tcpdump

Основным инструментом почти всех сборов сетевого трафика является tcpdump . Это приложение с открытым исходным кодом, которое устанавливается практически во все Unix-подобных операционных системах. Tcpdump - отличный инструмент для сбора данных и поставляется с очень мощным механизмом фильтрации. Важно знать, как фильтровать данные во время сбора, чтобы в итоге получить управляемый фрагмент данных для анализа. Захват всех данных с сетевого устройства даже в умеренно загруженной сети может создать слишком много данных для простого анализа.

В некоторых редких случаях tcpdump позволяет выводить результат работы непосредственно на ваш экран, и этого может быть вполне достаточно, чтобы найти то, что вы ищете. Например, при написании статьи был захвачен некоторый трафик и замечено, что машина отправляет трафик на неизвестный IP-адрес. Оказывается, машина отправляла данные на IP-адрес Google 172.217.11.142. Поскольку не было запущено никаких продуктов Google, возник вопрос, почему это происходит.

Проверка системы показала следующее:

[ ~ ]$ ps -ef | grep google

Оставьте свой комментарий!

Утилита CommView служит для сбора и анализа трафика локальной сети и интернета . Программа захватывает и декодирует до самого низкого уровня проходящие по сети данные включая список сетевых соединений и IP пакеты более 70 наиболее распространенных сетевых протоколов. CommView ведет IP статистику, перехваченные пакеты можно сохранить в файл для последующего анализа. Используя в программе гибкую систему фильтров можно отбрасывать ненужные для захвата пакеты или перехватывать исключительно необходимые. Модуль VoIP, входящий в состав программы позволяет производить глубокий анализ, запись и воспроизведение голосовых сообщений стандартов SIP и H.323. CommView позволяет увидеть подробную картину проходящего через сетевую карту или отдельный сегмент сети информационного трафика.

Сканер интернета и локальной сети

В качестве сетевого сканера программа CommView пригодится системным администраторам, людям работающим в области сетевой безопасности, программистам разрабатывающим программное обеспечение использующее сетевые соединения. Утилита поддерживает русский язык, обладает дружественным интерфейсом, включает в себя подробную и понятную справочную систему по всем реализованным в программе функциям и возможностям.

Основные возможности CommView

• Перехват интернет или локального трафика проходящего через сетевой адаптер или dial-up контроллер
• Подробная статистика IP соединений (адреса, порты, сессии, имя хоста, процессы и т.д.)
• Воссоздание TCP сессии
• Настройка предупреждений о событиях
• Диаграммы IP протоколов и протоколов верхнего уровня
• Просмотр захваченных и декодированных пакетов в режиме реального времени
• Поиск в содержимом перехваченных пакетов по строкам или HEX данным
• Сохранение пакетов в архивы
• Загрузка и просмотр ранее сохраненных пакетов при отключенном соединении
• Экспорт и импорт архивов с пакетами в (из) форматов NI Observer или NAI Sniffer
• Получение информации о IP адресе
• Поддержка и декодирование протоколов: ARP, BCAST, RTSP, SAP, SER, SIP, SMB, SMTP, SNA, SNMP, SNTP, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG, DNS, EIGRP, FTP, G.723, GRE, H.225, H.261, H.263, H.323, HTTP, HTTPS, 802.1Q, 802.1X, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX, HSRP, LDAP, MS SQL, NCP, NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, LDAP, MS SQL, NCP, NDS, NetBIOS, RDP, RIP, RIPX, RMCP, RPC, RSVP, RTP, RTCP, SOCKS, SPX, SSH, TCP, TELNET, TFTP, TIME, TLS, UDP, VTP, WDOG, YMSG .

В некоторых случаях для обнаружения проблем функционирования сетевого стека узла и сегментов сети используется анализ сетевого трафика. Существуют средства, которые позволяют отобразить (прослушать) и проанализировать работу сети на уровне передаваемых фреймов, сетевых пакетов, сетевых соединений, датаграмм и прикладных протоколов .

В зависимости от ситуации для диагностики может быть доступен как трафик узла, на котором производится прослушивание сетевого трафика, так и трафик сетевого сегмента, порта маршрутизатора и т. д . Расширенные возможности для перехвата трафика основаны на "беспорядочном" (promiscuous) режиме работы сетевого адаптера: обрабатываются все фреймы (а не только те, которые предназначены данному MAC-адресу и широковещательные, как в нормальном режиме функционирования) .

В сети Ethernet существуют следующие основные возможности прослушивания трафика:

• В сети на основе концентраторов весь трафик домена коллизий доступен любой сетевой станции .
• В сетях на основе коммутаторов сетевой станции доступен ее трафик, а также весь широковещательный трафик данного сегмента .
• Некоторые управляемые коммутаторы имеют функцию копирования трафика данного порта на порт мониторинга ("зеркалирование",мониторинг порта).
• Использование специальных средств (ответвителей), включаемых в разрыв сетевого подключения и передающих трафик подключения на отдельный порт.
• "Трюк" с концентратором - порт коммутатора, трафик которого необходимо прослушать, включают через концентратор, подключив к концентратору также узел-монитор (при этом в большинстве случаев уменьшается производительность сетевого подключения).

Существуют программы (сетевые мониторы или анализаторы, sniffer ), которые реализуют функцию прослушивания сетевого трафика (в т.ч. в беспорядочном режиме), отображения его или записи в файл . Дополнительно ПО для анализа может фильтровать трафик на основе правил, декодировать (расшифровать) протоколы, считать статистику и диагностировать некоторые проблемы.

Примечание : Хорошим выбором базового инструмента для анализа сетевого трафика в графической среде является бесплатный пакет wireshark [ 43 ] , доступный для Windows и в репозиториях некоторых дистрибутивов Linux.

Утилита tcpdump

Консольная утилита tcpdump входит в состав большинства Unix-систем и позволяет перехватывать и отображать сетевой трафик [ 44 ] . Утилита использует libpcap , переносимую C/C++ библиотеку для перехвата сетевого трафика.

Для установки tcpdump в Debian можно использовать команду:

# apt-get install tcpdump

Для запуска данной утилиты необходимо иметь права суперпользователя (в частности, в связи с необходимостью перевода сетевого адаптера в "беспорядочный" режим). В общем виде формат команды имеет следующий вид:

tcpdump <опции> <фильтр-выражение>

Для вывода на консоль описание заголовков ( расшифрованные данные) перехваченных пакетов необходимо указать интерфейс для анализа трафика ( опция -i ):

# tcpdump -i eth0

Можно отключить преобразования IP адресов в доменные имена (т.к. при больших объемах трафика создается большое число запросов к DNS-серверу ) - опция -n :

# tcpdump -n -i eth0

Для вывода данных канального уровня (например, mac адреса и прочее) - опция -e :

# tcpdump -en -i eth0

Вывод дополнительной информации (например, TTL , опции IP ) - опция -v :

# tcpdump -ven -i eth0

Увеличение размера захватываемых пакетов (больше 68 байт по умолчанию) - опция -s с указанием размера (-s 0 - захватывать пакеты целиком):

Запись в файл (непосредственно пакеты - " дамп ") - опция -w с указанием имени файла:

# tcpdump -w traf.dump

Чтение пакетов из файла - опция - r с указанием имени файла:

# tcpdump -r traf.dump

По умолчанию tcpdump работает в беспорядочном режиме. Ключ -p указывает tcpdump перехватывать только трафик, предназначенный данному узлу.

Дополнительную информацию по ключам и формате фильтров tcpdump можно получить в справочном руководстве (man tcpdump ).

Анализ трафика на уровне сетевых интерфейсов и сетевом уровне с помощью tcpdump

Для выделения Ethernet -фреймов используются следующие конструкции tcpdump (общий вид):

tcpdump ether { src | dst | host } MAC_ADDRESS

где src - MAC-адрес источника, dst - MAC-адрес назначения, host - src или dst , а также для выделения широковещательного трафика.

Министерство образования и наук Российской Федерации

ГОУ «Санкт-Петербургский государственный политехнический университет»

Чебоксарский институт экономики и менеджмента (филиал)

Кафедра высшей математики и информационных технологий

РЕФЕРАТ

по курсу «Защита информации».

на тему: «Сетевые анализаторы»

Выполнил

студент 4 курса з/о 080502-51М

по специальности «Управление

на предприятии машиностроения»

Павлов К.В.

Проверил

Преподаватель

Чебоксары 2011

ВВЕДЕНИЕ

Сети Ethernet завоевали огромную популярность благодаря хорошей пропускной способности, простоте установки и приемлемой стоимости установки сетевого оборудования.
Однако технология Ethernet не лишена существенных недостатков. Основной из них состоит в незащищенности передаваемой информации. Компьютеры, подключенные к сети Ethernet, в состоянии перехватывать информацию, адресованную своим соседям. Причиной тому является принятый в сетях Ethernet так называемый широковещательный механизм обмена сообщениями.

Объединение компьютеров в сети ломает старые аксиомы защиты информации. Например, о статичности безопасности. В прошлом уязвимость системы могла быть обнаружена и устранена администратором системы путем установки соответствующего обновления, который мог только через несколько недель или месяцев проверить функционирование установленной "заплаты". Однако эта "заплата" могла быть удалена пользователем случайно или в процесс работы, или другим администратором при инсталляции новых компонент. Все меняется, и сейчас информационные технологии меняются настолько быстро, что статичные механизмы безопасности уже не обеспечивают полной защищенности системы.

До недавнего времени основным механизмом защиты корпоративных сетей были межсетевые экраны (firewall). Однако межсетевые экраны, предназначенные для защиты информационных ресурсов организации, часто сами оказываются уязвимыми. Это происходит потому, что системные администраторы создают так много упрощений в системе доступа, что в итоге каменная стена системы защиты становится дырявой, как решето. Защита с помощью межсетевых экранов (МСЭ) может оказаться нецелесообразной для корпоративных сетей с напряженным трафиком, поскольку использование многих МСЭ существенно влияет на производительность сети. В некоторых случаях лучше "оставить двери широко распахнутыми", а основной упор сделать на методы обнаружения вторжения в сеть и реагирования на них.

Для постоянного (24 часа в сутки 7 дней в неделю, 365 дней в год) мониторинга корпоративной сети на предмет обнаружения атак предназначены системы "активной" защиты - системы обнаружения атак. Данные системы выявляют атаки на узлы корпоративной сети и реагируют на них заданным администратором безопасности образом. Например, прерывают соединение с атакующим узлом, сообщают администратору или заносят информацию о нападении в регистрационные журналы.

1. СЕТЕВЫЕ АНАЛИЗАТОРЫ

1.1 IP - ALERT 1 ИЛИ ПЕРВЫЙ СЕТЕВОЙ МОНИТОР

Для начала следует сказать пару слов о локальном широковещании. В сети типа Ethernet подключенные к ней компьютеры, как правило, совместно используют один и тот же кабель, который служит средой для пересылки сообщений между ними.

Желающий передать какое-либо сообщение по общему каналу должен вначале удостовериться, что этот канал в данный момент времени свободен. Начав передачу, компьютер прослушивает несущую частоту сигнала, определяя, не произошло ли искажения сигнала в результате возникновения коллизий с другими компьютерами, которые ведут передачу своих данных одновременно с ним. При наличии коллизии передача прерывается и компьютер "замолкает" на некоторый интервал времени, чтобы попытаться повторить передачу несколько позднее. Если компьютер, подключенный к сети Ethernet, ничего не передает сам, он тем не менее продолжает "слушать" все сообщения, передаваемые по сети соседними компьютерами. Заметив в заголовке поступившей порции данных свой сетевой адрес, компьютер копирует эту порцию в свою локальную память.

Существуют два основных способа объединения компьютеров в сеть Ethernet. В первом случае компьютеры соединяются при помощи коаксиального кабеля. Этот кабель прокладывается от компьютера к компьютеру, соединяясь с сетевыми адаптерами Т-образным разъемом и замыкаясь по концам BNC-терминаторами. Такая топология на языке профессионалов называется сетью Ethernet 10Base2. Однако ее еще можно назвать сетью, в которой "все слышат всех". Любой компьютер, подключенный к сети, способен перехватывать данные, посылаемые по этой сети другим компьютером. Во втором случае каждый компьютер соединен кабелем типа "витая пара" с отдельным портом центрального коммутирующего устройства - концентратором или с коммутатором. В таких сетях, которые называются сетями Ethernet lOBaseT, компьютеры поделены на группы, именуемые доменами коллизий. Домены коллизий определяются портами концентратора или коммутатора, замкнутыми на общую шину. В результате коллизии возникают не между всеми компьютерами сети. а по отдельности - между теми из них, которые входят в один и тот же домен коллизий, что повышает пропускную способность сети в целом.

В последнее время в крупных сетях стали появляться коммутаторы нового типа, которые не используют широковещание и не замыкают группы портов между собой. Вместо этого все передаваемые по сети данные буферизуются в памяти и отправляются по мере возможности. Однако подобных сетей пока довольно мало - не более 5% от общего числа сетей типа Ethernet.

Таким образом, принятый в подавляющем большинстве Ethernet-сетей алгоритм передачи данных требует от каждого компьютера, подключенного к сети, непрерывного "прослушивания" всего без исключения сетевого трафика. Предложенные некоторыми людьми алгоритмы доступа, при использовании которых компьютеры отключались бы от сети на время передачи "чужих" сообщений, так и остались нереализованными из-за своей чрезмерной сложности, дороговизны внедрения и малой эффективности.

Что такое IPAlert-1 и откуда он взялся? Когда-то практические и теоретические изыскания авторов по направлению, связанному с исследованием безопасности сетей, навели на следующую мысль: в сети Internet, как и в других сетях (например, Novell NetWare, Windows NT), ощущалась серьезная нехватка программного средства защиты, осуществляющего комплексный контроль (мониторинг) на канальном уровне за всем потоком передаваемой по сети информации с целью обнаружения всех типов удаленных воздействий, описанных в литературе. Исследование рынка программного обеспечения сетевых средств защиты для Internet выявило тот факт, что подобных комплексных средств обнаружения удаленных воздействий не существовало, а те, что имелись, были предназначены для обнаружения воздействий одного конкретного типа (например, ICMP Redirect или ARP). Поэтому и была начата разработка средства контроля сегмента IP-сети, предназначенного для использования в сети Internet и получившее следующее название: сетевой монитор безопасности IP Alert-1.

Основная задача этого средства, программно анализирующего сетевой трафик в канале передачи, состоит не в отражении осуществляемых по каналу связи удаленных атак, а в их обнаружении, протоколировании (ведении файла аудита с протоколированием в удобной для последующего визуального анализа форме всех событий, связанных с удаленными атаками на данный сегмент сети) и незамедлительным сигнализировании администратору безопасности в случае обнаружения удаленной атаки. Основной задачей сетевого монитора безопасности IP Alert-1 является осуществление контроля за безопасностью соответствующего сегмента сети Internet.

Сетевой монитор безопасности IP Alert-1обладает следующими функциональными возможностями и позволяет путем сетевого анализа обнаружить следующие удаленные атаки на контролируемый им сегмент сети:

1. Контроль за соответствием IP- и Ethernet-адресов в пакетах, передаваемых хостами, находящимися внутри контролируемого сегмента сети.

На хосте IP Alert-1 администратор безопасности создает статическую ARP-таблицу, куда заносит сведения о соответствующих IP- и Ethernet- адресах хостов, находящихся внутри контролируемого сегмента сети.

Данная функция позволяет обнаружить несанкционированное изменение IP-адреса или его подмену (так называемый IP Spoofing, спуфинг, ип-спуфинг (жарг.)).

2. Контроль за корректным использованием механизма удаленного ARP-поиска. Эта функция позволяет, используя статическую ARP-таблицу, определить удаленную атаку "Ложный ARP-сервер".

3. Контроль за корректным использованием механизма удаленного DNS-поиска. Эта функция позволяет определить все возможные виды удаленных атак на службу DNS

4. Контроль за корректностью попыток удаленного подключения путем анализа передаваемых запросов. Эта функция позволяет обнаружить, во-первых, попытку исследования закона изменения начального значения идентификатора TCP-соединения - ISN, во-вторых, удаленную атаку "отказ в обслуживании", осуществляемую путем переполнения очереди запросов на подключение, и, в-третьих, направленный "шторм" ложных запросов на подключение (как TCP, так и UDP), приводящий также к отказу в обслуживании.

Таким образом, сетевой монитор безопасности IP Alert-1 позволяет обнаружить, оповестить и запротоколировать большинство видов удаленных атак. При этом данная программа никоим образом не является конкурентом системам Firewall. IP Alert-1, используя особенности удаленных атак на сеть Internet, служит необходимым дополнением - кстати, несравнимо более дешевым, - к системам Firewall. Без монитора безопасности большинство попыток осуществления удаленных атак на ваш сегмент сети останется скрыто от ваших глаз. Ни один из известных Firewall-ов не занимается подобным интеллектуальным анализом проходящих по сети сообщений на предмет выявления различного рода удаленных атак, ограничиваясь, в лучшем случае, ведением журнала, в который заносятся сведения о попытках подбора паролей, о сканировании портов и о сканировании сети с использованием известных программ удаленного поиска. Поэтому, если администратор IP-сети не желает оставаться безучастным и довольствоваться ролью простого статиста при удаленных атаках на его сеть, то ему желательно использовать сетевой монитор безопасности IP Alert-1.

Итак, пример IPAlert-1 показывает, какое важное место занимают сетевые мониторы в обеспечении безопасности сети.

Разумеется, современные сетевые мониторы поддерживают куда больше возможностей, их и самих стало достаточно много. Есть системы попроще, стоимостью в пределах 500 долларов, однако есть и мощнейшие системы, снабженные экспертными системами, способные проводить мощный эвристический анализ, их стоимость многократно выше – от 75 тысяч долларов.

1.2 ВОЗМОЖНОСТИ СОВРЕМЕННЫХ СЕТЕВЫХ АНАЛИЗАТОРОВ

Современные мониторы поддерживают множество других функций помимо своих основных по определению (которые рассматривались мной для IP Alert-1). Например, сканирование кабеля.

Сетевая статистика (коэффициент использования сегмента, уровень коллизий, уровень ошибок и уровень широковещательного трафика, определение скорости распространения сигнала); роль всех этих показателей состоит в том, что при превышении определенных пороговых значений можно говорить о проблемах на сегменте. Сюда же в литературе относят проверку легитимности сетевых адаптеров, если вдруг появляется «подозрительный» (проверка по МАС-адресу и т.п.).

Статистика ошибочных кадров. Укороченные кадры (shortframes) – это кадры, имеющие длину меньше допустимой, то есть меньше 64 байт. Этот тип кадров делится на два подкласса – короткие кадры с корректной контрольной суммой и коротышки (runts), не имеющие корректной контрольной суммы. Наиболее вероятной причиной появления таких вот «мутантов» является неисправность сетевых адаптеров. Удлиненные кадры, которые являются следствием затяжной передачи и говорят о проблемах в адаптерах. Кадры-призраки, которые являются следствием наводок на кабель. Нормальный процент ошибочных кадров в сети не должен быть выше 0,01%. Если он выше, то либо в сети есть технические неисправности, либо произведено несанкционированное вторжение.

Статистика по коллизиям. Указывает на количество и виды коллизий на сегменте сети и позволяет определить наличие проблемы и ее местонахождение. Коллизии бывают локальные (в одном сегменте) и удаленные (в другом сегменте по отношению к монитору). Обычно все коллизии в сетях типа Ethernet являются удаленными. Интенсивность коллизий не должна превышать 5%, а пики выше 20% говорят о серьезных проблемах.

Существует еще очень много возможных функций, все их перечислить просто нет возможности.

Хочу отметить, что мониторы бывают как программные, так и аппаратные. Однако они, как правило, играют больше статистическую функцию. Например, сетевой монитор LANtern. Он представляет собой легко монтируемое аппаратное устройство, помогающее супервизорам и обслуживающим организациям централизованно обслуживать и поддерживать сети, состоящие из аппаратуры различных производителей. Оно собирает статистические данные и выявляет тенденции, что позволяет оптимизировать производительность сети и ее расширение. Информация о сети выводится на центральной управляющей консоли сети. Таким образом, аппаратные мониторы не обеспечивают достойной защиты информации.

В ОС MicrosoftWindows содержится сетевой монитор (NetworkMonitor), однако он содержит серьезные уязвимости, о которых я расскажу ниже.

Рис. 1. Сетевой монитор ОС WINDOWS класса NT.

Интерфейс программы сложноват для освоения «на лету».

Рис. 2. Просмотр кадров в сетевом мониторе WINDOWS.

Большинство производителей в настоящее время стремятся сделать в своих мониторах простой и удобный интерфейс. Еще один пример – монитор NetPeeker (не так богат доп. Возможностями, но всё же):

Рис. 3. Дружественный интерфейс монитора NetPeeker.

Приведу пример интерфейса сложной и дорогой программы NetForensics (95000$):

Рис.4. Интерфейс NetForensics.

Существует некий обязательный набор «умений», которым мониторы обязательно должны обладать, согласно тенденциям сегодняшнего дня:

1. Как минимум:

• задание шаблонов фильтрации трафика;
• централизованное управление модулями слежения;
• фильтрация и анализ большого числа сетевых протоколов, в т.ч. TCP, UDP и ICMP;
• фильтрация сетевого трафика по протоколу, портам и IP-адресам отправителя и получателя;
• аварийное завершение соединения с атакующим узлом;
• управление межсетевыми экранами и маршрутизаторами;
• задание сценариев по обработке атак;
• запись атаки для дальнейшего воспроизведения и анализа;
• поддержкасетевыхинтерфейсов Ethernet, Fast Ethernet и Token Ring;
• отсутствие требования использования специального аппаратного обеспечения;
• установление защищенного соединения между компонентами системы, а также другими устройствами;
• наличие всеобъемлющей базы данных по всем обнаруживаемым атакам;
• минимальное снижение производительности сети;
• работа с одним модулем слежения с нескольких консолей управления;
• мощная система генерация отчетов;
• простота использования и интуитивно понятный графический интерфейс;
• невысокие системные требования к программному и аппаратному обеспечению.

2. Уметь создавать отчеты:

• Распределение трафика по пользователям;
• Распределение трафика по IP адресам;
• Распределение трафика по сервисам;
• Распределение трафика по протоколам;
• Распределение трафика по типу данных (картинки, видео, тексты, музыка);
• Распределение трафика по программам, используемыми пользователями;
• Распределение трафика по времени суток;
• Распределение трафика по дням недели;
• Распределение трафика по датам и месяцам;
• Распределение трафика по сайтам, по которым ходил пользователь;
• Ошибки авторизации в системе;
• Входы и выходы из системы.

Примеры конкретных атак, которые могут распознавать сетевые мониторы:

"Отказ в обслуживании" (Denial of service) . Любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д. Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п.

" Неавторизованный доступ " (Unauthorized access attempt). Любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т.п.

"Предварительные действия перед атакой" (Pre-attack probe)
Любое действие или последовательность действий по получению информации ИЗ или О сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа. Примером может служить сканирование портов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п.

"Подозрительная активность" (Suspicious activity)
Сетевой трафик, выходящий за рамки определения "стандартного" трафика. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п.

"Анализ протокола" (Protocol decode. Сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т.п.

1.3 ОПАСНОСТИ ПРИМЕНЕНИЯ СЕТЕВЫХ МОНИТОРОВ

Применение сетевых мониторов также таит в себе потенциальную опасность. Хотя бы потому, что через них проходит огромное количество информации, в том числе и конфиденциальной. Рассмотрим пример уязвимости на примере вышеупомянутого NetworkMonitor, входящего в поставку Windows семейства NT. В этом мониторе существует так называемая HEX-панель (см. рис. 2), которая позволяет увидеть данные кадра в виде текста ASCII. Здесь, например, можно увидеть гуляющие по сети незашифрованные пароли. Можно попробовать, например, прочесть пакеты почтового приложения Eudora. Потратив немного времени, можно спокойно увидеть их в открытом виде. Впрочем, начеку надо быть всегда, так как и шифрование не спасает. Здесь возможны два случая. В литературе есть жаргонный термин «похабник» - это сосед определенной машины в том же сегменте, на том же хабе, или, как это называется сейчас, свитче. Так вот, если «продвинутый» «похабник» решил просканировать трафик сети и повыуживать пароли, то администратор с легкостью вычислит такого злоумышленника, поскольку монитор поддерживает идентификацию пользователей, его использующих. Достаточно нажать кнопку – и перед администратором открывается список «хакеров-похабников». Гораздо более сложной является ситуация, когда совершается атака извне, например, из сети Интернет. Сведения, предоставляемые монитором, чрезвычайно информативны. Показывается список всех захваченных кадров, порядковые номера кадров, времена их захвата, даже МАС-адреса сетевых адаптеров, что позволяет идентифицировать компьютер вполне конкретно. Панель детальной информации содержит «внутренности» кадра – описание его заголовков и т.д. Даже любопытному новичку многое здесь покажется знакомым.

Внешние атаки куда более опасны, так как, как правило, вычислить злоумышленника очень и очень сложно. Для защиты в этом случае необходимо использовать на мониторе парольную защиту. Если драйвер сетевого монитора установлен, а пароль не задан, то любой, кто использует на другом компьютере сетевой монитор из той же поставки (та же программа), может присоединиться к первому компьютеру и использовать его для перехвата данных в сети. Кроме того, сетевой монитор должен обеспечивать возможность обнаружения других инсталляций в локальном сегменте сети. Однако здесь тоже есть своя сложность. В некоторых случаях архитектура сети может подавить обнаружение одной установленной копии сетевого монитора другой. Например, если установленная копия сетевого монитора отделяется от второй копии маршрутизатором, который не пропускает многоадресные посылки, то вторая копия сетевого монитора не сможет обнаружить первую.

Хакеры и прочие злоумышленники не теряют времени даром. Они постоянно ищут все новые и новые способы вывода из строя сетевых мониторов. Оказывается, способов много, начиная от вывода монитора из строя переполнением его буфера, заканчивая тем, что можно заставить монитор выполнить любую команду, посланную злоумышленником.

Существуют специальные лаборатории, анализирующие безопасность ПО. Их отчеты внушают тревогу, так как серьезные бреши находятся довольно часто. Примеры реальных брешей в реальных продуктах:

1. RealSecure - коммерческая Система Обнаружения Вторжения (IDS) от ISS.

RealSecure ведет себя нестабильно при обработке некоторых DHCP сигнатур (DHCP_ACK - 7131, DHCP_Discover - 7132, и DHCP_REQUEST - 7133), поставляемых с системой. Посылая злонамеренный DHCP трафик, уязвимость позволяет удаленному нападающему нарушить работу программы. Уязвимостьобнаруженав Internet Security Systems RealSecure Network Sensor 5.0 XPU 3.4-6.5

2. Программа: RealSecure 4.9 network-monitor

Опасность: Высокая; наличие эксплоита: Нет.

Описание: Несколько уязвимостей обнаружено в RS. Удаленный пользователь может определить местоположение устройства. Удаленный пользователь может также определить и изменить конфигурацию устройства.

Решение: Установите обновленную версию программы. Обратитесь к производителю.

1.4 АНАЛИЗАТОРЫ ПРОТОКОЛОВ, ИХ ДОСТОИНСТВА, ОПАСНОСТИ И МЕТОДЫ ЗАЩИТЫ ОТ ОПАСНОСТЕЙ

Анализаторы протоколов являются отдельным классом программного обеспечения, хотя они, по сути, есть часть сетевых мониторов. В каждый монитор встроено как минимум несколько анализаторов протоколов. Зачем же тогда их применять, если можно реализовать более достойную систему на сетевых мониторах? Во-первых, устанавливать мощный монитор не всегда целесообразно, а во-вторых, далеко не каждая организация может позволить себе приобрести его за тысячи долларов. Иногда встает вопрос о том, не будет ли монитор сам по себе дороже той информации, защиту которой он призван обеспечить? Вот в таких (или подобных) случаях и применяются анализаторы протоколов в чистом виде. Роль их схожа с ролью мониторов.

Сетевой адаптер каждого компьютера в сети Ethernet, как правило, "слышит" все, о чем "толкуют" между собой его соседи по сегменту этой сети. Но обрабатывает и помещает в свою локальную память он только те порции (так называемые кадры) данных, которые содержат уникальный адрес, присвоенный ему в сети. В дополнение к этому подавляющее большинство современных Ethernet-адаптеров допускают функционирование в особом режиме, называемом беспорядочным (promiscuous), при использовании которого адаптер копирует в локальную память компьютера все без исключения передаваемые по сети кадры данных. Специализированные программы, переводящие сетевой адаптер в беспорядочный режим и собирающие весь трафик сети для последующего анализа, называются анализаторами протоколов.

Последние широко применяются администраторами сетей для осуществления контроля за работой этих сетей. К сожалению, анализаторы протоколов используются и злоумышленниками, которые с их помощью могут наладить перехват чужих паролей и другой конфиденциальной информации.

Надо отметить, что анализаторы протоколов представляют серьезную опасность. Установить анализатор протоколов мог посторонний человек, который проник в сеть извне (например, если сеть имеет выход в Internet). Но это могло быть и делом рук "доморощенного" злоумышленника, имеющего легальный доступ к сети. В любом случае, к сложившейся ситуации следует отнестись со всей серьезностью. Специалисты в области компьютерной безопасности относят атаки на компьютеры при помощи анализаторов протоколов к так называемым атакам второго уровня. Это означает, что компьютерный взломщик уже сумел проникнуть сквозь защитные барьеры сети и теперь стремится развить свой успех. При помощи анализатора протоколов он может попытаться перехватить регистрационные имена и пароли пользователей, их секретные финансовые данные (например, номера кредитных карточек) и конфиденциальные сообщения (к примеру, электронную почту). Имея в своем распоряжении достаточные ресурсы, компьютерный взломщик в принципе может перехватывать всю информацию, передаваемую по сети.

Анализаторы протоколов существуют для любой платформы. Но даже если окажется, что для какой-то платформы анализатор протоколов пока еще не написан, с угрозой, которую представляет атака на компьютерную систему при помощи анализатора протоколов, по-прежнему приходится считаться. Дело в том, что анализаторы протоколов подвергают анализу не конкретный компьютер, а протоколы. Поэтому анализатор протоколов может быть инсталлирован в любой сегмент сети и оттуда осуществлять перехват сетевого трафика, который в результате широковещательных передач попадает в каждый компьютер, подключенный к сети.

Наиболее частыми целями атак компьютерных взломщиков, которые те осуществляют посредством использования анализаторов протоколов, являются университеты. Хотя бы из-за огромного количества различных регистрационных имен и паролей, которые могут быть украдены в ходе такой атаки. Использование анализатора протоколов на практике не является такой уж легкой задачей, как это может показаться. Чтобы добиться пользы от анализатора протоколов, компьютерный взломщик должен обладать достаточными знаниями в области сетевых технологий. Просто установить и запустить анализатор протоколов на исполнение нельзя, поскольку даже в небольшой локальной сети из пяти компьютеров за час трафик составляет тысячи и тысячи пакетов. И следовательно, за короткое время выходные данные анализатора протоколов заполнят доступную память "под завязку". Поэтому компьютерный взломщик обычно настраивает анализатор протоколов так, чтобы он перехватывал только первые 200-300 байт каждого пакета, передаваемого по сети. Обычно именно в заголовке пакета размещается информация о регистрационном имени и пароле пользователя, которые, как правило, больше всего интересуют взломщика. Тем не менее, если в распоряжении взломщика достаточно пространства на жестком диске, то увеличение объема перехватываемого им трафика пойдет ему только на пользу и позволит дополнительно узнать много интересного.

В руках сетевого администратора анализатор протоколов является весьма полезным инструментом, который помогает ему находить и устранять неисправности, избавляться от узких мест, снижающих пропускную способность сети, и своевременно обнаруживать проникновение в нее компьютерных взломщиков. А как уберечься от злоумышленников? Посоветовать можно следующее. Вообще, эти советы относятся не только к анализаторам, но и к мониторам. Во-первых, попытаться обзавестись сетевым адаптером, который принципиально не может функционировать в беспорядочном режиме. Такие адаптеры в природе существуют. Некоторые из них не поддерживают беспорядочный режим на аппаратном уровне (таких меньшинство), а остальные просто снабжаются спецдрайвером, который не допускает работу в беспорядочном режиме, хотя этот режим и реализован аппаратно. Чтобы отыскать адаптер, не имеющий беспорядочного режима, достаточно связаться со службой технической поддержки любой компании, торгующей анализаторами протоколов, и выяснить, с какими адаптерами их программные пакеты не работают. Во-вторых, учитывая, что спецификация РС99, подготовленная в недрах корпораций Microsoft и Intel, требует безусловного наличия в сетевой карте беспорядочного режима, приобрести современный сетевой интеллектуальный коммутатор, который буферизует передаваемое по сети сообщение в памяти и отправляет его по мере возможности точно по адресу. Тем самым надобность в "прослушивании" адаптером всего трафика для того, чтобы выуживать из него сообщения, адресатом которых является данный компьютер, отпадает. В-третьих, не допускать несанкционированного внедрения анализаторов протоколов на компьютеры сети. Здесь следует применять средства из арсенала, который используется для борьбы с программными закладками и в частности - с троянскими программами (установка брандмауэров) В-четвертых, шифровать весь трафик сети. Имеется широкий спектр программных пакетов, которые позволяют делать это достаточно эффективно и надежно. Например, возможность шифрования почтовых паролей предоставляется надстройкой над почтовым протоколом POP (Post Office Protocol) - протоколом APOP (Authentication POP). При работе с APOP по сети каждый раз передается новая шифрованная комбинация, которая не позволяет злоумышленнику извлечь какую-либо практическую пользу из информации, перехваченной с помощью анализатора протоколов. Проблема только в том, что сегодня не все почтовые серверы и клиенты поддерживают APOP.

Другой продукт под названием Secure Shell, или сокращенно - SSL, был изначально разработан легендарной финской компанией SSH Communications Security (http://www.ssh.fi) и в настоящее время имеет множество реализаций, доступных бесплатно через Internet. SSL представляет собой защищенный протокол для осуществления безопасной передачи сообщений по компьютерной сети с помощью шифрования.

Особую известность приобрели программные пакеты, предназначенные для защиты передаваемых по сети данных путем шифрования и объединенные присутствием в их названии аббревиатуры PGP, что означает Pretty Good Privacy.

Примечательно, что в семействе протокольных анализаторов есть достойные отечественные разработки. Яркий пример – многофункциональный анализатор Observer (разработка компании “ProLAN”).

Рис. 5. Интерфейс русского анализатора Observer.

Но, как правило, большинство анализаторов имеют куда более простой интерфейс и меньшее количество функций. Например, программа Ethereal.

Рис. 6. Интерфейс зарубежного анализатора Ethereal.

ЗАКЛЮЧЕНИЕ

Сетевые мониторы, как и анализаторы протоколов, представляют собой мощное и эффективное средство администрирования компьютерных сетей, так как позволяют с большой точностью оценить многие параметры работы сети, такие как скорости прохождения сигналов, участки скопления коллизий и т.д. Однако главная их задача, с которой они успешно справляются – это выявление атак на компьютерные сети и оповещение администратора о них на основе анализа трафика. Вместе с тем, применение этих программных средств таит в себе потенциальную опасность, так как, ввиду того, что информация проходит через мониторы и анализаторы, может быть осуществлен несанкционированный съем этой информации. Системному администратору требуется уделять должное внимание защите своей сети и помнить о том, что комбинированная защита намного эффективнее. Следует внимательно относиться к выбору программного средства анализа трафика, исходя из реальной стоимости информации, которую предполагается охранять, вероятности вторжения, ценности информации для третьих лиц, наличие уже готовых защитных решений, возможности бюджета организации. Грамотный выбор решения будет способствовать уменьшению вероятности несанкционированного доступа и не будет слишком «тяжелым» в плане финансирования. Всегда следует помнить, что на сегодняшний день нет совершенного средства безопасности, и это относится, конечно же, к мониторам и анализаторам. Всегда следует помнить, что каким бы совершенным не был монитор, он окажется не готовым к новым видам угроз, распознавание которых в него не программировалось. Соответственно, следует не только грамотно спланировать защиту сетевой инфраструктуры предприятия, но и постоянно следить за обновлениями используемых программных продуктов.

ЛИТЕРАТУРА

1. Атака на Интернет. И.Д. Медведковский, П.В. Семьянов, Д.Г. Леонов. – 3-е изд., стер. – М.: ДМК, 2000

2. MicrosoftWindows 2000. Справочник администратора. Серия «ITProfessional» (пер. с англ.). У.Р. Станек. – М.: Издательско-торговый дом «Русская Редакция», 2002.

3. Networking Essentials. Э. Титтел, К. Хадсон, Дж.М. Стюарт. Пер. с англ. – СПб.: Издательство «Питер», 1999

4. Информация о брешах в программных продуктах взята из базы данных сервера SecurityLab (www.securitylab.ru)

5. Вычислительные сети. Теория и практика. http://network-journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=3&pa=9&ar=1

6. Сетевой Анализ. Статья в 2-х частях. http://www.ru-board.com/new/article.php?sid=120

7. Электронный словарь телекоммуникационных терминов. http://europestar.ru/info/

8. Программно-аппаратные методы защиты от удаленных атак в сети Интернет. http://personal.primorye.ru/desperado/Xattack/7.2.htm

9. Безопасность в сетевом мониторе. Самоучитель по WindowsXP. http://www.soft32.ru/literature.shtml?topic=windows&book=WinXP&page=Glava16/Index0.htm&subpage=Glava16/Index52.htm

10. Документация на монитор RealSecure. Предоставлена производителем в электронном виде по запросу.

11. Безопасность компьютерных систем. Анализаторы протоколов. http://kiev-security.org.ua/box/12/130.shtml

12. Интернет-сервер российского разработчика анализаторов – компании “ProLAN” http://www.prolan.ru/

Общие сведения

Инструментальные средства, называемые сетевыми анализаторами, получили свое имя в честь Sniffer Network Analyzer. Этот продукт был выпущен в 1988 году компанией Network General (теперь -- Network Associates) и стал одним из первых устройств, позволяющих менеджерам буквально не выходя из-за стола узнать о том, что происходит в крупной сети. Первые анализаторы считывали заголовки сообщений в пакетах данных, пересылаемых по сети, предоставляя, таким образом, администраторам информацию об адресах отправителей и получателей, размере файлов и другие сведения низкого уровня. Причем все это -- в дополнение к проверке корректности передачи пакетов. С помощью графов и текстовых описаний анализаторы помогали сетевым администраторам провести диагностику серверов, сетевых каналов, концентраторов и коммутаторов, а также приложений. Грубо говоря, сетевой анализатор прослушивает или "обнюхивает" ("sniffs") пакеты определенного физического сегмента сети. Это позволяет анализировать трафик на наличие некоторых шаблонов, исправлять определенные проблемы и выявлять подозрительную активность. Сетевая система обнаружения вторжений является ничем иным, как развитым анализатором, который сопоставляет каждый пакет в сети с базой данных известных образцов вредоносного трафика, аналогично тому, как антивирусная программа поступает с файлами в компьютере. В отличие от средств, описанных ранее, анализаторы действуют на более низком уровне.

Если обратиться к эталонной модели ВОС, то анализаторы проверяют два нижних уровня - физический и канальный.

Номер уровня модели ВОС	Название уровня	Примеры протоколов
Уровень 7	Прикладной уровень	DNS, FTP, HTTP, SMTP, SNMP, Telnet
Уровень 6	Уровень представления
Уровень 5	Уровень сеанса
Уровень 4	Транспортный уровень	NetBIOS, TCP, UDP
Уровень 3	Сетевой уровень	ARP, IP, IPX, OSPF
Уровень 2	Канальный уровень	Arcnet, Ethernet, Token ring
Уровень 1	Физический уровень	Коаксиальный кабель, оптоволокно, витая пара

Физический уровень - это реальная физическая проводка или иная среда, примененная для создания сети. На канальном уровне происходит первоначальное кодирование данных для передачи через конкретную среду. Сетевые стандарты канального уровня включают беспроводной 802.11, Arcnet, коаксиальный кабель, Ethernet, Token Ring и многое другое. Анализаторы обычно зависят от типа сети, в которой они работают. Например, для анализа трафика в сети Ethernet вы должны иметь анализатор Ethernet.

Существуют анализаторы коммерческого класса, от таких производителей, как Fluke, Network General и других. Обычно это специальные аппаратные устройства, которые могут стоить десятки тысяч долларов. Хотя эти аппаратные средства способны осуществлять более глубокий анализ, можно создать недорогой сетевой анализатор с помощью программного обеспечения с открытыми исходными текстами и недорогого ПК на Intel-платформе.

Виды анализаторов

Сейчас выпускается множество анализаторов, которые подразделяются на два вида. К первому относятся автономные продукты, устанавливаемые на мобильном компьютере. Консультант может брать его с собой при посещении офиса клиента и подключать к сети, чтобы собрать данные диагностики.

Первоначально портативные устройства, предназначенные для тестирования работы сетей, были рассчитаны исключительно на проверку технических параметров кабеля. Однако со временем производители наделили свое оборудование рядом функций анализаторов протоколов. Современные сетевые анализаторы способны обнаруживать широчайший спектр возможных неполадок -- от физического повреждения кабеля до перегрузки сетевых ресурсов.

Второй вид анализаторов является частью более широкой категории аппаратного и программного обеспечения, предназначенного для мониторинга сети и позволяющего организациям контролировать свои локальные и глобальные сетевые службы, в том числе Web. Эти программы дают администраторам целостное представление о состоянии сети. Например, с помощью таких продуктов можно определить, какие из приложений выполняются в данный момент, какие пользователи зарегистрировались в сети и кто из них генерирует основной объем трафика.

Помимо выявления низкоуровневых характеристик сети, например источник пакетов и пункт их назначения, современные анализаторы декодируют полученные сведения на всех семи уровнях сетевого стека Open System Interconnection (OSI) и зачастую выдают рекомендации по устранению проблем. Если же анализ на уровне приложения не позволяет дать адекватную рекомендацию, анализаторы производят исследование на более низком, сетевом уровне.

Современные анализаторы обычно поддерживают стандарты удаленного мониторинга (Rmon и Rmon 2), которые обеспечивают автоматическое получение основных данных о производительности, таких как информация о нагрузке на доступные ресурсы. Анализаторы, поддерживающие Rmon, могут регулярно проверять состояние сетевых компонентов и сравнивать полученные данные с накопленными ранее. Если необходимо, они выдадут предупреждение о том, что уровень трафика или производительность превосходит ограничения, установленные сетевыми администраторами.

Компания NetScout Systems представила систему nGenius Application Service Level Manager, предназначенную для контроля времени реакции на отдельных участках канала доступа к Web-сайту и определения текущей производительности серверов. Это приложение может анализировать производительность в общедоступной сети, с тем, чтобы воссоздавать общую картину на компьютере пользователя. Датская фирма NetTest (бывшая GN Nettest) начала предлагать Fastnet -- систему сетевого мониторинга, которая помогает компаниям, занимающимся электронным бизнесом, планировать емкость каналов, искать и устранять неисправности в сети.

Анализ конвергентных (мультисервисных) сетей

Распространение мультисервисных сетей (converged networks) может оказать решающее влияние на развитие телекоммуникационных систем и систем передач данных в будущем. Идея объединить в единой сетевой инфраструктуре, основанной на пакетном протоколе, возможность передачи и данных, и голосовых потоков, и видеоинформации - оказалась весьма заманчивой для провайдеров, специализирующихся на предоставлении телекоммуникационных сервисов, ведь она в одно мгновенье способна существенно расширить спектр предоставляемых ими услуг.

По мере того как корпорации начинают осознавать эффективность и ценовые преимущества конвергентных сетей на базе протокола IP, производители сетевых инструментальных средств активно разрабатывают соответствующие анализаторы. В первой половине года многие фирмы представили компоненты для своих продуктов сетевого администрирования, рассчитанные на передачу голоса по IP-сетям.

«Конвергенция породила новые сложности, с которыми приходится иметь дело сетевым администраторам, -- заметил Гленн Гроссман, директор по управлению продуктами компании NetScout Systems. -- Голосовой трафик очень чувствителен к временным задержкам. Анализаторы могут просматривать каждый бит и байт, передаваемый по проводам, интерпретировать заголовки и автоматически определять приоритет данных».

Использование технологий конвергенции голоса и данных может пробудить новую волну интереса к анализаторам, поскольку поддержка приоритетности трафика на уровне IP-пакетов становится существенной для функционирования голосовых и видеослужб. Например, фирма Sniffer Technologies выпустила Sniffer Voice -- инструментарий, предназначенный для администраторов мультисервисных сетей. Этот продукт не только предоставляет традиционные службы диагностики для управления трафиком электронной почты, Internet и баз данных, но и выявляет сетевые проблемы, а также дает рекомендации по их устранению, дабы обеспечить корректную передачу голосового трафика по IP-сетям.

Обратная сторона использования анализаторов

Следует помнить, что с анализаторами связаны две стороны медали. Они помогают поддерживать сеть в рабочем состоянии, но их могут применять и хакеры для поиска в пакетах данных имен пользователей и паролей. Для предотвращения перехвата паролей посредством анализаторов служит шифрование заголовков пакетов (например, с помощью стандарта Secure Sockets Layer).

В конце концов, пока не существует альтернативы сетевому анализатору в тех ситуациях, когда необходимо понять, что же происходит в глобальной или корпоративной сети. Хороший анализатор позволяет разобраться в состоянии сетевого сегмента и определить объем трафика, а также установить, как этот объем варьируется в течение дня, какие пользователи создают самую большую нагрузку, в каких ситуациях возникают проблемы с распространением трафика или возникает нехватка полосы пропускания. Благодаря применению анализатора можно получить и проанализировать все фрагменты данных в сетевом сегменте за данный период.

Однако сетевые анализаторы стоят дорого. Если вы планируете приобрести его, то прежде четко сформулируйте, чего вы от него ожидаете.

Особенности применения сетевых анализаторов

Чтобы применять сетевые анализаторы этично и продуктивно, необходимо выполнять следующие рекомендации.

Всегда необходимо разрешение

Анализ сети, как и многие другие функции безопасности, имеет потенциал для ненадлежащего использования. Перехватывая все данные, передаваемые по сети, можно подсмотреть пароли для различных систем, содержимое почтовых сообщений и другие критичные данные, как внутренние, так и внешние, так как большинство систем не шифрует свой трафик в локальной сети. Если подобные данные попадут в нехорошие руки, это, очевидно, может привести к серьезным нарушениям безопасности. Кроме того, это может стать нарушением приватности служащих. Прежде всего, следует получить письменное разрешение руководства, желательно высшего, прежде чем начинать подобную деятельность. Следует также предусмотреть, что делать с данными после их получения. Помимо паролей, это могут быть другие критичные данные. Как правило, протоколы сетевого анализа должны вычищаться из системы, если только они не нужны для уголовного или гражданского преследования. Существуют документированные прецеденты, когда благонамеренных системных администраторов увольняли за несанкционированный перехват данных.

Нужно понимать топологию сети

Прежде чем настраивать анализатор, необходимо полностью разобраться в физической и логической организацию данной сети. Проводя анализ в неправильном месте сети, можно получит ь ошибочные результаты или просто не найти то, что нужно. Необходимо проверить отсутствие маршрутизаторов между анализирующей рабочей станцией и местом наблюдения. Маршрутизаторы будут направлять трафик в сегмент сети, только если происходит обращение к расположенному там узлу. Аналогично, в коммутируемой сети, понадобится сконфигурировать порт, с которым установлено подключение, как порт "монитора" или "зеркала". Разные производители используют различную терминологию, но, по сути, необходимо, чтобы порт действовал как концентратор, а не как коммутатор, так как он должен видеть весь трафик, идущий через коммутатор, а не только тот, что направлен на рабочую станцию. Без такой настройки порт монитора будет видеть только то, что направлено в порт, с которым установлено подключение, и сетевой широковещательный трафик.

Необходимо использовать жесткие критерии поиска

В зависимости от того, что требуется найти, использование открытого фильтра (то есть показ всего) сделает вывод данных объемным и трудным для анализа. Лучше использовать специальные критерии поиска, чтобы сократить вывод, который выдает анализатор. Даже если не известно точно, что нужно искать, можно, тем не менее, написать фильтр для ограничения результатов поиска. Если требуется найти внутреннюю машину, правильно будет задать критерии для просмотра только исходных адресов внутри данной сети. Если необходимо отследить определенный тип трафика, скажем, трафик FTP, то можно ограничить результаты только тем, что приходит в порт, используемый приложением. Поступая таким образом, можно добиться значительно лучших результатов анализа.

Установка эталонного состояния сети

Применив сетевой анализатор во время нормальной работы , и записав итоговые результаты, достигается эталонное состояние, которое можно сравнивать с результатами, полученными во время попыток выделения проблемы. Анализатор Ethereal, рассматриваемый ниже, создает для этого несколько удобных отчетов. Будут получены также некоторые данные для отслеживания использования сети в зависимости от времени. При помощи этих данных можно определить, когда сеть насыщается и каковы основные причины этого - перегруженный сервер, рост числа пользователей, изменение типа трафика и т.п. Если есть точка отсчета, проще понять, кто и в чем виноват.