Tinklo paketų analizė. Tinklo srauto analizatoriai: mokamų ir nemokamų sprendimų apžvalga. Pagrindinės CommView savybės

Originalus: 8 geriausi paketų sniferiai ir tinklo analizatoriai
Autorius: Jonas Watsonas
Paskelbimo data: 2017 m. lapkričio 22 d
Vertimas: A. Krivoshey
Vertimo data: 2017 m. gruodžio mėn

Paketų uostymas yra šnekamosios kalbos terminas, reiškiantis tinklo srauto analizės meną. Priešingai populiariems įsitikinimams, tokie dalykai kaip el. laiškai ir tinklalapiai nekeliauja internetu viename gabale. Jie suskaidomi į tūkstančius mažų duomenų paketų ir tokiu būdu siunčiami internetu. Šiame straipsnyje apžvelgsime geriausius nemokamus tinklo analizatorius ir paketų snifferius.

Yra daug paslaugų, kurios renka tinklo srautą, ir dauguma jų kaip branduolį naudoja pcap (į Unix panašiose sistemose) arba libcap (Windows). Šiuos duomenis analizuoti padeda kitos paslaugos, nes net ir nedidelis srautas gali generuoti tūkstančius paketų, kuriuos sunku naršyti. Beveik visos šios komunalinės paslaugos mažai skiriasi viena nuo kitos renkant duomenis, pagrindiniai skirtumai yra tai, kaip jos analizuoja duomenis.

Norint analizuoti tinklo srautą, reikia suprasti, kaip tinklas veikia. Nėra įrankio, kuris stebuklingai pakeistų analitiko žinias apie tinklo pagrindus, pvz., TCP 3 krypčių rankos paspaudimas, naudojamas dviejų įrenginių ryšiui inicijuoti. Analitikai taip pat turi šiek tiek suprasti tinklo srauto tipus gerai veikiančiame tinkle, pvz., ARP ir DHCP. Šios žinios yra svarbios, nes analitinės priemonės tiesiog parodys, ko paprašysite jų padaryti. Ko prašyti, priklauso nuo jūsų. Jei nežinote, kaip paprastai atrodo jūsų tinklas, gali būti sunku žinoti, kad surinktų paketų masėje radote tai, ko jums reikia.

Geriausi paketų uostikliai ir tinklo analizatoriai

Pramoniniai įrankiai

Pradėkime nuo viršaus ir pereikime prie pagrindų. Jei susiduriate su įmonės lygio tinklų kūrimu, jums reikia didelio ginklo. Nors beveik viskas priklauso nuo tcpdump (daugiau apie tai vėliau), įmonės lygio įrankiai gali išspręsti tam tikras sudėtingas problemas, pvz., koreliuoti srautą iš kelių serverių, teikti išmaniąsias užklausas problemoms nustatyti, įspėti apie išimtis ir generuoti geras diagramas, kurias visada vadovauja viršininkai. reikalauti....

Įmonių įrankiai paprastai yra skirti srautiniam tinklo srautui perduoti, o ne paketų turiniui vertinti. Tuo noriu pasakyti, kad pagrindinis daugumos sistemos administratorių rūpestis įmonėje yra užtikrinti, kad tinkle nebūtų našumo kliūčių. Kai atsiranda tokių kliūčių, paprastai siekiama nustatyti, ar problemą sukelia tinklas ar tinkle esanti programa. Kita vertus, šie įrankiai paprastai gali apdoroti tiek srauto, kad gali padėti numatyti, kada tinklo segmentas bus visiškai įkeltas, o tai yra kritinis pralaidumo valdymo taškas.

Tai labai didelis IT valdymo įrankių rinkinys. Šiame straipsnyje tinkamesnė yra giluminio paketų tikrinimo ir analizės priemonė, kuri yra neatskiriama jos dalis. Surinkti tinklo srautą yra gana paprasta. Naudojant tokius įrankius kaip „WireShark“, pagrindinė analizė taip pat nėra problema. Tačiau situacija ne visada yra visiškai aiški. Labai užimtame tinkle gali būti sunku apibrėžti net labai paprastus dalykus, pvz.:

Kuri tinklo programa generuoja šį srautą?
- jei programa yra žinoma (tarkime, interneto naršyklė), kurioje jos vartotojai praleidžia didžiąją laiko dalį?
- kurios jungtys yra ilgiausios ir perkrauna tinklą?

Dauguma tinklo įrenginių naudoja kiekvieno paketo metaduomenis, kad įsitikintų, jog paketas nukeliauja ten, kur reikia. Paketo turinys tinklo įrenginiui nežinomas. Gilus paketų patikrinimas yra kitas dalykas; tai reiškia, kad tikrinamas tikrasis pakuotės turinys. Tokiu būdu galite atrasti svarbią tinklo informaciją, kurios negalima surinkti iš metaduomenų. Tokie įrankiai kaip „SolarWinds“ gali pateikti reikšmingesnių duomenų nei tik srauto srautas.

Kitos daug duomenų reikalaujančių tinklų valdymo technologijos apima NetFlow ir sFlow. Kiekvienas turi savo stipriąsias ir silpnąsias puses,

Galite perskaityti daugiau apie NetFlow ir sFlow.

Tinklo analizė apskritai yra pažangiausia tema, kuri remiasi tiek įgytomis žiniomis, tiek praktine patirtimi. Galima apmokyti žmogų, turintį išsamių žinių apie tinklo paketus, bet jei tas žmogus neturi žinių apie patį tinklą ir neturi patirties aptikti anomalijas, jam nesiseks. Šiame straipsnyje aprašytus įrankius turėtų naudoti patyrę tinklo administratoriai, kurie žino, ko nori, bet nėra tikri, kuri programa yra geriausia. Jas taip pat gali naudoti mažiau patyrę sistemos administratoriai, kad įgytų kasdienės tinklo patirties.

Pagrindai

Pagrindinis tinklo srauto rinkimo įrankis yra

Tai atvirojo kodo programa, kuri įdiegiama beveik visose Unix tipo operacinėse sistemose. Tcpdump yra puiki duomenų rinkimo priemonė, turinti labai sudėtingą filtravimo kalbą. Svarbu žinoti, kaip filtruoti duomenis renkant juos, kad būtų galima gauti įprastą duomenų rinkinį analizei. Užfiksavus visus duomenis iš tinklo įrenginio, net ir vidutiniškai užimtame tinkle, gali būti sugeneruota per daug duomenų, kuriuos bus labai sunku analizuoti.

Kai kuriais retais atvejais pakaks atspausdinti užfiksuotus tcpdump duomenis tiesiai į ekraną, kad rastumėte tai, ko jums reikia. Pavyzdžiui, rašydamas šį straipsnį surinkau srautą ir pastebėjau, kad mano mašina siunčia srautą į IP adresą, kurio aš nežinau. Paaiškėjo, kad mano aparatas siuntė duomenis į google IP adresą 172.217.11.142. Kadangi neturėjau jokių „Google“ produktų ir „Gmail“, nežinojau, kodėl taip atsitiko. Patikrinau savo sistemą ir radau:

[~] $ ps -ef | grep google vartotojas 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome --type = paslauga

Pasirodo, net kai „Chrome“ neveikia, ji veikia kaip paslauga. Nebūčiau to pastebėjęs be paketų analizės. Perėmiau dar kelis duomenų paketus, bet šį kartą daviau tcpdump užduotį įrašyti duomenis į failą, kurį atidariau Wireshark (apie tai vėliau). Šie įrašai yra:

Tcpdump yra mėgstamiausias sysadmins įrankis, nes jis yra komandinės eilutės įrankis. Norint paleisti tcpdump, nereikia jokios grafinės sąsajos. Gamybos serveriams grafinė sąsaja yra gana žalinga, nes sunaudoja sistemos išteklius, todėl pirmenybė teikiama komandų eilutės programoms. Kaip ir daugelis šiuolaikinių paslaugų, tcpdump kalba labai turtinga ir sudėtinga, kurią įvaldyti užtrunka šiek tiek laiko. Keletas pagrindinių komandų apima tinklo sąsajos pasirinkimą duomenims rinkti ir tų duomenų įrašymą į failą, kad juos būtų galima eksportuoti analizei kitur. Tam naudojami jungikliai -i ir -w.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: klausosi eth0, nuorodos tipo EN10MB (Ethernet), fiksavimo dydis 262144 baitai ^ Užfiksuoti C51 paketai

Ši komanda sukuria failą su užfiksuotais duomenimis:

Failas tcpdump_packets tcpdump_packets: tcpdump fiksavimo failas (little-endian) – 2.4 versija (Ethernet, fiksavimo ilgis 262144)

Šių failų standartas yra pcap formatas. Tai nėra tekstas, todėl jį gali išanalizuoti tik šį formatą suprantančios programos.

3. Vėjo šiukšlynas

Dauguma naudingų atvirojo kodo paslaugų yra klonuojamos į kitas operacines sistemas. Kai taip nutinka, sakoma, kad programa buvo perkelta. Windump yra tcpdump prievadas ir elgiasi labai panašiai.

Svarbiausias skirtumas tarp „Windump“ ir „tcpdump“ yra tas, kad „Windump“ prieš paleidžiant „Windump“ reikia įdiegti „Winpcap“ biblioteką. Nors „Windump“ ir „Winpcap“ teikia tas pats prižiūrėtojas, juos reikia atsisiųsti atskirai.

Winpcap yra biblioteka, kuri turi būti iš anksto įdiegta. Tačiau Windump yra exe failas, kurio nereikia įdiegti, todėl galite tiesiog jį paleisti. Tai reikia turėti omenyje, jei naudojate „Windows“ tinklą. Jums nereikia įdiegti „Windump“ kiekviename kompiuteryje, nes galite tiesiog nukopijuoti jį, jei reikia, bet jums reikės „Winpcap“, kad palaikytų „Windup“.

Kaip ir tcpdump, Windump gali rodyti tinklo duomenis analizei, filtruoti tokiu pačiu būdu ir įrašyti duomenis į pcap failą, kad būtų galima vėliau analizuoti.

4. Wireshark

„Wireshark“ yra kitas garsiausias „sysadmin“ rinkinio įrankis. Tai ne tik leidžia fiksuoti duomenis, bet ir suteikia keletą pažangių analizės įrankių. Be to, „Wireshark“ yra atvirojo kodo ir perkelta į beveik visas esamas serverių operacines sistemas. „Wireshark“, vadinamas „Etheral“, dabar veikia visur, įskaitant kaip atskirą nešiojamąją programą.

Jei analizuojate srautą GUI serveryje, „Wireshark“ gali visa tai padaryti už jus. Jis gali rinkti duomenis ir tada visa tai analizuoti čia. Tačiau GUI serveriuose yra reta, todėl galite nuotoliniu būdu rinkti tinklo duomenis ir išnagrinėti gautą pcap failą savo kompiuterio Wireshark.

Pirmą kartą paleidus, Wireshark leidžia įkelti esamą pcap failą arba pradėti fiksuoti srautą. Pastaruoju atveju galite papildomai nustatyti filtrus, kad sumažintumėte renkamų duomenų kiekį. Jei nenurodysite filtro, Wireshark tiesiog surinks visus tinklo duomenis iš pasirinktos sąsajos.

Viena iš naudingiausių „Wireshark“ funkcijų yra galimybė sekti srautą. Geriausia apie srautą galvoti kaip apie grandinę. Žemiau esančioje ekrano kopijoje matome daug užfiksuotų duomenų, bet labiausiai mane domino Google IP adresas. Galiu spustelėti dešiniuoju pelės mygtuku ir sekti TCP srautą, kad pamatyčiau visą grandinę.

Jei srautas buvo užfiksuotas kitame kompiuteryje, galite importuoti PCAP failą naudodami dialogo langą Wireshark failas -> Atidaryti. Importuotiems failams galimi tie patys filtrai ir įrankiai, kaip ir užfiksuotiems tinklo duomenims.

5.ryklys

„Tshark“ yra labai naudinga jungtis tarp „tcpdump“ ir „Wireshark“. Tcpdump puikiai renka duomenis ir gali chirurginiu būdu išgauti tik jums reikalingus duomenis, tačiau jo duomenų analizės galimybės yra labai ribotos. „Wireshark“ puikiai fiksuoja ir analizuoja, tačiau turi sunkią vartotojo sąsają ir negali būti naudojamas serveriuose be GUI. Išbandykite tshark, jis veikia komandinėje eilutėje.

„Tshark“ naudoja tas pačias filtravimo taisykles kaip ir „Wireshark“, o tai neturėtų stebinti, nes jie iš esmės yra tas pats produktas. Toliau pateikta komanda nurodo „tshark“ tik paimti paskirties IP adresą ir kai kuriuos kitus dominančius laukus iš paketo HTTP dalies.

# tshark -i eth0 -Y http.request -T laukai -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko10 Firefox0 / 201 /57.0 /images/title.png 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css; 172.0 rv: 57.0) „Gecko“ / 20100101 „Firefox“ / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 „Mozilla“ / 5.0 (X11; „Linux“ r) /57.0 /images/styles/index.css 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png; Linux 20. 172.1 x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101. Firefox / 2010017.

Jei norite įrašyti srautą į failą, naudokite parinktį -W ir jungiklį -r (skaityti), kad jį perskaitytumėte.

Pirmiausia užfiksuokite:

# tshark -i eth0 -w tshark_packets Užfiksuojama naudojant "eth0" 102 ^ C

Skaitykite čia arba perkelkite į kitą vietą analizei.

# tshark -r tshark_packets -Y http.request -T laukai -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) 0 Geck00 / Firefox1 /57.0 / susisiekite 57.0 /reservations/styles/styles.css 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery.querypa/jquery. js 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css 172.20.0.122 Geometrija / 5.0 Linux / 5.0 Firefox / 57.0 /res/images/title.png

Tai labai įdomus įrankis, kuris patenka į tinklo kriminalistinės analizės įrankių kategoriją, o ne tik uostytojus. Teismo ekspertizės sritis paprastai susijusi su tyrimais ir įrodymų rinkimu, o „Network Miner“ šį darbą atlieka puikiai. Kaip Wireshark gali sekti TCP srautą, kad atkurtų visą paketų grandinę, Network Miner gali sekti TCP srautą, kad atkurtų tinklu perkeltus failus.

„Network Miner“ gali būti strategiškai patalpintas tinkle, kad būtų galima stebėti ir rinkti jus dominantį srautą realiuoju laiku. Jis negeneruos savo srauto tinkle, todėl veiks slaptai.

„Network Miner“ taip pat gali dirbti neprisijungus. Galite naudoti tcpdump rinkti paketus dominančio tinklo taške ir importuoti PCAP failus į Network Miner. Tada galite pabandyti atkurti visus įrašytame faile rastus failus ar sertifikatus.

„Network Miner“ sukurtas „Windows“, tačiau naudojant „Mono“ jis gali veikti bet kurioje OS, palaikančioje „Mono“ platformą, pvz., „Linux“ ir „MacOS“.

Yra nemokama versija, pradinio lygio, bet su tinkamu funkcijų rinkiniu. Jei jums reikia papildomų funkcijų, tokių kaip geografinė padėtis ir pasirinktiniai scenarijai, turėsite įsigyti profesionalią licenciją.

7. Smuikas (HTTP)

Techniškai tai nėra tinklo paketų fiksavimo programa, tačiau ji tokia neįtikėtinai naudinga, kad pateko į šį sąrašą. Skirtingai nuo kitų čia išvardytų įrankių, skirtų užfiksuoti tinklo srautą iš bet kokio šaltinio, „Fiddler“ yra labiau derinimo įrankis. Jis fiksuoja HTTP srautą. Nors daugelis naršyklių jau turi šią galimybę savo kūrėjo įrankiuose, „Fiddler“ neapsiriboja naršyklės srautu. Fiddler gali užfiksuoti bet kokį HTTP srautą jūsų kompiuteryje, įskaitant ne žiniatinklio programas.

Daugelis darbalaukio programų naudoja HTTP, kad prisijungtų prie žiniatinklio paslaugų, o be „Fiddler“, vienintelis būdas užfiksuoti šį srautą analizei yra naudoti tokius įrankius kaip tcpdump arba Wireshark. Tačiau jie veikia paketų lygiu, todėl analizei būtina šiuos paketus pakeisti į HTTP srautus. Norint atlikti paprastus tyrimus, gali prireikti daug darbo, ir čia atsiranda Fiddler. Fiddler gali padėti aptikti slapukus, sertifikatus ir kitus naudingus programų siunčiamus duomenis.

„Fiddler“ yra nemokama ir, kaip ir „Network Miner“, gali būti paleista monofoniniu režimu beveik bet kurioje operacinėje sistemoje.

8. Capsa

„Capsa Network Analyzer“ galima įsigyti keliais leidimais, kurių kiekvienas turi skirtingas galimybes. Pirmajame lygyje „Capsa“ yra nemokama ir iš esmės leidžia tiesiog paimti paketus ir atlikti pagrindinę grafinę analizę. Prietaisų skydelis yra unikalus ir gali padėti nepatyrusiam sistemos administratoriui greitai nustatyti tinklo problemas. Nemokamas lygis skirtas žmonėms, norintiems daugiau sužinoti apie paketus ir patobulinti savo analizės įgūdžius.

Nemokama versija leidžia valdyti virš 300 protokolų, tinka stebėti el. paštą, taip pat išsaugoti el. laiškų turinį, taip pat palaiko trigerius, kuriais galima suaktyvinti perspėjimus įvykus tam tikroms situacijoms. Šiuo atžvilgiu Capsa tam tikru mastu gali būti naudojama kaip pagalbinė priemonė.

„Capsa“ galima tik „Windows 2008“ / „Vista“ / „7/8“ ir „10“.

Išvada

Nesunku suprasti, kaip sistemos administratorius gali naudoti mūsų aprašytus įrankius tinklo stebėjimo infrastruktūrai sukurti. Tcpdump arba Windump galima įdiegti visuose serveriuose. Planuoklis, pvz., cron arba Windows planuoklis, tinkamu metu pradeda paketų rinkimo sesiją ir įrašo surinktus duomenis į pcap failą. Tada sistemos administratorius gali perkelti šiuos paketus į centrinį įrenginį ir analizuoti juos naudodamas Wireshark. Jei tinklas tam per didelis, galimi įmonės lygio įrankiai, tokie kaip „SolarWinds“, kad visus tinklo paketus paverstų valdomu duomenų rinkiniu.

Skaitykite kitus straipsnius apie tinklo srauto perėmimą ir analizę :

Danas Nanni, „Linux“ tinklo srauto stebėjimo komandų eilutės paslaugos
Paul Cobbaut, „Linux“ sistemų administracija. Tinklo srauto perėmimas
Paul Ferrill, 5 Linux tinklo stebėjimo įrankiai
Pankaj Tanwar, Paketų fiksavimas naudojant libpcap biblioteką
Riccardo Capecchi, „Wireshark“ filtrų naudojimas
Nathan Willis, tinklo analizė su Wireshark
Prashant Phatak,

Geriausi paketų uostikliai ir tinklo analizatoriai

Pramoniniai įrankiai

Kitos daug duomenų reikalaujančių tinklų valdymo technologijos apima NetFlow ir sFlow. Kiekvienas turi savo stipriąsias ir silpnąsias puses,

Galite perskaityti daugiau apie NetFlow ir sFlow.

Pagrindai

Pagrindinis tinklo srauto rinkimo įrankis yra

[~] $ ps -ef | grep google vartotojas 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome --type = paslauga

# tcpdump -i eth0 -w tcpdump_packets tcpdump: klausosi eth0, nuorodos tipo EN10MB (Ethernet), fiksavimo dydis 262144 baitai ^ Užfiksuoti C51 paketai

Ši komanda sukuria failą su užfiksuotais duomenimis:

failas tcpdump_packets tcpdump_packets: tcpdump fiksavimo failas (little-endian) – 2.4 versija (Ethernet, fiksavimo ilgis 262144)

Šių failų standartas yra pcap formatas. Tai nėra tekstas, todėl jį gali išanalizuoti tik šį formatą suprantančios programos.

3. Vėjo šiukšlynas

Dauguma naudingų atvirojo kodo paslaugų yra klonuojamos į kitas operacines sistemas. Kai taip nutinka, sakoma, kad programa buvo perkelta. Windump yra tcpdump prievadas ir elgiasi labai panašiai.

Kaip ir tcpdump, Windump gali rodyti tinklo duomenis analizei, filtruoti tokiu pačiu būdu ir įrašyti duomenis į pcap failą, kad būtų galima vėliau analizuoti.

4. Wireshark

5.ryklys

Jei norite įrašyti srautą į failą, naudokite parinktį -W ir jungiklį -r (skaityti), kad jį perskaitytumėte.

Pirmiausia užfiksuokite:

# tshark -i eth0 -w tshark_packets Užfiksuojama naudojant "eth0" 102 ^ C

Skaitykite čia arba perkelkite į kitą vietą analizei.

„Network Miner“ gali būti strategiškai patalpintas tinkle, kad būtų galima stebėti ir rinkti jus dominantį srautą realiuoju laiku. Jis negeneruos savo srauto tinkle, todėl veiks slaptai.

„Network Miner“ sukurtas „Windows“, tačiau naudojant „Mono“ jis gali veikti bet kurioje OS, palaikančioje „Mono“ platformą, pvz., „Linux“ ir „MacOS“.

7. Smuikas (HTTP)

„Fiddler“ yra nemokama ir, kaip ir „Network Miner“, gali būti paleista monofoniniu režimu beveik bet kurioje operacinėje sistemoje.

8. Capsa

„Capsa“ galima tik „Windows 2008“ / „Vista“ / „7/8“ ir „10“.

Išvada

Tinklo paketų snifferiai arba snifferiai iš pradžių buvo sukurti kaip tinklo problemų sprendimo priemonė. Jie žino, kaip perimti, interpretuoti ir išsaugoti tinklu perduodamus paketus vėlesnei analizei. Viena vertus, tai leidžia sistemos administratoriams ir techninės pagalbos inžinieriams stebėti, kaip duomenys perduodami tinkle, diagnozuoti ir išspręsti kylančias problemas. Šia prasme paketų snifferiai yra galingas įrankis tinklo problemoms diagnozuoti. Kita vertus, kaip ir daugelis kitų galingų įrankių, iš pradžių skirtų administravimui, ilgainiui uostikliai pradėti naudoti visai kitiems tikslams. Iš tiesų, uostytojas užpuoliko rankose yra gana pavojingas įrankis, kuriuo galima pavogti slaptažodžius ir kitą konfidencialią informaciją. Tačiau nemanykite, kad uostikliai yra kažkoks stebuklingas įrankis, per kurį bet kuris įsilaužėlis gali lengvai peržiūrėti tinklu perduodamą konfidencialią informaciją. O prieš įrodydami, kad uostytojų keliamas pavojus nėra toks didelis, kaip dažnai pateikiama, panagrinėkime plačiau jų veikimo principus.

Kaip veikia paketų uostikliai

Be to, šiame straipsnyje mes apsvarstysime tik programinės įrangos sniffers, skirtas Ethernet tinklams. Sniffer yra programa, kuri veikia tinklo sąsajos kortelės (NIC) lygmenyje (nuorodų sluoksnyje) ir slapta perima visą srautą. Kadangi uostytojai veikia OSI modelio duomenų ryšio lygmenyje, jie neturėtų vadovautis aukštesnio sluoksnio protokolų taisyklėmis. Sniffers apeina filtravimo mechanizmus (adresus, prievadus ir kt.), kuriuos Ethernet tvarkyklės ir TCP / IP dėklas naudoja duomenims interpretuoti. Paketiniai uostikliai fiksuoja viską, kas ateina iš laido. Sniffers gali išsaugoti kadrus dvejetainiu formatu ir vėliau juos iššifruoti, kad atskleistų viduje paslėptą aukštesnio lygio informaciją (1 pav.).

Kad uostytojas galėtų perimti visus paketus, einančius per tinklo adapterį, tinklo adapterio tvarkyklė turi palaikyti neteisėtą režimą. Būtent šiuo tinklo adapterio veikimo režimu uostytojas gali perimti visus paketus. Šis tinklo adapterio veikimo režimas įjungiamas automatiškai, kai paleidžiamas sniferis, arba nustatomas rankiniu būdu atitinkamais sniferio nustatymais.

Visas perimtas srautas siunčiamas į paketų dekoderį, kuris identifikuoja ir padalija paketus į atitinkamus hierarchijos lygius. Priklausomai nuo konkretaus uostytojo galimybių, pateikta informacija apie paketus vėliau gali būti toliau analizuojama ir filtruojama.

Uostuvų naudojimo apribojimai

Didžiausią pavojų uostytojai kėlė tais laikais, kai per tinklą informacija buvo perduodama skaidriai (be šifravimo), o vietiniai tinklai buvo kuriami koncentratorių (hubų) pagrindu. Tačiau šios dienos negrįžtamai praėjo, o dabar naudoti uostiklius norint gauti prieigą prie konfidencialios informacijos nėra lengva užduotis.

Faktas yra tas, kad kuriant vietinius tinklus koncentratorių pagrindu, yra tam tikra bendra duomenų perdavimo terpė (tinklo kabelis) ir visi tinklo mazgai keičiasi paketais, konkuruojančiais dėl prieigos prie šios terpės (2 pav.), ir vieno tinklo siunčiamu paketu. mazgas perduodamas visuose koncentratoriaus prievaduose ir šio paketo klausosi visi kiti tinklo kompiuteriai, tačiau priimamas tik tas pagrindinis kompiuteris, kuriam jis skirtas. Be to, jei viename iš tinklo mazgų yra įdiegtas paketų snaiferis, jis gali perimti visus tinklo paketus, susijusius su šiuo tinklo segmentu (centro suformuotu tinklu).

Komutatoriai yra protingesni įrenginiai nei transliavimo šakotuvai ir izoliuoja tinklo srautą. Jungiklis žino prie kiekvieno prievado prijungtų įrenginių adresus ir perduoda paketus tik tarp tinkamų prievadų. Tai leidžia iškrauti kitus prievadus, nepersiunčiant jiems kiekvieno paketo, kaip tai daro centras. Taigi tam tikro tinklo mazgo siunčiamas paketas perduodamas tik į jungiklio prievadą, prie kurio yra prijungtas paketo gavėjas, o visi kiti tinklo mazgai negali aptikti šio paketo (3 pav.).

Todėl, jei tinklas sukurtas jungiklio pagrindu, tai viename iš tinklo kompiuterių įdiegtas snifferis gali perimti tik tuos paketus, kuriais keičiamasi tarp šio kompiuterio ir kitų tinklo mazgų. Dėl to, kad būtų galima perimti paketus, kuriais užpuoliką dominantis kompiuteris ar serveris keičiasi su kitais tinklo mazgais, šiame kompiuteryje (serveryje) būtina įdiegti sniffer, o tai iš tikrųjų nėra taip. paprastas. Tačiau reikia turėti omenyje, kad kai kurie paketiniai snifferiai paleidžiami iš komandinės eilutės ir gali neturėti grafinės sąsajos. Tokius uostiklius iš esmės galima įdiegti ir paleisti nuotoliniu būdu ir vartotojui nepastebimai.

Be to, taip pat turėtumėte nepamiršti, kad nors jungikliai izoliuoja tinklo srautą, visi valdomi komutatoriai turi prievado persiuntimo arba atspindėjimo funkciją. Tai yra, jungiklio prievadą galima sukonfigūruoti taip, kad visi paketai, ateinantys į kitus komutatoriaus prievadus, būtų dubliuojami į jį. Jei šiuo atveju prie tokio prievado prijungtas kompiuteris su paketų sniferiu, jis gali perimti visus paketus, kuriais keičiasi šio tinklo segmento kompiuteriai. Tačiau paprastai tik tinklo administratorius gali sukonfigūruoti jungiklį. Tai, žinoma, nereiškia, kad jis negali būti įsibrovėliu, tačiau tinklo administratorius turi daugybę kitų būdų kontroliuoti visus vietinio tinklo vartotojus ir vargu ar jis taip įmantriai šnipins jus.

Kita priežastis, kodėl uostytojai nebėra tokie pavojingi kaip anksčiau, yra ta, kad dabar svarbiausi duomenys yra užšifruoti. Atviros, nešifruotos paslaugos sparčiai nyksta iš interneto. Pavyzdžiui, lankantis interneto svetainėse vis dažniau naudojamas SSL (Secure Sockets Layer) protokolas; Vietoj atviro FTP naudojamas SFTP (saugus FTP), o virtualūs privatūs tinklai (VPN) vis dažniau naudojami kitoms paslaugoms, kurios pagal numatytuosius nustatymus nenaudoja šifravimo.

Taigi, tie, kurie nerimauja dėl galimo piktavališko paketų uostymo priemonių naudojimo, turėtų turėti omenyje šiuos dalykus. Pirma, norint sukelti rimtą grėsmę jūsų tinklui, uostytojai turi būti pačiame tinkle. Antra, dėl šiandieninių šifravimo standartų itin sunku perimti konfidencialią informaciją. Todėl šiuo metu paketų snifferiai pamažu praranda savo, kaip įsilaužėlių įrankių, aktualumą, tačiau tuo pat metu jie išlieka veiksminga ir galinga tinklų diagnozavimo priemone. Be to, snifferiai gali būti sėkmingai naudojami ne tik diagnozuojant ir lokalizuojant tinklo problemas, bet ir tikrinant tinklo saugumą. Visų pirma, paketų analizatorių naudojimas leidžia aptikti neteisėtą srautą, aptikti ir identifikuoti neteisėtą programinę įrangą, nustatyti nenaudojamus protokolus, kad jie būtų pašalinti iš tinklo, generuoti srautą skverbties testams, siekiant patikrinti apsaugos sistemą, dirbti su įsibrovimo aptikimo sistemomis ( Intrusion Detection Sistema, IDS).

Programinės įrangos paketinių snifferių apžvalga

Visus programinės įrangos sniferius galima apytiksliai suskirstyti į dvi kategorijas: sniferius, kurie palaiko paleidimą iš komandinės eilutės, ir sniferius, kurie turi grafinę sąsają. Tuo pačiu metu pastebime, kad yra uostytojų, kurie sujungia abi šias galimybes. Be to, snifferiai skiriasi vienas nuo kito palaikomais protokolais, perimtų paketų analizės gyliu, galimybe konfigūruoti filtrus, taip pat suderinamumo su kitomis programomis galimybe.

Paprastai bet kurio snifferio su grafine sąsaja langas susideda iš trijų sričių. Pirmajame rodoma užfiksuotų paketų suvestinė. Paprastai šioje srityje rodomas mažiausiai laukų, būtent: paketų fiksavimo laikas; Paketo siuntėjo ir gavėjo IP adresai; Paketų šaltinio ir paskirties MAC adresai, šaltinio ir paskirties prievadų adresai; protokolo tipas (tinklo, transporto ar taikomųjų programų sluoksnis); šiek tiek suvestinės informacijos apie perimtus duomenis. Antroje srityje rodoma statistinė informacija apie atskirą pasirinktą paketą, o galiausiai trečioje srityje paketas pateikiamas šešioliktaine arba ASCII simbolių forma.

Beveik visi paketų sniferiai leidžia analizuoti iškoduotus paketus (todėl paketų sniferiai dar vadinami paketų analizatoriais, arba protokolų analizatoriais). Sniffer paskirsto užfiksuotus paketus sluoksniu ir protokolu. Kai kurie paketų snifferiai gali atpažinti protokolą ir parodyti perimtą informaciją. Šio tipo informacija paprastai rodoma antroje uostymo lango srityje. Pavyzdžiui, bet kuris uostytojas gali atpažinti TCP protokolą, o pažangūs uostytojai gali nustatyti, kuri programa generuoja šį srautą. Dauguma protokolų analizatorių atpažįsta daugiau nei 500 skirtingų protokolų ir gali juos apibūdinti bei iššifruoti pagal pavadinimą. Kuo daugiau informacijos uostytojas sugebės iššifruoti ir pateikti ekrane, tuo mažiau jam teks iššifruoti rankiniu būdu.

Viena iš problemų, su kuria gali susidurti paketų analizatoriai, yra nesugebėjimas teisingai identifikuoti protokolo naudojant kitą prievadą nei numatytasis prievadas. Pavyzdžiui, siekiant pagerinti saugumą, kai kurios gerai žinomos programos gali būti sukonfigūruotos naudoti kitus prievadus nei numatytieji. Taigi vietoj tradicinio 80 prievado, rezervuoto žiniatinklio serveriui, šį serverį galima priverstinai perkonfigūruoti į 8088 arba bet kurį kitą prievadą. Kai kurie paketų analizatoriai tokioje situacijoje negali teisingai nustatyti protokolo ir rodyti tik informaciją apie žemesnio sluoksnio protokolą (TCP arba UDP).

Yra programinės įrangos sniffers, kurie pateikiami su programinės įrangos analitiniais moduliais kaip papildiniai arba integruoti moduliai, leidžiantys kurti ataskaitas su naudinga analitine informacija apie perimtą srautą.

Kita daugumos paketų snaiperių programinės įrangos savybė yra galimybė sukonfigūruoti filtrus prieš ir po srauto fiksavimo. Filtrai pagal duotą kriterijų parenka tam tikrus paketus iš bendro srauto, kas leidžia atsikratyti nereikalingos informacijos analizuojant srautą.

Poreikis analizuoti tinklo srautą gali atsirasti dėl kelių priežasčių. Kompiuterio saugumo kontrolė, vietinio tinklo derinimas, išeinančio srauto kontrolė siekiant optimizuoti bendro interneto ryšio veikimą – visos šios užduotys dažnai patenka į sistemos administratorių ir paprastų vartotojų darbotvarkę. Norint juos išspręsti, yra daugybė komunalinių paslaugų, vadinamų snifferiais, tiek specializuotų, skirtų siauram užduočių spektrui išspręsti, tiek daugiafunkcinių „kombainų“, suteikiančių vartotojui daugybę įrankių. Šiame straipsnyje pristatomas vienas iš pastarosios grupės atstovų – įmonės CommView programa. Programa leidžia vizualiai pamatyti visą srauto, einančio per kompiuterį ar vietinio tinklo segmentą, vaizdą; Konfigūruojama signalizacijos sistema leidžia įspėti apie įtartinų paketų buvimą sraute, mazgų su nenormaliais adresais atsiradimą tinkle arba tinklo apkrovos padidėjimą.

CommView suteikia galimybę kaupti visų IP jungčių statistiką, iššifruoti IP paketus iki žemo lygio ir juos analizuoti. Integruota kelių parametrų filtrų sistema leidžia sukonfigūruoti tik reikiamų paketų sekimą, todėl jų analizė tampa efektyvesnė. Programa gali atpažinti daugiau nei septynių dešimčių labiausiai paplitusių protokolų (įskaitant DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, paketus). NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP ir kt.), taip pat išsaugokite juos failuose vėlesnei analizei. Kai kuriais atvejais taip pat gali būti naudingi daugelis kitų įrankių, pvz., tinklo adapterio gamintojo identifikavimas pagal MAC adresą, HTML atkūrimas ir nuotolinis paketų fiksavimas naudojant pasirenkamą „CommView Remote Agent“ įrankį.

Darbas su programa

Pirmiausia turite pasirinkti tinklo sąsają, kurioje bus stebimas srautas.

CommView palaiko beveik bet kokio tipo eterneto adapterius – 10, 100 ir 1000 Mb/s, taip pat analoginius modemus, xDSL, Wi-Fi ir kt. Analizuodamas Ethernet adapterio srautą, CommView gali perimti ne tik įeinančius ir išeinančius, bet ir tranzito paketai buvo skirti bet kuriam vietinio tinklo segmento kompiuteriui. Verta paminėti, kad jei užduotis yra stebėti visą srautą vietinio tinklo segmente, tada jame esantys kompiuteriai turi būti prijungti per šakotuvą, o ne per jungiklį. Kai kuriuose šiuolaikiniuose jungiklių modeliuose yra prievadų atspindėjimas, todėl juos taip pat galima sukonfigūruoti tinklo stebėjimui naudojant CommView. Daugiau apie tai galite paskaityti. Pasirinkę norimą ryšį, galite pradėti fiksuoti paketus. Užfiksavimo pradžios ir sustabdymo mygtukai yra šalia sąsajos pasirinkimo eilutės. Norėdami dirbti su nuotolinės prieigos valdikliu, VPN ir PPPoE diegdami programą, turite įdiegti atitinkamą tvarkyklę.

Pagrindinis programos langas yra padalintas į kelis skirtukus, kurie yra atsakingi už vieną ar kitą darbo sritį. Pirmasis, „Dabartiniai IP ryšiai“, rodoma išsami informacija apie esamus kompiuterio IP ryšius. Čia galite matyti vietinius ir nuotolinius IP adresus, perduotų ir gautų paketų skaičių, perdavimo kryptį, nustatytų IP seansų skaičių, prievadus, pagrindinio kompiuterio pavadinimą (jei programos nustatymuose DNS atpažinimo funkcija neišjungta) , ir proceso, kuris gauna arba perduoda šios sesijos paketą, pavadinimas. Pastaroji informacija nepasiekiama nei tranzito paketams, nei kompiuteriuose, kuriuose veikia Windows 9x / ME.

Dabartinių IP jungčių skirtukas

Jei dešiniuoju pelės mygtuku spustelėsite ryšį, atsidarys kontekstinis meniu, kuriame rasite įrankius, palengvinančius ryšių analizę. Čia galite pamatyti per ryšį perduodamų duomenų kiekį, visą naudojamų prievadų sąrašą, išsamią informaciją apie procesą, kuris priima arba perduoda šios sesijos paketus. CommView leidžia kurti MAC ir IP adresų slapyvardžius. Pavyzdžiui, vietoj sudėtingų vietinio tinklo mašinų skaitmeninių adresų nustatę slapyvardžius, galite gauti lengvai skaitomus ir įsimenamus kompiuterių pavadinimus ir taip palengvinti ryšių analizę.

Norėdami sukurti IP adreso slapyvardį, kontekstiniame meniu iš eilės pasirinkite elementus „Kurti slapyvardį“ ir „naudojant vietinį IP“ arba „naudojant nuotolinį IP“. Pasirodžiusiame lange IP adreso laukas jau bus užpildytas, o beliks tik įvesti tinkamą pavadinimą. Jei naujas IP pavadinimo įrašas sukuriamas dešiniuoju pelės mygtuku spustelėjus paketą, pavadinimo laukas automatiškai užpildomas pagrindinio kompiuterio pavadinimu (jei yra) ir jį galima redaguoti. Darbas su MAC slapyvardžiais yra tas pats.

Tame pačiame meniu pasirinkę „SmartWhois“ galite išsiųsti pasirinktą šaltinio arba paskirties IP adresą „SmartWhois“ – atskirai „Tamosoft“ programai, kuri renka informaciją apie bet kurį IP adresą arba pagrindinio kompiuterio pavadinimą, pvz., tinklo pavadinimą, domeną, šalį, valstiją ar provinciją. , miestas ir pateikia jį vartotojui.

Antrasis skirtukas, "Paketai", rodomi visi paketai, užfiksuoti pasirinktoje tinklo sąsajoje, ir išsami informacija apie juos.

Paketų skirtukas

Langas padalintas į tris sritis. Pirmasis iš jų rodo visų užfiksuotų paketų sąrašą. Jei pasirinksite vieną iš jame esančių paketų spustelėdami jį pelės žymekliu, tada kituose languose bus rodoma informacija apie jį. Jame rodomas paketo numeris, protokolas, siunčiančių ir priimančių kompiuterių „Mac“ ir IP adresai, naudojami prievadai ir paketo pasirodymo laikas.

Vidurinėje srityje rodomas pakuotės turinys – šešioliktaine arba tekstu. Pastaruoju atveju nespausdinami simboliai pakeičiami taškais. Jei viršutinėje srityje vienu metu pasirenkami keli paketai, tai viduriniame lange bus rodomas bendras pasirinktų paketų skaičius, bendras jų dydis, taip pat laiko intervalas tarp pirmojo ir paskutinio paketų.

Apatiniame lange rodoma iššifruota išsami informacija apie pasirinktą paketą.

Paspaudę vieną iš trijų apatinėje dešinėje lango dalyje esančių mygtukų, galite pasirinkti dekodavimo lango padėtį: apatinėje dalyje arba lygiuoti į kairę arba dešinę. Kiti du mygtukai leidžia automatiškai pereiti prie paskutinio gauto paketo ir išsaugoti pasirinktą paketą matomoje sąrašo srityje.

Kontekstinis meniu leidžia kopijuoti MAC, IP adresus ir ištisus paketus į mainų sritį, priskirti slapyvardžius, taikyti greitą filtrą reikiamiems paketams parinkti, taip pat naudoti įrankius „TCP seanso atkūrimas“ ir „Paketų generatorius“.

TCP seanso atkūrimo įrankis leidžia peržiūrėti dviejų kompiuterių ryšio per TCP procesą. Kad seanso turinys atrodytų suprantamiau, reikia pasirinkti atitinkamą „rodymo logiką“. Ši funkcija naudingiausia norint atkurti tekstinę informaciją, pvz., HTML arba ASCII.

Gauti duomenys gali būti eksportuojami kaip tekstinis, RTF arba dvejetainis failas.

Žurnalo failų skirtukas... Čia galite konfigūruoti užfiksuotų paketų įrašymo į failą nustatymus. CommView įrašo žurnalo failus savo NCF formatu; norint juos peržiūrėti, naudojama įmontuota programa, kurią galima paleisti iš meniu „Failas“.

Galima įjungti automatinį perimtų paketų išsaugojimą, kai jie ateina, HTTP seansų registravimą TXT ir HTML formatais, žurnalo failų išsaugojimą, trynimą, sujungimą ir padalijimą. Atminkite, kad paketas nėra išsaugomas iš karto po atvykimo, todėl jei peržiūrėsite realaus laiko žurnalo failą, greičiausiai jame nebus naujausių paketų. Kad programa iš karto išsiųstų buferį į failą, turite spustelėti mygtuką „Baigti fiksavimą“.

Skirtuke "Taisyklės" galite nustatyti paketų perėmimo arba ignoravimo sąlygas.

Kad būtų lengviau pasirinkti ir analizuoti reikiamus paketus, galite naudoti filtravimo taisykles. Tai taip pat padės žymiai sumažinti CommView naudojamų sistemos išteklių kiekį.

Norėdami įjungti bet kurią taisyklę, turite pasirinkti atitinkamą skiltį kairėje lango pusėje. Yra septynių tipų taisyklės: paprastos – „Protokolai ir kryptis“, „Mac adresai“, „IP adresai“, „Prievadai“, „Tekstas“, „TCP vėliavėlės“, „Procesas“, taip pat universali taisyklė. Formulės“. Kiekvienai iš paprastų taisyklių galite pasirinkti atskirus parametrus, pvz., krypties arba protokolo pasirinkimą. Bendroji formulės taisyklė yra galingas ir lankstus filtrų kūrimo naudojant Būlio logiką mechanizmas. Išsamią nuorodą apie jo sintaksę galite rasti.

Skirtukas "Įspėjimai" padės sukonfigūruoti pranešimų apie įvairius įvykius, vykstančius tiriamame tinklo segmente, nustatymus.

Įspėjimų skirtuke galite kurti, keisti, ištrinti įspėjimų taisykles ir peržiūrėti tas taisykles atitinkančius dabartinius įvykius.

Norėdami nustatyti įspėjimo taisyklę, paspaudę mygtuką „Pridėti...“, atsidariusiame lange pasirinkite reikiamas sąlygas, kurioms pasirodžius bus suaktyvinamas pranešimas, taip pat vartotojo informavimo būdą. apie tai.

CommView leidžia apibrėžti šiuos stebimų įvykių tipus:

„Rasti paketą“, atitinkantį nurodytą formulę. Formulės sintaksė išsamiai aprašyta vartotojo vadove;
Baitai per sekundę. Šis įspėjimas bus suaktyvintas, kai bus viršyta nurodyta tinklo apkrova;
Paketai per sekundę. Suveikia, kai viršijamas nurodytas paketų perdavimo spartos lygis;
Transliacijos per sekundę. Tas pats, tik transliacijos paketams;
Multicasts per sekundę yra tas pats multicast paketams.
Nežinomas MAC adresas. Šis įspėjimas gali būti naudojamas aptikti naujos arba neleistinos įrangos prijungimą prie tinklo, iš anksto nustatant žinomų adresų sąrašą naudojant parinktį „Konfigūruoti“;
įspėjimas „Nežinomas IP adresas“ bus suaktyvintas perimant paketus su nežinomais šaltinio arba paskirties IP adresais. Jei iš anksto nustatote žinomų adresų sąrašą, galite naudoti šį įspėjimą, kad aptiktumėte neteisėtus ryšius per įmonės užkardą.

CommView turi galingą eismo statistikos vizualizacijos įrankį. Norėdami atidaryti statistikos langą, meniu „Žiūrėti“ turite pasirinkti to paties pavadinimo elementą.

Statistikos langas režimu „Bendra“.

Šiame lange galite peržiūrėti tinklo srauto statistiką: čia galite matyti paketų skaičių per sekundę, baitus per sekundę, Ethernet, IP ir antrinių protokolų pasiskirstymą. Diagramas galima nukopijuoti į mainų sritį, kuri padės, jei reikės kurti ataskaitas.

Prieinamumas, kaina, sistemos reikalavimai

Dabartinė programos versija yra CommView 5.1. Tamosoft svetainėje galima, kuri veiks 30 dienų.

Kūrėjas pirkėjams siūlo dvi licencijos parinktis:

Namų licencija (namų licencija), kurios vertė 2000 rublių, suteikia teisę nekomerciniais pagrindais naudoti programą namuose, o jūsų namų tinkle galimų stebėti pagrindinių kompiuterių skaičius ribojamas iki penkių. Pagal šio tipo licenciją neleidžiama dirbti nuotoliniu būdu naudojant nuotolinį agentą.
Įmonės licencija (įmonė, kaina - 10 000 rublių) suteikia teisę komerciniais ir nekomerciniais tikslais naudoti programą vienam asmeniui, kuris asmeniškai naudoja programą viename ar keliuose įrenginiuose. Programa taip pat gali būti įdiegta vienoje darbo vietoje ir gali būti naudojama kelių žmonių, bet ne vienu metu.

Programa veikia Windows 98 / Me / NT / 2000 / XP / 2003 operacinėse sistemose. Kad veiktų, jums reikia tinklo adapterio eterneto, belaidžio eterneto, „Token Ring“ su NDIS 3.0 standarto palaikymu arba standartinio nuotolinės prieigos valdiklio.

Privalumai:

lokalizuota sąsaja;
puiki pagalbos sistema;
įvairių tipų tinklo adapterių palaikymas;
pažangūs paketų analizės ir protokolų aptikimo įrankiai;
statistikos vizualizavimas;
funkcinė įspėjimo sistema.

Minusai:

per didelė kaina;
išankstinių perėmimo taisyklių ir įspėjimų nustatymų trūkumas;
nelabai patogus paketo pasirinkimo mechanizmas skirtuke „Paketai“.

Išvada

Dėl puikios funkcionalumo ir patogios sąsajos CommView yra nepakeičiamas įrankis LAN administratoriams, IPT ir namų vartotojams. Mane nudžiugino kruopštus kūrėjo požiūris į paketo lokalizaciją rusų kalba: ir sąsaja, ir informacinis vadovas yra labai aukšto lygio. Vaizdą šiek tiek temdo didelė programos kaina, tačiau trisdešimties dienų bandomoji versija padės potencialiam pirkėjui nuspręsti, ar tikslinga įsigyti šią priemonę.

Daugelis kompiuterių tinklų vartotojų apskritai nėra susipažinę su tokia sąvoka kaip „uostytojas“. Pabandysime apibrėžti, kas yra uostytojas, paprastai tariant nepasiruošusį vartotoją. Tačiau pirmiausia vis tiek turite įsigilinti į paties termino nustatymą.

Sniffer: kas yra uostytojas kalbant apie anglų kalbą ir kompiuterines technologijas?

Tiesą sakant, visiškai nesunku nustatyti tokios programinės įrangos ar aparatinės įrangos-programinės įrangos komplekso esmę, jei tik išverstumėte terminą.

Šis pavadinimas kilęs iš angliško žodžio sniff (uosti). Iš čia ir atsiranda rusakalbio termino „uostytojas“ reikšmė. Kas mūsų supratimu yra uostytojas? „Sniffer“, galintis stebėti tinklo srauto naudojimą, arba, kitaip tariant, šnipas, galintis trukdyti vietinių ar į internetą orientuotų tinklų veikimui, išgaunantis jam reikalingą informaciją, remdamasis prieiga per TCP / IP duomenų perdavimą. protokolai.

Srauto analizatorius: kaip jis veikia?

Iš karto padarykime rezervaciją: snifferis, nesvarbu, ar tai programinė įranga, ar sąlyginės programinės įrangos komponentas, gali analizuoti ir perimti srautą (perduodamus ir gaunamus duomenis) tik per tinklo plokštes (Ethernet). Kas atsitinka?

Tinklo sąsaja ne visada pasirodo apsaugota ugniasiene (vėlgi programine ar technine įranga), todėl perduodamų ar gaunamų duomenų perėmimas tampa tik technologijos reikalu.

Tinklo viduje informacija perduodama segmentais. Viename segmente duomenų paketai turėtų būti siunčiami absoliučiai visiems prie tinklo prijungtiems įrenginiams. Segmentų informacija perduodama maršrutizatoriams (maršrutizatoriams), o po to jungikliams (jungikliams) ir šakotuvams (koncentratoriams). Informacija siunčiama dalijant paketus taip, kad galutinis vartotojas gautų visas susieto paketo dalis iš visiškai skirtingų maršrutų. Taigi, visų potencialiai įmanomų maršrutų nuo vieno abonento iki kito „klausymas“ arba interneto resurso sąveika su vartotoju gali suteikti ne tik prieigą prie nešifruotos informacijos, bet ir kai kurių slaptų raktų, kurie taip pat gali būti siunčiami tokios sąveikos metu. procesas. Ir čia tinklo sąsaja pasirodo visiškai neapsaugota, nes įsikiša trečioji šalis.

Geri ketinimai ir pikti tikslai?

Sniffers gali būti naudojamas siekiant žalos ir gero. Jau nekalbant apie neigiamą poveikį, verta atkreipti dėmesį į tai, kad tokia technine ir programine įranga dažnai naudojasi sistemų administratoriai, kurie bando sekti vartotojo veiksmus ne tik tinkle, bet ir elgseną internete pagal lankomus išteklius, aktyvuotus atsisiuntimus. į kompiuterius ar siuntimas iš jų....

Tinklo analizatoriaus naudojama technika yra gana paprasta. Sniferis nustato išvažiuojantį ir įvažiuojantį automobilio srautą. Tai nėra vidinis ar išorinis IP. Svarbiausias kriterijus yra vadinamasis MAC adresas, kuris yra unikalus kiekvienam įrenginiui, prijungtam prie pasaulinio žiniatinklio. Būtent ant jo identifikuojama kiekviena tinklo mašina.

Uodžių tipai

Tačiau pagal tipą juos galima suskirstyti į keletą pagrindinių:

aparatinė įranga;
programinė įranga;
aparatinė ir programinė įranga;
internetinės programėlės.

Uostiklio buvimo tinkle elgsenos aptikimas

Tą patį „WiFi sniffer“ galite aptikti pagal tinklo apkrovą. Jei matote, kad duomenų perdavimas ar ryšys nėra tokio lygio, kokį deklaruoja teikėjas (arba maršrutizatorius leidžia), turėtumėte į tai atkreipti dėmesį iš karto.

Kita vertus, interneto paslaugų teikėjas taip pat gali paleisti programinę įrangą, skirtą srautui stebėti be vartotojo žinios. Tačiau, kaip taisyklė, vartotojas apie tai net nežino. Kita vertus, komunikacijos paslaugas ir interneto ryšius teikianti organizacija taip garantuoja vartotojui visišką saugumą perimant potvynius, savarankiškai įdiegiant nevienalyčių Trojos arklių, šnipinėjimo programų klientus ir kt. Tačiau tokie įrankiai yra greičiau programinė įranga ir neturi ypatingo poveikio tinklui ar vartotojo terminalams.

Internetiniai ištekliai

Internetinis srauto analizatorius gali būti ypač pavojingas. Primityvi kompiuterių įsilaužimo sistema yra sukurta naudojant uostytojus. Paprasčiausia technologija susiveda į tai, kad iš pradžių krekeris registruojasi tam tikrame šaltinyje, tada įkelia vaizdą į svetainę. Patvirtinus atsisiuntimą, išduodama nuoroda į internetinį šnipinėjimą, kuris išsiunčiamas potencialiai aukai, pavyzdžiui, el. laišku arba ta pačia SMS žinute su tekstu „Gavote kažkieno sveikinimą. Norėdami atidaryti paveikslėlį (atviruką), spustelėkite nuorodą.

Naivūs vartotojai paspaudžia nurodytą hipersaitą, dėl ko suaktyvinamas išorinio IP adreso identifikavimas ir perdavimas užpuolikui. Jei yra tinkama programa, jis galės ne tik peržiūrėti visus kompiuteryje saugomus duomenis, bet ir lengvai pakeisti sistemos nustatymus iš išorės, ko vietinis vartotojas net nenumanys, pasiimdamas tokį pakeitimą dėl efekto. viruso. Taip, tik skaitytuvas nuskaitymo metu nesukels jokių grėsmių.

Kaip apsisaugoti nuo duomenų perėmimo?

Nesvarbu, ar tai WiFi sniffer, ar bet koks kitas analizatorius, vis tiek yra sistemų, apsaugančių nuo neteisėto srauto nuskaitymo. Yra tik viena sąlyga: jie turi būti montuojami tik esant visiškam pasitikėjimui „telefono pasiklausymu“.

Tokios programinės įrangos priemonės dažniausiai vadinamos „anti-sniffers“. Bet jei gerai pagalvosite, tai tie patys uostytojai, kurie analizuoja srautą, bet blokuoja kitas programas, bandančias gauti

Iš čia kyla teisėtas klausimas: ar verta diegti tokią programinę įrangą? Galbūt įsilaužimas į jį padarys dar daugiau žalos, ar jis pats blokuos tai, kas turėtų veikti?

Paprasčiausiu atveju su Windows sistemomis kaip apsaugą geriau naudoti įmontuotą ugniasienę (ugniasienę). Kartais gali kilti konfliktų su įdiegta antivirusine programa, tačiau dažniau tai taikoma tik nemokamiems paketams. Profesionaliai įsigytos ar kas mėnesį aktyvuojamos versijos tokių trūkumų neturi.

Vietoj posakio

Tai viskas, ką reiškia „uostytojo“ sąvoka. Atrodo, kad daugelis jau suprato, kas yra uostytojas. Galiausiai klausimas lieka kitoks: kaip teisingai tokius dalykus naudos paprastas vartotojas? Ir iš tikrųjų tarp jaunų vartotojų kartais galite pastebėti polinkį į kompiuterinį chuliganizmą. Jie mano, kad įsilaužimas į svetimą „kompiuterį“ yra kažkas panašaus į įdomias varžybas ar savęs patvirtinimą. Deja, nė vienas iš jų net nesusimąsto apie pasekmes, o užpuoliką, naudojantį tą patį internetinį snifferį, labai lengva atpažinti pagal jo išorinį IP, pavyzdžiui, „WhoIs“ svetainėje. Tačiau kaip vieta bus nurodyta tiekėjo vieta, tačiau šalis ir miestas bus tiksliai nustatyti. Na, tada reikalas mažas: arba skambutis tiekėjui, kad būtų užblokuotas terminalas, iš kurio buvo neteisėta prieiga, arba teismo byla. Padarykite išvadas patys.

Su įdiegta programa, skirta terminalo, iš kurio bandoma prisijungti, vietai nustatyti, situacija dar paprastesnė. Tačiau pasekmės gali būti katastrofiškos, nes ne visi vartotojai naudojasi tais anonimizatoriais ar virtualiais tarpiniais serveriais ir neturi jokio supratimo apie internetą. O pasimokyti būtų verta...