Nätverksövervakning med hjälp av verktygen TCPView och netstat. Nätverkstrafikanalysatorer: granskning av betalda och gratislösningar Analys av paket på nätverket

Packet sniffing är en vardagsterm som syftar på konsten att analysera nätverkstrafik. Tvärtemot vad många tror, går saker som e-post och webbsidor inte över Internet i ett stycke. De bryts upp i tusentals små datapaket och skickas på så sätt över Internet. I den här artikeln kommer vi att titta på de bästa gratis nätverksanalysatorerna och paketsnifferarna.

Det finns många verktyg som samlar nätverkstrafik, och de flesta av dem använder pcap (på Unix-liknande system) eller libcap (på Windows) som sin kärna. En annan typ av verktyg hjälper till att analysera denna data, eftersom även en liten mängd trafik kan generera tusentals paket som är svåra att navigera. Nästan alla dessa verktyg skiljer sig lite från varandra när det gäller att samla in data, de största skillnaderna är hur de analyserar data.

Att analysera nätverkstrafik kräver förståelse för hur nätverket fungerar. Det finns inget verktyg som magiskt kan ersätta en analytikers kunskap om nätverkets grunder, till exempel TCP "3-vägs handskakning" som används för att initiera en anslutning mellan två enheter. Analytiker måste också ha en viss förståelse för typerna av nätverkstrafik på ett normalt fungerande nätverk, såsom ARP och DHCP. Denna kunskap är viktig eftersom analysverktyg helt enkelt visar dig vad du ber dem att göra. Det är upp till dig att bestämma vad du ska be om. Om du inte vet hur ditt nätverk vanligtvis ser ut kan det vara svårt att veta att du har hittat det du behöver i den mängd paket du har samlat in.

De bästa paketsniffarna och nätverksanalysatorerna

Industriella verktyg

Låt oss börja på toppen och sedan arbeta oss ner till grunderna. Om du har att göra med ett nätverk på företagsnivå behöver du en stor pistol. Medan nästan allt använder tcpdump i sin kärna (mer om det senare), kan företagsverktyg lösa vissa komplexa problem, som att korrelera trafik från flera servrar, tillhandahålla intelligenta frågor för att identifiera problem, varna om undantag och skapa bra grafer, vilket är vad chefer alltid kräver.

Verktyg på företagsnivå är vanligtvis inriktade på att strömma nätverkstrafik snarare än att bedöma innehållet i paket. Med detta menar jag att huvudfokus för de flesta systemadministratörer i företaget är att säkerställa att nätverket inte har prestandaflaskhalsar. När sådana flaskhalsar uppstår är målet vanligtvis att avgöra om problemet orsakas av nätverket eller en applikation i nätverket. Å andra sidan kan dessa verktyg vanligtvis hantera så mycket trafik att de kan hjälpa till att förutsäga när ett nätverkssegment kommer att vara fulladdat, en kritisk punkt för att hantera nätverksbandbredd.

Detta är en mycket stor uppsättning IT-hanteringsverktyg. I den här artikeln är verktyget Deep Packet Inspection and Analysis, som är dess komponent, mer lämpligt. Att samla nätverkstrafik är ganska enkelt. Med verktyg som WireShark är grundläggande analys inte heller ett problem. Men situationen är inte alltid helt klar. På ett mycket upptaget nätverk kan det vara svårt att avgöra även mycket enkla saker, som:

Vilken applikation i nätverket genererar denna trafik?
- om en applikation är känd (säg en webbläsare), var spenderar dess användare mest tid?
- vilka anslutningar är de längsta och överbelasta nätverket?

De flesta nätverksenheter använder varje pakets metadata för att se till att paketet går dit det ska. Innehållet i paketet är okänt för nätverksenheten. En annan sak är djup paketinspektion; detta innebär att det faktiska innehållet i förpackningen kontrolleras. På så sätt kan kritisk nätverksinformation som inte kan hämtas från metadata upptäckas. Verktyg som de som tillhandahålls av SolarWinds kan ge mer meningsfull data än bara trafikflöde.

Andra tekniker för att hantera dataintensiva nätverk inkluderar NetFlow och sFlow. Var och en har sina egna styrkor och svagheter,

Du kan lära dig mer om NetFlow och sFlow.

Nätverksanalys i allmänhet är ett avancerat ämne som bygger på både förvärvad kunskap och praktisk arbetslivserfarenhet. Du kan träna en person att ha detaljerad kunskap om nätverkspaket, men om den personen inte har kunskap om själva nätverket och erfarenhet av att identifiera anomalier, kommer de inte att klara sig särskilt bra. Verktygen som beskrivs i den här artikeln bör användas av erfarna nätverksadministratörer som vet vad de vill ha men som inte är säkra på vilket verktyg som är bäst. De kan också användas av mindre erfarna systemadministratörer för att få daglig erfarenhet av nätverk.

Grunderna

Det huvudsakliga verktyget för att samla in nätverkstrafik är

Det är ett program med öppen källkod som installeras på nästan alla Unix-liknande operativsystem. Tcpdump är ett utmärkt datainsamlingsverktyg som har ett mycket sofistikerat filtreringsspråk. Det är viktigt att veta hur man filtrerar data när man samlar in den för att få en normal uppsättning data för analys. Att fånga all data från en nätverksenhet, även på ett måttligt upptaget nätverk, kan generera för mycket data som är mycket svår att analysera.

I vissa sällsynta fall kommer det att räcka med att skriva ut tcpdump-fångad data direkt på skärmen för att hitta det du behöver. Till exempel, när jag skrev den här artikeln, samlade jag in trafik och märkte att min maskin skickade trafik till en IP-adress som jag inte kände till. Det visar sig att min maskin skickade data till Googles IP-adress 172.217.11.142. Eftersom jag inte hade några Google-produkter och Gmail inte var öppet visste jag inte varför detta hände. Jag kollade mitt system och hittade följande:

[ ~ ]$ ps -ef | grep google användare 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

Det visar sig att även när Chrome inte körs fortsätter den att köras som en tjänst. Jag skulle inte ha märkt detta utan paketanalys. Jag fångade några fler datapaket, men den här gången gav jag tcpdump uppgiften att skriva data till en fil, som jag sedan öppnade i Wireshark (mer om detta senare). Det här är inläggen:

Tcpdump är ett favoritverktyg för systemadministratörer eftersom det är ett kommandoradsverktyg. Att köra tcpdump kräver inget GUI. För produktionsservrar är det grafiska gränssnittet ganska skadligt, eftersom det förbrukar systemresurser, så kommandoradsprogram är att föredra. Liksom många moderna verktyg har tcpdump ett mycket rikt och komplext språk som tar lite tid att bemästra. Några mycket grundläggande kommandon involverar att välja ett nätverksgränssnitt för att samla in data från och skriva dessa data till en fil så att den kan exporteras för analys någon annanstans. Omkopplarna -i och -w används för detta.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: lyssnar på eth0, länktyp EN10MB (Ethernet), infångningsstorlek 262144 byte ^C51-paket infångade

Det här kommandot skapar en fil med de insamlade data:

fil tcpdump_packets tcpdump_packets: tcpdump capture file (little-endian) - version 2.4 (Ethernet, infångningslängd 262144)

Standarden för sådana filer är pcap-formatet. Det är inte text, så det kan bara analyseras med hjälp av program som förstår detta format.

3.Windump

De mest användbara verktygen med öppen källkod klonas till andra operativsystem. När detta händer sägs applikationen ha migrerats. Windump är en port av tcpdump och beter sig på ett mycket liknande sätt.

Den viktigaste skillnaden mellan Windump och tcpdump är att Windump behöver Winpcap-biblioteket installerat innan Windump körs. Även om Windump och Winpcap tillhandahålls av samma underhållare måste de laddas ner separat.

Winpcap är ett bibliotek som måste vara förinstallerat. Men Windump är en exe-fil som inte behöver installeras, så du kan bara köra den. Detta är något att tänka på om du använder ett Windows-nätverk. Du behöver inte installera Windump på varje maskin eftersom du bara kan kopiera den efter behov, men du behöver Winpcap för att stödja Windup.

Som med tcpdump kan Windump visa nätverksdata för analys, filtrera det på samma sätt och även skriva data till en pcap-fil för senare analys.

4. Wireshark

Wireshark är det näst mest kända verktyget i en systemadministratörs verktygslåda. Det låter dig inte bara fånga data utan tillhandahåller också några avancerade analysverktyg. Dessutom är Wireshark öppen källkod och har porterats till nästan alla befintliga serveroperativsystem. Wireshark, som kallas Etheral, körs nu överallt, inklusive som en fristående, bärbar applikation.

Om du analyserar trafik på en server med ett GUI kan Wireshark göra allt åt dig. Den kan samla in data och sedan analysera allt där. GUI:er är dock sällsynta på servrar, så du kan samla in nätverksdata på distans och sedan undersöka den resulterande pcap-filen i Wireshark på din dator.

När du först startar Wireshark kan du antingen ladda en befintlig pcap-fil eller köra en trafikfångst. I det senare fallet kan du dessutom ställa in filter för att minska mängden data som samlas in. Om du inte anger ett filter kommer Wireshark helt enkelt att samla in all nätverksdata från det valda gränssnittet.

En av de mest användbara funktionerna i Wireshark är möjligheten att följa en ström. Det är bäst att tänka på en tråd som en kedja. I skärmdumpen nedan kan vi se en hel del infångad data, men det jag var mest intresserad av var Googles IP-adress. Jag kan högerklicka och följa TCP-strömmen för att se hela kedjan.

Om trafiken fångades på en annan dator kan du importera PCAP-filen med hjälp av dialogrutan Wireshark File -> Öppna. Samma filter och verktyg är tillgängliga för importerade filer som för infångade nätverksdata.

5.tshark

Tshark är en mycket användbar länk mellan tcpdump och Wireshark. Tcpdump är överlägsen på datainsamling och kan kirurgiskt extrahera endast den data du behöver, men dess dataanalysmöjligheter är mycket begränsade. Wireshark är bra på både infångning och analys, men har ett tungt användargränssnitt och kan inte användas på servrar utan ett GUI. Prova tshark, det fungerar på kommandoraden.

Tshark använder samma filtreringsregler som Wireshark, vilket inte borde vara förvånande eftersom de är i huvudsak samma produkt. Kommandot nedan säger bara till tshark att fånga destinationens IP-adress, såväl som några andra intresseområden från HTTP-delen av paketet.

# tshark -i eth0 -Y http.request -T fields -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100 /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.20.0.4 Linux; x612.20.0. rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_601 Firefox1.0rv:501 Firefox1.0rv:500/0rv:501 Firefox1. Linux x86_64; /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png 172.20.0.5 172.20.0.5 Linux; x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 /5con.ico01 Firefox/5con7.

Om du vill skriva trafiken till en fil, använd alternativet -W för att göra det, och sedan -r (läs) omkopplaren för att läsa den.

Första fångst:

# tshark -i eth0 -w tshark_packets Fånga på "eth0" 102 ^C

Läs den här, eller flytta den till en annan plats för analys.

# tshark -r tshark_packets -Y http.request -T fields -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko1/00201 Firefox /57.0 /kontakt 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reservations/ 172.20.0.122 Mozilla/5.0 (X115o x0.0 (X115o x0.0; Gev:50 Linux) 01 Firefox / 57.0 /reservations/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/jquery/j2que6-packry. . js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0; x801 Linux:4 Geck:5.0 (X801) 2010 0101 Firefox/57.0 /res/images/title.png

Detta är ett mycket intressant verktyg som faller mer inom kategorin nätverkskriminaltekniska analysverktyg snarare än bara sniffers. Området kriminalteknik handlar vanligtvis om utredningar och bevisinsamling, och Network Miner gör det här jobbet bra. Precis som wireshark kan följa en TCP-ström för att rekonstruera en hel paketöverföringskedja, kan Network Miner följa en ström för att återställa filer som har överförts över ett nätverk.

Network Miner kan placeras strategiskt på nätverket för att kunna observera och samla in trafik som intresserar dig i realtid. Det kommer inte att generera sin egen trafik på nätverket, så det kommer att fungera smygande.

Network Miner kan också arbeta offline. Du kan använda tcpdump för att samla in paket på en nätverksintressant och sedan importera PCAP-filerna till Network Miner. Därefter kan du försöka återställa alla filer eller certifikat som finns i den inspelade filen.

Network Miner är gjord för Windows, men med Mono kan den köras på alla operativsystem som stöder Mono-plattformen, som Linux och MacOS.

Det finns en gratisversion, instegsnivå, men med en anständig uppsättning funktioner. Om du behöver ytterligare funktioner som geolokalisering och anpassade skript måste du köpa en professionell licens.

7. Spelman (HTTP)

Det är inte tekniskt sett ett nätverkspaketfångstverktyg, men det är så otroligt användbart att det hamnar på den här listan. Till skillnad från de andra verktygen som listas här, som är designade för att fånga nätverkstrafik från vilken källa som helst, är Fiddler mer av ett felsökningsverktyg. Den fångar HTTP-trafik. Även om många webbläsare redan har denna funktion i sina utvecklarverktyg, är Fiddler inte begränsad till webbläsartrafik. Fiddler kan fånga all HTTP-trafik på en dator, inklusive icke-webbapplikationer.

Många stationära applikationer använder HTTP för att ansluta till webbtjänster, och förutom Fiddler är det enda sättet att fånga sådan trafik för analys att använda verktyg som tcpdump eller Wireshark. Men de fungerar på paketnivå, så analys kräver att dessa paket rekonstrueras till HTTP-strömmar. Det kan vara mycket jobb att göra enkel research, och det är där Fiddler kommer in. Fiddler hjälper dig att upptäcka cookies, certifikat och annan användbar data som skickas av applikationer.

Fiddler är gratis och, precis som Network Miner, kan den köras i Mono på nästan alla operativsystem.

8. Capsa

Capsa nätverksanalysator har flera utgåvor, var och en med olika möjligheter. På den första nivån är Capsa gratis, och det låter dig i princip helt enkelt fånga paket och utföra grundläggande grafisk analys på dem. Instrumentpanelen är unik och kan hjälpa en oerfaren systemadministratör att snabbt identifiera nätverksproblem. Den kostnadsfria nivån är för personer som vill lära sig mer om paket och bygga sina analysfärdigheter.

Gratisversionen låter dig övervaka över 300 protokoll, är lämplig för e-postövervakning samt lagring av e-postinnehåll, och den stöder även triggers som kan användas för att utlösa varningar när vissa situationer uppstår. I detta avseende kan Capsa till viss del användas som ett stödverktyg.

Capsa är endast tillgängligt för Windows 2008/Vista/7/8 och 10.

Slutsats

Det är lätt att förstå hur en systemadministratör kan skapa en nätverksövervakningsinfrastruktur med hjälp av de verktyg vi har beskrivit. Tcpdump eller Windump kan installeras på alla servrar. En schemaläggare, som cron eller Windows schemaläggare, startar en paketinsamlingssession vid rätt tidpunkt och skriver insamlad data till en pcap-fil. Systemadministratören kan sedan överföra dessa paket till den centrala maskinen och analysera dem med hjälp av wireshark. Om nätverket är för stort för detta finns verktyg av företagsklass som SolarWinds tillgängliga för att förvandla alla nätverkspaket till en hanterbar datamängd.

Original: 8 bästa paketsniffer och nätverksanalysatorer
Författare: Jon Watson
Publiceringsdatum: 22 november 2017
Översättning: A. Krivoshey
Överföringsdatum: december 2017

De bästa paketsniffarna och nätverksanalysatorerna

Industriella verktyg

Andra tekniker för att hantera dataintensiva nätverk inkluderar NetFlow och sFlow. Var och en har sina egna styrkor och svagheter,

Du kan lära dig mer om NetFlow och sFlow.

Grunderna

Det huvudsakliga verktyget för att samla in nätverkstrafik är

[ ~ ]$ ps -ef | grep google användare 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

# tcpdump -i eth0 -w tcpdump_packets tcpdump: lyssnar på eth0, länktyp EN10MB (Ethernet), infångningsstorlek 262144 byte ^C51-paket infångade

Det här kommandot skapar en fil med de insamlade data:

Fil tcpdump_packets tcpdump_packets: tcpdump capture file (little-endian) - version 2.4 (Ethernet, infångningslängd 262144)

Standarden för sådana filer är pcap-formatet. Det är inte text, så det kan bara analyseras med hjälp av program som förstår detta format.

3.Windump

Som med tcpdump kan Windump visa nätverksdata för analys, filtrera det på samma sätt och även skriva data till en pcap-fil för senare analys.

4. Wireshark

5.tshark

Om du vill skriva trafiken till en fil, använd alternativet -W för att göra det, och sedan -r (läs) omkopplaren för att läsa den.

Första fångst:

# tshark -i eth0 -w tshark_packets Fånga på "eth0" 102 ^C

Läs den här, eller flytta den till en annan plats för analys.

Network Miner är gjord för Windows, men med Mono kan den köras på alla operativsystem som stöder Mono-plattformen, som Linux och MacOS.

7. Spelman (HTTP)

Fiddler är gratis och, precis som Network Miner, kan den köras i Mono på nästan alla operativsystem.

8. Capsa

Capsa är endast tillgängligt för Windows 2008/Vista/7/8 och 10.

Slutsats

Läs andra artiklar om att avlyssna och analysera nätverkstrafik :

Dan Nanni, kommandoradsverktyg för övervakning av nätverkstrafik på Linux
Paul Cobbaut, Linux System Administration. Avlyssna nätverkstrafik
Paul Ferrill, 5 verktyg för nätverksövervakning på Linux
Pankaj Tanwar, paketfångst med libpcap-bibliotek
Riccardo Capecchi, Använda filter i Wireshark
Nathan Willis, nätverksanalys med Wireshark
Prashant Phatak,

Ministeriet för utbildning och vetenskap i Ryska federationen

Statlig utbildningsinstitution "St. Petersburg State Polytechnic University"

Cheboksary Institute of Economics and Management (filial)

Institutionen för högre matematik och informationsteknologi

ABSTRAKT

i kursen ”Informationssäkerhet”.

på ämnet: "Nätverksanalysatorer"

Avslutad

4:e årselev, lön 080502-51M

huvudämne "Management"

på ett maskintekniskt företag"

Pavlov K.V.

Kontrollerade

Lärare

Cheboksary 2011

INTRODUKTION

Ethernet-nätverk har vunnit enorm popularitet på grund av deras goda genomströmning, enkla installation och rimliga kostnader för att installera nätverksutrustning.
Emellertid är Ethernet-tekniken inte utan betydande nackdelar. Den viktigaste är osäkerheten i den överförda informationen. Datorer som är anslutna till ett Ethernet-nätverk kan fånga upp information adresserad till sina grannar. Anledningen till detta är den så kallade broadcast-meddelandemekanismen som används i Ethernet-nätverk.

Att ansluta datorer i ett nätverk bryter de gamla axiomen för informationssäkerhet. Till exempel om statisk säkerhet. Tidigare kunde en systemsårbarhet upptäckas och åtgärdas av systemadministratören genom att installera lämplig uppdatering, som bara kunde kontrollera funktionen hos den installerade "patchen" flera veckor eller månader senare. Denna "patch" kan dock ha tagits bort av användaren av misstag eller under arbetet, eller av en annan administratör vid installation av nya komponenter. Allt förändras, och nu förändras informationstekniken så snabbt att statiska säkerhetsmekanismer inte längre ger fullständig systemsäkerhet.

Fram till nyligen var den huvudsakliga mekanismen för att skydda företagsnätverk brandväggar. Brandväggar som utformats för att skydda en organisations informationsresurser visar sig dock ofta själva vara sårbara. Detta beror på att systemadministratörer skapar så många förenklingar i åtkomstsystemet att säkerhetssystemets stenmur så småningom blir full av hål, som en såll. Brandväggsskydd (brandvägg) kanske inte är praktiskt för företagsnätverk med hög trafik eftersom användningen av flera brandväggar kan påverka nätverkets prestanda avsevärt. I vissa fall är det bättre att ”lämna dörrarna vidöppna” och fokusera på metoder för att upptäcka och reagera på nätverksintrång.

För konstant (24 timmar om dygnet, 7 dagar i veckan, 365 dagar om året) övervakning av ett företagsnätverk för att upptäcka attacker, är "aktiva" skyddssystem utformade - attackdetekteringssystem. Dessa system upptäcker attacker på företagsnätverksnoder och svarar på dem på ett sätt som anges av säkerhetsadministratören. Till exempel avbryter de anslutningen till den attackerande noden, informerar administratören eller anger information om attacken i loggarna.

1. NÄTVERKSANALYSER

1.1 IP - VARNA 1 ELLER FÖRSTA NÄTVERKSMONITOR

Först bör vi säga några ord om lokala sändningar. I ett Ethernet-nätverk delar de datorer som är anslutna till det vanligtvis samma kabel, som fungerar som ett medium för att skicka meddelanden mellan dem.

Den som vill sända ett meddelande över en gemensam kanal måste först se till att denna kanal är ledig vid en given tidpunkt. Efter att ha startat sändningen lyssnar datorn på signalens bärfrekvens och avgör om signalen har förvrängts till följd av kollisioner med andra datorer som sänder sina data samtidigt. Vid en kollision avbryts överföringen och datorn "tystar" under en viss tid för att försöka upprepa överföringen lite senare. Om en dator som är ansluten till ett Ethernet-nätverk inte sänder något själv, fortsätter den ändå att "lyssna" på alla meddelanden som sänds över nätverket av angränsande datorer. Efter att ha lagt märke till dess nätverksadress i rubriken på den inkommande databiten, kopierar datorn denna del till sitt lokala minne.

Det finns två huvudsakliga sätt att ansluta datorer till ett Ethernet-nätverk. I det första fallet är datorer anslutna med en koaxialkabel. Denna kabel läggs från dator till dator, ansluts till nätverksadaptrar med en T-formad kontakt och slutar i ändarna med BNC-terminatorer. Denna topologi på professionellt språk kallas ett Ethernet 10Base2-nätverk. Men det kan också kallas ett nätverk där "alla hör alla." Varje dator som är ansluten till ett nätverk kan fånga upp data som skickas över det nätverket av en annan dator. I det andra fallet är varje dator ansluten med en tvinnad parkabel till en separat port på en central växlingsenhet - ett nav eller en switch. I sådana nätverk, kallade Ethernet lOBaseT-nätverk, delas datorer in i grupper som kallas kollisionsdomäner. Kollisionsdomäner definieras av nav- eller switchportar som är anslutna till en gemensam buss. Som ett resultat av detta inträffar inte kollisioner mellan alla datorer i nätverket. och separat - mellan de av dem som är en del av samma kollisionsdomän, vilket ökar genomströmningen av nätverket som helhet.

Nyligen har en ny typ av switchar börjat dyka upp i stora nätverk som inte använder sig av broadcasting och som inte stänger samman grupper av portar. Istället buffras all data som skickas över nätverket i minnet och skickas så snart som möjligt. Det finns dock fortfarande en hel del sådana nätverk - inte mer än 5% av det totala antalet nätverk av Ethernet-typ.

Således kräver dataöverföringsalgoritmen som används i de allra flesta Ethernet-nätverk att varje dator som är ansluten till nätverket kontinuerligt "lyssnar" på all nätverkstrafik utan undantag. De åtkomstalgoritmer som föreslagits av vissa personer, där datorer skulle kopplas bort från nätverket medan de överförde "andras" meddelanden, förblev orealiserade på grund av deras överdrivna komplexitet, höga implementeringskostnader och låga effektivitet.

Vad är IPAlert-1 och var kom det ifrån? En gång i tiden ledde den praktiska och teoretiska forskningen från författarna inom området relaterad till studiet av nätverkssäkerhet till följande idé: på Internet, såväl som i andra nätverk (till exempel Novell NetWare, Windows NT), det fanns en allvarlig brist på säkerhetsprogramvara som skulle göra det komplex styrning (övervakning) på länknivå av hela flödet av information som sänds över nätverket för att upptäcka alla typer av fjärrpåverkan som beskrivs i litteraturen. En studie av marknaden för programvara för Internetnätverkssäkerhet visade att sådana omfattande verktyg för fjärrattackdetektering inte existerade, och de som fanns var utformade för att upptäcka en specifik typ av attack (till exempel ICMP Redirect eller ARP). Därför startades utvecklingen av ett övervakningsverktyg för ett IP-nätverkssegment, avsett för användning på Internet och fick följande namn: IP Alert-1 nätverkssäkerhetsmonitor.

Huvuduppgiften för detta verktyg, som programmatiskt analyserar nätverkstrafik i en överföringskanal, är inte att avvärja fjärrattacker som utförs över en kommunikationskanal, utan att upptäcka och logga dem (underhålla en revisionsfil med inloggning i en form som är bekväm för efterföljande visuella analys av alla händelser associerade med fjärrattacker på ett visst nätverkssegment) och omedelbart varna säkerhetsadministratören om en fjärrattack upptäcks. Huvuduppgiften för IP Alert-1 nätverkssäkerhetsmonitor är att övervaka säkerheten för motsvarande Internetsegment.

IP Alert-1 nätverkssäkerhetsmonitor har följande funktionalitet och gör det möjligt att genom nätverksanalys upptäcka följande fjärrattacker på nätverkssegmentet som den kontrollerar:

1. Övervakning av överensstämmelsen mellan IP- och Ethernet-adresser i paket som överförs av värdar inom det kontrollerade nätverkssegmentet.

På IP Alert-1-värden skapar säkerhetsadministratören en statisk ARP-tabell, där han anger information om motsvarande IP- och Ethernet-adresser för värdar som finns inom det kontrollerade nätverkssegmentet.

Denna funktion låter dig upptäcka en obehörig ändring av IP-adressen eller dess ersättning (så kallad IP-spoofing, spoofing, IP-spoofing (jarg)).

2. Övervaka korrekt användning av fjärr-ARP-sökmekanismen. Den här funktionen låter dig upptäcka en falsk ARP-attack på distans med hjälp av en statisk ARP-tabell.

3. Övervaka korrekt användning av fjärrsökmekanismen för DNS. Denna funktion låter dig identifiera alla möjliga typer av fjärrattacker på DNS-tjänsten

4. Övervaka korrektheten av försök till fjärranslutningar genom att analysera överförda förfrågningar. Den här funktionen låter dig upptäcka, för det första, ett försök att undersöka lagen för att ändra det initiala värdet för TCP-anslutningsidentifieraren - ISN, för det andra en fjärröverbelastningsattack utförd genom att svämma över anslutningskön, och för det tredje en riktad "storm" av falska anslutningsförfrågningar (både TCP och UDP), vilket också leder till denial of service.

Således låter IP Alert-1 nätverkssäkerhetsmonitorn dig upptäcka, meddela och registrera de flesta typer av fjärrattacker. Det här programmet är dock inte på något sätt en konkurrent till brandväggssystem. IP Alert-1, som använder funktionerna för fjärrattacker på Internet, fungerar som ett nödvändigt tillägg - förresten, ojämförligt billigare - till brandväggssystem. Utan en säkerhetsmonitor förblir de flesta försök att starta fjärrattacker på ditt nätverkssegment dolda för dina ögon. Ingen av de kända brandväggarna är engagerad i en så intelligent analys av meddelanden som passerar genom nätverket för att identifiera olika typer av fjärrattacker, och begränsar sig i bästa fall till att hålla en logg som registrerar information om lösenordsgissningsförsök, portskanning och nätverksskanning med att använda välkända fjärrsökprogram. Därför, om en IP-nätverksadministratör inte vill förbli likgiltig och nöja sig med rollen som en enkel statistik under fjärrattacker på sitt nätverk, är det tillrådligt för honom att använda IP Alert-1 nätverkssäkerhetsmonitor.

Behovet av att analysera nätverkstrafik kan uppstå av flera skäl. Övervakning av datorsäkerhet, felsökning av det lokala nätverket, övervakning av utgående trafik för att optimera driften av en delad Internetanslutning - alla dessa uppgifter är ofta på dagordningen för systemadministratörer och vanliga användare. För att lösa dem finns det många verktyg som kallas sniffers, både specialiserade, som syftar till att lösa ett smalt område av uppgifter, och multifunktionella "skördare", som ger användaren ett brett urval av verktyg. Den här artikeln introducerar en av representanterna för den senare gruppen, nämligen CommView-verktyget som produceras av företaget. Programmet låter dig tydligt se hela bilden av trafiken som passerar genom en dator eller ett lokalt nätverkssegment; ett anpassningsbart larmsystem låter dig varna om närvaron av misstänkta paket i trafiken, uppkomsten av noder med onormala adresser i nätverket eller en ökning av nätverksbelastningen.

CommView ger möjlighet att upprätthålla statistik på alla IP-anslutningar, avkoda IP-paket till en låg nivå och analysera dem. Det inbyggda filtersystemet baserat på flera parametrar låter dig konfigurera spårning exklusivt för de nödvändiga paketen, vilket gör deras analys mer effektiv. Programmet kan känna igen paket från mer än sju dussin av de vanligaste protokollen (inklusive DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP, etc.), och spara dem även i filer för efterföljande analys. En mängd andra verktyg, som att identifiera nätverkskorttillverkaren genom MAC-adress, HTML-rekonstruktion och fjärrpaketfångning med hjälp av det valfria CommView Remote Agent-verktyget, kan också vara användbart i vissa fall.

Arbetar med programmet

Först måste du välja nätverksgränssnittet där trafiken ska övervakas.

CommView stöder nästan alla typer av Ethernet-adapter - 10, 100 och 1000 Mbit/s, såväl som analoga modem, xDSL, Wi-Fi, etc. Genom att analysera Ethernet-adaptertrafik kan CommView avlyssna inte bara inkommande och utgående, utan även transitering paket adresserade till vilken dator som helst i det lokala nätverkssegmentet. Det är värt att notera att om uppgiften är att övervaka all trafik på ett lokalt nätverkssegment, så krävs det att datorerna i det är anslutna via en hubb och inte via en switch. Vissa moderna switchmodeller har en portspeglingsfunktion, vilket gör att de även kan konfigureras för nätverksövervakning med CommView. Du kan läsa mer om detta. När du har valt önskad anslutning kan du börja fånga paket. Start- och stoppfångstknapparna finns nära gränssnittsvalsraden. För att arbeta med en fjärråtkomstkontroller, VPN och PPPoE måste du installera lämplig drivrutin när du installerar programmet.

Programmets huvudfönster är uppdelat i flera flikar som ansvarar för ett eller annat arbetsområde. Den första av dem, "Aktuella IP-anslutningar", visar detaljerad information om datorns aktiva IP-anslutningar. Här kan du se den lokala och fjärranslutna IP-adressen, antalet överförda och mottagna paket, överföringsriktningen, antalet etablerade IP-sessioner, portar, värdnamn (om DNS-igenkänningsfunktionen inte är inaktiverad i programinställningarna), och namnet på processen som tar emot eller sänder paketet för denna session. Den senaste informationen är inte tillgänglig för transitpaket eller på datorer som kör Windows 9x/ME.

Aktuella IP-anslutningar Tab

Om du högerklickar på någon anslutning öppnas en snabbmeny där du kan hitta verktyg som gör det lättare att analysera kopplingarna. Här kan du se mängden data som överförs inom anslutningen, en komplett lista över portar som används, detaljerad information om processen som tar emot eller sänder paket för denna session. CommView låter dig skapa alias för MAC- och IP-adresser. Genom att till exempel ange alias istället för krångliga digitala adresser till maskiner i ett lokalt nätverk kan du få lättläsbara och minnesvärda datornamn och på så sätt underlätta anslutningsanalys.

För att skapa ett alias för en IP-adress måste du välja "Skapa ett alias" och "använda lokal IP" eller "använda fjärr-IP" i snabbmenyn. I fönstret som dyker upp är IP-adressfältet redan ifyllt och det återstår bara att ange ett passande namn. Om en ny post för IP-namn skapas genom att högerklicka på ett paket, fylls namnfältet automatiskt i med värdnamnet (om tillgängligt) och kan redigeras. Detsamma gäller för att arbeta med MAC-alias.

Från samma meny, genom att välja SmartWhois, kan du skicka den valda källan eller destinations-IP-adressen till SmartWhois, en fristående applikation från Tamosoft som samlar in information om vilken IP-adress eller värdnamn som helst, som nätverksnamn, domän, land, stat eller provins , stad och tillhandahåller det till användaren.

Andra fliken, "paket", visar alla paket som fångas upp på det valda nätverksgränssnittet och detaljerad information om dem.

Fliken Paket

Fönstret är uppdelat i tre områden. Den första av dem visar en lista över alla avlyssnade paket. Om du väljer ett av paketen genom att klicka på det med muspekaren kommer de återstående fönstren att visa information om det. Detta visar paketnummer, protokoll, Mac- och IP-adresser för den sändande och mottagande värden, de portar som används och den tid då paketet dök upp.

Det mellersta området visar innehållet i paketet - i hexadecimal eller text. I det senare fallet ersätts tecken som inte är utskrivna med punkter. Om flera paket väljs samtidigt i det övre området, kommer det mellersta fönstret att visa det totala antalet valda paket, deras totala storlek, samt tidsintervallet mellan det första och sista paketet.

Det nedre fönstret visar avkodad detaljerad information om det valda paketet.

Genom att klicka på en av de tre knapparna i den nedre högra delen av fönstret kan du välja platsen för avkodningsfönstret: längst ner eller justerat till vänster eller höger. De andra två knapparna låter dig automatiskt gå till det senast mottagna paketet och spara det valda paketet i det synliga listområdet.

Kontextmenyn låter dig kopiera MAC, IP-adresser och hela paket till urklipp, tilldela alias, tillämpa ett snabbfilter för att välja de nödvändiga paketen och även använda verktygen "TCP Session Reconstruction" och "Packet Generator".

Med verktyget för återuppbyggnad av TCP-sessioner kan du se utbytesprocessen mellan två värdar via TCP. För att göra sessionens innehåll mer förståeligt måste du välja lämplig "visningslogik". Denna funktion är mest användbar för att återställa textinformation som HTML eller ASCII.

Den resulterande informationen kan exporteras som en text-, RTF- eller binärfil.

Fliken Loggfiler. Här kan du konfigurera inställningarna för att spara infångade paket till en fil. CommView sparar loggfiler i eget NCF-format; För att se dem används ett inbyggt verktyg, som kan startas från menyn "Arkiv".

Det är möjligt att aktivera automatisk lagring av avlyssnade paket när de anländer, logga HTTP-sessioner i TXT- och HTML-format, spara, ta bort, slå samman och dela loggfiler. En sak att komma ihåg är att ett paket inte sparas direkt vid ankomst, så om du visar loggfilen i realtid kommer den med största sannolikhet inte att visa de senaste paketen. För att programmet omedelbart ska skicka bufferten till en fil måste du klicka på knappen "Slutför infångning".

I fliken "Regler" du kan ställa in villkor för att fånga upp eller ignorera paket.

För att underlätta valet och analysen av de nödvändiga paketen kan du använda filtreringsregler. Detta kommer också att avsevärt minska mängden systemresurser som används av CommView.

För att aktivera en regel måste du välja lämplig sektion till vänster i fönstret. Totalt finns sju typer av regler tillgängliga: enkla - "Protokoll och riktning", "Mac-adresser", "IP-adresser", "Portar", "Text", "TCP-flaggor", "Process", samt den universella regel "Formel" " För var och en av de enkla reglerna är det möjligt att välja individuella parametrar, som att välja en riktning eller protokoll. Den universella formelregeln är en kraftfull och flexibel mekanism för att skapa filter med hjälp av boolesk logik. En detaljerad referens om dess syntax kan hittas.

Flik "Varningar" hjälper dig att konfigurera inställningarna för aviseringar om olika händelser som inträffar i nätverkssegmentet som studeras.

På fliken Alerts kan du skapa, redigera, ta bort varningsregler och visa aktuella händelser som matchar dessa regler

För att ställa in en varningsregel måste du klicka på knappen "Lägg till..." och i fönstret som öppnas, välj de nödvändiga villkoren som kommer att utlösa ett meddelande, samt metoden för att meddela användaren om detta.

CommView låter dig definiera följande typer av händelser att övervaka:

"Detektera ett paket" som matchar den angivna formeln. Formelsyntaxen beskrivs i detalj i användarmanualen;
"Byte per sekund." Denna varning utlöses när den specificerade nätverksbelastningsnivån överskrids;
"Paket per sekund." Utlöses när den specificerade nivån för paketöverföringsfrekvens överskrids;
"Sändningar per sekund." Detsamma, endast för broadcastpaket;
"Multicasts per second" - samma sak för multicast-paket.
"Okänd MAC-adress." Denna varning kan användas för att upptäcka ny eller obehörig utrustning som ansluter till nätverket genom att först definiera en lista över kända adresser med hjälp av alternativet Setup;
Varningen "Okänd IP-adress" kommer att utlösas när paket med okända avsändarens eller mottagar-IP-adresser fångas upp. Om du i förväg anger en lista över kända adresser kan den här varningen användas för att upptäcka obehöriga anslutningar via företagets brandvägg.

CommView har ett kraftfullt verktyg för att visualisera statistiken för den trafik som studeras. För att öppna statistikfönstret måste du välja objektet med samma namn från menyn "Visa".

Statistikfönster i läget "Allmänt".

I det här fönstret kan du se nätverkstrafikstatistik: här kan du se antalet paket per sekund, byte per sekund, distribution av Ethernet, IP-protokoll och subprotokoll. Diagram kan kopieras till urklipp, vilket hjälper dig när du behöver sammanställa rapporter.

Tillgänglighet, kostnad, systemkrav

Den nuvarande versionen av programmet är CommView 5.1. Från Tamosofts webbplats kan du, som kommer att fungera i 30 dagar.

Utvecklaren erbjuder sina kunder två licensalternativ:

Hemmalicens (hemlicens), värd 2 000 rubel, ger rätt att använda programmet hemma på icke-kommersiell basis, medan antalet tillgängliga värdar för övervakning på ditt hemnätverk är begränsat till fem. Denna licenstyp tillåter dig inte att arbeta på distans med hjälp av Remote Agent.
Enterprise License (företag, kostnad - 10 000 rubel) ger rätten till kommersiell och icke-kommersiell användning av programmet av en person som personligen använder programmet på en eller flera maskiner. Programmet kan också installeras på en arbetsstation och användas av flera personer, men inte samtidigt.

Applikationen körs på Windows 98/Me/NT/2000/XP/2003 operativsystem. För att fungera behöver du en Ethernet-nätverksadapter, trådlöst Ethernet, Token Ring med stöd för NDIS 3.0-standarden, eller en standardkontroll för fjärråtkomst.

Fördelar:

lokaliserat gränssnitt;
utmärkt hjälpsystem;
stöd för olika typer av nätverkskort;
avancerade verktyg för att analysera paket och identifiera protokoll;
statistisk visualisering;
funktionellt varningssystem.

Minus:

för hög kostnad;
brist på förinställningar för avlyssning och varningsregler;
inte en särskilt bekväm mekanism för att välja ett paket på fliken "Paket".

Slutsats

Tack vare sin utmärkta funktionalitet och användarvänliga gränssnitt kan CommView bli ett oumbärligt verktyg för lokala nätverksadministratörer, Internetleverantörer och hemanvändare. Jag var nöjd med utvecklarens noggranna inställning till den ryska lokaliseringen av paketet: både gränssnittet och referensmanualen gjordes på en mycket hög nivå. Bilden är något grumlig av den höga kostnaden för programmet, men en trettio dagars testversion hjälper en potentiell köpare att besluta om det är lämpligt att köpa det här verktyget.

Varje medlem i ][-teamet har sina egna preferenser angående programvara och verktyg för
penna test. Efter samråd fick vi reda på att valet varierar så mycket att det är möjligt
skapa en riktig gentlemans uppsättning beprövade program. Det är allt
bestämt. För att inte göra en hodgepodge delade vi upp hela listan i ämnen – och in
Den här gången kommer vi att beröra verktyg för att sniffa och manipulera paket. Använd den på
hälsa.

Wireshark

Netcat

Om vi pratar om dataavlyssning, alltså Network Miner kommer att tas ur luften
(eller från en förberedd dump i PCAP-format) filer, certifikat,
bilder och andra medier, samt lösenord och annan information för auktorisering.
En användbar funktion är att söka efter de delar av data som innehåller nyckelord
(till exempel användarinloggning).

Skapigt

Hemsida:
www.secdev.org/projects/scapy

Ett måste för alla hackare, det är ett kraftfullt verktyg för
interaktiv paketmanipulation. Ta emot och avkoda paket av de flesta
olika protokoll, svara på begäran, injicera den modifierade och
ett paket skapat av dig själv - allt är enkelt! Med dess hjälp kan du utföra en helhet
en rad klassiska uppgifter som skanning, tracorute, attacker och upptäckt
nätverksinfrastruktur. I en flaska får vi en ersättning för sådana populära verktyg,
som: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f, etc. Vid den
det är på tiden Skapigt låter dig utföra vilken uppgift som helst, även den mest specifika
en uppgift som aldrig kan utföras av en annan utvecklare som redan har skapats
betyder att. Istället för att skriva ett helt berg av rader i C för att t.ex.
Det räcker att generera fel paket och lura ut någon demon
släng in ett par rader kod med hjälp av Skapigt! Programmet har inte
grafiskt gränssnitt, och interaktivitet uppnås genom tolken
Pytonorm. När du väl fått kläm på det kommer det inte att kosta dig något att skapa felaktiga
paket, injicera de nödvändiga 802.11-ramarna, kombinera olika angreppssätt
(säg ARP-cacheförgiftning och VLAN-hoppning), etc. Utvecklarna själva insisterar
för att säkerställa att Scapys kapacitet används i andra projekt. Ansluter den
som en modul är det enkelt att skapa ett verktyg för olika typer av lokalområdesforskning,
sökning efter sårbarheter, Wi-Fi-injektion, automatisk exekvering av specifika
uppgifter osv.

packet

Hemsida:
Plattform: *nix, det finns en port för Windows

En intressant utveckling som gör att man å ena sidan kan generera ev
ethernet-paket, och å andra sidan skicka sekvenser av paket med syftet
bandbreddskontroller. Till skillnad från andra liknande verktyg, packet
har ett grafiskt gränssnitt, så att du kan skapa paket så enkelt som möjligt
form. Dessutom. Skapandet och sändningen är särskilt utarbetade
sekvenser av paket. Du kan ställa in fördröjningar mellan sändning,
skicka paket med maximal hastighet för att testa genomströmningen
del av nätverket (ja, det är här de kommer att arkivera) och vad som är ännu mer intressant -
ändra dynamiskt parametrar i paket (till exempel IP- eller MAC-adress).

Nätverksövervakning med hjälp av verktygen TCPView och netstat. Nätverkstrafikanalysatorer: granskning av betalda och gratislösningar Analys av paket på nätverket

De bästa paketsniffarna och nätverksanalysatorerna

Industriella verktyg

Grunderna

3.Windump

4. Wireshark

5.tshark

7. Spelman (HTTP)

8. Capsa

Slutsats

Arbetar med programmet

Tillgänglighet, kostnad, systemkrav

Fördelar:

Minus:

Slutsats

Wireshark

Netcat

Skapigt

packet

Senast

Du måste veta detta