tcpdump

거의 모든 네트워크 트래픽 수집을 위한 주요 도구는 tcpdump입니다. 거의 모든 Unix 계열 운영 체제에 설치되는 오픈 소스 애플리케이션입니다. Tcpdump는 뛰어난 데이터 수집 도구이며 매우 강력한 필터링 엔진과 함께 제공됩니다. 분석을 위해 관리 가능한 데이터를 만들기 위해 수집 중에 데이터를 필터링하는 방법을 아는 것이 중요합니다. 네트워크 사용량이 중간 정도인 경우에도 네트워크 장치에서 모든 데이터를 캡처하면 간단한 분석을 하기에는 너무 많은 데이터가 생성될 수 있습니다.

드문 경우지만 tcpdump는 출력을 화면에 직접 출력할 수 있으며, 이는 원하는 것을 찾는 데 충분할 수 있습니다. 예를 들어 기사를 작성하는 동안 일부 트래픽이 캡처되어 해당 컴퓨터가 알 수 없는 IP 주소로 트래픽을 보내는 것으로 나타났습니다. 기기가 Google IP 주소 172.217.11.142로 데이터를 전송하고 있었던 것으로 나타났습니다. Google 제품이 출시되지 않았으므로 왜 이런 일이 발생했는지에 대한 의문이 생겼습니다.

시스템 점검 결과 다음이 나타났습니다.

[ ~ ]$ ps -ef | 구글을 grep

귀하의 의견을 남겨주세요!

공익사업 CommView서브하다 로컬 네트워크 및 인터넷 트래픽 수집 및 분석. 이 프로그램은 네트워크 연결 목록과 가장 일반적인 네트워크 프로토콜 70개 이상의 IP 패킷을 포함하여 네트워크를 통해 가장 낮은 수준까지 전달되는 데이터를 캡처하고 디코딩합니다. CommView IP 통계를 유지하며, 가로채는 패킷을 나중에 분석하기 위해 파일에 저장할 수 있습니다. 프로그램의 유연한 필터 시스템을 사용하면 불필요한 것을 버릴 수 있습니다. 패킷을 캡처하기 위해아니면 꼭 필요한 것만 가로채거나. 프로그램에 포함된 VoIP 모듈을 사용하면 SIP 및 H.323 표준의 음성 메시지에 대한 심층 분석, 녹음 및 재생이 가능합니다. CommView를 사용하면 네트워크 카드나 별도의 네트워크 세그먼트를 통과하는 정보 트래픽에 대한 자세한 그림을 볼 수 있습니다.

인터넷 및 로컬 네트워크 스캐너

네트워크 스캐너로서 CommView 프로그램은 시스템 관리자, 네트워크 보안 분야에서 일하는 사람, 네트워크 연결을 사용하는 소프트웨어를 개발하는 프로그래머에게 유용합니다. 이 유틸리티는 러시아어를 지원하고 사용자 친화적인 인터페이스를 갖추고 있으며 프로그램에 구현된 모든 기능에 대한 상세하고 이해하기 쉬운 도움말 시스템을 포함합니다.

CommView 주요 기능

• 네트워크 어댑터나 전화 접속 컨트롤러를 통과하는 인터넷 또는 로컬 트래픽 가로채기
• IP 연결에 대한 상세 통계(주소, 포트, 세션, 호스트 이름, 프로세스 등)
• TCP 세션 다시 만들기
• 이벤트 알림 설정
• IP 프로토콜과 상위 레벨 프로토콜의 다이어그램
• 실시간으로 캡처 및 디코딩된 패킷 보기
• 문자열 또는 HEX 데이터로 가로채는 패킷의 내용을 검색합니다.
• 패키지를 아카이브에 저장
• 연결이 끊어지면 이전에 저장한 패키지를 다운로드하고 확인하세요.
• NI Observer 또는 NAI Sniffer 형식의 패키지와 함께 아카이브 내보내기 및 가져오기
• IP 주소에 대한 정보 얻기
• 프로토콜 지원 및 디코딩: ARP, BCAST, RTSP, SAP, SER, SIP, SMB, SMTP, SNA, SNMP, SNTP, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG, DNS, EIGRP, FTP, G.723, GRE, H. 225, H.261, H.263, H.323, HTTP, HTTPS, 802.1Q, 802.1X, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX, HSRP, LDAP, MS SQL, NCP , NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, LDAP, MS SQL, NCP, NDS, NetBIOS, RDP, RIP, RIPX, RMCP, RPC, RSVP, RTP, RTCP, 양말, SPX, SSH, TCP, TELNET, TFTP, 시간, TLS, UDP, VTP, WDOG, YMSG.

경우에 따라 네트워크 트래픽 분석은 호스트 및 네트워크 세그먼트의 네트워크 스택 기능 문제를 감지하는 데 사용됩니다. 전송된 프레임, 네트워크 패킷, 네트워크 연결, 데이터그램 및 애플리케이션 프로토콜 수준에서 네트워크 작동을 표시(듣기)하고 분석할 수 있는 도구가 있습니다..

에 따라 상황에서는 네트워크 트래픽이 수신되는 노드의 트래픽과 네트워크 세그먼트, 라우터 포트 등의 트래픽을 모두 진단에 사용할 수 있습니다.. 고급 트래픽 차단 기능은 다음을 기반으로 합니다. "난잡한" 모드네트워크 어댑터 작동: 모든 프레임이 처리됩니다(정상 작동에서와 같이 특정 MAC 주소 및 브로드캐스트로 향하는 프레임뿐만 아니라)..

이더넷 네트워크에는 트래픽 수신을 위한 다음과 같은 기본 기능이 있습니다.

• 허브 기반 네트워크에서는 모든 충돌 도메인 트래픽을 모든 네트워크 스테이션에서 사용할 수 있습니다..
• 네트워크 스테이션 스위치를 기반으로 하는 네트워크에서는 해당 트래픽은 물론 이 세그먼트의 모든 브로드캐스트 트래픽을 사용할 수 있습니다..
• 일부 관리형 스위치에는 특정 포트에서 모니터링 포트로 트래픽을 복사하는 기능이 있습니다.(“미러링”, 포트 모니터링).
• 네트워크 연결을 끊고 별도의 포트로 연결 트래픽을 전송하는 특수 수단(커플러)을 사용합니다.
• 허브가 있는 "트릭"- 트래픽을 청취해야 하는 스위치 포트는 허브를 통해 켜지고, 모니터 노드도 허브에 연결됩니다(이 경우 대부분의 경우 네트워크 연결 성능이 저하됩니다).

프로그램이 있습니다 ( 네트워크 모니터 또는 분석기, 스니퍼)는 네트워크 트래픽을 수신하고(무차별 모드 포함) 이를 표시하거나 파일에 쓰는 기능을 구현합니다. 또한 분석 소프트웨어는 규칙을 기반으로 트래픽을 필터링하고, 프로토콜을 디코딩(해독)하고, 통계를 읽고, 일부 문제를 진단할 수 있습니다.

메모: 네트워크 트래픽 분석을 위한 기본 도구로 적합합니다. 그래픽 환경무료 패키지입니다 와이어샤크[43], Windows 및 일부 Linux 배포판의 저장소에서 사용할 수 있습니다.

tcpdump 유틸리티

tcpdump 콘솔 유틸리티는 대부분의 Unix 시스템에 포함되어 있으며 이를 통해 네트워크 트래픽을 가로채서 표시할 수 있습니다[44]. 이 유틸리티는 이식 가능한 C/C++ 라이브러리인 libpcap을 사용하여 네트워크 트래픽을 캡처합니다.

Debian에 tcpdump를 설치하려면 다음 명령을 사용할 수 있습니다.

# apt-get 설치 tcpdump

이 유틸리티를 실행하려면 권한이 있어야 합니다. 수퍼유저(특히 네트워크 어댑터를 "무차별" 모드로 전환해야 하기 때문에) 일반적으로 명령 형식은 다음과 같습니다.

tcpdump<опции> <фильтр-выражение>

콘솔 출력의 경우 헤더 설명(해독된 데이터) 가로채는 패킷의 경우 트래픽 분석을 위한 인터페이스를 지정해야 합니다(옵션 -i):

# tcpdump -i eth0

IP 주소를 도메인 이름으로 변환하는 것을 비활성화할 수 있습니다(대량의 트래픽으로 인해 DNS 서버에 대한 많은 요청이 생성되므로) - 옵션 -n:

# tcpdump -n -i eth0

링크 수준 데이터(예: mac 주소 등)를 출력하려면 -e 옵션을 사용합니다.

# tcpdump -en -i eth0

추가 정보 인쇄(예: TTL, IP 옵션) - 옵션 -v:

# tcpdump -ven -i eth0

캡처된 패킷의 크기 늘리기(기본적으로 68바이트 이상) - 크기를 나타내는 옵션 -s(-s 0 - 전체 패킷 캡처):

파일에 쓰기(직접 패키지 - "dump") - 파일 이름을 나타내는 옵션 -w:

# tcpdump -w traf.dump

파일에서 패키지 읽기 - 옵션 - r 파일 이름 지정:

# tcpdump -r traf.dump

기본적으로 tcpdump는 무차별 모드로 실행됩니다. -p 스위치는 tcpdump에게 해당 호스트로 향하는 트래픽만 가로채도록 지시합니다.

tcpdump 필터 스위치 및 형식에 대한 자세한 내용은 참조 설명서(man tcpdump)를 참조하세요.

tcpdump를 사용한 네트워크 인터페이스 수준 및 네트워크 수준의 트래픽 분석

이더넷 프레임을 할당하기 위해 다음 tcpdump 구성이 사용됩니다(일반 보기):

tcpdump 에테르(src | dst | 호스트) MAC_ADDRESS

여기서 src는 소스 MAC 주소입니다. 일광- 대상 MAC 주소, 호스트 - src 또는 일광, 방송 트래픽을 강조하는 데에도 사용됩니다.

러시아 연방 교육과학부

주립 교육 기관 "상트페테르부르크 주립 폴리테크닉 대학교"

체복사리경제경영연구소(분원)

고등수학과 정보기술학과

추상적인

"정보 보안"과정에서.

주제: "네트워크 분석기"

완전한

4학년생 월급 080502-51M

'경영'을 전공하다

기계공학 기업에서"

파블로프 K.V.

체크됨

선생님

체복사리 2011

소개

이더넷 네트워크는 우수한 처리량, 설치 용이성 및 합리적인 네트워크 장비 설치 비용으로 인해 엄청난 인기를 얻었습니다.
그러나 이더넷 기술에는 심각한 단점이 없는 것은 아닙니다. 가장 중요한 것은 전송된 정보의 불안정성입니다. 이더넷 네트워크에 연결된 컴퓨터는 이웃에게 전달된 정보를 가로챌 수 있습니다. 그 이유는 이더넷 네트워크에 채택된 소위 브로드캐스트 메시징 메커니즘 때문입니다.

네트워크에 컴퓨터를 연결하면 정보 보안의 기존 원칙이 깨집니다. 예를 들어 정적 보안에 관한 것입니다. 과거에는 시스템 관리자가 적절한 업데이트를 설치하여 시스템 취약점을 발견하고 수정할 수 있었으며 관리자는 설치된 "패치"의 기능을 몇 주 또는 몇 달 후에만 확인할 수 있었습니다. 그러나 이 "패치"는 사용자가 실수로 또는 작업 중에 제거했거나 다른 관리자가 새 구성 요소를 설치할 때 제거했을 수 있습니다. 모든 것이 변하고 있으며 이제 정보 기술이 너무 빠르게 변하여 정적 보안 메커니즘이 더 이상 완전한 시스템 보안을 제공하지 못합니다.

최근까지 기업 네트워크를 보호하는 주요 메커니즘은 방화벽이었습니다. 그러나 조직의 정보 리소스를 보호하도록 설계된 방화벽은 그 자체로 취약한 경우가 많습니다. 이는 시스템 관리자가 액세스 시스템을 너무 많이 단순화하여 결국 보안 시스템의 돌담이 체처럼 구멍으로 가득 차게 되었기 때문에 발생합니다. 여러 방화벽을 사용하면 네트워크 성능에 큰 영향을 미칠 수 있으므로 트래픽이 많은 기업 네트워크에는 방화벽(방화벽) 보호가 실용적이지 않을 수 있습니다. 어떤 경우에는 "문을 활짝 열어두고" 네트워크 침입을 탐지하고 대응하는 방법에 집중하는 것이 더 좋습니다.

기업 네트워크를 지속적으로(24시간, 연중무휴, 1년 365일) 모니터링하여 공격을 탐지하기 위해 공격 탐지 시스템인 "활성" 보호 시스템이 설계되었습니다. 이러한 시스템은 기업 네트워크 노드에 대한 공격을 탐지하고 보안 관리자가 지정한 방식으로 대응합니다. 예를 들어 공격 노드와의 연결을 중단하거나, 관리자에게 알리거나, 공격에 대한 정보를 로그에 입력합니다.

1. 네트워크 분석기

1.1 IP - 알리다 1개 또는 첫 번째 네트워크 모니터

먼저 지역방송에 대해 몇 마디 말씀드리겠습니다. 이더넷 네트워크에서 연결된 컴퓨터는 일반적으로 동일한 케이블을 공유하며, 이는 서로 간에 메시지를 보내는 매체 역할을 합니다.

공통 채널을 통해 메시지를 전송하려는 사람은 먼저 해당 채널이 특정 시간에 무료인지 확인해야 합니다. 전송이 시작되면 컴퓨터는 신호의 반송파 주파수를 듣고 동시에 데이터를 전송하는 다른 컴퓨터와의 충돌로 인해 신호가 왜곡되었는지 여부를 판단합니다. 충돌이 발생하면 전송이 중단되고 컴퓨터는 잠시 후에 전송을 다시 시도하기 위해 일정 시간 동안 "무음 상태가 됩니다". 이더넷 네트워크에 연결된 컴퓨터가 자체적으로 아무것도 전송하지 않는 경우에도 이웃 컴퓨터가 네트워크를 통해 전송하는 모든 메시지를 계속 "수신"합니다. 들어오는 데이터의 헤더에서 네트워크 주소를 확인한 컴퓨터는 이 부분을 로컬 메모리에 복사합니다.

컴퓨터를 이더넷 네트워크에 연결하는 방법에는 두 가지 주요 방법이 있습니다. 첫 번째 경우 컴퓨터는 동축 케이블을 사용하여 연결됩니다. 이 케이블은 컴퓨터에서 컴퓨터로 연결되며 T자형 커넥터가 있는 네트워크 어댑터에 연결되고 끝은 BNC 터미네이터로 끝납니다. 전문 용어로 이 토폴로지를 이더넷 10Base2 네트워크라고 합니다. 그러나 “모든 사람이 모든 사람의 말을 듣는” 네트워크라고도 할 수 있습니다. 네트워크에 연결된 모든 컴퓨터는 다른 컴퓨터가 해당 네트워크를 통해 전송한 데이터를 가로챌 수 있습니다. 두 번째 경우, 각 컴퓨터는 연선 케이블을 통해 중앙 스위칭 장치의 별도 포트(허브 또는 스위치)에 연결됩니다. 이더넷 lOBaseT 네트워크라고 하는 이러한 네트워크에서 컴퓨터는 충돌 도메인이라는 그룹으로 나뉩니다. 충돌 도메인은 공통 버스에 연결된 허브 또는 스위치 포트로 정의됩니다. 결과적으로 네트워크의 모든 컴퓨터 간에 충돌이 발생하지 않습니다. 그리고 별도로 - 동일한 충돌 도메인의 일부인 충돌 간에는 전체 네트워크의 처리량이 증가합니다.

최근에는 브로드캐스팅을 사용하지 않고 포트 그룹을 서로 닫지 않는 대규모 네트워크에 새로운 유형의 스위치가 나타나기 시작했습니다. 대신, 네트워크를 통해 전송된 모든 데이터는 메모리에 버퍼링되어 최대한 빨리 전송됩니다. 그러나 그러한 네트워크는 여전히 꽤 많이 있으며 전체 이더넷 유형 네트워크 수의 5%를 넘지 않습니다.

따라서 대다수의 이더넷 네트워크에 채택된 데이터 전송 알고리즘에서는 네트워크에 연결된 각 컴퓨터가 예외 없이 모든 네트워크 트래픽을 지속적으로 "수신"해야 합니다. "다른 사람의" 메시지를 전송하는 동안 컴퓨터가 네트워크에서 연결이 끊어지는 일부 사람들이 제안한 액세스 알고리즘은 과도한 복잡성, 높은 구현 비용 및 낮은 효율성으로 인해 실현되지 않았습니다.

IPAlert-1은 무엇이며 어디에서 왔습니까? 옛날 옛적에 네트워크 보안 연구와 관련된 분야의 저자들의 실제적, 이론적 연구는 다음과 같은 아이디어를 이끌어 냈습니다. 인터넷은 물론 다른 네트워크(예: Novell NetWare, Windows NT)에서도 보안 소프트웨어가 심각하게 부족했습니다. 복잡한 문헌에 설명된 모든 유형의 원격 영향을 감지하기 위해 네트워크를 통해 전송되는 전체 정보 흐름의 링크 수준에서 제어(모니터링)합니다. 인터넷 네트워크 보안 소프트웨어 시장에 대한 연구에 따르면 이러한 포괄적인 원격 공격 탐지 도구는 존재하지 않았으며, 존재했던 도구는 특정 유형의 공격(예: ICMP 리디렉션 또는 ARP)을 탐지하도록 설계되었습니다. 따라서 인터넷에서 사용하기 위한 IP 네트워크 세그먼트에 대한 모니터링 도구 개발이 시작되었으며 IP Alert-1 네트워크 보안 모니터라는 이름을 받았습니다.

전송 채널에서 네트워크 트래픽을 프로그래밍 방식으로 분석하는 이 도구의 주요 작업은 통신 채널을 통해 수행되는 원격 공격을 격퇴하는 것이 아니라 이를 탐지하고 기록하는 것입니다(후속 시각적 작업에 편리한 형태로 기록하여 감사 파일 유지). 특정 네트워크 세그먼트에 대한 원격 공격과 관련된 모든 이벤트 분석) 원격 공격이 감지되면 보안 관리자에게 즉시 경고합니다. IP Alert-1 네트워크 보안 모니터의 주요 작업은 해당 인터넷 세그먼트의 보안을 모니터링하는 것입니다.

IP Alert-1 네트워크 보안 모니터에는 다음과 같은 기능이 있으며 네트워크 분석을 통해 제어하는 ​​네트워크 세그먼트에 대한 다음 원격 공격을 탐지할 수 있습니다.

1. 제어되는 네트워크 세그먼트 내에 위치한 호스트가 전송하는 패킷에서 IP 주소와 이더넷 주소의 대응을 모니터링합니다.

IP Alert-1 호스트에서 보안 관리자는 정적 ARP 테이블을 생성하고 여기에 제어된 네트워크 세그먼트 내에 있는 호스트의 해당 IP 및 이더넷 주소에 대한 정보를 입력합니다.

이 기능을 사용하면 IP 주소의 무단 변경 또는 대체(소위 IP 스푸핑, 스푸핑, IP 스푸핑(jarg))를 감지할 수 있습니다.

2. 원격 ARP 검색 메커니즘의 올바른 사용을 모니터링합니다. 이 기능을 사용하면 정적 ARP 테이블을 사용하여 원격 False ARP 공격을 탐지할 수 있습니다.

3. 원격 DNS 검색 메커니즘의 올바른 사용을 모니터링합니다. 이 기능을 사용하면 DNS 서비스에 대한 가능한 모든 유형의 원격 공격을 식별할 수 있습니다.

4. 전송된 요청을 분석하여 원격 연결 시도의 정확성을 모니터링합니다. 이 기능을 사용하면 첫 번째로 TCP 연결 식별자(ISN)의 초기 값을 변경하는 법칙을 조사하려는 시도, 두 번째로 연결 요청 대기열을 오버플로하여 수행되는 원격 서비스 거부 공격, 세 번째로 직접 공격을 탐지할 수 있습니다. 잘못된 연결 요청(TCP 및 UDP 모두)의 "폭풍"으로 인해 서비스 거부가 발생합니다.

따라서 IP Alert-1 네트워크 보안 모니터를 사용하면 대부분의 원격 공격 유형을 탐지, 통지 및 기록할 수 있습니다. 그러나 이 프로그램은 결코 방화벽 시스템의 경쟁자가 아닙니다. 인터넷상의 원격 공격 기능을 사용하는 IP Alert-1은 방화벽 시스템에 필요한 추가 기능을 제공합니다. 그런데 비교할 수 없을 정도로 저렴합니다. 보안 모니터가 없으면 네트워크 세그먼트에 대한 원격 공격을 시작하려는 대부분의 시도는 눈에 띄지 않게 됩니다. 알려진 방화벽 중 어느 것도 다양한 유형의 원격 공격을 식별하기 위해 네트워크를 통과하는 메시지를 지능적으로 분석하는 기능을 수행하지 않으며 기껏해야 비밀번호 추측 시도, 포트 검색 및 네트워크 검색에 대한 정보를 기록하는 로그를 유지하는 것으로 제한됩니다. 잘 알려진 원격 검색 프로그램을 사용하여. 따라서 IP 네트워크 관리자가 네트워크에 대한 원격 공격 중에 무관심을 유지하고 단순한 통계 전문가의 역할에 만족하고 싶지 않다면 IP Alert-1 네트워크 보안 모니터를 사용하는 것이 좋습니다.

따라서 IPAlert-1의 예는 네트워크 보안을 보장하는 데 네트워크 모니터가 차지하는 중요한 위치를 보여줍니다.

물론 최신 네트워크 모니터는 훨씬 더 많은 기능을 지원하며 그 자체로도 상당히 많은 기능이 있습니다. 약 500달러 정도의 비용이 드는 더 간단한 시스템도 있지만, 강력한 경험적 분석을 수행할 수 있는 전문가 시스템을 갖춘 매우 강력한 시스템도 있는데, 그 비용은 75,000달러에서 몇 배 더 높습니다.

1.2 최신 네트워크 분석기의 기능

최신 모니터는 기본 기능(IP Alert-1에 대해 검토한 내용) 외에도 다양한 기능을 지원합니다. 예를 들어 케이블 스캐닝이 있습니다.

네트워크 통계(세그먼트 활용률, 충돌 수준, 오류율 및 브로드캐스트 트래픽 수준, 신호 전파 속도 결정) 이 모든 지표의 역할은 특정 임계값이 초과되면 세그먼트의 문제에 대해 이야기할 수 있다는 것입니다. 여기에는 "의심스러운" 어댑터가 갑자기 나타날 경우 네트워크 어댑터의 적법성을 확인하는 문헌도 포함됩니다(MAC 주소 등으로 확인).

잘못된 프레임의 통계입니다. 짧은 프레임은 최대 길이, 즉 64바이트 미만의 프레임입니다. 이 유형의 프레임은 올바른 체크섬이 있는 짧은 프레임과 올바른 체크섬이 없는 짧은 프레임(런트)이라는 두 가지 하위 클래스로 나뉩니다. 이러한 "돌연변이"가 나타나는 가장 큰 이유는 네트워크 어댑터의 오작동 때문입니다. 확장 프레임은 긴 전송의 결과이며 어댑터에 문제가 있음을 나타냅니다. 케이블 간섭으로 인해 발생하는 고스트 프레임. 네트워크의 정상적인 프레임 오류율은 0.01%보다 높아서는 안 됩니다. 더 높으면 네트워크에 기술적 결함이 있거나 무단 침입이 발생한 것입니다.

충돌 통계. 네트워크 세그먼트의 충돌 수와 유형을 나타내며 문제의 존재 여부와 위치를 확인할 수 있습니다. 충돌은 로컬(한 세그먼트) 및 원격(모니터와 관련된 다른 세그먼트)일 수 있습니다. 일반적으로 이더넷 네트워크의 모든 충돌은 원격으로 발생합니다. 충돌 강도는 5%를 초과해서는 안 되며 최대 20%를 초과하면 심각한 문제가 있음을 나타냅니다.

더 많은 기능이 있습니다. 모두 나열하는 것은 불가능합니다.

모니터에는 소프트웨어와 하드웨어가 모두 포함되어 있다는 점에 주목하고 싶습니다. 그러나 통계적 기능을 더 많이 수행하는 경향이 있습니다. 예를 들어 LANtern 네트워크 모니터가 있습니다. 이는 감독자와 서비스 조직이 다중 공급업체 네트워크를 중앙에서 유지 관리하고 지원할 수 있도록 도와주는 설치가 쉬운 하드웨어 장치입니다. 통계를 수집하고 추세를 식별하여 네트워크 성능과 확장을 최적화합니다. 네트워크 정보는 중앙 네트워크 관리 콘솔에 표시됩니다. 따라서 하드웨어 모니터는 적절한 정보 보호를 제공하지 않습니다.

Microsoft Windows에는 네트워크 모니터(NetworkMonitor)가 포함되어 있지만 심각한 취약점이 있습니다. 이에 대해서는 아래에서 설명하겠습니다.

쌀. 1. WINDOWS OS NT 클래스용 네트워크 모니터.

프로그램 인터페이스는 즉석에서 마스터하기가 약간 어렵습니다.

쌀. 2. WINDOWS 네트워크 모니터에서 프레임을 봅니다.

이제 대부분의 제조업체는 간단하고 사용자 친화적인 인터페이스를 갖춘 모니터를 만들기 위해 노력하고 있습니다. 또 다른 예는 NetPeeker 모니터입니다(추가 기능이 풍부하지는 않지만 여전히).

쌀. 3. NetPeeker 모니터의 사용자 친화적인 인터페이스.

복잡하고 비용이 많이 드는 NetForensics 프로그램($95,000)의 인터페이스 예를 들어 보겠습니다.

그림 4. NetForensics 인터페이스.

오늘날의 추세에 따르면 모니터가 반드시 갖춰야 할 특정 필수 "기술"이 있습니다.

1. 최소한:

• 트래픽 필터링 템플릿 설정;
• 추적 모듈의 중앙 집중식 관리;
• 다음을 포함한 다수의 네트워크 프로토콜 필터링 및 분석. TCP, UDP 및 ICMP;
• 발신자와 수신자의 프로토콜, 포트 및 IP 주소를 기준으로 네트워크 트래픽을 필터링합니다.
• 공격 노드와의 연결이 비정상적으로 종료;
• 방화벽 및 라우터 관리;
• 공격 처리를 위한 스크립트 설정
• 추가 재생 및 분석을 위해 공격을 기록합니다.
• 이더넷, 고속 이더넷 및 토큰 링 네트워크 인터페이스 지원;
• 특별한 하드웨어를 사용할 필요가 없습니다.
• 시스템 구성 요소와 기타 장치 간의 보안 연결 설정
• 탐지된 모든 공격에 대한 포괄적인 데이터베이스의 가용성;
• 네트워크 성능 저하 최소화;
• 여러 제어 콘솔에서 하나의 추적 모듈로 작업합니다.
• 강력한 보고서 생성 시스템;
• 사용 용이성과 직관적인 그래픽 인터페이스;
• 소프트웨어 및 하드웨어에 대한 낮은 시스템 요구 사항.

2. 보고서를 생성할 수 있습니다:

• 사용자별 트래픽 분포
• IP 주소별 트래픽 분포
• 서비스 간 트래픽 분포
• 프로토콜별 트래픽 분포
• 데이터 유형(사진, 비디오, 텍스트, 음악)별 트래픽 분포
• 사용자가 사용하는 프로그램에 따른 트래픽 분산
• 시간대별 교통량 분포
• 요일별 통행량 분포
• 날짜 및 월별 트래픽 분포
• 사용자가 방문한 사이트 전체에 트래픽을 분배합니다.
• 시스템의 인증 오류
• 시스템에 들어가고 나옵니다.

네트워크 모니터가 인식할 수 있는 특정 공격의 예:

"서비스 거부". 공격을 받은 시스템의 일부가 실패하여 해당 기능 수행이 중단되도록 하는 모든 작업 또는 일련의 작업입니다. 그 이유는 무단 접속, 서비스 지연 등이 될 수 있습니다. 예로는 SYN Flood, Ping Flood, Windows Out-of-Band(WinNuke) 공격 등이 있습니다.

" 승인되지 않은 입장 "(무단 접근 시도).설정된 보안 정책을 우회하는 방식으로 파일을 읽거나 명령을 실행하려는 시도를 초래하는 모든 작업 또는 일련의 작업입니다. 또한 공격자가 시스템 관리자가 설정한 것보다 더 큰 권한을 얻으려는 시도도 포함됩니다. FTP 루트, 이메일 WIZ 등의 공격을 예로 들 수 있습니다.

"공격 전 프로브"
네트워크에서 또는 네트워크에 대한 정보(예: 사용자 이름 및 비밀번호)를 얻기 위한 모든 작업 또는 일련의 작업으로, 이후에 무단 액세스를 수행하는 데 사용됩니다. 예를 들어 포트 스캔(Port scan), SATAN 프로그램을 사용한 스캔(SATAN 스캔) 등이 있습니다.

"수상한 행동"
"표준" 트래픽의 정의를 벗어나는 네트워크 트래픽입니다. 온라인에서 발생하는 의심스러운 활동을 나타낼 수 있습니다. 예를 들어 중복 IP 주소, IP 알 수 없는 프로토콜 등의 이벤트가 있습니다.

"프로토콜 분석"(프로토콜 디코드.위의 공격 유형 중 하나를 수행하는 데 사용할 수 있는 네트워크 활동입니다. 온라인에서 발생하는 의심스러운 활동을 나타낼 수 있습니다. FTP 사용자 디코드, Portmapper 프록시 디코드 등의 이벤트를 예로 들 수 있습니다.

1.3 네트워크 모니터 사용의 위험

네트워크 모니터를 사용하면 잠재적인 위험이 발생할 수도 있습니다. 기밀 정보를 포함하여 엄청난 양의 정보가 통과하기 때문입니다. 앞서 언급한 Windows NT 제품군에 포함된 NetworkMonitor를 사용한 취약점의 예를 살펴보겠습니다. 이 모니터에는 ASCII 텍스트 형식의 프레임 데이터를 볼 수 있는 소위 HEX 패널(그림 2 참조)이 있습니다. 예를 들어 여기에서는 네트워크에 떠다니는 암호화되지 않은 비밀번호를 볼 수 있습니다. 예를 들어 Eudora 메일 애플리케이션 패키지를 읽어볼 수 있습니다. 약간의 시간을 보내면 안전하게 열리는 모습을 볼 수 있습니다. 그러나 암호화는 도움이 되지 않으므로 항상 주의해야 합니다. 여기에는 두 가지 가능한 경우가 있습니다. 문헌에는 "외설"이라는 속어가 있습니다. 이것은 동일한 세그먼트, 동일한 허브에 있는 특정 기계의 이웃이거나 현재 호출되는 스위치입니다. 따라서 "고급" "음란물"이 네트워크 트래픽을 검사하고 암호를 알아내기로 결정한 경우 모니터가 이를 사용하는 사용자 식별을 지원하므로 관리자는 그러한 공격자를 쉽게 식별할 수 있습니다. 버튼만 누르면 관리자 앞에 “음란한 해커” 목록이 열립니다. 예를 들어 인터넷 등 외부에서 공격이 수행되면 상황은 훨씬 더 복잡해집니다. 모니터가 제공하는 정보는 매우 유익합니다. 캡처된 모든 프레임 목록, 프레임 시퀀스 번호, 캡처 시간, 네트워크 어댑터의 MAC 주소까지 표시되므로 컴퓨터를 매우 구체적으로 식별할 수 있습니다. 세부 정보 패널에는 프레임의 "내부"(제목에 대한 설명 등)가 포함되어 있습니다. 호기심이 많은 초보자라도 여기에서 많은 것이 친숙하다는 것을 알게 될 것입니다.

외부 공격은 일반적으로 공격자를 식별하는 것이 매우 어렵기 때문에 훨씬 더 위험합니다. 이 경우 보호하려면 모니터에서 비밀번호 보호를 사용해야 합니다. 네트워크 모니터 드라이버가 설치되어 있고 암호가 설정되지 않은 경우 다른 컴퓨터에서 동일한 배포(동일 프로그램)의 네트워크 모니터를 사용하는 사람은 누구나 첫 번째 컴퓨터에 가입하여 이를 사용하여 네트워크의 데이터를 가로챌 수 있습니다. 또한 네트워크 모니터는 로컬 네트워크 세그먼트에서 다른 설치를 감지하는 기능을 제공해야 합니다. 그러나 이것 역시 그 자체로 복잡합니다. 어떤 경우에는 네트워크 아키텍처가 설치된 네트워크 모니터 복사본을 다른 복사본에서 감지하지 못할 수도 있습니다. 예를 들어 설치된 네트워크 모니터 복사본이 멀티캐스트 메시지를 허용하지 않는 라우터에 의해 두 번째 복사본과 분리된 경우 네트워크 모니터의 두 번째 복사본은 첫 번째 복사본을 검색할 수 없습니다.

해커와 기타 공격자는 시간을 낭비하지 않습니다. 그들은 네트워크 모니터를 비활성화하는 점점 더 많은 새로운 방법을 끊임없이 찾고 있습니다. 버퍼 오버플로로 모니터를 비활성화하는 것부터 공격자가 보낸 모든 명령을 모니터가 강제로 실행하도록 할 수 있다는 사실까지 다양한 방법이 있는 것으로 밝혀졌습니다.

소프트웨어 보안을 분석하는 특수 실험실이 있습니다. 심각한 위반이 자주 발견되기 때문에 그들의 보고서는 놀랍습니다. 실제 제품의 실제 격차의 예:

1. RealSecure는 ISS의 상용 침입 탐지 시스템(IDS)입니다.

RealSecure는 시스템과 함께 제공되는 일부 DHCP 서명(DHCP_ACK - 7131, DHCP_Discover - 7132 및 DHCP_REQUEST - 7133)을 처리할 때 불안정하게 동작합니다. 이 취약점으로 인해 악의적인 DHCP 트래픽을 보내 원격 공격자가 프로그램을 중단시킬 수 있습니다. 인터넷 보안 시스템(Internet Security Systems) RealSecure Network Sensor 5.0 XPU 3.4-6.5에서 취약점 발견

2. 프로그램: RealSecure 4.9 네트워크 모니터

위험: 높음; 익스플로잇 존재 여부: 아니요.

설명: RS에서 여러 가지 취약점이 발견되었습니다. 원격 사용자는 장치의 위치를 ​​확인할 수 있습니다. 원격 사용자는 장치 구성을 정의하고 변경할 수도 있습니다.

해결 방법: 업데이트된 버전의 프로그램을 설치하십시오. 제조업체에 문의하세요.

1.4 프로토콜 분석기, 그 장점, 위험 및 위험에 대한 보호 방법

프로토콜 분석기는 기본적으로 네트워크 모니터의 하위 집합이지만 별도의 소프트웨어 클래스입니다. 각 모니터에는 최소한 여러 개의 프로토콜 분석기가 내장되어 있습니다. 그렇다면 네트워크 모니터를 사용하여 보다 괜찮은 시스템을 구현할 수 있다면 왜 사용합니까? 첫째, 강력한 모니터를 설치하는 것이 항상 권장되는 것은 아니며, 둘째, 모든 조직이 수천 달러에 모니터를 구입할 여유가 있는 것은 아닙니다. 때때로 질문이 제기됩니다. 모니터 자체가 보호하도록 설계된 정보보다 더 비싸지 않습니까? 이러한(또는 유사한) 경우에는 순수한 형태의 프로토콜 분석기가 사용됩니다. 그들의 역할은 모니터의 역할과 유사합니다.

일반적으로 이더넷 네트워크에 있는 각 컴퓨터의 네트워크 어댑터는 이 네트워크 세그먼트에 있는 이웃이 서로 "대화"하는 모든 내용을 "듣습니다". 그러나 네트워크에서 할당된 고유 주소를 포함하는 데이터 부분(소위 프레임)만 로컬 메모리에 처리하고 배치합니다. 이 외에도 대부분의 최신 이더넷 어댑터는 무차별이라는 특수 모드에서의 작동을 허용합니다. 이를 사용하면 어댑터는 네트워크를 통해 전송된 모든 데이터 프레임을 컴퓨터의 로컬 메모리에 복사합니다. 네트워크 어댑터를 무차별 모드로 설정하고 후속 분석을 위해 모든 네트워크 트래픽을 수집하는 특수 프로그램을 프로토콜 분석기라고 합니다.

후자는 네트워크 관리자가 이러한 네트워크의 작동을 모니터링하는 데 널리 사용됩니다. 불행하게도 프로토콜 분석기는 공격자가 다른 사람의 비밀번호와 기타 기밀 정보를 가로채는 데 사용할 수도 있습니다.

프로토콜 분석기는 심각한 위험을 초래한다는 점에 유의해야 합니다. 프로토콜 분석기는 외부에서 네트워크에 들어온 외부인에 의해 설치되었을 수 있습니다(예: 네트워크가 인터넷에 액세스할 수 있는 경우). 그러나 이는 네트워크에 합법적으로 액세스할 수 있는 "자생" 공격자의 작업일 수도 있습니다. 어쨌든 현 상황을 심각하게 받아들여야 한다. 컴퓨터 보안 전문가들은 프로토콜 분석기를 사용하는 컴퓨터에 대한 공격을 소위 2차 공격으로 분류합니다. 이는 컴퓨터 해커가 이미 네트워크의 보안 장벽을 침투했으며 이제 그의 성공을 기반으로 노력하고 있음을 의미합니다. 프로토콜 분석기를 사용하면 사용자 로그인 및 비밀번호, 민감한 금융 데이터(예: 신용카드 번호), 민감한 통신(예: 이메일)을 가로채려고 시도할 수 있습니다. 충분한 자원이 주어지면 컴퓨터 공격자는 원칙적으로 네트워크를 통해 전송되는 모든 정보를 가로챌 수 있습니다.

프로토콜 분석기는 모든 플랫폼에 존재합니다. 그러나 프로토콜 분석기가 아직 특정 플랫폼용으로 작성되지 않은 것으로 밝혀지더라도 프로토콜 분석기를 사용하는 컴퓨터 시스템에 대한 공격으로 인한 위협은 여전히 ​​고려되어야 합니다. 사실 프로토콜 분석기는 특정 컴퓨터가 아니라 프로토콜을 분석합니다. 따라서 프로토콜 분석기는 모든 네트워크 세그먼트에 설치될 수 있으며 거기에서 브로드캐스트 전송의 결과로 네트워크에 연결된 각 컴퓨터에 도달하는 네트워크 트래픽을 가로챌 수 있습니다.

프로토콜 분석기를 사용하는 컴퓨터 해커의 가장 일반적인 공격 대상은 대학입니다. 그러한 공격 중에 도난당할 수 있는 로그인 및 비밀번호가 엄청나게 많기 때문입니다. 실제로 프로토콜 분석기를 사용하는 것은 보기만큼 쉬운 작업이 아닙니다. 프로토콜 분석기를 활용하려면 컴퓨터 공격자가 네트워크 기술에 대한 충분한 지식을 가지고 있어야 합니다. 5대의 컴퓨터로 구성된 소규모 로컬 네트워크에서도 트래픽이 시간당 수천, 수천 패킷에 달하기 때문에 단순히 프로토콜 분석기를 설치하고 실행하는 것은 불가능합니다. 따라서 짧은 시간 내에 프로토콜 분석기의 출력 데이터가 사용 가능한 메모리를 가득 채울 것입니다. 따라서 컴퓨터 공격자는 일반적으로 네트워크를 통해 전송되는 각 패킷의 처음 200-300바이트만 가로채도록 프로토콜 분석기를 구성합니다. 일반적으로 사용자의 로그인 이름과 비밀번호에 대한 정보는 일반적으로 공격자가 가장 관심을 두는 곳인 패킷 헤더에 있습니다. 그러나 공격자의 하드 드라이브에 충분한 공간이 있는 경우 차단하는 트래픽의 양을 늘리면 공격자에게만 도움이 되며 많은 흥미로운 것을 배울 수 있습니다.

네트워크 관리자의 손에 있는 프로토콜 분석기는 문제를 찾아서 해결하고, 네트워크 처리량을 감소시키는 병목 현상을 제거하고, 침입자를 즉시 ​​감지하는 데 도움이 되는 매우 유용한 도구입니다. 침입자로부터 자신을 보호하는 방법은 무엇입니까? 우리는 다음을 추천할 수 있습니다. 일반적으로 이러한 팁은 분석기뿐만 아니라 모니터에도 적용됩니다. 먼저, 기본적으로 무차별 모드에서 작동할 수 없는 네트워크 어댑터를 구해 보십시오. 이러한 어댑터는 실제로 존재합니다. 그들 중 일부는 하드웨어 수준에서 무차별 모드를 지원하지 않으며 (소수에 있음) 나머지는 하드웨어에서 구현되지만 무차별 모드에서 작동을 허용하지 않는 특수 드라이버만 갖추고 있습니다. 무차별 모드가 없는 어댑터를 찾으려면 프로토콜 분석기를 판매하는 회사의 기술 지원에 문의하여 해당 소프트웨어 패키지가 작동하지 않는 어댑터를 찾으십시오. 둘째, 마이크로소프트와 인텔 기업의 깊숙한 곳에서 준비한 PC99 사양은 네트워크 카드에 무조건 무차별 모드가 있어야 한다는 점을 고려하면, 네트워크를 통해 전송되는 메시지를 메모리에 버퍼링하여 전송하는 최신 네트워크 스마트 스위치를 구입하고, 가능한 한 정확하게 주소까지. 따라서 어댑터는 이 컴퓨터에서 메시지를 추출하기 위해 모든 트래픽을 "수신"할 필요가 없습니다. 셋째, 네트워크 컴퓨터에 프로토콜 분석기의 무단 설치를 방지합니다. 여기서는 소프트웨어 북마크, 특히 트로이 목마 프로그램(방화벽 설치)을 방지하는 데 사용되는 무기고의 도구를 사용해야 합니다. 넷째, 모든 네트워크 트래픽을 암호화합니다. 이 작업을 매우 효율적이고 안정적으로 수행할 수 있는 다양한 소프트웨어 패키지가 있습니다. 예를 들어, 이메일 비밀번호를 암호화하는 기능은 POP(Post Office Protocol) 이메일 프로토콜인 APOP(Authentication POP) 프로토콜에 대한 추가 기능을 통해 제공됩니다. APOP로 작업할 때마다 새로운 암호화된 조합이 네트워크를 통해 전송되므로 공격자는 프로토콜 분석기를 사용하여 가로채는 정보에서 실질적인 이점을 얻을 수 없습니다. 유일한 문제는 오늘날 모든 메일 서버와 클라이언트가 APOP를 지원하지 않는다는 것입니다.

Secure Shell, 줄여서 SSL이라는 또 다른 제품은 원래 핀란드의 전설적인 회사인 SSH Communications Security(http://www.ssh.fi)에서 개발되었으며 현재는 인터넷을 통해 무료로 많은 구현이 가능합니다. SSL은 암호화를 사용하여 컴퓨터 네트워크를 통해 메시지를 안전하게 전송하기 위한 보안 프로토콜입니다.

특히 잘 알려진 소프트웨어 패키지는 암호화를 통해 네트워크를 통해 전송되는 데이터를 보호하도록 설계되었으며 Pretty Good Privacy를 의미하는 약어 PGP라는 이름으로 통합되어 있습니다.

프로토콜 분석기 제품군에 가치 있는 국내 개발이 포함되어 있다는 점은 주목할 만합니다. 눈에 띄는 예는 다기능 Observer 분석기(ProLAN에서 개발)입니다.

쌀. 5. Russian Observer 분석기의 인터페이스.

그러나 일반적으로 대부분의 분석기는 인터페이스가 훨씬 간단하고 기능이 더 적습니다. 예를 들어 Ethereal 프로그램이 있습니다.

쌀. 6. 외국 Ethereal 분석기의 인터페이스.

결론

프로토콜 분석기와 같은 네트워크 모니터는 신호 속도, 충돌이 집중되는 영역 등과 같은 많은 네트워크 작동 매개변수를 정확하게 평가할 수 있으므로 컴퓨터 네트워크를 관리하기 위한 강력하고 효과적인 도구입니다. 그러나 그들이 성공적으로 대처하는 주요 임무는 컴퓨터 네트워크에 대한 공격을 식별하고 트래픽 분석을 기반으로 관리자에게 이를 알리는 것입니다. 동시에, 이러한 소프트웨어 도구를 사용하면 정보가 모니터와 분석기를 통과한다는 사실로 인해 이 정보가 무단으로 캡처될 수 있기 때문에 잠재적인 위험이 따릅니다. 시스템 관리자는 네트워크 보호에 충분한 주의를 기울여야 하며 결합된 보호가 훨씬 더 효과적이라는 점을 기억해야 합니다. 보호해야 하는 정보의 실제 비용, 침입 가능성, 제3자에 대한 정보의 가치, 기성 보안 솔루션의 가용성 및 기능을 기반으로 트래픽 분석 소프트웨어를 선택할 때는 주의해야 합니다. 조직의 예산. 유능한 솔루션을 선택하면 무단 액세스 가능성을 줄이는 데 도움이 되며 자금 조달 측면에서 너무 "무거워"지지 않습니다. 오늘날 완벽한 보안 도구는 없으며 이는 물론 모니터와 분석기에 적용된다는 점을 항상 기억해야 합니다. 모니터가 아무리 완벽하더라도 인식하도록 프로그래밍되지 않은 새로운 유형의 위협에 대비할 수는 없다는 점을 항상 기억해야 합니다. 따라서 기업의 네트워크 인프라 보호를 적절하게 계획할 뿐만 아니라 사용하는 소프트웨어 제품의 업데이트를 지속적으로 모니터링해야 합니다.

문학

1. 인터넷에 대한 공격. ID. 메드베드코프스키, P.V. Semyanov, D.G. Leonov. – 3판, 삭제됨. – M.: DMK, 2000

2. Microsoft Windows 2000. 관리자 핸드북. 시리즈 "ITProfessional"(영어로 번역됨). U.R. 스타넥. – M.: 출판 및 무역 회사 "Russian Edition", 2002.

3. 네트워킹 필수 요소. E. 티텔, K. 허드슨, J.M. 스튜어트. 당. 영어로부터 – 상트페테르부르크: 피터 출판사, 1999

4. 소프트웨어 제품의 차이점에 대한 정보는 SecurityLab 서버 데이터베이스(www.securitylab.ru)에서 가져옵니다.

5. 컴퓨터 네트워크. 이론과 실습. http://network-journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=3&pa=9&ar=1

6. 네트워크 분석. 기사는 2개 부분으로 구성됩니다. http://www.ru-board.com/new/article.php?sid=120

7. 전기통신용어의 전자사전 http://europestar.ru/info/

8. 인터넷상의 원격 공격으로부터 하드웨어 및 소프트웨어를 보호하는 방법. http://personal.primorye.ru/desperado/Xattack/7.2.htm

9. 네트워크 모니터의 보안. WindowsXP에 대한 튜토리얼. http://www.soft32.ru/literature.shtml?topic=windows&book=WinXP&page=Glava16/Index0.htm&subpage=Glava16/Index52.htm

10. RealSecure 모니터에 대한 설명서. 요청 시 제조업체에서 전자 형식으로 제공합니다.

11. 컴퓨터 시스템의 보안. 프로토콜 분석기. http://kiev-security.org.ua/box/12/130.shtml

12. 러시아 분석기 개발자의 인터넷 서버 - 회사 "ProLAN" http://www.prolan.ru/

일반 정보

네트워크 분석기라는 도구는 스니퍼 네트워크 분석기의 이름을 따서 명명되었습니다. 이 제품은 Network General(현재 Network Associates)이 1988년에 출시했으며 관리자가 책상을 떠나지 않고도 대규모 네트워크에서 무슨 일이 일어나고 있는지 문자 그대로 배울 수 있는 최초의 장치 중 하나였습니다. 첫 번째 분석기는 네트워크를 통해 전송된 데이터 패킷의 메시지 헤더를 읽어 관리자에게 보낸 사람과 받는 사람 주소, 파일 크기 및 기타 하위 수준 정보에 대한 정보를 제공합니다. 그리고 이 모든 것은 패킷 전송의 정확성을 확인하는 것 외에 추가됩니다. 분석기는 그래프와 텍스트 설명을 사용하여 네트워크 관리자가 서버, 네트워크 링크, 허브 및 스위치는 물론 애플리케이션을 진단하는 데 도움을 주었습니다. 대략적으로 말하면, 네트워크 분석기는 네트워크의 특정 물리적 세그먼트에서 패킷을 수신하거나 "스니핑"합니다. 이를 통해 특정 패턴에 대한 트래픽을 분석하고, 특정 문제를 수정하고, 의심스러운 활동을 식별할 수 있습니다. 네트워크 침입 탐지 시스템은 바이러스 백신 프로그램이 컴퓨터의 파일에 수행하는 작업과 유사하게 알려진 악성 트래픽 패턴의 데이터베이스와 네트워크의 모든 패킷을 비교하는 고급 스니퍼에 지나지 않습니다. 앞서 설명한 도구와 달리 분석기는 더 낮은 수준에서 작동합니다.

OSI 참조 모델로 전환하면 분석기는 물리적 및 채널이라는 두 가지 하위 수준을 확인합니다.

BOC 모델 레벨 번호	레벨 이름	프로토콜의 예
레벨 7	애플리케이션 레이어	DNS, FTP, HTTP, SMTP, SNMP, 텔넷
레벨 6	프리젠테이션 레이어
레벨 5	세션 수준
레벨 4	전송 계층	NetBIOS, TCP, UDP
레벨 3	네트워크 계층	ARP, IP, IPX, OSPF
2 단계	데이터링크 계층	Arcnet, 이더넷, 토큰링
레벨 1	물리층	동축 케이블, 광섬유, 연선

물리적 계층은 네트워크를 생성하는 데 사용되는 실제 물리적 배선 또는 기타 미디어입니다. 데이터 링크 계층에서 데이터는 특정 매체를 통한 전송을 위해 초기에 인코딩됩니다. 링크 계층 네트워킹 표준에는 무선 802.11, Arcnet, 동축 케이블, 이더넷, 토큰 링 등이 포함됩니다. 분석기는 일반적으로 작동하는 네트워크 유형에 따라 다릅니다. 예를 들어 이더넷 네트워크의 트래픽을 분석하려면 이더넷 분석기가 있어야 합니다.

Fluke, Network General 등과 같은 제조업체의 상용 등급 분석기가 있습니다. 이는 일반적으로 수만 달러의 비용이 드는 맞춤형 하드웨어 장치입니다. 이 하드웨어는 보다 심층적인 분석이 가능하지만 오픈 소스 소프트웨어와 저렴한 Intel 기반 PC를 사용하여 저렴한 네트워크 분석기를 만드는 것이 가능합니다.

분석기 유형

요즘에는 두 가지 유형으로 구분되는 많은 분석기가 생산됩니다. 첫 번째는 모바일 컴퓨터에 설치된 독립형 제품을 포함합니다. 컨설턴트는 고객 사무실 방문 시 이를 가지고 네트워크에 연결해 진단 데이터를 수집할 수 있다.

처음에는 네트워크 작동 테스트용 휴대용 장치가 케이블의 기술 매개변수 확인용으로만 설계되었습니다. 그러나 시간이 지남에 따라 제조업체는 장비에 다양한 프로토콜 분석기 기능을 장착했습니다. 최신 네트워크 분석기는 케이블의 물리적 손상부터 네트워크 리소스의 과부하까지 가능한 광범위한 문제를 감지할 수 있습니다.

두 번째 유형의 분석기는 조직이 웹을 포함하여 로컬 및 광역 네트워크 서비스를 모니터링할 수 있도록 하는 더 광범위한 네트워크 모니터링 하드웨어 및 소프트웨어 범주의 일부입니다. 이러한 프로그램은 관리자에게 네트워크 상태에 대한 전체적인 보기를 제공합니다. 예를 들어, 이러한 제품을 사용하면 현재 실행 중인 애플리케이션, 네트워크에 등록된 사용자, 대량의 트래픽을 생성하는 사용자를 확인할 수 있습니다.

패킷 소스 및 대상과 같은 낮은 수준의 네트워크 특성을 식별하는 것 외에도 최신 분석기는 OSI(개방형 시스템 상호 연결) ​​네트워크 스택의 7개 계층 모두에서 얻은 정보를 디코딩하고 문제 해결을 위한 권장 사항을 제공하는 경우가 많습니다. 애플리케이션 수준의 분석으로 적절한 권장 사항이 제공되지 않는 경우 분석기는 더 낮은 네트워크 수준에서 조사를 수행합니다.

최신 분석기는 일반적으로 사용 가능한 리소스의 로드에 대한 정보와 같은 주요 성능 데이터를 자동으로 수집하는 원격 모니터링 표준(Rmon 및 Rmon 2)을 지원합니다. Rmon을 지원하는 분석기는 정기적으로 네트워크 구성 요소의 상태를 확인하고 수신된 데이터를 이전에 축적된 데이터와 비교할 수 있습니다. 필요한 경우 트래픽 수준이나 성능이 네트워크 관리자가 설정한 제한을 초과하면 경고가 표시됩니다.

NetScout Systems는 웹 사이트 액세스 채널의 개별 섹션에서 응답 시간을 모니터링하고 서버의 현재 성능을 확인하도록 설계된 nGenius Application Service Level Manager 시스템을 도입했습니다. 이 애플리케이션은 사용자 컴퓨터의 전체적인 그림을 재현하기 위해 공용 네트워크의 성능을 분석할 수 있습니다. 덴마크 회사인 NetTest(이전 GN Nettest)는 e-비즈니스 회사가 용량을 계획하고 네트워크 문제를 해결하는 데 도움이 되는 네트워크 모니터링 시스템인 Fastnet을 제공하기 시작했습니다.

융합(멀티서비스) 네트워크 분석

멀티서비스 네트워크(융합 네트워크)의 확산은 향후 통신 시스템과 데이터 전송 시스템의 발전에 결정적인 영향을 미칠 수 있습니다. 패킷 프로토콜을 기반으로 단일 네트워크 인프라에서 데이터, 음성 스트림 및 비디오 정보를 전송하는 기능을 결합한다는 아이디어는 즉시 범위를 크게 확장할 수 있기 때문에 통신 서비스 제공을 전문으로 하는 공급자에게 매우 유혹적인 것으로 나타났습니다. 그들이 제공하는 서비스의.

기업이 통합 IP 네트워크의 효율성과 비용 이점을 깨닫기 시작하면서 네트워크 도구 공급업체는 이를 위한 분석기를 적극적으로 개발하고 있습니다. 올해 상반기에 많은 기업들이 VoIP(Voice over IP) 네트워크용으로 설계된 네트워크 관리 제품용 구성 요소를 출시했습니다.

NetScout Systems의 제품 관리 이사인 Glenn Grossman은 "컨버전스는 네트워크 관리자가 처리해야 하는 새로운 복잡성을 야기했습니다."라고 말했습니다. -- 음성 트래픽은 시간 지연에 매우 민감합니다. 분석기는 유선으로 전송된 모든 비트와 바이트를 살펴보고 헤더를 해석하며 자동으로 데이터의 우선순위를 결정할 수 있습니다."

IP 패킷 수준의 트래픽 우선순위 지정이 음성 및 비디오 서비스 운영에 필수적이기 때문에 음성 및 데이터 융합 기술의 사용은 분석기에 대한 새로운 관심을 불러일으킬 수 있습니다. 예를 들어, Sniffer Technologies는 다중 서비스 네트워크 관리자를 위해 설계된 툴킷인 Sniffer Voice를 출시했습니다. 이 제품은 이메일, 인터넷 및 데이터베이스 트래픽 관리를 위한 전통적인 진단 서비스를 제공할 뿐만 아니라 네트워크 문제를 식별하고 IP 네트워크를 통한 음성 트래픽의 올바른 전송을 보장하는 솔루션을 권장합니다.

분석기 사용의 단점

분석기와 관련된 동전의 양면이 있다는 것을 기억해야 합니다. 이는 네트워크를 계속 실행하는 데 도움이 되지만 해커가 사용자 이름과 비밀번호를 찾기 위해 데이터 패킷을 검색하는 데 사용될 수도 있습니다. 분석기에 의한 비밀번호 가로채기를 방지하기 위해 패킷 헤더가 암호화됩니다(예: SSL(Secure Sockets Layer) 표준 사용).

결국, 글로벌 또는 기업 네트워크에서 무슨 일이 일어나고 있는지 이해해야 하는 상황에서는 네트워크 분석기 외에는 대안이 없습니다. 좋은 분석기를 사용하면 네트워크 세그먼트의 상태를 이해하고 트래픽 양을 결정할 수 있을 뿐만 아니라 이 양이 하루 동안 어떻게 변하는지, 어떤 사용자가 가장 큰 부하를 생성하는지, 어떤 상황에서 트래픽 분배 또는 문제가 발생하는지 확인할 수 있습니다. 대역폭 부족. 분석기를 사용하면 특정 기간 동안 네트워크 세그먼트의 모든 데이터를 획득하고 분석할 수 있습니다.

그러나 네트워크 분석기는 가격이 비쌉니다. 구매할 계획이라면 먼저 기대하는 바가 무엇인지 명확히 하십시오.

네트워크 분석기 사용의 특징

네트워크 분석기를 윤리적이고 생산적으로 사용하려면 다음 지침을 따라야 합니다.

허가는 항상 필요합니다

다른 많은 보안 기능과 마찬가지로 네트워크 분석도 오용될 가능성이 있습니다. 모든 것을 가로채다 네트워크를 통해 전송되는 데이터의 경우 대부분의 시스템이 로컬 네트워크의 트래픽을 암호화하지 않기 때문에 다양한 시스템의 비밀번호, 이메일 메시지의 내용 및 내부 및 외부의 기타 중요한 데이터를 감시할 수 있습니다. 이러한 데이터가 잘못된 사람의 손에 들어가면 심각한 보안 침해로 이어질 수 있습니다. 이는 직원의 개인정보를 침해하는 행위일 수도 있습니다. 우선, 그러한 활동을 시작하기 전에 경영진, 가능하면 고위 경영진으로부터 서면 허가를 받아야 합니다. 또한 데이터를 수신한 후에는 이를 어떻게 처리할지 고려해야 합니다. 이는 비밀번호 외에도 다른 민감한 데이터일 수 있습니다. 일반적으로 네트워크 분석 로그는 형사 또는 민사 기소에 필요한 경우를 제외하고 시스템에서 제거되어야 합니다. 무단 데이터 가로채기로 인해 선의의 시스템 관리자가 해고된 전례가 문서화되어 있습니다.

네트워크 토폴로지를 이해해야 합니다.

분석기를 설정하기 전에 이 네트워크의 물리적, 논리적 구성을 완전히 이해하는 것이 필요합니다. 네트워크의 잘못된 위치에서 분석을 수행하면 다음과 같은 결과를 얻을 수 있습니다. 잘못된 결과가 나오거나 단순히 필요한 것을 찾지 못하는 경우가 있습니다. 분석 워크스테이션과 관찰 위치 사이에 라우터가 없는지 확인해야 합니다. 라우터는 네트워크 세그먼트에 있는 노드에 대한 호출이 있는 경우에만 네트워크 세그먼트로 트래픽을 전달합니다. 마찬가지로 스위치 네트워크에서는 연결하려는 포트를 "모니터" 또는 "미러" 포트로 구성해야 합니다. 제조업체마다 다른 용어를 사용하지만 기본적으로 포트는 스위치가 아닌 허브 역할을 해야 합니다. 워크스테이션으로 전달되는 트래픽뿐만 아니라 스위치를 통과하는 모든 트래픽을 확인해야 하기 때문입니다. 이 설정이 없으면 모니터 포트는 연결된 포트로 전달되는 내용과 네트워크 브로드캐스트 트래픽만 볼 수 있습니다.

엄격한 검색 기준을 사용해야 합니다.

찾으려는 항목에 따라 개방형 필터(즉, 모든 항목 표시)를 사용하면 출력이 커지고 분석하기 어려워집니다. 분석기가 생성하는 출력을 줄이려면 특수 검색 기준을 사용하는 것이 좋습니다. 무엇을 찾아야 할지 정확히 모르더라도 필터를 작성하여 검색 결과를 제한할 수 있습니다. 내부 머신을 찾아야 한다면 주어진 네트워크 내의 소스 주소만 보도록 기준을 설정하는 것이 맞습니다. 특정 유형의 트래픽(예: FTP 트래픽)을 모니터링해야 하는 경우 애플리케이션에서 사용하는 포트로 들어오는 트래픽으로만 결과를 제한할 수 있습니다. 이렇게 하면 훨씬 더 나은 분석 결과를 얻을 수 있습니다.

네트워크 참조 상태 설정

정상 작동 중 네트워크 분석기 사용 , 그리고 최종 결과를 기록함으로써 문제를 분리하는 동안 얻은 결과와 비교할 수 있는 참조 상태가 달성됩니다. 아래에 설명된 Ethereal 분석기는 이에 대한 몇 가지 편리한 보고서를 생성합니다. 시간 경과에 따른 네트워크 사용량을 추적하기 위해 일부 데이터도 수집됩니다. 이 데이터를 사용하면 네트워크가 포화되는 시점과 그 주요 이유(서버 과부하, 사용자 수 증가, 트래픽 유형 변경 등)가 무엇인지 확인할 수 있습니다. 출발점이 있으면 누가 무엇을 비난해야 하는지 이해하기가 더 쉽습니다.