tcpdump

Hlavným nástrojom pre takmer všetky kolekcie sieťovej prevádzky je tcpdump. Je to open source aplikácia, ktorá sa inštaluje na takmer všetky operačné systémy podobné Unixu. Tcpdump je vynikajúci nástroj na zber údajov a prichádza s veľmi výkonným filtrovacím motorom. Je dôležité vedieť, ako filtrovať údaje počas zberu, aby ste získali spravovateľnú časť údajov na analýzu. Zachytenie všetkých údajov zo sieťového zariadenia, dokonca aj v stredne vyťaženej sieti, môže vytvoriť príliš veľa údajov na jednoduchú analýzu.

V niektorých zriedkavých prípadoch môže tcpdump vypísať výstup priamo na vašu obrazovku, čo môže stačiť na nájdenie toho, čo hľadáte. Napríklad pri písaní článku sa zachytila ​​určitá prevádzka a zistilo sa, že stroj posiela návštevnosť na neznámu IP adresu. Ukázalo sa, že stroj odosielal údaje na IP adresu Google 172.217.11.142. Keďže neboli spustené žiadne produkty Google, vyvstala otázka, prečo sa tak deje.

Kontrola systému ukázala nasledovné:

[ ~ ]$ ps -ef | grep google

Zanechajte svoj komentár!

Utility CommView slúži na zber a analýzu lokálnej siete a internetovej prevádzky. Program zachytáva a dekóduje dáta prechádzajúce sieťou na najnižšiu úroveň, vrátane zoznamu sieťových pripojení a IP paketov viac ako 70 najbežnejších sieťových protokolov. CommView uchováva štatistiky IP zachytených paketov, ktoré je možné uložiť do súboru na neskoršiu analýzu. Pomocou flexibilného filtračného systému v programe môžete vyradiť nepotrebné na zachytávanie paketov alebo zachytiť len tie nevyhnutné. VoIP modul, ktorý je súčasťou programu, umožňuje hĺbkovú analýzu, nahrávanie a prehrávanie hlasových správ štandardov SIP a H.323. CommView vám umožňuje vidieť detailný obraz informačnej prevádzky prechádzajúcej cez sieťovú kartu alebo samostatný segment siete.

Internetový a lokálny sieťový skener

Ako sieťový skener bude program CommView užitočný pre systémových administrátorov, ľudí pracujúcich v oblasti sieťovej bezpečnosti a programátorov vyvíjajúcich softvér, ktorý využíva sieťové pripojenia. Nástroj podporuje ruský jazyk, má užívateľsky prívetivé rozhranie a obsahuje podrobný a zrozumiteľný systém pomoci pre všetky funkcie a možnosti implementované v programe.

Kľúčové vlastnosti CommView

• Zachytenie internetovej alebo miestnej prevádzky prechádzajúcej cez sieťový adaptér alebo radič vytáčaného pripojenia
• Podrobné štatistiky IP pripojení (adresy, porty, relácie, názov hostiteľa, procesy atď.)
• Opätovné vytvorenie relácie TCP
• Nastavenie upozornení na udalosti
• Diagramy IP protokolov a protokolov vyššej úrovne
• Zobrazte zachytené a dekódované pakety v reálnom čase
• Vyhľadajte obsah zachytených paketov podľa reťazca alebo HEX údajov
• Ukladanie balíkov do archívov
• Stiahnite si a prezrite si predtým uložené balíčky, keď je pripojenie odpojené
• Export a import archívov s balíkmi vo formátoch (z) NI Observer alebo NAI Sniffer
• Získanie informácií o IP adrese
• Podpora protokolov a dekódovanie: ARP, BCAST, RTSP, SAP, SER, SIP, SMB, SMTP, SNA, SNMP, SNTP, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG, DNS, EIGRP, FTP, G.723, GRE, H. 225, H.261, H.263, H.323, HTTP, HTTPS, 802.1Q, 802.1X, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX, HSRP, LDAP, MS SQL, NCP , NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, LDAP, MS SQL, NCP, NDS, NetBIOS, RDP, RIP, RIPX, RMCP, RPC, RSVP, RTP, RTCP, SOCKS, SPX, SSH, TCP, TELNET, TFTP, TIME, TLS, UDP, VTP, WDOG, YMSG.

V niektorých prípadoch sa analýza sieťovej prevádzky používa na zistenie problémov vo fungovaní sieťového zásobníka hostiteľa a sieťových segmentov. Existujú nástroje, ktoré umožňujú zobraziť (počúvať) a analyzovať prevádzku siete na úrovni prenášaných rámcov, sieťových paketov, sieťových pripojení, datagramov a aplikačných protokolov..

Záležiac ​​na V situácii môže byť na diagnostiku dostupná prevádzka uzla, na ktorom sa počúva sieťová prevádzka, ako aj prevádzka sieťového segmentu, portu smerovača atď.. Pokročilé možnosti odpočúvania premávky sú založené na „promiskuitný“ režim prevádzka sieťového adaptéra: všetky rámce sú spracované (a nielen tie, ktoré sú určené pre danú MAC adresu a vysielanie, ako pri bežnej prevádzke).

V ethernetovej sieti existujú nasledujúce základné možnosti počúvania prevádzky:

• V sieti založenej na rozbočovačoch je všetka prevádzka v kolíznej doméne dostupná pre akúkoľvek sieťovú stanicu.
• V sieťach založených na sieťových prepínačoch staníc je dostupná jej prevádzka, ako aj všetka vysielaná prevádzka tohto segmentu.
• Niektoré riadené prepínače majú schopnosť kopírovať prevádzku z daného portu na monitorovací port(„zrkadlenie“, monitorovanie prístavov).
• Použitie špeciálnych prostriedkov (spojok), ktoré sú súčasťou sieťového spojenia, preruší a prenesie spojenie na samostatný port.
• "Trik" s nábojom- port prepínača, ktorého prevádzku je potrebné počúvať, je zapnutý cez rozbočovač, ktorý tiež pripája uzol monitora k rozbočovaču (v tomto prípade je vo väčšine prípadov znížený výkon sieťového pripojenia).

Existujú programy ( sieťové monitory alebo analyzátory, sniffer), ktoré implementujú funkciu počúvania sieťovej prevádzky (aj v promiskuitnom režime), jej zobrazovania alebo zapisovania do súboru. Okrem toho môže analytický softvér filtrovať prevádzku na základe pravidiel, dekódovať (dešifrovať) protokoly, čítať štatistiky a diagnostikovať niektoré problémy.

Poznámka: Dobrá voľba základného nástroja na analýzu sieťovej prevádzky v grafické prostredie je bezplatný balík wireshark[43], dostupný pre Windows a v úložiskách niektorých distribúcií Linuxu.

pomôcka tcpdump

Konzolový nástroj tcpdump je súčasťou väčšiny unixových systémov a umožňuje vám zachytiť a zobraziť sieťovú prevádzku [44]. Nástroj používa libpcap, prenosnú knižnicu C/C++ na zachytávanie sieťovej prevádzky.

Ak chcete nainštalovať tcpdump na Debian, môžete použiť príkaz:

# apt-get install tcpdump

Ak chcete spustiť tento nástroj, musíte mať práva superužívateľ(najmä kvôli potrebe uviesť sieťový adaptér do „promiskuitného“ režimu). Vo všeobecnosti je formát príkazu nasledovný:

tcpdump<опции> <фильтр-выражение>

Pre výstup na konzolu popis hlavičky(dešifrované údaje) zachytených paketov, musíte zadať rozhranie pre analýzu prevádzky (možnosť -i):

# tcpdump -i eth0

Môžete zakázať konverziu adries IP na názvy domén (pretože veľké objemy prenosu vytvárajú veľké množstvo požiadaviek na server DNS) - možnosť -n:

# tcpdump -n -i eth0

Na výstup údajov na úrovni linky (napríklad adresy mac atď.) použite možnosť -e:

# tcpdump -en -i eth0

Tlač dodatočných informácií (napr. TTL, IP možnosti) - voľba -v:

# tcpdump -ven -i eth0

Zväčšenie veľkosti zachytených paketov (štandardne viac ako 68 bajtov) - možnosť -s označujúca veľkosť (-s 0 - zachytiť celé pakety):

Zápis do súboru (priamo balíky - "dump") - voľba -w označujúca názov súboru:

# tcpdump -w traf.dump

Čítanie balíkov zo súboru - voľba - r špecifikujúca názov súboru:

# tcpdump -r traf.dump

Štandardne tcpdump beží v promiskuitnom režime. Prepínač -p povie tcpdump, aby zachytil iba prevádzku určenú pre tohto hostiteľa.

Ďalšie informácie o prepínačoch a formáte filtra tcpdump nájdete v referenčnej príručke (man tcpdump).

Analýza prevádzky na úrovni sieťového rozhrania a na úrovni siete pomocou tcpdump

Na pridelenie ethernetových rámcov sa používajú nasledujúce konštrukcie tcpdump (všeobecný pohľad):

tcpdump ether ( src | dst | hostiteľ ) MAC_ADDRESS

kde src je zdrojová adresa MAC, dst- cieľová MAC adresa, hostiteľ - src alebo dst, ako aj na zvýraznenie vysielanej prevádzky.

Ministerstvo školstva a vedy Ruskej federácie

Štátna vzdelávacia inštitúcia "St. Petersburg State Polytechnic University"

Cheboksary Institute of Economics and Management (pobočka)

Katedra vyššej matematiky a informačných technológií

ABSTRAKT

v kurze „Bezpečnosť informácií“.

na tému: „Sieťové analyzátory“

Dokončené

Študent 4. ročníka, plat 080502-51M

odbor "manažment"

v strojárskom podniku"

Pavlov K.V.

Skontrolované

učiteľ

Čeboksary 2011

ÚVOD

Ethernetové siete si získali obrovskú popularitu vďaka svojej dobrej priepustnosti, ľahkej inštalácii a primeraným nákladom na inštaláciu sieťového zariadenia.
Technológia Ethernet však nie je bez významných nedostatkov. Hlavným je neistota prenášaných informácií. Počítače pripojené k sieti Ethernet sú schopné zachytiť informácie adresované ich susedom. Dôvodom je takzvaný mechanizmus vysielania správ prijatý v sieťach Ethernet.

Prepojenie počítačov do siete porušuje staré axiómy informačnej bezpečnosti. Napríklad o statickom zabezpečení. V minulosti mohol systémovú zraniteľnosť odhaliť a opraviť správca systému nainštalovaním príslušnej aktualizácie, ktorý mohol funkčnosť nainštalovanej „záplaty“ skontrolovať až o niekoľko týždňov či mesiacov neskôr. Túto „záplatu“ však mohol odstrániť používateľ náhodne alebo počas práce, prípadne iný správca pri inštalácii nových komponentov. Všetko sa mení a teraz sa informačné technológie menia tak rýchlo, že statické bezpečnostné mechanizmy už nezabezpečujú úplnú bezpečnosť systému.

Až donedávna boli hlavným mechanizmom ochrany podnikových sietí firewally. Firewally určené na ochranu informačných zdrojov organizácie sa však často ukážu ako zraniteľné. Stáva sa to preto, že správcovia systému vytvárajú v prístupovom systéme toľko zjednodušení, že kamenná stena bezpečnostného systému je nakoniec plná dier ako sito. Firewall (Firewall) ochrana nemusí byť praktická pre podnikové siete s vysokou prevádzkou, pretože použitie viacerých firewallov môže výrazne ovplyvniť výkon siete. V niektorých prípadoch je lepšie „nechať dvere dokorán“ a zamerať sa na metódy detekcie a reakcie na prieniky do siete.

Pre neustále (24 hodín denne, 7 dní v týždni, 365 dní v roku) monitorovanie podnikovej siete na detekciu útokov sú určené systémy „aktívnej“ ochrany - systémy detekcie útokov. Tieto systémy detegujú útoky na podnikové sieťové uzly a reagujú na ne spôsobom určeným bezpečnostným administrátorom. Napríklad prerušia spojenie s útočiacim uzlom, informujú administrátora alebo zapíšu informácie o útoku do logov.

1. SIEŤOVÉ ANALYZÁTORY

1.1 IP - ALERT 1 ALEBO PRVÝ SIEŤOVÝ MONITOR

Najprv by sme si mali povedať pár slov o lokálnom vysielaní. V ethernetovej sieti počítače k ​​nej pripojené zvyčajne zdieľajú rovnaký kábel, ktorý slúži ako médium na posielanie správ medzi nimi.

Každý, kto chce preniesť správu cez spoločný kanál, sa musí najskôr uistiť, že tento kanál je v danom čase voľný. Po spustení prenosu počítač počúva nosnú frekvenciu signálu a určuje, či signál nebol skreslený v dôsledku kolízií s inými počítačmi, ktoré súčasne vysielajú svoje údaje. Ak dôjde ku kolízii, prenos sa preruší a počítač sa na určitý čas „odmlčí“, aby sa pokúsil prenos zopakovať o niečo neskôr. Ak počítač pripojený k ethernetovej sieti sám nič neprenáša, napriek tomu naďalej „počúva“ všetky správy prenášané cez sieť susednými počítačmi. Keď si počítač všimne svoju sieťovú adresu v hlavičke prichádzajúcich údajov, skopíruje túto časť do svojej lokálnej pamäte.

Existujú dva hlavné spôsoby pripojenia počítačov k sieti Ethernet. V prvom prípade sú počítače prepojené pomocou koaxiálneho kábla. Tento kábel je položený z počítača do počítača, pripája sa k sieťovým adaptérom s konektorom v tvare T a na koncoch je zakončený BNC terminátormi. Táto topológia sa v odbornom jazyku nazýva sieť Ethernet 10Base2. Dá sa to však nazvať aj sieťou, v ktorej „každý počuje každého“. Akýkoľvek počítač pripojený k sieti je schopný zachytiť dáta odoslané cez túto sieť iným počítačom. V druhom prípade je každý počítač pripojený krútenou dvojlinkou k samostatnému portu centrálneho spínacieho zariadenia - rozbočovača alebo prepínača. V takýchto sieťach, ktoré sa nazývajú siete Ethernet lOBaseT, sú počítače rozdelené do skupín nazývaných kolízne domény. Kolízne domény sú definované portmi rozbočovača alebo prepínača, ktoré sú pripojené k spoločnej zbernici. V dôsledku toho nedochádza ku kolíziám medzi všetkými počítačmi v sieti. a oddelene - medzi tými z nich, ktoré sú súčasťou tej istej kolíznej domény, čo zvyšuje priepustnosť siete ako celku.

V poslednej dobe sa vo veľkých sieťach začal objavovať nový typ prepínačov, ktoré nevyužívajú vysielanie a neuzatvárajú medzi sebou skupiny portov. Namiesto toho sa všetky údaje odosielané cez sieť ukladajú do vyrovnávacej pamäte a odosielajú sa čo najskôr. Takýchto sietí je však stále dosť – nie viac ako 5 % z celkového počtu sietí typu Ethernet.

Algoritmus prenosu údajov prijatý vo veľkej väčšine ethernetových sietí teda vyžaduje, aby každý počítač pripojený k sieti nepretržite „počúval“ všetku sieťovú prevádzku bez výnimky. Prístupové algoritmy navrhované niektorými ľuďmi, v ktorých by boli počítače odpojené od siete pri prenose správ „iných ľudí“, zostali nerealizované pre ich prílišnú zložitosť, vysoké náklady na implementáciu a nízku efektivitu.

Čo je IPAlert-1 a odkiaľ pochádza? Praktický a teoretický výskum autorov v oblasti štúdia bezpečnosti sietí viedol kedysi k myšlienke: na internete, ako aj v iných sieťach (napríklad Novell NetWare, Windows NT), bol vážny nedostatok bezpečnostného softvéru, ktorý by to dokázal komplexné riadenie (monitorovanie) na linkovej úrovni celého toku informácií prenášaných cez sieť za účelom detekcie všetkých typov vzdialených dopadov popísaných v literatúre. Štúdia trhu so softvérom na zabezpečenie internetovej siete odhalila, že takéto komplexné nástroje na detekciu vzdialených útokov neexistujú a tie, ktoré existovali, boli navrhnuté na detekciu jedného špecifického typu útoku (napríklad ICMP Redirect alebo ARP). Preto sa začal vývoj monitorovacieho nástroja pre segment IP siete, ktorý je určený pre použitie na internete a dostal názov: IP Alert-1 sieťový bezpečnostný monitor.

Hlavnou úlohou tohto nástroja, ktorý programovo analyzuje sieťovú prevádzku v prenosovom kanáli, nie je odpudzovanie vzdialených útokov uskutočnených cez komunikačný kanál, ale ich detekcia a protokolovanie (udržiavanie auditovacieho súboru s logovaním vo forme vhodnej pre následné vizuálne analýza všetkých udalostí spojených so vzdialenými útokmi na daný segment siete) a okamžité upozornenie bezpečnostného administrátora, ak sa zistí vzdialený útok. Hlavnou úlohou bezpečnostného monitora siete IP Alert-1 je monitorovať bezpečnosť príslušného internetového segmentu.

Monitor zabezpečenia siete IP Alert-1 má nasledujúce funkcie a umožňuje prostredníctvom analýzy siete zistiť nasledujúce vzdialené útoky na sieťový segment, ktorý kontroluje:

1. Monitorovanie zhody IP a ethernetových adries v paketoch prenášaných hostiteľmi nachádzajúcimi sa v kontrolovanom segmente siete.

Na hostiteľovi IP Alert-1 bezpečnostný administrátor vytvorí statickú ARP tabuľku, do ktorej zadá informácie o zodpovedajúcich IP a ethernetových adresách hostiteľov nachádzajúcich sa v kontrolovanom segmente siete.

Táto funkcia umožňuje odhaliť neoprávnenú zmenu IP adresy alebo jej nahradenie (tzv. IP Spoofing, spoofing, IP-spoofing (jarg)).

2. Monitorovanie správneho používania mechanizmu vzdialeného vyhľadávania ARP. Táto funkcia vám umožňuje odhaliť vzdialený útok False ARP pomocou statickej tabuľky ARP.

3. Monitorovanie správneho používania mechanizmu vzdialeného vyhľadávania DNS. Táto funkcia vám umožňuje identifikovať všetky možné typy vzdialených útokov na službu DNS

4. Monitorovanie správnosti pokusov o vzdialené pripojenie pomocou analýzy prenášaných požiadaviek. Táto funkcia vám umožňuje odhaliť po prvé pokus o preskúmanie zákona o zmene počiatočnej hodnoty identifikátora pripojenia TCP - ISN, po druhé útok odmietnutia služby na diaľku vykonaný preplnením fronty žiadostí o pripojenie a po tretie riadený "búrka" falošných požiadaviek na pripojenie (TCP aj UDP), čo tiež vedie k odmietnutiu služby.

Monitor zabezpečenia siete IP Alert-1 vám teda umožňuje odhaliť, upozorniť a zaznamenať väčšinu typov vzdialených útokov. Tento program však v žiadnom prípade nie je konkurentom systémov Firewall. IP Alert-1, využívajúci vlastnosti vzdialených útokov na internete, slúži ako nevyhnutný doplnok – mimochodom neporovnateľne lacnejší – k systémom Firewall. Bez bezpečnostného monitora zostane väčšina pokusov o spustenie vzdialených útokov na váš sieťový segment pred vašimi očami skrytá. Žiadny zo známych firewallov sa nezaoberá takou inteligentnou analýzou správ prechádzajúcich sieťou, aby identifikoval rôzne typy vzdialených útokov, pričom sa obmedzuje prinajlepšom na uchovávanie denníka, ktorý zaznamenáva informácie o pokusoch o uhádnutie hesla, skenovaní portov a skenovaní siete. pomocou známych programov vzdialeného vyhľadávania. Ak teda správca IP siete nechce zostať ľahostajný a uspokojiť sa s rolou jednoduchého štatistu pri vzdialených útokoch na svoju sieť, potom je vhodné, aby použil bezpečnostný monitor siete IP Alert-1.

Príklad IPAlert-1 teda ukazuje, aké dôležité miesto zaujímajú sieťové monitory pri zaisťovaní bezpečnosti siete.

Samozrejme, moderné sieťové monitory podporujú oveľa viac funkcií a samotných je ich pomerne veľa. Existujú jednoduchšie systémy, ktoré stoja okolo 500 dolárov, ale existujú aj veľmi výkonné systémy vybavené expertnými systémami schopnými vykonávať výkonnú heuristickú analýzu, ktorých cena je mnohonásobne vyššia – od 75-tisíc dolárov.

1.2 SCHOPNOSTI MODERNÝCH SIEŤOVÝCH ANALYZÁTOROV

Moderné monitory podporujú mnoho ďalších funkcií okrem svojich základných už podľa definície (ktoré som skontroloval pre IP Alert-1). Napríklad skenovanie káblov.

Štatistiky siete (miera využitia segmentov, úroveň kolízií, chybovosť a úroveň vysielania, určenie rýchlosti šírenia signálu); Úlohou všetkých týchto ukazovateľov je, že ak sa prekročia určité prahové hodnoty, môžeme hovoriť o problémoch v segmente. To zahŕňa v literatúre aj kontrolu oprávnenosti sieťových adaptérov, ak sa náhle objaví „podozrivý“ (kontrola podľa MAC adresy atď.).

Štatistika chybných snímok. Krátke rámce sú rámce, ktoré sú menšie ako maximálna dĺžka, to znamená menej ako 64 bajtov. Tento typ rámca sa delí na dve podtriedy – krátke rámce so správnym kontrolným súčtom a krátke rámce (runty), ktoré nemajú správny kontrolný súčet. Najpravdepodobnejším dôvodom výskytu takýchto „mutantov“ je porucha sieťových adaptérov. Predĺžené rámce, ktoré sú výsledkom dlhého prenosu a naznačujú problémy s adaptérmi. Ghost rámy, ktoré sú výsledkom rušenia na kábli. Normálna chybovosť snímok v sieti by nemala byť vyššia ako 0,01 %. Ak je vyššia, potom sú buď technické poruchy v sieti, alebo došlo k neoprávnenému prieniku.

Štatistika kolízií. Označuje počet a typy kolízií v segmente siete a umožňuje určiť prítomnosť problému a jeho umiestnenie. Kolízie môžu byť lokálne (v jednom segmente) a vzdialené (v inom segmente vzhľadom na monitor). Všetky kolízie v ethernetových sieťach sú zvyčajne vzdialené. Intenzita kolízií by nemala presiahnuť 5 % a vrcholy nad 20 % naznačujú vážne problémy.

Existuje oveľa viac možných funkcií, je jednoducho nemožné ich všetky vymenovať.

Chcel by som poznamenať, že monitory sa dodávajú v softvéri aj hardvéri. Majú však tendenciu hrať skôr štatistickú funkciu. Napríklad sieťový monitor LANtern. Ide o ľahko inštalovateľné hardvérové ​​zariadenie, ktoré pomáha supervízorom a servisným organizáciám centrálne udržiavať a podporovať siete viacerých dodávateľov. Zhromažďuje štatistiky a identifikuje trendy na optimalizáciu výkonu a expanzie siete. Informácie o sieti sa zobrazujú na centrálnej konzole správy siete. Hardvérové ​​monitory teda neposkytujú dostatočnú ochranu informácií.

Microsoft Windows obsahuje sieťový monitor (NetworkMonitor), ale obsahuje vážne zraniteľnosti, o ktorých budem diskutovať nižšie.

Ryža. 1. Sieťový monitor pre triedu WINDOWS OS NT.

Rozhranie programu je trochu ťažké zvládnuť za chodu.

Ryža. 2. Zobrazte rámce v programe WINDOWS Network Monitor.

Väčšina výrobcov sa teraz snaží, aby ich monitory mali jednoduché a užívateľsky prívetivé rozhranie. Ďalším príkladom je monitor NetPeeker (nie taký bohatý na ďalšie funkcie, ale stále):

Ryža. 3. Užívateľsky prívetivé rozhranie monitora NetPeeker.

Uvediem príklad rozhrania zložitého a drahého programu NetForensics (95 000 USD):

Obr.4. Rozhranie NetForensics.

Existuje určitý povinný súbor „zručností“, ktoré monitory musia mať podľa dnešných trendov:

1. Minimálne:

• nastavenie šablón filtrovania návštevnosti;
• centralizovaná správa sledovacích modulov;
• filtrovanie a analýza veľkého množstva sieťových protokolov, vrát. TCP, UDP a ICMP;
• filtrovanie sieťovej prevádzky podľa protokolu, portov a IP adries odosielateľa a príjemcu;
• abnormálne ukončenie spojenia s útočiacim uzlom;
• správa brány firewall a smerovača;
• nastavenie skriptov na spracovanie útokov;
• záznam útoku na ďalšie prehrávanie a analýzu;
• podpora sieťových rozhraní Ethernet, Fast Ethernet a Token Ring;
• žiadna požiadavka na použitie špeciálneho hardvéru;
• vytvorenie bezpečného spojenia medzi systémovými komponentmi, ako aj inými zariadeniami;
• dostupnosť komplexnej databázy všetkých zistených útokov;
• minimálne zníženie výkonu siete;
• pracovať s jedným sledovacím modulom z viacerých ovládacích konzol;
• výkonný systém generovania správ;
• jednoduchosť použitia a intuitívne grafické rozhranie;
• nízke systémové požiadavky na softvér a hardvér.

2. Byť schopný vytvárať prehľady:

• Distribúcia návštevnosti užívateľmi;
• Distribúcia prevádzky podľa IP adries;
• Rozdelenie dopravy medzi služby;
• Rozdelenie dopravy protokolom;
• Rozdelenie návštevnosti podľa typu údajov (obrázky, videá, texty, hudba);
• Distribúcia návštevnosti pomocou programov používaných používateľmi;
• Rozloženie dopravy podľa dennej doby;
• Rozloženie dopravy podľa dňa v týždni;
• Rozloženie návštevnosti podľa dátumov a mesiacov;
• Rozloženie návštevnosti medzi stránkami navštívenými používateľom;
• Chyby autorizácie v systéme;
• Vstupy a výstupy zo systému.

Príklady konkrétnych útokov, ktoré dokážu sieťové monitory rozpoznať:

"Odmietnutie služby". Akákoľvek akcia alebo postupnosť akcií, ktorá spôsobí zlyhanie ktorejkoľvek časti napadnutého systému, pri ktorej prestane plniť svoje funkcie. Dôvodom môže byť neoprávnený prístup, oneskorenie v servise atď. Príklady zahŕňajú SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) útoky atď.

" Neoprávnené prístup “ (Neautorizovaný pokus o prístup). Akákoľvek akcia alebo postupnosť akcií, ktorá vedie k pokusu o čítanie súborov alebo vykonanie príkazov spôsobom, ktorý obchádza zavedenú bezpečnostnú politiku. Zahŕňa aj pokusy útočníka o získanie väčších privilégií, než aké nastavil správca systému. Príkladom môžu byť útoky FTP Root, E-mail WIZ atď.

"Predútoková sonda"
Akákoľvek akcia alebo postupnosť akcií na získanie informácií ZO siete alebo O sieti (napríklad používateľské mená a heslá), ktoré sa následne použijú na vykonanie neoprávneného prístupu. Príkladom môže byť skenovanie portov (Port scan), skenovanie pomocou programu SATAN (SATAN scan) atď.

"Podozrivá aktivita"
Sieťová prevádzka, ktorá nespadá do definície „štandardnej“ prevádzky. Môže naznačovať podozrivú aktivitu vyskytujúcu sa online. Príkladom môžu byť udalosti Duplicate IP Address, IP Unknown Protocol atď.

"Analýza protokolu" (dekódovanie protokolu. Sieťová aktivita, ktorú možno použiť na vykonanie jedného z vyššie uvedených typov útokov. Môže naznačovať podozrivú aktivitu vyskytujúcu sa online. Príkladom môžu byť udalosti FTP User decode, Portmapper Proxy decode atď.

1.3 NEBEZPEČENSTVO POUŽÍVANIA SIEŤOVÝCH MONITOROV

Používanie sieťových monitorov tiež predstavuje potenciálne nebezpečenstvo. Už len preto, že cez ne prechádza obrovské množstvo informácií, vrátane dôverných. Pozrime sa na príklad zraniteľnosti pomocou spomínaného NetworkMonitoru, ktorý je súčasťou rodiny Windows NT. Tento monitor má takzvaný HEX panel (pozri obr. 2), ktorý umožňuje vidieť rámcové dáta vo forme ASCII textu. Tu môžete napríklad vidieť nezašifrované heslá, ktoré sa vznášajú po sieti. Môžete si vyskúšať napríklad čítanie balíkov poštovej aplikácie Eudora. Po krátkom čase ich môžete bezpečne vidieť otvorené. Musíte byť však vždy na pozore, pretože šifrovanie nepomáha. Tu sú možné dva prípady. V literatúre existuje slangový výraz „obscénnosť“ - ide o suseda určitého stroja v rovnakom segmente, na rovnakom uzle, alebo, ako sa to teraz nazýva, prepínač. Ak sa teda „pokročilý“ „obscénnosť“ rozhodol skenovať sieťovú prevádzku a vyloviť heslá, správca môže takého útočníka ľahko identifikovať, pretože monitor podporuje identifikáciu používateľov, ktorí ho používajú. Stačí stlačiť tlačidlo a pred administrátorom sa otvorí zoznam „obscénnych hackerov“. Situácia je oveľa komplikovanejšia, keď je útok vykonaný zvonku, napríklad z internetu. Informácie poskytované monitorom sú mimoriadne informatívne. Zobrazuje sa zoznam všetkých zachytených snímok, poradové čísla snímok, časy ich zachytenia, dokonca aj MAC adresy sieťových adaptérov, čo umožňuje pomerne špecifickú identifikáciu počítača. Panel s podrobnými informáciami obsahuje „vnútornosti“ rámu – popis jeho názvov atď. Dokonca aj zvedavý začiatočník tu nájde veľa známeho.

Vonkajšie útoky sú oveľa nebezpečnejšie, pretože je spravidla veľmi, veľmi ťažké identifikovať útočníka. Na ochranu v tomto prípade musíte na monitore použiť ochranu heslom. Ak je nainštalovaný ovládač Network Monitor a heslo nie je nastavené, potom ktokoľvek, kto používa Network Monitor z rovnakej distribúcie (rovnaký program) na inom počítači, sa môže pripojiť k prvému počítaču a použiť ho na zachytávanie údajov v sieti. Okrem toho musí sieťový monitor poskytovať schopnosť detekovať ďalšie inštalácie v segmente lokálnej siete. Aj toto má však svoju zložitosť. V niektorých prípadoch môže sieťová architektúra potlačiť detekciu jednej nainštalovanej kópie programu Network Monitor inou. Napríklad, ak je nainštalovaná kópia programu Network Monitor oddelená od druhej kópie smerovačom, ktorý nepovoľuje správy multicast, potom druhá kópia programu Network Monitor nebude schopná zistiť prvú.

Hackeri a iní útočníci nestrácajú čas. Neustále hľadajú nové a nové spôsoby, ako vypnúť sieťové monitory. Ukazuje sa, že existuje mnoho spôsobov, počnúc deaktiváciou monitora preplnením jeho vyrovnávacej pamäte, končiac tým, že môžete monitor prinútiť vykonať akýkoľvek príkaz odoslaný útočníkom.

Existujú špeciálne laboratóriá, ktoré analyzujú softvérovú bezpečnosť. Ich hlásenia sú alarmujúce, keďže sa pomerne často vyskytujú závažné porušenia. Príklady skutočných medzier v reálnych produktoch:

1. RealSecure je komerčný systém detekcie narušenia (IDS) od ISS.

RealSecure sa správa nestabilne pri spracovaní niektorých podpisov DHCP (DHCP_ACK - 7131, DHCP_Discover - 7132 a DHCP_REQUEST - 7133) dodaných so systémom. Odoslaním škodlivej prevádzky DHCP umožňuje táto zraniteľnosť vzdialenému útočníkovi narušiť program. Zraniteľnosť zistená v Internet Security Systems RealSecure Network Sensor 5.0 XPU 3.4-6.5

2. Program: RealSecure 4.9 sieťový monitor

Nebezpečenstvo: vysoké; prítomnosť exploitu: Nie.

Popis: V RS bolo objavených niekoľko zraniteľností. Vzdialený používateľ môže určiť polohu zariadenia. Vzdialený používateľ môže tiež definovať a meniť konfiguráciu zariadenia.

Riešenie: Nainštalujte aktualizovanú verziu programu. Kontaktujte výrobcu.

1.4 ANALYZÁTORY PROTOKOLU, ICH VÝHODY, NEBEZPEČENSTVÁ A METÓDY OCHRANY PRED NEBEZPEČENSTVAMI

Analyzátory protokolov sú samostatnou triedou softvéru, hoci sú v podstate podskupinou sieťových monitorov. Každý monitor má zabudovaných aspoň niekoľko analyzátorov protokolov. Prečo ich potom používať, ak môžete implementovať slušnejší systém pomocou sieťových monitorov? Po prvé, inštalácia výkonného monitora nie je vždy vhodná a po druhé, nie každá organizácia si môže dovoliť kúpiť monitor za tisíce dolárov. Niekedy vyvstáva otázka: nebude samotný monitor drahší ako informácie, ktoré má chrániť? Práve v takýchto (alebo podobných) prípadoch sa používajú protokolové analyzátory v ich čistej forme. Ich úloha je podobná úlohe monitorov.

Sieťový adaptér každého počítača v sieti Ethernet spravidla „počuje“ všetko, o čom jeho susedia v segmente tejto siete „hovoria“ medzi sebou. Spracováva a umiestňuje do svojej lokálnej pamäte len tie časti (takzvané rámce) údajov, ktoré obsahujú jedinečnú adresu, ktorá mu bola pridelená v sieti. Okrem toho drvivá väčšina moderných ethernetových adaptérov umožňuje prevádzku v špeciálnom režime nazývanom promiskuitný, kedy adaptér pri použití skopíruje všetky dátové rámce prenášané po sieti do lokálnej pamäte počítača. Špecializované programy, ktoré uvedú sieťový adaptér do promiskuitného režimu a zhromažďujú všetku sieťovú prevádzku na následnú analýzu, sa nazývajú analyzátory protokolov.

Posledne menované sú široko používané správcami sietí na monitorovanie prevádzky týchto sietí. Bohužiaľ, analyzátory protokolov používajú aj útočníci, ktorí ich môžu použiť na zachytenie hesiel iných ľudí a iných dôverných informácií.

Treba poznamenať, že analyzátory protokolov predstavujú vážne nebezpečenstvo. Analyzátor protokolu mohol nainštalovať niekto zvonku, ktorý vstúpil do siete zvonku (napríklad ak má sieť prístup na internet). To však môže byť aj práca „domáceho“ útočníka s legálnym prístupom do siete. V každom prípade treba brať súčasnú situáciu vážne. Odborníci na počítačovú bezpečnosť klasifikujú útoky na počítače pomocou analyzátorov protokolov ako takzvané útoky druhej úrovne. To znamená, že počítačový hacker už dokázal preniknúť cez bezpečnostné bariéry siete a teraz sa snaží na svoj úspech nadviazať. Pomocou analyzátora protokolov sa môže pokúsiť zachytiť prihlasovacie údaje a heslá používateľov, citlivé finančné údaje (napríklad čísla kreditných kariet) a citlivú komunikáciu (napríklad e-mail). Pri dostatočných zdrojoch môže počítačový útočník v zásade zachytiť všetky informácie prenášané cez sieť.

Analyzátory protokolov existujú pre každú platformu. Ale aj keď sa ukáže, že analyzátor protokolov ešte nebol napísaný pre konkrétnu platformu, stále treba brať do úvahy hrozbu, ktorú predstavuje útok na počítačový systém pomocou analyzátora protokolov. Faktom je, že analyzátory protokolov neanalyzujú konkrétny počítač, ale protokoly. Preto môže byť analyzátor protokolov nainštalovaný v akomkoľvek segmente siete a odtiaľ zachytávať sieťovú prevádzku, ktorá sa ako výsledok vysielania dostane ku každému počítaču pripojenému k sieti.

Najčastejším cieľom útokov počítačových hackerov pomocou analyzátorov protokolov sú univerzity. Už len kvôli obrovskému množstvu rôznych prihlasovacích mien a hesiel, ktoré je možné pri takomto útoku ukradnúť. Použitie analyzátora protokolov v praxi nie je taká jednoduchá úloha, ako by sa mohlo zdať. Aby mohol počítačový útočník využívať výhody analyzátora protokolov, musí mať dostatočné znalosti sieťovej technológie. Nie je možné jednoducho nainštalovať a spustiť analyzátor protokolov, pretože aj v malej lokálnej sieti s piatimi počítačmi dosahuje prevádzka tisíce a tisíce paketov za hodinu. A preto výstupné dáta analyzátora protokolu v krátkom čase zaplnia dostupnú pamäť do kapacity. Preto počítačový útočník zvyčajne nakonfiguruje analyzátor protokolov tak, aby zachytil iba prvých 200-300 bajtov každého paketu prenášaného cez sieť. Typicky sa v hlavičke paketu nachádzajú informácie o prihlasovacom mene a hesle používateľa, ktoré útočníka spravidla najviac zaujímajú. Ak má však útočník na pevnom disku dostatok miesta, tak zvýšenie objemu návštevnosti, ktorú zachytí, mu len prospeje a umožní mu naučiť sa veľa zaujímavých vecí.

V rukách správcu siete je analyzátor protokolov veľmi užitočným nástrojom, ktorý mu pomáha nájsť a riešiť problémy, zbaviť sa úzkych miest, ktoré znižujú priepustnosť siete, a rýchlo odhaliť narušiteľov. Ako sa chrániť pred votrelcami? Môžeme odporučiť nasledovné. Vo všeobecnosti tieto tipy platia nielen pre analyzátory, ale aj pre monitory. Najprv sa pokúste získať sieťový adaptér, ktorý v zásade nemôže fungovať v promiskuitnom režime. Takéto adaptéry existujú v prírode. Niektoré z nich nepodporujú promiskuitný režim na hardvérovej úrovni (je ich menšina) a ostatné sú jednoducho vybavené špeciálnym ovládačom, ktorý neumožňuje prevádzku v promiskuitnom režime, hoci je tento režim hardvérovo implementovaný. Ak chcete nájsť adaptér, ktorý nemá promiskuitný režim, jednoducho kontaktujte technickú podporu ktorejkoľvek spoločnosti, ktorá predáva analyzátory protokolov, a zistite, s ktorými adaptérmi ich softvérové ​​balíky nefungujú. Po druhé, vzhľadom na to, že špecifikácia PC99, pripravená v hĺbkach spoločností Microsoft a Intel, vyžaduje bezpodmienečnú prítomnosť promiskuitného režimu na sieťovej karte, zakúpte si moderný sieťový inteligentný prepínač, ktorý uloží správu prenášanú cez sieť do pamäte a odošle ju, v rámci možností presne na adresu . Nie je teda potrebné, aby adaptér „počúval“ všetku komunikáciu, aby z nej mohol extrahovať správy, ktorých adresátom je tento počítač. Po tretie, zabráňte neoprávnenej inštalácii analyzátorov protokolov na počítačoch v sieti. Tu by ste mali používať nástroje z arzenálu, ktorý sa používa na boj proti softvérovým záložkám a najmä programom trójskych koní (inštalovanie brán firewall), zašifrujte všetku sieťovú prevádzku. Existuje široká škála softvérových balíkov, ktoré vám to umožňujú celkom efektívne a spoľahlivo. Napríklad možnosť šifrovania e-mailových hesiel poskytuje doplnok k e-mailovému protokolu POP (Post Office Protocol) - protokol APOP (Authentication POP). Pri práci s APOP sa cez sieť prenáša zakaždým nová šifrovaná kombinácia, čo útočníkovi neumožňuje získať praktické výhody z informácií zachytených pomocou analyzátora protokolu. Jediným problémom je, že dnes nie všetky poštové servery a klienti podporujú APOP.

Ďalší produkt s názvom Secure Shell alebo skrátene SSL bol pôvodne vyvinutý legendárnou fínskou spoločnosťou SSH Communications Security (http://www.ssh.fi) a teraz má mnoho implementácií dostupných zadarmo cez internet. SSL je bezpečný protokol na bezpečný prenos správ cez počítačovú sieť pomocou šifrovania.

Známe sú najmä softvérové ​​balíky určené na ochranu údajov prenášaných cez sieť pomocou šifrovania a spája ich skratka PGP, čo znamená Pretty Good Privacy.

Je pozoruhodné, že rodina protokolových analyzátorov zahŕňa hodný domáci vývoj. Pozoruhodným príkladom je multifunkčný analyzátor Observer (vyvinutý spoločnosťou ProLAN).

Ryža. 5. Rozhranie analyzátora Russian Observer.

Väčšina analyzátorov má však spravidla oveľa jednoduchšie rozhranie a menej funkcií. Napríklad program Ethereal.

Ryža. 6. Rozhranie zahraničného analyzátora Ethereal.

ZÁVER

Sieťové monitory, podobne ako analyzátory protokolov, sú výkonným a efektívnym nástrojom na správu počítačových sietí, pretože umožňujú presne posúdiť mnohé prevádzkové parametre siete, ako sú rýchlosť signálu, oblasti, kde sú sústredené kolízie atď. Ich hlavnou úlohou, s ktorou sa úspešne vyrovnávajú, je však identifikácia útokov na počítačové siete a upozorňovanie na ne správcu na základe analýzy návštevnosti. Používanie týchto softvérových nástrojov je zároveň spojené s potenciálnym nebezpečenstvom, pretože vzhľadom na to, že informácie prechádzajú cez monitory a analyzátory, môže dôjsť k neoprávnenému zachytávaniu týchto informácií. Správca systému musí venovať náležitú pozornosť ochrane svojej siete a pamätať na to, že kombinovaná ochrana je oveľa efektívnejšia. Pri výbere softvéru na analýzu prevádzky by ste mali byť opatrní na základe skutočných nákladov na informácie, ktoré majú byť chránené, pravdepodobnosti narušenia, hodnoty informácií pre tretie strany, dostupnosti hotových bezpečnostných riešení a schopností. rozpočtu organizácie. Kompetentný výber riešenia pomôže znížiť pravdepodobnosť neoprávneného prístupu a nebude príliš „ťažký“ z hľadiska financovania. Vždy by ste mali pamätať na to, že dnes neexistuje žiadny dokonalý bezpečnostný nástroj, a to platí, samozrejme, aj pre monitory a analyzátory. Vždy by ste mali pamätať na to, že bez ohľadu na to, aký dokonalý je monitor, nebude pripravený na nové typy hrozieb, na ktoré nebol naprogramovaný. V súlade s tým by ste mali nielen správne naplánovať ochranu podnikovej sieťovej infraštruktúry, ale aj neustále monitorovať aktualizácie softvérových produktov, ktoré používate.

LITERATÚRA

1. Útok na internete. I.D. Medvedkovský, P.V. Semjanov, D.G. Leonov. – 3. vyd., vymazané. – M.: DMK, 2000

2. Microsoft Windows 2000. Príručka správcu. Séria „ITProfessional“ (v preklade z angličtiny). U.R. Stanek. – M.: Vydavateľstvo a obchodný dom „Russian Edition“, 2002.

3. Networking Essentials. E. Tittel, K. Hudson, J.M. Stewart. Za. z angličtiny – Petrohrad: Vydavateľstvo Peter, 1999

4. Informácie o nedostatkoch v softvérových produktoch sú prevzaté z databázy servera SecurityLab (www.securitylab.ru)

5. Počítačové siete. Teória a prax. http://network-journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=3&pa=9&ar=1

6. Analýza siete. Článok v 2 častiach. http://www.ru-board.com/new/article.php?sid=120

7. Elektronický slovník telekomunikačných pojmov. http://europestar.ru/info/

8. Hardvérové ​​a softvérové ​​metódy ochrany pred vzdialenými útokmi na internete. http://personal.primorye.ru/desperado/Xattack/7.2.htm

9. Zabezpečenie v programe Network Monitor. Návod na WindowsXP. http://www.soft32.ru/literature.shtml?topic=windows&book=WinXP&page=Glava16/Index0.htm&subpage=Glava16/Index52.htm

10. Dokumentácia k monitoru RealSecure. Na požiadanie poskytuje výrobca v elektronickej forme.

11. Bezpečnosť počítačových systémov. Analyzátory protokolov. http://kiev-security.org.ua/box/12/130.shtml

12. Internetový server ruského vývojára analyzátorov - spoločnosť „ProLAN“ http://www.prolan.ru/

Všeobecné informácie

Nástroje nazývané sieťové analyzátory sú pomenované po Sniffer Network Analyzer. Tento produkt bol vydaný v roku 1988 spoločnosťou Network General (teraz Network Associates) a bol jedným z prvých zariadení, ktoré umožnili manažérom doslova sa dozvedieť o tom, čo sa deje vo veľkej sieti bez toho, aby opustili svoj stôl. Prvé analyzátory čítajú hlavičky správ v dátových paketoch odoslaných cez sieť, čím poskytujú administrátorom informácie o adresách odosielateľa a príjemcu, veľkosti súborov a iných nízkoúrovňových informáciách. A to všetko popri kontrole správnosti prenosu paketov. Pomocou grafov a textových popisov pomohli analyzátory sieťovým administrátorom diagnostikovať servery, sieťové prepojenia, huby a prepínače, ako aj aplikácie. Zhruba povedané, sieťový analyzátor počúva alebo „sníma“ pakety z určitého fyzického segmentu siete. To vám umožňuje analyzovať návštevnosť na určité vzory, opraviť určité problémy a identifikovať podozrivú aktivitu. Systém detekcie narušenia siete nie je nič iné ako pokročilý sniffer, ktorý porovnáva každý paket v sieti s databázou známych vzorcov zákernej prevádzky, podobne ako to robí antivírusový program so súbormi v počítači. Na rozdiel od nástrojov opísaných vyššie, analyzátory pracujú na nižšej úrovni.

Ak sa obrátime na referenčný model OSI, analyzátory kontrolujú dve nižšie úrovne – fyzickú a kanálovú.

Číslo úrovne modelu BOS	Názov úrovne	Príklady protokolov
Úroveň 7	Aplikačná vrstva	DNS, FTP, HTTP, SMTP, SNMP, Telnet
Úroveň 6	Prezentačná vrstva
Úroveň 5	Úroveň relácie
Úroveň 4	Transportná vrstva	NetBIOS, TCP, UDP
Úroveň 3	Sieťová vrstva	ARP, IP, IPX, OSPF
Úroveň 2	Data Link Layer	Arcnet, Ethernet, Token ring
Úroveň 1	Fyzická vrstva	Koaxiálny kábel, optické vlákno, krútená dvojlinka

Fyzická vrstva je skutočné fyzické vedenie alebo iné médium použité na vytvorenie siete. Vo vrstve dátového spojenia sú dáta na začiatku zakódované na prenos cez špecifické médium. Sieťové štandardy linkovej vrstvy zahŕňajú bezdrôtové 802.11, Arcnet, koaxiálny kábel, Ethernet, Token Ring a ďalšie. Analyzátory zvyčajne závisia od typu siete, na ktorej pracujú. Ak chcete napríklad analyzovať prevádzku v sieti Ethernet, musíte mať analyzátor Ethernet.

Existujú komerčné analyzátory od výrobcov ako Fluke, Network General a iných. Zvyčajne ide o vlastné hardvérové ​​zariadenia, ktoré môžu stáť desiatky tisíc dolárov. Aj keď je tento hardvér schopný hĺbkovej analýzy, je možné vytvoriť lacný sieťový analyzátor pomocou softvéru s otvoreným zdrojovým kódom a lacného počítača s procesorom Intel.

Typy analyzátorov

V súčasnosti sa vyrába veľa analyzátorov, ktoré sa delia na dva typy. Prvá zahŕňa samostatné produkty nainštalované na mobilnom počítači. Konzultant si ho môže vziať so sebou pri návšteve kancelárie klienta a pripojiť ho k sieti na zber diagnostických údajov.

Spočiatku boli prenosné zariadenia určené na testovanie prevádzky siete určené výhradne na kontrolu technických parametrov kábla. Postupom času však výrobcovia vybavili svoje zariadenia množstvom funkcií analyzátora protokolov. Moderné sieťové analyzátory sú schopné odhaliť širokú škálu možných problémov – od fyzického poškodenia kábla až po preťaženie sieťových zdrojov.

Druhý typ analyzátora je súčasťou širšej kategórie hardvéru a softvéru na monitorovanie siete, ktorý umožňuje organizáciám monitorovať ich lokálne a rozsiahle sieťové služby vrátane webu. Tieto programy poskytujú správcom holistický pohľad na stav siete. Pomocou takýchto produktov môžete napríklad určiť, ktoré aplikácie sú momentálne spustené, ktorí používatelia sú registrovaní v sieti a ktorí z nich generujú väčšinu návštevnosti.

Okrem identifikácie nízkoúrovňových sieťových charakteristík, ako je zdroj paketov a ich miesto určenia, moderné analyzátory dekódujú informácie získané vo všetkých siedmich vrstvách sieťového zásobníka Open System Interconnection (OSI) a často poskytujú odporúčania na riešenie problémov. Ak analýza na aplikačnej úrovni neumožňuje urobiť adekvátne odporúčanie, analyzátory vykonajú výskum na nižšej úrovni siete.

Moderné analyzátory zvyčajne podporujú štandardy vzdialeného monitorovania (Rmon a Rmon 2), ktoré poskytujú automatické získavanie kľúčových údajov o výkonnosti, ako sú napríklad informácie o zaťažení dostupných zdrojov. Analyzátory, ktoré podporujú Rmon, môžu pravidelne kontrolovať stav sieťových komponentov a porovnávať prijaté údaje s predtým nahromadenými údajmi. V prípade potreby vydajú varovanie, ak úroveň prevádzky alebo výkon prekročí limity stanovené správcom siete.

Spoločnosť NetScout Systems predstavila systém nGenius Application Service Level Manager, ktorý je určený na sledovanie doby odozvy v jednotlivých sekciách prístupového kanála na webovú stránku a zisťovanie aktuálneho výkonu serverov. Táto aplikácia dokáže analyzovať výkon vo verejnej sieti s cieľom obnoviť celkový obraz na počítači používateľa. Dánska firma NetTest (predtým GN Nettest) začala ponúkať Fastnet, sieťový monitorovací systém, ktorý pomáha spoločnostiam elektronického obchodu plánovať kapacitu a riešiť problémy so sieťou.

Analýza konvergentných (multiservisných) sietí

Rozširovanie multiservisných sietí (konvergovaných sietí) môže mať v budúcnosti rozhodujúci vplyv na rozvoj telekomunikačných systémov a systémov prenosu dát. Myšlienka spojiť schopnosť prenášať dáta, hlasové toky a obrazové informácie do jedinej sieťovej infraštruktúry založenej na paketovom protokole sa ukázala ako veľmi lákavá pre poskytovateľov špecializujúcich sa na poskytovanie telekomunikačných služieb, pretože môže okamžite výrazne rozšíriť rozsah. služieb, ktoré poskytujú.

Keď si spoločnosti začínajú uvedomovať efektívnosť a cenové výhody konvergovaných IP sietí, predajcovia sieťových nástrojov aktívne vyvíjajú analyzátory, aby tak urobili. V prvej polovici roka mnohé spoločnosti predstavili komponenty pre svoje produkty správy siete určené pre hlasové prenosy cez IP siete.

„Konvergencia vytvorila nové zložitosti, s ktorými sa musia správcovia sietí vysporiadať,“ povedal Glenn Grossman, riaditeľ produktového manažmentu v NetScout Systems. -- Hlasová prevádzka je veľmi citlivá na časové oneskorenia. Analyzátory sa môžu pozrieť na každý bit a bajt odoslaný po drôte, interpretovať hlavičky a automaticky určiť prioritu údajov.

Používanie technológií konvergencie hlasu a dát môže vyvolať novú vlnu záujmu o analyzátory, pretože prioritizácia prevádzky na úrovni paketov IP sa stáva nevyhnutnou pre prevádzku hlasových a video služieb. Napríklad spoločnosť Sniffer Technologies vydala Sniffer Voice, súpravu nástrojov určenú pre správcov sietí s viacerými službami. Tento produkt poskytuje nielen tradičné diagnostické služby pre správu e-mailov, internetu a databáz, ale tiež identifikuje problémy so sieťou a odporúča riešenia na zabezpečenie správneho prenosu hlasovej prevádzky cez IP siete.

Nevýhody používania analyzátorov

Malo by sa pamätať na to, že s analyzátormi sú spojené dve strany mince. Pomáhajú udržiavať sieť v chode, ale môžu ich použiť aj hackeri na vyhľadávanie používateľských mien a hesiel v dátových paketoch. Aby sa zabránilo zachyteniu hesla analyzátormi, hlavičky paketov sú šifrované (napríklad pomocou štandardu Secure Sockets Layer).

Nakoniec neexistuje žiadna alternatíva k sieťovému analyzátoru v situáciách, keď je potrebné pochopiť, čo sa deje v globálnej alebo podnikovej sieti. Dobrý analyzátor vám umožňuje pochopiť stav segmentu siete a určiť objem prevádzky, ako aj určiť, ako sa tento objem mení počas dňa, ktorí používatelia vytvárajú najväčšiu záťaž a v ktorých situáciách sa vyskytujú problémy s distribúciou návštevnosti alebo nedostatok šírky pásma. Vďaka použitiu analyzátora je možné získať a analyzovať všetky údaje v segmente siete za dané obdobie.

Sieťové analyzátory sú však drahé. Ak si ho plánujete kúpiť, najprv si ujasnite, čo od neho očakávate.

Vlastnosti používania sieťových analyzátorov

Na etické a produktívne používanie sieťových analyzátorov sa musia dodržiavať nasledujúce pokyny.

Vždy sa vyžaduje povolenie

Sieťová analýza, podobne ako mnohé iné bezpečnostné funkcie, má potenciál na zneužitie. Zachytenie všetkého dáta prenášané cez sieť, môžete špehovať heslá pre rôzne systémy, obsah e-mailových správ a ďalšie dôležité údaje, interné aj externé, pretože väčšina systémov nešifruje svoju prevádzku v lokálnej sieti. Ak sa takéto údaje dostanú do nesprávnych rúk, môže to samozrejme viesť k vážnemu narušeniu bezpečnosti. Môže ísť aj o porušenie súkromia zamestnanca. Pred začatím takýchto činností by ste mali najskôr získať písomné povolenie od vedenia, najlepšie od vrcholového manažmentu. Mali by ste tiež zvážiť, čo robiť s údajmi po ich prijatí. Okrem hesiel môže ísť o ďalšie citlivé údaje. Vo všeobecnosti by sa protokoly sieťovej analýzy mali vymazať zo systému, pokiaľ nie sú potrebné na trestné alebo občianske stíhanie. Existujú zdokumentované precedensy prepúšťania systémových administrátorov za neoprávnené zachytenie údajov.

Musíte pochopiť topológiu siete

Pred nastavením analyzátora je potrebné plne pochopiť fyzickú a logickú organizáciu tejto siete. Vykonaním analýzy na nesprávnom mieste v sieti môžete získať chybné výsledky alebo jednoducho nenájdete to, čo potrebujete. Je potrebné skontrolovať, či medzi analyzačnou pracovnou stanicou a miestom pozorovania nie sú žiadne smerovače. Smerovače preposielajú prevádzku do segmentu siete iba vtedy, ak sa tam nachádza volanie do uzla. Podobne v prepínanej sieti budete musieť nakonfigurovať port, ku ktorému sa pripájate, ako port „monitor“ alebo „zrkadlo“. Rôzni výrobcovia používajú rôznu terminológiu, ale port musí v podstate fungovať ako rozbočovač a nie ako prepínač, pretože potrebuje vidieť všetok prenos, ktorý prechádza cez prepínač, nielen ten, ktorý smeruje k pracovnej stanici. Bez tohto nastavenia bude port monitora vidieť len to, čo je nasmerované na port, ku ktorému je pripojený, a sieťové vysielanie.

Musíte použiť prísne kritériá vyhľadávania

V závislosti od toho, čo chcete nájsť, použitie otvoreného filtra (to znamená zobrazenie všetkého) spôsobí, že výstup bude veľký a ťažko analyzovateľný. Na zníženie výstupu, ktorý analyzátor produkuje, je lepšie použiť špeciálne kritériá vyhľadávania. Aj keď presne neviete, čo hľadať, stále môžete napísať filter na obmedzenie výsledkov vyhľadávania. Ak potrebujete nájsť interný počítač, je správne nastaviť kritériá tak, aby sa pozerali iba na zdrojové adresy v rámci danej siete. Ak potrebujete monitorovať špecifický typ prevádzky, povedzme FTP, môžete obmedziť výsledky len na to, čo prichádza do portu používaného aplikáciou. Týmto spôsobom môžete dosiahnuť výrazne lepšie výsledky analýzy.

Nastavenie referenčného stavu siete

Používanie sieťového analyzátora počas bežnej prevádzky a zaznamenaním konečných výsledkov sa dosiahne referenčný stav, ktorý možno porovnať s výsledkami získanými počas pokusov o izoláciu problému. Analyzátor Ethereal, o ktorom sa hovorí nižšie, na to vytvára niekoľko užitočných správ. Niektoré údaje sa získajú aj na sledovanie využívania siete v priebehu času. Pomocou týchto údajov môžete určiť, kedy je sieť nasýtená a aké sú hlavné dôvody - preťažený server, zvýšenie počtu používateľov, zmena typu prevádzky atď. Ak existuje východiskový bod, je ľahšie pochopiť, kto je za čo vinný.