tcpdump

Głównym narzędziem do zbierania prawie wszystkich danych o ruchu sieciowym jest tcpdump. Jest to aplikacja typu open source, którą można zainstalować na prawie wszystkich systemach operacyjnych typu Unix. Tcpdump to doskonałe narzędzie do gromadzenia danych wyposażone w bardzo wydajny silnik filtrujący. Ważne jest, aby wiedzieć, jak filtrować dane podczas gromadzenia, aby uzyskać łatwy w zarządzaniu fragment danych do analizy. Przechwycenie wszystkich danych z urządzenia sieciowego, nawet w umiarkowanie obciążonej sieci, może spowodować utworzenie zbyt dużej ilości danych do prostej analizy.

W niektórych rzadkich przypadkach tcpdump może wyświetlić dane wyjściowe bezpośrednio na ekranie, co może wystarczyć do znalezienia tego, czego szukasz. Na przykład podczas pisania artykułu przechwycono część ruchu i zauważono, że komputer wysyła ruch na nieznany adres IP. Okazuje się, że maszyna wysyłała dane na adres IP Google 172.217.11.142. Ponieważ nie wprowadzono na rynek żadnych produktów Google, pojawiło się pytanie, dlaczego tak się dzieje.

Kontrola systemu wykazała co następuje:

[ ~ ]$ ps -ef | grep google

Zostaw swój komentarz!

Pożytek CommView służy do gromadzenia i analizowania ruchu w sieci lokalnej i Internecie. Program przechwytuje i dekoduje dane przechodzące przez sieć do najniższego poziomu, w tym listę połączeń sieciowych i pakiety IP ponad 70 najpopularniejszych protokołów sieciowych. CommView prowadzi statystyki IP; przechwycone pakiety można zapisać w pliku w celu późniejszej analizy. Korzystając z elastycznego systemu filtrów w programie, możesz odrzucić niepotrzebne do przechwytywania pakietów lub przechwytywać tylko te niezbędne. Zawarty w programie moduł VoIP pozwala na dogłębną analizę, nagrywanie i odtwarzanie komunikatów głosowych w standardzie SIP i H.323. CommView pozwala zobaczyć szczegółowy obraz ruchu informacyjnego przechodzącego przez kartę sieciową lub oddzielny segment sieci.

Skaner Internetu i sieci lokalnej

Jako skaner sieciowy program CommView przyda się administratorom systemów, osobom pracującym w obszarze bezpieczeństwa sieci oraz programistom tworzącym oprogramowanie wykorzystujące połączenia sieciowe. Narzędzie obsługuje język rosyjski, posiada przyjazny interfejs oraz zawiera szczegółowy i zrozumiały system pomocy dla wszystkich funkcji i możliwości zaimplementowanych w programie.

Kluczowe funkcje CommView

• Przechwytywanie ruchu internetowego lub lokalnego przechodzącego przez kartę sieciową lub kontroler połączenia telefonicznego
• Szczegółowe statystyki połączeń IP (adresy, porty, sesje, nazwa hosta, procesy itp.)
• Odtwarzanie sesji TCP
• Konfigurowanie alertów o zdarzeniach
• Schematy protokołów IP i protokołów wyższego poziomu
• Przeglądaj przechwycone i zdekodowane pakiety w czasie rzeczywistym
• Przeszukuj zawartość przechwyconych pakietów według ciągu znaków lub danych HEX
• Zapisywanie pakietów do archiwów
• Pobieraj i przeglądaj wcześniej zapisane pakiety po rozłączeniu połączenia
• Eksport i import archiwów z pakietami w formatach (z) NI Observer lub NAI Sniffer
• Uzyskanie informacji o adresie IP
• Obsługa protokołów i dekodowanie: ARP, BCAST, RTSP, SAP, SER, SIP, SMB, SMTP, SNA, SNMP, SNTP, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG, DNS, EIGRP, FTP, G.723, GRE, H. 225, H.261, H.263, H.323, HTTP, HTTPS, 802.1Q, 802.1X, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX, HSRP, LDAP, MS SQL, NCP , NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, LDAP, MS SQL, NCP, NDS, NetBIOS, RDP, RIP, RIPX, RMCP, RPC, RSVP, RTP, RTCP, SOCKS, SPX, SSH, TCP, TELNET, TFTP, CZAS, TLS, UDP, VTP, WDOG, YMSG.

W niektórych przypadkach analiza ruchu sieciowego służy do wykrycia problemów w funkcjonowaniu stosu sieciowego hosta i segmentów sieci. Istnieją narzędzia, które pozwalają wyświetlać (nasłuchiwać) i analizować działanie sieci na poziomie przesyłanych ramek, pakietów sieciowych, połączeń sieciowych, datagramów i protokołów aplikacji.

W zależności od sytuacji do diagnostyki może zostać udostępniony zarówno ruch węzła, na którym nasłuchiwany jest ruch sieciowy, jak i ruch segmentu sieci, portu routera itp.. Zaawansowane możliwości przechwytywania ruchu opierają się na tryb „rozwiązły”. działanie karty sieciowej: przetwarzane są wszystkie ramki (a nie tylko te przeznaczone dla danego adresu MAC i rozgłoszone, jak przy normalnej pracy).

W sieci Ethernet istnieją następujące podstawowe możliwości nasłuchiwania ruchu:

• W sieci opartej na koncentratorach cały ruch w domenie kolizyjnej jest dostępny dla dowolnej stacji sieciowej.
• W sieciach opartych na przełącznikach stacji sieciowych dostępny jest zarówno jej ruch, jak i cały ruch rozgłoszeniowy tego segmentu.
• Niektóre przełączniki zarządzane mają możliwość kopiowania ruchu z danego portu do portu monitorującego(„mirroring”, monitorowanie portów).
• Zastosowanie specjalnych środków (sprzęgaczy), które wchodzą w skład połączenia sieciowego, przerywają i przesyłają ruch połączeniowy do osobnego portu.
• „Sztuczka” z koncentratorem- port przełącznika, którego ruch ma być nasłuchiwany, jest włączany przez koncentrator, łącząc również węzeł monitorujący z koncentratorem (w tym przypadku w większości przypadków wydajność połączenia sieciowego jest zmniejszona).

Istnieją programy ( monitory lub analizatory sieci, sniffer), które realizują funkcję nasłuchiwania ruchu sieciowego (w tym w trybie promiscious), wyświetlania go lub zapisywania do pliku. Dodatkowo oprogramowanie analityczne może filtrować ruch w oparciu o reguły, dekodować (odszyfrowywać) protokoły, czytać statystyki i diagnozować niektóre problemy.

Notatka: Dobry wybór podstawowego narzędzia do analizy ruchu sieciowego w środowisko graficzne to darmowy pakiet wireshark[43], dostępny dla systemu Windows oraz w repozytoriach niektórych dystrybucji Linuksa.

narzędzie tcpdump

Narzędzie konsoli tcpdump jest dołączone do większości systemów Unix i umożliwia przechwytywanie i wyświetlanie ruchu sieciowego [44]. Narzędzie wykorzystuje libpcap, przenośną bibliotekę C/C++ do przechwytywania ruchu sieciowego.

Aby zainstalować tcpdump na Debianie, możesz użyć polecenia:

# apt-get zainstaluj tcpdump

Aby uruchomić to narzędzie, musisz mieć uprawnienia superużytkownik(w szczególności ze względu na konieczność przełączenia karty sieciowej w tryb „rozwiązły”). Ogólnie format poleceń jest następujący:

tcpdump<опции> <фильтр-выражение>

Do wyjścia konsoli opis nagłówka(odszyfrowane dane) przechwyconych pakietów, należy określić interfejs do analizy ruchu (opcja -i):

# tcpdump -i eth0

Możesz wyłączyć konwersję adresów IP na nazwy domen (ponieważ duże natężenie ruchu powoduje dużą liczbę żądań do serwera DNS) - opcja -n:

# tcpdump -n -i eth0

Aby wyprowadzić dane na poziomie łącza (na przykład adresy MAC itp.), użyj opcji -e:

# tcpdump -en -i eth0

Wydrukuj dodatkowe informacje (np. TTL, opcje IP) - opcja -v:

# tcpdump -ven -i eth0

Zwiększanie rozmiaru przechwytywanych pakietów (domyślnie więcej niż 68 bajtów) - opcja -s wskazująca rozmiar (-s 0 - przechwytuje całe pakiety):

Zapis do pliku (bezpośrednio pakiety - "dump") - opcja -w wskazująca nazwę pliku:

# tcpdump -w traf.dump

Odczyt pakietów z pliku - opcja - r podanie nazwy pliku:

# tcpdump -r traf.dump

Domyślnie tcpdump działa w trybie rozwiązłym. Przełącznik -p informuje program tcpdump, aby przechwytywał tylko ruch przeznaczony dla tego hosta.

Aby uzyskać więcej informacji na temat przełączników i formatu filtra tcpdump, zobacz podręcznik referencyjny (man tcpdump).

Analiza ruchu na poziomie interfejsu sieciowego oraz na poziomie sieci za pomocą tcpdump

Do alokacji ramek Ethernet wykorzystywane są następujące konstrukcje tcpdump (widok ogólny):

tcpdump ether (src | dst | host) MAC_ADDRESS

gdzie src to źródłowy adres MAC, dst- docelowy adres MAC, host - src lub dst, a także do wyróżniania ruchu telewizyjnego.

Ministerstwo Edukacji i Nauki Federacji Rosyjskiej

Państwowa instytucja edukacyjna „Państwowy Uniwersytet Politechniczny w Petersburgu”

Instytut Ekonomii i Zarządzania Czeboksary (oddział)

Katedra Matematyki Wyższej i Technologii Informacyjnych

ABSTRAKCYJNY

na kursie „Bezpieczeństwo Informacji”.

na temat: „Analizatory sieciowe”

Zakończony

Student IV roku, wynagrodzenie 080502-51M

na kierunku „Zarządzanie”

w przedsiębiorstwie inżynierii mechanicznej”

Pawłow K.V.

Sprawdzony

Nauczyciel

Czeboksary 2011

WSTĘP

Sieci Ethernet zyskały ogromną popularność ze względu na dobrą przepustowość, łatwość instalacji i rozsądny koszt instalacji sprzętu sieciowego.
Technologia Ethernet nie jest jednak pozbawiona znaczących wad. Najważniejszym z nich jest niepewność przesyłanych informacji. Komputery podłączone do sieci Ethernet są w stanie przechwytywać informacje kierowane do swoich sąsiadów. Powodem tego jest tzw. mechanizm przesyłania komunikatów rozgłoszeniowych przyjęty w sieciach Ethernet.

Łączenie komputerów w sieć łamie stare aksjomaty bezpieczeństwa informacji. Na przykład o bezpieczeństwie statycznym. W przeszłości luka w systemie mogła zostać wykryta i naprawiona przez administratora systemu poprzez zainstalowanie odpowiedniej aktualizacji, który mógł sprawdzić funkcjonalność zainstalowanej poprawki dopiero kilka tygodni lub miesięcy później. Jednakże ta „łatka” mogła zostać usunięta przez użytkownika przypadkowo lub w trakcie pracy, bądź przez innego administratora podczas instalowania nowych komponentów. Wszystko się zmienia, a obecnie technologie informacyjne zmieniają się tak szybko, że statyczne mechanizmy bezpieczeństwa nie zapewniają już pełnego bezpieczeństwa systemu.

Do niedawna głównym mechanizmem ochrony sieci korporacyjnych były zapory ogniowe. Jednak zapory ogniowe zaprojektowane w celu ochrony zasobów informacyjnych organizacji często same okazują się podatne na ataki. Dzieje się tak, ponieważ administratorzy systemu tworzą tak wiele uproszczeń w systemie dostępu, że w końcu kamienna ściana systemu bezpieczeństwa staje się pełna dziur, jak sito. Ochrona zaporą sieciową (zaporą sieciową) może nie być praktyczna w przypadku sieci korporacyjnych o dużym natężeniu ruchu, ponieważ użycie wielu zapór sieciowych może znacząco wpłynąć na wydajność sieci. W niektórych przypadkach lepiej „pozostawić drzwi szeroko otwarte” i skupić się na metodach wykrywania i reagowania na włamania do sieci.

Do stałego (24 godziny na dobę, 7 dni w tygodniu, 365 dni w roku) monitorowania sieci korporacyjnej pod kątem wykrywania ataków projektuje się „aktywne” systemy ochrony – systemy wykrywania ataków. Systemy te wykrywają ataki na węzły sieci korporacyjnej i reagują na nie w sposób określony przez administratora bezpieczeństwa. Przykładowo przerywają połączenie z atakującym węzłem, informują administratora lub wprowadzają informację o ataku do logów.

1. ANALIZATORY SIECI

1.1 IP - ALARM 1 LUB PIERWSZY MONITOR SIECI

Na początek warto powiedzieć kilka słów o rozgłośniach lokalnych. W sieci Ethernet podłączone do niej komputery zazwyczaj korzystają z tego samego kabla, który służy jako medium do przesyłania wiadomości między nimi.

Każdy, kto chce przesłać wiadomość wspólnym kanałem, musi najpierw upewnić się, że kanał ten jest w danym momencie wolny. Po rozpoczęciu transmisji komputer nasłuchuje częstotliwości nośnej sygnału, sprawdzając, czy sygnał nie został zniekształcony w wyniku kolizji z innymi komputerami transmitującymi w tym samym czasie swoje dane. W przypadku kolizji transmisja zostaje przerwana, a komputer „uciszy się” na określony czas, aby nieco później spróbować powtórzyć transmisję. Jeśli komputer podłączony do sieci Ethernet sam niczego nie przesyła, mimo to w dalszym ciągu „podsłuchuje” wszystkie wiadomości przesyłane w sieci przez sąsiednie komputery. Po zauważeniu adresu sieciowego w nagłówku przychodzących danych komputer kopiuje tę część do swojej pamięci lokalnej.

Istnieją dwa główne sposoby łączenia komputerów z siecią Ethernet. W pierwszym przypadku komputery łączy się za pomocą kabla koncentrycznego. Kabel ten prowadzony jest od komputera do komputera, łącząc się z kartami sieciowymi za pomocą złącza w kształcie litery T i kończąc na końcach terminatorami BNC. Ta topologia w języku profesjonalnym nazywa się siecią Ethernet 10Base2. Można ją jednak nazwać także siecią, w której „wszyscy słyszą każdego”. Każdy komputer podłączony do sieci może przechwytywać dane przesyłane przez tę sieć przez inny komputer. W drugim przypadku każdy komputer jest podłączony skrętką komputerową do osobnego portu centralnego urządzenia przełączającego - koncentratora lub przełącznika. W takich sieciach, zwanych sieciami Ethernet lobaseT, komputery są podzielone na grupy zwane domenami kolizyjnymi. Domeny kolizyjne są definiowane przez porty koncentratora lub przełącznika podłączone do wspólnej magistrali. Dzięki temu nie dochodzi do kolizji pomiędzy wszystkimi komputerami w sieci. i osobno - pomiędzy tymi, które są częścią tej samej domeny kolizyjnej, co zwiększa przepustowość sieci jako całości.

Ostatnio w dużych sieciach, które nie korzystają z rozgłaszania i nie zamykają grup portów, zaczął pojawiać się nowy typ przełączników. Zamiast tego wszystkie dane przesyłane przez sieć są buforowane w pamięci i wysyłane tak szybko, jak to możliwe. Jednak takich sieci jest wciąż sporo - nie więcej niż 5% całkowitej liczby sieci typu Ethernet.

Zatem algorytm przesyłania danych przyjęty w zdecydowanej większości sieci Ethernet wymaga, aby każdy komputer podłączony do sieci stale „nasłuchiwał” całego ruchu sieciowego bez wyjątku. Proponowane przez niektórych algorytmy dostępu, w których komputery byłyby odłączane od sieci podczas przesyłania wiadomości „obcych”, pozostały niezrealizowane ze względu na ich nadmierną złożoność, wysoki koszt wdrożenia i niską wydajność.

Co to jest IPAlert-1 i skąd się wziął? Dawno, dawno temu praktyczne i teoretyczne badania autorów w obszarze związanym z badaniem bezpieczeństwa sieci doprowadziły do ​​następującego pomysłu: w Internecie, a także w innych sieciach (na przykład Novell NetWare, Windows NT), poważnie brakowało oprogramowania zabezpieczającego, które by to umożliwiało złożony kontrola (monitoring) na poziomie łącza całego przepływu informacji przesyłanych w sieci w celu wykrycia wszelkiego rodzaju zdalnych oddziaływań opisywanych w literaturze. Badanie rynku oprogramowania zabezpieczającego sieci internetowe wykazało, że nie istniały tak wszechstronne narzędzia do zdalnego wykrywania ataków, a te, które istniały, były zaprojektowane do wykrywania jednego określonego rodzaju ataku (na przykład przekierowanie ICMP lub ARP). W związku z tym rozpoczęto prace nad narzędziem do monitorowania segmentu sieci IP, przeznaczonym do użytku w Internecie, które otrzymało nazwę: Monitor bezpieczeństwa sieci IP Alert-1.

Głównym zadaniem tego narzędzia, które programowo analizuje ruch sieciowy w kanale transmisji, nie jest odpieranie zdalnych ataków realizowanych w kanale komunikacyjnym, ale ich wykrywanie i rejestrowanie (prowadzenie pliku audytu z logowaniem w formie dogodnej do późniejszego wizualnego analiza wszystkich zdarzeń związanych ze zdalnymi atakami na dany segment sieci) i natychmiastowe powiadamianie administratora bezpieczeństwa w przypadku wykrycia zdalnego ataku. Głównym zadaniem monitora bezpieczeństwa sieci IP Alert-1 jest monitorowanie bezpieczeństwa odpowiedniego segmentu Internetu.

Monitor bezpieczeństwa sieci IP Alert-1 posiada następującą funkcjonalność i pozwala poprzez analizę sieci wykryć następujące zdalne ataki na kontrolowany przez siebie segment sieci:

1. Monitorowanie zgodności adresów IP i Ethernet w pakietach przesyłanych przez hosty znajdujące się w kontrolowanym segmencie sieci.

Na hoście IP Alert-1 administrator bezpieczeństwa tworzy statyczną tabelę ARP, w której wprowadza informacje o odpowiednich adresach IP i Ethernet hostów znajdujących się w kontrolowanym segmencie sieci.

Funkcja ta umożliwia wykrycie nieautoryzowanej zmiany adresu IP lub jego podstawienia (tzw. IP Spoofing, spoofing, IP-spoofing (jarg)).

2. Monitorowanie poprawności wykorzystania mechanizmu zdalnego wyszukiwania ARP. Ta funkcja umożliwia wykrycie zdalnego ataku False ARP przy użyciu statycznej tabeli ARP.

3. Monitorowanie poprawności wykorzystania mechanizmu zdalnego wyszukiwania DNS. Ta funkcja pozwala zidentyfikować wszystkie możliwe typy zdalnych ataków na usługę DNS

4. Monitorowanie poprawności prób połączeń zdalnych poprzez analizę przesyłanych żądań. Funkcja ta pozwala na wykrycie, po pierwsze, próby zbadania prawa zmiany początkowej wartości identyfikatora połączenia TCP – ISN, po drugie, zdalnego ataku typu „odmowa usługi” realizowanego poprzez przepełnienie kolejki żądań połączeń, i po trzecie, skierowanego „burza” fałszywych żądań połączeń (zarówno TCP, jak i UDP), która również prowadzi do odmowy usługi.

Tym samym monitor bezpieczeństwa sieci IP Alert-1 umożliwia wykrywanie, powiadamianie i rejestrowanie większości typów zdalnych ataków. Jednak program ten w żaden sposób nie jest konkurentem systemów Firewall. IP Alert-1, wykorzystujący możliwości zdalnych ataków w Internecie, stanowi niezbędne – notabene nieporównywalnie tańsze – uzupełnienie systemów Firewall. Bez monitora bezpieczeństwa większość prób przeprowadzenia zdalnych ataków na segment sieci pozostanie ukryta przed Twoimi oczami. Żaden ze znanych Firewallów nie zajmuje się tak inteligentną analizą wiadomości przechodzących przez sieć w celu identyfikacji różnego rodzaju zdalnych ataków, ograniczając się co najwyżej do prowadzenia dziennika rejestrującego informacje o próbach odgadnięcia hasła, skanowaniu portów i skanowaniu sieci przy użyciu znanych programów do zdalnego wyszukiwania. Dlatego też, jeśli administrator sieci IP nie chce pozostać obojętny i zadowolić się rolą prostego etatysty podczas zdalnych ataków na swoją sieć, wskazane jest dla niego skorzystanie z monitora bezpieczeństwa sieci IP Alert-1.

Zatem przykład IPAlert-1 pokazuje ważną rolę monitorów sieciowych w zapewnianiu bezpieczeństwa sieci.

Oczywiście nowoczesne monitory sieciowe obsługują znacznie więcej funkcji, a samych jest ich całkiem sporo. Istnieją prostsze systemy, kosztujące około 500 dolarów, ale są też systemy bardzo wydajne, wyposażone w systemy eksperckie zdolne do przeprowadzania potężnych analiz heurystycznych, ich koszt jest wielokrotnie wyższy - od 75 tysięcy dolarów.

1.2 MOŻLIWOŚCI WSPÓŁCZESNYCH ANALIZATORÓW SIECI

Nowoczesne monitory obsługują wiele innych funkcji poza swoimi podstawowymi z definicji (które sprawdziłem dla IP Alert-1). Na przykład skanowanie kabli.

Statystyka sieci (wykorzystanie segmentu, poziom kolizji, poziom błędów i poziom ruchu rozgłoszeniowego, określenie prędkości propagacji sygnału); Rolą wszystkich tych wskaźników jest to, że w przypadku przekroczenia określonych wartości progowych możemy mówić o problemach w segmencie. Obejmuje to również w literaturze sprawdzanie legalności adapterów sieciowych w przypadku nagłego pojawienia się „podejrzanego” (sprawdzanie adresu MAC itp.).

Statystyka błędnych klatek. Krótkie ramki to ramki o długości mniejszej niż maksymalna, czyli mniejszej niż 64 bajty. Ramki tego typu dzielą się na dwie podklasy – krótkie ramki z poprawną sumą kontrolną i krótkie ramki (runty), które nie mają prawidłowej sumy kontrolnej. Najbardziej prawdopodobną przyczyną pojawienia się takich „mutantów” jest nieprawidłowe działanie kart sieciowych. Wydłużone ramki, które są efektem długiej transmisji i wskazują na problemy z adapterami. Ramki duchy, które powstają w wyniku zakłóceń na kablu. Normalny poziom błędów ramki w sieci nie powinien być wyższy niż 0,01%. Jeśli jest wyższy, oznacza to, że w sieci występują awarie techniczne lub doszło do nieuprawnionego włamania.

Statystyki kolizji. Wskazuje liczbę i rodzaj kolizji w segmencie sieci oraz pozwala określić obecność problemu i jego lokalizację. Kolizje mogą być lokalne (w jednym segmencie) i zdalne (w innym segmencie względem monitora). Zazwyczaj wszystkie kolizje w sieciach Ethernet mają charakter zdalny. Intensywność kolizji nie powinna przekraczać 5%, a wartości szczytowe powyżej 20% wskazują na poważne problemy.

Możliwości jest znacznie więcej i nie sposób ich wszystkich wymienić.

Chciałbym zauważyć, że monitory są dostępne zarówno w wersji programowej, jak i sprzętowej. Jednakże pełnią one raczej funkcję statystyczną. Na przykład monitor sieci LANtern. Jest to łatwe w instalacji urządzenie sprzętowe, które pomaga przełożonym i organizacjom serwisowym centralnie utrzymywać i wspierać sieci wielu dostawców. Zbiera statystyki i identyfikuje trendy w celu optymalizacji wydajności i rozbudowy sieci. Informacje o sieci są wyświetlane w centralnej konsoli zarządzania siecią. Dlatego monitory sprzętowe nie zapewniają odpowiedniej ochrony informacji.

Microsoft Windows zawiera monitor sieci (NetworkMonitor), ale zawiera poważne luki, które omówię poniżej.

Ryż. 1. Monitor sieciowy dla klasy WINDOWS OS NT.

Interfejs programu jest nieco trudny do opanowania w locie.

Ryż. 2. Wyświetl ramki w Monitorze sieci WINDOWS.

Większość producentów stara się obecnie, aby ich monitory posiadały prosty i przyjazny dla użytkownika interfejs. Innym przykładem jest monitor NetPeeker (nie tak bogaty w dodatkowe możliwości, ale jednak):

Ryż. 3. Przyjazny interfejs użytkownika monitora NetPeeker.

Podam przykład interfejsu złożonego i drogiego programu NetForensics (95 000 dolarów):

Ryc.4. Interfejs NetForensics.

Zgodnie z dzisiejszymi trendami istnieje pewien obowiązkowy zestaw „umiejętności”, który monitorujący muszą posiadać:

1. Co najmniej:

• ustawianie szablonów filtrowania ruchu;
• scentralizowane zarządzanie modułami śledzącymi;
• filtrowanie i analiza dużej liczby protokołów sieciowych, m.in. TCP, UDP i ICMP;
• filtrowanie ruchu sieciowego według protokołu, portów i adresów IP nadawcy i odbiorcy;
• nieprawidłowe zakończenie połączenia z węzłem atakującym;
• zarządzanie zaporą sieciową i routerem;
• ustawianie skryptów do przetwarzania ataków;
• nagrywanie ataku w celu dalszego odtwarzania i analizy;
• obsługa interfejsów sieciowych Ethernet, Fast Ethernet i Token Ring;
• brak wymogu stosowania specjalnego sprzętu;
• ustanowienie bezpiecznego połączenia pomiędzy elementami systemu, a także innymi urządzeniami;
• dostępność kompleksowej bazy danych wszystkich wykrytych ataków;
• minimalne zmniejszenie wydajności sieci;
• praca z jednym modułem śledzącym z kilku konsol sterujących;
• potężny system generowania raportów;
• łatwość obsługi i intuicyjny interfejs graficzny;
• niskie wymagania systemowe dotyczące oprogramowania i sprzętu.

2. Potrafić tworzyć raporty:

• Dystrybucja ruchu według użytkowników;
• Dystrybucja ruchu według adresów IP;
• Dystrybucja ruchu pomiędzy usługami;
• Dystrybucja ruchu według protokołu;
• Dystrybucja ruchu według typu danych (zdjęcia, filmy, teksty, muzyka);
• Rozkład ruchu według programów używanych przez użytkowników;
• Rozkład ruchu według pory dnia;
• Rozkład ruchu według dni tygodnia;
• Rozkład ruchu według dat i miesięcy;
• Rozkład ruchu pomiędzy witrynami odwiedzanymi przez użytkownika;
• Błędy autoryzacyjne w systemie;
• Wejścia i wyjścia z systemu.

Przykłady konkretnych ataków, które mogą rozpoznać monitory sieciowe:

"Odmowa usługi". Każde działanie lub sekwencja działań, które powodują awarię dowolnej części zaatakowanego systemu, w wyniku której przestaje on spełniać swoje funkcje. Przyczyną może być nieuprawniony dostęp, opóźnienie w obsłudze itp. Przykładami mogą być ataki SYN Flood, Ping Flood, ataki Windows Out-of-Band (WinNuke) itp.

" Nieautoryzowany dostęp " (Próba nieautoryzowanego dostępu). Dowolna akcja lub sekwencja działań skutkująca próbą odczytania plików lub wykonania poleceń w sposób omijający ustaloną politykę bezpieczeństwa. Obejmuje także próby uzyskania przez osobę atakującą uprawnień większych niż te ustawione przez administratora systemu. Przykładem mogą być ataki FTP Root, E-mail WIZ itp.

„Sonda przed atakiem”
Dowolna czynność lub sekwencja czynności mająca na celu uzyskanie informacji Z lub O sieci (na przykład nazwy użytkownika i hasła), które są następnie wykorzystywane do przeprowadzenia nieautoryzowanego dostępu. Przykładem może być skanowanie portów (skanowanie portów), skanowanie za pomocą programu SATAN (skanowanie SATAN) itp.

"Podejrzana działalność"
Ruch sieciowy wykraczający poza definicję ruchu „standardowego”. Może wskazywać podejrzaną aktywność występującą w Internecie. Przykładem mogą być zdarzenia Zduplikowany adres IP, Nieznany protokół IP itp.

„Analiza protokołu” (dekodowanie protokołu. Aktywność sieciowa, która może zostać wykorzystana do przeprowadzenia jednego z powyższych typów ataków. Może wskazywać podejrzaną aktywność występującą w Internecie. Przykładem mogą być zdarzenia związane z dekodowaniem użytkownika FTP, dekodowaniem serwera proxy Portmapper itp.

1.3 ZAGROŻENIA ZWIĄZANE Z KORZYSTANIEM Z MONITORÓW SIECIOWYCH

Korzystanie z monitorów sieciowych stwarza również potencjalne zagrożenia. Choćby dlatego, że przechodzi przez nie ogromna ilość informacji, w tym poufnych. Przyjrzyjmy się przykładowi luki wykorzystującej wspomniany wcześniej NetworkMonitor, który należy do rodziny Windows NT. Monitor ten posiada tzw. panel HEX (patrz rys. 2), który umożliwia oglądanie danych ramkowych w postaci tekstu ASCII. Tutaj na przykład możesz zobaczyć niezaszyfrowane hasła krążące po sieci. Możesz spróbować na przykład przeczytać pakiety aplikacji pocztowej Eudora. Po spędzeniu trochę czasu możesz bezpiecznie zobaczyć je otwarte. Jednak zawsze musisz mieć się na baczności, ponieważ szyfrowanie nie pomaga. Są tu dwa możliwe przypadki. W literaturze istnieje slangowe określenie „nieprzyzwoitość” - jest to sąsiad określonej maszyny w tym samym segmencie, na tym samym koncentratorze lub, jak to się teraz nazywa, przełącznik. Jeśli więc „zaawansowany” „nieprzyzwoitość” zdecydował się na skanowanie ruchu sieciowego i wyławianie haseł, administrator może łatwo zidentyfikować takiego atakującego, ponieważ monitor wspiera identyfikację korzystających z niego użytkowników. Wystarczy, że naciśniesz przycisk, a przed administratorem otworzy się lista „nieprzyzwoitych hakerów”. Sytuacja jest znacznie bardziej skomplikowana, gdy atak przeprowadzany jest z zewnątrz, na przykład z Internetu. Informacje dostarczane przez monitor są niezwykle pouczające. Wyświetlana jest lista wszystkich przechwyconych ramek, numery kolejne ramek, czas ich przechwycenia, a nawet adresy MAC kart sieciowych, co pozwala na dość precyzyjną identyfikację komputera. Panel informacji szczegółowych zawiera „wnętrze” ramki – opis jej tytułów itp. Nawet ciekawski początkujący znajdzie tu wiele znajomych.

Ataki zewnętrzne są znacznie bardziej niebezpieczne, ponieważ z reguły bardzo, bardzo trudno jest zidentyfikować atakującego. Aby zabezpieczyć się w tym przypadku, należy zastosować ochronę hasłem na monitorze. Jeśli sterownik Monitora sieci jest zainstalowany, a hasło nie jest ustawione, wówczas każdy, kto używa Monitora sieci z tej samej dystrybucji (tego samego programu) na innym komputerze, może podłączyć się do pierwszego komputera i używać go do przechwytywania danych w sieci. Ponadto monitor sieci musi zapewniać możliwość wykrywania innych instalacji w segmencie sieci lokalnej. Jednak to również ma swoją złożoność. W niektórych przypadkach architektura sieci może uniemożliwiać wykrywanie jednej zainstalowanej kopii Monitora sieci przez inną. Na przykład, jeśli zainstalowana kopia Monitora sieci jest oddzielona od drugiej kopii routerem, który nie pozwala na przesyłanie wiadomości multiemisji, wówczas druga kopia Monitora sieci nie będzie w stanie wykryć pierwszej.

Hakerzy i inni napastnicy nie marnują czasu. Stale szukają coraz nowych sposobów wyłączania monitorów sieciowych. Okazuje się, że sposobów jest wiele, począwszy od wyłączenia monitora poprzez przepełnienie jego bufora, a skończywszy na tym, że można wymusić na monitorze wykonanie dowolnego polecenia wysłanego przez atakującego.

Istnieją specjalne laboratoria, które analizują bezpieczeństwo oprogramowania. Ich raporty są alarmujące, ponieważ dość często stwierdzane są poważne naruszenia. Przykłady rzeczywistych braków w rzeczywistych produktach:

1. RealSecure to komercyjny system wykrywania włamań (IDS) firmy ISS.

RealSecure zachowuje się niestabilnie podczas przetwarzania niektórych podpisów DHCP (DHCP_ACK - 7131, DHCP_Discover - 7132 i DHCP_REQUEST - 7133) dostarczonych z systemem. Wysyłając złośliwy ruch DHCP, luka umożliwia zdalnej osobie atakującej zakłócenie działania programu. Odkryto lukę w Internet Security Systems RealSecure Network Sensor 5.0 XPU 3.4-6.5

2. Program: monitor sieci RealSecure 4.9

Niebezpieczeństwo: wysokie; obecność exploita: Nie.

Opis: W programie RS odkryto kilka luk. Zdalny użytkownik może określić lokalizację urządzenia. Użytkownik zdalny może również definiować i zmieniać konfigurację urządzenia.

Rozwiązanie: Zainstaluj zaktualizowaną wersję programu. Skontaktuj się z producentem.

1.4 ANALIZATORY PROTOKOŁÓW, ICH ZALETY, ZAGROŻENIA I SPOSOBY OCHRONY PRZED ZAGROŻENIAMI

Analizatory protokołów stanowią odrębną klasę oprogramowania, chociaż zasadniczo stanowią podzbiór monitorów sieciowych. Każdy monitor ma wbudowanych co najmniej kilka analizatorów protokołów. Po co więc z nich korzystać, skoro można wdrożyć bardziej przyzwoity system za pomocą monitorów sieciowych? Po pierwsze, nie zawsze wskazane jest zainstalowanie wydajnego monitora, a po drugie, nie każdą organizację stać na jego zakup za tysiące dolarów. Czasem pojawia się pytanie: czy sam monitor nie będzie droższy od informacji, które ma chronić? Właśnie w takich (lub podobnych) przypadkach stosuje się analizatory protokołów w czystej postaci. Ich rola jest podobna do roli monitorów.

Karta sieciowa każdego komputera w sieci Ethernet z reguły „słyszy” wszystko, o czym „rozmawiają” między sobą jego sąsiedzi w segmencie tej sieci. Jednak przetwarza i umieszcza w swojej lokalnej pamięci tylko te fragmenty (tzw. ramki) danych, które zawierają unikalny adres przypisany mu w sieci. Oprócz tego zdecydowana większość nowoczesnych adapterów Ethernet umożliwia pracę w specjalnym trybie zwanym promiscious, podczas którego adapter kopiuje wszystkie ramki danych przesyłane siecią do lokalnej pamięci komputera. Wyspecjalizowane programy, które przełączają kartę sieciową w tryb rozwiązły i zbierają cały ruch sieciowy do późniejszej analizy, nazywane są analizatorami protokołów.

Te ostatnie są szeroko stosowane przez administratorów sieci do monitorowania działania tych sieci. Niestety, analizatory protokołów wykorzystywane są także przez osoby atakujące, które mogą wykorzystać je do przechwycenia haseł innych osób i innych poufnych informacji.

Należy zauważyć, że analizatory protokołów stwarzają poważne zagrożenie. Analizator protokołów mógł zostać zainstalowany przez osobę z zewnątrz, która dostała się do sieci z zewnątrz (np. jeśli sieć ma dostęp do Internetu). Ale może to być również dzieło „domowego” atakującego z legalnym dostępem do sieci. W każdym razie obecną sytuację należy traktować poważnie. Eksperci ds. bezpieczeństwa komputerowego klasyfikują ataki na komputery przy użyciu analizatorów protokołów jako tak zwane ataki drugiego poziomu. Oznacza to, że hakerowi komputerowemu udało się już przebić bariery bezpieczeństwa sieci i teraz chce wykorzystać swój sukces. Za pomocą analizatora protokołów może próbować przechwycić loginy i hasła użytkowników, wrażliwe dane finansowe (takie jak numery kart kredytowych) i poufną komunikację (np. pocztę e-mail). Mając wystarczające zasoby, osoba atakująca komputer może w zasadzie przechwycić wszystkie informacje przesyłane przez sieć.

Analizatory protokołów istnieją dla każdej platformy. Ale nawet jeśli okaże się, że dla konkretnej platformy nie został jeszcze napisany analizator protokołów, to i tak trzeba liczyć się z zagrożeniem, jakie stwarza atak na system komputerowy z wykorzystaniem analizatora protokołów. Faktem jest, że analizatory protokołów analizują nie konkretny komputer, ale protokoły. Dzięki temu analizator protokołów można zainstalować w dowolnym segmencie sieci i stamtąd przechwytywać ruch sieciowy, który w wyniku transmisji rozgłoszeniowych dociera do każdego komputera podłączonego do sieci.

Najczęstszym celem ataków hakerów komputerowych wykorzystujących analizatory protokołów są uniwersytety. Choćby ze względu na ogromną liczbę różnych loginów i haseł, które podczas takiego ataku mogą zostać skradzione. Korzystanie z analizatora protokołów w praktyce nie jest tak łatwym zadaniem, jak mogłoby się wydawać. Aby skorzystać z analizatora protokołów, osoba atakująca komputer musi posiadać wystarczającą wiedzę na temat technologii sieciowej. Nie da się po prostu zainstalować i uruchomić analizatora protokołów, gdyż nawet w małej sieci lokalnej składającej się z pięciu komputerów ruch wynosi tysiące pakietów na godzinę. Dlatego w krótkim czasie dane wyjściowe analizatora protokołów zapełnią dostępną pamięć do pełna. Dlatego osoba atakująca komputer zwykle konfiguruje analizator protokołów tak, aby przechwytywał tylko pierwsze 200–300 bajtów każdego pakietu przesyłanego przez sieć. Zazwyczaj to w nagłówku pakietu znajduje się informacja o loginie i haśle użytkownika, co z reguły najbardziej interesuje atakującego. Jeśli jednak atakujący ma wystarczającą ilość miejsca na swoim dysku twardym, zwiększenie wolumenu przechwytywanego ruchu przyniesie mu tylko korzyść i pozwoli mu dowiedzieć się wielu ciekawych rzeczy.

W rękach administratora sieci analizator protokołów jest bardzo przydatnym narzędziem, które pomaga mu znaleźć i rozwiązać problemy, pozbyć się wąskich gardeł zmniejszających przepustowość sieci i szybko wykryć intruzów. Jak uchronić się przed intruzami? Możemy polecić następujące. Ogólnie rzecz biorąc, te wskazówki dotyczą nie tylko analizatorów, ale także monitorów. Najpierw spróbuj zdobyć kartę sieciową, która zasadniczo nie może działać w trybie rozwiązłym. Takie adaptery istnieją w naturze. Część z nich nie obsługuje trybu promiskuicznego na poziomie sprzętowym (jest ich mniejszość), a pozostałe są po prostu wyposażone w specjalny sterownik, który nie pozwala na pracę w trybie promiskuicznym, mimo że tryb ten jest zaimplementowany sprzętowo. Aby znaleźć adapter, który nie posiada trybu promiskuicznego, wystarczy skontaktować się z pomocą techniczną dowolnej firmy sprzedającej analizatory protokołów i dowiedzieć się, z którymi adapterami nie współpracują ich pakiety oprogramowania. Po drugie, biorąc pod uwagę, że specyfikacja PC99, przygotowana w głębi korporacji Microsoft i Intel, wymaga bezwarunkowej obecności trybu promiscious w karcie sieciowej, zakup nowoczesny inteligentny przełącznik sieciowy, który buforuje w pamięci komunikat przesyłany siecią i wysyła go, w miarę możliwości dokładnie pod wskazany adres. Dzięki temu adapter nie musi „podsłuchiwać” całego ruchu, aby wyodrębnić z niego wiadomości, których adresatem jest ten komputer. Po trzecie, zapobiegaj nieautoryzowanej instalacji analizatorów protokołów na komputerach sieciowych. Tutaj należy skorzystać z narzędzi z arsenału służącego do zwalczania zakładek programowych, a w szczególności programów trojańskich (instalowanie zapór sieciowych). Po czwarte, szyfruj cały ruch sieciowy. Istnieje szeroka gama pakietów oprogramowania, które pozwalają to zrobić dość wydajnie i niezawodnie. Przykładowo możliwość szyfrowania haseł do poczty elektronicznej zapewnia dodatek do protokołu poczty elektronicznej POP (Post Office Protocol) - protokół APOP (Authentication POP). Podczas pracy z APOP za każdym razem przez sieć przesyłana jest nowa zaszyfrowana kombinacja, co nie pozwala atakującemu na wyciągnięcie jakichkolwiek praktycznych korzyści z informacji przechwyconych za pomocą analizatora protokołów. Jedynym problemem jest to, że obecnie nie wszystkie serwery pocztowe i klienci obsługują APOP.

Inny produkt o nazwie Secure Shell, w skrócie SSL, został pierwotnie opracowany przez legendarną fińską firmę SSH Communications Security (http://www.ssh.fi) i obecnie ma wiele wdrożeń dostępnych bezpłatnie w Internecie. SSL to bezpieczny protokół służący do bezpiecznego przesyłania wiadomości w sieci komputerowej przy użyciu szyfrowania.

Szczególnie znane są pakiety oprogramowania zaprojektowane do ochrony danych przesyłanych w sieci poprzez szyfrowanie, a łączy je obecność w ich nazwie skrótu PGP, co oznacza Pretty Good Privacy.

Warto zauważyć, że rodzina analizatorów protokołów obejmuje godne rozwiązania krajowe. Uderzającym przykładem jest wielofunkcyjny analizator Observer (opracowany przez ProLAN).

Ryż. 5. Interfejs analizatora Russian Observer.

Ale z reguły większość analizatorów ma znacznie prostszy interfejs i mniej funkcji. Na przykład program Ethereal.

Ryż. 6. Interfejs zagranicznego analizatora Ethereal.

WNIOSEK

Monitory sieciowe, podobnie jak analizatory protokołów, są potężnym i skutecznym narzędziem do administrowania sieciami komputerowymi, ponieważ pozwalają dokładnie ocenić wiele parametrów pracy sieci, takich jak prędkość sygnału, obszary koncentracji kolizji itp. Jednak ich głównym zadaniem, z którym skutecznie sobie radzą, jest identyfikacja ataków na sieci komputerowe i powiadamianie o nich administratora na podstawie analizy ruchu. Jednocześnie korzystanie z tych narzędzi programowych jest obarczone potencjalnym niebezpieczeństwem, ponieważ ze względu na fakt, że informacje przechodzą przez monitory i analizatory, może nastąpić nieupoważnione przechwytywanie tych informacji. Administrator systemu musi zwrócić należytą uwagę na ochronę swojej sieci i pamiętać, że ochrona łączona jest znacznie skuteczniejsza. Wybierając oprogramowanie do analizy ruchu, należy zachować ostrożność, kierując się rzeczywistym kosztem informacji, które mają być chronione, prawdopodobieństwem włamania, wartością informacji dla osób trzecich, dostępnością gotowych rozwiązań bezpieczeństwa i możliwościami budżetu organizacji. Właściwy wybór rozwiązania pomoże zmniejszyć prawdopodobieństwo nieuprawnionego dostępu i nie będzie zbyt „ciężki” pod względem finansowym. Należy zawsze pamiętać, że nie ma dziś idealnego narzędzia bezpieczeństwa i dotyczy to oczywiście monitorów i analizatorów. Należy zawsze pamiętać, że niezależnie od tego, jak doskonały jest monitor, nie będzie on gotowy na nowe typy zagrożeń, do rozpoznawania których nie został zaprogramowany. W związku z tym należy nie tylko odpowiednio zaplanować ochronę infrastruktury sieciowej swojego przedsiębiorstwa, ale także na bieżąco monitorować aktualizacje wykorzystywanego oprogramowania.

LITERATURA

1. Atak na Internet. ID. Miedwiedkowski, P.V. Siemionow, D.G. Leonow. – wyd. 3, skreślone. – M.: DMK, 2000

2. Microsoft Windows 2000. Podręcznik administratora. Seria „ITProfessional” (przetłumaczona z języka angielskiego). U.R. Stanek. – M.: Dom Wydawniczo-Handlowy „Wydanie Rosyjskie”, 2002.

3. Podstawy sieci. E. Tittel, K. Hudson, J.M. Stewarta. Za. z angielskiego – Petersburg: Wydawnictwo Peter, 1999

4. Informacje o lukach w oprogramowaniu pochodzą z bazy danych serwera SecurityLab (www.securitylab.ru)

5. Sieci komputerowe. Teoria i praktyka. http://network-journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=3&pa=9&ar=1

6. Analiza sieci. Artykuł w 2 częściach. http://www.ru-board.com/new/article.php?sid=120

7. Elektroniczny słownik terminów telekomunikacyjnych. http://europestar.ru/info/

8. Sprzętowe i programowe metody ochrony przed zdalnymi atakami w Internecie. http://personal.primorye.ru/desperado/Xattack/7.2.htm

9. Bezpieczeństwo w Monitorze sieci. Poradnik dotyczący systemu Windows XP. http://www.soft32.ru/literature.shtml?topic=windows&book=WinXP&page=Glava16/Index0.htm&subpage=Glava16/Index52.htm

10. Dokumentacja monitora RealSecure. Udostępniane przez producenta w formie elektronicznej na żądanie.

11. Bezpieczeństwo systemów komputerowych. Analizatory protokołów. http://kiev-security.org.ua/box/12/130.shtml

12. Serwer internetowy rosyjskiego producenta analizatorów - firmy „ProLAN” http://www.prolan.ru/

Informacje ogólne

Narzędzia zwane analizatorami sieci noszą nazwę narzędzia Sniffer Network Analyzer. Produkt ten został wydany w 1988 roku przez Network General (obecnie Network Associates) i był jednym z pierwszych urządzeń, które pozwoliły menedżerom dosłownie dowiedzieć się, co dzieje się w dużej sieci, bez konieczności odchodzenia od biurka. Pierwsze analizatory odczytują nagłówki wiadomości w pakietach danych przesyłanych siecią, dostarczając w ten sposób administratorom informacji o adresach nadawcy i odbiorcy, rozmiarach plików i innych informacjach niskiego poziomu. A wszystko to oprócz sprawdzenia poprawności transmisji pakietów. Wykorzystując wykresy i opisy tekstowe, analizatory pomogły administratorom sieci w diagnozowaniu serwerów, łączy sieciowych, koncentratorów i przełączników, a także aplikacji. Z grubsza mówiąc, analizator sieci nasłuchuje lub „wącha” pakiety z określonego fizycznego segmentu sieci. Pozwala to analizować ruch pod kątem określonych wzorców, korygować określone problemy i identyfikować podejrzane działania. System wykrywania włamań do sieci to nic innego jak zaawansowany sniffer, który dopasowuje każdy pakiet w sieci do bazy danych zawierającej znane wzorce szkodliwego ruchu, podobnie jak program antywirusowy robi z plikami na komputerze. W przeciwieństwie do narzędzi opisanych wcześniej, analizatory działają na niższym poziomie.

Jeśli przejdziemy do modelu referencyjnego OSI, analizatory sprawdzają dwa niższe poziomy – fizyczny i kanałowy.

Numer poziomu modelu BOC	Nazwa poziomu	Przykłady protokołów
Poziom 7	Warstwa aplikacji	DNS, FTP, HTTP, SMTP, SNMP, Telnet
Poziom 6	Warstwa prezentacji
Poziom 5	Poziom sesji
Poziom 4	Warstwa transportowa	NetBIOS, TCP, UDP
Poziom 3	Warstwa sieci	ARP, IP, IPX, OSPF
Poziom 2	Warstwa łącza danych	Arcnet, Ethernet, Token Ring
Poziom 1	Warstwa fizyczna	Kabel koncentryczny, światłowód, skrętka dwużyłowa

Warstwa fizyczna to faktyczne okablowanie fizyczne lub inne media użyte do utworzenia sieci. W warstwie łącza danych dane są początkowo kodowane w celu transmisji za pośrednictwem określonego medium. Standardy sieci warstwy łącza obejmują łączność bezprzewodową 802.11, Arcnet, kabel koncentryczny, Ethernet, Token Ring i inne. Analizatory zazwyczaj zależą od typu sieci, w której działają. Na przykład, aby analizować ruch w sieci Ethernet, musisz mieć analizator Ethernet.

Istnieją analizatory klasy komercyjnej takich producentów jak Fluke, Network General i innych. Są to zazwyczaj niestandardowe urządzenia sprzętowe, które mogą kosztować dziesiątki tysięcy dolarów. Chociaż ten sprzęt umożliwia bardziej dogłębną analizę, możliwe jest stworzenie taniego analizatora sieci przy użyciu oprogramowania open source i niedrogiego komputera z procesorem Intel.

Rodzaje analizatorów

Obecnie produkowanych jest wiele analizatorów, które dzielą się na dwa typy. Pierwsza obejmuje produkty samodzielne instalowane na komputerze mobilnym. Konsultant może zabrać go ze sobą podczas wizyty w gabinecie klienta i podłączyć do sieci w celu gromadzenia danych diagnostycznych.

Początkowo urządzenia przenośne przeznaczone do testowania działania sieci były przeznaczone wyłącznie do sprawdzania parametrów technicznych kabla. Jednak z biegiem czasu producenci wyposażyli swój sprzęt w szereg funkcji analizatora protokołów. Nowoczesne analizatory sieci są w stanie wykryć szeroką gamę możliwych problemów - od fizycznego uszkodzenia kabla po przeciążenie zasobów sieciowych.

Drugi typ analizatorów należy do szerszej kategorii sprzętu i oprogramowania do monitorowania sieci, która umożliwia organizacjom monitorowanie usług sieci lokalnych i rozległych, w tym sieci WWW. Programy te dają administratorom całościowy obraz stanu sieci. Za pomocą takich produktów można np. określić, które aplikacje są aktualnie uruchomione, którzy użytkownicy są zarejestrowani w sieci i który z nich generuje największy ruch.

Oprócz identyfikowania cech sieci niskiego poziomu, takich jak źródło pakietów i ich miejsce docelowe, nowoczesne analizatory dekodują informacje uzyskane we wszystkich siedmiu warstwach stosu sieciowego Open System Interconnection (OSI) i często dostarczają zaleceń dotyczących rozwiązywania problemów. Jeżeli analiza na poziomie aplikacji nie pozwala na sformułowanie odpowiedniej rekomendacji, analizatory przeprowadzają badania na niższym, sieciowym poziomie.

Nowoczesne analizatory zazwyczaj obsługują standardy zdalnego monitorowania (Rmon i Rmon 2), które zapewniają automatyczne pozyskiwanie kluczowych danych wydajnościowych, takich jak informacja o obciążeniu dostępnych zasobów. Analizatory obsługujące Rmon mogą regularnie sprawdzać stan elementów sieci i porównywać otrzymane dane z wcześniej zgromadzonymi danymi. W razie potrzeby wygenerują ostrzeżenie, jeśli poziom ruchu lub wydajność przekroczy limity ustalone przez administratorów sieci.

NetScout Systems wprowadził na rynek system nGenius Application Service Level Manager, przeznaczony do monitorowania czasu odpowiedzi w poszczególnych sekcjach kanału dostępu do serwisu WWW oraz określania aktualnej wydajności serwerów. Ta aplikacja może analizować wydajność w sieci publicznej, aby odtworzyć ogólny obraz na komputerze użytkownika. Duńska firma NetTest (dawniej GN Nettest) rozpoczęła oferowanie Fastnet, systemu monitorowania sieci, który pomaga firmom z branży e-biznesu planować przepustowość i rozwiązywać problemy z siecią.

Analiza sieci konwergentnych (wielousługowych).

Upowszechnianie się sieci wielousługowych (sieci konwergentnych) może w przyszłości mieć decydujący wpływ na rozwój systemów telekomunikacyjnych i systemów transmisji danych. Pomysł połączenia możliwości przesyłania danych, strumieni głosowych i informacji wideo w jedną infrastrukturę sieciową opartą na protokole pakietowym okazał się bardzo kuszący dla dostawców specjalizujących się w świadczeniu usług telekomunikacyjnych, ponieważ może błyskawicznie znacznie rozszerzyć zasięg świadczonych przez nie usług.

W miarę jak korporacje zaczynają zdawać sobie sprawę z wydajności i korzyści kosztowych konwergentnych sieci IP, dostawcy narzędzi sieciowych aktywnie opracowują w tym celu analizatory. W pierwszej połowie roku wiele firm wprowadziło komponenty do swoich produktów do administrowania siecią, przeznaczonych dla sieci VoIP.

„Konwergencja stworzyła nowe komplikacje, z którymi muszą sobie poradzić administratorzy sieci” – powiedział Glenn Grossman, dyrektor ds. zarządzania produktami w NetScout Systems. -- Ruch głosowy jest bardzo wrażliwy na opóźnienia czasowe. Analizatory mogą sprawdzić każdy bit i bajt przesłany przewodem, zinterpretować nagłówki i automatycznie określić priorytet danych.

Zastosowanie technologii konwergencji głosu i danych może wywołać nową falę zainteresowania analizatorami, gdyż priorytetyzacja ruchu na poziomie pakietów IP stanie się niezbędna do działania usług głosowych i wideo. Na przykład firma Sniffer Technologies wydała Sniffer Voice, zestaw narzędzi przeznaczony dla administratorów sieci wielousługowych. Produkt ten nie tylko zapewnia tradycyjne usługi diagnostyczne w zakresie zarządzania ruchem poczty elektronicznej, Internetu i baz danych, ale także identyfikuje problemy sieciowe i zaleca rozwiązania zapewniające prawidłową transmisję ruchu głosowego w sieciach IP.

Wady korzystania z analizatorów

Należy pamiętać, że z analizatorami wiążą się dwie strony medalu. Pomagają w utrzymaniu działania sieci, ale mogą być również wykorzystywane przez hakerów do wyszukiwania pakietów danych w poszukiwaniu nazw użytkowników i haseł. Aby zapobiec przechwyceniu haseł przez analizatory, nagłówki pakietów są szyfrowane (na przykład przy użyciu standardu Secure Sockets Layer).

Ostatecznie nie ma alternatywy dla analizatora sieci w sytuacjach, gdy konieczne jest zrozumienie tego, co dzieje się w sieci globalnej lub korporacyjnej. Dobry analizator pozwala zrozumieć kondycję segmentu sieci i określić natężenie ruchu, a także określić, jak ten wolumen zmienia się w ciągu dnia, którzy użytkownicy generują największe obciążenie, a w jakich sytuacjach występują problemy z rozkładem ruchu lub niedobory przepustowości. Dzięki zastosowaniu analizatora możliwe jest pozyskanie i analiza wszystkich danych w segmencie sieci za zadany okres.

Analizatory sieci są jednak drogie. Jeśli planujesz zakup takiego urządzenia, najpierw określ, czego od niego oczekujesz.

Funkcje korzystania z analizatorów sieciowych

Aby korzystać z analizatorów sieci w sposób etyczny i produktywny, należy przestrzegać poniższych wskazówek.

Pozwolenie jest zawsze wymagane

Analiza sieci, podobnie jak wiele innych funkcji zabezpieczeń, może powodować nadużycia. Przechwytywanie wszystkiego danych przesyłanych przez sieć, możesz szpiegować hasła do różnych systemów, zawartość wiadomości e-mail i inne krytyczne dane, zarówno wewnętrzne, jak i zewnętrzne, ponieważ większość systemów nie szyfruje swojego ruchu w sieci lokalnej. Jeśli takie dane dostaną się w niepowołane ręce, może to oczywiście prowadzić do poważnych naruszeń bezpieczeństwa. Może to być także naruszenie prywatności pracowników. Przede wszystkim przed rozpoczęciem takiej działalności należy uzyskać pisemną zgodę kierownictwa, najlepiej kadry kierowniczej wyższego szczebla. Należy również rozważyć, co zrobić z danymi po ich otrzymaniu. Oprócz haseł mogą to być inne wrażliwe dane. Ogólną zasadą jest usuwanie dzienników analizy sieci z systemu, chyba że są one potrzebne do celów postępowania karnego lub cywilnego. Istnieją udokumentowane przypadki zwalniania mających dobre intencje administratorów systemów za nieuprawnione przechwytywanie danych.

Musisz zrozumieć topologię sieci

Przed ustawieniem analizatora należy w pełni zrozumieć fizyczną i logiczną organizację tej sieci. Wykonując analizę w niewłaściwym miejscu w sieci, możesz uzyskać błędne wyniki lub po prostu nie znalezienie tego, czego potrzebujesz. Należy sprawdzić, czy pomiędzy analizującą stacją roboczą a miejscem obserwacji nie znajdują się żadne routery. Routery będą przekierowywać ruch do segmentu sieci tylko wtedy, gdy nastąpi połączenie z zlokalizowanym w nim węzłem. Podobnie w sieci przełączanej konieczne będzie skonfigurowanie portu, z którym się łączysz, jako portu „monitorowego” lub „lustrzanego”. Różni producenci używają różnej terminologii, ale zasadniczo port musi działać jak koncentrator, a nie przełącznik, ponieważ musi widzieć cały ruch przechodzący przez przełącznik, a nie tylko ten kierowany do stacji roboczej. Bez tego ustawienia port monitora będzie widział tylko to, co jest kierowane do portu, do którego jest podłączony, oraz ruch rozgłoszeniowy sieci.

Należy stosować rygorystyczne kryteria wyszukiwania

W zależności od tego, co chcesz znaleźć, użycie otwartego filtra (tzn. pokazywanie wszystkiego) spowoduje, że dane wyjściowe będą duże i trudne do analizy. Lepiej jest użyć specjalnych kryteriów wyszukiwania, aby zmniejszyć wynik generowany przez analizator. Nawet jeśli nie wiesz dokładnie, czego szukać, nadal możesz napisać filtr, aby zawęzić wyniki wyszukiwania. Jeśli potrzebujesz znaleźć maszynę wewnętrzną, dobrze jest ustawić kryteria tak, aby patrzyły tylko na adresy źródłowe w obrębie danej sieci. Jeśli chcesz monitorować określony typ ruchu, powiedzmy ruch FTP, możesz ograniczyć wyniki tylko do tego, co przychodzi do portu używanego przez aplikację. W ten sposób można osiągnąć znacznie lepsze wyniki analiz.

Ustawianie stanu odniesienia sieci

Korzystanie z analizatora sieci podczas normalnej pracy , a poprzez rejestrację wyników końcowych uzyskuje się stan odniesienia, który można porównać z wynikami uzyskanymi podczas prób wyodrębnienia problemu. Omówiony poniżej analizator Ethereal generuje w tym celu przydatne raporty. Niektóre dane zostaną również uzyskane w celu śledzenia wykorzystania sieci w czasie. Korzystając z tych danych, możesz określić, kiedy sieć jest nasycona i jakie są główne tego przyczyny - przeciążenie serwera, wzrost liczby użytkowników, zmiana rodzaju ruchu itp. Jeśli istnieje punkt wyjścia, łatwiej jest zrozumieć, kto za co jest winien.