tcpdump

Deyarli barcha tarmoq trafigini yig'ish uchun asosiy vosita tcpdump hisoblanadi. Bu deyarli barcha Unix-ga o'xshash operatsion tizimlarga o'rnatiladigan ochiq kodli dastur. Tcpdump - bu ajoyib ma'lumotlarni yig'ish vositasi va juda kuchli filtrlash mexanizmi bilan birga keladi. Tahlil qilish uchun boshqariladigan ma'lumotlarga ega bo'lish uchun yig'ish paytida ma'lumotlarni qanday filtrlashni bilish muhimdir. Tarmoq qurilmasidan, hatto o'rtacha band bo'lgan tarmoqda ham barcha ma'lumotlarni olish oddiy tahlil qilish uchun juda ko'p ma'lumotlarni yaratishi mumkin.

Ba'zi kamdan-kam hollarda, tcpdump chiqishni to'g'ridan-to'g'ri ekraningizga chiqarishi mumkin va bu siz qidirayotgan narsani topish uchun etarli bo'lishi mumkin. Misol uchun, maqola yozish paytida ma'lum bir trafik qo'lga olindi va mashina noma'lum IP-manzilga trafik yuborayotgani sezildi. Ma'lum bo'lishicha, mashina Google IP-manziliga 172.217.11.142 ma'lumotlarni yuborgan. Hech qanday Google mahsuloti chiqarilmaganligi sababli, bu nima uchun sodir bo'ldi degan savol tug'ildi.

Tizim tekshiruvi quyidagilarni ko'rsatdi:

[ ~ ]$ ps -ef | grep google

Fikringizni qoldiring!

Qulaylik CommView xizmat qiladi mahalliy tarmoq va Internet-trafikni yig'ish va tahlil qilish uchun. Dastur tarmoq orqali eng past darajaga o'tadigan ma'lumotlarni, shu jumladan tarmoq ulanishlari ro'yxatini va 70 dan ortiq eng keng tarqalgan tarmoq protokollarining IP paketlarini ushlaydi va dekodlaydi. CommView IP statistikasini saqlaydi; tutib olingan paketlar keyinchalik tahlil qilish uchun faylga saqlanishi mumkin. Dasturda moslashuvchan filtr tizimidan foydalanib, keraksiz narsalarni tashlashingiz mumkin paketlarni olish uchun yoki faqat keraklilarini tuting. Dasturga kiritilgan VoIP moduli SIP va H.323 standartlarining ovozli xabarlarini chuqur tahlil qilish, yozib olish va tinglash imkonini beradi. CommView sizga tarmoq kartasi yoki alohida tarmoq segmenti orqali o'tadigan ma'lumot trafigining batafsil rasmini ko'rish imkonini beradi.

Internet va mahalliy tarmoq skaneri

Tarmoq skaneri sifatida CommView dasturi tizim ma'murlari, tarmoq xavfsizligi sohasida ishlaydigan odamlar va tarmoq ulanishlaridan foydalanadigan dasturiy ta'minotni ishlab chiquvchi dasturchilar uchun foydali bo'ladi. Yordamchi dastur rus tilini qo'llab-quvvatlaydi, foydalanuvchi uchun qulay interfeysga ega va dasturda amalga oshirilgan barcha funktsiyalar va imkoniyatlar uchun batafsil va tushunarli yordam tizimini o'z ichiga oladi.

CommView asosiy xususiyatlari

• Tarmoq adapteri yoki dial-up kontrolleri orqali o'tadigan Internet yoki mahalliy trafikni ushlab turish
• IP-ulanishlarning batafsil statistikasi (manzillar, portlar, seanslar, xost nomi, jarayonlar va boshqalar).
• TCP seansini qayta yaratish
• Voqea haqida ogohlantirishlarni sozlash
• IP protokollari va yuqori darajadagi protokollar diagrammasi
• Olingan va dekodlangan paketlarni real vaqtda ko'ring
• Qabul qilingan paketlar tarkibini string yoki HEX ma'lumotlari bo'yicha qidiring
• Paketlarni arxivga saqlash
• Ulanish uzilganida avval saqlangan paketlarni yuklab oling va ko'ring
• NI Observer yoki NAI Sniffer formatidagi paketlar bilan arxivlarni eksport va import qilish
• IP manzili haqida ma'lumot olish
• Protokolni qo'llab-quvvatlash va dekodlash: ARP, BCAST, RTSP, SAP, SER, SIP, SMB, SMTP, SNA, SNMP, SNTP, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG, DNS, EIGRP, FTP, G.723, GRE, H. 225, H.261, H.263, H.323, HTTP, HTTPS, 802.1Q, 802.1X, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX, HSRP, LDAP, MS SQL, NCP , NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, LDAP, MS SQL, NCP, NDS, NetBIOS, RDP, RIP, RIPX, RMCP, RPC, RSVP, RTP, RTCP, SOCKS, SPX, SSH, TCP, TELNET, TFTP, TIME, TLS, UDP, VTP, WDOG, YMSG.

Ba'zi hollarda tarmoq trafigini tahlil qilish xost va tarmoq segmentlarining tarmoq stekining ishlashidagi muammolarni aniqlash uchun ishlatiladi. Tarmoq ishini uzatiladigan kadrlar, tarmoq paketlari, tarmoq ulanishlari, datagrammalar va dastur protokollari darajasida ko'rsatish (tinglash) va tahlil qilish imkonini beruvchi vositalar mavjud..

ga qarab Vaziyat, diagnostika uchun tarmoq trafigini tinglayotgan tugunning trafigini ham, tarmoq segmenti, marshrutizator porti va boshqalarning trafigini ham mavjud bo'lishi mumkin.. Kengaytirilgan trafikni ushlab turish imkoniyatlariga asoslanadi "fotosh" rejimi tarmoq adapterining ishlashi: barcha kadrlar qayta ishlanadi (nafaqat ma'lum bir MAC manzili va oddiy ishda bo'lgani kabi translyatsiya uchun mo'ljallangan).

Ethernet tarmog'ida trafikni tinglash uchun quyidagi asosiy imkoniyatlar mavjud:

• Hubga asoslangan tarmoqda barcha to'qnashuvli domen trafiği har qanday tarmoq stantsiyasida mavjud.
• Tarmoq stansiyasi kommutatorlariga asoslangan tarmoqlarda uning trafigi, shuningdek, ushbu segmentning barcha translyatsiya trafigi mavjud.
• Ba'zi boshqariladigan kalitlar trafikni ma'lum bir portdan monitoring portiga nusxalash imkoniyatiga ega(“ko‘zgu”, port monitoringi).
• Tarmoq ulanishiga kiritilgan maxsus vositalardan (ulagichlardan) foydalanish uzilib, ulanish trafigini alohida portga uzatadi.
• Hub bilan "hiyla"- trafigi tinglanishi kerak bo'lgan kommutator porti hub orqali yoqiladi, shuningdek monitor tugunini markazga ulaydi (bu holda, ko'p hollarda tarmoq ulanishining ishlashi kamayadi).

dasturlari bor ( tarmoq monitorlari yoki analizatorlari, sniffer), tarmoq trafigini tinglash (shu jumladan noxush rejimda), uni ko'rsatish yoki faylga yozish funktsiyasini amalga oshiradi. Bundan tashqari, tahlil dasturi qoidalar asosida trafikni filtrlashi, protokollarni dekodlash (deshifrlash), statistikani o'qish va ba'zi muammolarni tashxislashi mumkin.

Eslatma: Tarmoq trafigini tahlil qilish uchun asosiy vositaning yaxshi tanlovi grafik muhit bepul paket hisoblanadi wireshark[43], Windows uchun va ba'zi Linux distributivlarining omborlarida mavjud.

tcpdump yordam dasturi

Tcpdump konsol yordam dasturi ko'pchilik Unix tizimlariga kiritilgan va tarmoq trafigini ushlab turish va ko'rsatish imkonini beradi [44]. Yordamchi dastur tarmoq trafigini yozib olish uchun portativ C/C++ kutubxonasi bo'lgan libpcap-dan foydalanadi.

Debian-ga tcpdump-ni o'rnatish uchun quyidagi buyruqdan foydalanishingiz mumkin:

# apt-get o'rnatish tcpdump

Ushbu yordam dasturini ishga tushirish uchun siz huquqlarga ega bo'lishingiz kerak superfoydalanuvchi(xususan, tarmoq adapterini "fotosh" rejimiga o'tkazish zarurati tufayli). Umuman olganda, buyruq formati quyidagicha:

tcpdump<опции> <фильтр-выражение>

Konsol chiqishi uchun sarlavha tavsifi ushlangan paketlarning (shifrlangan ma'lumotlari) trafikni tahlil qilish uchun interfeysni ko'rsatishingiz kerak (variant -i):

# tcpdump -i eth0

Siz IP manzillarini domen nomlariga aylantirishni o'chirib qo'yishingiz mumkin (chunki katta hajmdagi trafik DNS serveriga ko'p sonli so'rovlarni yaratadi) - variant -n:

# tcpdump -n -i eth0

Havola darajasidagi ma'lumotlarni chiqarish uchun (masalan, mac manzillari va boshqalar) -e opsiyasidan foydalaning:

# tcpdump -en -i eth0

Qo'shimcha ma'lumotlarni chop eting (masalan, TTL, IP opsiyalari) -v varianti:

# tcpdump -ven -i eth0

Olingan paketlar hajmini oshirish (sukut bo'yicha 68 baytdan ortiq) - hajmini ko'rsatadigan -s varianti (-s 0 - butun paketlarni qo'lga olish):

Faylga yozish (to'g'ridan-to'g'ri paketlar - "dump") - fayl nomini ko'rsatadigan variant -w:

# tcpdump -w traf.dump

Paketlarni fayldan o'qish - variant - r fayl nomini ko'rsatish:

# tcpdump -r traf.dump

Odatiy bo'lib, tcpdump promiscuous rejimda ishlaydi. -p kaliti tcpdump-ga faqat ushbu xost uchun mo'ljallangan trafikni ushlab turishni aytadi.

tcpdump filtri kalitlari va formati haqida qo'shimcha ma'lumot olish uchun ma'lumotnoma qo'llanmasiga qarang (man tcpdump).

tcpdump yordamida tarmoq interfeysi darajasida va tarmoq darajasida trafikni tahlil qilish

Ethernet ramkalarini ajratish uchun quyidagi tcpdump konstruksiyalari qo'llaniladi (umumiy ko'rinish):

tcpdump efir ( src | dst | xost ) MAC_ADDRESS

bu erda src manba MAC manzili, dst- maqsad MAC manzili, xost - src yoki dst, shuningdek, translyatsiya trafigini ta'kidlash uchun.

Rossiya Federatsiyasi Ta'lim va fanlar vazirligi

"Sankt-Peterburg davlat politexnika universiteti" davlat ta'lim muassasasi

Cheboksari iqtisodiyot va boshqaruv instituti (filial)

Oliy matematika va axborot texnologiyalari kafedrasi

ANTRACT

“Axborot xavfsizligi” kursida.

Mavzu bo'yicha: "Tarmoq analizatorlari"

Bajarildi

4-kurs talabasi, ish haqi 080502-51M

"Menejment" mutaxassisligi

mashinasozlik korxonasida"

Pavlov K.V.

Tekshirildi

O'qituvchi

Cheboksary 2011 yil

KIRISH

Ethernet tarmoqlari o'zlarining yaxshi o'tkazuvchanligi, o'rnatish qulayligi va tarmoq uskunalarini o'rnatishning maqbul narxi tufayli juda mashhur bo'ldi.
Biroq, Ethernet texnologiyasi sezilarli kamchiliklardan xoli emas. Asosiysi, uzatilayotgan ma'lumotlarning xavfsizligi. Ethernet tarmog'iga ulangan kompyuterlar qo'shnilariga yuborilgan ma'lumotlarni ushlab turishi mumkin. Buning sababi Ethernet tarmoqlarida qabul qilingan translyatsiya xabarlari mexanizmi deb ataladi.

Kompyuterlarni tarmoqqa ulash axborot xavfsizligining eski aksiomalarini buzadi. Masalan, statik xavfsizlik haqida. Ilgari tizimdagi zaiflik tizim ma'muri tomonidan tegishli yangilanishni o'rnatish orqali aniqlanishi va tuzatilishi mumkin edi, u bir necha hafta yoki oydan keyin o'rnatilgan "yamoq" ning funksionalligini tekshirishi mumkin edi. Biroq, ushbu "yamoq" foydalanuvchi tomonidan tasodifan yoki ish paytida yoki yangi komponentlarni o'rnatishda boshqa administrator tomonidan olib tashlanishi mumkin edi. Hamma narsa o'zgaradi va endi axborot texnologiyalari shunchalik tez o'zgarmoqdaki, statik xavfsizlik mexanizmlari endi to'liq tizim xavfsizligini ta'minlamaydi.

Yaqin vaqtgacha korporativ tarmoqlarni himoya qilishning asosiy mexanizmi xavfsizlik devori edi. Biroq, tashkilotning axborot resurslarini himoya qilish uchun mo'ljallangan xavfsizlik devorlari ko'pincha himoyasiz bo'lib chiqadi. Buning sababi shundaki, tizim ma'murlari kirish tizimida juda ko'p soddalashtirishlarni yaratadilar, natijada xavfsizlik tizimining tosh devori elak kabi teshiklarga to'la bo'ladi. Xavfsizlik devori (xavfsizlik devori) himoyasi yuqori trafikli korporativ tarmoqlar uchun amaliy bo'lmasligi mumkin, chunki bir nechta xavfsizlik devorlaridan foydalanish tarmoq ishlashiga sezilarli ta'sir ko'rsatishi mumkin. Ba'zi hollarda, "eshiklarni keng ochiq qoldirish" va tarmoq hujumlarini aniqlash va ularga javob berish usullariga e'tibor qaratish yaxshiroqdir.

Hujumlarni aniqlash uchun korporativ tarmoqni doimiy (kuniga 24 soat, haftada 7 kun, yiliga 365 kun) monitoring qilish uchun "faol" himoya tizimlari - hujumlarni aniqlash tizimlari ishlab chiqilgan. Ushbu tizimlar korporativ tarmoq tugunlariga hujumlarni aniqlaydi va ularga xavfsizlik administratori tomonidan belgilangan tartibda javob beradi. Masalan, ular hujum qiluvchi tugun bilan aloqani to'xtatadilar, administratorga xabar beradilar yoki jurnallarga hujum haqida ma'lumot kiritadilar.

1. TARMOQ TAHLILLARI

1.1 IP - Ogohlantirish 1 YOKI BIRINCHI TARMOQ MONITORI

Birinchidan, mahalliy eshittirish haqida bir necha so'z aytishimiz kerak. Ethernet tarmog'ida unga ulangan kompyuterlar odatda ular o'rtasida xabarlarni jo'natish uchun vosita bo'lib xizmat qiladigan bir xil kabelni ulashadi.

Xabarni umumiy kanal orqali uzatmoqchi bo'lgan har bir kishi, avvalo, ushbu kanal ma'lum bir vaqtda bepul ekanligiga ishonch hosil qilishi kerak. Uzatishni boshlagandan so'ng, kompyuter bir vaqtning o'zida ma'lumotlarini uzatuvchi boshqa kompyuterlar bilan to'qnashuv natijasida signal buzilgan yoki buzilganligini aniqlab, signalning tashuvchisi chastotasini tinglaydi. Agar to'qnashuv bo'lsa, uzatish to'xtatiladi va uzatishni biroz keyinroq takrorlashga harakat qilish uchun kompyuter ma'lum vaqt davomida "jim bo'lib qoladi". Agar Ethernet tarmog'iga ulangan kompyuter o'zi hech narsa uzatmasa, u qo'shni kompyuterlar tomonidan tarmoq orqali uzatiladigan barcha xabarlarni "tinglashda" davom etadi. Kiruvchi ma'lumotlarning sarlavhasida o'zining tarmoq manzilini payqagan kompyuter ushbu qismni mahalliy xotirasiga ko'chiradi.

Kompyuterlarni Ethernet tarmog'iga ulashning ikkita asosiy usuli mavjud. Birinchi holda, kompyuterlar koaksiyal kabel yordamida ulanadi. Ushbu kabel kompyuterdan kompyuterga yotqiziladi, tarmoq adapterlariga T-shaklidagi ulagichga ulanadi va uchlari BNC terminatorlari bilan tugaydi. Ushbu topologiya professional tilda Ethernet 10Base2 tarmog'i deb ataladi. Biroq, uni "hamma hamma eshitadigan" tarmoq deb ham atash mumkin. Tarmoqqa ulangan har qanday kompyuter ushbu tarmoq orqali boshqa kompyuter tomonidan yuborilgan ma'lumotlarni ushlab turishga qodir. Ikkinchi holda, har bir kompyuter o'ralgan juftlik kabeli orqali markaziy kommutatsiya qurilmasining alohida portiga ulanadi - markaz yoki kalit. Ethernet lOBaseT tarmoqlari deb ataladigan bunday tarmoqlarda kompyuterlar to'qnashuv domenlari deb ataladigan guruhlarga bo'linadi. To'qnashuv domenlari umumiy avtobusga ulangan hub yoki switch portlari bilan belgilanadi. Natijada, tarmoqdagi barcha kompyuterlar o'rtasida to'qnashuvlar sodir bo'lmaydi. va alohida - bir xil to'qnashuv domenining bir qismi bo'lganlar o'rtasida, bu butun tarmoqning o'tkazuvchanligini oshiradi.

So'nggi paytlarda radioeshittirishdan foydalanmaydigan va portlar guruhlarini bir-biri bilan yopmaydigan yirik tarmoqlarda yangi turdagi kommutatorlar paydo bo'la boshladi. Buning o'rniga, tarmoq orqali yuborilgan barcha ma'lumotlar xotirada buferlanadi va imkon qadar tezroq yuboriladi. Biroq, bunday tarmoqlar hali ham juda ko'p - Ethernet tipidagi tarmoqlar umumiy sonining 5% dan ko'p emas.

Shunday qilib, Ethernet tarmoqlarining aksariyatida qabul qilingan ma'lumotlarni uzatish algoritmi tarmoqqa ulangan har bir kompyuterdan istisnosiz barcha tarmoq trafigini doimiy ravishda "tinglash" ni talab qiladi. Ba'zi odamlar tomonidan taklif qilingan, "boshqa odamlar" xabarlarini uzatishda kompyuterlar tarmoqdan uzilib qoladigan kirish algoritmlari haddan tashqari murakkabligi, amalga oshirishning yuqori narxi va past samaradorlik tufayli amalga oshirilmagan.

IPAlert-1 nima va u qaerdan paydo bo'lgan? Bir vaqtlar tarmoq xavfsizligini o'rganish bilan bog'liq bo'lgan sohada mualliflarning amaliy va nazariy tadqiqotlari quyidagi fikrga olib keldi: Internetda, shuningdek, boshqa tarmoqlarda (masalan, Novell NetWare, Windows NT), bo'ladigan xavfsizlik dasturiy ta'minotining jiddiy etishmasligi bor edi murakkab adabiyotda tasvirlangan masofaviy ta'sirlarning barcha turlarini aniqlash uchun tarmoq orqali uzatiladigan barcha ma'lumotlar oqimini havola darajasida boshqarish (monitoring). Internet tarmog'i xavfsizligi bo'yicha dasturiy ta'minot bozorini o'rganish shuni ko'rsatdiki, bunday keng qamrovli masofadan hujumni aniqlash vositalari mavjud emas va mavjudlari ma'lum bir hujum turini aniqlash uchun mo'ljallangan (masalan, ICMP Redirect yoki ARP). Shu sababli, Internetda foydalanish uchun mo'ljallangan IP tarmoq segmenti uchun monitoring vositasini ishlab chiqish boshlandi va quyidagi nom oldi: IP Alert-1 tarmoq xavfsizligi monitori.

Uzatish kanalidagi tarmoq trafigini dasturiy tahlil qiladigan ushbu vositaning asosiy vazifasi aloqa kanali orqali amalga oshirilgan masofaviy hujumlarni qaytarish emas, balki ularni aniqlash va jurnalga kiritishdir (keyingi koʻrish uchun qulay shaklda audit faylini yuritish). ma'lum bir tarmoq segmentiga masofaviy hujumlar bilan bog'liq barcha hodisalarni tahlil qilish) va masofaviy hujum aniqlansa, darhol xavfsizlik ma'murini ogohlantirish. IP Alert-1 tarmoq xavfsizligi monitorining asosiy vazifasi tegishli Internet segmentining xavfsizligini nazorat qilishdir.

IP Alert-1 tarmoq xavfsizligi monitori quyidagi funksiyalarga ega va tarmoq tahlili orqali u boshqarayotgan tarmoq segmentiga quyidagi masofaviy hujumlarni aniqlash imkonini beradi:

1. Boshqariladigan tarmoq segmentida joylashgan xostlar tomonidan uzatiladigan paketlardagi IP va Ethernet manzillarining muvofiqligini kuzatish.

IP Alert-1 xostida xavfsizlik ma'muri statik ARP jadvalini yaratadi, u erda u boshqariladigan tarmoq segmentida joylashgan xostlarning tegishli IP va Ethernet manzillari haqidagi ma'lumotlarni kiritadi.

Bu funksiya sizga IP-manzilning ruxsatsiz o'zgarishini yoki uning o'rnini almashtirishni aniqlash imkonini beradi (IP-spoofing, spoofing, IP-spoofing (jarg)).

2. Masofaviy ARP qidiruv mexanizmidan to'g'ri foydalanishni nazorat qilish. Bu xususiyat statik ARP jadvali yordamida masofaviy False ARP hujumini aniqlash imkonini beradi.

3. Masofaviy DNS qidiruv mexanizmidan to'g'ri foydalanishni nazorat qilish. Bu xususiyat DNS xizmatiga masofaviy hujumlarning barcha mumkin bo'lgan turlarini aniqlash imkonini beradi

4. Uzatilgan so'rovlarni tahlil qilish orqali masofaviy ulanish urinishlarining to'g'riligini nazorat qilish. Bu funksiya, birinchidan, TCP ulanish identifikatorining boshlang'ich qiymatini o'zgartirish qonunini tekshirishga urinish - ISN, ikkinchidan, ulanish so'rovi navbatini to'ldirish orqali amalga oshiriladigan xizmatni uzoqdan rad etish hujumini va uchinchidan, yo'naltirilgan ulanishni aniqlash imkonini beradi. noto'g'ri ulanish so'rovlarining "bo'roni" (TCP va UDP), bu ham xizmat ko'rsatishni rad etishga olib keladi.

Shunday qilib, IP Alert-1 tarmoq xavfsizligi monitori sizga masofaviy hujumlarning ko'p turlarini aniqlash, xabardor qilish va yozib olish imkonini beradi. Biroq, bu dastur hech qanday tarzda Firewall tizimlariga raqobatchi emas. IP Alert-1 Internetdagi masofaviy hujumlar xususiyatlaridan foydalangan holda, xavfsizlik devori tizimlariga kerakli qo'shimcha bo'lib xizmat qiladi - aytmoqchi, beqiyos arzonroqdir. Xavfsizlik monitori bo'lmasa, tarmoq segmentiga masofaviy hujumlarni boshlashga urinishlarning aksariyati sizning ko'zingizdan yashirin qoladi. Ma'lum bo'lgan xavfsizlik devorlarining hech biri turli xil masofaviy hujumlarni aniqlash uchun tarmoq orqali o'tadigan xabarlarni bunday aqlli tahlil qilish bilan shug'ullanmaydi, eng yaxshi holatda parolni taxmin qilish urinishlari, portlarni skanerlash va tarmoqni skanerlash haqidagi ma'lumotlarni qayd qiluvchi jurnalni yuritish bilan cheklanadi. taniqli masofaviy qidiruv dasturlari yordamida. Shuning uchun, agar IP-tarmoq ma'muri o'z tarmog'iga masofaviy hujumlar paytida befarq qolishni va oddiy statist rolidan mamnun bo'lishni istamasa, unga IP Alert-1 tarmoq xavfsizligi monitoridan foydalanish tavsiya etiladi.

Shunday qilib, IPAlert-1 misolida tarmoq monitorlari tarmoq xavfsizligini ta'minlashda muhim o'rin egallashini ko'rsatadi.

Albatta, zamonaviy tarmoq monitorlari ko'proq funktsiyalarni qo'llab-quvvatlaydi va ularning o'zlari juda ko'p. Taxminan 500 dollar turadigan oddiyroq tizimlar mavjud, ammo kuchli evristik tahlillarni o'tkazishga qodir bo'lgan ekspert tizimlari bilan jihozlangan juda kuchli tizimlar mavjud, ularning narxi bir necha baravar yuqori - 75 ming dollardan.

1.2 ZAMONAVIY TARMOQ ANALIZERLARINING IMKONIYATLARI

Zamonaviy monitorlar ta'rifi bo'yicha asosiylaridan tashqari boshqa ko'plab funktsiyalarni qo'llab-quvvatlaydi (men IP Alert-1 uchun ko'rib chiqdim). Masalan, kabelni skanerlash.

Tarmoq statistikasi (segmentdan foydalanish darajasi, to'qnashuv darajasi, xatolik darajasi va translyatsiya trafigining darajasi, signalning tarqalish tezligini aniqlash); Bu barcha ko'rsatkichlarning roli shundaki, agar ma'lum chegara qiymatlari oshib ketgan bo'lsa, biz segmentdagi muammolar haqida gapirishimiz mumkin. Bunga, shuningdek, adabiyotda tarmoq adapterlarining qonuniyligini tekshirish kiradi, agar to'satdan "shubhali" paydo bo'lsa (MAC manzili bo'yicha tekshirish va h.k.).

Noto'g'ri ramkalar statistikasi. Qisqa kadrlar - maksimal uzunlikdan kichik, ya'ni 64 baytdan kam bo'lgan ramkalar. Ushbu turdagi ramkalar ikkita kichik sinfga bo'linadi - to'g'ri nazorat summasi bo'lgan qisqa ramkalar va to'g'ri nazorat summasiga ega bo'lmagan qisqa ramkalar (runts). Bunday "mutantlar" paydo bo'lishining eng katta sababi tarmoq adapterlarining noto'g'ri ishlashidir. Uzoq uzatish natijasi bo'lgan va adapterlar bilan bog'liq muammolarni ko'rsatadigan kengaytirilgan ramkalar. Kabeldagi shovqinlarning natijasi bo'lgan arvoh ramkalar. Tarmoqdagi oddiy kadr xatosi darajasi 0,01% dan yuqori bo'lmasligi kerak. Agar u yuqoriroq bo'lsa, u holda tarmoqdagi texnik nosozliklar yoki ruxsatsiz kirish sodir bo'lgan.

To'qnashuvlar statistikasi. Tarmoq segmentidagi to'qnashuvlar soni va turlarini ko'rsatadi va muammoning mavjudligini va uning joylashgan joyini aniqlash imkonini beradi. To'qnashuvlar mahalliy (bir segmentda) va masofaviy (monitorga nisbatan boshqa segmentda) bo'lishi mumkin. Odatda, Ethernet tarmoqlaridagi barcha to'qnashuvlar masofaviydir. To'qnashuvlarning intensivligi 5% dan oshmasligi kerak va 20% dan yuqori cho'qqilar jiddiy muammolarni ko'rsatadi.

Yana ko'p mumkin bo'lgan funktsiyalar mavjud, ularning barchasini sanab o'tishning iloji yo'q.

Shuni ta'kidlashni istardimki, monitorlar ham dasturiy, ham apparat ta'minotida bo'ladi. Biroq, ular ko'proq statistik funktsiyani o'ynashga moyildirlar. Masalan, LANtern tarmoq monitori. Bu nazoratchilar va xizmat ko'rsatuvchi tashkilotlarga ko'p sotuvchili tarmoqlarni markazlashtirilgan holda saqlash va qo'llab-quvvatlashga yordam beradigan o'rnatish oson apparat qurilmasi. U statistik ma'lumotlarni to'playdi va tarmoq ishlashi va kengayishini optimallashtirish uchun tendentsiyalarni aniqlaydi. Tarmoq ma'lumotlari markaziy tarmoq boshqaruv konsolida ko'rsatiladi. Shunday qilib, apparat monitorlari axborotni etarli darajada himoya qilmaydi.

Microsoft Windows-da tarmoq monitori (NetworkMonitor) mavjud, ammo u jiddiy zaifliklarni o'z ichiga oladi, men ularni quyida muhokama qilaman.

Guruch. 1. WINDOWS OS NT sinfi uchun tarmoq monitori.

Dastur interfeysini tezda o'zlashtirish biroz qiyin.

Guruch. 2. WINDOWS tarmoq monitorida kadrlarni ko'rish.

Aksariyat ishlab chiqaruvchilar endi o'z monitorlarini oddiy va qulay interfeysga ega bo'lishga intilmoqda. Yana bir misol NetPeeker monitori (qo'shimcha imkoniyatlarga unchalik boy emas, lekin baribir):

Guruch. 3. NetPeeker monitorining foydalanuvchilar uchun qulay interfeysi.

Men murakkab va qimmat NetForensics dasturining interfeysiga misol keltiraman ($95 000):

4-rasm. NetForensics interfeysi.

Bugungi tendentsiyalarga ko'ra, monitorlar ega bo'lishi kerak bo'lgan ma'lum bir majburiy "ko'nikmalar" mavjud:

1. Kamida:

• trafikni filtrlash shablonlarini o'rnatish;
• kuzatuv modullarini markazlashtirilgan boshqarish;
• ko'p sonli tarmoq protokollarini filtrlash va tahlil qilish, shu jumladan. TCP, UDP va ICMP;
• tarmoq trafigini protokol, portlar va jo'natuvchi va qabul qiluvchining IP manzillari bo'yicha filtrlash;
• hujum qiluvchi tugun bilan aloqani g'ayritabiiy tugatish;
• xavfsizlik devori va routerni boshqarish;
• hujumlarni qayta ishlash uchun skriptlarni o'rnatish;
• keyingi ijro etish va tahlil qilish uchun hujumni yozib olish;
• Ethernet, Fast Ethernet va Token Ring tarmoq interfeyslarini qo'llab-quvvatlash;
• maxsus jihozlardan foydalanish shart emas;
• tizim komponentlari, shuningdek, boshqa qurilmalar o'rtasida xavfsiz ulanishni o'rnatish;
• barcha aniqlangan hujumlarning to'liq ma'lumotlar bazasining mavjudligi;
• tarmoq ishlashining minimal pasayishi;
• bir nechta boshqaruv konsollaridan bitta kuzatuv moduli bilan ishlash;
• kuchli hisobot yaratish tizimi;
• foydalanish qulayligi va intuitiv grafik interfeysi;
• dasturiy ta'minot va apparat uchun past tizim talablari.

2. Hisobotlarni tuza olish:

• Foydalanuvchilar tomonidan trafikni taqsimlash;
• Trafikni IP manzillar bo'yicha taqsimlash;
• Xizmatlar o'rtasida trafik taqsimoti;
• Trafikni protokol bo'yicha taqsimlash;
• Ma'lumotlar turlari bo'yicha trafik taqsimoti (rasmlar, videolar, matnlar, musiqa);
• Foydalanuvchilar foydalanadigan dasturlar bo'yicha trafikni taqsimlash;
• Trafikni kunning vaqti bo'yicha taqsimlash;
• Trafikni haftaning kunlari bo'yicha taqsimlash;
• Sanalar va oylar bo'yicha trafik taqsimoti;
• Foydalanuvchi tashrif buyurgan saytlar bo'yicha trafikni taqsimlash;
• Tizimdagi avtorizatsiya xatolari;
• Tizimga kirish va chiqish.

Tarmoq monitorlari taniy oladigan maxsus hujumlarga misollar:

"Xizmatni rad etish". Hujum qilingan tizimning biron bir qismi ishlamay qolishiga olib keladigan har qanday harakat yoki harakatlar ketma-ketligi, bunda u o'z funktsiyalarini bajarishni to'xtatadi. Buning sababi ruxsatsiz kirish, xizmat ko'rsatishning kechikishi va boshqalar bo'lishi mumkin. Masalan, SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) hujumlari va boshqalar.

" Ruxsatsiz kirish " (Ruxsatsiz kirishga urinish). O'rnatilgan xavfsizlik siyosatini chetlab o'tadigan tarzda fayllarni o'qish yoki buyruqlarni bajarishga urinishlarga olib keladigan har qanday harakat yoki harakatlar ketma-ketligi. Shuningdek, tajovuzkor tomonidan tizim ma'muri tomonidan o'rnatilgan imtiyozlardan kattaroq huquqlarga ega bo'lishga urinishlari ham kiradi. Misol sifatida FTP Root, E-mail WIZ va hokazo hujumlar bo'lishi mumkin.

"Hujum oldidan tekshiruv"
Tarmoqdan yoki HAQIDA ma'lumot olish uchun har qanday harakat yoki harakatlar ketma-ketligi (masalan, foydalanuvchi nomlari va parollar), keyinchalik ruxsatsiz kirishni amalga oshirish uchun ishlatiladi. Misol sifatida portlarni skanerlash (Port skanerlash), SATAN dasturi yordamida skanerlash (SATAN skanerlash) va boshqalar bo'lishi mumkin.

"Shubhali harakat"
"Standart" trafik ta'rifidan tashqarida bo'lgan tarmoq trafigi. Internetda sodir bo'layotgan shubhali faoliyatni ko'rsatishi mumkin. Masalan, IP-manzilning takrorlanishi, IP noma'lum protokoli va boshqalar.

"Protokol tahlili" (Protokol dekodlash. Yuqoridagi hujum turlaridan birini amalga oshirish uchun ishlatilishi mumkin bo'lgan tarmoq faoliyati. Internetda sodir bo'layotgan shubhali faoliyatni ko'rsatishi mumkin. Misol tariqasida FTP foydalanuvchisi dekodlash, Portmapper proksi dekodlash va hokazo voqealar bo'lishi mumkin.

1.3 TARMOQ MONITORLARINI FOYDALANISH XAVFLARI

Tarmoq monitorlaridan foydalanish ham potentsial xavf tug'diradi. Agar ular orqali juda ko'p ma'lumotlar, shu jumladan maxfiy ma'lumotlar o'tsa. Windows NT oilasiga kiruvchi yuqorida tilga olingan NetworkMonitor yordamida zaiflik misolini ko'rib chiqamiz. Ushbu monitor HEX deb ataladigan panelga ega (2-rasmga qarang), bu sizga kadr ma'lumotlarini ASCII matni ko'rinishida ko'rish imkonini beradi. Bu erda, masalan, tarmoq bo'ylab suzuvchi shifrlanmagan parollarni ko'rishingiz mumkin. Siz, masalan, Eudora pochta ilovasining paketlarini o'qishga harakat qilishingiz mumkin. Biroz vaqt o'tkazganingizdan so'ng, siz ularni ochiq ko'rishingiz mumkin. Biroq, siz doimo ehtiyot bo'lishingiz kerak, chunki shifrlash yordam bermaydi. Bu erda ikkita mumkin bo'lgan holatlar mavjud. Adabiyotda "odobsizlik" jargon atamasi mavjud - bu ma'lum bir mashinaning o'sha segmentdagi, xuddi shu markazdagi qo'shnisi yoki hozir deyilganidek, kalit. Shunday qilib, agar "ilg'or" "odobsizlik" tarmoq trafigini skanerlash va parollarni o'chirishga qaror qilsa, administrator bunday hujumchini osongina aniqlashi mumkin, chunki monitor undan foydalanuvchi foydalanuvchilarni aniqlashni qo'llab-quvvatlaydi. Buning uchun faqat tugmani bosish kifoya va administrator oldida "odobsiz xakerlar" ro'yxati ochiladi. Hujum tashqaridan, masalan, Internetdan amalga oshirilganda vaziyat ancha murakkablashadi. Monitor tomonidan taqdim etilgan ma'lumotlar juda informatsiondir. Barcha olingan kadrlar ro'yxati, kadrlarning tartib raqamlari, ularni olish vaqtlari, hatto tarmoq adapterlarining MAC manzillari ko'rsatilgan, bu sizga kompyuterni aniq aniqlash imkonini beradi. Batafsil ma'lumot paneli ramkaning "ichki qismlarini" o'z ichiga oladi - uning sarlavhalari tavsifi va boshqalar. Hatto qiziquvchan yangi boshlanuvchi ham bu erda juda ko'p tanish bo'ladi.

Tashqi hujumlar ancha xavflidir, chunki, qoida tariqasida, tajovuzkorni aniqlash juda va juda qiyin. Bunday holatda himoya qilish uchun siz monitorda parol bilan himoyalanishdan foydalanishingiz kerak. Agar Network Monitor drayveri o'rnatilgan bo'lsa va parol o'rnatilmagan bo'lsa, u holda boshqa kompyuterda bir xil tarqatish (xuddi shu dastur) dan Tarmoq monitoridan foydalanadigan har bir kishi birinchi kompyuterga qo'shilib, tarmoqdagi ma'lumotlarni ushlab turish uchun foydalanishi mumkin. Bundan tashqari, tarmoq monitori mahalliy tarmoq segmentidagi boshqa o'rnatishlarni aniqlash qobiliyatini ta'minlashi kerak. Biroq, bu ham o'ziga xos murakkablikka ega. Ba'zi hollarda, tarmoq arxitekturasi Tarmoq monitorining bir o'rnatilgan nusxasini boshqasi tomonidan aniqlashni bostirishi mumkin. Misol uchun, agar tarmoq monitorining o'rnatilgan nusxasi ikkinchi nusxadan multicast xabarlarga ruxsat bermaydigan yo'riqnoma tomonidan ajratilgan bo'lsa, tarmoq monitorining ikkinchi nusxasi birinchisini aniqlay olmaydi.

Xakerlar va boshqa hujumchilar vaqtni behuda sarflamaydilar. Ular doimiy ravishda tarmoq monitorlarini o'chirishning tobora ko'proq yangi usullarini qidirmoqdalar. Ma'lum bo'lishicha, monitorni buferini to'ldirish orqali o'chirib qo'yishdan tortib, monitorni tajovuzkor tomonidan yuborilgan istalgan buyruqni bajarishga majburlash bilan yakunlangan ko'plab usullar mavjud.

Dasturiy ta'minot xavfsizligini tahlil qiluvchi maxsus laboratoriyalar mavjud. Ularning xabarlari xavotirli, chunki jiddiy buzilishlar tez-tez topiladi. Haqiqiy mahsulotlardagi haqiqiy bo'shliqlarga misollar:

1. RealSecure - bu ISSning tijoriy hujumni aniqlash tizimi (IDS).

Tizim bilan ta'minlangan ba'zi DHCP imzolarini (DHCP_ACK - 7131, DHCP_Discover - 7132 va DHCP_REQUEST - 7133) qayta ishlashda RealSecure o'zini beqaror tutadi. Zararli DHCP trafigini yuborish orqali zaiflik masofaviy tajovuzkorga dasturni buzishga imkon beradi. RealSecure Network Sensor 5.0 XPU 3.4-6.5 Internet xavfsizlik tizimlarida zaiflik aniqlandi

2. Dastur: RealSecure 4.9 tarmoq-monitor

Xavf: Yuqori; ekspluatatsiya mavjudligi: Yo'q.

Tavsif: RSda bir nechta zaifliklar aniqlangan. Masofaviy foydalanuvchi qurilmaning joylashishini aniqlashi mumkin. Masofaviy foydalanuvchi qurilma konfiguratsiyasini ham belgilashi va o'zgartirishi mumkin.

Yechim: Dasturning yangilangan versiyasini o'rnating. Ishlab chiqaruvchiga murojaat qiling.

1.4 PROTOKOL TAHLILLARI, ULARNING AVZULIYLARI, XAVFLARI VA XAVFLARDAN HIMOYA QILISh USULLARI.

Protokol analizatorlari dasturiy ta'minotning alohida sinfidir, garchi ular mohiyatan tarmoq monitorlarining kichik to'plamidir. Har bir monitorda kamida bir nechta protokol analizatorlari o'rnatilgan. Agar siz tarmoq monitorlari yordamida yanada munosib tizimni amalga oshirishingiz mumkin bo'lsa, nima uchun ulardan foydalanasiz? Birinchidan, kuchli monitorni o'rnatish har doim ham tavsiya etilmaydi, ikkinchidan, har bir tashkilot minglab dollarga sotib olishga qodir emas. Ba'zida savol tug'iladi: monitorning o'zi himoya qilish uchun mo'ljallangan ma'lumotlardan qimmatroq bo'lmaydimi? Aynan shunday (yoki shunga o'xshash) hollarda protokol analizatorlari sof shaklda qo'llaniladi. Ularning roli monitorlarning roliga o'xshaydi.

Ethernet tarmog'idagi har bir kompyuterning tarmoq adapteri, qoida tariqasida, ushbu tarmoq segmentidagi qo'shnilari o'zaro "gaplashadigan" hamma narsani "eshitadi". Ammo u o'zining mahalliy xotirasiga faqat tarmoqda unga tayinlangan yagona manzilni o'z ichiga olgan ma'lumotlarning qismlarini (ramkalar deb ataladi) qayta ishlaydi va joylashtiradi. Bunga qo'shimcha ravishda, zamonaviy Ethernet adapterlarining aksariyati promiscuous deb ataladigan maxsus rejimda ishlashga imkon beradi, foydalanilganda adapter tarmoq orqali uzatiladigan barcha ma'lumotlar ramkalarini kompyuterning mahalliy xotirasiga ko'chiradi. Tarmoq adapterini noxush rejimga o'tkazadigan va keyingi tahlil qilish uchun barcha tarmoq trafigini to'playdigan maxsus dasturlar protokol analizatorlari deb ataladi.

Ikkinchisi tarmoq ma'murlari tomonidan ushbu tarmoqlarning ishlashini kuzatish uchun keng qo'llaniladi. Afsuski, protokol analizatorlari tajovuzkorlar tomonidan ham qo'llaniladi, ular ulardan boshqa odamlarning parollari va boshqa maxfiy ma'lumotlarni ushlab qolish uchun foydalanishi mumkin.

Shuni ta'kidlash kerakki, protokol analizatorlari jiddiy xavf tug'diradi. Protokol analizatori tarmoqqa tashqaridan kirgan begona shaxs tomonidan o'rnatilishi mumkin edi (masalan, agar tarmoq Internetga kirish imkoniga ega bo'lsa). Ammo bu tarmoqqa qonuniy kirish huquqiga ega bo'lgan "uyda o'sgan" tajovuzkorning ishi ham bo'lishi mumkin. Har holda, hozirgi vaziyatga jiddiy yondashish kerak. Kompyuter xavfsizligi bo'yicha mutaxassislar protokol analizatorlari yordamida kompyuterlarga hujumlarni ikkinchi darajali hujumlar deb tasniflashadi. Bu shuni anglatadiki, kompyuter xakeri allaqachon tarmoqning xavfsizlik to'siqlarini yorib o'tishga muvaffaq bo'lgan va endi o'z muvaffaqiyatini mustahkamlashga harakat qilmoqda. Protokol analizatoridan foydalanib, u foydalanuvchi loginlari va parollarini, nozik moliyaviy ma'lumotlarni (masalan, kredit karta raqamlari) va nozik aloqalarni (masalan, elektron pochta) ushlab olishga harakat qilishi mumkin. Etarli resurslarni hisobga olgan holda, kompyuter tajovuzkori, qoida tariqasida, tarmoq orqali uzatiladigan barcha ma'lumotlarni ushlab turishi mumkin.

Har bir platforma uchun protokol analizatorlari mavjud. Ammo ma'lum bir platforma uchun protokol analizatori hali yozilmaganligi ma'lum bo'lsa ham, protokol analizatori yordamida kompyuter tizimiga hujum qilish xavfini hisobga olish kerak. Gap shundaki, protokol analizatorlari ma'lum bir kompyuterni emas, balki protokollarni tahlil qiladi. Shuning uchun protokol analizatori har qanday tarmoq segmentiga o'rnatilishi va u erdan translyatsiyalar natijasida tarmoqqa ulangan har bir kompyuterga etib boradigan tarmoq trafigini ushlab turishi mumkin.

Protokol analizatorlari yordamida kompyuter xakerlari tomonidan hujumlarning eng keng tarqalgan maqsadlari universitetlardir. Agar bunday hujum paytida o'g'irlanishi mumkin bo'lgan juda ko'p turli xil login nomlari va parollari tufayli. Protokol analizatorini amalda qo'llash ko'rinadigan darajada oson ish emas. Protokol analizatoridan foydalanish uchun kompyuter tajovuzkori tarmoq texnologiyasi bo'yicha etarli bilimga ega bo'lishi kerak. Protokol analizatorini oddiygina o'rnatish va ishga tushirish mumkin emas, chunki beshta kompyuterdan iborat kichik mahalliy tarmoqda ham trafik soatiga minglab va minglab paketlarni tashkil qiladi. Va shuning uchun qisqa vaqt ichida protokol analizatorining chiqish ma'lumotlari mavjud xotirani sig'imga to'ldiradi. Shuning uchun, kompyuter tajovuzkori odatda protokol analizatorini tarmoq orqali uzatiladigan har bir paketning faqat birinchi 200-300 baytini ushlab turish uchun sozlaydi. Odatda, foydalanuvchining login nomi va paroli haqidagi ma'lumotlar paket sarlavhasida joylashgan bo'lib, bu, qoida tariqasida, tajovuzkorni eng ko'p qiziqtiradi. Biroq, agar tajovuzkorning qattiq diskida etarli joy bo'lsa, u holda tutadigan trafik hajmini oshirish faqat unga foyda keltiradi va unga juda ko'p qiziqarli narsalarni o'rganish imkonini beradi.

Tarmoq ma'muri qo'lida protokol analizatori juda foydali vosita bo'lib, unga muammolarni topish va bartaraf etish, tarmoq o'tkazuvchanligini kamaytiradigan to'siqlardan xalos bo'lish va buzg'unchilarni tezda aniqlashga yordam beradi. O'zingizni tajovuzkorlardan qanday himoya qilish kerak? Biz quyidagilarni tavsiya qilishimiz mumkin. Umuman olganda, bu maslahatlar nafaqat analizatorlarga, balki monitorlarga ham tegishli. Birinchidan, asossiz rejimda ishlamaydigan tarmoq adapterini olishga harakat qiling. Bunday adapterlar tabiatda mavjud. Ulardan ba'zilari apparat darajasida promiscuous rejimini qo'llab-quvvatlamaydi (ularning ozchiligi bor), qolganlari esa oddiygina maxsus drayver bilan jihozlangan, bu esa noxush rejimda ishlashga ruxsat bermaydi, garchi bu rejim apparatda amalga oshirilgan bo'lsa ham. Noxush rejimga ega bo'lmagan adapterni topish uchun protokol analizatorlarini sotadigan har qanday kompaniyaning texnik yordamiga murojaat qiling va ularning dasturiy paketlari qaysi adapterlar bilan ishlamasligini bilib oling. Ikkinchidan, Microsoft va Intel korporatsiyalarida tayyorlangan PC99 spetsifikatsiyasi tarmoq kartasida soxta rejimning so'zsiz mavjudligini talab qilishini hisobga olsak, tarmoq orqali uzatiladigan xabarni xotirada buferlaydigan va uni jo'natadigan zamonaviy tarmoq smart-kommutatorini sotib oling, iloji boricha, aniq manzilga. Shunday qilib, qabul qiluvchisi ushbu kompyuter bo'lgan xabarlarni olish uchun adapter barcha trafikni "tinglashi" shart emas. Uchinchidan, tarmoq kompyuterlariga protokol analizatorlarini ruxsatsiz o'rnatishni oldini olish. Bu erda siz dasturiy ta'minot xatcho'plari va, xususan, troyan dasturlari (xavfsizlik devorlarini o'rnatish) bilan kurashish uchun ishlatiladigan arsenal vositalaridan foydalanishingiz kerak.To'rtinchidan, barcha tarmoq trafigini shifrlash. Buni juda samarali va ishonchli bajarishga imkon beruvchi dasturiy paketlarning keng assortimenti mavjud. Misol uchun, elektron pochta parollarini shifrlash imkoniyati POP (Post Office Protocol) elektron pochta protokoli - APOP (Autentifikatsiya POP) protokoliga qo'shimcha tomonidan taqdim etiladi. APOP bilan ishlashda har safar tarmoq orqali yangi shifrlangan kombinatsiya uzatiladi, bu esa tajovuzkorga protokol analizatori yordamida ushlangan ma'lumotlardan amaliy foyda olishga imkon bermaydi. Yagona muammo shundaki, bugungi kunda barcha pochta serverlari va mijozlar APOPni qo'llab-quvvatlamaydi.

Secure Shell yoki qisqacha SSL deb nomlangan yana bir mahsulot dastlab afsonaviy Finlyandiya kompaniyasi SSH Communications Security (http://www.ssh.fi) tomonidan ishlab chiqilgan va hozirda Internet orqali bepul ko'plab ilovalar mavjud. SSL - shifrlash yordamida kompyuter tarmog'i orqali xabarlarni xavfsiz uzatish uchun xavfsiz protokol.

Tarmoq orqali uzatiladigan ma'lumotlarni shifrlash yo'li bilan himoya qilish uchun mo'ljallangan va PGP qisqartmasi, ya'ni Pretty Good Privacy degan ma'noni anglatadi.

Shunisi e'tiborga loyiqki, protokol analizatorlari oilasi munosib mahalliy ishlanmalarni o'z ichiga oladi. Ko'p funksiyali Observer analizatori (ProLAN tomonidan ishlab chiqilgan) yorqin misoldir.

Guruch. 5. Russian Observer analizatorining interfeysi.

Ammo, qoida tariqasida, ko'pchilik analizatorlar interfeysi ancha sodda va kamroq funktsiyalarga ega. Masalan, Ethereal dasturi.

Guruch. 6. Chet el Eter analizatorining interfeysi.

XULOSA

Tarmoq monitorlari, protokol analizatorlari kabi, kompyuter tarmoqlarini boshqarish uchun kuchli va samarali vositadir, chunki ular tarmoqning ko'plab ishlash parametrlarini, masalan, signal tezligini, to'qnashuvlar jamlangan joylarni va hokazolarni to'g'ri baholash imkonini beradi. Biroq, ular muvaffaqiyatli engib o'tadigan asosiy vazifasi - kompyuter tarmoqlariga hujumlarni aniqlash va ma'murni trafik tahlili asosida ular haqida xabardor qilish. Shu bilan birga, ushbu dasturiy vositalardan foydalanish potentsial xavf tug'dirishi mumkin, chunki ma'lumotlar monitorlar va analizatorlar orqali o'tishi sababli, ushbu ma'lumotlarni ruxsatsiz qo'lga olish amalga oshirilishi mumkin. Tizim ma'muri o'z tarmog'ini himoya qilishga etarlicha e'tibor qaratishi va kombinatsiyalangan himoya yanada samarali ekanligini unutmasligi kerak. Himoyalanishi kerak bo'lgan ma'lumotlarning haqiqiy narxiga, kirish ehtimoliga, uchinchi shaxslar uchun ma'lumotlarning qiymatiga, tayyor xavfsizlik echimlarining mavjudligi va imkoniyatlariga asoslanib, trafikni tahlil qilish dasturini tanlashda ehtiyot bo'lishingiz kerak. tashkilot byudjetidan. Yechimning vakolatli tanlovi ruxsatsiz kirish ehtimolini kamaytirishga yordam beradi va moliyalashtirish nuqtai nazaridan juda "og'ir" bo'lmaydi. Har doim esda tutishingiz kerakki, bugungi kunda mukammal xavfsizlik vositasi yo'q va bu, albatta, monitorlar va analizatorlarga tegishli. Siz doimo yodda tutishingiz kerakki, monitor qanchalik mukammal bo'lmasin, u tanib olish uchun dasturlashtirilmagan yangi turdagi tahdidlarga tayyor bo'lmaydi. Shunga ko'ra, siz nafaqat korxonangizning tarmoq infratuzilmasini himoya qilishni to'g'ri rejalashtirishingiz, balki foydalanadigan dasturiy mahsulotlarning yangilanishlarini ham doimiy ravishda kuzatib borishingiz kerak.

ADABIYOT

1. Internetga hujum qilish. I.D. Medvedkovskiy, P.V. Semyanov, D.G. Leonov. – 3-nashr, oʻchirilgan. – M.: DMK, 2000 yil

2. Microsoft Windows 2000. Administrator uchun qo'llanma. "ITProfessional" seriyasi (ingliz tilidan tarjima qilingan). U.R. Stanek. - M.: "Rus nashriyoti" nashriyoti va savdo uyi, 2002 yil.

3. Networking Essentials. E. Tittel, K. Gudson, J.M. Styuart. Per. ingliz tilidan – Sankt-Peterburg: Pyotr nashriyoti, 1999 yil

4. Dasturiy mahsulotlardagi bo'shliqlar haqidagi ma'lumotlar SecurityLab server ma'lumotlar bazasidan (www.securitylab.ru) olingan.

5. Kompyuter tarmoqlari. Nazariya va amaliyot. http://network-journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=3&pa=9&ar=1

6. Tarmoqni tahlil qilish. Maqola 2 qismdan iborat. http://www.ru-board.com/new/article.php?sid=120

7. Telekommunikatsiya atamalarining elektron lug'ati. http://europestar.ru/info/

8. Internet tarmog'iga masofaviy hujumlardan himoya qilishning apparat va dasturiy usullari. http://personal.primorye.ru/desperado/Xattack/7.2.htm

9. Tarmoq monitorida xavfsizlik. WindowsXP bo'yicha qo'llanma. http://www.soft32.ru/literature.shtml?topic=windows&book=WinXP&page=Glava16/Index0.htm&subpage=Glava16/Index52.htm

10. RealSecure monitori uchun hujjatlar. Ishlab chiqaruvchi tomonidan so'rov bo'yicha elektron shaklda taqdim etiladi.

11. Kompyuter tizimlarining xavfsizligi. Protokol analizatorlari. http://kiev-security.org.ua/box/12/130.shtml

12. Rossiyalik analizatorlar ishlab chiqaruvchisi - “ProLAN” kompaniyasining internet serveri http://www.prolan.ru/

Umumiy ma'lumot

Tarmoq analizatorlari deb ataladigan asboblar Sniffer Network Analyzer nomi bilan atalgan. Ushbu mahsulot 1988 yilda Network General (hozirgi Network Associates) tomonidan chiqarilgan va menejerlarga ish stolidan chiqmasdan katta tarmoqda nima sodir bo'layotganini tom ma'noda bilish imkonini beruvchi birinchi qurilmalardan biri edi. Birinchi analizatorlar tarmoq orqali yuborilgan ma'lumotlar paketlaridagi xabar sarlavhalarini o'qiydi va shu bilan ma'murlarga jo'natuvchi va qabul qiluvchi manzillari, fayl o'lchamlari va boshqa past darajadagi ma'lumotlar haqida ma'lumot beradi. Va bularning barchasi paketni uzatishning to'g'riligini tekshirishdan tashqari. Grafiklar va matn tavsiflaridan foydalanib, analizatorlar tarmoq ma'murlariga serverlar, tarmoq havolalari, markazlar va kalitlarni, shuningdek, ilovalarni tashxislashda yordam berdi. Taxminan aytganda, tarmoq analizatori tarmoqning ma'lum bir jismoniy segmentidan paketlarni tinglaydi yoki "sniff" qiladi. Bu sizga ma'lum naqshlar uchun trafikni tahlil qilish, muayyan muammolarni tuzatish va shubhali faoliyatni aniqlash imkonini beradi. Tarmoqqa tajovuzni aniqlash tizimi - bu antivirus dasturi kompyuterdagi fayllar bilan qilgan ishiga o'xshash zararli trafikning ma'lum namunalari ma'lumotlar bazasiga qarshi tarmoqdagi har bir paketga mos keladigan ilg'or snifferdan boshqa narsa emas. Yuqorida tavsiflangan asboblardan farqli o'laroq, analizatorlar pastroq darajada ishlaydi.

Agar biz OSI mos yozuvlar modeliga murojaat qilsak, analizatorlar ikkita pastki darajani - jismoniy va kanalni tekshiradilar.

BOS model darajasi raqami	Darajaning nomi	Protokollarga misollar
7-daraja	Ilova qatlami	DNS, FTP, HTTP, SMTP, SNMP, Telnet
6-darajali	Taqdimot qatlami
5-daraja	Sessiya darajasi
4-daraja	Transport qatlami	NetBIOS, TCP, UDP
3-daraja	Tarmoq qatlami	ARP, IP, IPX, OSPF
2-daraja	Ma'lumotlar havolasi qatlami	Arcnet, Ethernet, Token uzuk
1-darajali	Jismoniy qatlam	Koaksiyal kabel, optik tolali, o'ralgan juftlik

Jismoniy qatlam - bu tarmoqni yaratish uchun ishlatiladigan haqiqiy jismoniy simlar yoki boshqa vositalar. Ma'lumotlar havolasi qatlamida ma'lumotlar dastlab ma'lum bir vosita orqali uzatish uchun kodlanadi. Bog'lanish darajasidagi tarmoq standartlariga simsiz 802.11, Arcnet, koaksial kabel, Ethernet, Token Ring va boshqalar kiradi. Analizatorlar odatda ular ishlaydigan tarmoq turiga bog'liq. Masalan, Ethernet tarmog'idagi trafikni tahlil qilish uchun sizda Ethernet analizatori bo'lishi kerak.

Fluke, Network General va boshqalar kabi ishlab chiqaruvchilarning tijorat darajasidagi analizatorlari mavjud. Bu, odatda, o'n minglab dollarga tushadigan maxsus apparat qurilmalari. Ushbu uskuna chuqurroq tahlil qilish imkoniyatiga ega bo'lsa-da, ochiq kodli dasturiy ta'minot va arzon Intel asosidagi kompyuter yordamida arzon tarmoq analizatorini yaratish mumkin.

Analizatorlarning turlari

Hozirgi vaqtda ko'plab analizatorlar ishlab chiqarilmoqda, ular ikki turga bo'linadi. Birinchisi, mobil kompyuterda o'rnatilgan mustaqil mahsulotlarni o'z ichiga oladi. Maslahatchi mijozning ofisiga tashrif buyurganida uni o'zi bilan olib ketishi va diagnostika ma'lumotlarini yig'ish uchun tarmoqqa ulanishi mumkin.

Dastlab, tarmoq ishlashini sinash uchun mo'ljallangan portativ qurilmalar faqat kabelning texnik parametrlarini tekshirish uchun mo'ljallangan. Biroq, vaqt o'tishi bilan ishlab chiqaruvchilar o'z uskunalarini bir qator protokol analizatori funktsiyalari bilan jihozladilar. Zamonaviy tarmoq analizatorlari keng ko'lamli mumkin bo'lgan muammolarni aniqlashga qodir - kabelning jismoniy shikastlanishidan tarmoq resurslarini haddan tashqari yuklashgacha.

Ikkinchi turdagi analizator tarmoq monitoringi apparat va dasturiy ta'minotining kengroq toifasiga kiradi, bu esa tashkilotlarga mahalliy va keng tarmoq xizmatlarini, shu jumladan Internetni kuzatish imkonini beradi. Ushbu dasturlar ma'murlarga tarmoqning sog'lig'i haqida yaxlit ko'rinish beradi. Misol uchun, bunday mahsulotlar yordamida siz hozirda qaysi ilovalar ishlayotganini, qaysi foydalanuvchilar tarmoqda ro'yxatdan o'tganligini va ulardan qaysi biri trafikning asosiy qismini yaratishini aniqlashingiz mumkin.

Past darajadagi tarmoq xususiyatlarini, masalan, paketlar manbasi va ularning manzilini aniqlashdan tashqari, zamonaviy analizatorlar Ochiq tizim o'zaro aloqasi (OSI) tarmoq stekining barcha ettita qatlamida olingan ma'lumotlarni dekodlaydi va ko'pincha muammolarni bartaraf etish bo'yicha tavsiyalar beradi. Agar dastur darajasidagi tahlil adekvat tavsiyalar berishga imkon bermasa, analizatorlar quyi, tarmoq darajasida tadqiqot olib boradi.

Zamonaviy analizatorlar odatda masofaviy monitoring standartlarini (Rmon va Rmon 2) qo'llab-quvvatlaydi, ular asosiy ishlash ma'lumotlarini, masalan, mavjud resurslarga yuk haqida ma'lumotni avtomatik ravishda olishni ta'minlaydi. Rmon-ni qo'llab-quvvatlaydigan analizatorlar muntazam ravishda tarmoq komponentlarining holatini tekshirishlari va olingan ma'lumotlarni ilgari to'plangan ma'lumotlar bilan solishtirishlari mumkin. Agar kerak bo'lsa, trafik darajasi yoki ishlashi tarmoq ma'murlari tomonidan belgilangan chegaralardan oshsa, ular ogohlantirish beradi.

NetScout Systems veb-saytga kirish kanalining alohida bo'limlarida javob vaqtini kuzatish va serverlarning joriy ish faoliyatini aniqlash uchun mo'ljallangan nGenius Application Service Level Manager tizimini taqdim etdi. Ushbu ilova foydalanuvchi kompyuteridagi umumiy rasmni qayta yaratish uchun umumiy tarmoqdagi ishlashni tahlil qilishi mumkin. Daniyaning NetTest firmasi (sobiq GN Nettest) elektron biznes kompaniyalariga imkoniyatlarni rejalashtirish va tarmoq muammolarini bartaraf etishda yordam beradigan Fastnet tarmoq monitoringi tizimini taklif qila boshladi.

Konvergent (ko'p servisli) tarmoqlarni tahlil qilish

Multiservisli tarmoqlarning (konverged tarmoqlar) tarqalishi kelajakda telekommunikatsiya tizimlari va ma'lumotlarni uzatish tizimlarining rivojlanishiga hal qiluvchi ta'sir ko'rsatishi mumkin. Paket protokoli asosida yagona tarmoq infratuzilmasida ma'lumotlar, ovozli oqimlar va video ma'lumotlarini uzatish qobiliyatini birlashtirish g'oyasi telekommunikatsiya xizmatlarini ko'rsatishga ixtisoslashgan provayderlar uchun juda jozibali bo'lib chiqdi, chunki u bir zumda diapazonni sezilarli darajada kengaytirishi mumkin. ular ko'rsatadigan xizmatlar.

Korporatsiyalar konvergent IP-tarmoqlarning samaradorligi va xarajat afzalliklarini tushuna boshlaganligi sababli, tarmoq vositalari sotuvchilari buning uchun faol ravishda analizatorlarni ishlab chiqmoqdalar. Yilning birinchi yarmida ko'plab kompaniyalar IP tarmoqlari orqali ovoz uchun mo'ljallangan tarmoq boshqaruvi mahsulotlari uchun komponentlarni taqdim etdilar.

NetScout Systems kompaniyasining mahsulotlarni boshqarish bo'yicha direktori Glenn Grossman: "Konvergensiya tarmoq ma'murlari hal qilishlari kerak bo'lgan yangi murakkabliklarni yaratdi". -- Ovozli trafik vaqt kechikishlariga juda sezgir. Analizatorlar sim orqali yuborilgan har bir bit va baytni ko'rib chiqishi, sarlavhalarni sharhlashi va ma'lumotlarning ustuvorligini avtomatik ravishda aniqlashi mumkin.

Ovoz va ma'lumotlar konvergentsiyasi texnologiyalaridan foydalanish analizatorlarga qiziqishning yangi to'lqinini keltirib chiqarishi mumkin, chunki IP-paket darajasida trafik ustuvorligi ovozli va video xizmatlarining ishlashi uchun muhim bo'lib qoladi. Masalan, Sniffer Technologies kompaniyasi multiservis tarmoqlari ma'murlari uchun mo'ljallangan Sniffer Voice asboblar to'plamini chiqardi. Ushbu mahsulot nafaqat elektron pochta, Internet va ma'lumotlar bazasi trafigini boshqarish uchun an'anaviy diagnostika xizmatlarini taqdim etadi, balki tarmoq muammolarini aniqlaydi va IP tarmoqlari orqali ovozli trafikni to'g'ri uzatishni ta'minlash uchun echimlarni tavsiya qiladi.

Analizatorlardan foydalanishning salbiy tomonlari

Analizatorlar bilan bog'liq tanganing ikki tomoni borligini esga olish kerak. Ular tarmoqning ishlashini ta'minlashga yordam beradi, lekin ular xakerlar tomonidan foydalanuvchi nomlari va parollar uchun ma'lumotlar paketlarini qidirish uchun ham foydalanishlari mumkin. Analizatorlar tomonidan parolni ushlab qolishning oldini olish uchun paket sarlavhalari shifrlangan (masalan, Secure Sockets Layer standarti yordamida).

Oxir-oqibat, global yoki korporativ tarmoqda nima sodir bo'layotganini tushunish kerak bo'lgan holatlarda tarmoq analizatoriga alternativa yo'q. Yaxshi analizator sizga tarmoq segmentining sog'lig'ini tushunishga va trafik hajmini aniqlashga, shuningdek, ushbu hajm kun davomida qanday o'zgarishini, qaysi foydalanuvchilar eng og'ir yukni yaratishini va qaysi holatlarda trafikni taqsimlashda muammolar mavjudligini aniqlashga imkon beradi. tarmoqli kengligi tanqisligi. Analizatordan foydalanish tufayli ma'lum bir davr uchun tarmoq segmentidagi barcha ma'lumotlarni olish va tahlil qilish mumkin.

Biroq, tarmoq analizatorlari qimmat. Agar siz sotib olishni rejalashtirmoqchi bo'lsangiz, avval undan nimani kutayotganingizni aniqlang.

Tarmoq analizatorlaridan foydalanish xususiyatlari

Tarmoq analizatorlarini axloqiy va samarali ishlatish uchun quyidagi ko'rsatmalarga rioya qilish kerak.

Ruxsat har doim talab qilinadi

Tarmoq tahlili, boshqa ko'plab xavfsizlik funktsiyalari kabi, noto'g'ri foydalanish imkoniyatiga ega. Hamma narsani ushlab turish tarmoq orqali uzatiladigan ma'lumotlardan foydalanib, siz turli xil tizimlar uchun parollarni, elektron pochta xabarlari tarkibini va boshqa muhim ma'lumotlarni, ham ichki, ham tashqi ma'lumotlarni josuslik qilishingiz mumkin, chunki aksariyat tizimlar mahalliy tarmoqdagi trafiklarini shifrlamaydi. Agar bunday ma'lumotlar noto'g'ri qo'llarga tushsa, bu jiddiy xavfsizlik buzilishiga olib kelishi mumkin. Bu, shuningdek, xodimlarning shaxsiy hayotining buzilishi bo'lishi mumkin. Avvalo, bunday faoliyatni boshlashdan oldin siz rahbariyatdan yozma ruxsat olishingiz kerak, yaxshisi yuqori boshqaruv. Shuningdek, ma'lumotlar olingandan keyin nima qilish kerakligini ko'rib chiqishingiz kerak. Parollarga qo'shimcha ravishda, bu boshqa maxfiy ma'lumotlar bo'lishi mumkin. Umumiy qoida sifatida, agar jinoiy yoki fuqarolik ta'qibi uchun kerak bo'lmasa, tarmoq tahlillari jurnallari tizimdan tozalanishi kerak. Yaxshi niyatli tizim ma'murlari ma'lumotlarni ruxsatsiz ushlash uchun ishdan bo'shatilishining hujjatlashtirilgan pretsedentlari mavjud.

Tarmoq topologiyasini tushunishingiz kerak

Analizatorni o'rnatishdan oldin ushbu tarmoqning jismoniy va mantiqiy tashkil etilishini to'liq tushunish kerak. Tarmoqda noto'g'ri joyda tahlil qilish orqali siz olishingiz mumkin noto'g'ri natijalar yoki oddiygina kerakli narsani topa olmaslik. Tahlil qiluvchi ish stantsiyasi va kuzatuv joyi o'rtasida marshrutizatorlar yo'qligini tekshirish kerak. Routerlar trafikni tarmoq segmentiga yo'naltiradi, agar u erda joylashgan tugunga qo'ng'iroq bo'lsa. Xuddi shunday, kommutatsiya qilingan tarmoqda siz ulanayotgan portni "monitor" yoki "oyna" porti sifatida sozlashingiz kerak bo'ladi. Turli ishlab chiqaruvchilar turli terminologiyadan foydalanadilar, lekin aslida port kommutator emas, balki markaz vazifasini bajarishi kerak, chunki u faqat ish stantsiyasiga yo'naltirilgan emas, balki kalit orqali o'tayotgan barcha trafikni ko'rishi kerak. Ushbu sozlamasiz monitor porti faqat o'zi ulangan portga nima yo'naltirilganligini va tarmoq translyatsiyasini ko'radi.

Qattiq qidiruv mezonlaridan foydalanish kerak

Nimani topmoqchi ekanligingizga qarab, ochiq filtrdan foydalanish (ya'ni hamma narsani ko'rsatish) chiqishni katta va tahlil qilishni qiyinlashtiradi. Analizator ishlab chiqaradigan mahsulotni kamaytirish uchun maxsus qidiruv mezonlaridan foydalanish yaxshiroqdir. Nimani qidirishni aniq bilmasangiz ham, qidiruv natijalarini cheklash uchun filtr yozishingiz mumkin. Agar siz ichki mashinani topishingiz kerak bo'lsa, faqat ma'lum bir tarmoq ichidagi manba manzillariga qarash uchun mezonlarni belgilash to'g'ri bo'ladi. Agar ma'lum bir trafik turini, masalan, FTP trafigini kuzatishingiz kerak bo'lsa, natijalarni faqat ilova tomonidan ishlatiladigan portga kiradigan narsalar bilan cheklashingiz mumkin. Buni amalga oshirish orqali siz sezilarli darajada yaxshi tahlil natijalariga erishishingiz mumkin.

Tarmoq mos yozuvlar holatini sozlash

Oddiy ish paytida tarmoq analizatoridan foydalanish , va yakuniy natijalarni qayd etish orqali muammoni ajratishga urinishlar paytida olingan natijalar bilan solishtirish mumkin bo'lgan mos yozuvlar holatiga erishiladi. Quyida muhokama qilingan Ethereal analizatori buning uchun ba'zi qulay hisobotlarni ishlab chiqaradi. Vaqt o'tishi bilan tarmoqdan foydalanishni kuzatish uchun ba'zi ma'lumotlar ham olinadi. Ushbu ma'lumotlardan foydalanib, siz tarmoq qachon to'yinganligini va buning asosiy sabablari nima ekanligini aniqlashingiz mumkin - haddan tashqari yuklangan server, foydalanuvchilar sonining ko'payishi, trafik turining o'zgarishi va boshqalar. Agar boshlang'ich nuqtasi bo'lsa, kim nima uchun aybdor ekanligini tushunish osonroq.