Мережеві аналізатори. Аналізатори мережних пакетів Аналізатор трафіку локальної мережі

ОГЛЯД ПРОГРАМ АНАЛІЗУ І МОНІТОРИНГУ МЕРЕЖЕВОГО ТРАФІКА

А.І. КОСТРОМИЦЬКИЙ, канд. техн. наук, В.С. ВОЛОТКА

Вступ

Моніторинг трафіку життєво важливий для управління мережею. Він є джерелом інформації про функціонування корпоративних додатків, яка враховується при розподілі коштів, плануванні обчислювальних потужностей, визначенні та локалізації відмов, вирішенні питань безпеки.

Нещодавно моніторинг трафіку був відносно простим завданням. Як правило, комп'ютери об'єднувалися в мережу на основі шинної топології, тобто мали середовище передачі. Це дозволяло під'єднати до мережі єдиний пристрій, за допомогою якого можна було стежити за трафіком. Однак вимоги до підвищення пропускної спроможності мережі та розвиток технологій комутації пакетів, що викликало падіння цін на комутатори і маршрутизатори, зумовили швидкий перехід від середовища передачі до високосегментованих топологій. Загальний трафік не можна побачити з однієї точки. Для отримання повної картини потрібно виконувати моніторинг кожного порту. Використання з'єднань типу «точка-точка» робить незручним підключення приладів, та й знадобилося б занадто велике їхнє число для прослуховування всіх портів, що перетворюється на надто дороге завдання. До того ж самі комутатори та маршрутизатори мають складну архітектуру, і швидкість обробки та передачі пакетів стає важливим фактором, що визначає продуктивність мережі.

Однією з актуальних наукових завдань на даний час є аналіз (і подальше прогнозування) самоподібної структури трафіку у сучасних мультисервісних мережах. Для вирішення цього завдання необхідний збір та подальший аналіз різноманітної статистики (швидкість, обсяги переданих даних тощо) у діючих мережах. Збір такої статистики у тому чи іншому вигляді можливий різними програмними засобами. Однак існує набір додаткових параметрів та налаштувань, які виявляються дуже важливими при практичному використанні різних засобів.

Різні дослідники використовують різні програми для моніторингу мережного трафіку. Наприклад, в дослідники використовували програму - аналізатор (сніфер) мережевого трафіку Ethreal (Wireshark).

Огляду зазнали безкоштовні версії програм, які доступні на , , .

1. Огляд програм моніторингу мережевого трафіку

Було розглянуто близько десяти програм-аналізаторів трафіку (сніфери) та більше десятка програм для моніторингу мережевого трафіку, з яких ми відібрали по чотири найцікавіші, на наш погляд, і пропонуємо вам огляд їх основних можливостей.

1) BMExtreme(Рис.1).

Це нова назва добре відомої багатьом програми Bandwidth Monitor. Раніше програма поширювалася безкоштовно, тепер вона має три версії, і безкоштовною є лише базова. У цій версії не передбачено жодних можливостей, крім власне моніторингу трафіку, тому навряд чи можна вважати її конкурентом інших програм. За замовчуванням BMExtreme слідкує як за Інтернет-трафіком, так і за трафіком у локальній мережі, проте моніторинг у LAN за бажання можна вимкнути.

Мал. 1

2) BWMeter(Рис.2).

Ця програма має не одне, а два вікна стеження за трафіком: в одному відображається активність в Інтернеті, а в іншому – у локальній мережі.

Мал. 2

Програма має гнучкі налаштування для моніторингу трафіку. З її допомогою можна визначити, чи потрібно стежити за прийомом та передачею даних в Інтернет тільки з цього комп'ютера або з усіх комп'ютерів, підключених до локальної мережі, встановити діапазон IP-адрес, порти та протоколи, для яких буде або не проводитиметься моніторинг. Крім цього, можна вимкнути стеження за трафіком у певні години чи дні. Системні адміністратори, напевно, оцінять можливість розподілу трафіку між комп'ютерами в локальній мережі. Так, для кожного ПК можна задати максимальну швидкість прийому та передачі даних, а також одним клацанням миші заборонити мережну активність.

При дуже мініатюрному розмірі програма має безліч можливостей, частина з яких можна представити так:

Моніторинг будь-яких мережних інтерфейсів та будь-якого мережного трафіку.

Потужна система фільтрів, що дозволяє оцінити обсяг будь-якої частини трафіку - аж до конкретного сайту у вказаному напрямку або трафіку з кожної машини у локальній мережі у вказаний час доби.

Необмежену кількість налаштованих графіків активності мережевих з'єднань на основі вибраних фільтрів.

Управління (обмеження, призупинення) потоком трафіку на будь-якому фільтрі.

Зручна система статистики (від години до року) із функцією експорту.

Можливість перегляду статистики віддалених комп'ютерів із BWMeter.

Гнучка система оповіщень та повідомлень щодо досягнення певної події.

Максимальні можливості настроювання, в т.ч. зовнішнього вигляду.

Можливість запуску як сервісу.

3) Bandwidth Monitor Pro(Рис.3).

Її розробники дуже багато уваги приділили настроюванню вікна моніторингу трафіку. По-перше, можна визначити, яку саме інформацію програма постійно показуватиме на екрані. Це може бути кількість отриманих та переданих даних (як окремо, так і в сумі) за сьогодні та за будь-який зазначений проміжок часу, середню, поточну та максимальну швидкість з'єднання. Якщо у вас встановлено кілька адаптерів, ви можете стежити за статистикою для кожного з них окремо. При цьому потрібна інформація для кожної мережної картки також може відображатися у вікні моніторингу.

Мал. 3

Окремо варто сказати про систему оповіщень, яка реалізована тут дуже успішно. Можна задавати поведінку програми при виконанні заданих умов, якими можуть бути передача певної кількості даних за вказаний період часу, досягнення максимальної швидкості завантаження, зміна швидкості з'єднання та ін. службу. У цьому випадку Bandwidth Monitor Pro збиратиме статистику всіх користувачів, які заходять у систему під своїми логінами.

4) DUTraffic(Рис.4).

З усіх програм огляду DUTraffic відрізняє безкоштовний статус.

Мал. 4

Як і комерційні аналоги, DUTraffic може виконувати різноманітні дії під час тих чи інших умов. Так, наприклад, він може програвати аудіофайл, показувати повідомлення або розривати з'єднання з Інтернетом, коли середня або поточна швидкість завантаження менше заданого значення, коли тривалість Інтернет-сесії перевищує вказану кількість годин, коли передано певну кількість даних. Крім цього, різні дії можуть виконуватися циклічно, наприклад, щоразу, коли програма фіксує передачу заданого обсягу інформації. Статистика DUTraffic ведеться окремо для кожного користувача та для кожного з'єднання з Інтернетом. Програма показує як загальну статистику за вибраний проміжок часу, так і інформацію про швидкість, кількість переданих та прийнятих даних та фінансові витрати за кожну сесію.

5) Система моніторингу Cacti(Рис.5).

Cacti це open-source веб-додаток (відповідно відсутня інсталяційний файл). Cacti збирає статистичні дані за певні часові інтервали та дозволяє відобразити їх у графічному вигляді. Система дозволяє будувати графіки з допомогою RRDtool. Переважно використовуються стандартні шаблони для відображення статистики із завантаження процесора, виділення оперативної пам'яті, кількості запущених процесів, використання вхідного/вихідного трафіку.

Інтерфейс відображення статистики, зібраної з мережевих пристроїв, представлений у вигляді дерева, структура якого визначається самим користувачем. Як правило, графіки групують за певними критеріями, причому один і той же графік може бути присутнім у різних гілках дерева (наприклад, трафік через мережевий інтерфейс сервера - у тій, яка присвячена загальній картині інтернет-трафіку компанії, та у галузі з параметрами даного пристрою) . Є варіант перегляду заздалегідь складеного набору графіків і є режим попереднього перегляду. Кожен із графіків можна розглянути окремо, при цьому він буде представлений за останні день, тиждень, місяць та рік. Є можливість самостійного вибору тимчасового проміжку, за який буде згенерований графік, причому зробити це можна, як вказавши календарні параметри, так і виділивши мишкою певну ділянку на ньому.

Таблиця 1

2. Огляд програм-аналізаторів (сніферів) мережевого трафіку

Аналізатор трафіку, або сніффер - мережевий аналізатор трафіку, програма або програмно-апаратний пристрій, призначений для перехоплення та подальшого аналізу, або лише аналізу мережевого трафіку, призначеного для інших вузлів.

Аналіз трафіку, що пройшов через сніффер, дозволяє:

Перехопити будь-який незашифрований (а часом і зашифрований) трафік користувача з метою отримання паролів та іншої інформації.

Локалізувати несправність мережі або помилку конфігурації мережевих агентів (для цієї мети сніфери часто використовуються системними адміністраторами).

Оскільки в «класичному» сніфері аналіз трафіку відбувається вручну, із застосуванням лише найпростіших засобів автоматизації (аналіз протоколів, відновлення TCP-потоку), він підходить для аналізу лише невеликих його обсягів.

1) Wireshark(Раніше - Ethereal).

Програма-аналізатор трафіку для комп'ютерних мереж Ethernet та інших. Має графічний інтерфейс користувача. Wireshark - це додаток, який «знає» структуру різних мережевих протоколів, і тому дозволяє розібрати мережевий пакет, відображаючи значення кожного поля протоколу будь-якого рівня. Оскільки для захоплення пакетів використовується pcap, існує можливість захоплення даних лише з мереж, які підтримуються цією бібліотекою. Тим не менш, Wireshark вміє працювати з безліччю форматів вхідних даних, відповідно можна відкривати файли даних, захоплених іншими програмами, що розширює можливості захоплення.

2) IrisNetworkTrafficAnalyzer.

Крім стандартних функцій збору, фільтрації та пошуку пакетів, а також побудови звітів програма пропонує унікальні можливості для реконструкції даних. Iris The Network Traffic Analyzer допомагає детально відтворити сеанси роботи користувачів з різними web-ресурсами та навіть дозволяє імітувати відправлення паролів для доступу до захищених web-серверів за допомогою cookies. Унікальна технологія реконструювання даних, реалізована в модулі дешифрування (decode module), перетворює сотні зібраних двійкових мережевих пакетів у звичні оку електронні листи, web-сторінки, повідомлення ICQ та ін. eEye Iris дозволяє переглядати незашифровані повідомлення web-пошти та програм миттєвого обміну повідомленнями розширюючи можливості наявних засобів моніторингу та аудиту.

Аналізатор пакетів eEye Iris дозволяє зафіксувати різні деталі атаки, такі як дата та час, IP-адреси та DNS-імена комп'ютерів хакера та жертви, а також використані порти.

3) EthernetInternettrafficStatistic.

Ethernet Internet traffic Statisticпоказує кількість отриманих і прийнятих даних (у байтах - всього за останню сесію), і навіть швидкість підключення. Для наочності дані, що збираються, відображаються в режимі реального часу на графіку. Працює без інсталяції, інтерфейс – російська та англійська.

Утиліта контролю за ступенем мережевої активності - показує кількість отриманих даних, ведучи статистику за сесію, день, тиждень і місяць.

4) CommTraffic.

Це мережна утиліта для збирання, обробки та відображення статистики інтернет-трафіку через модемне (dial-up) або виділене з'єднання. При моніторингу сегмента локальної мережі CommTraffic показує інтернет-трафік для кожного комп'ютера в сегменті.

CommTraffic включає легко інтегрований, зрозумілий користувачеві інтерфейс, що показує статистику роботи мережі у вигляді графіків і цифр.

Таблиця 2

Висновок

Загалом можна сказати, що більшості домашніх користувачів буде достатньо можливостей, які надає Bandwidth Monitor Pro. Якщо ж говорити про найфункціональнішу програму для моніторингу мережного трафіку, це, безумовно, BWMeter.

З-поміж розглянутих програм-аналізаторів мережевого трафіку хотілося б виділити Wireshark, яка має більшу кількість функціональних можливостей.

Система моніторингу Cacti максимально відповідає підвищеним вимогам, які висуваються у разі проведення дослідження мережевого трафіку з науковою метою. Надалі автори статті планують саме цю систему використовувати для збирання та попереднього аналізу трафіку у корпоративній мультисервісній мережі кафедри "Мережі зв'язку" Харківського національного університету радіоелектроніки.

Список літератури

Платов В.В., Петров В.В. Дослідження самоподібної структури телетрафіку бездротової мережі // Радіотехнічні зошити. М: ОКБ МЕІ. 2004. №3. З. 58-62.

Петров В.В. Структура телетрафіку та алгоритм забезпечення якості обслуговування при впливі ефекту самоподібності. Дисертація на здобуття наукового ступеня кандидата технічних наук, 05.12.13, Москва, 2004, 199 с.

Загальні відомості

Інструментальні засоби, які називають мережевими аналізаторами, отримали своє ім'я на честь Sniffer Network Analyzer. Цей продукт був випущений в 1988 році компанією Network General (тепер - Network Associates) і став одним із перших пристроїв, що дозволяють менеджерам буквально не виходячи з-за столу дізнатися про те, що відбувається у великій мережі. Перші аналізатори зчитували заголовки повідомлень у пакетах даних, що пересилаються по мережі, надаючи таким чином адміністраторам інформацію про адреси відправників та одержувачів, розмір файлів та інші відомості низького рівня. Причому все це - на додаток до перевірки коректності передачі пакетів. За допомогою графів та текстових описів аналізатори допомагали мережевим адміністраторам провести діагностику серверів, мережевих каналів, концентраторів та комутаторів, а також додатків. Грубо кажучи, мережевий аналізатор прослуховує чи "обнюхує" ("sniffs") пакети певного фізичного сегмента мережі. Це дозволяє аналізувати трафік на наявність деяких шаблонів, виправляти певні проблеми та виявляти підозрілу активність. Мережева система виявлення вторгнень є нічим іншим, як розвиненим аналізатором, який зіставляє кожен пакет у мережі з базою даних відомих зразків шкідливого трафіку, аналогічно до того, як антивірусна програма надходить із файлами в комп'ютері. На відміну від засобів, описаних раніше, аналізатори діють нижчому рівні.

Якщо звернутися до еталонної моделі ВОС, то аналізатори перевіряють два нижні рівні – фізичний та канальний.

Фізичний рівень - це реальне фізичне проведення або інше середовище, застосоване для створення мережі. На канальному рівні відбувається початкове кодування даних передачі через конкретне середовище. Мережеві стандарти канального рівня включають бездротовий 802.11, Arcnet, коаксіальний кабель, Ethernet, Token Ring та багато іншого. Аналізатори зазвичай залежать від типу мережі, де вони працюють. Наприклад, для аналізу трафіку в мережі Ethernet необхідно мати аналізатор Ethernet.

Існують аналізатори комерційного класу від таких виробників, як Fluke, Network General та інших. Зазвичай, це спеціальні апаратні пристрої, які можуть коштувати десятки тисяч доларів. Хоча ці апаратні засоби здатні здійснювати більш глибокий аналіз, можна створити недорогий мережевий аналізатор за допомогою програмного забезпечення з відкритими вихідними текстами та недорогого ПК на Intel-платформі.

Види аналізаторів

Зараз випускається безліч аналізаторів, які поділяються на два види. До першого відносяться автономні продукти, які встановлюються на мобільному комп'ютері. Консультант може брати його з собою під час відвідування офісу клієнта та підключати до мережі, щоб зібрати дані діагностики.

Спочатку портативні пристрої, призначені для тестування роботи мереж, були розраховані виключно на перевірку технічних параметрів кабелю. Однак згодом виробники наділили своє обладнання рядом функцій аналізаторів протоколів. Сучасні мережеві аналізатори здатні виявляти найширший спектр можливих неполадок - від фізичного пошкодження кабелю до навантаження мережевих ресурсів.

Другий вид аналізаторів є частиною ширшої категорії апаратного та програмного забезпечення, призначеного для моніторингу мережі та дозволяє організаціям контролювати свої локальні та глобальні мережеві служби, у тому числі Web. Ці програми дають адміністраторам цілісне уявлення про стан мережі. Наприклад, за допомогою таких продуктів можна визначити, які з програм виконуються в даний момент, які користувачі зареєструвалися в мережі та хто з них генерує основний обсяг трафіку.

Крім виявлення низькорівневих характеристик мережі, наприклад, джерело пакетів і пункт їх призначення, сучасні аналізатори декодують отримані відомості на всіх семи рівнях мережевого стеку Open System Interconnection (OSI) і часто видають рекомендації щодо усунення проблем. Якщо аналіз на рівні програми не дозволяє дати адекватну рекомендацію, аналізатори проводять дослідження на нижчому, мережному рівні.

Сучасні аналізатори зазвичай підтримують стандарти віддаленого моніторингу (Rmon та Rmon 2), які забезпечують автоматичне отримання основних даних про продуктивність, таких як інформація про навантаження на доступні ресурси. Аналізатори, що підтримують Rmon, можуть регулярно перевіряти стан мережевих компонентів та порівнювати отримані дані з накопиченими раніше. Якщо необхідно, вони передадуть попередження, що рівень трафіку або продуктивність перевищує обмеження, встановлені мережевими адміністраторами.

Компанія NetScout Systems представила систему nGenius Application Service Level Manager, призначену для контролю часу реакції на окремих ділянках каналу доступу до Web-сайту та визначення поточної продуктивності серверів. Ця програма може аналізувати продуктивність у загальнодоступній мережі, щоб відтворювати загальну картину на комп'ютері користувача. Данська фірма NetTest (колишня GN Nettest) почала пропонувати Fastnet - систему мережевого моніторингу, яка допомагає компаніям, які займаються електронним бізнесом, планувати ємність каналів, шукати та усувати несправності в мережі.

Аналіз конвергентних (мультисервісних) мереж

Розповсюдження мультисервісних мереж (converged networks) може вплинути на розвиток телекомунікаційних систем і систем передач даних у майбутньому. Ідея об'єднати в єдиній мережній інфраструктурі, заснованій на пакетному протоколі, можливість передачі і даних, і голосових потоків, і відеоінформації - виявилася дуже привабливою для провайдерів, що спеціалізуються на наданні телекомунікаційних сервісів, адже вона в одну мить здатна суттєво розширити спектр послуг, які вони надають.

У міру того, як корпорації починають усвідомлювати ефективність та цінові переваги конвергентних мереж на базі протоколу IP, виробники мережевих інструментальних засобів активно розробляють відповідні аналізатори. У першій половині року багато фірм представили компоненти для своїх продуктів мережевого адміністрування, розраховані на передачу голосу IP-мережами.

«Конвергенція породила нові складнощі, з якими доводиться мати справу мережевим адміністраторам, – зауважив Глен Гроссман, директор з управління продуктами компанії NetScout Systems. - Голосовий трафік дуже чутливий до тимчасових затримок. Аналізатори можуть переглядати кожен біт і байт, що передається по проводах, інтерпретувати заголовки та автоматично визначати пріоритет даних».

Використання технологій конвергенції голосу та даних може пробудити нову хвилю інтересу до аналізаторів, оскільки підтримка пріоритетності трафіку на рівні IP-пакетів стає суттєвою для функціонування голосових та відеослужб. Наприклад, фірма Sniffer Technologies випустила Sniffer Voice – інструментарій, призначений для адміністраторів мультисервісних мереж. Цей продукт не лише надає традиційні служби діагностики для керування трафіком електронної пошти, Internet та баз даних, але й виявляє мережеві проблеми, а також дає рекомендації щодо їх усунення, щоб забезпечити коректну передачу голосового трафіку IP-мережами.

Зворотний бік використання аналізаторів

Слід пам'ятати, що з аналізаторами пов'язані дві сторони медалі. Вони допомагають підтримувати мережу в робочому стані, але їх можуть застосовувати хакери для пошуку в пакетах даних імен користувачів і паролів. Для запобігання перехопленню паролів за допомогою аналізаторів слугує шифрування заголовків пакетів (наприклад, за допомогою стандарту Secure Sockets Layer).

Зрештою, поки що не існує альтернативи мережному аналізатору в тих ситуаціях, коли необхідно зрозуміти, що ж відбувається у глобальній чи корпоративній мережі. Хороший аналізатор дозволяє розібратися в стані мережного сегмента і визначити обсяг трафіку, а також встановити, як цей обсяг варіюється протягом дня, які користувачі створюють найбільше навантаження, в яких ситуаціях виникають проблеми з поширенням трафіку або нестача смуги пропускання. Завдяки застосуванню аналізатора можна отримати та проаналізувати всі фрагменти даних у мережному сегменті за даний період.

Проте мережеві аналізатори коштують дорого. Якщо ви плануєте придбати його, то перш за все чітко сформулюйте, чого ви від нього очікуєте.

Особливості застосування мережевих аналізаторів

Щоб застосовувати мережеві аналізатори етично та продуктивно, необхідно виконувати такі рекомендації.

Завжди потрібен дозвіл

Аналіз мережі, як і багато інших функцій безпеки, має потенціал для неналежного використання. Перехоплюючи все дані, що передаються по мережі, можна підглянути паролі для різних систем, вміст поштових повідомлень та інші критичні дані, як внутрішні, так і зовнішні, оскільки більшість систем не шифрує свій трафік у локальній мережі. Якщо такі дані потраплять у погані руки, це, мабуть, може призвести до серйозних порушень безпеки. Крім того, це може стати порушенням приватності службовців. Насамперед, слід отримати письмовий дозвіл керівництва, бажано вищого, перш ніж розпочинати подібну діяльність. Слід також передбачити, що робити з даними після отримання. Крім паролів це можуть бути інші критичні дані. Як правило, протоколи мережного аналізу повинні вичищатися із системи, якщо вони не потрібні для кримінального чи цивільного переслідування. Існують документовані прецеденти, коли благонамірних системних адміністраторів звільняли за несанкціоноване перехоплення даних.

Потрібно розуміти топологію мережі

Перш ніж налаштовувати аналізатор, необхідно повністю розібратися у фізичній та логічній організації цієї мережі. Проводячи аналіз у неправильному місці мережі, можна отримати ь помилкові результати або просто не знайти те, що потрібно. Необхідно перевірити відсутність маршрутизаторів між робочою станцією, що аналізує, і місцем спостереження. Маршрутизатори надсилатимуть трафік у сегмент мережі, тільки якщо відбувається звернення до розташованого там вузла. Аналогічно, в мережі, що комутується, потрібно конфігурувати порт, з яким встановлено підключення, як порт "монітора" або "дзеркала". Різні виробники використовують різну термінологію, але, по суті, необхідно, щоб порт діяв як концентратор, а не як комутатор, тому що він повинен бачити весь трафік, що йде через комутатор, а не тільки те, що спрямоване на робочу станцію. Без такого налаштування порт монітора бачитиме лише те, що направлено до порту, з яким встановлено підключення, та мережевий широкомовний трафік.

Необхідно використовувати жорсткі критерії пошуку

Залежно від того, що потрібно знайти, використання відкритого фільтра (тобто показ всього) зробить виведення даних об'ємним та важким для аналізу. Найкраще використовувати спеціальні критерії пошуку, щоб скоротити висновок, який видає аналізатор. Навіть якщо не відомо точно, що потрібно шукати, можна написати фільтр для обмеження результатів пошуку. Якщо потрібно знайти внутрішню машину, правильно буде задати критерії для перегляду лише вихідних адрес усередині цієї мережі. Якщо потрібно відстежити певний тип трафіку, скажімо, трафік FTP, можна обмежити результати лише тим, що надходить у порт, використовуваний додатком. Вчиняючи таким чином, можна досягти значно кращих результатів аналізу.

Встановлення еталонного стану мережі

Застосувавши мережевий аналізатор під час нормальної роботи , та записавши підсумкові результати, досягається еталонний стан, який можна порівнювати з результатами, отриманими під час спроб виділення проблеми. Аналізатор Ethereal, що розглядається нижче, створює кілька зручних звітів. Також будуть отримані деякі дані для відстеження використання мережі залежно від часу. За допомогою цих даних можна визначити, коли мережа насичується і які основні причини цього – перевантажений сервер, зростання кількості користувачів, зміна типу трафіку тощо. Якщо є точка відліку, простіше зрозуміти, хто й у чому винен.

Аналізатори мережевих пакетів, або сніфери, спочатку були розроблені як вирішення мережевих проблем. Вони вміють перехоплювати, інтерпретувати та зберігати для подальшого аналізу пакети, що передаються по мережі. З одного боку, це дозволяє системним адміністраторам та інженерам служби технічної підтримки спостерігати за тим, як дані передаються по мережі, діагностувати та усувати проблеми, що виникають. У цьому сенсі пакетні сніфери є потужним інструментом діагностики мережевих проблем. З іншого боку, подібно до багатьох інших потужних засобів, що спочатку призначалися для адміністрування, з часом сніфери стали застосовуватися абсолютно для інших цілей. Справді, сніффер в руках зловмисника є досить небезпечним засобом і може використовуватися для заволодіння паролями та іншою конфіденційною інформацією. Однак не варто думати, що сніфери це якийсь магічний інструмент, за допомогою якого будь-який хакер зможе легко переглядати конфіденційну інформацію, що передається по мережі. І перш ніж довести, що небезпека, що виходить від сніферів, не така велика, як нерідко подають, розглянемо детальніше принципи їх функціонування.

Принципи роботи пакетних сніферів

Подальшим у рамках цієї статті ми розглядатимемо лише програмні сніфери, призначені для мереж Ethernet. Сніффер – це програма, яка працює на рівні мережевого адаптера NIC (Network Interface Card) (канальний рівень) і прихованим чином перехоплює весь трафік. Оскільки сніфери працюють на канальному рівні моделі OSI, вони не повинні грати за правилами протоколів вищого рівня. Сніфери обходять механізми фільтрації (адреси, порти тощо), які драйвери Ethernet та стек TCP/IP використовують для інтерпретації даних. Пакетні сніфери захоплюють із дроту все, що по ньому приходить. Сніфери можуть зберігати кадри в двійковому форматі та пізніше розшифровувати їх, щоб розкрити інформацію вищого рівня, заховану всередині (рис. 1).

Для того, щоб сніффер міг перехоплювати всі пакети, що проходять через мережний адаптер, драйвер мережного адаптера повинен підтримувати режим функціонування promiscuous mode (безладний режим). Саме в цьому режимі роботи мережного адаптера сніфер здатний перехоплювати всі пакети. Цей режим роботи мережного адаптера автоматично активізується під час запуску сніфера або встановлюється вручну відповідними налаштуваннями сніфера.

Весь перехоплений трафік передається декодеру пакетів, який ідентифікує та розщеплює пакети за відповідними рівнями ієрархії. Залежно від можливостей конкретного сніфера, подана інформація про пакети може згодом додатково аналізуватися і відфільтровуватися.

Обмеження використання сніферів

Найбільшу небезпеку сніфери представляли в ті часи, коли інформація передавалася по мережі у відкритому вигляді (без шифрування), а локальні мережі будувалися на основі концентраторів (хабів). Однак ці часи безповоротно пішли, і в даний час використання сніфферів для отримання доступу до конфіденційної інформації завдання не з простих.

Справа в тому, що при побудові локальних мереж на основі концентраторів існує певне загальне середовище передачі даних (мережевий кабель) і всі вузли мережі обмінюються пакетами, конкуруючи за доступ до цього середовища (рис. 2), причому пакет, що посилається одним вузлом мережі, передається на всі порти концентратора і цей пакет прослуховують решту вузлів мережі, але приймає його тільки той вузол, якому він адресований. При цьому якщо на одному з вузлів мережі встановлено пакетний сніффер, він може перехоплювати всі мережеві пакети, що відносяться до даного сегменту мережі (мережі, утвореної концентратором).

Комутатори є інтелектуальнішими пристроями, ніж широкомовні концентратори, і ізолюють мережевий трафік. Комутатор знає адреси пристроїв, підключених до кожного порту, і передає пакети лише між потрібними портами. Це дозволяє розвантажити інші порти, не передаючи ними кожен пакет, як це робить концентратор. Таким чином, надісланий якимось вузлом мережі пакет передається тільки на той порт комутатора, до якого підключений одержувач пакета, а всі інші вузли мережі не мають можливості виявити цей пакет (рис. 3).

Тому якщо мережа побудована на основі комутатора, то сніффер, встановлений на одному з комп'ютерів мережі, здатний перехоплювати тільки пакети, якими обмінюється даний комп'ютер з іншими вузлами мережі. В результаті, щоб мати можливість перехоплювати пакети, якими комп'ютер або сервер, що цікавить зловмисника, обмінюється з іншими вузлами мережі, необхідно встановити сніффер саме на цьому комп'ютері (сервері), що насправді не так просто. Щоправда, слід пам'ятати, деякі пакетні сніфери запускаються з командного рядка і може мати графічного інтерфейсу. Такі сніфери, в принципі, можна встановлювати та запускати віддалено та непомітно для користувача.

Крім того, необхідно також мати на увазі, що хоча комутатори ізолюють мережевий трафік, всі керовані комутатори мають функцію перенаправлення або дзеркалювання портів. Тобто порт комутатора можна налаштувати таким чином, щоб на нього дублювалися всі пакети, що надходять інші порти комутатора. Якщо в цьому випадку до такого порту підключений комп'ютер із пакетним сніффером, то він може перехоплювати всі пакети, якими обмінюються комп'ютери в цьому сегменті мережі. Однак, як правило, можливість конфігурування комутатора доступна лише адміністратору мережі. Це, звичайно, не означає, що він не може бути зловмисником, але у мережевого адміністратора існує безліч інших способів контролювати всіх користувачів локальної мережі, і навряд чи він стежитиме за вами таким витонченим способом.

Інша причина, через яку сніфери перестали бути настільки небезпечними, як раніше, полягає в тому, що в даний час найважливіші дані передаються в зашифрованому вигляді. Відкриті незашифровані служби швидко зникають з Інтернету. Наприклад, під час відвідування web-сайтів дедалі частіше використовується протокол SSL (Secure Sockets Layer); замість відкритого FTP використовується SFTP (Secure FTP), а для інших служб, які не використовують стандартне шифрування, все частіше використовуються віртуальні приватні мережі (VPN).

Отже, ті, хто турбується про можливість зловмисного застосування пакетних сніферів, повинні мати на увазі таке. По-перше, щоб становити серйозну загрозу для вашої мережі, сніфери повинні знаходитися всередині самої мережі. По-друге, сьогоднішні стандарти шифрування надзвичайно ускладнюють процес перехоплення конфіденційної інформації. Тому в даний час пакетні сніфери поступово втрачають свою актуальність як інструменти хакерів, але водночас залишаються дієвим та потужним засобом для діагностування мереж. Більше того, сніфери можуть успішно використовуватися не тільки для діагностики та локалізації мережевих проблем, але і для аудиту мережевої безпеки. Зокрема, застосування пакетних аналізаторів дозволяє виявити несанкціонований трафік, виявити та ідентифікувати несанкціоноване програмне забезпечення, ідентифікувати протоколи, що не використовуються, для видалення їх з мережі, здійснювати генерацію трафіку для випробування на вторгнення (penetration test) з метою перевірки системи захисту, працювати з системами. Intrusion Detection System, IDS).

Огляд програмних пакетних сніферів

Усі програмні сніфери можна умовно розділити на дві категорії: сніфери, що підтримують запуск з командного рядка, і сніфери, що мають графічний інтерфейс. При цьому зазначимо, що існують сніфери, які поєднують у собі обидві ці можливості. Крім того, сніфери відрізняються один від одного протоколами, які вони підтримують, глибиною аналізу перехоплених пакетів, можливостями налаштування фільтрів, а також можливістю сумісності з іншими програмами.

Зазвичай вікно будь-якого сніфера з графічним інтерфейсом складається з трьох областей. У першій їх відображаються підсумкові дані перехоплених пакетів. Зазвичай у цій галузі відображається мінімум полів, а саме: час перехоплення пакета; IP-адреси відправника та одержувача пакета; MAC-адреси відправника та одержувача пакета, вихідні та цільові адреси портів; тип протоколу (мережевий, транспортний чи прикладний рівень); деяка сумарна інформація про перехоплені дані. У другій області виводиться статистична інформація про окремий вибраний пакет, і, нарешті, у третій області пакет представлений у шістнадцятковому вигляді або в символьній формі ASCII.

Практично всі пакетні сніфери дозволяють проводити аналіз декодованих пакетів (саме тому пакетні сніфери також називають пакетними аналізаторами, або протокольними аналізаторами). Сніффер розподіляє перехоплені пакети за рівнями та протоколами. Деякі аналізатори пакетів здатні розпізнавати протокол та відображати перехоплену інформацію. Цей тип інформації зазвичай відображається у другій області вікна сніффера. Наприклад, кожен сніффер здатний розпізнавати протокол TCP, а просунуті сніфери можуть визначити, яким додатком породжений цей трафік. Більшість аналізаторів протоколів розпізнають понад 500 різних протоколів та вміють описувати та декодувати їх за іменами. Чим більше інформації може декодувати і подати на екрані сніффер, тим менше доведеться декодувати вручну.

Одна з проблем, з якою можуть стикатися аналізатори пакетів, неможливість коректної ідентифікації протоколу, що використовує порт, відмінний від порту за замовчуванням. Наприклад, з метою підвищення безпеки деякі відомі програми можуть налаштовуватися застосування портів, відмінних від портів за замовчуванням. Так замість традиційного порту 80, зарезервованого для web-сервера, даний сервер можна примусово переналаштувати на порт 8088 або на будь-який інший. Деякі аналізатори пакетів у подібній ситуації не здатні правильно визначити протокол і відображають лише інформацію про протокол нижнього рівня (TCP або UDP).

Існують програмні сніфери, до яких як плагіни або вбудовані модулі додаються програмні аналітичні модулі, що дозволяють створювати звіти з корисною аналітичною інформацією про перехоплений трафік.

Інша характерна риса більшості програмних аналізаторів пакетів - можливість налаштування фільтрів до та після захоплення трафіку. Фільтри виділяють із загального трафіку певні пакети за заданим критерієм, що дозволяє при аналізі трафіку позбавитися зайвої інформації.

Мережеві аналізатори є еталонні вимірювальні прилади для діагностики та сертифікації кабелів і кабельних систем. Вони можуть виміряти всі електричні параметри кабельних систем з високою точністю, а також працюють на більш високих рівнях стека протоколів. Мережеві аналізатори генерують синусоїдальні сигнали в широкому діапазоні частот, що дозволяє вимірювати на прийомній парі амплітудно-частотну характеристику та перехресні наведення, згасання та сумарне згасання. Мережевий аналізатор є лабораторним приладом великих розмірів, досить складним в обігу.

Багато виробників доповнюють мережеві аналізатори функціями статистичного аналізу трафіку - коефіцієнта використання сегмента, рівня широкомовного трафіку, відсотка помилкових кадрів, а також функціями аналізатора протоколів, які забезпечують захоплення пакетів різних протоколів відповідно до умов фільтрів та декодування пакетів.

7.3.4. Кабельні сканери та тестери

Основне призначення кабельних сканерів -вимірювання електричних та механічних параметрів кабелів: довжини кабелю, параметра NEXT, згасання, імпедансу, схеми розведення пар провідників, рівня електричних шумів у кабелі. Точність вимірювань, вироблених цими пристроями, нижча, ніж у мережевих аналізаторів, але є достатньою для оцінки відповідності кабелю стандарту.

Для визначення розташування несправності кабельної системи (обриву, короткого замикання, неправильно встановленого роз'єму тощо) використовується метод «відбитого імпульсу» (Time Domain Reflectometry, TDR). Суть цього методу полягає в тому, що сканер випромінює кабель короткий електричний імпульс і вимірює час затримки до приходу відбитого сигналу. По полярності відбитого імпульсу визначається характер пошкодження кабелю (коротке замикання чи урвище). У правильно встановленому та підключеному кабелі відбитий імпульс майже відсутній.

Точність вимірювання відстані залежить від того, наскільки точно відома швидкість розповсюдження електромагнітних хвиль у кабелі. У різних кабелях вона буде різною. Швидкість поширення електромагнітних хвиль у кабелі (Nominal Velocity of Propagation, NVP) зазвичай задається у відсотках швидкості світла у вакуумі. Сучасні сканери містять електронну таблицю даних про NVP для всіх основних типів кабелів, що дає можливість користувачеві встановлювати ці параметри самостійно після попереднього калібрування.

Кабельні сканери – це портативні прилади, які обслуговуючий персонал може постійно носити із собою.

Кабельні тестери- найбільш прості та дешеві прилади для діагностики кабелю. Вони дозволяють визначити безперервність кабелю, однак, на відміну від кабельних сканерів, не дають відповіді на питання про те, де стався збій.

7.3.5. Багатофункціональні портативні прилади моніторингу

Останнім часом почали випускатися багатофункціональні портативні прилади, які об'єднують можливості кабельних сканерів, аналізаторів протоколів і навіть деякі функції систем управління, зберігаючи в той же час таку важливу властивість, як портативність. Багатофункціональні прилади моніторингу мають спеціалізований фізичний інтерфейс, що дозволяє виявляти проблеми та тестувати кабелі на фізичному рівні, який доповнюється мікропроцесором із програмним забезпеченням для виконання високорівневих функцій.

Розглянемо типовий набір функцій та властивостей такого приладу, який виявляється дуже корисним для діагностики причин різноманітних неполадок у мережі, що відбуваються на всіх рівнях стеку протоколів, від фізичного до прикладного.

Інтерфейс користувача

Прилад зазвичай надає користувачеві зручний та інтуїтивно зрозумілий інтерфейс, заснований на системі меню. Графічний інтерфейс користувача реалізований на багаторядковому рідкокристалічному дисплеї та індикаторах стану на світлодіодах, що сповіщають користувача про найбільш загальні проблеми мереж, що спостерігаються. Є великий файл підказок оператору з рівневим

доступом відповідно до контексту. Інформація про стан мережі надається таким чином, що користувачі будь-якої кваліфікації можуть її швидко зрозуміти.

Функції перевірки апаратури та кабелів

Багатофункціональні прилади поєднують функції кабельних сканерів, що найчастіше використовуються на практиці, з рядом нових можливостей тестування.

Сканування кабелю

Функція дозволяє вимірювати довжину кабелю, відстань до найсерйознішого дефекту та розподіл імпедансу по довжині кабелю. При перевірці неекранованої кручений пари можуть бути виявлені такі помилки: розщеплена пара, обриви, коротке замикання та інші види порушення з'єднання.

Для мереж Ethernet на коаксіальному кабелі ці перевірки можуть бути здійснені на працюючій мережі.

Функція визначення розподілу кабельних жил Здійснює перевірку правильності приєднання жил, наявність проміжних розривів та перемичок на кручених парах. На дисплеї відображається перелік зв'язаних між собою контактних груп.

Функція визначення карти кабелів

Використовується для складання карти основних кабелів та кабелів, що відгалужуються від центрального приміщення.

Автоматична перевірка кабелю

Залежно від конфігурації можна визначити довжину, імпеданс, схему підключення жил, згасання та параметр NEXT на частоті до 100 МГц. Автоматична перевірка виконується для:

коаксіальних кабелів;

екранованої кручений пари з імпедансом 150 Ом;

неекранованої кручений пари з опором 100 Ом.

Цілісність ланцюга під час перевірки постійним струмом

Ця функція використовується при перевірці коаксіальних кабелів для верифікації правильності термінаторів та їх установки.

Визначення номінальної швидкості розповсюдження

Функція обчислює номінальну швидкість поширення (Nominal Velocity of Propagation, NVP) по кабелю відомої довжини і додатково зберігає отримані результати у файлі для типу типу кабелю (User Defined cable type) або стандартного кабелю, що визначається користувачем.

Комплексна автоматична перевірка пари «мережевий адаптер-концентратор»

Цей комплексний тест дозволяє послідовно підключити прилад між кінцевим вузлом мережі та концентратором. Тест дає можливість автоматично визна-

ділити місцезнаходження джерела несправності - кабель, концентратор, мережевий адаптер чи програмне забезпечення станції.

Автоматична перевірка мережевих адаптерів

Перевіряє правильність функціонування нововстановлених чи «підозрілих» мережевих адаптерів. Для мереж Ethernet за підсумками перевірки повідомляються: МАС-адреса, рівень напруги сигналів (а також присутність та полярність імпульсів Link Test для 10BASE-T). Якщо сигнал не виявлено на мережному адаптері, тест автоматично сканує з'єднувальний роз'єм і кабель для їх діагностики.

Функції збору статистики

Ці функції дозволяють у реальному масштабі часу простежити за зміною найважливіших параметрів, що характеризують «здоров'я» сегментів мережі. Статистика зазвичай збирається з різним ступенем деталізації з різних груп.

Мережева статистика

У цій групі зібрані найважливіші статистичні показники - коефіцієнт використання сегмента (utilization), рівень колізій, рівень помилок та рівень широкомовного трафіку. Перевищення цими показниками певних порогів насамперед говорять про проблеми у тому сегменті мережі, якого підключено багатофункціональний прилад.

Статистика помилкових кадрів

Ця функція дозволяє відстежувати всі типи хибних кадрів для певної технології. Наприклад, для технології Ethernet характерні такі типи помилкових кадрів.

Короткі кадри (Short frames). Це кадри, що мають довжину, менші за допустиму, тобто менше 64 байт. Іноді цей тип кадрів диференціюють на два класи - просто короткі кадри (short), які мають коректну контрольну суму, і «коротушки» (runts), які мають коректної контрольної суми. Найімовірнішими причинами появи укорочених кадрів є несправні мережеві адаптери та його драйвери.

Подовжені кадри (Jabbers). Це кадри, що мають довжину, що перевищує допустиме значення 1518 байт з гарною або поганою контрольною сумою. Подовжені кадри є наслідком тривалої передачі, яка виникає через несправності мережевих адаптерів.

Кадри нормальних розмірів, але з поганою контрольною сумою (Bad FCS) та кадри з помилками вирівнювання по межі байта. Кадри з невірною контрольною сумою є наслідком безлічі причин - поганих адаптерів, перешкод на кабелях, поганих контактів, портів повторювачів, мостів, комутаторів і маршрутизаторів, що некоректно працюють. Помилка вирівнювання завжди супроводжується помилкою по контрольній сумі, тому деякі засоби аналізу-трафіку не роблять між ними відмінностей. Помилка вирівнювання може бути наслідком припинення передачі кадру при розпізнаванні колізії адаптером, що передає.

Кадри-привиди є результатом електромагнітних наведень на кабелі. Вони сприймаються мережевими адаптерами як кадри, які мають нормальної ознаки початку кадру - 10101011. Кадри-примари мають довжину понад 72 байт, інакше вони класифікуються як видалені колізії. Кількість виявлених кадрів-примар великою мірою залежить від точки підключення мережевого аналізатора. Причинами виникнення є петлі заземлення та інші проблеми з кабельною системою.

Знання відсоткового розподілу загальної кількості помилкових кадрів за їх типами може багато підказати адміністратору про можливі причини неполадок в мережі. Навіть невеликий відсоток помилкових кадрів може призвести до значного зниження корисної пропускної спроможності мережі, якщо протоколи, що відновлюють перекручені кадри, працюють з великими тайм-аутами очікування квитанцій. Вважається, що в мережі, що нормально працює, відсоток помилкових кадрів не повинен перевищувати 0,01 %, тобто не більше 1 помилкового кадру з 10 000.

Статистика з колізій

Ця група характеристик дає інформацію про кількість та види колізій, зазначених на сегменті мережі, дозволяє визначити наявність та місцезнаходження проблеми. Аналізатори протоколів зазвичай не можуть дати диференційованої картини розподілу загальної кількості колізій за їх окремими типами, водночас знання переважаючого типу колізій може допомогти зрозуміти причину поганої роботи мережі.

Нижче наведено основні типи колізій мережі Ethernet.

Локальна колізія (Local Collision). Є результатом одночасної передачі двох або більше вузлів, що належать до того сегменту, в якому вимірюються. Якщо багатофункціональний прилад не генерує кадри, то в мережі на кручений парі або волоконно-оптичному кабелі локальні колізії не фіксуються. Занадто високий рівень локальних колізій є наслідком проблем із кабельною системою.

Віддалена колізія (Remote Collision). Ці колізії відбуваються з іншого боку повторювача (стосовно тому сегменту, у якому встановлено вимірювальний прилад). У мережах, побудованих на багатопортових повторювачах (10Base-T, 10Base-FL/FB, 100Base-TX/FX/T4, Gigabit Ethernet), всі колізії, що вимірюються, є віддаленими (крім тих випадків, коли аналізатор сам генерує кадри і може бути винуватцем колізії ). Не всі аналізатори протоколів та засоби моніторингу однаково фіксують видалені колізії. Це відбувається через те, що деякі вимірювальні засоби та системи не фіксують колізії, що відбуваються під час передачі преамбули.

Пізня колізія (Late Collision). Це колізія, яка відбувається після передачі перших 64 байт кадру (за протоколом Ethernet колізія повинна виявлятися під час передачі перших 64 байт кадру). Результатом пізньої колізії буде кадр, який має довжину понад 64 байт та містить неправильне значення контрольної суми. Найчастіше це вказує на те, що мережевий адаптер, що є джерелом конфлікту, не може правильно прослуховувати лінію і тому не може вчасно зупинити передачу. Іншою причиною пізньої колізії є занадто велика довжина кабельної системи або занадто велика кількість проміжних повторювачів, що призводить до перевищення максимального часу подвійного обороту сигналу. Середня інтенсивність колізій у нормально працюючій мережі повинна бути меншою за 5 %. Великі сплески (більше 20%) можуть бути індикатором кабельних проблем.

Розподіл використовуваних мережевих протоколів

Ця статистична група належить до протоколів мережного рівня. На дисплеї відображається список основних протоколів у спадному порядку щодо відсоткового співвідношення кадрів, що містять пакети даного протоколу до загальної кількості кадрів у мережі.

Основні відправники (Top Sendes)

Функція дозволяє відстежувати найбільш активні передавальні вузли локальної мережі. Прилад можна налаштувати на фільтрацію за єдиною адресою та виявити список основних відправників кадрів для цієї станції. Дані відображаються на дисплеї у вигляді діаграми разом із переліком основних відправників кадрів.

Основні одержувачі (Top Receivers)

Функція дозволяє стежити за найактивнішими вузлами-одержувачами мережі. Інформація відображається у вигляді, аналогічному наведеному вище.

Основні генератори широкомовного трафіку (Top Broadcasters)

Функція виявляє станції мережі, які найбільше генерують кадри з широкомовними і груповими адресами.

Генерування трафіку (Traffic Generation)

Прилад може генерувати трафік для перевірки роботи мережі за підвищеного навантаження. Трафік може генеруватися паралельно з активізованими функціями Мережева статистика, Статистика помилкових кадріві Статистика з колізій.

Користувач може встановити параметри генерованого трафіку, такі як інтенсивність і розмір кадрів. Для тестування мостів і маршрутизаторів прилад може автоматично створювати заголовки IP-і IPX-пакетів, і все, що потрібно від оператора, - це внести адреси джерела та призначення.

В ході випробувань користувач може збільшити на ходу розмір і частоту проходження кадрів за допомогою клавіш керування курсором. Це особливо цінно під час пошуку джерела проблем продуктивності мережі та умов виникнення відмов.

Функції аналізу протоколів

Зазвичай портативні багатофункціональні прилади підтримують декодування та аналіз лише основних протоколів локальних мереж, таких як протоколи стеків TCP/IP, Novell NetWare, NetBIOS та Banyan VINES.

У деяких багатофункціональних приладах відсутня можливість декодування захоплених пакетів, як у аналізаторах протоколів, а натомість збирається статистика про найбільш важливі пакети, що свідчать про наявність проблем у мережах. Наприклад, при аналізі протоколів стека TCP/IP збирається статистика пакетів протоколу ICMP, з допомогою якого маршрутизатори повідомляють кінцевим вузлам про виникнення різноманітних помилок. Для ручної перевірки досяжності вузлів мережі в прилади включається підтримка утиліти IP Ping, а також аналогічних утиліт NetWare Ping і NetBIOS Ping.

tcpdump

Основним інструментом багатьох зборів мережевого трафіку є tcpdump . Ця програма з відкритим вихідним кодом, яка встановлюється практично у всіх Unix-подібних операційних системах. Tcpdump - відмінний інструмент для збору даних та поставляється з дуже потужним механізмом фільтрації. Важливо знати, як фільтрувати дані під час збору, щоб отримати керований фрагмент даних для аналізу. Захоплення всіх даних із мережного пристрою навіть у помірно завантаженій мережі може створити надто багато даних для простого аналізу.

У деяких поодиноких випадках tcpdump дозволяє виводити результат роботи безпосередньо на ваш екран, і цього може бути цілком достатньо, щоб знайти те, що ви шукаєте. Наприклад, при написанні статті було захоплено деякий трафік і помічено, що машина відправляє трафік на невідому IP-адресу. Виявляється, машина надсилала дані на IP-адресу Google 172.217.11.142. Оскільки не було запущено жодних продуктів Google, виникло питання, чому це відбувається.

Перевірка системи показала таке:

Залишіть свій коментар!