tcpdump

Mjeti kryesor për pothuajse të gjitha koleksionet e trafikut të rrjetit është tcpdump. Është një aplikacion me burim të hapur që instalohet pothuajse në të gjitha sistemet operative të ngjashme me Unix. Tcpdump është një mjet i shkëlqyer për mbledhjen e të dhënave dhe vjen me një motor filtrues shumë të fuqishëm. Është e rëndësishme të dini se si të filtroni të dhënat gjatë mbledhjes për të përfunduar me një pjesë të menaxhueshme të të dhënave për analizë. Kapja e të gjitha të dhënave nga një pajisje rrjeti, edhe në një rrjet mesatarisht të ngarkuar, mund të krijojë shumë të dhëna për analizë të thjeshtë.

Në disa raste të rralla, tcpdump mund të nxjerrë daljen direkt në ekranin tuaj dhe kjo mund të jetë e mjaftueshme për të gjetur atë që po kërkoni. Për shembull, gjatë shkrimit të një artikulli, u kap pak trafik dhe u vu re se makina po dërgonte trafik në një adresë IP të panjohur. Rezulton se makina po dërgonte të dhëna në adresën IP të Google 172.217.11.142. Meqenëse asnjë produkt i Google nuk u lançua, lindi pyetja se pse po ndodhte kjo.

Një kontroll i sistemit tregoi sa vijon:

[ ~ ]$ ps -ef | grep google

Lini komentin tuaj!

Shërbimet CommView shërben për mbledhjen dhe analizimin e rrjetit lokal dhe trafikut të internetit. Programi kap dhe dekodon të dhënat që kalojnë përmes rrjetit në nivelin më të ulët, duke përfshirë një listë të lidhjeve të rrjetit dhe paketave IP të më shumë se 70 protokolleve më të zakonshme të rrjetit. CommView mban statistikat e IP-së, paketat e përgjuara mund të ruhen në një skedar për analiza të mëvonshme. Duke përdorur një sistem filtri fleksibël në program, mund të hidhni të panevojshmet për të kapur paketat ose të përgjojnë vetëm ato të nevojshme. Moduli VoIP i përfshirë në program mundëson analiza të thella, regjistrimin dhe riprodhimin e mesazheve zanore të standardeve SIP dhe H.323. CommView ju lejon të shihni një pamje të detajuar të trafikut të informacionit që kalon përmes një karte rrjeti ose një segmenti të veçantë rrjeti.

Interneti dhe skaner i rrjetit lokal

Si një skaner rrjeti, programi CommView do të jetë i dobishëm për administratorët e sistemit, njerëzit që punojnë në fushën e sigurisë së rrjetit dhe programuesit që zhvillojnë softuer që përdorin lidhjet e rrjetit. Shërbimi mbështet gjuhën ruse, ka një ndërfaqe miqësore për përdoruesit dhe përfshin një sistem ndihme të detajuar dhe të kuptueshëm për të gjitha funksionet dhe aftësitë e zbatuara në program.

Karakteristikat kryesore të CommView

• Përgjimi i Internetit ose trafikut lokal që kalon përmes një përshtatësi rrjeti ose një kontrolluesi dial-up
• Statistikat e hollësishme të lidhjeve IP (adresat, portet, sesionet, emri i hostit, proceset, etj.)
• Rikrijimi i një sesioni TCP
• Vendosja e sinjalizimeve të ngjarjeve
• Diagramet e protokolleve IP dhe protokolleve të nivelit të lartë
• Shikoni paketat e kapura dhe të deshifruara në kohë reale
• Kërkoni përmbajtjen e paketave të përgjuara me varg ose të dhëna HEX
• Ruajtja e paketave në arkiva
• Shkarkoni dhe shikoni paketat e ruajtura më parë kur lidhja shkëputet
• Eksporti dhe importimi i arkivave me paketa në (nga) formatet NI Observer ose NAI Sniffer
• Marrja e informacionit në lidhje me një adresë IP
• Mbështetja dhe dekodimi i protokollit: ARP, BCAST, RTSP, SAP, SER, SIP, SMB, SMTP, SNA, SNMP, SNTP, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG, DNS, EIGRP, FTP, G.723, GRE, H. 225, H.261, H.263, H.323, HTTP, HTTPS, 802.1Q, 802.1X, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX, HSRP, LDAP, MS SQL, , NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, LDAP, MS SQL, NCP, NDS, NetBIOS, RDP, RIP, RIPX, RMCP, RPC, RSVP, RTP, RTCP, Çorape, SPX, SSH, TCP, TELNET, TFTP, TIME, TLS, UDP, VTP, WDOG, YMSG.

Në disa raste, analiza e trafikut të rrjetit përdoret për të zbuluar problemet në funksionimin e grupit të rrjetit të një hosti dhe segmenteve të rrjetit. Ka mjete që ju lejojnë të shfaqni (dëgjoni) dhe analizoni funksionimin e rrjetit në nivelin e kornizave të transmetuara, paketave të rrjetit, lidhjeve të rrjetit, datagrameve dhe protokolleve të aplikacionit..

Varet nga Situata, si trafiku i nyjes në të cilën po dëgjohet trafiku i rrjetit, ashtu edhe trafiku i një segmenti rrjeti, porti i ruterit, etj. mund të jenë të disponueshëm për diagnostikim. Aftësitë e avancuara të përgjimit të trafikut bazohen në modaliteti "i shthurur". Funksionimi i përshtatësit të rrjetit: të gjitha kornizat përpunohen (dhe jo vetëm ato të destinuara për një adresë dhe transmetim të caktuar MAC, si në funksionimin normal).

Në një rrjet Ethernet, ekzistojnë aftësitë themelore të mëposhtme për të dëgjuar trafikun:

• Në një rrjet të bazuar në qendër, i gjithë trafiku i domenit të përplasjes është i disponueshëm për çdo stacion rrjeti.
• Në rrjetet e bazuara në çelësat e stacioneve të rrjetit, trafiku i tij, si dhe i gjithë trafiku i transmetimit të këtij segmenti, është i disponueshëm.
• Disa ndërprerës të menaxhuar kanë aftësinë për të kopjuar trafikun nga një port i caktuar në portin e monitorimit(“pasqyrimi”, monitorimi i portit).
• Përdorimi i mjeteve speciale (bashkuesit) që përfshihen në një ndërprerje të lidhjes së rrjetit dhe transmetojnë trafikun e lidhjes në një port të veçantë.
• "Mashtrim" me një qendër- porti i ndërprerësit, trafiku i të cilit duhet të dëgjohet ndizet përmes një shpërndarës, duke lidhur gjithashtu një nyje monitorimi me shpërndarësin (në këtë rast, në shumicën e rasteve, performanca e lidhjes së rrjetit zvogëlohet).

Ka programe ( monitorët ose analizuesit e rrjetit, sniffer), të cilat zbatojnë funksionin e dëgjimit të trafikut të rrjetit (përfshirë në modalitetin promiscuous), shfaqjen e tij ose shkrimin e tij në një skedar. Për më tepër, softueri i analizës mund të filtrojë trafikun bazuar në rregulla, të deshifrojë (deshifrojë) protokollet, të lexojë statistikat dhe të diagnostikojë disa probleme.

shënim: Një zgjedhje e mirë e mjetit bazë për analizimin e trafikut të rrjetit në mjedisi grafikështë një paketë falas teli[43], i disponueshëm për Windows dhe në depot e disa shpërndarjeve Linux.

mjeti tcpdump

Programi i konsolës tcpdump përfshihet në shumicën e sistemeve Unix dhe ju lejon të përgjoni dhe shfaqni trafikun e rrjetit [44]. Programi përdor libpcap, një bibliotekë portative C/C++ për të kapur trafikun e rrjetit.

Për të instaluar tcpdump në Debian, mund të përdorni komandën:

# apt-get instalo tcpdump

Për të ekzekutuar këtë program, duhet të keni të drejta superpërdorues(në veçanti, për shkak të nevojës për të vendosur përshtatësin e rrjetit në modalitetin "promiscuous"). Në përgjithësi, formati i komandës është si më poshtë:

tcpdump<опции> <фильтр-выражение>

Për daljen e konsolës përshkrimi i kokës(të dhëna të deshifruara) të paketave të përgjuara, duhet të specifikoni një ndërfaqe për analizën e trafikut (opsioni -i):

# tcpdump -i eth0

Mund të çaktivizoni konvertimin e adresave IP në emra domenesh (pasi vëllime të mëdha të trafikut krijojnë një numër të madh kërkesash në serverin DNS) - opsioni -n:

# tcpdump -n -i eth0

Për të nxjerrë të dhëna të nivelit të lidhjes (për shembull, adresat mac, etj.) përdorni opsionin -e:

# tcpdump -en -i eth0

Printoni informacion shtesë (p.sh. TTL, opsionet IP) - opsioni -v:

# tcpdump -ven -i eth0

Rritja e madhësisë së paketave të kapura (më shumë se 68 byte si parazgjedhje) - opsioni -s që tregon madhësinë (-s 0 - kapni të gjitha paketat):

Shkrimi në një skedar (drejtpërsëdrejti paketat - "dump") - opsioni -w që tregon emrin e skedarit:

# tcpdump -w traf.dump

Leximi i paketave nga një skedar - opsioni - r duke specifikuar emrin e skedarit:

# tcpdump -r traf.dump

Si parazgjedhje, tcpdump funksionon në modalitetin e parregullt. Ndërprerësi -p i thotë tcpdump të përgjojë vetëm trafikun e destinuar për atë host.

Për më shumë informacion mbi çelsat dhe formatin e filtrit tcpdump, shihni manualin e referencës (man tcpdump).

Analiza e trafikut në nivelin e ndërfaqes së rrjetit dhe nivelin e rrjetit duke përdorur tcpdump

Për të ndarë kornizat Ethernet, përdoren konstruksionet e mëposhtme tcpdump (pamje e përgjithshme):

tcpdump ether (src | dst | host) MAC_ADDRESS

ku src është adresa MAC e burimit, dst- adresa MAC e destinacionit, host - src ose dst, si dhe për të theksuar trafikun e transmetimit.

Ministria e Arsimit dhe Shkencës e Federatës Ruse

Institucioni arsimor shtetëror "Universiteti Politeknik Shtetëror i Shën Petersburgut"

Instituti i Ekonomisë dhe Menaxhimit Cheboksary (dega)

Departamenti i Matematikës së Lartë dhe Teknologjive të Informacionit

ABSTRAKT

në lëndën “Siguria e Informacionit”.

me temën: "Analizuesit e rrjetit"

E përfunduar

Student i vitit 4 paga 080502-51M

drejtimi "Menaxhment"

në një ndërmarrje të inxhinierisë mekanike"

Pavlov K.V.

Kontrolluar

Mësues

Cheboksary 2011

PREZANTIMI

Rrjetet Ethernet kanë fituar popullaritet të jashtëzakonshëm për shkak të xhiros së mirë, lehtësisë së instalimit dhe kostos së arsyeshme të instalimit të pajisjeve të rrjetit.
Megjithatë, teknologjia Ethernet nuk është pa të meta të rëndësishme. Kryesorja është pasiguria e informacionit të transmetuar. Kompjuterët e lidhur me një rrjet Ethernet janë në gjendje të përgjojnë informacionin e adresuar fqinjëve të tyre. Arsyeja për këtë është i ashtuquajturi mekanizëm i transmetimit të mesazheve i miratuar në rrjetet Ethernet.

Lidhja e kompjuterëve në një rrjet thyen aksiomat e vjetra të sigurisë së informacionit. Për shembull, në lidhje me sigurinë statike. Në të kaluarën, një dobësi e sistemit mund të zbulohej dhe rregullohej nga administratori i sistemit duke instaluar përditësimin e duhur, i cili mund të kontrollonte funksionalitetin e "patch"-it të instaluar vetëm disa javë ose muaj më vonë. Megjithatë, kjo "patch" mund të jetë hequr nga përdoruesi aksidentalisht ose gjatë punës, ose nga një administrator tjetër kur instalon komponentë të rinj. Gjithçka ndryshon dhe tani teknologjitë e informacionit po ndryshojnë aq shpejt sa mekanizmat e sigurisë statike nuk ofrojnë më siguri të plotë të sistemit.

Deri kohët e fundit, mekanizmi kryesor për mbrojtjen e rrjeteve të korporatave ishin muret e zjarrit. Sidoqoftë, muret e zjarrit të krijuar për të mbrojtur burimet e informacionit të një organizate shpesh rezultojnë të jenë vetë të cenueshëm. Kjo ndodh sepse administratorët e sistemit krijojnë kaq shumë thjeshtëzime në sistemin e aksesit sa përfundimisht muri prej guri i sistemit të sigurisë bëhet plot vrima, si një sitë. Mbrojtja e mureve të zjarrit (Firewall) mund të mos jetë praktike për rrjetet e ndërmarrjeve me trafik të lartë, sepse përdorimi i mureve të zjarrit të shumëfishtë mund të ndikojë ndjeshëm në performancën e rrjetit. Në disa raste, është më mirë të "lëni dyert hapur" dhe të përqendroheni në metodat për zbulimin dhe reagimin ndaj ndërhyrjeve në rrjet.

Për monitorim të vazhdueshëm (24 orë në ditë, 7 ditë në javë, 365 ditë në vit) të një rrjeti të korporatës për të zbuluar sulmet, janë krijuar sisteme mbrojtëse "aktive" - ​​sisteme të zbulimit të sulmeve. Këto sisteme zbulojnë sulmet në nyjet e rrjetit të korporatës dhe u përgjigjen atyre në një mënyrë të specifikuar nga administratori i sigurisë. Për shembull, ata ndërpresin lidhjen me nyjen sulmuese, informojnë administratorin ose fusin informacione rreth sulmit në regjistrat.

1. ANALIZAT E RRJETIVE

1.1 IP - ALALRT 1 OSE MONITORI I PARË I RRJETIVE

Së pari, duhet të themi disa fjalë për transmetimet lokale. Në një rrjet Ethernet, kompjuterët e lidhur me të zakonisht ndajnë të njëjtin kabllo, i cili shërben si një mjet për dërgimin e mesazheve ndërmjet tyre.

Kushdo që dëshiron të transmetojë një mesazh përmes një kanali të përbashkët duhet së pari të sigurohet që ky kanal të jetë i lirë në një kohë të caktuar. Pas fillimit të transmetimit, kompjuteri dëgjon frekuencën bartëse të sinjalit, duke përcaktuar nëse sinjali është shtrembëruar si rezultat i përplasjeve me kompjuterë të tjerë që transmetojnë të dhënat e tyre në të njëjtën kohë. Nëse ka një përplasje, transmetimi ndërpritet dhe kompjuteri "bie në heshtje" për një periudhë të caktuar kohore në mënyrë që të përpiqet të përsërisë transmetimin pak më vonë. Nëse një kompjuter i lidhur me një rrjet Ethernet nuk po transmeton asgjë vetë, ai megjithatë vazhdon të "dëgjojë" të gjitha mesazhet e transmetuara përmes rrjetit nga kompjuterët fqinjë. Duke vënë re adresën e rrjetit të tij në kokën e pjesës së të dhënave hyrëse, kompjuteri e kopjon këtë pjesë në memorien e tij lokale.

Ekzistojnë dy mënyra kryesore për të lidhur kompjuterët me një rrjet Ethernet. Në rastin e parë, kompjuterët lidhen duke përdorur një kabllo koaksiale. Ky kabllo vendoset nga kompjuteri në kompjuter, duke u lidhur me adaptorët e rrjetit me një lidhës në formë T dhe duke përfunduar në skajet me terminatorë BNC. Kjo topologji në gjuhën profesionale quhet rrjet Ethernet 10Base2. Sidoqoftë, mund të quhet gjithashtu një rrjet në të cilin "të gjithë i dëgjojnë të gjithë". Çdo kompjuter i lidhur me një rrjet është i aftë të përgjojë të dhënat e dërguara në atë rrjet nga një kompjuter tjetër. Në rastin e dytë, çdo kompjuter është i lidhur me një kabllo çift të përdredhur në një port të veçantë të një pajisjeje komutuese qendrore - një shpërndarës ose një ndërprerës. Në rrjete të tilla, të quajtura rrjete Ethernet lOBaseT, kompjuterët ndahen në grupe të quajtura domene përplasjeje. Domenet e përplasjes përcaktohen nga portat hub ose ndërprerës që janë të lidhur me një autobus të përbashkët. Si rezultat, përplasjet nuk ndodhin midis të gjithë kompjuterëve në rrjet. dhe veçmas - midis atyre prej tyre që janë pjesë e të njëjtit domen të përplasjes, gjë që rrit xhiron e rrjetit në tërësi.

Kohët e fundit, një lloj i ri i ndërprerësve ka filluar të shfaqet në rrjetet e mëdha që nuk përdorin transmetim dhe nuk mbyllin grupe portash së bashku. Në vend të kësaj, të gjitha të dhënat e dërguara përmes rrjetit ruhen në memorie dhe dërgohen sa më shpejt që të jetë e mundur. Megjithatë, ka ende mjaft rrjete të tilla - jo më shumë se 5% e numrit të përgjithshëm të rrjeteve të tipit Ethernet.

Kështu, algoritmi i transferimit të të dhënave i miratuar në shumicën dërrmuese të rrjeteve Ethernet kërkon që çdo kompjuter i lidhur në rrjet të "dëgjojë" vazhdimisht të gjithë trafikun e rrjetit pa përjashtim. Algoritmet e aksesit të propozuara nga disa njerëz, në të cilat kompjuterët do të shkëputeshin nga rrjeti gjatë transmetimit të mesazheve të "njerëzve të tjerë", mbetën të parealizuara për shkak të kompleksitetit të tyre të tepruar, kostos së lartë të zbatimit dhe efikasitetit të ulët.

Çfarë është IPAlert-1 dhe nga erdhi? Njëherë e një kohë, kërkimet praktike dhe teorike të autorëve në fushën e studimit të sigurisë së rrjetit çuan në idenë e mëposhtme: në internet, si dhe në rrjete të tjera (për shembull, Novell NetWare, Windows NT), kishte një mungesë serioze të softuerit të sigurisë që do komplekse kontrolli (monitorimi) në nivelin e lidhjes së të gjithë fluksit të informacionit të transmetuar në rrjet për të zbuluar të gjitha llojet e ndikimeve në distancë të përshkruara në literaturë. Një studim i tregut të softuerit të sigurisë së rrjetit të Internetit zbuloi se mjete të tilla gjithëpërfshirëse të zbulimit të sulmeve në distancë nuk ekzistonin dhe ato që ekzistonin ishin krijuar për të zbuluar një lloj të caktuar sulmi (për shembull, ICMP Redirect ose ARP). Prandaj, filloi zhvillimi i një mjeti monitorimi për një segment të rrjetit IP, i destinuar për përdorim në internet dhe mori emrin e mëposhtëm: IP Alert-1 monitor i sigurisë së rrjetit.

Detyra kryesore e këtij mjeti, i cili analizon në mënyrë programore trafikun e rrjetit në një kanal transmetimi, nuk është të zmbrapsë sulmet në distancë të kryera në një kanal komunikimi, por t'i zbulojë dhe regjistrojë ato (mbajtja e një skedari auditimi me regjistrimin në një formë të përshtatshme për vizuale të mëvonshme analiza e të gjitha ngjarjeve që lidhen me sulmet në distancë në një segment të caktuar të rrjetit) dhe njoftimi i menjëhershëm i administratorit të sigurisë nëse zbulohet një sulm në distancë. Detyra kryesore e monitorit të sigurisë së rrjetit IP Alert-1 është të monitorojë sigurinë e segmentit përkatës të Internetit.

Monitoruesi i sigurisë së rrjetit IP Alert-1 ka funksionalitetin e mëposhtëm dhe lejon, nëpërmjet analizës së rrjetit, të zbulojë sulmet e mëposhtme në distancë në segmentin e rrjetit që kontrollon:

1. Monitorimi i korrespondencës së adresave IP dhe Ethernet në paketat e transmetuara nga hostet e vendosur brenda segmentit të rrjetit të kontrolluar.

Në hostin IP Alert-1, administratori i sigurisë krijon një tabelë statike ARP, ku ai fut informacion në lidhje me adresat përkatëse IP dhe Ethernet të hosteve të vendosura brenda segmentit të rrjetit të kontrolluar.

Ky funksion ju lejon të zbuloni një ndryshim të paautorizuar në adresën IP ose zëvendësimin e saj (i ashtuquajturi IP Spoofing, spoofing, IP-spoofing (jarg)).

2. Monitorimi i përdorimit korrekt të mekanizmit të kërkimit në distancë ARP. Kjo veçori ju lejon të zbuloni një sulm të largët False ARP duke përdorur një tabelë statike ARP.

3. Monitorimi i përdorimit të saktë të mekanizmit të kërkimit në distancë të DNS. Ky funksion ju lejon të identifikoni të gjitha llojet e mundshme të sulmeve në distancë në shërbimin DNS

4. Monitorimi i korrektësisë së përpjekjeve për lidhje në distancë duke analizuar kërkesat e transmetuara. Ky funksion ju lejon të zbuloni, së pari, një përpjekje për të studiuar ligjin e ndryshimit të vlerës fillestare të identifikuesit të lidhjes TCP - ISN, së dyti, një sulm në distancë të mohimit të shërbimit të kryer duke tejmbushur radhën e kërkesës për lidhje, dhe së treti, një i drejtuar "Stuhi" e kërkesave të rreme për lidhje (si TCP ashtu edhe UDP), e cila gjithashtu çon në refuzim të shërbimit.

Kështu, monitoruesi i sigurisë së rrjetit IP Alert-1 ju lejon të zbuloni, njoftoni dhe regjistroni shumicën e llojeve të sulmeve në distancë. Megjithatë, ky program nuk është në asnjë mënyrë një konkurrent i sistemeve Firewall. IP Alert-1, duke përdorur veçoritë e sulmeve në distancë në internet, shërben si një shtesë e nevojshme - meqë ra fjala, pakrahasueshëm më e lirë - në sistemet e Firewall. Pa një monitor sigurie, shumica e përpjekjeve për të nisur sulme në distancë në segmentin tuaj të rrjetit do të mbeten të fshehura nga sytë tuaj. Asnjë nga muret e zjarrit të njohur nuk është i angazhuar në një analizë kaq inteligjente të mesazheve që kalojnë nëpër rrjet për të identifikuar lloje të ndryshme sulmesh në distancë, duke u kufizuar, në rastin më të mirë, në mbajtjen e një regjistri që regjistron informacione rreth përpjekjeve për gjetjen e fjalëkalimeve, skanimit të portave dhe skanimit të rrjetit. me përdorimin e programeve të njohura të kërkimit në distancë. Prandaj, nëse një administrator i rrjetit IP nuk dëshiron të qëndrojë indiferent dhe të jetë i kënaqur me rolin e një statisti të thjeshtë gjatë sulmeve në distancë në rrjetin e tij, atëherë këshillohet që ai të përdorë monitorin e sigurisë së rrjetit IP Alert-1.

Pra, shembulli i IPAlert-1 tregon vendin e rëndësishëm që zënë monitorët e rrjetit në sigurimin e sigurisë së rrjetit.

Sigurisht, monitorët modernë të rrjetit mbështesin shumë më tepër veçori, dhe ka mjaft prej tyre vetë. Ka sisteme më të thjeshta, që kushtojnë rreth 500 dollarë, por ka edhe sisteme shumë të fuqishme të pajisura me sisteme ekspertësh të aftë për të kryer analiza të fuqishme heuristike, kostoja e tyre është shumë herë më e lartë - nga 75 mijë dollarë.

1.2 AFTËSITË E ANALIZËVE MODERN TË RRJETIVE

Monitorët modernë mbështesin shumë funksione të tjera përveç atyre bazë sipas definicionit (të cilat i rishikova për IP Alert-1). Për shembull, skanimi i kabllove.

Statistikat e rrjetit (shkalla e përdorimit të segmentit, niveli i përplasjes, niveli i gabimit dhe niveli i trafikut të transmetimit, përcaktimi i shpejtësisë së përhapjes së sinjalit); Roli i të gjithë këtyre treguesve është që nëse tejkalohen vlerat e caktuara të pragut, mund të flasim për probleme në segment. Kjo gjithashtu përfshin në literaturë kontrollimin e legjitimitetit të përshtatësve të rrjetit nëse shfaqet papritur një "i dyshimtë" (kontrollimi nga adresa MAC, etj.).

Statistikat e kornizave të gabuara. Kornizat e shkurtra janë korniza që janë më të vogla se gjatësia maksimale, domethënë më pak se 64 bajt. Ky lloj korniza ndahet në dy nënklasa - korniza të shkurtra me një kontroll të saktë dhe korniza të shkurtra (runts) që nuk kanë një kontroll të saktë. Arsyeja më e mundshme për shfaqjen e "mutantëve" të tillë është një mosfunksionim i përshtatësve të rrjetit. Korniza të zgjatura, të cilat janë rezultat i një transmetimi të gjatë dhe tregojnë probleme me përshtatësit. Korniza fantazmë, të cilat janë rezultat i ndërhyrjes në kabllo. Shkalla normale e gabimit të kornizës në një rrjet nuk duhet të jetë më e lartë se 0.01%. Nëse është më e lartë, atëherë ose ka defekte teknike në rrjet, ose ka ndodhur një ndërhyrje e paautorizuar.

Statistikat e përplasjeve. Tregon numrin dhe llojet e përplasjeve në një segment rrjeti dhe ju lejon të përcaktoni praninë e një problemi dhe vendndodhjen e tij. Përplasjet mund të jenë lokale (në një segment) dhe të largëta (në një segment tjetër në lidhje me monitorin). Në mënyrë tipike, të gjitha përplasjet në rrjetet Ethernet janë të largëta. Intensiteti i përplasjeve nuk duhet të kalojë 5%, dhe majat mbi 20% tregojnë probleme serioze.

Ka shumë më tepër funksione të mundshme, është thjesht e pamundur t'i renditësh të gjitha.

Dua të vërej se monitorët vijnë si në softuer ashtu edhe në harduer. Megjithatë, ata priren të luajnë më shumë një funksion statistikor. Për shembull, monitori i rrjetit LANtern. Është një pajisje harduerike e lehtë për t'u instaluar që ndihmon mbikëqyrësit dhe organizatat e shërbimit në mënyrë qendrore të mirëmbajnë dhe mbështesin rrjetet me shumë shitës. Ai mbledh statistika dhe identifikon tendencat për të optimizuar performancën dhe zgjerimin e rrjetit. Informacioni i rrjetit shfaqet në tastierën qendrore të menaxhimit të rrjetit. Kështu, monitorët e harduerit nuk ofrojnë mbrojtjen e duhur të informacionit.

Microsoft Windows përmban një monitor rrjeti (NetworkMonitor), por ai përmban dobësi serioze, të cilat do t'i diskutoj më poshtë.

Oriz. 1. Monitor rrjeti për klasën WINDOWS OS NT.

Ndërfaqja e programit është pak e vështirë për t'u zotëruar menjëherë.

Oriz. 2. Shikoni kornizat në monitorin e rrjetit të WINDOWS.

Shumica e prodhuesve tani po përpiqen t'i bëjnë monitorët e tyre të kenë një ndërfaqe të thjeshtë dhe miqësore për përdoruesit. Një shembull tjetër është monitori NetPeeker (jo aq i pasur me aftësi shtesë, por gjithsesi):

Oriz. 3. Ndërfaqja miqësore për përdoruesit e monitorit NetPeeker.

Unë do të jap një shembull të ndërfaqes së një programi kompleks dhe të shtrenjtë NetForensics (95,000 dollarë):

Fig.4. Ndërfaqja NetForensics.

Ekziston një grup i detyrueshëm i "aftësive" që monitoruesit duhet të kenë, sipas tendencave të sotme:

1. Së paku:

• vendosja e shablloneve të filtrimit të trafikut;
• menaxhim i centralizuar i moduleve gjurmuese;
• filtrimi dhe analiza e një numri të madh të protokolleve të rrjetit, përfshirë. TCP, UDP dhe ICMP;
• filtrimi i trafikut të rrjetit sipas protokollit, porteve dhe adresave IP të dërguesit dhe marrësit;
• ndërprerja jonormale e lidhjes me nyjen sulmuese;
• menaxhimi i murit të zjarrit dhe ruterit;
• vendosja e skripteve për përpunimin e sulmeve;
• regjistrimi i një sulmi për rishikim dhe analizë të mëtejshme;
• mbështetje për ndërfaqet e rrjetit Ethernet, Fast Ethernet dhe Token Ring;
• nuk ka kërkesë për të përdorur pajisje speciale;
• vendosja e një lidhjeje të sigurt midis komponentëve të sistemit, si dhe pajisjeve të tjera;
• disponueshmëria e një baze të dhënash gjithëpërfshirëse të të gjitha sulmeve të zbuluara;
• ulje minimale e performancës së rrjetit;
• punoni me një modul gjurmimi nga disa tastierë kontrolli;
• sistem i fuqishëm i gjenerimit të raporteve;
• lehtësia e përdorimit dhe ndërfaqja grafike intuitive;
• kërkesa të ulëta të sistemit për softuer dhe harduer.

2. Të jetë në gjendje të krijojë raporte:

• Shpërndarja e trafikut sipas përdoruesve;
• Shpërndarja e trafikut sipas adresave IP;
• Shpërndarja e trafikut ndërmjet shërbimeve;
• Shpërndarja e trafikut sipas protokollit;
• Shpërndarja e trafikut sipas llojit të të dhënave (foto, video, tekste, muzikë);
• Shpërndarja e trafikut sipas programeve të përdorura nga përdoruesit;
• Shpërndarja e trafikut sipas orës së ditës;
• Shpërndarja e trafikut sipas ditëve të javës;
• Shpërndarja e trafikut sipas datave dhe muajve;
• Shpërndarja e trafikut nëpër faqet e vizituara nga përdoruesi;
• Gabimet e autorizimit në sistem;
• Hyrjet dhe daljet nga sistemi.

Shembuj të sulmeve specifike që monitoruesit e rrjetit mund të njohin:

"Mohimi i shërbimit". Çdo veprim ose sekuencë veprimesh që shkakton dështimin e ndonjë pjese të sistemit të sulmuar, në të cilin ai pushon së kryeri funksionet e tij. Arsyeja mund të jetë aksesi i paautorizuar, vonesa në shërbim, etj. Shembujt përfshijnë sulmet SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke), etj.

" I paautorizuar akses " (Përpjekje për qasje të paautorizuar).Çdo veprim ose sekuencë veprimesh që rezulton në një përpjekje për të lexuar skedarë ose për të ekzekutuar komanda në një mënyrë që anashkalon politikën e vendosur të sigurisë. Gjithashtu përfshin përpjekjet e një sulmuesi për të fituar privilegje më të mëdha se ato të vendosura nga administratori i sistemit. Një shembull do të ishin sulmet FTP Root, E-mail WIZ, etj.

"Sonda para sulmit"
Çdo veprim ose sekuencë veprimesh për të marrë informacion NGA ose RRETH rrjetit (për shembull, emrat e përdoruesve dhe fjalëkalimet), të cilat përdoren më pas për të kryer akses të paautorizuar. Një shembull do të ishte skanimi i porteve (Skanimi i porteve), skanimi duke përdorur programin SATAN (SATAN scan), etj.

"Aktivitet i dyshimtë"
Trafiku i rrjetit që bie jashtë përkufizimit të trafikut "standard". Mund të tregojë një aktivitet të dyshimtë që ndodh në internet. Një shembull do të ishin ngjarjet Adresa IP e dyfishtë, Protokolli i panjohur IP, etj.

"Analiza e protokollit" (Dekodimi i protokollit. Aktiviteti i rrjetit që mund të përdoret për të kryer një nga llojet e sulmeve të mësipërme. Mund të tregojë një aktivitet të dyshimtë që ndodh në internet. Një shembull do të ishte dekodimi i përdoruesit FTP, dekodimi i Proxy Portmapper, etj.

1.3 RREZIQET E PËRDORIMIT TË MONITORËVE TË RRJETIVE

Përdorimi i monitorëve të rrjetit paraqet gjithashtu rreziqe të mundshme. Nëse vetëm për shkak se një sasi e madhe informacioni kalon përmes tyre, duke përfshirë informacionin konfidencial. Le të shohim një shembull të një cenueshmërie duke përdorur NetworkMonitor të lartpërmendur, i cili përfshihet në familjen Windows NT. Ky monitor ka një të ashtuquajtur panel HEX (shih Fig. 2), i cili ju lejon të shihni të dhënat e kornizës në formën e tekstit ASCII. Këtu, për shembull, mund të shihni fjalëkalime të pakriptuara që qarkullojnë nëpër rrjet. Mund të provoni, për shembull, të lexoni paketat e aplikacionit të postës Eudora. Pasi të keni kaluar pak kohë, mund t'i shihni me siguri ato të hapura. Sidoqoftë, duhet të jeni gjithmonë në roje, pasi kriptimi nuk ju ndihmon. Këtu ka dy raste të mundshme. Në literaturë ekziston një term zhargon "i turpshëm" - ky është një fqinj i një makine të caktuar në të njëjtin segment, në të njëjtën qendër, ose, siç quhet tani, një ndërprerës. Pra, nëse një "turpësi" "e avancuar" vendosi të skanojë trafikun e rrjetit dhe të nxjerrë fjalëkalime, atëherë administratori mund të identifikojë lehtësisht një sulmues të tillë, pasi monitori mbështet identifikimin e përdoruesve që e përdorin atë. Gjithçka që duhet të bëni është të shtypni një buton dhe një listë e "hakerëve të turpshëm" hapet para administratorit. Situata është shumë më e ndërlikuar kur një sulm kryhet nga jashtë, për shembull, nga Interneti. Informacioni i dhënë nga monitori është jashtëzakonisht informues. Shfaqet një listë e të gjitha kornizave të kapura, numrat e sekuencës së kornizave, kohët e kapjes së tyre, madje edhe adresat MAC të përshtatësve të rrjetit, gjë që ju lejon të identifikoni kompjuterin në mënyrë specifike. Paneli i informacionit të detajuar përmban "të brendshmet" e kornizës - një përshkrim të titujve të tij, etj. Edhe një fillestar kurioz do të gjejë shumë gjëra këtu të njohura.

Sulmet e jashtme janë shumë më të rrezikshme, pasi, si rregull, është shumë, shumë e vështirë të identifikohet sulmuesi. Për t'u mbrojtur në këtë rast, duhet të përdorni mbrojtjen me fjalëkalim në monitor. Nëse drejtuesi i monitorit të rrjetit është i instaluar dhe fjalëkalimi nuk është vendosur, atëherë kushdo që përdor Monitorin e rrjetit nga e njëjta shpërndarje (program i njëjtë) në një kompjuter tjetër mund të bashkohet me kompjuterin e parë dhe ta përdorë atë për të përgjuar të dhënat në rrjet. Përveç kësaj, monitoruesi i rrjetit duhet të ofrojë aftësinë për të zbuluar instalime të tjera në segmentin e rrjetit lokal. Megjithatë, edhe kjo ka kompleksitetin e vet. Në disa raste, arkitektura e rrjetit mund të ndalojë zbulimin e një kopje të instaluar të Monitorit të Rrjetit nga një tjetër. Për shembull, nëse një kopje e instaluar e Network Monitor ndahet nga një kopje e dytë nga një ruter që nuk lejon mesazhe multicast, atëherë kopja e dytë e Network Monitor nuk do të jetë në gjendje të zbulojë të parën.

Hakerët dhe sulmuesit e tjerë nuk humbasin kohë. Ata janë vazhdimisht në kërkim të mënyrave të reja për të çaktivizuar monitorët e rrjetit. Rezulton se ka shumë mënyra, duke filluar nga çaktivizimi i monitorit duke tejmbushur buferin e tij, duke përfunduar me faktin që ju mund ta detyroni monitorin të ekzekutojë çdo komandë të dërguar nga një sulmues.

Ka laboratorë të veçantë që analizojnë sigurinë e softuerit. Raportimet e tyre janë alarmante, pasi shkelje të rënda konstatohen mjaft shpesh. Shembuj të boshllëqeve reale në produktet reale:

1. RealSecure është një sistem komercial i zbulimit të ndërhyrjeve (IDS) nga ISS.

RealSecure sillet i paqëndrueshëm kur përpunon disa nënshkrime DHCP (DHCP_ACK - 7131, DHCP_Discover - 7132 dhe DHCP_REQUEST - 7133) të dhëna me sistemin. Duke dërguar trafik DHCP me qëllim të keq, dobësia lejon një sulmues në distancë të ndërpresë programin. Dobësi e zbuluar në Sistemet e Sigurisë në Internet Sensor RealSecure Network 5.0 XPU 3.4-6.5

2. Programi: Rrjeti-monitor RealSecure 4.9

Rreziku: i lartë; prania e shfrytëzimit: Jo.

Përshkrimi: Disa dobësi janë zbuluar në RS. Përdoruesi në distancë mund të përcaktojë vendndodhjen e pajisjes. Përdoruesi në distancë mund të përcaktojë dhe ndryshojë gjithashtu konfigurimin e pajisjes.

Zgjidhja: Instaloni një version të përditësuar të programit. Kontaktoni prodhuesin.

1.4 ANALIZATORËT E PROTOKOLLIT, PËRPARËSITË E TYRE, RREZIQET DHE METODAT E MBROJTJES NGA RREZIQET

Analizuesit e protokollit janë një klasë e veçantë softuerësh, megjithëse ato janë në thelb një nëngrup i monitorëve të rrjetit. Çdo monitor ka të paktën disa analizues protokolli të integruar në të. Pse atëherë t'i përdorni ato nëse mund të zbatoni një sistem më të mirë duke përdorur monitorët e rrjetit? Së pari, instalimi i një monitori të fuqishëm nuk është gjithmonë i këshillueshëm, dhe së dyti, jo çdo organizatë mund të përballojë të blejë një për mijëra dollarë. Ndonjëherë lind pyetja: a nuk do të jetë vetë monitori më i shtrenjtë se informacioni që është krijuar për të mbrojtur? Në raste të tilla (ose të ngjashme) përdoren analizuesit e protokollit në formën e tyre të pastër. Roli i tyre është i ngjashëm me rolin e monitoruesve.

Përshtatësi i rrjetit i secilit kompjuter në një rrjet Ethernet, si rregull, "dëgjon" gjithçka për të cilën fqinjët e tij në segmentin e këtij rrjeti "flasin" mes tyre. Por ai përpunon dhe vendos në memorien e tij lokale vetëm ato pjesë (të ashtuquajturat korniza) të të dhënave që përmbajnë një adresë unike që i është caktuar në rrjet. Përveç kësaj, shumica dërrmuese e përshtatësve modernë Ethernet lejojnë funksionimin në një mënyrë të veçantë të quajtur promiscuous, kur përdoret, përshtatësi kopjon të gjitha kornizat e të dhënave të transmetuara përmes rrjetit në kujtesën lokale të kompjuterit. Programet e specializuara që e vendosin përshtatësin e rrjetit në modalitetin "promiscuous" dhe mbledhin të gjithë trafikun e rrjetit për analiza të mëvonshme quhen analizues të protokollit.

Këto të fundit përdoren gjerësisht nga administratorët e rrjeteve për të monitoruar funksionimin e këtyre rrjeteve. Fatkeqësisht, analizuesit e protokollit përdoren gjithashtu nga sulmuesit, të cilët mund t'i përdorin për të përgjuar fjalëkalimet e njerëzve të tjerë dhe informacione të tjera konfidenciale.

Duhet të theksohet se analizuesit e protokollit paraqesin një rrezik serioz. Analizuesi i protokollit mund të jetë instaluar nga një i huaj që ka hyrë në rrjet nga jashtë (për shembull, nëse rrjeti ka akses në internet). Por kjo mund të jetë gjithashtu puna e një sulmuesi "të rritur në shtëpi" me qasje ligjore në rrjet. Në çdo rast, situata aktuale duhet marrë seriozisht. Ekspertët e sigurisë kompjuterike i klasifikojnë sulmet ndaj kompjuterëve duke përdorur analizues protokolli si të ashtuquajturat sulme të nivelit të dytë. Kjo do të thotë se një haker kompjuterik tashmë ka arritur të depërtojë në barrierat e sigurisë së rrjetit dhe tani po kërkon të ndërtojë suksesin e tij. Duke përdorur një analizues protokolli, ai mund të përpiqet të përgjojë hyrjet dhe fjalëkalimet e përdoruesve, të dhënat e ndjeshme financiare (si numrat e kartave të kreditit) dhe komunikimet e ndjeshme (si p.sh. email-i). Duke pasur parasysh burimet e mjaftueshme, një sulmues kompjuterik, në parim, mund të përgjojë të gjithë informacionin e transmetuar përmes rrjetit.

Analizuesit e protokollit ekzistojnë për çdo platformë. Por edhe nëse rezulton se një analizues protokolli nuk është shkruar ende për një platformë të caktuar, kërcënimi i paraqitur nga një sulm në një sistem kompjuterik duke përdorur një analizues protokolli duhet të merret ende parasysh. Fakti është se analizuesit e protokollit nuk analizojnë një kompjuter specifik, por protokolle. Prandaj, analizuesi i protokollit mund të instalohet në çdo segment të rrjetit dhe prej andej të përgjojë trafikun e rrjetit që, si rezultat i transmetimeve të transmetimit, arrin në çdo kompjuter të lidhur në rrjet.

Objektivat më të zakonshëm të sulmeve nga hakerat e kompjuterave duke përdorur analizues të protokollit janë universitetet. Nëse vetëm për shkak të numrit të madh të hyrjeve dhe fjalëkalimeve të ndryshme që mund të vidhen gjatë një sulmi të tillë. Përdorimi i një analizuesi të protokollit në praktikë nuk është një detyrë aq e lehtë sa mund të duket. Për të përfituar nga një analizues protokolli, një sulmues kompjuterik duhet të ketë njohuri të mjaftueshme për teknologjinë e rrjetit. Është e pamundur thjesht të instaloni dhe ekzekutoni një analizues protokolli, pasi edhe në një rrjet të vogël lokal prej pesë kompjuterësh trafiku arrin në mijëra e mijëra pako në orë. Dhe për këtë arsye, në një kohë të shkurtër, të dhënat dalëse të analizuesit të protokollit do të mbushin memorien e disponueshme në kapacitet. Prandaj, një sulmues kompjuteri zakonisht konfiguron një analizues protokolli për të përgjuar vetëm 200-300 bajt të parë të secilës paketë të transmetuar në rrjet. Në mënyrë tipike, është në kokën e paketës që gjendet informacioni në lidhje me emrin e hyrjes dhe fjalëkalimin e përdoruesit, i cili, si rregull, është më interesant për sulmuesin. Megjithatë, nëse një sulmues ka hapësirë ​​të mjaftueshme në hard diskun e tij, atëherë rritja e volumit të trafikut që ai përgjon do t'i sjellë dobi vetëm atij dhe do ta lejojë atë të mësojë shumë gjëra interesante.

Në duart e një administratori të rrjetit, një analizues protokolli është një mjet shumë i dobishëm që e ndihmon atë të gjejë dhe të zgjidhë problemet, të heqë qafe pengesat që reduktojnë xhiron e rrjetit dhe të zbulojë menjëherë ndërhyrës. Si të mbroheni nga ndërhyrës? Ne mund të rekomandojmë sa vijon. Në përgjithësi, këto këshilla zbatohen jo vetëm për analizuesit, por edhe për monitorët. Së pari, përpiquni të merrni një përshtatës rrjeti që në thelb nuk mund të funksionojë në modalitetin e shthurur. Përshtatës të tillë ekzistojnë në natyrë. Disa prej tyre nuk mbështesin modalitetin promiscuous në nivelin e harduerit (ka një pakicë prej tyre), dhe pjesa tjetër janë thjesht të pajisura me një drejtues të veçantë që nuk lejon funksionimin në modalitetin promiscuous, megjithëse kjo mënyrë zbatohet në harduer. Për të gjetur një përshtatës që nuk ka modalitet të çuditshëm, thjesht kontaktoni mbështetjen teknike të çdo kompanie që shet analizues të protokollit dhe zbuloni se me cilët përshtatës nuk funksionojnë paketat e tyre softuerike. Së dyti, duke pasur parasysh se specifikimi PC99, i përgatitur në thellësi të korporatave Microsoft dhe Intel, kërkon praninë e pakushtëzuar të modalitetit të shthurur në kartën e rrjetit, blini një ndërprerës modern të rrjetit inteligjent që ruan mesazhin e transmetuar përmes rrjetit në memorie dhe e dërgon atë. për aq sa është e mundur, pikërisht në adresën . Kështu, nuk ka nevojë që përshtatësi të "dëgjojë" të gjithë trafikun për të nxjerrë mesazhe prej tij, adresuesi i të cilit është ky kompjuter. Së treti, parandaloni instalimin e paautorizuar të analizuesve të protokollit në kompjuterët e rrjetit. Këtu duhet të përdorni mjete nga arsenali që përdoren për të luftuar faqerojtësit e softuerit dhe, në veçanti, programet trojan (instalimi i mureve të zjarrit, së katërti, enkriptoni të gjithë trafikun e rrjetit). Ekziston një gamë e gjerë paketash softuerësh që ju lejojnë ta bëni këtë në mënyrë mjaft efikase dhe të besueshme. Për shembull, aftësia për të enkriptuar fjalëkalimet e postës elektronike ofrohet nga një shtesë në protokollin e postës elektronike POP (Protokolli i Postës së Zyrës) - protokolli APOP (Authentication POP). Kur punoni me APOP, një kombinim i ri i koduar transmetohet çdo herë në rrjet, i cili nuk i lejon sulmuesit të nxjerrë ndonjë përfitim praktik nga informacioni i përgjuar duke përdorur analizuesin e protokollit. Problemi i vetëm është se sot jo të gjithë serverët dhe klientët e postës mbështesin APOP.

Një produkt tjetër i quajtur Secure Shell, ose shkurt SSL, u zhvillua fillimisht nga kompania legjendare finlandeze SSH Communications Security (http://www.ssh.fi) dhe tani ka shumë zbatime të disponueshme falas në internet. SSL është një protokoll i sigurt për transmetimin e sigurt të mesazheve përmes një rrjeti kompjuterik duke përdorur enkriptim.

Veçanërisht të njohura janë paketat softuerike të dizajnuara për të mbrojtur të dhënat e transmetuara përmes një rrjeti me anë të kriptimit dhe të bashkuara nga prania në emrin e tyre të shkurtesës PGP, që do të thotë Pretty Good Privacy.

Vlen të përmendet se familja e analizuesve të protokollit përfshin zhvillime të denjë të brendshme. Një shembull i mrekullueshëm është analizuesi shumëfunksional Observer (i zhvilluar nga ProLAN).

Oriz. 5. Ndërfaqja e analizuesit Russian Observer.

Por, si rregull, shumica e analizuesve kanë një ndërfaqe shumë më të thjeshtë dhe më pak funksione. Për shembull, programi Ethereal.

Oriz. 6. Ndërfaqja e analizuesit të huaj Ethereal.

PËRFUNDIM

Monitorët e rrjetit, si analizuesit e protokollit, janë një mjet i fuqishëm dhe efektiv për administrimin e rrjeteve kompjuterike, pasi ju lejojnë të vlerësoni me saktësi shumë parametra të funksionimit të rrjetit, si shpejtësia e sinjalit, zonat ku janë përqendruar përplasjet, etj. Sidoqoftë, detyra e tyre kryesore, të cilën ata e përballojnë me sukses, është identifikimi i sulmeve në rrjetet kompjuterike dhe njoftimi i administratorit për to bazuar në analizat e trafikut. Në të njëjtën kohë, përdorimi i këtyre mjeteve softuerike është i mbushur me rrezik të mundshëm, pasi, për shkak të faktit se informacioni kalon nëpër monitorë dhe analizues, mund të kryhet kapja e paautorizuar e këtij informacioni. Administratori i sistemit duhet t'i kushtojë vëmendjen e duhur mbrojtjes së rrjetit të tij dhe mos harroni se mbrojtja e kombinuar është shumë më efektive. Duhet të jeni të kujdesshëm kur zgjidhni një softuer të analizës së trafikut bazuar në koston reale të informacionit që supozohet të mbrohet, gjasat e ndërhyrjes, vlerën e informacionit për palët e treta, disponueshmërinë e zgjidhjeve të gatshme të sigurisë dhe aftësitë të buxhetit të organizatës. Një zgjedhje kompetente e zgjidhjes do të ndihmojë në uljen e gjasave të aksesit të paautorizuar dhe nuk do të jetë shumë "e rëndë" për sa i përket financimit. Duhet të mbani mend gjithmonë se sot nuk ka asnjë mjet të përsosur sigurie, dhe kjo vlen, natyrisht, për monitorët dhe analizuesit. Gjithmonë duhet të mbani mend se sado i përsosur të jetë monitori, ai nuk do të jetë gati për lloje të reja kërcënimesh që nuk ishte programuar t'i njohë. Prandaj, jo vetëm që duhet të planifikoni siç duhet mbrojtjen e infrastrukturës së rrjetit të ndërmarrjes suaj, por gjithashtu të monitoroni vazhdimisht përditësimet e produkteve softuerike që përdorni.

LITERATURA

1. Sulmi në internet. I.D. Medvedkovsky, P.V. Semyanov, D.G. Leonov. – Botimi i 3-të, i fshirë. – M.: DMK, 2000

2. Microsoft Windows 2000. Manuali i Administratorit. Seria "ITProfessional" (përkthyer nga anglishtja). U.R. Stanek. - M.: Shtëpia botuese dhe tregtare "Edicioni Rus", 2002.

3. Bazat e Rrjetit. E. Tittel, K. Hudson, J.M. Stewart. Per. nga anglishtja – Shën Petersburg: Shtëpia Botuese Peter, 1999

4. Informacioni rreth boshllëqeve në produktet softuerike është marrë nga baza e të dhënave të serverit SecurityLab (www.securitylab.ru)

5. Rrjetet kompjuterike. Teoria dhe praktika. http://network-journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=3&pa=9&ar=1

6. Analiza e rrjetit. Artikull në 2 pjesë. http://www.ru-board.com/new/article.php?sid=120

7. Fjalori elektronik i termave të telekomunikacionit. http://europestar.ru/info/

8. Metodat harduerike dhe softuerike të mbrojtjes kundër sulmeve në distancë në internet. http://personal.primorye.ru/desperado/Xattack/7.2.htm

9. Siguria në monitorin e rrjetit. Tutorial për WindowsXP. http://www.soft32.ru/literature.shtml?topic=windows&book=WinXP&page=Glava16/Index0.htm&subpage=Glava16/Index52.htm

10. Dokumentacioni për monitorin RealSecure. Ofrohet nga prodhuesi në formë elektronike sipas kërkesës.

11. Siguria e sistemeve kompjuterike. Analizuesit e protokollit. http://kiev-security.org.ua/box/12/130.shtml

12. Serveri në internet i zhvilluesit rus të analizuesve - kompania "ProLAN" http://www.prolan.ru/

Informacion i pergjithshem

Mjetet e quajtura analizues të rrjetit janë emëruar sipas Sniffer Network Analyzer. Ky produkt u lëshua në vitin 1988 nga Network General (tani Network Associates) dhe ishte një nga pajisjet e para që i lejoi menaxherët të mësonin fjalë për fjalë se çfarë po ndodhte në një rrjet të madh pa u larguar nga tavolina e tyre. Analizuesit e parë lexojnë titujt e mesazheve në paketat e të dhënave të dërguara përmes rrjetit, duke u ofruar administratorëve informacione rreth adresave të dërguesit dhe marrësit, madhësive të skedarëve dhe informacione të tjera të nivelit të ulët. Dhe e gjithë kjo është përveç kontrollit të korrektësisë së transmetimit të paketave. Duke përdorur grafikët dhe përshkrimet e tekstit, analizuesit ndihmuan administratorët e rrjetit të diagnostikonin serverët, lidhjet e rrjetit, shpërndarësit dhe çelësat, si dhe aplikacionet. Në mënyrë të përafërt, një analizues i rrjetit dëgjon ose "nuhat" paketat nga një segment fizik specifik i rrjetit. Kjo ju lejon të analizoni trafikun për modele të caktuara, të korrigjoni disa probleme dhe të identifikoni aktivitete të dyshimta. Një sistem zbulimi i ndërhyrjeve në rrjet nuk është gjë tjetër veçse një sniffer i avancuar që përputhet me çdo paketë në rrjet me një bazë të dhënash të modeleve të njohura të trafikut keqdashës, ngjashëm me atë që bën një program antivirus me skedarët në një kompjuter. Ndryshe nga mjetet e përshkruara më parë, analizuesit funksionojnë në një nivel më të ulët.

Nëse i drejtohemi modelit të referencës OSI, analizuesit kontrollojnë dy nivelet më të ulëta - fizik dhe kanal.

Numri i nivelit të modelit BOS	Emri i nivelit	Shembuj të protokolleve
Niveli 7	Shtresa e aplikimit	DNS, FTP, HTTP, SMTP, SNMP, Telnet
Niveli 6	Shtresa e prezantimit
Niveli 5	Niveli i seancës
Niveli 4	Shtresa e transportit	NetBIOS, TCP, UDP
Niveli 3	Shtresa e rrjetit	ARP, IP, IPX, OSPF
Niveli 2	Shtresa e lidhjes së të dhënave	Arcnet, Ethernet, Unazë Token
Niveli 1	Shtresa fizike	Kabllo koaksiale, fibër optike, çift i përdredhur

Shtresa fizike është instalime elektrike aktuale fizike ose media të tjera të përdorura për të krijuar rrjetin. Në shtresën e lidhjes së të dhënave, të dhënat fillimisht kodohen për transmetim përmes një mediumi specifik. Standardet e rrjetit të shtresës së lidhjes përfshijnë wireless 802.11, Arcnet, kabllo koaksiale, Ethernet, Token Ring dhe më shumë. Analizuesit zakonisht varen nga lloji i rrjetit në të cilin operojnë. Për shembull, për të analizuar trafikun në një rrjet Ethernet, duhet të keni një analizues Ethernet.

Ekzistojnë analizues të klasës komerciale nga prodhues të tillë si Fluke, Network General dhe të tjerë. Këto janë zakonisht pajisje harduerike me porosi që mund të kushtojnë dhjetëra mijëra dollarë. Megjithëse ky harduer është i aftë për analiza më të thella, është e mundur të krijohet një analizues rrjeti me kosto të ulët duke përdorur softuer me burim të hapur dhe një PC të lirë me bazë Intel.

Llojet e analizuesve

Në ditët e sotme prodhohen shumë analizues, të cilët ndahen në dy lloje. E para përfshin produkte të pavarura të instaluara në një kompjuter celular. Konsulenti mund ta marrë me vete kur viziton zyrën e klientit dhe ta lidhë me rrjetin për të mbledhur të dhëna diagnostikuese.

Fillimisht, pajisjet portative të destinuara për testimin e funksionimit të rrjetit u krijuan ekskluzivisht për të kontrolluar parametrat teknikë të kabllit. Megjithatë, me kalimin e kohës, prodhuesit i kanë pajisur pajisjet e tyre me një numër funksionesh të analizuesit të protokollit. Analizuesit modernë të rrjetit janë të aftë të zbulojnë një gamë të gjerë problemesh të mundshme - nga dëmtimi fizik në kabllo deri te mbingarkesa e burimeve të rrjetit.

Lloji i dytë i analizuesit është pjesë e një kategorie më të gjerë të harduerit dhe softuerit të monitorimit të rrjetit që lejon organizatat të monitorojnë shërbimet e tyre të rrjetit lokal dhe të gjerë, duke përfshirë Web-in. Këto programe u japin administratorëve një pamje tërësore të shëndetit të rrjetit. Për shembull, me ndihmën e produkteve të tilla mund të përcaktoni se cilat aplikacione janë duke u ekzekutuar aktualisht, cilët përdorues janë të regjistruar në rrjet dhe cili prej tyre gjeneron pjesën më të madhe të trafikut.

Përveç identifikimit të karakteristikave të rrjetit të nivelit të ulët, si burimi i paketave dhe destinacioni i tyre, analizuesit modern deshifrojnë informacionin e marrë në të shtatë shtresat e rrjetit të rrjetit të ndërlidhjes së sistemit të hapur (OSI) dhe shpesh ofrojnë rekomandime për zgjidhjen e problemeve. Nëse analiza në nivelin e aplikacionit nuk lejon që të bëhet një rekomandim adekuat, analizuesit kryejnë kërkime në një nivel më të ulët rrjeti.

Analizuesit modernë zakonisht mbështesin standardet e monitorimit në distancë (Rmon dhe Rmon 2), të cilat sigurojnë marrjen automatike të të dhënave kryesore të performancës, të tilla si informacioni në lidhje me ngarkesën në burimet e disponueshme. Analizuesit që mbështesin Rmon mund të kontrollojnë rregullisht statusin e komponentëve të rrjetit dhe të krahasojnë të dhënat e marra me të dhënat e grumbulluara më parë. Nëse është e nevojshme, ata do të lëshojnë një paralajmërim nëse nivelet e trafikut ose performanca tejkalojnë kufijtë e vendosur nga administratorët e rrjetit.

NetScout Systems prezantoi sistemin nGenius Application Level Manager, i projektuar për të monitoruar kohën e përgjigjes në seksione individuale të kanalit të hyrjes në një faqe interneti dhe për të përcaktuar performancën aktuale të serverëve. Ky aplikacion mund të analizojë performancën në rrjetin publik në mënyrë që të rikrijojë pamjen e përgjithshme në kompjuterin e përdoruesit. Firma daneze NetTest (ish GN Nettest) ka filluar të ofrojë Fastnet, një sistem monitorimi i rrjetit që ndihmon kompanitë e e-biznesit të planifikojnë kapacitetin dhe të zgjidhin problemet e rrjetit.

Analiza e rrjeteve konvergjente (multiservice).

Përhapja e rrjeteve me shumë shërbime (rrjetet e konvergjuara) mund të ketë një ndikim vendimtar në zhvillimin e sistemeve të telekomunikacionit dhe sistemeve të transmetimit të të dhënave në të ardhmen. Ideja e kombinimit të aftësisë për të transmetuar të dhëna, transmetime zanore dhe informacione video në një infrastrukturë të vetme rrjeti bazuar në një protokoll pakete doli të ishte shumë joshëse për ofruesit e specializuar në ofrimin e shërbimeve të telekomunikacionit, sepse mund të zgjerojë menjëherë gamën. të shërbimeve që ofrojnë.

Ndërsa korporatat fillojnë të kuptojnë përfitimet e efikasitetit dhe kostos së rrjeteve IP të konvergjuara, shitësit e mjeteve të rrjetit po zhvillojnë në mënyrë aktive analizues për ta bërë këtë. Në gjysmën e parë të vitit, shumë kompani prezantuan komponentë për produktet e tyre të administrimit të rrjetit të dizajnuara për rrjetet e zërit përmes IP.

"Konvergjenca ka krijuar kompleksitete të reja me të cilat duhet të merren administratorët e rrjetit," tha Glenn Grossman, drejtor i menaxhimit të produkteve në NetScout Systems. -- Trafiku zanor është shumë i ndjeshëm ndaj vonesave kohore. Analizuesit mund të shikojnë çdo bit dhe bajt të dërguar përmes një teli, të interpretojnë titujt dhe të përcaktojnë automatikisht përparësinë e të dhënave."

Përdorimi i teknologjive të konvergjencës së zërit dhe të dhënave mund të ndezë një valë të re interesi te analizuesit pasi prioritizimi i trafikut në nivelin e paketave IP bëhet thelbësor për funksionimin e shërbimeve zanore dhe video. Për shembull, Sniffer Technologies ka lëshuar Sniffer Voice, një paketë veglash e krijuar për administratorët e rrjeteve me shumë shërbime. Ky produkt jo vetëm që ofron shërbime tradicionale diagnostikuese për menaxhimin e trafikut të postës elektronike, internetit dhe bazës së të dhënave, por gjithashtu identifikon problemet e rrjetit dhe rekomandon zgjidhje për të siguruar transmetimin e saktë të trafikut zanor përmes rrjeteve IP.

Ana negative e përdorimit të analizatorëve

Duhet mbajtur mend se ekzistojnë dy anët e medaljes që lidhen me analizuesit. Ato ndihmojnë në funksionimin e rrjetit, por mund të përdoren gjithashtu nga hakerat për të kërkuar paketat e të dhënave për emrat e përdoruesve dhe fjalëkalimet. Për të parandaluar përgjimin e fjalëkalimit nga analizuesit, kokat e paketave janë të koduara (për shembull, duke përdorur standardin Secure Sockets Layer).

Në fund të fundit, nuk ka alternativë për një analizues rrjeti në situatat kur është e nevojshme të kuptohet se çfarë po ndodh në një rrjet global ose korporativ. Një analizues i mirë ju lejon të kuptoni shëndetin e një segmenti të rrjetit dhe të përcaktoni vëllimin e trafikut, si dhe të përcaktoni se si ky vëllim ndryshon gjatë ditës, cilët përdorues krijojnë ngarkesën më të rëndë dhe në cilat situata ka probleme me shpërndarjen e trafikut ose mungesa e gjerësisë së brezit. Falë përdorimit të një analizuesi, është e mundur të merren dhe të analizohen të gjitha pjesët e të dhënave në një segment rrjeti për një periudhë të caktuar.

Megjithatë, analizuesit e rrjetit janë të shtrenjtë. Nëse po planifikoni të blini një të tillë, së pari jini të qartë se çfarë prisni prej tij.

Karakteristikat e përdorimit të analizuesve të rrjetit

Për të përdorur analizuesit e rrjetit në mënyrë etike dhe produktive, duhet të ndiqen udhëzimet e mëposhtme.

Leja kërkohet gjithmonë

Analiza e rrjetit, si shumë veçori të tjera të sigurisë, ka potencial për keqpërdorim. Duke përgjuar gjithçka të dhënat e transmetuara përmes rrjetit, ju mund të spiunoni fjalëkalime për sisteme të ndryshme, përmbajtjen e mesazheve të postës elektronike dhe të dhëna të tjera kritike, të brendshme dhe të jashtme, pasi shumica e sistemeve nuk e kodojnë trafikun e tyre në rrjetin lokal. Nëse të dhëna të tilla bien në duar të gabuara, padyshim që mund të çojnë në shkelje serioze të sigurisë. Mund të jetë gjithashtu një shkelje e privatësisë së punonjësve. Para së gjithash, duhet të merrni leje me shkrim nga menaxhmenti, mundësisht menaxhmenti i lartë, përpara se të filloni aktivitete të tilla. Ju gjithashtu duhet të konsideroni se çfarë të bëni me të dhënat pasi të merren. Përveç fjalëkalimeve, këto mund të jenë të dhëna të tjera të ndjeshme. Si rregull i përgjithshëm, regjistrat e analizës së rrjetit duhet të pastrohen nga sistemi, përveç rasteve kur nevojiten për ndjekje penale ose civile. Ka precedentë të dokumentuar të shkarkimit të administratorëve me qëllim të mirë të sistemit për përgjim të paautorizuar të të dhënave.

Ju duhet të kuptoni topologjinë e rrjetit

Para se të vendosni analizuesin, është e nevojshme të kuptoni plotësisht organizimin fizik dhe logjik të këtij rrjeti. Duke kryer analiza në vendin e gabuar në rrjet, mund të merrni rezultate të gabuara ose thjesht mos gjetja e asaj që ju nevojitet. Është e nevojshme të kontrollohet që nuk ka ruterë midis stacionit të punës së analizës dhe vendndodhjes së vëzhgimit. Routerët do të përcjellin trafikun në një segment rrjeti vetëm nëse ka një thirrje në një nyje të vendosur atje. Në mënyrë të ngjashme, në një rrjet të ndërruar, do t'ju duhet të konfiguroni portin me të cilin po lidheni si një port "monitor" ose "pasqyrë". Prodhues të ndryshëm përdorin terminologji të ndryshme, por në thelb porti duhet të veprojë si shpërndarës dhe jo si ndërprerës, pasi duhet të shohë të gjithë trafikun që kalon përmes çelësit, jo vetëm atë të drejtuar në stacionin e punës. Pa këtë cilësim, porta e monitorit do të shohë vetëm atë që drejtohet në portin ku është lidhur dhe trafikun e transmetimit të rrjetit.

Duhet të përdorë kritere strikte kërkimi

Në varësi të asaj që dëshironi të gjeni, përdorimi i një filtri të hapur (d.m.th., duke treguar gjithçka) do ta bëjë rezultatin të madh dhe të vështirë për t'u analizuar. Është më mirë të përdorni kritere të veçanta kërkimi për të zvogëluar prodhimin që prodhon analizuesi. Edhe nëse nuk dini saktësisht se çfarë të kërkoni, prapë mund të shkruani një filtër për të kufizuar rezultatet e kërkimit. Nëse keni nevojë të gjeni një makinë të brendshme, është e saktë të vendosni kriteret për të parë vetëm adresat e burimit brenda një rrjeti të caktuar. Nëse keni nevojë të monitoroni një lloj specifik trafiku, le të themi trafikun FTP, mund t'i kufizoni rezultatet vetëm në atë që hyn në portin e përdorur nga aplikacioni. Duke bërë këtë, ju mund të arrini rezultate dukshëm më të mira të analizës.

Vendosja e gjendjes së referencës së rrjetit

Përdorimi i një analizuesi të rrjetit gjatë funksionimit normal , dhe duke regjistruar rezultatet përfundimtare, arrihet një gjendje referimi që mund të krahasohet me rezultatet e marra gjatë përpjekjeve për të izoluar problemin. Analizatori Ethereal i diskutuar më poshtë prodhon disa raporte të dobishme për këtë. Gjithashtu do të merren disa të dhëna për të gjurmuar përdorimin e rrjetit me kalimin e kohës. Duke përdorur këto të dhëna, mund të përcaktoni se kur rrjeti është i ngopur dhe cilat janë arsyet kryesore për këtë - një server i mbingarkuar, një rritje në numrin e përdoruesve, një ndryshim në llojin e trafikut, etj. Nëse ka një pikënisje, është më e lehtë të kuptohet se kush është fajtor për çfarë.