tcpdump

Instrumentul principal pentru aproape toate colecțiile de trafic de rețea este tcpdump. Este o aplicație open source care se instalează pe aproape toate sistemele de operare asemănătoare Unix. Tcpdump este un instrument excelent de colectare a datelor și vine cu un motor de filtrare foarte puternic. Este important să știți cum să filtrați datele în timpul colectării pentru a obține o bucată de date gestionabilă pentru analiză. Captarea tuturor datelor de pe un dispozitiv de rețea, chiar și într-o rețea moderat ocupată, poate crea prea multe date pentru o analiză simplă.

În unele cazuri rare, tcpdump poate scoate rezultatul direct pe ecran, iar acest lucru poate fi suficient pentru a găsi ceea ce căutați. De exemplu, în timpul scrierii unui articol, a fost captat o parte din trafic și s-a observat că mașina trimite trafic la o adresă IP necunoscută. Se pare că aparatul trimitea date la adresa IP Google 172.217.11.142. Deoarece nu au fost lansate produse Google, a apărut întrebarea de ce se întâmplă acest lucru.

O verificare a sistemului a arătat următoarele:

[ ~ ]$ ps -ef | grep google

Lasă comentariul tău!

Utilitate CommView servește pentru colectarea și analizarea rețelei locale și a traficului de internet. Programul captează și decodifică datele care trec prin rețea la cel mai de jos nivel, inclusiv o listă de conexiuni de rețea și pachete IP de peste 70 dintre cele mai comune protocoale de rețea. CommView păstrează statisticile IP; pachetele interceptate pot fi salvate într-un fișier pentru analiza ulterioară. Folosind un sistem de filtrare flexibil în program, puteți elimina cele inutile pentru a captura pachete sau interceptați numai pe cele necesare. Modulul VoIP inclus în program permite analiza aprofundată, înregistrarea și redarea mesajelor vocale conform standardelor SIP și H.323. CommView vă permite să vedeți o imagine detaliată a traficului de informații care trece printr-o placă de rețea sau un segment de rețea separat.

Scaner de internet și rețea locală

Ca scaner de rețea, programul CommView va fi util administratorilor de sistem, persoanelor care lucrează în domeniul securității rețelei și programatorilor care dezvoltă software care utilizează conexiuni de rețea. Utilitarul acceptă limba rusă, are o interfață ușor de utilizat și include un sistem de ajutor detaliat și ușor de înțeles pentru toate funcțiile și capacitățile implementate în program.

Caracteristici cheie CommView

• Interceptarea traficului de internet sau local care trece printr-un adaptor de rețea sau un controler dial-up
• Statistici detaliate ale conexiunilor IP (adrese, porturi, sesiuni, nume gazdă, procese etc.)
• Recrearea unei sesiuni TCP
• Configurarea alertelor de evenimente
• Diagrame de protocoale IP și protocoale de nivel superior
• Vizualizați pachetele capturate și decodificate în timp real
• Căutați conținutul pachetelor interceptate după șir sau date HEX
• Salvarea pachetelor în arhive
• Descărcați și vizualizați pachetele salvate anterior atunci când conexiunea este deconectată
• Export și import de arhive cu pachete în (din) formatele NI Observer sau NAI Sniffer
• Obținerea de informații despre o adresă IP
• Suport și decodare protocol: ARP, BCAST, RTSP, SAP, SER, SIP, SMB, SMTP, SNA, SNMP, SNTP, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG, DNS, EIGRP, FTP, G.723, GRE, H. 225, H.261, H.263, H.323, HTTP, HTTPS, 802.1Q, 802.1X, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX, HSRP, LDAP, MS SQL, NCP , NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, LDAP, MS SQL, NCP, NDS, NetBIOS, RDP, RIP, RIPX, RMCP, RPC, RSVP, RTP, RTCP, SOCKS, SPX, SSH, TCP, TELNET, TFTP, TIME, TLS, UDP, VTP, WDOG, YMSG.

În unele cazuri, analiza traficului de rețea este utilizată pentru a detecta probleme în funcționarea stivei de rețea a unei gazde și a segmentelor de rețea. Există instrumente care vă permit să afișați (ascultați) și să analizați funcționarea rețelei la nivel de cadre transmise, pachete de rețea, conexiuni de rețea, datagrame și protocoale de aplicație.

Depinzând de situație, atât traficul nodului pe care este ascultat traficul de rețea, cât și traficul unui segment de rețea, port router etc. pot fi disponibile pentru diagnosticare. Capacitățile avansate de interceptare a traficului se bazează pe modul „promiscuu”. funcționarea adaptorului de rețea: toate cadrele sunt procesate (și nu doar cele destinate pentru o anumită adresă MAC și difuzare, ca în funcționarea normală).

Într-o rețea Ethernet, există următoarele capacități de bază pentru ascultarea traficului:

• Într-o rețea bazată pe hub, tot traficul din domeniul de coliziune este disponibil oricărei stații de rețea.
• În rețelele bazate pe comutatoare de stație de rețea, traficul acestuia, precum și tot traficul de difuzare a acestui segment, este disponibil.
• Unele switch-uri gestionate au capacitatea de a copia traficul de la un anumit port în portul de monitorizare(„oglindire”, monitorizare port).
• Utilizarea mijloacelor speciale (cuple) care sunt incluse într-o conexiune la rețea întrerupe și transmit traficul de conexiune către un port separat.
• „Trick” cu un butuc- portul switch al cărui trafic trebuie ascultat este pornit printr-un hub, conectând și un nod de monitor la hub (în acest caz, în majoritatea cazurilor, performanța conexiunii la rețea este redusă).

Există programe ( monitoare de rețea sau analizoare, sniffer), care implementează funcția de a asculta traficul de rețea (inclusiv în modul promiscuu), de a-l afișa sau de a-l scrie într-un fișier. În plus, software-ul de analiză poate filtra traficul pe baza regulilor, poate decoda (descifra) protocoale, poate citi statistici și poate diagnostica unele probleme.

Notă: O alegere bună de instrument de bază pentru analiza traficului de rețea în mediu grafic este un pachet gratuit wireshark[43], disponibil pentru Windows și în depozitele unor distribuții Linux.

utilitarul tcpdump

Utilitarul de consolă tcpdump este inclus cu majoritatea sistemelor Unix și vă permite să interceptați și să afișați traficul de rețea [44]. Utilitarul folosește libpcap, o bibliotecă portabilă C/C++ pentru a capta traficul de rețea.

Pentru a instala tcpdump pe Debian puteți folosi comanda:

# apt-get install tcpdump

Pentru a rula acest utilitar trebuie să aveți drepturi superutilizator(în special, din cauza necesității de a pune adaptorul de rețea în modul „promiscuu”). În general, formatul comenzii este următorul:

tcpdump<опции> <фильтр-выражение>

Pentru ieșire din consolă descrierea antetului(date decriptate) de pachete interceptate, trebuie să specificați o interfață pentru analiza traficului (opțiunea -i):

# tcpdump -i eth0

Puteți dezactiva conversia adreselor IP în nume de domenii (deoarece volumele mari de trafic creează un număr mare de solicitări către serverul DNS) - opțiunea -n:

# tcpdump -n -i eth0

Pentru a scoate date la nivel de legătură (de exemplu, adrese Mac, etc.) utilizați opțiunea -e:

# tcpdump -en -i eth0

Imprimați informații suplimentare (de ex. TTL, opțiuni IP) - opțiunea -v:

# tcpdump -ven -i eth0

Creșterea dimensiunii pachetelor capturate (mai mult de 68 de octeți în mod implicit) - opțiunea -s care indică dimensiunea (-s 0 - capturați pachete întregi):

Scrierea într-un fișier (direct pachete - „dump”) - opțiunea -w indicând numele fișierului:

# tcpdump -w traf.dump

Citirea pachetelor dintr-un fișier - opțiune - r specificând numele fișierului:

# tcpdump -r traf.dump

În mod implicit, tcpdump rulează în modul promiscuu. Comutatorul -p îi spune tcpdump să intercepteze numai traficul destinat gazdei respective.

Pentru mai multe informații despre comutatoarele și formatul filtrului tcpdump, consultați manualul de referință (man tcpdump).

Analiza traficului la nivel de interfață de rețea și la nivel de rețea folosind tcpdump

Pentru a aloca cadre Ethernet, sunt utilizate următoarele constructe tcpdump (vedere generală):

tcpdump eter ( src | dst | gazdă ) MAC_ADDRESS

unde src este adresa MAC sursă, dst- adresa MAC de destinație, gazdă - src sau dst, precum și pentru evidențierea traficului de difuzare.

Ministerul Educației și Științelor al Federației Ruse

Instituția de învățământ de stat „Universitatea Politehnică de Stat din Sankt Petersburg”

Institutul de Economie și Management Cheboksary (filiala)

Departamentul de Matematică Superioară și Tehnologii Informaționale

ABSTRACT

la cursul „Securitatea informațiilor”.

pe tema: „Analizoare de rețea”

Efectuat

Student anul IV, salariu 080502-51M

specializarea "Management"

la o întreprindere de inginerie mecanică"

Pavlov K.V.

Verificat

Profesor

Ceboksary 2011

INTRODUCERE

Rețelele Ethernet au câștigat o popularitate imensă datorită debitului lor bun, ușurinței de instalare și costului rezonabil de instalare a echipamentelor de rețea.
Cu toate acestea, tehnologia Ethernet nu este lipsită de dezavantaje semnificative. Principala este nesiguranța informațiilor transmise. Calculatoarele conectate la o rețea Ethernet sunt capabile să intercepteze informațiile adresate vecinilor lor. Motivul pentru aceasta este așa-numitul mecanism de mesaje difuzate adoptat în rețelele Ethernet.

Conectarea computerelor într-o rețea rupe vechile axiome ale securității informațiilor. De exemplu, despre securitatea statică. În trecut, o vulnerabilitate a sistemului putea fi descoperită și remediată de administratorul de sistem prin instalarea actualizării corespunzătoare, care putea verifica doar funcționalitatea „patch-ului” instalat câteva săptămâni sau luni mai târziu. Cu toate acestea, acest „patch” ar fi putut fi eliminat de către utilizator accidental sau în timpul lucrului, sau de un alt administrator la instalarea de noi componente. Totul se schimbă, iar acum tehnologiile informaționale se schimbă atât de repede încât mecanismele statice de securitate nu mai oferă securitate completă a sistemului.

Până de curând, principalul mecanism de protecție a rețelelor corporative erau firewall-urile. Cu toate acestea, firewall-urile concepute pentru a proteja resursele informaționale ale unei organizații se dovedesc adesea vulnerabile. Acest lucru se întâmplă deoarece administratorii de sistem creează atât de multe simplificări în sistemul de acces încât în ​​cele din urmă peretele de piatră al sistemului de securitate devine plin de găuri, ca o sită. Protecția Firewall (Firewall) poate să nu fie practică pentru rețelele de întreprindere cu trafic ridicat, deoarece utilizarea mai multor firewall-uri poate avea un impact semnificativ asupra performanței rețelei. În unele cazuri, este mai bine să „lăsați ușile larg deschise” și să vă concentrați pe metode de detectare și de răspuns la intruziunile în rețea.

Pentru monitorizarea constantă (24 de ore pe zi, 7 zile pe săptămână, 365 de zile pe an) a unei rețele corporative pentru detectarea atacurilor, sunt proiectate sisteme de protecție „active” - sisteme de detectare a atacurilor. Aceste sisteme detectează atacurile asupra nodurilor rețelei corporative și răspund la acestea într-un mod specificat de administratorul de securitate. De exemplu, întrerup conexiunea cu nodul atacator, informează administratorul sau introduc informații despre atac în jurnalele.

1. ANALIZATORI DE REȚEA

1.1 IP - ALERTA 1 SAU PRIMUL MONITOR DE REȚEA

În primul rând, ar trebui să spunem câteva cuvinte despre radiodifuziunea locală. Într-o rețea Ethernet, computerele conectate la aceasta împart de obicei același cablu, care servește ca mediu pentru trimiterea de mesaje între ele.

Oricine dorește să transmită un mesaj pe un canal comun trebuie mai întâi să se asigure că acest canal este liber la un moment dat. După ce a început transmisia, computerul ascultă frecvența purtătoare a semnalului, determinând dacă semnalul a fost distorsionat ca urmare a coliziunilor cu alte computere care își transmit datele în același timp. Dacă există o coliziune, transmisia este întreruptă și computerul „tăce” pentru o anumită perioadă de timp pentru a încerca să repete transmisia puțin mai târziu. Dacă un computer conectat la o rețea Ethernet nu transmite nimic în sine, acesta continuă totuși să „asculte” toate mesajele transmise prin rețea de computerele vecine. După ce a observat adresa de rețea în antetul datei primite, computerul copiază această porțiune în memoria locală.

Există două moduri principale de a conecta computerele la o rețea Ethernet. În primul caz, computerele sunt conectate folosind un cablu coaxial. Acest cablu este așezat de la computer la computer, conectându-se la adaptoare de rețea cu un conector în formă de T și se termină la capete cu terminatoare BNC. Această topologie în limbaj profesional se numește o rețea Ethernet 10Base2. Cu toate acestea, poate fi numită și o rețea în care „toată lumea îi aude pe toată lumea”. Orice computer conectat la o rețea este capabil să intercepteze datele trimise prin acea rețea de un alt computer. În al doilea caz, fiecare computer este conectat printr-un cablu torsadat la un port separat al unui dispozitiv central de comutare - un hub sau un comutator. În astfel de rețele, numite rețele Ethernet lOBaseT, calculatoarele sunt împărțite în grupuri numite domenii de coliziune. Domeniile de coliziune sunt definite de porturi hub sau switch care sunt conectate la o magistrală comună. Ca urmare, coliziunile nu au loc între toate computerele din rețea. și separat - între cele care fac parte din același domeniu de coliziune, ceea ce crește debitul rețelei în ansamblu.

Recent, un nou tip de switch-uri au început să apară în rețelele mari care nu folosesc difuzarea și nu închid grupuri de porturi. În schimb, toate datele trimise prin rețea sunt stocate în memorie și sunt trimise cât mai curând posibil. Cu toate acestea, există încă destul de multe astfel de rețele - nu mai mult de 5% din numărul total de rețele de tip Ethernet.

Astfel, algoritmul de transfer de date adoptat în marea majoritate a rețelelor Ethernet necesită ca fiecare computer conectat la rețea să „asculte” continuu tot traficul din rețea, fără excepție. Algoritmii de acces propuși de unii oameni, în care calculatoarele ar fi deconectate de la rețea în timp ce transmiteau mesaje „alți oameni”, au rămas nerealizați din cauza complexității excesive, a costurilor ridicate de implementare și a eficienței scăzute.

Ce este IPAlert-1 și de unde a venit? Pe vremuri, cercetările practice și teoretice ale autorilor în domeniul studiului securității rețelelor au condus la următoarea idee: pe Internet, precum și în alte rețele (de exemplu, Novell NetWare, Windows NT), a existat o lipsă gravă de software de securitate care să facă complex controlul (monitorizarea) la nivel de legătură a întregului flux de informații transmis prin rețea pentru a detecta toate tipurile de impacturi la distanță descrise în literatura de specialitate. Un studiu al pieței de software de securitate a rețelei de internet a arătat că astfel de instrumente cuprinzătoare de detectare a atacurilor de la distanță nu existau, iar cele care existau au fost concepute pentru a detecta un anumit tip de atac (de exemplu, ICMP Redirect sau ARP). Prin urmare, a fost începută dezvoltarea unui instrument de monitorizare pentru un segment de rețea IP, destinat utilizării pe Internet și a primit următorul nume: IP Alert-1 monitor de securitate a rețelei.

Sarcina principală a acestui instrument, care analizează programatic traficul de rețea într-un canal de transmisie, nu este de a respinge atacurile de la distanță efectuate pe un canal de comunicare, ci de a le detecta și de a le înregistra (menținerea unui fișier de audit cu înregistrare într-o formă convenabilă pentru vizualizarea ulterioară). analiza tuturor evenimentelor asociate cu atacurile de la distanță pe un anumit segment de rețea) și alertarea imediată a administratorului de securitate dacă este detectat un atac de la distanță. Sarcina principală a monitorului de securitate al rețelei IP Alert-1 este de a monitoriza securitatea segmentului de Internet corespunzător.

Monitorul de securitate al rețelei IP Alert-1 are următoarea funcționalitate și permite, prin analiza rețelei, să detecteze următoarele atacuri de la distanță asupra segmentului de rețea pe care îl controlează:

1. Monitorizarea corespondenței adreselor IP și Ethernet în pachetele transmise de gazde situate în segmentul de rețea controlat.

Pe gazda IP Alert-1, administratorul de securitate creează un tabel ARP static, unde introduce informații despre adresele IP și Ethernet corespunzătoare ale gazdelor situate în segmentul de rețea controlat.

Această funcție vă permite să detectați o modificare neautorizată a adresei IP sau înlocuirea acesteia (așa-numita IP Spoofing, spoofing, IP-spoofing (jarg)).

2. Monitorizarea utilizării corecte a mecanismului de căutare ARP la distanță. Această caracteristică vă permite să detectați un atac ARP fals de la distanță folosind un tabel ARP static.

3. Monitorizarea utilizării corecte a mecanismului de căutare DNS la distanță. Această caracteristică vă permite să identificați toate tipurile posibile de atacuri de la distanță asupra serviciului DNS

4. Monitorizarea corectitudinii încercărilor de conectare la distanță prin analiza cererilor transmise. Această funcție vă permite să detectați, în primul rând, o încercare de a studia legea modificării valorii inițiale a identificatorului de conexiune TCP - ISN, în al doilea rând, un atac de refuz de serviciu la distanță efectuat prin depășirea cozii de solicitare a conexiunii și, în al treilea rând, un atac direcționat. „furtună” de cereri false de conexiune (atât TCP, cât și UDP), care duce și la refuzul serviciului.

Astfel, monitorul de securitate al rețelei IP Alert-1 vă permite să detectați, să notificați și să înregistrați majoritatea tipurilor de atacuri de la distanță. Cu toate acestea, acest program nu este în niciun caz un concurent cu sistemele Firewall. IP Alert-1, folosind caracteristicile atacurilor de la distanță pe Internet, servește ca o completare necesară - de altfel, incomparabil mai ieftină - la sistemele Firewall. Fără un monitor de securitate, majoritatea încercărilor de a lansa atacuri de la distanță asupra segmentului de rețea vor rămâne ascunse ochilor tăi. Niciunul dintre firewall-urile cunoscute nu este angajat într-o analiză atât de inteligentă a mesajelor care trec prin rețea pentru a identifica diferite tipuri de atacuri de la distanță, limitându-se, în cel mai bun caz, la păstrarea unui jurnal care înregistrează informații despre încercările de ghicire a parolelor, scanarea portului și scanarea rețelei. folosind programe de căutare de la distanță bine-cunoscute. Prin urmare, dacă un administrator de rețea IP nu dorește să rămână indiferent și să se mulțumească cu rolul unui simplu statistic în timpul atacurilor de la distanță asupra rețelei sale, atunci este indicat ca acesta să folosească monitorul de securitate al rețelei IP Alert-1.

Deci, exemplul IPAlert-1 arată locul important pe care îl ocupă monitoarele de rețea în asigurarea securității rețelei.

Desigur, monitoarele de rețea moderne acceptă mult mai multe funcții și există destul de multe dintre ele. Există sisteme mai simple, care costă în jur de 500 de dolari, dar există și sisteme foarte puternice echipate cu sisteme experte capabile să efectueze analize euristice puternice, costul lor este de multe ori mai mare - de la 75 de mii de dolari.

1.2 CAPACITĂȚI ALE ANALIZORILOR DE REȚELE MODERNE

Monitoarele moderne acceptă multe alte funcții în afară de cele de bază prin definiție (pe care le-am revizuit pentru IP Alert-1). De exemplu, scanarea prin cablu.

Statistici de rețea (rata de utilizare a segmentului, nivelul de coliziune, rata de eroare și nivelul traficului de difuzare, determinarea vitezei de propagare a semnalului); Rolul tuturor acestor indicatori este că, dacă se depășesc anumite valori de prag, putem vorbi despre probleme din segment. Aceasta include și în literatura de specialitate verificarea legitimității adaptoarelor de rețea dacă apare brusc una „suspectă” (verificare după adresa MAC etc.).

Statistica cadrelor eronate. Cadrele scurte sunt cadre care sunt mai mici decât lungimea maximă, adică mai puțin de 64 de octeți. Acest tip de cadre este împărțit în două subclase - cadre scurte cu o sumă de control corectă și cadre scurte (runts) care nu au o sumă de control corectă. Cel mai probabil motiv pentru apariția unor astfel de „mutanți” este o defecțiune a adaptoarelor de rețea. Rame extinse, care sunt rezultatul unei transmisii lungi și indică probleme cu adaptoarele. Cadre fantomă, care sunt rezultatul interferențelor asupra cablului. Rata normală de eroare a cadrelor într-o rețea nu trebuie să fie mai mare de 0,01%. Dacă este mai mare, atunci fie există defecțiuni tehnice în rețea, fie a avut loc o intruziune neautorizată.

Statistici de coliziuni. Indică numărul și tipurile de coliziuni pe un segment de rețea și vă permite să determinați prezența unei probleme și locația acesteia. Coliziunile pot fi locale (într-un segment) și la distanță (într-un alt segment în raport cu monitorul). De obicei, toate coliziunile din rețelele Ethernet sunt la distanță. Intensitatea coliziunilor nu trebuie să depășească 5%, iar vârfurile de peste 20% indică probleme grave.

Există multe mai multe funcții posibile, este pur și simplu imposibil să le enumerați pe toate.

Aș dori să remarc că monitoarele sunt disponibile atât în ​​​​software, cât și hardware. Cu toate acestea, ei tind să joace mai mult o funcție statistică. De exemplu, monitorul de rețea LANtern. Este un dispozitiv hardware ușor de instalat care ajută supraveghetorii și organizațiile de service să mențină și să susțină la nivel central rețelele cu mai mulți furnizori. Acesta colectează statistici și identifică tendințele pentru a optimiza performanța și extinderea rețelei. Informațiile despre rețea sunt afișate pe consola centrală de gestionare a rețelei. Astfel, monitoarele hardware nu oferă o protecție adecvată a informațiilor.

Microsoft Windows conține un monitor de rețea (NetworkMonitor), dar conține vulnerabilități grave, despre care voi discuta mai jos.

Orez. 1. Monitor de rețea pentru clasa WINDOWS OS NT.

Interfața programului este puțin dificil de stăpânit din mers.

Orez. 2. Vizualizați cadre în WINDOWS Network Monitor.

Majoritatea producătorilor se străduiesc acum să facă monitoarele lor să aibă o interfață simplă și ușor de utilizat. Un alt exemplu este monitorul NetPeeker (nu atât de bogat în capabilități suplimentare, dar totuși):

Orez. 3. Interfață ușor de utilizat a monitorului NetPeeker.

Voi da un exemplu de interfață a unui program NetForensics complex și costisitor (95.000 USD):

Fig.4. Interfață NetForensics.

Există un anumit set obligatoriu de „abilități” pe care monitorii trebuie să le aibă, conform tendințelor actuale:

1. Cel puțin:

• stabilirea șabloanelor de filtrare a traficului;
• gestionarea centralizată a modulelor de urmărire;
• filtrarea și analiza unui număr mare de protocoale de rețea, incl. TCP, UDP și ICMP;
• filtrarea traficului de rețea după protocol, porturi și adrese IP ale expeditorului și destinatarului;
• terminarea anormală a conexiunii cu nodul atacator;
• gestionare firewall și router;
• setarea scripturilor pentru procesarea atacurilor;
• înregistrarea unui atac pentru redare și analiză ulterioară;
• suport pentru interfețele de rețea Ethernet, Fast Ethernet și Token Ring;
• nu este necesară utilizarea hardware-ului special;
• stabilirea unei conexiuni sigure între componentele sistemului, precum și alte dispozitive;
• disponibilitatea unei baze de date cuprinzătoare cu toate atacurile detectate;
• reducerea minimă a performanței rețelei;
• lucrați cu un singur modul de urmărire din mai multe console de control;
• sistem puternic de generare de rapoarte;
• ușurință în utilizare și interfață grafică intuitivă;
• cerințe de sistem scăzute pentru software și hardware.

2. Fiți capabil să creați rapoarte:

• Repartizarea traficului de către utilizatori;
• Distribuirea traficului pe adrese IP;
• Distribuția traficului între servicii;
• Distribuirea traficului pe protocol;
• Distribuția traficului după tipul de date (imagini, videoclipuri, texte, muzică);
• Repartizarea traficului pe programe utilizate de utilizatori;
• Distribuția traficului în funcție de ora din zi;
• Distribuția traficului pe zi a săptămânii;
• Distribuția traficului pe date și luni;
• Distribuirea traficului pe site-urile vizitate de utilizator;
• Erori de autorizare în sistem;
• Intrări și ieșiri din sistem.

Exemple de atacuri specifice pe care monitoarele de rețea le pot recunoaște:

„Refuzarea serviciului”. Orice acțiune sau secvență de acțiuni care determină defectarea oricărei părți a sistemului atacat, în care încetează să-și îndeplinească funcțiile. Motivul poate fi accesul neautorizat, întârzierea serviciului etc. Exemplele includ atacurile SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) etc.

" Neautorizat acces " (Încercare de acces neautorizat). Orice acțiune sau secvență de acțiuni care are ca rezultat o încercare de a citi fișiere sau de a executa comenzi într-un mod care ocolește politica de securitate stabilită. Include, de asemenea, încercările unui atacator de a obține privilegii mai mari decât cele stabilite de administratorul de sistem. Un exemplu ar fi atacurile FTP Root, E-mail WIZ etc.

„Sonda înainte de atac”
Orice acțiune sau succesiune de acțiuni pentru a obține informații DIN sau DESPRE rețea (de exemplu, nume de utilizator și parole), care sunt ulterior utilizate pentru a efectua acces neautorizat. Un exemplu ar fi scanarea porturilor (Scanarea porturilor), scanarea folosind programul SATAN (Scanarea SATAN), etc.

"Activitate suspicioasa"
Trafic de rețea care nu se încadrează în definiția traficului „standard”. Poate indica activități suspecte care au loc online. Un exemplu ar fi evenimentele Duplicate IP Address, IP Unknown Protocol etc.

„Analiza protocolului” (Protocol decode. Activitate de rețea care poate fi utilizată pentru a efectua unul dintre tipurile de atacuri de mai sus. Poate indica activități suspecte care au loc online. Un exemplu ar fi evenimentele de decodare FTP User, Portmapper Proxy, etc.

1.3 PERICOLE ALE UTILIZĂRII MONITOARELOR DE REȚEA

Utilizarea monitoarelor de rețea prezintă, de asemenea, pericole potențiale. Numai pentru că prin ele trece o cantitate imensă de informații, inclusiv informații confidențiale. Să ne uităm la un exemplu de vulnerabilitate folosind NetworkMonitor menționat mai sus, care este inclus în familia Windows NT. Acest monitor are un așa-numit panou HEX (vezi Fig. 2), care vă permite să vedeți datele cadru sub formă de text ASCII. Aici, de exemplu, puteți vedea parole necriptate plutind în rețea. Puteți încerca, de exemplu, să citiți pachetele aplicației de mail Eudora. După ce ați petrecut puțin timp, le puteți vedea în siguranță deschise. Cu toate acestea, trebuie să fii mereu în gardă, deoarece criptarea nu ajută. Există două cazuri posibile aici. În literatură există un termen de argou „obscenitate” - acesta este un vecin al unei anumite mașini în același segment, pe același hub sau, așa cum se numește acum, un comutator. Deci, dacă o „obscenitate” „avansată” a decis să scaneze traficul de rețea și să scoată parole, atunci administratorul poate identifica cu ușurință un astfel de atacator, deoarece monitorul acceptă identificarea utilizatorilor care îl folosesc. Tot ce trebuie să faceți este să apăsați un buton și se deschide o listă de „hackeri obsceni” în fața administratorului. Situația este mult mai complicată atunci când un atac este efectuat din exterior, de exemplu, de pe Internet. Informatiile furnizate de monitor sunt extrem de informative. Sunt afișate o listă cu toate cadrele capturate, numerele de secvență ale cadrelor, momentele captării lor, chiar și adresele MAC ale adaptoarelor de rețea, ceea ce vă permite să identificați computerul în mod destul de specific. Panoul de informații detaliate conține „interiorul” cadrului - o descriere a titlurilor acestuia etc. Chiar și un începător curios va găsi aici multe familiare.

Atacurile externe sunt mult mai periculoase, deoarece, de regulă, este foarte, foarte dificil să identifici atacatorul. Pentru a vă proteja în acest caz, trebuie să utilizați protecția prin parolă pe monitor. Dacă driverul Network Monitor este instalat și parola nu este setată, atunci oricine folosește Network Monitor din aceeași distribuție (același program) pe alt computer se poate alătura primului computer și îl poate folosi pentru a intercepta datele din rețea. În plus, monitorul de rețea trebuie să ofere capacitatea de a detecta alte instalații pe segmentul rețelei locale. Cu toate acestea, aceasta are și propria sa complexitate. În unele cazuri, arhitectura de rețea poate suprima detectarea unei copii instalate a Network Monitor de către alta. De exemplu, dacă o copie instalată a Network Monitor este separată de oa doua copie de către un router care nu permite mesaje multicast, atunci a doua copie a Network Monitor nu o va putea detecta pe prima.

Hackerii și alți atacatori nu pierd timpul. Ei caută constant din ce în ce mai multe modalități noi de a dezactiva monitoarele de rețea. Se dovedește că există multe modalități, începând de la dezactivarea monitorului prin depășirea buffer-ului acestuia, terminând cu faptul că poți forța monitorul să execute orice comandă trimisă de un atacator.

Există laboratoare speciale care analizează securitatea software-ului. Rapoartele lor sunt alarmante, deoarece se constată destul de des încălcări grave. Exemple de lacune reale în produsele reale:

1. RealSecure este un sistem comercial de detectare a intruziunilor (IDS) de la ISS.

RealSecure se comportă instabil la procesarea unor semnături DHCP (DHCP_ACK - 7131, DHCP_Discover - 7132 și DHCP_REQUEST - 7133) furnizate împreună cu sistemul. Prin trimiterea de trafic DHCP rău intenționat, vulnerabilitatea permite unui atacator de la distanță să perturbe programul. Vulnerabilitate descoperită în sistemele de securitate pe internet RealSecure Network Sensor 5.0 XPU 3.4-6.5

2. Program: Monitor de rețea RealSecure 4.9

Pericol: mare; prezența exploatării: Nu.

Descriere: Au fost descoperite mai multe vulnerabilități în RS. Utilizatorul de la distanță poate determina locația dispozitivului. Utilizatorul de la distanță poate defini și modifica configurația dispozitivului.

Soluție: Instalați o versiune actualizată a programului. Contactați producătorul.

1.4 ANALIZORI DE PROTOCOLE, AVANTAJE, PERICOLE ȘI METODE DE PROTECȚIE ÎMPOTRIVA PERICOLELOR LOR

Analizoarele de protocol sunt o clasă separată de software, deși sunt în esență un subset de monitoare de rețea. Fiecare monitor are cel puțin mai multe analizoare de protocol încorporate. Atunci de ce să le folosiți dacă puteți implementa un sistem mai decent folosind monitoare de rețea? În primul rând, instalarea unui monitor puternic nu este întotdeauna recomandabilă și, în al doilea rând, nu orice organizație își poate permite să cumpere unul pentru mii de dolari. Uneori apare întrebarea: monitorul în sine nu va fi mai scump decât informațiile pe care este proiectat să le protejeze? În astfel de cazuri (sau similare) sunt utilizați analizatorii de protocol în forma lor pură. Rolul lor este similar cu rolul monitoarelor.

Adaptorul de rețea al fiecărui computer dintr-o rețea Ethernet, de regulă, „aude” tot ce „vorbesc” între ei vecinii săi de pe segmentul acestei rețele. Dar prelucrează și plasează în memoria sa locală doar acele porțiuni (așa-numitele cadre) de date care conțin o adresă unică atribuită în rețea. În plus, marea majoritate a adaptoarelor Ethernet moderne permit funcționarea într-un mod special numit promiscuu, atunci când este utilizat, adaptorul copiază toate cadrele de date transmise prin rețea în memoria locală a computerului. Programele specializate care pun adaptorul de rețea în modul promiscuu și colectează tot traficul de rețea pentru analiza ulterioară se numesc analizoare de protocol.

Acestea din urmă sunt utilizate pe scară largă de administratorii de rețea pentru a monitoriza funcționarea acestor rețele. Din păcate, analizatorii de protocol sunt folosiți și de atacatori, care le pot folosi pentru a intercepta parolele altor persoane și alte informații confidențiale.

Trebuie remarcat faptul că analizatorii de protocol reprezintă un pericol grav. Analizatorul de protocol ar fi putut fi instalat de un străin care a intrat în rețea din exterior (de exemplu, dacă rețeaua are acces la Internet). Dar aceasta ar putea fi și opera unui atacator „acasă” cu acces legal la rețea. În orice caz, situația actuală trebuie luată în serios. Experții în securitatea computerelor clasifică atacurile asupra computerelor folosind analizoare de protocol ca așa-numitele atacuri de nivel al doilea. Aceasta înseamnă că un hacker de computer a reușit deja să pătrundă barierele de securitate ale rețelei și acum caută să se bazeze pe succesul său. Folosind un analizor de protocol, poate încerca să intercepteze datele de conectare și parolele utilizatorilor, date financiare sensibile (cum ar fi numerele de card de credit) și comunicări sensibile (cum ar fi e-mailul). Având în vedere resurse suficiente, un atacator de computer poate, în principiu, să intercepteze toate informațiile transmise prin rețea.

Analizoare de protocol există pentru fiecare platformă. Dar chiar dacă se dovedește că un analizor de protocol nu a fost încă scris pentru o anumită platformă, amenințarea reprezentată de un atac asupra unui sistem informatic folosind un analizor de protocol trebuie să fie luată în considerare. Faptul este că analizatorii de protocoale analizează nu un computer anume, ci protocoale. Prin urmare, analizorul de protocol poate fi instalat în orice segment de rețea și de acolo interceptează traficul de rețea care, ca urmare a transmisiilor transmise, ajunge la fiecare computer conectat la rețea.

Cele mai frecvente ținte ale atacurilor de către hackeri care folosesc analizoare de protocol sunt universitățile. Fie doar din cauza numărului mare de autentificări și parole diferite care pot fi furate în timpul unui astfel de atac. Folosirea unui analizor de protocol în practică nu este o sarcină atât de ușoară pe cât ar părea. Pentru a beneficia de un analizor de protocol, un atacator de computer trebuie să aibă cunoștințe suficiente despre tehnologia rețelei. Este imposibil să instalați și să rulați pur și simplu un analizor de protocol, deoarece chiar și într-o rețea locală mică de cinci computere traficul se ridică la mii și mii de pachete pe oră. Și, prin urmare, în scurt timp, datele de ieșire ale analizorului de protocol vor umple memoria disponibilă la capacitate maximă. Prin urmare, un atacator de computer configurează de obicei un analizor de protocol pentru a intercepta doar primii 200-300 de octeți ai fiecărui pachet transmis prin rețea. De obicei, în antetul pachetului se află informațiile despre numele de conectare și parola utilizatorului, ceea ce, de regulă, este de cel mai mare interes pentru atacator. Totuși, dacă un atacator are suficient spațiu pe hard disk, atunci creșterea volumului de trafic pe care îl interceptează nu va face decât să-l beneficieze și îi va permite să învețe o mulțime de lucruri interesante.

În mâinile unui administrator de rețea, un analizor de protocol este un instrument foarte util care îl ajută să găsească și să depaneze problemele, să scape de blocajele care reduc debitul rețelei și să detecteze prompt intrușii. Cum să te protejezi de intruși? Vă putem recomanda următoarele. În general, aceste sfaturi se aplică nu numai analizoarelor, ci și monitoarelor. În primul rând, încercați să obțineți un adaptor de rețea care în mod fundamental nu poate funcționa în modul promiscuu. Astfel de adaptoare există în natură. Unele dintre ele nu acceptă modul promiscuu la nivel hardware (există o minoritate), iar restul sunt pur și simplu echipate cu un driver special care nu permite funcționarea în modul promiscuu, deși acest mod este implementat în hardware. Pentru a găsi un adaptor care nu are mod promiscuu, pur și simplu contactați suportul tehnic al oricărei companii care vinde analizoare de protocol și aflați cu ce adaptoare nu funcționează pachetele lor software. În al doilea rând, având în vedere că specificația PC99, pregătită în profunzimea corporațiilor Microsoft și Intel, necesită prezența necondiționată a modului promiscuu în placa de rețea, achiziționați un comutator inteligent de rețea modern care tamponează mesajul transmis prin rețea în memorie și îl trimite, pe cat posibil, exact la adresa . Astfel, nu este nevoie ca adaptorul să „asculte” tot traficul pentru a extrage mesaje din acesta, al căror destinatar este acest computer. În al treilea rând, împiedicați instalarea neautorizată a analizoarelor de protocol pe computerele din rețea. Aici ar trebui să utilizați instrumente din arsenalul care este folosit pentru a combate marcajele software și, în special, programele troiene (instalarea firewall-urilor). Există o gamă largă de pachete software care vă permit să faceți acest lucru destul de eficient și fiabil. De exemplu, capacitatea de a cripta parolele de e-mail este oferită de un add-on la protocolul de e-mail POP (Post Office Protocol) - protocolul APOP (Authentication POP). Când lucrați cu APOP, o nouă combinație criptată este transmisă prin rețea de fiecare dată, ceea ce nu permite atacatorului să obțină niciun beneficiu practic din informațiile interceptate folosind analizatorul de protocol. Singura problemă este că astăzi nu toate serverele de e-mail și clienții acceptă APOP.

Un alt produs numit Secure Shell, sau SSL pe scurt, a fost dezvoltat inițial de legendara companie finlandeză SSH Communications Security (http://www.ssh.fi) și are acum multe implementări disponibile gratuit pe Internet. SSL este un protocol securizat pentru transmiterea în siguranță a mesajelor printr-o rețea de computere folosind criptare.

Deosebit de cunoscute sunt pachetele software concepute pentru a proteja datele transmise printr-o rețea prin criptare și unite prin prezența în numele lor a abrevierei PGP, care înseamnă Pretty Good Privacy.

Este de remarcat faptul că familia de analizoare de protocol include dezvoltări interne demne. Un exemplu izbitor este analizatorul multifuncțional Observer (dezvoltat de ProLAN).

Orez. 5. Interfața analizorului Russian Observer.

Dar, de regulă, majoritatea analizoarelor au o interfață mult mai simplă și mai puține funcții. De exemplu, programul Ethereal.

Orez. 6. Interfața analizorului Ethereal străin.

CONCLUZIE

Monitoarele de rețea, precum analizoarele de protocol, sunt un instrument puternic și eficient pentru administrarea rețelelor de calculatoare, deoarece vă permit să evaluați cu precizie mulți parametri de funcționare a rețelei, cum ar fi vitezele semnalului, zonele în care sunt concentrate coliziunile etc. Cu toate acestea, sarcina lor principală, căreia îi fac față cu succes, este identificarea atacurilor asupra rețelelor de calculatoare și notificarea administratorului despre acestea pe baza analizei traficului. În același timp, utilizarea acestor instrumente software este plină de pericol potențial, deoarece, datorită faptului că informațiile trec prin monitoare și analizoare, se poate realiza captarea neautorizată a acestor informații. Administratorul de sistem trebuie să acorde atenția cuvenită protejării rețelei sale și să nu uite că protecția combinată este mult mai eficientă. Ar trebui să fiți atenți atunci când alegeți un software de analiză a traficului pe baza costului real al informațiilor care se presupune a fi protejate, probabilității intruziunii, valoarea informațiilor pentru terți, disponibilitatea soluțiilor de securitate gata făcute și capacitățile din bugetul organizaţiei. O alegere competentă a soluției va ajuta la reducerea probabilității accesului neautorizat și nu va fi prea „grea” în ceea ce privește finanțarea. Trebuie să vă amintiți întotdeauna că astăzi nu există un instrument de securitate perfect, iar acest lucru se aplică, desigur, monitoarelor și analizoarelor. Trebuie să vă amintiți întotdeauna că, indiferent cât de perfect este monitorul, acesta nu va fi pregătit pentru noi tipuri de amenințări pe care nu a fost programat să le recunoască. În consecință, nu numai că ar trebui să planificați în mod corespunzător protecția infrastructurii de rețea a întreprinderii dvs., ci și să monitorizați în mod constant actualizările produselor software pe care le utilizați.

LITERATURĂ

1. Atacul pe Internet. I.D. Medvedkovsky, P.V. Semyanov, D.G. Leonov. – Ed. a III-a, șters. – M.: DMK, 2000

2. Microsoft Windows 2000. Manualul administratorului. Seria „ITProfessional” (tradusă din engleză). U.R. Stanek. – M.: Editura și casa comercială „Ediția Rusă”, 2002.

3. Elemente esențiale pentru rețea. E. Tittel, K. Hudson, J.M. Stewart. Pe. din engleza – Sankt Petersburg: Editura Peter, 1999

4. Informațiile despre lacune în produsele software sunt preluate din baza de date a serverului SecurityLab (www.securitylab.ru)

5. Rețele de calculatoare. Teorie și practică. http://network-journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=3&pa=9&ar=1

6. Analiza rețelei. Articol în 2 părți. http://www.ru-board.com/new/article.php?sid=120

7. Dicționar electronic de termeni de telecomunicații. http://europestar.ru/info/

8. Metode hardware și software de protecție împotriva atacurilor de la distanță pe Internet. http://personal.primorye.ru/desperado/Xattack/7.2.htm

9. Securitate în Network Monitor. Tutorial pe WindowsXP. http://www.soft32.ru/literature.shtml?topic=windows&book=WinXP&page=Glava16/Index0.htm&subpage=Glava16/Index52.htm

10. Documentație pentru monitorul RealSecure. Furnizat de producător în formă electronică la cerere.

11. Securitatea sistemelor informatice. Analizoare de protocol. http://kiev-security.org.ua/box/12/130.shtml

12. Server de internet al dezvoltatorului rus de analizoare - compania „ProLAN” http://www.prolan.ru/

Informații generale

Instrumentele numite analizoare de rețea sunt denumite după Sniffer Network Analyzer. Acest produs a fost lansat în 1988 de Network General (acum Network Associates) și a fost unul dintre primele dispozitive care le-a permis managerilor să învețe literalmente despre ceea ce se întâmplă într-o rețea mare, fără a părăsi biroul lor. Primii analizori citesc anteturile mesajelor din pachetele de date trimise prin rețea, oferind astfel administratorilor informații despre adresele expeditorului și destinatarului, dimensiunile fișierelor și alte informații de nivel scăzut. Și toate acestea sunt în plus față de verificarea corectitudinii transmisiei pachetelor. Folosind grafice și descrieri de text, analizatorii au ajutat administratorii de rețea să diagnosticheze serverele, legăturile de rețea, hub-urile și comutatoarele, precum și aplicațiile. În linii mari, un analizor de rețea ascultă sau „adulmecă” pachete dintr-un anumit segment fizic al rețelei. Acest lucru vă permite să analizați traficul pentru anumite modele, să corectați anumite probleme și să identificați activitățile suspecte. Un sistem de detectare a intruziunilor în rețea nu este altceva decât un sniffer avansat care potrivește fiecare pachet din rețea cu o bază de date de tipare cunoscute de trafic rău intenționat, similar cu ceea ce face un program antivirus cu fișierele de pe un computer. Spre deosebire de instrumentele descrise mai devreme, analizoarele funcționează la un nivel inferior.

Dacă ne întoarcem la modelul de referință OSI, analizatorii verifică cele două niveluri inferioare - fizic și canal.

Numărul nivelului de model BOS	Numele nivelului	Exemple de protocoale
Nivelul 7	Strat de aplicație	DNS, FTP, HTTP, SMTP, SNMP, Telnet
Nivelul 6	Stratul de prezentare
Nivelul 5	Nivel de sesiune
Nivelul 4	Stratul de transport	NetBIOS, TCP, UDP
Nivelul 3	Stratul de rețea	ARP, IP, IPX, OSPF
Nivelul 2	Stratul de legătură de date	Arcnet, Ethernet, Token Ring
Nivelul 1	Strat fizic	Cablu coaxial, fibră optică, pereche torsadată

Stratul fizic este cablarea fizică reală sau alte medii utilizate pentru a crea rețeaua. La nivelul de legătură de date, datele sunt inițial codificate pentru transmisie printr-un mediu specific. Standardele de rețea pentru stratul de legătură includ wireless 802.11, Arcnet, cablu coaxial, Ethernet, Token Ring și multe altele. Analizatorii depind de obicei de tipul de rețea pe care operează. De exemplu, pentru a analiza traficul într-o rețea Ethernet, trebuie să aveți un analizor Ethernet.

Există analizoare de calitate comercială de la producători precum Fluke, Network General și alții. Acestea sunt de obicei dispozitive hardware personalizate care pot costa zeci de mii de dolari. Deși acest hardware este capabil de o analiză mai aprofundată, este posibil să se creeze un analizor de rețea cu costuri reduse folosind software open source și un computer ieftin bazat pe Intel.

Tipuri de analizoare

În prezent sunt produse multe analizoare, care sunt împărțite în două tipuri. Primul include produse de sine stătătoare instalate pe un computer mobil. Consultantul îl poate lua cu el atunci când vizitează biroul clientului și îl poate conecta la rețea pentru a colecta date de diagnostic.

Inițial, dispozitivele portabile destinate testării funcționării rețelei au fost concepute exclusiv pentru verificarea parametrilor tehnici ai cablului. Cu toate acestea, de-a lungul timpului, producătorii și-au echipat echipamentele cu o serie de funcții de analizor de protocol. Analizatoarele de rețea moderne sunt capabile să detecteze o gamă largă de probleme posibile - de la deteriorarea fizică a cablului până la supraîncărcarea resurselor rețelei.

Al doilea tip de analizor face parte dintr-o categorie mai largă de hardware și software de monitorizare a rețelei, care permite organizațiilor să-și monitorizeze serviciile de rețea locală și extinsă, inclusiv Web-ul. Aceste programe oferă administratorilor o viziune holistică asupra stării de sănătate a rețelei. De exemplu, cu ajutorul unor astfel de produse puteți determina ce aplicații rulează în prezent, ce utilizatori sunt înregistrați în rețea și care dintre ei generează cea mai mare parte a traficului.

Pe lângă identificarea caracteristicilor rețelei de nivel scăzut, cum ar fi sursa pachetelor și destinația acestora, analizoarele moderne decodifică informațiile obținute la toate cele șapte straturi ale stivei de rețea Open System Interconnection (OSI) și oferă adesea recomandări pentru depanarea problemelor. Dacă analiza la nivel de aplicație nu permite să se facă o recomandare adecvată, analizatorii efectuează cercetări la un nivel inferior, de rețea.

Analizoarele moderne suportă de obicei standardele de monitorizare la distanță (Rmon și Rmon 2), care oferă achiziția automată a datelor cheie de performanță, cum ar fi informații despre încărcarea resurselor disponibile. Analizoarele care acceptă Rmon pot verifica în mod regulat starea componentelor rețelei și pot compara datele primite cu datele acumulate anterior. Dacă este necesar, vor emite un avertisment dacă nivelurile de trafic sau performanța depășesc limitele stabilite de administratorii de rețea.

NetScout Systems a introdus sistemul nGenius Application Service Level Manager, conceput pentru a monitoriza timpul de răspuns în secțiuni individuale ale canalului de acces la un site Web și pentru a determina performanța curentă a serverelor. Această aplicație poate analiza performanța în rețeaua publică pentru a recrea imaginea de ansamblu pe computerul utilizatorului. Firma daneză NetTest (fostă GN Nettest) a început să ofere Fastnet, un sistem de monitorizare a rețelei care ajută companiile de e-business să planifice capacitatea și să depaneze problemele de rețea.

Analiza rețelelor convergente (multiservicii).

Proliferarea rețelelor multiservicii (rețele convergente) poate avea un impact decisiv asupra dezvoltării sistemelor de telecomunicații și a sistemelor de transmisie a datelor în viitor. Ideea de a combina capacitatea de a transmite date, fluxuri de voce și informații video într-o singură infrastructură de rețea bazată pe un protocol de pachete s-a dovedit a fi foarte tentantă pentru furnizorii specializați în furnizarea de servicii de telecomunicații, deoarece poate extinde instantaneu semnificativ gama. a serviciilor pe care le oferă.

Pe măsură ce corporațiile încep să realizeze avantajele de eficiență și costuri ale rețelelor IP convergente, furnizorii de instrumente de rețea dezvoltă în mod activ analizoare pentru a face acest lucru. În prima jumătate a anului, multe companii au introdus componente pentru produsele lor de administrare a rețelei concepute pentru rețelele de voce prin IP.

„Convergența a creat noi complexități cu care trebuie să se confrunte administratorii de rețea”, a declarat Glenn Grossman, director de management de produs la NetScout Systems. -- Traficul vocal este foarte sensibil la întârzieri. Analizatorii pot analiza fiecare bit și octet trimis printr-un fir, pot interpreta antetele și pot determina automat prioritatea datelor.”

Utilizarea tehnologiilor de convergență a vocii și a datelor poate declanșa un nou val de interes în analizatori, deoarece prioritizarea traficului la nivel de pachete IP devine esențială pentru funcționarea serviciilor de voce și video. De exemplu, Sniffer Technologies a lansat Sniffer Voice, un set de instrumente conceput pentru administratorii de rețele multiservicii. Acest produs nu numai că oferă servicii tradiționale de diagnosticare pentru gestionarea traficului de e-mail, Internet și baze de date, dar identifică și problemele de rețea și recomandă soluții pentru a asigura transmiterea corectă a traficului de voce prin rețele IP.

Dezavantajul utilizării analizoarelor

Trebuie amintit că există două fețe ale monedei asociate cu analizoare. Acestea ajută la menținerea rețelei în funcțiune, dar pot fi folosite și de hackeri pentru a căuta în pachete de date nume de utilizator și parole. Pentru a preveni interceptarea parolei de către analizoare, antetele pachetelor sunt criptate (de exemplu, utilizând standardul Secure Sockets Layer).

Până la urmă, nu există alternativă la un analizor de rețea în situațiile în care este necesar să înțelegem ce se întâmplă într-o rețea globală sau corporativă. Un analizor bun vă permite să înțelegeți starea de sănătate a unui segment de rețea și să determinați volumul de trafic, precum și să determinați cum variază acest volum pe parcursul zilei, care utilizatori creează cea mai mare sarcină și în ce situații există probleme cu distribuția traficului sau deficit de lățime de bandă. Datorită utilizării unui analizor, este posibilă obținerea și analiza tuturor datelor dintr-un segment de rețea pentru o anumită perioadă.

Cu toate acestea, analizoarele de rețea sunt scumpe. Dacă intenționați să cumpărați unul, fiți clar ce așteptați de la el mai întâi.

Caracteristici de utilizare a analizoarelor de rețea

Pentru a utiliza analizoarele de rețea în mod etic și productiv, trebuie respectate următoarele îndrumări.

Permisiunea este întotdeauna necesară

Analiza rețelei, ca multe alte caracteristici de securitate, are potențialul de utilizare greșită. Interceptând totul datele transmise prin rețea, puteți spiona parolele pentru diverse sisteme, conținutul mesajelor de e-mail și alte date critice, atât interne, cât și externe, deoarece majoritatea sistemelor nu își criptează traficul în rețeaua locală. Dacă astfel de date cad în mâini greșite, poate duce în mod evident la încălcări grave de securitate. Poate fi, de asemenea, o încălcare a confidențialității angajaților. În primul rând, trebuie să obțineți permisiunea scrisă de la conducere, de preferință de la conducerea superioară, înainte de a începe astfel de activități. De asemenea, ar trebui să luați în considerare ce să faceți cu datele odată ce sunt primite. Pe lângă parole, acestea pot fi și alte date sensibile. Ca regulă generală, jurnalele de analiză a rețelei ar trebui eliminate din sistem, cu excepția cazului în care sunt necesare pentru urmărirea penală sau civilă. Există precedente documentate în care administratorii de sistem bine intenționați au fost concediați pentru interceptarea neautorizată a datelor.

Trebuie să înțelegeți topologia rețelei

Înainte de a configura analizorul, este necesar să înțelegeți pe deplin organizarea fizică și logică a acestei rețele. Efectuând analize în locul greșit din rețea, puteți obține rezultate eronate sau pur și simplu nu găsiți ceea ce aveți nevoie. Este necesar să se verifice dacă nu există routere între stația de lucru de analiză și locația de observare. Routerele vor redirecționa traficul către un segment de rețea numai dacă există un apel către un nod situat acolo. În mod similar, într-o rețea comutată, va trebui să configurați portul la care vă conectați ca port „monitor” sau „oglindă”. Diferiți producători folosesc o terminologie diferită, dar în esență portul trebuie să acționeze ca un hub, mai degrabă decât un comutator, deoarece trebuie să vadă tot traficul care trece prin comutator, nu doar cel direcționat către stația de lucru. Fără această setare, portul monitor va vedea doar ceea ce este direcționat către portul la care este conectat și traficul de difuzare în rețea.

Trebuie să utilizați criterii de căutare stricte

În funcție de ceea ce doriți să găsiți, utilizarea unui filtru deschis (adică arătând totul) va face rezultatul mare și dificil de analizat. Este mai bine să folosiți criterii speciale de căutare pentru a reduce rezultatul pe care îl produce analizorul. Chiar dacă nu știi exact ce să cauți, poți totuși să scrii un filtru pentru a limita rezultatele căutării. Dacă trebuie să găsiți o mașină internă, este corect să setați criteriile pentru a căuta numai adresele sursă dintr-o anumită rețea. Dacă trebuie să monitorizați un anumit tip de trafic, să spunem traficul FTP, puteți limita rezultatele doar la ceea ce intră în portul utilizat de aplicație. Făcând acest lucru, puteți obține rezultate de analiză semnificativ mai bune.

Setarea stării de referință a rețelei

Utilizarea unui analizor de rețea în timpul funcționării normale , iar prin înregistrarea rezultatelor finale se realizează o stare de referință care poate fi comparată cu rezultatele obținute în timpul încercărilor de izolare a problemei. Analizorul Ethereal discutat mai jos produce câteva rapoarte utile în acest sens. Unele date vor fi, de asemenea, obținute pentru a urmări utilizarea rețelei în timp. Folosind aceste date, puteți determina când rețeaua este saturată și care sunt principalele motive pentru aceasta - un server supraîncărcat, o creștere a numărului de utilizatori, o schimbare a tipului de trafic etc. Dacă există un punct de plecare, este mai ușor de înțeles cine este vinovat pentru ce.