum angreifenden Knoten, informieren den Administrator oder tragen Informationen über den Angriff in die Protokolle ein.

1. NETZWERKANALYSATOREN

1.1 IP - ALARM 1 ODER ERSTER NETZWERKMONITOR

Zunächst sollten wir ein paar Worte zum Lokalrundfunk sagen. In einem Ethernet-Netzwerk nutzen die daran angeschlossenen Computer normalerweise dasselbe Kabel, das als Medium zum Senden von Nachrichten zwischen ihnen dient.

Wer eine Nachricht über einen gemeinsamen Kanal übermitteln möchte, muss zunächst sicherstellen, dass dieser Kanal zu einem bestimmten Zeitpunkt frei ist. Nach Beginn der Übertragung hört der Computer die Trägerfrequenz des Signals ab und stellt fest, ob das Signal durch Kollisionen mit anderen Computern, die gleichzeitig ihre Daten übertragen, verzerrt wurde. Kommt es zu einer Kollision, wird die Übertragung unterbrochen und der Computer „schweigt“ für eine gewisse Zeit, um etwas später zu versuchen, die Übertragung zu wiederholen. Wenn ein an ein Ethernet-Netzwerk angeschlossener Computer selbst nichts sendet, „lauscht“ er dennoch weiterhin alle Nachrichten, die von benachbarten Computern über das Netzwerk gesendet werden. Nachdem der Computer seine Netzwerkadresse im Header der eingehenden Daten erkannt hat, kopiert er diesen Teil in seinen lokalen Speicher.

Es gibt im Wesentlichen zwei Möglichkeiten, Computer mit einem Ethernet-Netzwerk zu verbinden. Im ersten Fall werden Computer über ein Koaxialkabel verbunden. Dieses Kabel wird von Computer zu Computer verlegt, mit einem T-förmigen Stecker an Netzwerkadapter angeschlossen und endet an den Enden mit BNC-Abschlusswiderständen. Diese Topologie wird in der Fachsprache als Ethernet 10Base2-Netzwerk bezeichnet. Man kann es aber auch von einem Netzwerk sprechen, in dem „jeder jeden hört“. Jeder mit einem Netzwerk verbundene Computer ist in der Lage, Daten abzufangen, die von einem anderen Computer über dieses Netzwerk gesendet werden. Im zweiten Fall ist jeder Computer über ein Twisted-Pair-Kabel mit einem separaten Port eines zentralen Schaltgeräts – einem Hub oder einem Switch – verbunden. In solchen Netzwerken, sogenannten Ethernet-LOBaseT-Netzwerken, werden Computer in Gruppen unterteilt, die als Kollisionsdomänen bezeichnet werden. Kollisionsdomänen werden durch Hub- oder Switch-Ports definiert, die mit einem gemeinsamen Bus verbunden sind. Dadurch kommt es nicht zu Kollisionen zwischen allen Computern im Netzwerk. und separat – zwischen denen, die Teil derselben Kollisionsdomäne sind, was den Durchsatz des Netzwerks als Ganzes erhöht.

In letzter Zeit taucht in großen Netzwerken eine neue Art von Switches auf, die kein Broadcasting nutzen und keine Portgruppen untereinander schließen. Stattdessen werden alle über das Netzwerk gesendeten Daten im Speicher zwischengespeichert und so schnell wie möglich gesendet. Allerdings gibt es immer noch eine ganze Reihe solcher Netzwerke – nicht mehr als 5 % der Gesamtzahl der Ethernet-Netzwerke.

Daher erfordert der in den meisten Ethernet-Netzwerken verwendete Datenübertragungsalgorithmus, dass jeder mit dem Netzwerk verbundene Computer ausnahmslos kontinuierlich den gesamten Netzwerkverkehr „abhört“. Die von manchen vorgeschlagenen Zugriffsalgorithmen, bei denen Computer vom Netzwerk getrennt würden, während sie die Nachrichten „anderer Personen“ übermitteln, blieben aufgrund ihrer übermäßigen Komplexität, hohen Implementierungskosten und geringen Effizienz unrealisiert.

Was ist IPAlert-1 und wo kommt es her? Es war einmal, dass die praktische und theoretische Forschung der Autoren auf dem Gebiet der Netzwerksicherheit zu folgender Idee führte: Im Internet sowie in anderen Netzwerken (z. B. Novell NetWare, Windows NT) Es bestand ein erheblicher Mangel an Sicherheitssoftware, die dies tun würde Komplex Kontrolle (Überwachung) auf Verbindungsebene des gesamten über das Netzwerk übertragenen Informationsflusses, um alle in der Literatur beschriebenen Arten von Fernauswirkungen zu erkennen. Eine Untersuchung des Marktes für Internet-Netzwerksicherheitssoftware ergab, dass solche umfassenden Tools zur Remote-Angriffserkennung nicht existierten und dass diejenigen, die es gab, darauf ausgelegt waren, eine bestimmte Art von Angriff zu erkennen (z. B. ICMP Redirect oder ARP). Daher wurde mit der Entwicklung eines Überwachungstools für ein IP-Netzwerksegment begonnen, das für den Einsatz im Internet gedacht ist und den folgenden Namen erhielt: IP Alert-1 Netzwerksicherheitsmonitor.

Die Hauptaufgabe dieses Tools, das den Netzwerkverkehr in einem Übertragungskanal programmgesteuert analysiert, besteht nicht darin, über einen Kommunikationskanal ausgeführte Fernangriffe abzuwehren, sondern sie zu erkennen und zu protokollieren (Pflege einer Prüfdatei mit Protokollierung in einer für die spätere Visualisierung geeigneten Form). Analyse aller Ereignisse im Zusammenhang mit Remote-Angriffen auf ein bestimmtes Netzwerksegment) und sofortige Benachrichtigung des Sicherheitsadministrators, wenn ein Remote-Angriff erkannt wird. Die Hauptaufgabe des Netzwerksicherheitsmonitors IP Alert-1 besteht darin, die Sicherheit des entsprechenden Internetsegments zu überwachen.

Der Netzwerksicherheitsmonitor IP Alert-1 verfügt über die folgenden Funktionen und ermöglicht durch Netzwerkanalyse die Erkennung der folgenden Remote-Angriffe auf das von ihm kontrollierte Netzwerksegment:

1. Überwachung der Übereinstimmung von IP- und Ethernet-Adressen in Paketen, die von Hosts übertragen werden, die sich innerhalb des kontrollierten Netzwerksegments befinden.

Auf dem IP-Alert-1-Host erstellt der Sicherheitsadministrator eine statische ARP-Tabelle, in die er Informationen über die entsprechenden IP- und Ethernet-Adressen von Hosts eingibt, die sich innerhalb des kontrollierten Netzwerksegments befinden.

Diese Funktion ermöglicht es Ihnen, eine unbefugte Änderung der IP-Adresse oder deren Ersetzung (sog. IP-Spoofing, Spoofing, IP-Spoofing (jarg)) zu erkennen.

2. Überwachung der korrekten Verwendung des Remote-ARP-Suchmechanismus. Mit dieser Funktion können Sie einen Remote-False-ARP-Angriff mithilfe einer statischen ARP-Tabelle erkennen.

3. Überwachung der korrekten Verwendung des Remote-DNS-Suchmechanismus. Mit dieser Funktion können Sie alle möglichen Arten von Remote-Angriffen auf den DNS-Dienst identifizieren

4. Überwachung der Korrektheit von Remote-Verbindungsversuchen durch Analyse übermittelter Anfragen. Mit dieser Funktion können Sie erstens einen Versuch erkennen, das Gesetz der Änderung des Anfangswerts der TCP-Verbindungskennung (ISN) zu untersuchen, zweitens einen Remote-Denial-of-Service-Angriff, der durch Überlaufen der Verbausgeführt wird, und drittens einen gerichteten „Sturm“ falscher Verbindungsanfragen (sowohl TCP als auch UDP), was ebenfalls zu einem Denial-of-Service führt.

Somit können Sie mit dem Netzwerksicherheitsmonitor IP Alert-1 die meisten Arten von Remote-Angriffen erkennen, benachrichtigen und aufzeichnen. Dieses Programm stellt jedoch keineswegs eine Konkurrenz zu Firewall-Systemen dar. IP Alert-1, das die Funktionen von Fernangriffen im Internet nutzt, dient als notwendige Ergänzung – übrigens unvergleichlich günstiger – zu Firewall-Systemen. Ohne einen Sicherheitsmonitor bleiben die meisten Versuche, Remote-Angriffe auf Ihr Netzwerksegment zu starten, Ihren Augen verborgen. Keine der bekannten Firewalls beschäftigt sich mit einer so intelligenten Analyse von Nachrichten, die das Netzwerk passieren, um verschiedene Arten von Remote-Angriffen zu identifizieren, und beschränkt sich bestenfalls auf die Führung eines Protokolls, das Informationen über Versuche zum Erraten von Passwörtern, Port-Scans und Netzwerk-Scans aufzeichnet mit der Verwendung bekannter Fernsuchprogramme. Wenn ein IP-Netzwerkadministrator bei Fernangriffen auf sein Netzwerk nicht gleichgültig bleiben und sich mit der Rolle eines einfachen Statisten begnügen möchte, empfiehlt es sich für ihn, den Netzwerksicherheitsmonitor IP Alert-1 zu verwenden.

Das Beispiel von IPAlert-1 zeigt also, welch wichtige Rolle Netzwerkmonitore bei der Gewährleistung der Netzwerksicherheit einnehmen.

Natürlich unterstützen moderne Netzwerkmonitore viel mehr Funktionen, und davon gibt es selbst eine ganze Menge. Es gibt einfachere Systeme, die etwa 500 US-Dollar kosten, aber es gibt auch sehr leistungsstarke Systeme, die mit Expertensystemen ausgestattet sind, die leistungsstarke heuristische Analysen durchführen können. Ihre Kosten sind um ein Vielfaches höher – ab 75.000 US-Dollar.

1.2 FÄHIGKEITEN MODERNER NETZWERKANALYSATOREN

Moderne Monitore unterstützen per Definition viele andere Funktionen neben ihren Grundfunktionen (die ich für IP Alert-1 überprüft habe). Zum Beispiel Kabelscannen.

Netzwerkstatistiken (Segmentauslastungsrate, Kollisionsniveau, Fehlerrate und Broadcast-Verkehrsniveau, Bestimmung der Signalausbreitungsgeschwindigkeit); Die Aufgabe all dieser Indikatoren besteht darin, dass wir bei Überschreitung bestimmter Schwellenwerte über Probleme im Segment sprechen können. Dazu gehört in der Literatur auch die Überprüfung der Legitimität von Netzwerkadaptern, wenn plötzlich ein „verdächtiger“ auftaucht (Überprüfung anhand der MAC-Adresse usw.).

Statistik fehlerhafter Frames. Kurze Frames sind Frames, die kürzer als die maximale Länge sind, also weniger als 64 Byte. Dieser Frame-Typ ist in zwei Unterklassen unterteilt: kurze Frames mit korrekter Prüfsumme und kurze Frames (Runts), die keine korrekte Prüfsumme haben. Der wahrscheinlichste Grund für das Auftreten solcher „Mutanten“ ist eine Fehlfunktion der Netzwerkadapter. Verlängerte Frames, die auf eine lange Übertragung zurückzuführen sind und auf Probleme mit den Adaptern hinweisen. Geisterbilder, die durch Störungen am Kabel entstehen. Die normale Frame-Fehlerrate in einem Netzwerk sollte nicht höher als 0,01 % sein. Liegt er höher, liegt entweder ein technischer Fehler im Netzwerk vor oder es liegt ein unbefugter Einbruch vor.

Kollisionsstatistik. Zeigt die Anzahl und Art der Kollisionen in einem Netzwerksegment an und ermöglicht es Ihnen, das Vorhandensein eines Problems und seinen Standort zu bestimmen. Kollisionen können lokal (in einem Segment) und entfernt (in einem anderen Segment relativ zum Monitor) sein. Normalerweise sind alle Kollisionen in Ethernet-Netzwerken remote. Die Kollisionsintensität sollte 5 % nicht überschreiten, Spitzenwerte über 20 % deuten auf schwerwiegende Probleme hin.

Es gibt noch viele weitere mögliche Funktionen; es ist einfach unmöglich, sie alle aufzuzählen.

Ich möchte darauf hinweisen, dass Monitore sowohl in Software als auch in Hardware erhältlich sind. Allerdings spielen sie tendenziell eher eine statistische Funktion. Zum Beispiel der LANtern-Netzwerkmonitor. Es handelt sich um ein einfach zu installierendes Hardwaregerät, das Vorgesetzten und Serviceorganisationen dabei hilft, Netzwerke mehrerer Anbieter zentral zu verwalten und zu unterstützen. Es sammelt Statistiken und identifiziert Trends, um die Netzwerkleistung und -erweiterung zu optimieren. Netzwerkinformationen werden auf der zentralen Netzwerkverwaltungskonsole angezeigt. Daher bieten Hardware-Monitore keinen ausreichenden Informationsschutz.

Microsoft Windows enthält einen Netzwerkmonitor (NetworkMonitor), der jedoch schwerwiegende Schwachstellen enthält, auf die ich weiter unten eingehen werde.

Reis. 1. Netzwerkmonitor für WINDOWS OS NT-Klasse.

Die Programmoberfläche ist im Handumdrehen etwas schwer zu beherrschen.

Reis. 2. Zeigen Sie Frames im WINDOWS-Netzwerkmonitor an.

Die meisten Hersteller streben mittlerweile danach, ihren Monitoren eine einfache und benutzerfreundliche Oberfläche zu verleihen. Ein weiteres Beispiel ist der NetPeeker-Monitor (nicht so reich an zusätzlichen Funktionen, aber dennoch):

Reis. 3. Benutzerfreundliche Oberfläche des NetPeeker-Monitors.

Ich werde ein Beispiel für die Schnittstelle eines komplexen und teuren NetForensics-Programms (95.000 US-Dollar) geben:

Abb.4. NetForensics-Schnittstelle.

Den heutigen Trends zufolge müssen Monitore über bestimmte obligatorische „Fähigkeiten“ verfügen:

1. Mindestens:

• Festlegen von Vorlagen für die Verkehrsfilterung;
• zentralisierte Verwaltung von Tracking-Modulen;
• Filterung und Analyse einer Vielzahl von Netzwerkprotokollen, inkl. TCP, UDP und ICMP;
• Filtern des Netzwerkverkehrs nach Protokoll, Ports und IP-Adressen des Absenders und Empfängers;
• abnormale Beendigung der Verbindung mit dem angreifenden Knoten;
• Firewall- und Router-Management;
• Festlegen von Skripten zur Verarbeitung von Angriffen;
• Aufzeichnen eines Angriffs zur weiteren Wiedergabe und Analyse;
• Unterstützung für Ethernet-, Fast Ethernet- und Token Ring-Netzwerkschnittstellen;
• keine Notwendigkeit, spezielle Hardware zu verwenden;
• Aufbau einer sicheren Verbindung zwischen Systemkomponenten und anderen Geräten;
• Verfügbarkeit einer umfassenden Datenbank aller erkannten Angriffe;
• minimale Reduzierung der Netzwerkleistung;
• mit einem Tracking-Modul von mehreren Steuerkonsolen aus arbeiten;
• leistungsstarkes System zur Berichterstellung;
• Benutzerfreundlichkeit und intuitive grafische Benutzeroberfläche;
• geringe Systemanforderungen an Soft- und Hardware.

2. Berichte erstellen können:

• Verteilung des Datenverkehrs nach Benutzern;
• Verteilung des Datenverkehrs nach IP-Adressen;
• Verkehrsverteilung zwischen Diensten;
• Verkehrsverteilung nach Protokoll;
• Traffic-Verteilung nach Datentyp (Bilder, Videos, Texte, Musik);
• Verteilung des Datenverkehrs nach von Benutzern verwendeten Programmen;
• Verkehrsverteilung nach Tageszeit;
• Verkehrsverteilung nach Wochentagen;
• Verkehrsverteilung nach Datum und Monat;
• Verteilung des Datenverkehrs auf die vom Benutzer besuchten Websites;
• Autorisierungsfehler im System;
• Ein- und Ausgänge aus dem System.

Beispiele für spezifische Angriffe, die Netzwerkmonitore erkennen können:

"Denial of Service". Jede Aktion oder Abfolge von Aktionen, die dazu führt, dass ein Teil des angegriffenen Systems ausfällt und seine Funktionen nicht mehr erfüllt. Der Grund kann ein unbefugter Zugriff, eine Verzögerung des Dienstes usw. sein. Beispiele hierfür sind SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke)-Angriffe usw.

" Nicht autorisiert Zugang " (Unberechtigter Zugriffsversuch). Jede Aktion oder Aktionsfolge, die zu einem Versuch führt, Dateien zu lesen oder Befehle auf eine Weise auszuführen, die die festgelegte Sicherheitsrichtlinie umgeht. Dazu gehören auch Versuche eines Angreifers, sich größere Rechte als die vom Systemadministrator festgelegten zu verschaffen. Ein Beispiel wären FTP-Root-Angriffe, E-Mail-WIZ-Angriffe usw.

„Sonde vor dem Angriff“
Jede Aktion oder Abfolge von Aktionen, um Informationen AUS oder ÜBER das Netzwerk zu erhalten (z. B. Benutzernamen und Passwörter), die anschließend für unbefugten Zugriff verwendet werden. Ein Beispiel wäre das Scannen von Ports (Port-Scan), das Scannen mit dem SATAN-Programm (SATAN-Scan) usw.

"Verdächtige Aktivität"
Netzwerkverkehr, der nicht unter die Definition von „Standard“-Verkehr fällt. Kann auf verdächtige Online-Aktivitäten hinweisen. Ein Beispiel wären die Ereignisse Duplicate IP Address, IP Unknown Protocol usw.

„Protokollanalyse“ (Protokolldekodierung. Netzwerkaktivität, die zur Durchführung einer der oben genannten Angriffsarten genutzt werden kann. Kann auf verdächtige Online-Aktivitäten hinweisen. Ein Beispiel wären die Ereignisse FTP-Benutzerdekodierung, Portmapper-Proxy-Dekodierung usw.

1.3 Gefahren bei der Verwendung von Netzwerkmonitoren

Auch der Einsatz von Netzwerkmonitoren birgt potenzielle Gefahren. Schon allein deshalb, weil eine große Menge an Informationen durch sie hindurchgeht, darunter auch vertrauliche Informationen. Schauen wir uns ein Beispiel für eine Schwachstelle an, die den oben genannten NetworkMonitor verwendet, der zur Windows NT-Familie gehört. Dieser Monitor verfügt über ein sogenanntes HEX-Panel (siehe Abb. 2), mit dem Sie Rahmendaten in Form von ASCII-Text sehen können. Hier können Sie beispielsweise unverschlüsselte Passwörter sehen, die im Netzwerk herumschwirren. Sie können beispielsweise versuchen, die Pakete der Eudora-Mail-Anwendung zu lesen. Nach einiger Zeit können Sie sicher sehen, wie sie sich öffnen. Sie müssen jedoch immer auf der Hut sein, da eine Verschlüsselung nicht hilft. Hier gibt es zwei mögliche Fälle. In der Literatur gibt es den umgangssprachlichen Begriff „Obszönität“ – dabei handelt es sich um einen Nachbarn einer bestimmten Maschine im selben Segment, auf demselben Hub oder, wie es jetzt genannt wird, einem Switch. Wenn also eine „fortgeschrittene“ „Obszönität“ beschlossen hat, den Netzwerkverkehr zu scannen und Passwörter herauszufischen, kann der Administrator einen solchen Angreifer leicht identifizieren, da der Monitor die Identifizierung der Benutzer unterstützt, die ihn verwenden. Sie müssen nur einen Knopf drücken und schon öffnet sich vor dem Administrator eine Liste mit „obszönen Hackern“. Wesentlich komplizierter ist die Situation, wenn ein Angriff von außen, beispielsweise aus dem Internet, erfolgt. Die vom Monitor bereitgestellten Informationen sind äußerst aufschlussreich. Es wird eine Liste aller erfassten Frames, Sequenznummern der Frames, Zeiten ihrer Erfassung und sogar MAC-Adressen von Netzwerkadaptern angezeigt, wodurch Sie den Computer ganz genau identifizieren können. Die detaillierte Informationstafel enthält das „Innere“ des Rahmens – eine Beschreibung seiner Titel usw. Auch einem neugierigen Anfänger wird hier vieles bekannt vorkommen.

Angriffe von außen sind weitaus gefährlicher, da es in der Regel sehr, sehr schwierig ist, den Angreifer zu identifizieren. Zum Schutz müssen Sie in diesem Fall einen Passwortschutz auf dem Monitor verwenden. Wenn der Network Monitor-Treiber installiert und das Passwort nicht festgelegt ist, kann jeder, der den Network Monitor aus derselben Distribution (dem gleichen Programm) auf einem anderen Computer verwendet, dem ersten Computer beitreten und ihn zum Abfangen von Daten im Netzwerk verwenden. Darüber hinaus muss der Netzwerkmonitor die Möglichkeit bieten, andere Installationen im lokalen Netzwerksegment zu erkennen. Allerdings hat dies auch seine eigene Komplexität. In einigen Fällen unterdrückt die Netzwerkarchitektur möglicherweise die Erkennung einer installierten Kopie von Network Monitor durch eine andere. Wenn beispielsweise eine installierte Kopie von Network Monitor von einer zweiten Kopie durch einen Router getrennt wird, der keine Multicast-Nachrichten zulässt, kann die zweite Kopie von Network Monitor die erste nicht erkennen.

Hacker und andere Angreifer verschwenden keine Zeit. Sie suchen ständig nach immer neuen Möglichkeiten, Netzwerkmonitore zu deaktivieren. Es stellt sich heraus, dass es viele Möglichkeiten gibt, angefangen beim Deaktivieren des Monitors durch Überlaufen seines Puffers bis hin zur Tatsache, dass Sie den Monitor zwingen können, jeden von einem Angreifer gesendeten Befehl auszuführen.

Es gibt spezielle Labore, die die Softwaresicherheit analysieren. Ihre Berichte sind alarmierend, da es häufig zu schwerwiegenden Verstößen kommt. Beispiele für echte Lücken in echten Produkten:

1. RealSecure ist ein kommerzielles Intrusion Detection System (IDS) von ISS.

RealSecure verhält sich bei der Verarbeitung einiger mit dem System bereitgestellter DHCP-Signaturen (DHCP_ACK – 7131, DHCP_Discover – 7132 und DHCP_REQUEST – 7133) instabil. Durch das Senden böswilligen DHCP-Verkehrs ermöglicht die Schwachstelle einem Remote-Angreifer, das Programm zu stören. Sicherheitslücke in Internet Security Systems RealSecure Network Sensor 5.0 XPU 3.4-6.5 entdeckt

2. Programm: RealSecure 4.9 Netzwerkmonitor

Gefahr: Hoch; Vorhandensein eines Exploits: Nein.

Beschreibung: In RS wurden mehrere Schwachstellen entdeckt. Der Remote-Benutzer kann den Standort des Geräts bestimmen. Der Remote-Benutzer kann auch die Gerätekonfiguration definieren und ändern.

Lösung: Installieren Sie eine aktualisierte Version des Programms. Kontaktieren Sie den Hersteller.

1.4 PROTOKOLLANALYSATOREN, IHRE VORTEILE, GEFAHREN UND METHODEN ZUM SCHUTZ GEGEN GEFAHREN

Protokollanalysatoren sind eine separate Softwareklasse, obwohl sie im Wesentlichen eine Untergruppe der Netzwerkmonitore darstellen. In jeden Monitor sind mindestens mehrere Protokollanalysatoren integriert. Warum sollten Sie sie dann verwenden, wenn Sie mithilfe von Netzwerkmonitoren ein anständigeres System implementieren können? Erstens ist die Installation eines leistungsstarken Monitors nicht immer ratsam, und zweitens kann es sich nicht jedes Unternehmen leisten, einen für Tausende von Dollar zu kaufen. Manchmal stellt sich die Frage: Ist der Monitor selbst nicht teurer als die Informationen, die er schützen soll? In solchen (oder ähnlichen) Fällen kommen Protokollanalysatoren in Reinform zum Einsatz. Ihre Rolle ähnelt der Rolle von Monitoren.

Der Netzwerkadapter jedes Computers in einem Ethernet-Netzwerk „hört“ in der Regel alles, worüber seine Nachbarn im Segment dieses Netzwerks untereinander „sprechen“. Aber es verarbeitet und speichert nur die Datenteile (sogenannte Frames) in seinem lokalen Speicher, die eine eindeutige, ihm im Netzwerk zugewiesene Adresse enthalten. Darüber hinaus ermöglicht die überwiegende Mehrheit moderner Ethernet-Adapter den Betrieb in einem speziellen Modus namens Promiscuous. Bei Verwendung kopiert der Adapter alle über das Netzwerk übertragenen Datenrahmen in den lokalen Speicher des Computers. Spezialisierte Programme, die den Netzwerkadapter in den Promiscuous-Modus versetzen und den gesamten Netzwerkverkehr für die anschließende Analyse sammeln, werden als Protokollanalysatoren bezeichnet.

Letztere werden häufig von Netzwerkadministratoren verwendet, um den Betrieb dieser Netzwerke zu überwachen. Leider werden Protokollanalysatoren auch von Angreifern eingesetzt, die damit Passwörter und andere vertrauliche Informationen anderer Personen abfangen können.

Es ist zu beachten, dass Protokollanalysatoren eine ernsthafte Gefahr darstellen. Der Protokollanalysator könnte von einem Außenstehenden installiert worden sein, der von außen in das Netzwerk eingedrungen ist (z. B. wenn das Netzwerk Zugang zum Internet hat). Dies könnte aber auch das Werk eines „einheimischen“ Angreifers mit legalem Zugriff auf das Netzwerk sein. In jedem Fall sollte die aktuelle Situation ernst genommen werden. Computersicherheitsexperten klassifizieren Angriffe auf Computer mithilfe von Protokollanalysatoren als sogenannte Second-Level-Angriffe. Dies bedeutet, dass es einem Computerhacker bereits gelungen ist, die Sicherheitsbarrieren des Netzwerks zu durchbrechen, und nun versucht, seinen Erfolg auszubauen. Mithilfe eines Protokollanalysators kann versucht werden, Benutzeranmeldungen und Passwörter, sensible Finanzdaten (z. B. Kreditkartennummern) und sensible Kommunikation (z. B. E-Mails) abzufangen. Bei ausreichenden Ressourcen kann ein Computerangreifer grundsätzlich alle über das Netzwerk übertragenen Informationen abfangen.

Für jede Plattform gibt es Protokollanalysatoren. Aber auch wenn sich herausstellt, dass für eine bestimmte Plattform noch kein Protokollanalysator geschrieben wurde, muss dennoch die Bedrohung berücksichtigt werden, die von einem Angriff auf ein Computersystem mithilfe eines Protokollanalysators ausgeht. Tatsache ist, dass Protokollanalysatoren nicht einen bestimmten Computer, sondern Protokolle analysieren. Daher kann der Protokollanalysator in jedem Netzwerksegment installiert werden und von dort aus den Netzwerkverkehr abfangen, der durch Broadcast-Übertragungen jeden mit dem Netzwerk verbundenen Computer erreicht.

Das häufigste Angriffsziel von Computerhackern mit Protokollanalysatoren sind Universitäten. Schon alleine wegen der enormen Anzahl unterschiedlicher Logins und Passwörter, die bei einem solchen Angriff gestohlen werden können. Der Einsatz eines Protokollanalysators in der Praxis ist keine so einfache Aufgabe, wie es scheint. Um von einem Protokollanalysator profitieren zu können, muss ein Computerangreifer über ausreichende Kenntnisse der Netzwerktechnologie verfügen. Es ist unmöglich, einfach einen Protokollanalysator zu installieren und auszuführen, da selbst in einem kleinen lokalen Netzwerk mit fünf Computern der Datenverkehr Tausende und Abertausende Pakete pro Stunde beträgt. Und daher füllen die Ausgabedaten des Protokollanalysators in kurzer Zeit den verfügbaren Speicher bis zur Kapazitätsgrenze. Daher konfiguriert ein Computerangreifer normalerweise einen Protokollanalysator so, dass er nur die ersten 200–300 Bytes jedes über das Netzwerk übertragenen Pakets abfängt. Typischerweise befinden sich im Paket-Header Informationen über den Anmeldenamen und das Passwort des Benutzers, die für den Angreifer in der Regel am interessantesten sind. Wenn ein Angreifer jedoch über genügend Speicherplatz auf seiner Festplatte verfügt, wird ihm die Erhöhung des von ihm abgefangenen Datenverkehrsvolumens nur zugute kommen und ihm ermöglichen, viele interessante Dinge zu lernen.

In den Händen eines Netzwerkadministrators ist ein Protokollanalysator ein sehr nützliches Werkzeug, das ihm hilft, Probleme zu finden und zu beheben, Engpässe zu beseitigen, die den Netzwerkdurchsatz verringern, und Eindringlinge umgehend zu erkennen. Wie schützt man sich vor Eindringlingen? Folgendes können wir empfehlen. Generell gelten diese Tipps nicht nur für Analysegeräte, sondern auch für Monitore. Versuchen Sie zunächst, einen Netzwerkadapter zu bekommen, der im Promiscuous-Modus grundsätzlich nicht funktionieren kann. Solche Adapter gibt es in der Natur. Einige von ihnen unterstützen den Promiscuous-Modus auf Hardwareebene nicht (es gibt eine Minderheit), und der Rest ist lediglich mit einem speziellen Treiber ausgestattet, der den Betrieb im Promiscuous-Modus nicht zulässt, obwohl dieser Modus in der Hardware implementiert ist. Um einen Adapter ohne Promiscuous-Modus zu finden, wenden Sie sich einfach an den technischen Support eines Unternehmens, das Protokollanalysatoren verkauft, und finden Sie heraus, mit welchen Adaptern deren Softwarepakete nicht funktionieren. Zweitens, da die in den Tiefen von Microsoft- und Intel-Unternehmen erstellte PC99-Spezifikation das unbedingte Vorhandensein des Promiscuous-Modus in der Netzwerkkarte erfordert, sollten Sie einen modernen Netzwerk-Smart-Switch erwerben, der die über das Netzwerk übertragene Nachricht im Speicher puffert und sendet. soweit möglich, genau an die Adresse. Somit ist es nicht erforderlich, dass der Adapter den gesamten Datenverkehr „abhört“, um daraus Nachrichten zu extrahieren, deren Adressat dieser Computer ist. Drittens verhindern Sie die unbefugte Installation von Protokollanalysatoren auf Netzwerkcomputern. Hier sollten Sie Tools aus dem Arsenal verwenden, die zur Bekämpfung von Software-Lesezeichen und insbesondere von Trojanern (Installation von Firewalls) eingesetzt werden. Viertens: Verschlüsseln Sie den gesamten Netzwerkverkehr. Es gibt eine große Auswahl an Softwarepaketen, mit denen Sie dies recht effizient und zuverlässig erledigen können. Die Möglichkeit, E-Mail-Passwörter zu verschlüsseln, wird beispielsweise durch ein Add-on zum E-Mail-Protokoll POP (Post Office Protocol) bereitgestellt – das APOP-Protokoll (Authentication POP). Bei der Arbeit mit APOP wird jedes Mal eine neue verschlüsselte Kombination über das Netzwerk übertragen, wodurch der Angreifer keinen praktischen Nutzen aus den mit dem Protokollanalysator abgefangenen Informationen ziehen kann. Das einzige Problem besteht darin, dass heute nicht alle Mailserver und -clients APOP unterstützen.

Ein weiteres Produkt namens Secure Shell, kurz SSL, wurde ursprünglich von der legendären finnischen Firma SSH Communications Security (http://www.ssh.fi) entwickelt und verfügt mittlerweile über viele Implementierungen, die kostenlos über das Internet verfügbar sind. SSL ist ein sicheres Protokoll zur sicheren Übertragung von Nachrichten über ein Computernetzwerk mithilfe von Verschlüsselung.

Besonders bekannt sind Softwarepakete, die über ein Netzwerk übertragene Daten durch Verschlüsselung schützen sollen und die sich durch das Vorhandensein der Abkürzung PGP in ihrem Namen vereinen, die für Pretty Good Privacy steht.

Bemerkenswert ist, dass die Familie der Protokollanalysatoren würdige inländische Entwicklungen umfasst. Ein markantes Beispiel ist der multifunktionale Observer-Analysator (entwickelt von ProLAN).

Reis. 5. Schnittstelle des russischen Observer-Analysators.

Aber in der Regel haben die meisten Analysatoren eine viel einfachere Benutzeroberfläche und weniger Funktionen. Zum Beispiel das Ethereal-Programm.

Reis. 6. Schnittstelle des Fremd-Ethereal-Analysators.

ABSCHLUSS

Netzwerkmonitore sind ebenso wie Protokollanalysatoren ein leistungsstarkes und effektives Werkzeug zur Verwaltung von Computernetzwerken, da sie es Ihnen ermöglichen, viele Netzwerkbetriebsparameter wie Signalgeschwindigkeiten, Bereiche, in denen Kollisionen konzentriert sind, usw. genau zu beurteilen. Ihre Hauptaufgabe, die sie erfolgreich meistern, besteht jedoch darin, Angriffe auf Computernetzwerke zu erkennen und den Administrator anhand einer Verkehrsanalyse darüber zu informieren. Gleichzeitig ist der Einsatz dieser Softwaretools mit potenziellen Gefahren verbunden, da aufgrund der Tatsache, dass Informationen durch Monitore und Analysegeräte geleitet werden, eine unbefugte Erfassung dieser Informationen erfolgen kann. Der Systemadministrator muss dem Schutz seines Netzwerks die gebührende Aufmerksamkeit widmen und bedenken, dass ein kombinierter Schutz viel effektiver ist. Sie sollten bei der Auswahl einer Verkehrsanalysesoftware vorsichtig sein und sich dabei an den tatsächlichen Kosten der zu schützenden Informationen, der Wahrscheinlichkeit eines Eindringens, dem Wert der Informationen für Dritte, der Verfügbarkeit vorgefertigter Sicherheitslösungen und den Möglichkeiten orientieren des Budgets der Organisation. Eine kompetente Lösungswahl trägt dazu bei, die Wahrscheinlichkeit eines unbefugten Zugriffs zu verringern und ist finanziell nicht zu „schwer“. Sie sollten immer bedenken, dass es heute kein perfektes Sicherheitstool gibt, und das gilt natürlich auch für Monitore und Analysegeräte. Sie sollten immer bedenken, dass der Monitor, egal wie perfekt er ist, nicht auf neue Arten von Bedrohungen vorbereitet ist, für deren Erkennung er nicht programmiert wurde. Dementsprechend sollten Sie nicht nur den Schutz der Netzwerkinfrastruktur Ihres Unternehmens richtig planen, sondern auch die Aktualisierung der von Ihnen verwendeten Softwareprodukte ständig überwachen.

LITERATUR

1. Angriff im Internet. AUSWEIS. Medvedkovsky, P.V. Semyanov, D.G. Leonow. – 3. Aufl., gelöscht. – M.: DMK, 2000

2. Microsoft Windows 2000. Administratorhandbuch. Serie „ITProfessional“ (übersetzt aus dem Englischen). U.R. Stanek. – M.: Verlags- und Handelshaus „Russian Edition“, 2002.

3. Netzwerk-Grundlagen. E. Tittel, K. Hudson, J.M. Stewart. Pro. aus dem Englischen – St. Petersburg: Peter Publishing House, 1999

4. Informationen über Lücken in Softwareprodukten werden der SecurityLab-Serverdatenbank (www.securitylab.ru) entnommen.

5. Computernetzwerke. Theorie und Praxis. http://network-journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=3&pa=9&ar=1

6. Netzwerkanalyse. Artikel in 2 Teilen. http://www.ru-board.com/new/article.php?sid=120

7. Elektronisches Wörterbuch der Telekommunikationsbegriffe. http://europestar.ru/info/

8. Hardware- und Softwaremethoden zum Schutz vor Fernangriffen im Internet. http://personal.primorye.ru/desperado/Xattack/7.2.htm

9. Sicherheit im Netzwerkmonitor. Tutorial zu WindowsXP. http://www.soft32.ru/literature.shtml?topic=windows&book=WinXP&page=Glava16/Index0.htm&subpage=Glava16/Index52.htm

10. Dokumentation für den RealSecure-Monitor. Wird vom Hersteller auf Anfrage in elektronischer Form zur Verfügung gestellt.

11. Sicherheit von Computersystemen. Protokollanalysatoren. http://kiev-security.org.ua/box/12/130.shtml

12. Internetserver des russischen Entwicklers von Analysegeräten – der Firma „ProLAN“ http://www.prolan.ru/

allgemeine Informationen

Tools namens Netzwerkanalysatoren sind nach Sniffer Network Analyzer benannt. Dieses Produkt wurde 1988 von Network General (heute Network Associates) auf den Markt gebracht und war eines der ersten Geräte, mit dem Manager buchstäblich erfahren konnten, was in einem großen Netzwerk vor sich ging, ohne ihren Schreibtisch verlassen zu müssen. Die ersten Analysatoren lesen Nachrichtenköpfe in Datenpaketen, die über das Netzwerk gesendet werden, und versorgen Administratoren so mit Informationen über Absender- und Empfängeradressen, Dateigrößen und andere Informationen auf niedriger Ebene. Und das alles zusätzlich zur Überprüfung der Richtigkeit der Paketübertragung. Mithilfe von Grafiken und Textbeschreibungen unterstützten die Analysegeräte Netzwerkadministratoren bei der Diagnose von Servern, Netzwerkverbindungen, Hubs und Switches sowie Anwendungen. Grob gesagt lauscht oder „schnüffelt“ ein Netzwerkanalysator Pakete von einem bestimmten physischen Segment des Netzwerks. Dadurch können Sie den Datenverkehr auf bestimmte Muster analysieren, bestimmte Probleme beheben und verdächtige Aktivitäten identifizieren. Ein Netzwerk-Intrusion-Detection-System ist nichts anderes als ein fortschrittlicher Sniffer, der jedes Paket im Netzwerk mit einer Datenbank bekannter Muster böswilligen Datenverkehrs abgleicht, ähnlich wie ein Antivirenprogramm Dateien auf einem Computer bearbeitet. Im Gegensatz zu den zuvor beschriebenen Tools arbeiten Analysegeräte auf einer niedrigeren Ebene.

Wenn wir uns dem OSI-Referenzmodell zuwenden, prüfen die Analysatoren die beiden unteren Ebenen – physikalisch und Kanal.

BOC-Modellebenennummer	Levelname	Beispiele für Protokolle
Stufe 7	Anwendungsschicht	DNS, FTP, HTTP, SMTP, SNMP, Telnet
Stufe 6	Präsentationsfolie
Level 5	Sitzungsebene
Level 4	Transportschicht	NetBIOS, TCP, UDP
Stufe 3	Netzwerkschicht	ARP, IP, IPX, OSPF
Level 2	Datenübertragungsebene	Arcnet, Ethernet, Token-Ring
Level 1	Physikalische Schicht	Koaxialkabel, Glasfaser, Twisted Pair

Die physische Schicht ist die tatsächliche physische Verkabelung oder andere Medien, die zum Aufbau des Netzwerks verwendet werden. Auf der Datenverbindungsschicht werden Daten zunächst für die Übertragung über ein bestimmtes Medium codiert. Zu den Link-Layer-Netzwerkstandards gehören Wireless 802.11, Arcnet, Koaxialkabel, Ethernet, Token Ring und mehr. Analysatoren hängen typischerweise von der Art des Netzwerks ab, in dem sie betrieben werden. Um beispielsweise den Datenverkehr in einem Ethernet-Netzwerk zu analysieren, benötigen Sie einen Ethernet-Analysator.

Es gibt kommerzielle Analysatoren von Herstellern wie Fluke, Network General und anderen. Dabei handelt es sich in der Regel um kundenspezifische Hardwaregeräte, die Zehntausende von Dollar kosten können. Obwohl diese Hardware eine tiefergehende Analyse ermöglicht, ist es möglich, mithilfe von Open-Source-Software und einem kostengünstigen Intel-basierten PC einen kostengünstigen Netzwerkanalysator zu erstellen.

Arten von Analysatoren

Heutzutage werden viele Analysegeräte hergestellt, die in zwei Typen unterteilt werden. Die erste umfasst eigenständige Produkte, die auf einem mobilen Computer installiert sind. Der Berater kann es bei einem Besuch in der Praxis des Kunden mitnehmen und an das Netzwerk anschließen, um Diagnosedaten zu sammeln.

Ursprünglich waren tragbare Geräte zum Testen des Netzwerkbetriebs ausschließlich für die Überprüfung der technischen Parameter des Kabels konzipiert. Im Laufe der Zeit haben die Hersteller ihre Geräte jedoch mit einer Reihe von Protokollanalysefunktionen ausgestattet. Moderne Netzwerkanalysatoren sind in der Lage, ein breites Spektrum möglicher Probleme zu erkennen – von physischen Schäden am Kabel bis hin zur Überlastung der Netzwerkressourcen.

Der zweite Analysatortyp ist Teil einer breiteren Kategorie von Netzwerküberwachungshardware und -software, die es Unternehmen ermöglicht, ihre lokalen und Weitverkehrsnetzwerkdienste, einschließlich des Webs, zu überwachen. Diese Programme bieten Administratoren einen ganzheitlichen Überblick über den Zustand des Netzwerks. Mithilfe solcher Produkte können Sie beispielsweise feststellen, welche Anwendungen gerade ausgeführt werden, welche Benutzer im Netzwerk registriert sind und welcher von ihnen den Großteil des Datenverkehrs generiert.

Moderne Analysatoren identifizieren nicht nur Netzwerkmerkmale auf niedriger Ebene, wie die Quelle von Paketen und deren Ziel, sondern dekodieren auch die auf allen sieben Schichten des OSI-Netzwerkstapels (Open System Interconnection) erhaltenen Informationen und geben häufig Empfehlungen zur Fehlerbehebung. Wenn die Analyse auf Anwendungsebene keine angemessene Empfehlung ermöglicht, führen Analysatoren Untersuchungen auf einer niedrigeren Netzwerkebene durch.

Moderne Analysegeräte unterstützen in der Regel Fernüberwachungsstandards (Rmon und Rmon 2), die eine automatische Erfassung wichtiger Leistungsdaten ermöglichen, beispielsweise Informationen über die Auslastung der verfügbaren Ressourcen. Analysatoren, die Rmon unterstützen, können regelmäßig den Status von Netzwerkkomponenten überprüfen und die empfangenen Daten mit zuvor gesammelten Daten vergleichen. Bei Bedarf geben sie eine Warnung aus, wenn das Verkehrsaufkommen oder die Leistung die von Netzwerkadministratoren festgelegten Grenzen überschreiten.

NetScout Systems führte das nGenius Application Service Level Manager-System ein, das darauf ausgelegt ist, die Reaktionszeit in einzelnen Abschnitten des Zugriffskanals zu einer Website zu überwachen und die aktuelle Leistung von Servern zu ermitteln. Diese Anwendung kann die Leistung im öffentlichen Netzwerk analysieren, um das Gesamtbild auf dem Computer des Benutzers wiederherzustellen. Das dänische Unternehmen NetTest (ehemals GN Nettest) bietet ab sofort Fastnet an, ein Netzwerküberwachungssystem, das E-Business-Unternehmen dabei hilft, Kapazitäten zu planen und Netzwerkprobleme zu beheben.

Analyse konvergenter (Multiservice-)Netzwerke

Die Verbreitung von Multiservice-Netzen (konvergente Netze) kann in Zukunft entscheidende Auswirkungen auf die Entwicklung von Telekommunikationssystemen und Datenübertragungssystemen haben. Die Idee, die Fähigkeit zur Übertragung von Daten, Sprachströmen und Videoinformationen in einer einzigen Netzwerkinfrastruktur auf Basis eines Paketprotokolls zu vereinen, erwies sich für Anbieter, die sich auf die Bereitstellung von Telekommunikationsdiensten spezialisiert haben, als sehr verlockend, da dadurch das Angebot sofort deutlich erweitert werden kann der von ihnen angebotenen Dienstleistungen.

Während Unternehmen beginnen, die Effizienz- und Kostenvorteile konvergenter IP-Netzwerke zu erkennen, entwickeln Netzwerk-Tool-Anbieter aktiv entsprechende Analysegeräte. Im ersten Halbjahr führten viele Unternehmen Komponenten für ihre Netzwerkadministrationsprodukte ein, die für Voice-over-IP-Netzwerke konzipiert sind.

„Konvergenz hat zu neuen Komplexitäten geführt, mit denen Netzwerkadministratoren umgehen müssen“, sagte Glenn Grossman, Leiter Produktmanagement bei NetScout Systems. – Der Sprachverkehr reagiert sehr empfindlich auf Zeitverzögerungen. Analysatoren können jedes über eine Leitung gesendete Bit und Byte untersuchen, die Header interpretieren und automatisch die Priorität der Daten bestimmen.“

Der Einsatz von Sprach- und Datenkonvergenztechnologien könnte eine neue Welle des Interesses an Analysatoren auslösen, da die Priorisierung des Datenverkehrs auf IP-Paketebene für den Betrieb von Sprach- und Videodiensten von entscheidender Bedeutung wird. Sniffer Technologies hat beispielsweise Sniffer Voice veröffentlicht, ein Toolkit für Administratoren von Multiservice-Netzwerken. Dieses Produkt bietet nicht nur herkömmliche Diagnosedienste zur Verwaltung des E-Mail-, Internet- und Datenbankverkehrs, sondern identifiziert auch Netzwerkprobleme und empfiehlt Lösungen, um die korrekte Übertragung des Sprachverkehrs über IP-Netzwerke sicherzustellen.

Der Nachteil der Verwendung von Analysatoren

Man sollte bedenken, dass Analysegeräte zwei Seiten der Medaille haben. Sie helfen dabei, das Netzwerk am Laufen zu halten, können aber auch von Hackern genutzt werden, um Datenpakete nach Benutzernamen und Passwörtern zu durchsuchen. Um das Abfangen von Passwörtern durch Analysatoren zu verhindern, werden Paketheader verschlüsselt (z. B. mithilfe des Secure Sockets Layer-Standards).

Letztendlich gibt es in Situationen, in denen es darum geht, zu verstehen, was in einem globalen oder Unternehmensnetzwerk passiert, keine Alternative zu einem Netzwerkanalysator. Mit einem guten Analysator können Sie den Zustand eines Netzwerksegments verstehen und das Verkehrsaufkommen bestimmen. Außerdem können Sie feststellen, wie sich dieses Volumen im Laufe des Tages ändert, welche Benutzer die stärkste Belastung verursachen und in welchen Situationen es Probleme mit der Verkehrsverteilung gibt Bandbreitenengpässe. Durch den Einsatz eines Analysators ist es möglich, alle Daten eines Netzwerksegments für einen bestimmten Zeitraum zu erfassen und zu analysieren.

Allerdings sind Netzwerkanalysatoren teuer. Wenn Sie planen, eines zu kaufen, machen Sie sich zunächst klar, was Sie davon erwarten.

Merkmale der Verwendung von Netzwerkanalysatoren

Um Netzwerkanalysatoren ethisch und produktiv einzusetzen, müssen die folgenden Richtlinien befolgt werden.

Eine Genehmigung ist immer erforderlich

Die Netzwerkanalyse birgt, wie viele andere Sicherheitsfunktionen auch, das Potenzial für Missbrauch. Alles abfangen Über das Netzwerk übertragene Daten können Sie Passwörter für verschiedene Systeme, den Inhalt von E-Mail-Nachrichten und andere kritische interne und externe Daten ausspionieren, da die meisten Systeme ihren Datenverkehr im lokalen Netzwerk nicht verschlüsseln. Wenn solche Daten in die falschen Hände geraten, kann dies natürlich zu schwerwiegenden Sicherheitsverletzungen führen. Es kann auch eine Verletzung der Privatsphäre des Mitarbeiters sein. Bevor Sie mit solchen Aktivitäten beginnen, sollten Sie zunächst die schriftliche Genehmigung der Geschäftsleitung, vorzugsweise der Geschäftsleitung, einholen. Sie sollten auch überlegen, was mit den Daten nach dem Empfang geschehen soll. Neben Passwörtern können dies auch andere sensible Daten sein. Als allgemeine Regel gilt, dass Netzwerkanalyseprotokolle aus dem System gelöscht werden sollten, es sei denn, sie werden für die Straf- oder Zivilverfolgung benötigt. Es gibt dokumentierte Präzedenzfälle, in denen wohlmeinende Systemadministratoren wegen unbefugtem Abfangen von Daten entlassen wurden.

Sie müssen die Netzwerktopologie verstehen

Bevor Sie den Analysator einrichten, müssen Sie die physische und logische Organisation dieses Netzwerks vollständig verstehen. Wenn Sie die Analyse an der falschen Stelle im Netzwerk durchführen, können Sie Folgendes erreichen: fehlerhafte Ergebnisse oder einfach nicht das finden, was Sie brauchen. Es ist zu überprüfen, dass zwischen dem Analysearbeitsplatz und dem Beobachtungsort keine Router vorhanden sind. Router leiten den Datenverkehr nur dann an ein Netzwerksegment weiter, wenn ein Anruf an einen dort befindlichen Knoten erfolgt. Ebenso müssen Sie in einem Switch-Netzwerk den Port, mit dem Sie eine Verbindung herstellen, als „Monitor“- oder „Mirror“-Port konfigurieren. Verschiedene Hersteller verwenden unterschiedliche Terminologien, aber im Wesentlichen muss der Port als Hub und nicht als Switch fungieren, da er den gesamten Datenverkehr durch den Switch sehen muss, nicht nur den, der zur Workstation geleitet wird. Ohne diese Einstellung sieht der Monitor-Port nur, was an den Port weitergeleitet wird, mit dem er verbunden ist, und den Netzwerk-Broadcast-Verkehr.

Es müssen strenge Suchkriterien verwendet werden

Je nachdem, was Sie finden möchten, führt die Verwendung eines offenen Filters (d. h. die Anzeige von allem) dazu, dass die Ausgabe groß und schwer zu analysieren ist. Es ist besser, spezielle Suchkriterien zu verwenden, um die Ausgabe des Analysators zu reduzieren. Auch wenn Sie nicht genau wissen, wonach Sie suchen sollen, können Sie dennoch einen Filter schreiben, um die Suchergebnisse einzuschränken. Wenn Sie einen internen Computer finden müssen, ist es richtig, die Kriterien so festzulegen, dass nur nach Quelladressen innerhalb eines bestimmten Netzwerks gesucht wird. Wenn Sie eine bestimmte Art von Datenverkehr überwachen müssen, beispielsweise FTP-Datenverkehr, können Sie die Ergebnisse auf den Datenverkehr beschränken, der über den von der Anwendung verwendeten Port eingeht. Dadurch können Sie deutlich bessere Analyseergebnisse erzielen.

Festlegen des Netzwerkreferenzstatus

Verwendung eines Netzwerkanalysators im Normalbetrieb , und durch die Aufzeichnung der Endergebnisse wird ein Referenzzustand erreicht, der mit den Ergebnissen verglichen werden kann, die bei Versuchen zur Eingrenzung des Problems erzielt wurden. Der unten besprochene Ethereal-Analysator erstellt hierfür einige praktische Berichte. Einige Daten werden auch erfasst, um die Netzwerknutzung im Laufe der Zeit zu verfolgen. Anhand dieser Daten können Sie feststellen, wann das Netzwerk ausgelastet ist und was die Hauptgründe dafür sind – ein überlasteter Server, ein Anstieg der Benutzerzahl, eine Änderung der Art des Datenverkehrs usw. Wenn es einen Ausgangspunkt gibt, ist es einfacher zu verstehen, wer wofür die Schuld trägt.