TARMOQ TRAFIKLARINI TAHLIL VA MONITORING DASTURLARI HAQIDA QILISH
A.I. KOSTROMITSKIY, t.f.n. texnologiya. Fanlar, V.S. DRL
Kirish
Trafik monitoringi tarmoqni samarali boshqarish uchun juda muhimdir. Bu mablag'larni taqsimlash, hisoblash quvvatini rejalashtirish, nosozliklarni aniqlash va mahalliylashtirish, xavfsizlik masalalarini hal qilishda hisobga olinadigan korporativ ilovalarning ishlashi haqida ma'lumot manbai.
Juda uzoq bo'lmagan o'tmishda yo'l harakati monitoringi nisbatan oddiy vazifa edi. Qoida tariqasida, kompyuterlar shina topologiyasi asosida tarmoqqa ulangan, ya'ni ular umumiy uzatish muhitiga ega edi. Bu bitta qurilmani tarmoqqa ulash imkonini berdi, uning yordamida barcha trafikni kuzatish mumkin edi. Biroq, tarmoq sig'imini oshirishga bo'lgan talablar va kommutatorlar va marshrutizatorlar narxining pasayishiga olib kelgan paketli kommutatsiya texnologiyalarining rivojlanishi umumiy mediadan yuqori segmentlangan topologiyalarga tez o'tishga olib keldi. Umumiy trafikni endi bir nuqtadan ko'rib bo'lmaydi. To'liq tasvirni olish uchun har bir portni kuzatishingiz kerak. Nuqtadan nuqtaga ulanishdan foydalanish qurilmalarni ulashni noqulay qiladi va barcha portlarni tinglash uchun juda ko'p qurilmalarni talab qiladi, bu juda qimmat vazifaga aylanadi. Bundan tashqari, kommutatorlar va marshrutizatorlarning o'zlari murakkab arxitekturaga ega va paketlarni qayta ishlash va uzatish tezligi tarmoq ishlashini aniqlashda muhim omilga aylanadi.
Hozirgi ilmiy vazifalardan biri zamonaviy multiservis tarmoqlarida o'ziga o'xshash trafik strukturasini tahlil qilish (va keyingi bashorat qilish) hisoblanadi. Ushbu muammoni hal qilish uchun mavjud tarmoqlarda turli xil statistik ma'lumotlarni (tezlik, uzatiladigan ma'lumotlar hajmi va boshqalar) to'plash va keyinchalik tahlil qilish kerak. Bunday statistik ma'lumotlarni u yoki bu shaklda to'plash turli xil dasturiy vositalar yordamida mumkin. Biroq, amalda turli xil vositalardan foydalanishda juda muhim bo'lgan qo'shimcha parametrlar va sozlamalar to'plami mavjud.
Turli tadqiqotchilar tarmoq trafigini kuzatish uchun turli dasturlardan foydalanadilar. Masalan, , tadqiqotchilar Ethreal tarmoq trafigining (Wireshark) analizatori (sniffer) dasturidan foydalanganlar.
Ko'rib chiqishda , , da mavjud bo'lgan dasturlarning bepul versiyalari kiritilgan.
1. Tarmoq trafigini monitoring qilish dasturlariga umumiy nuqtai
Biz o'nga yaqin trafik analizatori dasturlarini (snifferlar) va tarmoq trafigini monitoring qilish uchun o'ndan ortiq dasturlarni ko'rib chiqdik, ulardan to'rttasini eng qiziqarlilarini tanladik, bizning fikrimizcha va ularning asosiy imkoniyatlari haqida umumiy ma'lumotni taqdim etamiz.
1) BMextreme(1-rasm).
Bu taniqli Bandwidth Monitor dasturining yangi nomi. Ilgari dastur bepul tarqatilgan bo'lsa, endi uning uchta versiyasi mavjud va faqat asosiysi bepul. Ushbu versiya trafik monitoringining o'zidan boshqa xususiyatlarni taqdim etmaydi, shuning uchun uni boshqa dasturlarga raqobatchi deb hisoblash qiyin. Odatiy bo'lib, BMExtreme ham Internet-trafikni, ham mahalliy tarmoqdagi trafikni kuzatib boradi, ammo agar kerak bo'lsa, LANdagi monitoringni o'chirib qo'yish mumkin.
Guruch. 1
2) BWmetr(2-rasm).
Ushbu dasturda bitta emas, ikkita trafikni kuzatish oynasi mavjud: biri Internetdagi, ikkinchisi esa mahalliy tarmoqdagi faoliyatni ko'rsatadi.
Guruch. 2
Dasturda trafikni kuzatish uchun moslashuvchan sozlamalar mavjud. Uning yordami bilan siz Internetda ma'lumotlarni qabul qilish va uzatishni faqat ushbu kompyuterdan yoki mahalliy tarmoqqa ulangan barcha kompyuterlardan kuzatishingiz kerakmi yoki yo'qligini aniqlashingiz, IP-manzillar, portlar va protokollar oralig'ini belgilashingiz mumkin. amalga oshirilmaydi. Bundan tashqari, siz ma'lum soatlar yoki kunlarda trafikni kuzatishni o'chirib qo'yishingiz mumkin. Tizim ma'murlari, albatta, mahalliy tarmoqdagi kompyuterlar o'rtasida trafikni taqsimlash qobiliyatini qadrlashadi. Shunday qilib, har bir shaxsiy kompyuter uchun ma'lumotlarni qabul qilish va uzatishning maksimal tezligini o'rnatishingiz mumkin, shuningdek, bir marta bosish bilan tarmoq faoliyatini taqiqlashingiz mumkin.
Juda miniatyura hajmiga qaramay, dastur juda ko'p turli xil imkoniyatlarga ega, ulardan ba'zilari quyidagicha ifodalanishi mumkin:
Har qanday tarmoq interfeyslarini va har qanday tarmoq trafigini kuzatish.
Trafikning istalgan qismi hajmini - ma'lum bir yo'nalishdagi ma'lum bir saytgacha yoki kunning ma'lum bir vaqtida mahalliy tarmoqdagi har bir mashinadan keladigan trafikni hisoblash imkonini beruvchi kuchli filtr tizimi.
Tanlangan filtrlar asosida sozlanishi mumkin bo'lgan tarmoq ulanishi faolligi grafiklarining cheksiz soni.
Har qanday filtrda trafik oqimini boshqarish (cheklash, pauza qilish).
Eksport funksiyasiga ega qulay statistika tizimi (bir soatdan bir yilgacha).
BWMeter yordamida masofaviy kompyuterlar statistikasini ko'rish imkoniyati.
Muayyan voqea sodir bo'lganda ogohlantirish va bildirishnomalarning moslashuvchan tizimi.
Maksimal sozlash imkoniyatlari, shu jumladan. ko'rinish.
Xizmat sifatida ishga tushirish imkoniyati.
3) Bandwidth Monitor Pro(3-rasm).
Uning ishlab chiquvchilari trafikni kuzatish oynasini o'rnatishga katta e'tibor berishdi. Birinchidan, dastur doimiy ravishda ekranda qanday ma'lumotlarni ko'rsatishini aniqlashingiz mumkin. Bu bugungi kunda va har qanday belgilangan vaqt oralig'ida qabul qilingan va uzatilgan ma'lumotlarning miqdori (ham alohida, ham jami), o'rtacha, joriy va maksimal ulanish tezligi bo'lishi mumkin. Agar sizda bir nechta tarmoq adapterlari o'rnatilgan bo'lsa, ularning har biri uchun statistikani alohida kuzatishingiz mumkin. Shu bilan birga, har bir tarmoq kartasi uchun kerakli ma'lumotlar monitoring oynasida ham ko'rsatilishi mumkin.
Guruch. 3
Bu erda juda muvaffaqiyatli amalga oshirilgan xabarnoma tizimini alohida ta'kidlash kerak. Belgilangan shartlar bajarilganda siz dasturning harakatini sozlashingiz mumkin, bu ma'lum vaqt oralig'ida ma'lum miqdordagi ma'lumotlarni uzatish, maksimal yuklab olish tezligiga erishish, ulanish tezligini o'zgartirish va h.k. bo'lishi mumkin. Agar bir nechta foydalanuvchi ishlayotgan bo'lsa. kompyuter va siz umumiy trafikni kuzatishingiz kerak, dastur xizmat sifatida ishga tushirilishi mumkin. Bunday holda, Bandwidth Monitor Pro o'z loginlari ostida tizimga kirgan barcha foydalanuvchilarning statistikasini to'playdi.
4) DUTtrafik(4-rasm).
DUTraffic barcha ko'rib chiqish dasturlaridan bepul maqomi bilan ajralib turadi.
Guruch. 4
Tijoriy hamkasblari singari, DUTraffic ham ma'lum shartlar bajarilganda turli harakatlarni amalga oshirishi mumkin. Masalan, o'rtacha yoki joriy yuklab olish tezligi belgilangan qiymatdan past bo'lsa, Internet seansining davomiyligi belgilangan soatlardan oshib ketganda, u audio faylni ijro etishi, xabarni ko'rsatishi yoki Internetga ulanishni uzishi mumkin. ma'lumotlar miqdori uzatildi. Bundan tashqari, turli xil harakatlar tsiklik ravishda amalga oshirilishi mumkin, masalan, dastur har safar ma'lum miqdordagi ma'lumotlarning uzatilishini aniqlaganda. DUTraffic-dagi statistika har bir foydalanuvchi va har bir Internet ulanishi uchun alohida yuritiladi. Dastur tanlangan vaqt davri uchun umumiy statistik ma'lumotlarni ham, tezlik, uzatilgan va qabul qilingan ma'lumotlar miqdori va har bir seans uchun moliyaviy xarajatlar haqidagi ma'lumotlarni ko'rsatadi.
5) Kaktuslarni kuzatish tizimi(5-rasm).
Cacti ochiq manbali veb-ilovadir (o'rnatish fayli yo'q). Kaktuslar ma'lum vaqt oralig'ida statistik ma'lumotlarni to'playdi va ularni grafik tarzda ko'rsatishga imkon beradi. Tizim RRDtool yordamida grafiklarni yaratish imkonini beradi. Asosan standart andozalar protsessor yuklanishi, operativ xotira taqsimoti, ishlayotgan jarayonlar soni va kiruvchi/chiquvchi trafikdan foydalanish statistikasini ko‘rsatish uchun ishlatiladi.
Tarmoq qurilmalaridan to'plangan statistik ma'lumotlarni ko'rsatish interfeysi daraxt ko'rinishida taqdim etiladi, uning tuzilishi foydalanuvchi tomonidan belgilanadi. Qoida tariqasida, grafikalar ma'lum mezonlarga ko'ra guruhlanadi va bir xil grafik daraxtning turli shoxlarida bo'lishi mumkin (masalan, serverning tarmoq interfeysi orqali trafik - kompaniyaning Internet-trafigining umumiy rasmiga bag'ishlangan, va berilgan qurilmaning parametrlari bilan filialda) . Oldindan tuzilgan diagramma to'plamini ko'rish imkoniyati mavjud va oldindan ko'rish rejimi mavjud. Grafiklarning har birini alohida ko'rish mumkin va u oxirgi kun, hafta, oy va yil uchun taqdim etiladi. Jadval tuziladigan vaqtni mustaqil ravishda tanlash mumkin va buni kalendar parametrlarini belgilash yoki sichqoncha yordamida undagi ma'lum bir maydonni tanlash orqali amalga oshirish mumkin.
1-jadval
|
Sozlamalar/Dasturlar |
BMextreme |
BWmetr |
Bandwidth Monitor Pro |
DUTtrafik |
Kaktuslar |
|
O'rnatish fayli hajmi |
473 KB |
1,91 MB |
1,05 MB |
1,4 MB |
|
|
Interfeys tili |
rus |
rus |
Ingliz |
rus |
Ingliz |
|
Tezlik grafigi |
|||||
|
Trafik grafigi |
|||||
|
Eksport/import (eksport fayl formati) |
–/– |
(*. csv) |
–/– |
–/– |
(*.xls) |
|
Min -ma'lumotlar hisobotlari orasidagi vaqt bosqichi |
5 daqiqa. |
1 sek. |
1 min. |
1 sek. |
1 sek. |
|
O'zgartirish imkoniyati min |
|||||
2. Tarmoq trafigini tahlil qilish dasturlarini ko'rib chiqish (snifferlar)
Trafik analizatori yoki sniffer - bu tarmoq trafigi analizatori, boshqa tugunlar uchun mo'ljallangan tarmoq trafigini ushlab turish va keyinchalik tahlil qilish yoki faqat tahlil qilish uchun mo'ljallangan dastur yoki apparat va dasturiy qurilma.
Sniffer orqali o'tgan trafikni tahlil qilish sizga quyidagilarga imkon beradi:
Parollar va boshqa ma'lumotlarni olish uchun har qanday shifrlanmagan (va ba'zan shifrlangan) foydalanuvchi trafikini to'xtating.
Tarmoq xatosi yoki tarmoq agenti konfiguratsiyasi xatosini toping (snifferlar ko'pincha bu maqsadda tizim ma'murlari tomonidan qo'llaniladi).
"Klassik" snifferda trafik tahlili faqat eng oddiy avtomatlashtirish vositalaridan (protokol tahlili, TCP oqimini tiklash) qo'lda amalga oshirilganligi sababli, u faqat kichik hajmlarni tahlil qilish uchun javob beradi.
1) Wireshark(ilgari Ethereal).
Ethernet kompyuter tarmoqlari va boshqalar uchun trafik analizatori dasturi. Grafik foydalanuvchi interfeysiga ega. Wireshark - bu turli xil tarmoq protokollarining tuzilishini "biladigan" dastur bo'lib, shuning uchun har bir protokol maydonining ma'nosini istalgan darajadagi ko'rsatuvchi tarmoq paketini tahlil qilish imkonini beradi. Pcap paketlarni yozib olish uchun ishlatilganligi sababli, ma'lumotlarni faqat ushbu kutubxona tomonidan qo'llab-quvvatlanadigan tarmoqlardan olish mumkin. Biroq, Wireshark turli xil kirish ma'lumotlar formatlarini boshqarishi mumkin, shuning uchun siz boshqa dasturlar tomonidan olingan ma'lumotlar fayllarini ochishingiz va suratga olish imkoniyatlarini kengaytirishingiz mumkin.
2) IrisTarmoqYo'l harakatiAnalizator.
Paketlarni yig'ish, filtrlash va qidirish, shuningdek, hisobotlarni yaratishning standart funktsiyalariga qo'shimcha ravishda, dastur ma'lumotlarni qayta tiklash uchun noyob imkoniyatlarni taqdim etadi. Iris Network Traffic Analyzer turli veb-resurslar bilan foydalanuvchi sessiyalarini batafsil ko'paytirishga yordam beradi va hatto cookie-fayllar yordamida xavfsiz veb-serverlarga kirish uchun parollarni yuborishni taqlid qilishga imkon beradi. Shifrni hal qilish modulida amalga oshirilgan noyob ma'lumotlarni qayta qurish texnologiyasi to'plangan yuzlab ikkilik tarmoq paketlarini tanish elektron pochta, veb-sahifalar, ICQ xabarlari va boshqalarga aylantiradi. eEye Iris sizga veb-pochta va tezkor xabar almashish dasturlaridan shifrlanmagan xabarlarni ko'rish imkonini beradi, mavjud imkoniyatlarni kengaytiradi. monitoring va audit vositalari.
eEye Iris paket analizatori sana va vaqt, xaker va jabrlanuvchi kompyuterlarining IP manzillari va DNS nomlari hamda foydalanilgan portlar kabi hujumning turli tafsilotlarini olish imkonini beradi.
3) EthernetInternettirbandlikStatistika.
Ethernet Internet-trafik Statistikasi qabul qilingan va olingan ma'lumotlar miqdorini (baytlarda - jami va oxirgi sessiya uchun), shuningdek ulanish tezligini ko'rsatadi. Aniqlik uchun to'plangan ma'lumotlar real vaqtda grafikda ko'rsatiladi. O'rnatmasdan ishlaydi, interfeysi rus va ingliz tillarida.
Tarmoq faolligi darajasini kuzatish uchun yordamchi dastur - qabul qilingan va qabul qilingan ma'lumotlar miqdorini ko'rsatadi, sessiya, kun, hafta va oy statistikasini yuritadi.
4) CommTraffic.
Bu modem (dial-up) yoki maxsus ulanish orqali Internet-trafik statistikasini yig'ish, qayta ishlash va ko'rsatish uchun tarmoq yordam dasturi. Mahalliy tarmoq segmentini kuzatishda CommTraffic segmentdagi har bir kompyuter uchun Internet-trafikni ko'rsatadi.
CommTraffic tarmoqning ishlash statistikasini grafiklar va raqamlar ko'rinishida ko'rsatadigan oson sozlanishi, foydalanuvchilarga qulay interfeysni o'z ichiga oladi.
jadval 2
|
Sozlamalar/Dasturlar |
Wireshark |
Iris Tarmoq trafik tahlilchisi |
Ethernet Internet-trafik statistikasi |
CommTraffic |
|
O'rnatish fayli hajmi |
17,4 MB |
5,04 MB |
651 KB |
7,2 MB |
|
Interfeys tili |
Ingliz |
rus |
Ingliz rus |
rus |
|
Tezlik grafigi |
||||
|
Trafik grafigi |
||||
|
Eksport/import (eksport fayl formati) |
+/– (*.txt, *.px, *.csv, *.psml, *.pdml, *.c) |
–/– |
–/– |
–/– |
|
Talab bo'yicha monitoringni amalga oshiring |
||||
|
Min -ma'lumotlar hisobotlari orasidagi vaqt bosqichi |
0,001 sek. |
1 sek. |
1 sek. |
1 sek. |
|
O'zgartirish imkoniyati min -ma'lumotlar hisobotlari orasidagi bosqich |
Xulosa
Umuman olganda, ko'pchilik uy foydalanuvchilari Bandwidth Monitor Pro taqdim etadigan imkoniyatlardan qoniqish hosil qiladi, deb aytishimiz mumkin. Agar tarmoq trafigini kuzatish uchun eng funktsional dastur haqida gapiradigan bo'lsak, bu, albatta, BWMeter.
Ko'rib chiqilgan tarmoq trafigini tahlil qilish dasturlari orasida men ko'proq funksionallikka ega Wireshark-ni ta'kidlamoqchiman.
Cacti monitoring tizimi tarmoq trafigini ilmiy maqsadlarda tadqiq qilishda qo'yiladigan ortib borayotgan talablarga maksimal darajada javob beradi. Kelajakda maqola mualliflari Xarkov Milliy Radioelektronika Universitetining Aloqa tarmoqlari bo'limining korporativ multiservis tarmog'idagi trafikni yig'ish va dastlabki tahlil qilish uchun ushbu tizimdan foydalanishni rejalashtirmoqda.
Adabiyotlar ro'yxati
Platov V.V., Petrov V.V. Simsiz tarmoqdagi teletrafikning o'ziga o'xshash tuzilishini o'rganish // Radiotexnika daftarlari. M.: OKB MPEI. 2004 yil. № 3. 58-62-betlar.
Petrov V.V. Teletrafik tuzilmasi va o'ziga o'xshashlik effekti ta'sirida xizmat ko'rsatish sifatini ta'minlash algoritmi. Texnika fanlari nomzodi ilmiy darajasini olish uchun dissertatsiya, 05.12.13, Moskva, 2004, 199 b.
Ba'zi hollarda tarmoq trafigini tahlil qilish xost va tarmoq segmentlarining tarmoq stekining ishlashidagi muammolarni aniqlash uchun ishlatiladi. Uzatilgan kadrlar, tarmoq paketlari, tarmoq ulanishlari, datagrammalar va dastur protokollari darajasida tarmoqning ishlashini ko'rsatish (tinglash) va tahlil qilish imkonini beruvchi vositalar mavjud..
ga qarab Vaziyat, diagnostika uchun tarmoq trafigini tinglayotgan tugunning trafigini ham, tarmoq segmenti, marshrutizator porti va boshqalarning trafigini ham mavjud bo'lishi mumkin.. Kengaytirilgan trafikni ushlab turish imkoniyatlariga asoslanadi "fotosh" rejimi tarmoq adapterining ishlashi: barcha kadrlar qayta ishlanadi (nafaqat ma'lum bir MAC manzili va oddiy ishda bo'lgani kabi translyatsiya uchun mo'ljallangan).
Ethernet tarmog'ida trafikni tinglash uchun quyidagi asosiy imkoniyatlar mavjud:
- Hubga asoslangan tarmoqda barcha to'qnashuvli domen trafiği har qanday tarmoq stantsiyasida mavjud.
- Tarmoq stansiyasi kommutatorlariga asoslangan tarmoqlarda uning trafigi, shuningdek, ushbu segmentning barcha translyatsiya trafigi mavjud.
- Ba'zi boshqariladigan kalitlar trafikni ma'lum bir portdan monitoring portiga nusxalash imkoniyatiga ega(“ko‘zgu”, port monitoringi).
- Tarmoq ulanishiga kiritilgan maxsus vositalardan (ulagichlardan) foydalanish uzilib, ulanish trafigini alohida portga uzatadi.
- Hub bilan "hiyla"- trafigi tinglanishi kerak bo'lgan kommutator porti hub orqali yoqiladi, shuningdek monitor tugunini markazga ulaydi (bu holda, ko'p hollarda tarmoq ulanishining ishlashi kamayadi).
dasturlari bor ( tarmoq monitorlari yoki analizatorlari, sniffer), tarmoq trafigini tinglash (shu jumladan noxush rejimda), uni ko'rsatish yoki faylga yozish funktsiyasini amalga oshiradi. Bundan tashqari, tahlil dasturi qoidalar asosida trafikni filtrlashi, protokollarni dekodlash (deshifrlash), statistikani o'qish va ba'zi muammolarni tashxislashi mumkin.
Eslatma: Tarmoq trafigini tahlil qilish uchun asosiy vositaning yaxshi tanlovi grafik muhit bepul paket hisoblanadi wireshark[43], Windows uchun va ba'zi Linux distributivlarining omborlarida mavjud.
tcpdump yordam dasturi
Tcpdump konsol yordam dasturi ko'pchilik Unix tizimlariga kiritilgan va tarmoq trafigini ushlab turish va ko'rsatish imkonini beradi [44]. Yordamchi dastur tarmoq trafigini yozib olish uchun portativ C/C++ kutubxonasi bo'lgan libpcap-dan foydalanadi.
Debian-ga tcpdump-ni o'rnatish uchun quyidagi buyruqdan foydalanishingiz mumkin:
# apt-get o'rnatish tcpdump
Ushbu yordam dasturini ishga tushirish uchun siz huquqlarga ega bo'lishingiz kerak superfoydalanuvchi(xususan, tarmoq adapterini "fotosh" rejimiga o'tkazish zarurati tufayli). Umuman olganda, buyruq formati quyidagicha:
tcpdump<опции> <фильтр-выражение>
Konsol chiqishi uchun sarlavha tavsifi ushlangan paketlarning (shifrlangan ma'lumotlari) trafikni tahlil qilish uchun interfeysni ko'rsatishingiz kerak (variant -i):
# tcpdump -i eth0
Siz IP manzillarini domen nomlariga aylantirishni o'chirib qo'yishingiz mumkin (chunki katta hajmdagi trafik DNS serveriga ko'p sonli so'rovlarni yaratadi) - variant -n:
# tcpdump -n -i eth0
Ulanish darajasidagi ma'lumotlarni chiqarish uchun (masalan, mac manzillari va boshqalar) -e opsiyasidan foydalaning:
# tcpdump -en -i eth0
Qo'shimcha ma'lumotlarni chop eting (masalan, TTL, IP opsiyalari) -v varianti:
# tcpdump -ven -i eth0
Olingan paketlar hajmini oshirish (sukut bo'yicha 68 baytdan ortiq) - hajmini ko'rsatadigan -s varianti (-s 0 - butun paketlarni qo'lga olish):
Faylga yozish (to'g'ridan-to'g'ri paketlar - "dump") - fayl nomini ko'rsatadigan variant -w:
# tcpdump -w traf.dump
Paketlarni fayldan o'qish - variant - r fayl nomini ko'rsatish:
# tcpdump -r traf.dump
Odatiy bo'lib, tcpdump promiscuous rejimda ishlaydi. -p kaliti tcpdump-ga faqat ushbu xost uchun mo'ljallangan trafikni ushlab turishni aytadi.
tcpdump filtri kalitlari va formati haqida qo'shimcha ma'lumot olish uchun ma'lumotnoma qo'llanmasiga qarang (man tcpdump).
tcpdump yordamida tarmoq interfeysi darajasida va tarmoq darajasida trafikni tahlil qilish
Ethernet ramkalarini ajratish uchun quyidagi tcpdump konstruksiyalari qo'llaniladi (umumiy ko'rinish):
tcpdump efir ( src | dst | xost ) MAC_ADDRESS
bu erda src manba MAC manzili, dst- maqsad MAC manzili, xost - src yoki dst, shuningdek, translyatsiya trafigini ta'kidlash uchun.
Packet sniffing - bu tarmoq trafigini tahlil qilish san'atiga ishora qiluvchi so'zlashuv atamasi. Ommabop e'tiqoddan farqli o'laroq, elektron pochta va veb-sahifalar kabi narsalar Internet bo'ylab bir parcha sayohat qilmaydi. Ular minglab kichik ma'lumotlar paketlariga bo'linadi va shu tariqa Internet orqali yuboriladi. Ushbu maqolada biz eng yaxshi bepul tarmoq analizatorlari va paketli snifferlarni ko'rib chiqamiz.
Tarmoq trafigini to'playdigan ko'plab yordamchi dasturlar mavjud va ularning ko'pchiligi pcap (Unix-ga o'xshash tizimlarda) yoki libcap (Windows-da) o'z yadrolaridan foydalanadi. Yordamchi dasturning yana bir turi ushbu ma'lumotlarni tahlil qilishga yordam beradi, chunki hatto kichik miqdordagi trafik ham harakat qilish qiyin bo'lgan minglab paketlarni yaratishi mumkin. Ushbu yordamchi dasturlarning deyarli barchasi ma'lumotlarni yig'ishda bir-biridan kam farq qiladi, asosiy farqlar ma'lumotlarni tahlil qilishda.
Tarmoq trafigini tahlil qilish tarmoq qanday ishlashini tushunishni talab qiladi. Analitikning tarmoq asoslari haqidagi bilimlarini sehrli tarzda almashtira oladigan vosita yo'q, masalan, ikkita qurilma o'rtasida ulanishni boshlash uchun ishlatiladigan TCP "3 tomonlama qo'l siqish". Tahlilchilar, shuningdek, ARP va DHCP kabi normal faoliyat ko'rsatadigan tarmoqdagi tarmoq trafigining turlari haqida bir oz tushunchaga ega bo'lishlari kerak. Bu bilim juda muhim, chunki analitik vositalar sizga ulardan nima qilishni so'raganingizni ko'rsatib beradi. Nima so'rashni o'zingiz hal qilasiz. Tarmog'ingiz odatda qanday ko'rinishini bilmasangiz, to'plangan paketlar massasida kerakli narsani topganingizni bilish qiyin bo'lishi mumkin.
Eng yaxshi paketli snifferlar va tarmoq analizatorlari
Sanoat asboblari
Keling, yuqoridan boshlaylik, keyin esa asoslarga o'tamiz. Agar siz korporativ darajadagi tarmoq bilan ishlayotgan bo'lsangiz, sizga katta qurol kerak bo'ladi. Garchi deyarli hamma narsa tcpdump dan foydalansa-da (bu haqda keyinroq), korporativ darajadagi vositalar bir nechta serverlardan trafikni o'zaro bog'lash, muammolarni aniqlash uchun aqlli so'rovlarni taqdim etish, istisnolar haqida ogohlantirish va yaxshi grafiklarni yaratish kabi murakkab muammolarni hal qilishi mumkin. boshliqlar doimo talab qiladigan narsa.
Korxona darajasidagi vositalar odatda paketlar mazmunini baholashdan ko'ra tarmoq trafigini oqimlash uchun mo'ljallangan. Bu bilan shuni nazarda tutmoqchimanki, korxonadagi aksariyat tizim ma'murlarining asosiy e'tibori tarmoqda ishlashda to'siqlar bo'lmasligini ta'minlashdan iborat. Bunday to'siqlar paydo bo'lganda, maqsad odatda muammo tarmoq yoki tarmoqdagi dastur tomonidan kelib chiqqanligini aniqlashdir. Boshqa tomondan, ushbu vositalar odatda shu qadar ko'p trafikni boshqarishi mumkinki, ular tarmoq segmenti qachon to'liq yuklanishini taxmin qilishga yordam beradi, bu tarmoq o'tkazish qobiliyatini boshqarishda muhim nuqtadir.
Bu IT boshqaruv vositalarining juda katta to'plami. Ushbu maqolada uning tarkibiy qismi bo'lgan Deep Packet Inspection and Analysis yordam dasturi ko'proq mos keladi. Tarmoq trafigini yig'ish juda oddiy. WireShark kabi vositalar bilan asosiy tahlil qilish ham muammo emas. Ammo vaziyat har doim ham to'liq aniq emas. Juda band tarmoqda hatto juda oddiy narsalarni ham aniqlash qiyin bo'lishi mumkin, masalan:
Tarmoqdagi qaysi ilova ushbu trafikni yaratmoqda?
- agar ilova ma'lum bo'lsa (aytaylik, veb-brauzer), uning foydalanuvchilari ko'p vaqtlarini qayerda o'tkazadilar?
- qaysi ulanishlar eng uzun va tarmoqni ortiqcha yuklaydi?
Aksariyat tarmoq qurilmalari paket kerakli joyga borishiga ishonch hosil qilish uchun har bir paketning metamaʼlumotlaridan foydalanadi. Paket tarkibi tarmoq qurilmasiga noma'lum. Yana bir narsa - paketlarni chuqur tekshirish; bu paketning haqiqiy tarkibi tekshirilganligini anglatadi. Shu tarzda, metama'lumotlardan olinmaydigan muhim tarmoq ma'lumotlarini topish mumkin. SolarWinds tomonidan taqdim etilgan vositalar shunchaki trafik oqimidan ko'ra ko'proq mazmunli ma'lumotlarni taqdim etishi mumkin.
Ma'lumotlarni ko'p talab qiladigan tarmoqlarni boshqarishning boshqa texnologiyalariga NetFlow va sFlow kiradi. Har birining o'ziga xos kuchli va zaif tomonlari bor,
NetFlow va sFlow haqida ko'proq bilib olishingiz mumkin.
Umuman olganda, tarmoq tahlili - bu olingan bilimlarga va amaliy ish tajribasiga asoslangan ilg'or mavzu. Siz odamni tarmoq paketlari haqida batafsil ma'lumotga ega bo'lishga o'rgatishingiz mumkin, ammo agar u tarmoqning o'zi haqida ma'lumotga ega bo'lmasa va anomaliyalarni aniqlash tajribasiga ega bo'lmasa, ular yaxshi ishlamaydi. Ushbu maqolada tasvirlangan vositalar nima istayotganini biladigan, lekin qaysi yordam dasturi eng yaxshi ekanligiga ishonch hosil qilmaydigan tajribali tarmoq ma'murlari tomonidan qo'llanilishi kerak. Ulardan kam tajribaga ega tizim ma'murlari ham kundalik tarmoq tajribasiga ega bo'lish uchun foydalanishlari mumkin.
Asoslar
Tarmoq trafigini yig'ishning asosiy vositasi hisoblanadi
Bu deyarli barcha Unix-ga o'xshash operatsion tizimlarga o'rnatiladigan ochiq kodli dastur. Tcpdump - bu juda murakkab filtrlash tiliga ega bo'lgan ajoyib ma'lumotlarni yig'ish dasturi. Tahlil qilish uchun oddiy ma'lumotlar to'plamiga ega bo'lish uchun ularni to'plashda ularni qanday filtrlashni bilish muhimdir. Tarmoq qurilmasidan barcha ma'lumotlarni, hatto o'rtacha band bo'lgan tarmoqda ham, tahlil qilish juda qiyin bo'lgan juda ko'p ma'lumotlarni yaratishi mumkin.
Ba'zi kamdan-kam hollarda, kerakli narsani topish uchun tcpdump olingan ma'lumotlarni to'g'ridan-to'g'ri ekranga chop etish kifoya qiladi. Misol uchun, ushbu maqolani yozish paytida men trafikni to'pladim va mening mashinam men bilmagan IP-manzilga trafik yuborayotganini payqadim. Ma'lum bo'lishicha, mening mashinam 172.217.11.142 Google IP-manziliga ma'lumotlarni yuborgan. Menda Google mahsulotlari bo'lmagani va Gmail ochiq bo'lmagani uchun nima uchun bu sodir bo'layotganini bilmasdim. Men tizimimni tekshirdim va quyidagilarni topdim:
[ ~ ]$ ps -ef | grep google foydalanuvchisi 1985 1881 0 10:16? 00:00:00 /opt/google/chrome/chrome --type=service
Ma'lum bo'lishicha, Chrome ishlamayotgan bo'lsa ham, u xizmat sifatida ishlayveradi. Paket tahlilisiz buni sezmagan bo'lardim. Men yana bir nechta ma'lumot paketlarini qo'lga oldim, lekin bu safar men tcpdump-ga ma'lumotlarni faylga yozish vazifasini berdim, keyin uni Wireshark-da ochdim (bu haqda keyinroq). Bu yozuvlar:
Tcpdump tizim ma'murlarining sevimli vositasidir, chunki u buyruq qatori yordam dasturidir. Tcpdump-ni ishga tushirish GUI-ni talab qilmaydi. Ishlab chiqarish serverlari uchun grafik interfeys juda zararli, chunki u tizim resurslarini sarflaydi, shuning uchun buyruq qatori dasturlari afzalroqdir. Ko'pgina zamonaviy yordamchi dasturlar singari, tcpdump juda boy va murakkab tilga ega bo'lib, uni o'zlashtirish biroz vaqt talab etadi. Bir nechta oddiy buyruqlar ma'lumotlarni to'plash uchun tarmoq interfeysini tanlash va ushbu ma'lumotlarni boshqa joyga tahlil qilish uchun eksport qilish uchun faylga yozishni o'z ichiga oladi. Buning uchun -i va -w kalitlari ishlatiladi.
# tcpdump -i eth0 -w tcpdump_packets tcpdump: eth0 da tinglash, havola turi EN10MB (Ethernet), yozib olish hajmi 262144 bayt ^C51 paketlar yozib olindi
Ushbu buyruq olingan ma'lumotlar bilan fayl yaratadi:
tcpdump_packets fayli tcpdump_packets: tcpdump yozib olish fayli (little-endian) - 2.4 versiyasi (Ethernet, tortishish uzunligi 262144)
Bunday fayllar uchun standart pcap formatidir. Bu matn emas, shuning uchun uni faqat ushbu formatni tushunadigan dasturlar yordamida tahlil qilish mumkin.
3. Windump
Ko'pgina foydali ochiq kodli yordamchi dasturlar boshqa operatsion tizimlarga klonlanadi. Bu sodir bo'lganda, ilova ko'chirilgan deb aytiladi. Windump - bu tcpdump porti va o'zini juda o'xshash tarzda tutadi.
Windump va tcpdump o'rtasidagi eng muhim farq shundaki, Windump ishga tushishidan oldin Windump Winpcap kutubxonasini o'rnatishi kerak. Windump va Winpcap bir xil ta'minotchi tomonidan taqdim etilgan bo'lsa ham, ularni alohida yuklab olish kerak.
Winpcap - bu oldindan o'rnatilishi kerak bo'lgan kutubxona. Ammo Windump exe fayli bo'lib, uni o'rnatish shart emas, shuning uchun uni ishga tushirishingiz mumkin. Agar siz Windows tarmog'idan foydalansangiz, buni yodda tutish kerak. Windump-ni har bir mashinaga o'rnatishingiz shart emas, chunki uni kerak bo'lganda nusxalashingiz mumkin, lekin Windup-ni qo'llab-quvvatlash uchun Winpcap kerak bo'ladi.
Tcpdump-da bo'lgani kabi, Windump ham tahlil qilish uchun tarmoq ma'lumotlarini ko'rsatishi, ularni xuddi shu tarzda filtrlashi va keyinchalik tahlil qilish uchun ma'lumotlarni pcap fayliga yozishi mumkin.
4. Wireshark
Wireshark - tizim ma'muri asboblar qutisidagi keyingi eng mashhur vosita. Bu nafaqat ma'lumotlarni olish imkonini beradi, balki ba'zi ilg'or tahlil vositalarini ham taqdim etadi. Bundan tashqari, Wireshark ochiq manba hisoblanadi va deyarli barcha mavjud server operatsion tizimlariga ko'chirilgan. Etheral deb nomlangan Wireshark endi hamma joyda ishlaydi, jumladan, mustaqil, portativ dastur sifatida.
Agar siz GUI-ga ega serverdagi trafikni tahlil qilsangiz, Wireshark siz uchun hamma narsani qila oladi. U ma'lumotlarni to'plashi va keyin hammasini o'sha erda tahlil qilishi mumkin. Biroq, GUI serverlarda kamdan-kam uchraydi, shuning uchun siz tarmoq ma'lumotlarini masofadan turib to'plashingiz va natijada olingan pcap faylini kompyuteringizdagi Wireshark-da tekshirishingiz mumkin.
Wireshark-ni birinchi marta ishga tushirganingizda, mavjud pcap faylini yuklashingiz yoki trafikni yozib olishni boshlashingiz mumkin. Ikkinchi holda, siz to'plangan ma'lumotlar miqdorini kamaytirish uchun qo'shimcha ravishda filtrlarni o'rnatishingiz mumkin. Agar siz filtrni belgilamasangiz, Wireshark tanlangan interfeysdan barcha tarmoq ma'lumotlarini yig'adi.
Wireshark-ning eng foydali xususiyatlaridan biri bu oqimni kuzatish qobiliyatidir. Ipni zanjir deb o'ylash yaxshidir. Quyidagi skrinshotda biz ko'plab olingan ma'lumotlarni ko'rishimiz mumkin, lekin meni eng ko'p qiziqtirgan narsa Google IP manzili edi. Men butun zanjirni ko'rish uchun sichqonchaning o'ng tugmachasini bosishim va TCP oqimini kuzatishim mumkin.
Agar trafik boshqa kompyuterda yozib olingan bo'lsa, Wireshark File -> Open dialog oynasi yordamida PCAP faylini import qilishingiz mumkin. Import qilingan fayllar uchun olingan tarmoq ma'lumotlari kabi filtrlar va vositalar mavjud.
5.tshark
Tshark - bu tcpdump va Wireshark o'rtasidagi juda foydali havola. Tcpdump ma'lumotlarni yig'ishda ustundir va faqat kerakli ma'lumotlarni jarrohlik yo'li bilan ajratib olishi mumkin, ammo uning ma'lumotlarni tahlil qilish imkoniyatlari juda cheklangan. Wireshark ham suratga olish, ham tahlil qilishda ajoyib, lekin foydalanuvchi interfeysi og‘ir va uni GUIsiz serverlarda ishlatib bo‘lmaydi. Tshark-ni sinab ko'ring, u buyruq satrida ishlaydi.
Tshark Wireshark bilan bir xil filtrlash qoidalaridan foydalanadi, bu ajablanarli emas, chunki ular bir xil mahsulotdir. Quyidagi buyruq faqat tshark-ga maqsadli IP-manzilni, shuningdek, paketning HTTP qismidan boshqa qiziqish sohalarini qo'lga kiritishni aytadi.
# tshark -i eth0 -Y http.request -T maydonlari -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/2010 Firefox1 /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css (172.20.0.120) rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x86v1 Geo: Firefox101/Firefox1 Ge20.02) /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png (Linux1/172.122.la) x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/2010010101 Firefox.i
Agar siz faylga trafikni yozmoqchi bo'lsangiz, buning uchun -W opsiyasidan foydalaning va keyin uni o'qish uchun -r (o'qish) tugmasidan foydalaning.
Birinchi qo'lga olish:
# tshark -i eth0 -w tshark_packets "eth0" da suratga olinmoqda 102 ^C
Uni shu yerda o‘qing yoki tahlil qilish uchun boshqa joyga ko‘chiring.
# tshark -r tshark_packets -Y http.request -T maydonlari -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko01 Firefox01 /57.0 /murojaat 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /rezervasyonlar/ 172.20.0.122 Mozilla/5.0; 0101 Firefox / 57.0 /reservations/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery/js.2.j .js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0.122 Mozilla/5.0.122 (x46.0) 2010 0101 Firefox/57.0 /res/images/title.png
Bu shunchaki sniffers emas, balki tarmoq sud-tibbiy tahlil vositalari toifasiga kiradigan juda qiziqarli vosita. Sud tibbiyoti sohasi odatda tergov va dalillar to'plash bilan shug'ullanadi va Network Miner bu ishni juda yaxshi bajaradi. Wireshark butun paket uzatish zanjirini qayta qurish uchun TCP oqimini kuzatib borishi kabi, Network Miner tarmoq orqali uzatilgan fayllarni tiklash uchun oqimni kuzatishi mumkin.
Network Miner real vaqtda sizni qiziqtirgan trafikni kuzatish va to'plash uchun tarmoqqa strategik joylashtirilishi mumkin. U tarmoqda o'z trafigini yaratmaydi, shuning uchun u yashirincha ishlaydi.
Network Miner ham oflayn rejimda ishlashi mumkin. Siz tcpdump-dan paketlarni tarmoq nuqtasida to'plash va keyin PCAP fayllarini Network Miner-ga import qilish uchun foydalanishingiz mumkin. Keyinchalik, saqlangan faylda topilgan har qanday fayl yoki sertifikatlarni tiklashga urinib ko'rishingiz mumkin.
Network Miner Windows uchun yaratilgan, ammo Mono bilan u Linux va MacOS kabi Mono platformasini qo'llab-quvvatlaydigan har qanday OS da ishlashi mumkin.
Kirish darajasidagi bepul versiya mavjud, ammo munosib funktsiyalar to'plami mavjud. Agar sizga geolokatsiya va maxsus skriptlar kabi qo'shimcha funktsiyalar kerak bo'lsa, siz professional litsenziyani sotib olishingiz kerak bo'ladi.
7. Fiddler (HTTP)
Bu texnik jihatdan tarmoq paketlarini yozib olish yordam dasturi emas, lekin u shunchalik ajoyibki, uni ushbu ro'yxatga kiritadi. Bu erda sanab o'tilgan, har qanday manbadan tarmoq trafigini olish uchun mo'ljallangan boshqa vositalardan farqli o'laroq, Fiddler ko'proq nosozliklarni tuzatish vositasidir. U HTTP trafigini ushlaydi. Ko'pgina brauzerlar allaqachon ishlab chiquvchi vositalarida bunday imkoniyatga ega bo'lsa-da, Fiddler brauzer trafigini cheklab qo'ymaydi. Fiddler har qanday HTTP-trafikni kompyuterda, jumladan, veb-ilovalardan tashqarida yozib olishi mumkin.
Ko'pgina ish stoli ilovalari veb-xizmatlarga ulanish uchun HTTP-dan foydalanadi va Fiddler-dan tashqari, tahlil qilish uchun bunday trafikni olishning yagona yo'li tcpdump yoki Wireshark kabi vositalardan foydalanishdir. Biroq, ular paketlar darajasida ishlaydi, shuning uchun tahlil ushbu paketlarni HTTP oqimlariga qayta qurishni talab qiladi. Oddiy tadqiqot qilish juda ko'p ish bo'lishi mumkin va bu erda Fiddler keladi. Fiddler kukilar, sertifikatlar va ilovalar tomonidan yuborilgan boshqa foydali ma'lumotlarni aniqlashga yordam beradi.
Fiddler bepul va Network Miner kabi deyarli har qanday operatsion tizimda Mono-da ishlashi mumkin.
8. Capsa
Capsa tarmoq analizatori bir nechta nashrlarga ega, ularning har biri turli imkoniyatlarga ega. Birinchi darajada, Capsa bepul va u sizga paketlarni oddiygina yozib olish va ularda asosiy grafik tahlillarni amalga oshirish imkonini beradi. Boshqaruv paneli noyobdir va tajribasiz tizim ma'muriga tarmoq muammolarini tezda aniqlashga yordam beradi. Bepul bosqich paketlar haqida ko'proq ma'lumot olishni va tahlil qilish ko'nikmalarini rivojlantirishni istagan odamlar uchundir.
Bepul versiya 300 dan ortiq protokollarni kuzatish imkonini beradi, elektron pochtani monitoring qilish, shuningdek, elektron pochta tarkibini saqlash uchun javob beradi va shuningdek, muayyan vaziyatlar yuzaga kelganda ogohlantirishlarni ishga tushirish uchun ishlatilishi mumkin bo'lgan triggerlarni qo'llab-quvvatlaydi. Shu munosabat bilan Capsa ma'lum darajada qo'llab-quvvatlash vositasi sifatida ishlatilishi mumkin.
Capsa faqat Windows 2008/Vista/7/8 va 10 uchun mavjud.
Xulosa
Tizim administratori biz tasvirlab bergan vositalar yordamida tarmoq monitoringi infratuzilmasini qanday yaratishi mumkinligini tushunish oson. Tcpdump yoki Windump barcha serverlarga o'rnatilishi mumkin. Cron yoki Windows rejalashtiruvchisi kabi rejalashtiruvchi paketlarni yig'ish seansini to'g'ri vaqtda boshlaydi va to'plangan ma'lumotlarni pcap fayliga yozadi. Keyin tizim ma'muri ushbu paketlarni markaziy mashinaga o'tkazishi va ularni wireshark yordamida tahlil qilishi mumkin. Agar tarmoq bu uchun juda katta bo'lsa, barcha tarmoq paketlarini boshqariladigan ma'lumotlar to'plamiga aylantirish uchun SolarWinds kabi korporativ darajadagi vositalar mavjud.
Rossiya Federatsiyasi Ta'lim va fanlar vazirligi
"Sankt-Peterburg davlat politexnika universiteti" davlat ta'lim muassasasi
Cheboksari iqtisodiyot va boshqaruv instituti (filial)
Oliy matematika va axborot texnologiyalari kafedrasi
ANTRACT
“Axborot xavfsizligi” kursida.
Mavzu bo'yicha: "Tarmoq analizatorlari"
Bajarildi
4-kurs talabasi, ish haqi 080502-51M
“Menejment” mutaxassisligi
mashinasozlik korxonasida"
Pavlov K.V.
Tekshirildi
O'qituvchi
Cheboksary 2011 yil
KIRISH
Ethernet tarmoqlari o'zlarining yaxshi o'tkazuvchanligi, o'rnatish qulayligi va tarmoq uskunalarini o'rnatishning maqbul narxi tufayli juda mashhur bo'ldi.
Biroq, Ethernet texnologiyasi sezilarli kamchiliklardan xoli emas. Asosiysi, uzatilayotgan ma'lumotlarning xavfsizligi. Ethernet tarmog'iga ulangan kompyuterlar qo'shnilariga yuborilgan ma'lumotlarni ushlab turishi mumkin. Buning sababi Ethernet tarmoqlarida qabul qilingan translyatsiya xabarlari mexanizmi deb ataladi.
Kompyuterlarni tarmoqqa ulash axborot xavfsizligining eski aksiomalarini buzadi. Masalan, statik xavfsizlik haqida. Ilgari tizimdagi zaiflik tizim ma'muri tomonidan tegishli yangilanishni o'rnatish orqali aniqlanishi va tuzatilishi mumkin edi, u bir necha hafta yoki oydan keyin o'rnatilgan "yamoq" ning funksionalligini tekshirishi mumkin edi. Biroq, ushbu "yamoq" foydalanuvchi tomonidan tasodifan yoki ish paytida yoki yangi komponentlarni o'rnatishda boshqa administrator tomonidan olib tashlanishi mumkin edi. Hamma narsa o'zgaradi va endi axborot texnologiyalari shunchalik tez o'zgarmoqdaki, statik xavfsizlik mexanizmlari endi to'liq tizim xavfsizligini ta'minlamaydi.
Yaqin vaqtgacha korporativ tarmoqlarni himoya qilishning asosiy mexanizmi xavfsizlik devori edi. Biroq, tashkilotning axborot resurslarini himoya qilish uchun mo'ljallangan xavfsizlik devorlari ko'pincha himoyasiz bo'lib chiqadi. Buning sababi shundaki, tizim ma'murlari kirish tizimida juda ko'p soddalashtirishlarni yaratadilar, natijada xavfsizlik tizimining tosh devori elak kabi teshiklarga to'la bo'ladi. Xavfsizlik devori (xavfsizlik devori) himoyasi yuqori trafikli korporativ tarmoqlar uchun amaliy bo'lmasligi mumkin, chunki bir nechta xavfsizlik devorlaridan foydalanish tarmoq ishlashiga sezilarli ta'sir ko'rsatishi mumkin. Ba'zi hollarda, "eshiklarni keng ochiq qoldirish" va tarmoq hujumlarini aniqlash va ularga javob berish usullariga e'tibor qaratish yaxshiroqdir.
Hujumlarni aniqlash uchun korporativ tarmoqni doimiy (kuniga 24 soat, haftada 7 kun, yiliga 365 kun) monitoring qilish uchun "faol" himoya tizimlari - hujumlarni aniqlash tizimlari ishlab chiqilgan. Ushbu tizimlar korporativ tarmoq tugunlariga hujumlarni aniqlaydi va ularga xavfsizlik administratori tomonidan belgilangan tartibda javob beradi. Masalan, ular hujum qiluvchi tugun bilan aloqani to'xtatadilar, administratorga xabar beradilar yoki jurnallarga hujum haqida ma'lumot kiritadilar.
1. TARMOQ TAHLILLARI
1.1 IP - Ogohlantirish 1 YOKI BIRINCHI TARMOQ MONITORI
Birinchidan, mahalliy eshittirish haqida bir necha so'z aytishimiz kerak. Ethernet tarmog'ida unga ulangan kompyuterlar odatda ular o'rtasida xabarlarni jo'natish uchun vosita bo'lib xizmat qiladigan bir xil kabelni ulashadi.
Xabarni umumiy kanal orqali uzatmoqchi bo'lgan har bir kishi, avvalo, ushbu kanal ma'lum bir vaqtda bepul ekanligiga ishonch hosil qilishi kerak. Uzatishni boshlagandan so'ng, kompyuter bir vaqtning o'zida ma'lumotlarini uzatuvchi boshqa kompyuterlar bilan to'qnashuv natijasida signal buzilgan yoki buzilganligini aniqlab, signalning tashuvchisi chastotasini tinglaydi. Agar to'qnashuv bo'lsa, uzatish to'xtatiladi va uzatishni biroz keyinroq takrorlashga harakat qilish uchun kompyuter ma'lum vaqt davomida "jim bo'lib qoladi". Agar Ethernet tarmog'iga ulangan kompyuter o'zi hech narsa uzatmasa, u qo'shni kompyuterlar tomonidan tarmoq orqali uzatiladigan barcha xabarlarni "tinglashda" davom etadi. Kiruvchi ma'lumotlarning sarlavhasida o'zining tarmoq manzilini payqagan kompyuter ushbu qismni mahalliy xotirasiga ko'chiradi.
Kompyuterlarni Ethernet tarmog'iga ulashning ikkita asosiy usuli mavjud. Birinchi holda, kompyuterlar koaksiyal kabel yordamida ulanadi. Ushbu kabel kompyuterdan kompyuterga yotqiziladi, tarmoq adapterlariga T-shaklidagi ulagichga ulanadi va uchlari BNC terminatorlari bilan tugaydi. Ushbu topologiya professional tilda Ethernet 10Base2 tarmog'i deb ataladi. Biroq, uni "hamma hamma eshitadigan" tarmoq deb ham atash mumkin. Tarmoqqa ulangan har qanday kompyuter ushbu tarmoq orqali boshqa kompyuter tomonidan yuborilgan ma'lumotlarni ushlab turishga qodir. Ikkinchi holda, har bir kompyuter o'ralgan juftlik kabeli orqali markaziy kommutatsiya qurilmasining alohida portiga ulanadi - markaz yoki kalit. Ethernet lOBaseT tarmoqlari deb ataladigan bunday tarmoqlarda kompyuterlar to'qnashuv domenlari deb ataladigan guruhlarga bo'linadi. To'qnashuv domenlari umumiy avtobusga ulangan hub yoki switch portlari bilan belgilanadi. Natijada, tarmoqdagi barcha kompyuterlar o'rtasida to'qnashuvlar sodir bo'lmaydi. va alohida - bir xil to'qnashuv domenining bir qismi bo'lganlar o'rtasida, bu butun tarmoqning o'tkazuvchanligini oshiradi.
So'nggi paytlarda radioeshittirishdan foydalanmaydigan va portlar guruhlarini bir-biri bilan yopmaydigan yirik tarmoqlarda yangi turdagi kommutatorlar paydo bo'la boshladi. Buning o'rniga, tarmoq orqali yuborilgan barcha ma'lumotlar xotirada buferlanadi va imkon qadar tezroq yuboriladi. Biroq, bunday tarmoqlar hali ham juda ko'p - Ethernet tipidagi tarmoqlar umumiy sonining 5% dan ko'p emas.
Shunday qilib, Ethernet tarmoqlarining aksariyatida qabul qilingan ma'lumotlarni uzatish algoritmi tarmoqqa ulangan har bir kompyuterdan istisnosiz barcha tarmoq trafigini doimiy ravishda "tinglash" ni talab qiladi. Ba'zi odamlar tomonidan taklif qilingan, "boshqa odamlar" xabarlarini uzatishda kompyuterlar tarmoqdan uzilib qoladigan kirish algoritmlari haddan tashqari murakkabligi, amalga oshirishning yuqori narxi va past samaradorlik tufayli amalga oshirilmagan.
IPAlert-1 nima va u qaerdan paydo bo'lgan? Bir vaqtlar tarmoq xavfsizligini o'rganish bilan bog'liq sohada mualliflarning amaliy va nazariy tadqiqotlari quyidagi g'oyani keltirib chiqardi: Internetda, shuningdek, boshqa tarmoqlarda (masalan, Novell NetWare, Windows NT), bo'ladigan xavfsizlik dasturiy ta'minotining jiddiy etishmasligi bor edi murakkab adabiyotda tasvirlangan masofaviy ta'sirlarning barcha turlarini aniqlash uchun tarmoq orqali uzatiladigan barcha ma'lumotlar oqimini havola darajasida boshqarish (monitoring). Internet tarmog'i xavfsizligi bo'yicha dasturiy ta'minot bozorini o'rganish shuni ko'rsatdiki, bunday keng qamrovli masofadan hujumni aniqlash vositalari mavjud emas va mavjudlari ma'lum bir hujum turini aniqlash uchun mo'ljallangan (masalan, ICMP Redirect yoki ARP). Shu sababli, Internetda foydalanish uchun mo'ljallangan IP tarmoq segmenti uchun monitoring vositasini ishlab chiqish boshlandi va quyidagi nom oldi: IP Alert-1 tarmoq xavfsizligi monitori.
Uzatish kanalidagi tarmoq trafigini dasturiy tahlil qiladigan ushbu vositaning asosiy vazifasi aloqa kanali orqali amalga oshirilgan masofaviy hujumlarni qaytarish emas, balki ularni aniqlash va jurnalga kiritishdir (keyingi koʻrish uchun qulay shaklda audit faylini yuritish). ma'lum bir tarmoq segmentiga masofaviy hujumlar bilan bog'liq barcha hodisalarni tahlil qilish) va masofaviy hujum aniqlansa, darhol xavfsizlik ma'murini ogohlantirish. IP Alert-1 tarmoq xavfsizligi monitorining asosiy vazifasi tegishli Internet segmentining xavfsizligini nazorat qilishdir.
IP Alert-1 tarmoq xavfsizligi monitori quyidagi funksiyalarga ega va tarmoq tahlili orqali u boshqarayotgan tarmoq segmentiga quyidagi masofaviy hujumlarni aniqlash imkonini beradi:
1. Boshqariladigan tarmoq segmentida joylashgan xostlar tomonidan uzatiladigan paketlardagi IP va Ethernet manzillarining muvofiqligini kuzatish.
IP Alert-1 xostida xavfsizlik ma'muri statik ARP jadvalini yaratadi, u erda u boshqariladigan tarmoq segmentida joylashgan xostlarning tegishli IP va Ethernet manzillari haqidagi ma'lumotlarni kiritadi.
Bu funksiya sizga IP-manzilning ruxsatsiz o'zgarishini yoki uning o'rnini almashtirishni aniqlash imkonini beradi (IP-spoofing, spoofing, IP-spoofing (jarg)).
2. Masofaviy ARP qidiruv mexanizmidan to'g'ri foydalanishni nazorat qilish. Bu xususiyat statik ARP jadvali yordamida masofaviy False ARP hujumini aniqlash imkonini beradi.
3. Masofaviy DNS qidiruv mexanizmidan to'g'ri foydalanishni nazorat qilish. Bu xususiyat DNS xizmatiga masofaviy hujumlarning barcha mumkin bo'lgan turlarini aniqlash imkonini beradi
4. Uzatilgan so'rovlarni tahlil qilish orqali masofaviy ulanish urinishlarining to'g'riligini nazorat qilish. Bu funksiya, birinchidan, TCP ulanish identifikatorining boshlang'ich qiymatini o'zgartirish qonunini tekshirishga urinish - ISN, ikkinchidan, ulanish so'rovi navbatini to'ldirish orqali amalga oshiriladigan xizmatni uzoqdan rad etish hujumini va uchinchidan, yo'naltirilgan ulanishni aniqlash imkonini beradi. noto'g'ri ulanish so'rovlarining "bo'roni" (TCP va UDP), bu ham xizmat ko'rsatishni rad etishga olib keladi.
Shunday qilib, IP Alert-1 tarmoq xavfsizligi monitori sizga masofaviy hujumlarning ko'p turlarini aniqlash, xabardor qilish va yozib olish imkonini beradi. Biroq, bu dastur hech qanday tarzda Firewall tizimlariga raqobatchi emas. IP Alert-1 Internetdagi masofaviy hujumlar xususiyatlaridan foydalangan holda, xavfsizlik devori tizimlariga kerakli qo'shimcha bo'lib xizmat qiladi - aytmoqchi, beqiyos arzonroqdir. Xavfsizlik monitori bo'lmasa, tarmoq segmentiga masofaviy hujumlarni boshlashga urinishlarning aksariyati sizning ko'zingizdan yashirin qoladi. Ma'lum bo'lgan xavfsizlik devorlarining hech biri turli xil masofaviy hujumlarni aniqlash uchun tarmoq orqali o'tadigan xabarlarni bunday aqlli tahlil qilish bilan shug'ullanmaydi, eng yaxshi holatda parolni taxmin qilish urinishlari, portlarni skanerlash va tarmoqni skanerlash haqidagi ma'lumotlarni qayd qiluvchi jurnalni yuritish bilan cheklanadi. taniqli masofaviy qidiruv dasturlari yordamida. Shuning uchun, agar IP-tarmoq ma'muri o'z tarmog'iga masofaviy hujumlar paytida befarq qolishni va oddiy statist rolidan mamnun bo'lishni istamasa, unga IP Alert-1 tarmoq xavfsizligi monitoridan foydalanish tavsiya etiladi.
tcpdump
Deyarli barcha tarmoq trafigini yig'ish uchun asosiy vosita bu tcpdump. Bu deyarli barcha Unix-ga o'xshash operatsion tizimlarga o'rnatiladigan ochiq kodli dastur. Tcpdump - bu ajoyib ma'lumotlarni yig'ish vositasi va juda kuchli filtrlash mexanizmi bilan birga keladi. Tahlil qilish uchun boshqariladigan ma'lumotlarga ega bo'lish uchun yig'ish paytida ma'lumotlarni qanday filtrlashni bilish muhimdir. Tarmoq qurilmasidan barcha ma'lumotlarni, hatto o'rtacha band bo'lgan tarmoqda ham, oddiy tahlil qilish uchun juda ko'p ma'lumotlarni yaratishi mumkin.
Ba'zi kamdan-kam hollarda, tcpdump chiqishni to'g'ridan-to'g'ri ekraningizga chiqarishi mumkin va bu siz izlayotgan narsani topish uchun etarli bo'lishi mumkin. Misol uchun, maqola yozayotganda, ba'zi trafik qo'lga olindi va mashina noma'lum IP-manzilga trafik yuborayotgani sezildi. Ma'lum bo'lishicha, mashina Google IP-manziliga 172.217.11.142 ma'lumotlarni yuborgan. Hech qanday Google mahsuloti chiqarilmaganligi sababli, nima uchun bu sodir bo'ldi degan savol tug'ildi.
Tizim tekshiruvi quyidagilarni ko'rsatdi:
[ ~ ]$ ps -ef | grep googleFikringizni qoldiring!
