OVERZICHT VAN NETWERKVERKEERSANALYSE EN MONITORINGPROGRAMMA'S

AI KOSTROMITSKY, Ph.D. technologie. Wetenschappen, VS OEFENING

Invoering

Verkeersmonitoring is daarbij van cruciaal belang effectief beheer netwerk. Het is een bron van informatie over het functioneren van bedrijfsapplicaties, waarmee rekening wordt gehouden bij het toewijzen van geld, het plannen van rekenkracht, het identificeren en lokaliseren van storingen en het oplossen van beveiligingsproblemen.

In het niet al te verre verleden was verkeersmonitoring een relatief eenvoudige taak. Computers waren in de regel op basis van een bustopologie met elkaar verbonden, dat wil zeggen dat ze over een gedeeld transmissiemedium beschikten. Hierdoor kon één apparaat op het netwerk worden aangesloten, waarmee al het verkeer kon worden gemonitord. De vraag naar grotere netwerkcapaciteit en de ontwikkeling van pakketschakelingstechnologieën, die ervoor zorgden dat de prijs van switches en routers daalde, leidden echter tot een snelle overgang van gedeelde media naar sterk gesegmenteerde topologieën. Het totale verkeer is niet meer vanuit één punt te overzien. Om een ​​compleet beeld te krijgen, moet u elke poort monitoren. Het gebruik van point-to-point-verbindingen maakt het aansluiten van apparaten lastig en zou te veel apparaten vereisen om naar alle poorten te luisteren, wat een onbetaalbaar dure taak wordt. Bovendien hebben switches en routers zelf een complexe architectuur, waardoor de snelheid van pakketverwerking en -transmissie toeneemt belangrijke factor, die de netwerkprestaties bepaalt.

Een van de huidige wetenschappelijke taken is de analyse (en verdere voorspelling) van de op zichzelf gelijkende verkeersstructuur in moderne multiservicenetwerken. Om dit probleem op te lossen is het noodzakelijk om verschillende statistieken (snelheid, hoeveelheden verzonden gegevens, enz.) in bestaande netwerken te verzamelen en vervolgens te analyseren. Het verzamelen van dergelijke statistieken in een of andere vorm is mogelijk met behulp van verschillende softwaretools. Er is echter een reeks aanvullende parameters en instellingen die erg belangrijk blijken te zijn bij het gebruik van verschillende tools in de praktijk.

Diverse onderzoekers gebruiken het meest diverse programma's om het netwerkverkeer te monitoren. In , gebruikten onderzoekers bijvoorbeeld het Ethreal ne(sniffer) (Wireshark).

De recensie bevatte gratis versies van programma's die beschikbaar zijn op , , .

1. Overzicht van monitoringprogramma's voor netwerkverkeer

We hebben een tiental verkeersanalyseprogramma's (sniffers) en meer dan een dozijn programma's voor het monitoren van netwerkverkeer beoordeeld, waarvan we naar onze mening vier van de meest interessante hebben geselecteerd, en u een overzicht bieden van hun belangrijkste mogelijkheden.

1) BExtreem(Afb. 1).

Dit is de nieuwe naam van het bekende Bandwidth Monitor programma. Vroeger werd het programma gratis verspreid, maar nu zijn er drie versies en is alleen de basisversie gratis. Deze versie biedt geen andere functies dan verkeersmonitoring zelf, dus het kan nauwelijks als een concurrent van andere programma's worden beschouwd. Standaard controleert BBMExtreme zowel het internetverkeer als het verkeer in lokaal netwerk Desgewenst kan de monitoring op het LAN echter worden uitgeschakeld.

Rijst. 1

2) BW-meter(Afb. 2).

Dit programma heeft niet één, maar twee vensters voor het volgen van verkeer: het ene toont activiteit op internet en het andere op het lokale netwerk.

Rijst. 2

Het programma heeft flexibele instellingen voor verkeersmonitoring. Met zijn hulp kunt u bepalen of u de ontvangst en verzending van gegevens op internet alleen vanaf deze computer of vanaf alle computers die op het lokale netwerk zijn aangesloten, wilt controleren, en het bereik van IP-adressen, poorten en protocollen wilt instellen waarvoor monitoring wel of niet nodig is. zal niet worden uitgevoerd. Bovendien kunt u het volgen van verkeer tijdens bepaalde uren of dagen uitschakelen. Systeembeheerders zullen de mogelijkheid om verkeer te verdelen tussen computers op een lokaal netwerk zeker waarderen. Zo kunt u voor elke pc de maximale snelheid voor het ontvangen en verzenden van gegevens instellen en ook netwerkactiviteit met één klik verbieden.

Ondanks het zeer kleine formaat heeft het programma een grote verscheidenheid aan mogelijkheden, waarvan sommige als volgt kunnen worden weergegeven:

Bewaking van alle netwerkinterfaces en al het netwerkverkeer.

Een krachtig filtersysteem waarmee u het volume van elk deel van het verkeer kunt schatten - tot aan een specifieke locatie in een bepaalde richting of verkeer vanaf elke machine op het lokale netwerk op een bepaald tijdstip van de dag.

Onbeperkt aantal aanpasbare grafieken van netwerkverbindingsactiviteiten op basis van geselecteerde filters.

Beheer (beperk, pauzeer) de verkeersstroom op elk van de filters.

Handig statistieksysteem (van een uur tot een jaar) met exportfunctie.

Mogelijkheid om statistieken van externe computers te bekijken met BWMeter.

Flexibel systeem van waarschuwingen en meldingen bij het bereiken van een bepaalde gebeurtenis.

Maximale aanpassingsmogelijkheden, incl. verschijning.

Mogelijkheid om als service te draaien.

3) Bandbreedtemonitor Pro(Afb. 3).

De ontwikkelaars hebben veel aandacht besteed aan het opzetten van het verkeersmonitoringvenster. Ten eerste kunt u bepalen welke informatie het programma voortdurend op het scherm weergeeft. Dit kan de hoeveelheid gegevens zijn die zijn ontvangen en verzonden (zowel afzonderlijk als in totaal) voor vandaag en voor een bepaalde periode, de gemiddelde, huidige en maximale verbindingssnelheid. Als u meerdere netwerkadapters hebt geïnstalleerd, kunt u de statistieken voor elk van deze afzonderlijk controleren. Tegelijkertijd, noodzakelijke informatie voor elke netwerkkaart kan ook worden weergegeven in het monitoringvenster.

Rijst. 3

Afzonderlijk is het de moeite waard om het meldingssysteem te vermelden, dat hier zeer succesvol is geïmplementeerd. U kunt het gedrag van het programma instellen wanneer aan specifieke voorwaarden wordt voldaan, zoals de overdracht van een bepaalde hoeveelheid gegevens gedurende een bepaalde periode, prestatie maximale snelheid downloads, het wijzigen van de verbindingssnelheid, enz. Als er meerdere gebruikers op de computer werken en u het totale verkeer wilt monitoren, kan het programma als een service worden uitgevoerd. In dit geval verzamelt Bandwidth Monitor Pro statistieken van alle gebruikers die zich met hun logins bij het systeem aanmelden.

4) DUTraffic(Afb. 4).

DUTraffic onderscheidt zich van alle reviewprogramma's door de gratis status.

Rijst. 4

Net als haar commerciële tegenhangers kan DUTraffic verschillende acties ondernemen als aan bepaalde voorwaarden wordt voldaan. Het kan bijvoorbeeld een audiobestand afspelen, een bericht weergeven of de internetverbinding verbreken wanneer de gemiddelde of huidige downloadsnelheid lager is dan een opgegeven waarde, wanneer de duur van een internetsessie een bepaald aantal uren overschrijdt, wanneer een bepaalde hoeveelheid gegevens is overgedragen. Daarnaast diverse acties kan bijvoorbeeld cyclisch worden uitgevoerd telkens wanneer het programma de overdracht van een bepaalde hoeveelheid informatie registreert. Statistieken in DUTraffic worden voor elke gebruiker en voor elke internetverbinding afzonderlijk bijgehouden. Het programma toont zowel algemene statistieken voor de geselecteerde tijdsperiode als informatie over de snelheid, hoeveelheid verzonden en ontvangen gegevens en financiële kosten voor elke sessie.

5) Cactussen monitoringsysteem(Afb. 5).

Cacti is een open-source webapplicatie (er is geen installatiebestand). Cacti verzamelt statistische gegevens voor bepaalde tijdsintervallen en stelt u in staat deze grafisch weer te geven. Met het systeem kunt u grafieken maken met behulp van RRDtool. Voornamelijk gebruikt standaard sjablonen om statistieken weer te geven over processorbelasting, RAM-toewijzing, aantal actieve processen, gebruik van inkomend/uitgaand verkeer.

De interface voor het weergeven van statistieken verzameld van netwerkapparaten wordt gepresenteerd in de vorm van een boom, waarvan de structuur door de gebruiker wordt gespecificeerd. In de regel worden grafieken gegroepeerd op basis van bepaalde criteria, en dezelfde grafiek kan aanwezig zijn in verschillende takken van de boom (bijvoorbeeld verkeer via de netwerkinterface van de server - in degene die is gewijd aan het algemene beeld van het internetverkeer van het bedrijf, en in de vertakking met parameters van dit apparaat). Er is een optie om een ​​vooraf samengestelde set grafieken te bekijken, en er is een preview-modus. Elk van de grafieken kan afzonderlijk worden bekeken en wordt weergegeven voor de laatste dag, week, maand en jaar. Het is mogelijk om onafhankelijk de tijdsperiode te selecteren waarvoor het schema zal worden gegenereerd, en dit kan worden gedaan door kalenderparameters op te geven of eenvoudigweg door met de muis een bepaald gebied erop te selecteren.

Tabel 1

Instellingen/Programma's	BExtreem	BW-meter	Bandbreedtemonitor Pro	DUTraffic	Cactussen
Grootte van installatiebestand	473 KB	1,91 MB	1,05MB	1,4MB
Interfacetaal	Russisch	Russisch	Engels	Russisch	Engels
Snelheidsgrafiek
Verkeersgrafiek
Exporteren/importeren (bestandsformaat exporteren)	–/–	(*.csv)	–/–	–/–	(*.xls)
Min -tijdstap tussen gegevensrapporten	5 min.	1 sec.	1 min.	1 sec.	1 sec.
Mogelijkheid tot verandering min

2. Beoordeling van netwerkverkeeranalyseprogramma's (sniffers)

Een verkeersanalysator, of sniffer, is een netwerkverkeersanalysator, een programma of hardware- en softwareapparaat dat is ontworpen om netwerkverkeer dat voor andere knooppunten is bedoeld, te onderscheppen en vervolgens te analyseren, of alleen te analyseren.

Met analyse van het verkeer dat door de sniffer gaat, kunt u:

Onderschep ongecodeerd (en soms gecodeerd) gebruikersverkeer om wachtwoorden en andere informatie te verkrijgen.

Zoek een netwerkfout of configuratiefout van een netwerkagent (sniffers worden voor dit doel vaak gebruikt door systeembeheerders).

Omdat bij een “klassieke” sniffer de verkeersanalyse handmatig wordt uitgevoerd, met behulp van alleen de eenvoudigste automatiseringstools (protocolanalyse, herstel van TCP-streams), is deze geschikt om alleen kleine volumes te analyseren.

1) Draadhaai(voorheen etherisch).

Verkeersanalysatorprogramma voor computers Ethernet-netwerken en enkele anderen. Heeft een grafische gebruikersinterface. Wireshark is een applicatie die de structuur van een grote verscheidenheid aan ‘kent’ netwerkprotocollen, en stelt u daarom in staat een netwerkpakket te parseren, waarbij de waarde van elk protocolveld op elk niveau wordt weergegeven. Omdat pcap wordt gebruikt om pakketten vast te leggen, is het mogelijk alleen gegevens vast te leggen van netwerken die door deze bibliotheek worden ondersteund. Wireshark kan echter verschillende invoergegevensformaten verwerken, zodat u gegevensbestanden kunt openen die door andere programma's zijn vastgelegd, waardoor uw opnamemogelijkheden worden uitgebreid.

2) IrisNetwerkVerkeerAnalysator.

Naast de standaardfuncties van het verzamelen, filteren en zoeken naar pakketten, evenals het genereren van rapporten, biedt het programma unieke kansen voor gegevensreconstructie. Iris De Network Traffic Analyzer helpt bij het gedetailleerd reproduceren van gebruikerssessies met verschillende webbronnen en stelt u zelfs in staat het verzenden van wachtwoorden te simuleren om toegang te krijgen tot beveiligde webservers met behulp van cookies. De unieke technologie voor gegevensreconstructie die in de decoderingsmodule is geïmplementeerd, zet honderden verzamelde binaire netwerkpakketten om in bekende e-mails, webpagina's, ICQ-berichten, enz. Met eEye Iris kunt u niet-gecodeerde berichten van webmail en instant messaging-programma's bekijken, waardoor de mogelijkheden van bestaande programma's worden uitgebreid. monitoring- en auditinstrumenten.

Met de eEye Iris-pakketanalysator kunt u verschillende details van de aanval vastleggen, zoals de datum en tijd, IP-adressen en DNS-namen van de computers van de hacker en het slachtoffer, en de gebruikte poorten.

3) EthernetInternetverkeerStatistiek.

Ethernet-internetverkeerstatistiek toont de hoeveelheid ontvangen en ontvangen gegevens (in bytes - totaal en voor de laatste sessie), evenals de verbindingssnelheid. Voor de duidelijkheid worden de verzamelde gegevens in realtime in een grafiek weergegeven. Het werkt zonder installatie, de interface is Russisch en Engels.

Een hulpprogramma voor het monitoren van de mate van netwerkactiviteit - toont de hoeveelheid ontvangen en ontvangen gegevens en houdt statistieken bij voor de sessie, dag, week en maand.

4) CommVerkeer.

Dit is een netwerkhulpprogramma voor het verzamelen, verwerken en weergeven van internetverkeersstatistieken via een modem (inbelverbinding) of speciale verbinding. Bij het monitoren van een lokaal netwerksegment toont CommTraffic internetverkeer voor elke computer in het segment.

CommTraffic bevat een eenvoudig aanpasbare, gebruiksvriendelijke interface die netwerkprestatiestatistieken weergeeft in de vorm van grafieken en cijfers.

Tabel 2

Instellingen/Programma's	Draadhaai	Iris De netwerkverkeersanalysator	Ethernet-internetverkeerstatistiek	CommVerkeer
Grootte van installatiebestand	17,4 MB	5,04 MB	651 KB	7,2 MB
Interfacetaal	Engels	Russisch	Engels/Russisch	Russisch
Snelheidsgrafiek
Verkeersgrafiek
Exporteren/importeren (bestandsformaat exporteren)	+/– (*.txt, *.px, *.csv, *.psml, *.pdml, *.c)	–/–	–/–	–/–
Voer on-demand monitoring uit
Min -tijdstap tussen gegevensrapporten	0,001 sec.	1 sec.	1 sec.	1 sec.
Mogelijkheid tot verandering min -de stap tussen gegevensrapporten

Conclusie

Over het geheel genomen kunnen we zeggen dat de meeste thuisgebruikers tevreden zullen zijn met de mogelijkheden die Bandwidth Monitor Pro biedt. Als we het hebben over het meest functionele programma voor het monitoren van netwerkverkeer, dan is dit natuurlijk BWMeter.

Onder de beoordeelde netwerkverkeeranalyseprogramma's zou ik graag Wireshark willen benadrukken, dat meer functionaliteit heeft.

Het Cacti monitoringsysteem voldoet maximaal aan de verhoogde eisen die gesteld worden bij het doen van onderzoek naar netwerkverkeer voor wetenschappelijke doeleinden. In de toekomst zijn de auteurs van het artikel van plan dit specifieke systeem te gebruiken voor het verzamelen en voorbereidende analyse van verkeer in het bedrijfsmultiservicenetwerk van de afdeling Communicatienetwerken van de Kharkov Nationale Universiteit voor Radio-elektronica.

Referenties

Platov V.V., Petrov V.V. Studie van de op zichzelf gelijkende structuur van televerkeer in een draadloos netwerk // Notebooks voor radiotechniek. M.: OKB MPEI. 2004. Nr. 3. blz. 58-62.

Petrov V.V. Televerkeersstructuur en algoritme voor het garanderen van de kwaliteit van de dienstverlening onder invloed van het zelf-similariteitseffect. Proefschrift voor de wetenschappelijke graad van de kandidaat technische wetenschappen, 05.12.13, Moskou, 2004, 199 p.

Origineel: 8 beste pakketsniffers en netwerkanalysatoren
Auteur: Jon Watson
Datum van publicatie: 22 november 2017
Vertaling: A. Krivoshey
Overdrachtsdatum: december 2017

Packet sniffing is een informele term die verwijst naar de kunst van het analyseren van netwerkverkeer. In tegenstelling tot wat vaak wordt gedacht, reizen zaken als e-mails en webpagina's niet in één stuk over het internet. Ze worden opgedeeld in duizenden kleine datapakketjes en zo via internet verzonden. In dit artikel zullen we kijken naar de beste gratis netwerkanalysatoren en pakketsniffers.

Er zijn veel hulpprogramma's die netwerkverkeer verzamelen, en de meeste daarvan gebruiken pcap (op Unix-achtige systemen) of libcap (op Windows) als kern. Een ander type hulpprogramma helpt bij het analyseren van deze gegevens, omdat zelfs een kleine hoeveelheid verkeer duizenden pakketten kan genereren die moeilijk te navigeren zijn. Bijna al deze hulpprogramma's verschillen weinig van elkaar bij het verzamelen van gegevens; de belangrijkste verschillen liggen in de manier waarop ze de gegevens analyseren.

Voor het analyseren van netwerkverkeer is inzicht nodig in hoe het netwerk werkt. Er bestaat geen tool die op magische wijze de kennis van een analist over netwerkfundamenten kan vervangen, zoals de TCP "3-way handshake" die wordt gebruikt om een ​​verbinding tussen twee apparaten tot stand te brengen. Analisten moeten ook enig inzicht hebben in de soorten netwerkverkeer op een normaal functionerend netwerk, zoals ARP en DHCP. Deze kennis is belangrijk omdat analysetools u eenvoudigweg laten zien wat u van hen vraagt. Het is aan jou om te beslissen wat je vraagt. Als u niet weet hoe uw netwerk er doorgaans uitziet, kan het moeilijk zijn om te weten of u in de grote hoeveelheid pakketten die u heeft verzameld, heeft gevonden wat u nodig heeft.

De beste pakketsniffers en netwerkanalysatoren

Industrieel gereedschap

Laten we bovenaan beginnen en dan naar de basis toe werken. Als je te maken hebt met een netwerk op ondernemingsniveau, heb je een groot wapen nodig. Hoewel bijna alles in de kern tcpdump gebruikt (daarover later meer), kunnen tools op ondernemingsniveau bepaalde problemen aanpakken complexe problemen zoals het correleren van verkeer van meerdere servers, het bieden van intelligente queries om problemen te identificeren, het waarschuwen voor uitzonderingen en het creëren van goede grafieken, wat het management altijd eist.

Tools op bedrijfsniveau zijn doorgaans gericht op het streamen van netwerkverkeer in plaats van op het beoordelen van de inhoud van pakketten. Hiermee bedoel ik dat de belangrijkste focus van de meeste systeembeheerders in de onderneming is ervoor te zorgen dat het netwerk geen prestatieknelpunten heeft. Wanneer dergelijke knelpunten optreden, is het doel meestal om vast te stellen of het probleem wordt veroorzaakt door het netwerk of door een applicatie op het netwerk. Aan de andere kant kunnen deze tools dit meestal wel aan veel verkeer dat ze kunnen helpen bij het voorspellen van het moment waarop een netwerksegment volledig geladen zal zijn, wat een cruciaal beheerpunt is doorvoer netwerken.

Dit is een zeer grote set IT-beheertools. In dit artikel wordt het hulpprogramma Deep Packet Inspection and Analysis besproken integraal onderdeel. Het verzamelen van netwerkverkeer is vrij eenvoudig. Met behulp van tools zoals WireShark, basisanalyse is ook geen probleem. Maar de situatie is niet altijd helemaal duidelijk. Op een zeer druk netwerk kan het moeilijk zijn om zelfs heel eenvoudige zaken vast te stellen, zoals:

Welke toepassing op het netwerk genereert dit verkeer?
- als een applicatie bekend is (bijvoorbeeld een webbrowser), waar brengen de gebruikers dan het grootste deel van hun tijd door?
- welke verbindingen zijn het langst en belasten het netwerk?

De meeste netwerkapparaten gebruiken de metagegevens van elk pakket om ervoor te zorgen dat het pakket terechtkomt waar het heen moet. De inhoud van het pakket is onbekend bij het netwerkapparaat. Een ander ding is deep packet inspection; dit betekent dat de daadwerkelijke inhoud van het pakket wordt gecontroleerd. Op deze manier kan kritische netwerkinformatie worden ontdekt die niet uit metadata kan worden gehaald. Tools zoals die van SolarWinds kunnen betekenisvollere gegevens opleveren dan alleen de verkeersstroom.

Andere technologieën voor het beheer van data-intensieve netwerken zijn onder meer NetFlow en sFlow. Ieder heeft zijn eigen sterke en zwakke punten,

U kunt meer leren over NetFlow en sFlow.

Netwerkanalyse in het algemeen is een geavanceerd onderwerp dat gebaseerd is op zowel verworven kennis als praktische ervaring werk. Je kunt iemand trainen om gedetailleerde kennis van netwerkpakketten te hebben, maar tenzij die persoon kennis heeft van het netwerk zelf en ervaring heeft met het identificeren van afwijkingen, zal hij niet erg goed presteren. De tools die in dit artikel worden beschreven, moeten worden gebruikt door ervaren netwerkbeheerders die weten wat ze willen, maar niet zeker weten welk hulpprogramma het beste is. Ze kunnen ook door minder ervaren systeembeheerders worden gebruikt om dagelijkse netwerkervaring op te doen.

Basisprincipes

Het belangrijkste hulpmiddel voor het verzamelen van netwerkverkeer is

Deze applicatie is geopend broncode, dat op vrijwel alle Unix-achtige besturingssystemen is geïnstalleerd. TCPdump - groot nut voor gegevensverzameling, die een zeer complexe taal filtratie. Het is belangrijk om te weten hoe u gegevens moet filteren bij het verzamelen ervan, zodat u een normale set gegevens voor analyse krijgt. Het vastleggen van alle gegevens van een netwerkapparaat, zelfs op een redelijk druk netwerk, kan te veel gegevens opleveren die erg moeilijk te analyseren zijn.

In sommige zeldzame gevallen is het voldoende om de door tcpdump vastgelegde gegevens rechtstreeks op het scherm af te drukken om te vinden wat u nodig heeft. Tijdens het schrijven van dit artikel verzamelde ik bijvoorbeeld verkeer en merkte dat mijn machine verkeer naar een IP-adres stuurde dat ik niet kende. Het blijkt dat mijn machine gegevens naar Google-IP-adres 172.217.11.142. Omdat ik geen Google-producten had en Gmail niet open was, wist ik niet waarom dit gebeurde. Ik heb mijn systeem gecontroleerd en het volgende gevonden:

[ ~ ]$ ps -ef | grep Google-gebruiker 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

Het blijkt dat zelfs als Chrome niet actief is, het als een service blijft draaien. Zonder pakketanalyse zou ik dit niet hebben opgemerkt. Ik heb nog een paar datapakketten vastgelegd, maar deze keer gaf ik tcpdump de taak om de gegevens naar een bestand te schrijven, dat ik vervolgens in Wireshark opende (hierover later meer). Dit zijn de inzendingen:

Tcpdump is een favoriet hulpmiddel van systeembeheerders omdat het een hulpprogramma is opdrachtregel. Voor het uitvoeren van tcpdump is geen GUI vereist. Voor productieservers is de grafische interface nogal schadelijk, omdat deze veel verbruikt systeembronnen, dus opdrachtregelprogramma's hebben de voorkeur. Zoals veel moderne hulpprogramma's heeft tcpdump een zeer rijke en complexe taal die enige tijd kost om onder de knie te krijgen. Een aantal van de meest basiscommando's omvatten het selecteren van een netwerkinterface om gegevens te verzamelen en het vastleggen van die gegevens in een bestand, zodat deze kunnen worden geëxporteerd voor analyse elders. Hiervoor worden de schakelaars -i en -w gebruikt.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: luisteren op eth0, link-type EN10MB (Ethernet), opnamegrootte 262144 bytes ^C51 vastgelegde pakketten

Met deze opdracht wordt een bestand gemaakt met de vastgelegde gegevens:

Bestand tcpdump_packets tcpdump_packets: tcpdump capture-bestand (little-endian) - versie 2.4 (Ethernet, capture-lengte 262144)

De standaard voor dergelijke bestanden is het pcap-formaat. Het is geen tekst, dus het kan alleen worden geanalyseerd met programma's die dit formaat begrijpen.

3. Winddump

Meerderheid nuttige hulpprogramma's open source wordt uiteindelijk in anderen gekloond besturingssystemen. Wanneer dit gebeurt, wordt gezegd dat de applicatie is gemigreerd. Windump is een port van tcpdump en gedraagt ​​zich op een vergelijkbare manier.

Het belangrijkste verschil tussen Windump en tcpdump is dat Windump de Winpcap-bibliotheek moet installeren voordat Windump kan worden uitgevoerd. Hoewel Windump en Winpcap door dezelfde beheerder worden geleverd, moeten ze afzonderlijk worden gedownload.

Winpcap is een bibliotheek die vooraf moet worden geïnstalleerd. Maar Windump is een exe-bestand dat niet hoeft te worden geïnstalleerd, dus u kunt het gewoon uitvoeren. Dit is iets om in gedachten te houden als u het gebruikt Windows-netwerk. U hoeft Windump niet op elke machine te installeren, u kunt het gewoon kopiëren als dat nodig is, maar u hebt Winpcap nodig om Windup te ondersteunen.

Net als bij tcpdump kan Windump netwerkgegevens weergeven voor analyse, deze op dezelfde manier filteren en de gegevens ook naar een pcap-bestand schrijven voor latere analyse.

4. Draadshark

Wireshark is het op één na bekendste hulpmiddel in de gereedschapskist van een systeembeheerder. Hiermee kunt u niet alleen gegevens vastleggen, maar ook enkele geavanceerde analysehulpmiddelen bieden. Bovendien is Wireshark open source en geschikt voor vrijwel alle bestaande serverbesturingssystemen. Wireshark heet Etheral en draait nu overal, ook als een zelfstandige, draagbare applicatie.

Als u verkeer op een server analyseert met grafische interface Wireshark kan alles voor u doen. Het kan gegevens verzamelen en deze daar vervolgens analyseren. GUI's zijn echter zeldzaam op servers, dus u kunt netwerkgegevens op afstand verzamelen en vervolgens het resulterende pcap-bestand in Wireshark op uw computer bekijken.

Wanneer u Wireshark voor het eerst start, kunt u downloaden bestaand bestand pcap, of start het vastleggen van verkeer. In het laatste geval kunt u bovendien filters instellen om de hoeveelheid verzamelde gegevens te verminderen. Als u geen filter opgeeft, verzamelt Wireshark eenvoudig alle netwerkgegevens van de geselecteerde interface.

Een van de meest handige functies Wireshark is de mogelijkheid om een ​​stroom te volgen. Je kunt een draad het beste als een ketting beschouwen. In de onderstaande schermafbeelding kunnen we veel vastgelegde gegevens zien, maar waar ik het meest in geïnteresseerd was, was het IP-adres van Google. Ik kan klikken klik met de rechtermuisknop muis en volg de TCP-stream om de hele keten te zien.

Als het verkeer op een andere computer is vastgelegd, kunt u het PCAP-bestand importeren met behulp van het Wireshark-bestand -> Openen-dialoogvenster. Voor geïmporteerde bestanden zijn dezelfde filters en tools beschikbaar als voor vastgelegde netwerkgegevens.

5.tshaai

Tshark is een zeer nuttige link tussen tcpdump en Wireshark. Tcpdump is superieur in het verzamelen van gegevens en kan operatief alleen de gegevens extraheren die u nodig heeft, maar de mogelijkheden voor gegevensanalyse zijn zeer beperkt. Wireshark is geweldig in zowel vastleggen als analyseren, maar heeft een zware gebruikersinterface en kan niet worden gebruikt op servers zonder GUI. Probeer tshark, het werkt op de opdrachtregel.

Tshark gebruikt dezelfde filterregels als Wireshark, wat niet verrassend hoeft te zijn, aangezien ze in wezen hetzelfde product zijn. De onderstaande opdracht vertelt tshark alleen om het bestemmings-IP-adres vast te leggen, evenals enkele andere interessegebieden uit het HTTP-gedeelte van het pakket.

# tshark -i eth0 -Y http.request -T velden -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico

Als u het verkeer naar een bestand wilt schrijven, gebruikt u hiervoor de optie -W en vervolgens de schakelaar -r (lezen) om het te lezen.

Eerste opname:

# tshark -i eth0 -w tshark_packets Vastleggen op "eth0" 102 ^C

Lees het hier, of verplaats het naar een andere plaats voor analyse.

# tshark -r tshark_packets -Y http.request -T velden -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /contact 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reserveringen/ 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) 00101 Firefox/ 57 .0 / reserveringen/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack .0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) 00101 Firefox/57.0 / res/images/title.png

Dit is een zeer interessante tool die meer in de categorie van forensische netwerkanalysetools valt dan alleen maar sniffers. Het forensisch onderzoek houdt zich doorgaans bezig met onderzoeken en het verzamelen van bewijsmateriaal, en Network Miner doet dit werk prima. Net zoals wireshark een TCP-stream kan volgen om een ​​volledige pakkettransmissieketen te reconstrueren, kan Network Miner een stream volgen om bestanden te herstellen die via een netwerk zijn overgedragen.

Network Miner kan strategisch op het netwerk worden geplaatst om verkeer dat u interesseert in realtime te kunnen observeren en verzamelen. Het genereert geen eigen verkeer op het netwerk en werkt dus heimelijk.

Network Miner kan ook werken offline-modus. U kunt tcpdump gebruiken om pakketten op een netwerkpunt te verzamelen en vervolgens de PCAP-bestanden in Network Miner te importeren. Vervolgens kunt u proberen alle bestanden of certificaten in het opgenomen bestand te herstellen.

Network Miner is gemaakt voor Windows, maar kan met Mono worden uitgevoerd op elk besturingssysteem dat het Mono-platform ondersteunt, zoals Linux en MacOS.

Eten gratis versie, instapniveau, maar met een behoorlijke set functies. Als je dat nodig hebt extra functies, zoals geolocatie en aangepaste scripts, moet u een professionele licentie aanschaffen.

7. Fiddler (HTTP)

Het is technisch gezien geen hulpprogramma voor het vastleggen van netwerkpakketten, maar het is zo ongelooflijk nuttig dat het op deze lijst staat. In tegenstelling tot de andere hier genoemde tools, die zijn ontworpen om netwerkverkeer van welke bron dan ook vast te leggen, is Fiddler meer een debugging-tool. Het vangt HTTP-verkeer op. Hoewel veel browsers deze mogelijkheid al in hun ontwikkelaarstools hebben, beperkt Fiddler zich niet tot browserverkeer. Fiddler kan elk HTTP-verkeer op uw computer vastleggen, inclusief niet-webapplicaties.

Veel desktop-applicaties gebruik HTTP om verbinding te maken met webservices, en naast Fiddler, de enige manier Om dergelijk verkeer vast te leggen voor analyse, wordt gebruik gemaakt van tools zoals tcpdump of Wireshark. Ze werken echter op pakketniveau, dus analyse vereist het reconstrueren van deze pakketten in HTTP-streams. Het kan veel werk zijn om eenvoudig onderzoek te doen, en dat is waar Fiddler in beeld komt. Fiddler helpt u bij het detecteren van cookies, certificaten en andere nuttige gegevens die door applicaties worden verzonden.

Fiddler is gratis en kan, net als Network Miner, in Mono op vrijwel elk besturingssysteem worden uitgevoerd.

8. Kapsa

De Capsa netwerkanalysator heeft verschillende edities, elk met verschillende mogelijkheden. Op het eerste niveau is Capsa gratis, en je kunt er in wezen eenvoudig pakketten mee vastleggen en de basis ervan produceren grafische analyse. Het dashboard is uniek en kan een onervaren systeembeheerder helpen netwerkproblemen snel te identificeren. Gratis niveau is ontworpen voor mensen die meer willen leren over pakketten en hun analysevaardigheden willen opbouwen.

Met de gratis versie kunt u meer dan 300 protocollen beheren, geschikt voor monitoring e-mail Naast het opslaan van e-mailinhoud ondersteunt het ook triggers die kunnen worden gebruikt om waarschuwingen te activeren wanneer bepaalde situaties zich voordoen. In dit opzicht kan Capsa tot op zekere hoogte als ondersteunend hulpmiddel worden gebruikt.

Capsa is alleen beschikbaar voor Windows 2008/Vista/7/8 en 10.

Conclusie

Het is gemakkelijk te begrijpen hoe een systeembeheerder met behulp van de tools die we hebben beschreven een netwerkbewakingsinfrastructuur kan creëren. Tcpdump of Windump kunnen op alle servers worden geïnstalleerd. Planner zoals cron of Windows-planner, V juiste moment start een pakketverzamelingssessie en schrijft de verzamelde gegevens naar een pcap-bestand. Vervolgens kan de systeembeheerder deze pakketten naar de centrale machine overbrengen en ermee analyseren met behulp van wireshark. Als het netwerk hiervoor te groot is, zijn er enterprise-grade tools zoals SolarWinds beschikbaar om alle netwerkpakketten om te zetten in een beheersbare dataset.

Lees andere artikelen over het onderscheppen en analyseren van netwerkverkeer :

• Dan Nanni, opdrachtregelhulpprogramma's voor het monitoren van netwerkverkeer op Linux
• Paul Cobbaut, Linux-systeembeheer. Netwerkverkeer onderscheppen
• Paul Ferrill, 5 tools voor netwerkmonitoring op Linux
• Pankaj Tanwar, Pakketopname met behulp van de libpcap-bibliotheek
• Riccardo Capecchi, filters gebruiken in Wireshark
• Nathan Willis, netwerkanalyse met Wireshark
• Prashant Phatak,

Veel gebruikers computernetwerken Over het algemeen is zo'n concept als 'sniffer' onbekend. Laten we proberen te definiëren wat een snuffelaar is door te zeggen in eenvoudige taal ongetrainde gebruiker. Maar eerst moet je je nog verdiepen in de voordefinitie van de term zelf.

Sniffer: wat is een sniffer vanuit het oogpunt van de Engelse taal en computertechnologie?

In feite is het helemaal niet moeilijk om de essentie van een dergelijk software- of hardware-softwarecomplex te bepalen als je de term eenvoudigweg vertaalt.

Deze naam komt van het Engelse woord sniff (snuiven). Vandaar de betekenis van de Russische term ‘sniffer’. Wat is een sniffer in ons begrip? Een ‘sniffer’ die het gebruik van netwerkverkeer kan monitoren, of, eenvoudiger gezegd, een spion die zich kan bemoeien met de werking van lokale of op internet gebaseerde netwerken, en de informatie kan extraheren die hij nodig heeft op basis van toegang via TCP/IP-protocollen voor gegevensoverdracht .

Verkeersanalysator: hoe werkt het?

Laten we meteen een reservering maken: een sniffer, of het nu een software- of sharewarecomponent is, is uitsluitend in staat verkeer (verzonden en ontvangen gegevens) te analyseren en te onderscheppen via netwerkkaarten(Ethernet). Wat gebeurt er?

De netwerkinterface wordt niet altijd beschermd door een firewall (opnieuw software of hardware), en daarom wordt het onderscheppen van verzonden of ontvangen gegevens slechts een kwestie van technologie.

Binnen het netwerk wordt informatie over segmenten verzonden. Binnen één segment moeten datapakketten naar absoluut alle apparaten worden verzonden die op het netwerk zijn aangesloten. Gesegmenteerde informatie wordt doorgestuurd naar routers (routers) en vervolgens naar switches (switches) en concentrators (hubs). Het verzenden van informatie gebeurt door pakketten zo te splitsen eindgebruiker ontvangt alle delen van het pakket die met elkaar zijn verbonden vanaf totaal verschillende routes. Het “luisteren” naar alle mogelijke routes van de ene abonnee naar de andere of de interactie van een internetbron met een gebruiker kan dus niet alleen toegang verschaffen tot niet-gecodeerde informatie, maar ook tot bepaalde informatie. geheime sleutels, die ook in een dergelijk interactieproces kan worden verzonden. En hier blijkt de netwerkinterface volledig onbeschermd te zijn, omdat een derde partij tussenbeide komt.

Goede bedoelingen en kwaadaardige bedoelingen?

Sniffers kunnen zowel ten goede als ten kwade worden gebruikt. Om nog maar te zwijgen negatieve impact is het vermeldenswaard dat dergelijke hardware- en softwaresystemen vrij vaak worden gebruikt door systeembeheerders die niet alleen de acties van gebruikers op het netwerk proberen te volgen, maar ook hun gedrag op internet in termen van bezochte bronnen, geactiveerde downloads naar computers of van hen verzenden.

De methode waarmee de netwerkanalysator werkt is vrij eenvoudig. De sniffer detecteert uitgaand en inkomend verkeer van de machine. In dit geval hebben we het niet over interne of externe IP. Het belangrijkste criterium is het zogenaamde MAC-adres, uniek voor elk apparaat dat is verbonden met het wereldwijde web. Het wordt gebruikt om elke machine op het netwerk te identificeren.

Soorten snuffelaars

Maar per type kunnen ze in verschillende hoofdgroepen worden verdeeld:

• hardware;
• software;
• hardware en software;
• online-applets.

Gedragsdetectie van de aanwezigheid van een sniffer op het netwerk

Je kunt dezelfde WiFi-sniffer detecteren aan de hand van de belasting van het netwerk. Als het duidelijk is dat de dataoverdracht of verbinding niet op het door de provider aangegeven niveau is (of de router toestaat), moet je hier direct aandacht aan besteden.

Aan de andere kant kan de provider ook een software-sniffer gebruiken om het verkeer te monitoren zonder medeweten van de gebruiker. Maar in de regel weet de gebruiker er niet eens van. Maar de organisatie die communicatie- en internetverbindingsdiensten levert, garandeert de gebruiker dus volledige veiligheid op het gebied van het onderscheppen van overstromingen, het zelf installeren van clients van verschillende Trojaanse paarden, spionnen, enz. Maar dergelijke tools zijn eerder software en hebben niet veel impact op het netwerk of de gebruikersterminals.

Online bronnen

Maar een online verkeersanalysator kan bijzonder gevaarlijk zijn. Een primitief computerhacksysteem is gebouwd op het gebruik van sniffers. De technologie in zijn eenvoudigste vorm komt erop neer dat de aanvaller zich in eerste instantie registreert specifieke hulpbron en uploadt vervolgens de afbeelding naar de site. Na het bevestigen van de download wordt een link naar een online sniffer uitgegeven, die bijvoorbeeld naar een potentieel slachtoffer wordt gestuurd in de vorm van een e-mail of hetzelfde sms-bericht met een tekst als “Je hebt een felicitatie ontvangen van zo-en -Dus. Om de foto (ansichtkaart) te openen, klikt u op de link.”

Naïeve gebruikers klikken op de opgegeven hyperlink, waardoor de herkenning wordt geactiveerd en het externe IP-adres wordt doorgegeven aan de aanvaller. Als hij over de juiste applicatie beschikt, kan hij niet alleen alle gegevens bekijken die op de computer zijn opgeslagen, maar ook eenvoudig de systeeminstellingen van buitenaf wijzigen, waarover lokale gebruiker Ik zal het niet eens raden, omdat ik zo’n verandering aanzie voor de impact van een virus. Maar de scanner toont bij controle geen bedreigingen.

Hoe kunt u uzelf beschermen tegen het onderscheppen van gegevens?

Of het nu een WiFi-sniffer of een andere analysator is, er zijn nog steeds systemen die bescherming bieden tegen ongeautoriseerde verkeersscans. Er is slechts één voorwaarde: ze hoeven alleen te worden geïnstalleerd als u volledig vertrouwen heeft in "aftappen".

Zo een software meestal “antisniffers” genoemd. Maar als je erover nadenkt, zijn dit dezelfde sniffers die het verkeer analyseren, maar andere programma's blokkeren die proberen te ontvangen

Vandaar de legitieme vraag: is het de moeite waard om dergelijke software te installeren? Misschien zal het hacken door hackers zelfs nog meer schade aanrichten, of zal het zelf blokkeren wat zou moeten werken?

In de zeer eenvoudig geval Bij Windows-systemen is het beter om een ​​ingebouwde firewall als bescherming te gebruiken. Soms kunnen er conflicten zijn met geïnstalleerd antivirusprogramma, maar dit betreft meestal alleen gratis pakketten. Professioneel aangeschafte of maandelijks geactiveerde versies hebben dergelijke tekortkomingen niet.

In plaats van een nawoord

Dat heeft alles te maken met het concept van "snuffel". Ik denk dat veel mensen al hebben ontdekt wat een sniffer is. Ten slotte blijft de vraag: hoe correct zal de gemiddelde gebruiker dergelijke dingen gebruiken? Anders kun je onder jonge gebruikers soms een neiging tot computervandalisme opmerken. Ze denken dat het hacken van de computer van iemand anders zoiets is als een interessante wedstrijd of zelfbevestiging. Helaas denkt niemand van hen zelfs maar na over de gevolgen, maar het is heel gemakkelijk om een ​​aanvaller die dezelfde online sniffer gebruikt, te identificeren aan de hand van zijn externe IP, bijvoorbeeld op de WhoIs-website. Het is waar dat de locatie van de aanbieder als locatie wordt aangegeven, maar het land en de stad worden exact bepaald. Nou, dan is het een kleine zaak: bel de provider om de terminal van waaruit gebeld is te blokkeren. ongeoorloofde toegang, of een gerechtelijke zaak. Trek uw eigen conclusies.

Bij geïnstalleerd programma Nog eenvoudiger is het bepalen van de locatie van de terminal van waaruit een toegangspoging wordt ondernomen. Maar de gevolgen kunnen catastrofaal zijn, omdat niet alle gebruikers deze anonimizers of virtuele proxyservers gebruiken en zelfs geen idee hebben van internet. Het zou de moeite waard zijn om te leren...

Netwerkpakketanalysatoren, of sniffers, zijn oorspronkelijk ontwikkeld als middel om problemen op te lossen netwerkproblemen. Ze kunnen pakketten die via het netwerk worden verzonden, onderscheppen, interpreteren en opslaan voor latere analyse. Enerzijds maakt dit het mogelijk systeembeheerders en servicemonteurs technische ondersteuning Observeer hoe gegevens via het netwerk worden overgedragen, diagnosticeer en los eventuele problemen op. In die zin zijn pakketsniffers dat wel krachtig hulpmiddel netwerkproblemen diagnosticeren. Aan de andere kant werden sniffers, net als veel andere krachtige tools die oorspronkelijk bedoeld waren voor administratie, in de loop van de tijd voor totaal andere doeleinden gebruikt. Een sniffer in de handen van een aanvaller is inderdaad een nogal gevaarlijk hulpmiddel en kan worden gebruikt om wachtwoorden en andere vertrouwelijke informatie te verkrijgen. U moet echter niet denken dat sniffers een soort magisch hulpmiddel zijn waarmee elke hacker gemakkelijk vertrouwelijke informatie kan bekijken die via het netwerk wordt verzonden. En voordat we bewijzen dat het gevaar van snuffelaars niet zo groot is als vaak wordt voorgesteld, moeten we eerst de principes van hun werking nader bekijken.

Werkingsprincipes van pakketsniffers

Verderop in dit artikel zullen we alleen softwaresniffers beschouwen die zijn ontworpen voor Ethernet-netwerken. Sniffer is een programma dat op niveau werkt netwerkadapter NIC (netwerkinterfacekaart) (linklaag) en op een verborgen manier onderschept al het verkeer. Omdat snuffelaars doorwerken koppelingsniveau OSI-model, ze hoeven zich niet meer aan protocolregels te houden hoog niveau. Sniffers omzeilen de filtermechanismen (adressen, poorten, enz.) die Ethernet-stuurprogramma's en de TCP/IP-stack gebruiken om gegevens te interpreteren. Pakketsniffers vangen alles uit de draad op wat er doorheen komt. Sniffers kunnen frames in binair formaat opslaan en deze later decoderen om informatie op een hoger niveau te onthullen die erin verborgen zit (Afbeelding 1).

Om ervoor te zorgen dat de sniffer alle pakketten kan opvangen die door de netwerkadapter gaan, moet het stuurprogramma van de netwerkadapter de promiscue modus ondersteunen. Het is in deze werkingsmodus van de netwerkadapter dat de sniffer alle pakketten kan onderscheppen. Deze modus De werking van de netwerkadapter wordt automatisch geactiveerd wanneer de sniffer wordt gestart of wordt handmatig ingesteld door de overeenkomstige sniffer-instellingen.

Al het onderschepte verkeer wordt doorgegeven aan een pakketdecoder, die pakketten identificeert en opsplitst in de juiste hiërarchieniveaus. Afhankelijk van de mogelijkheden van een bepaalde sniffer kan de aangeleverde pakketinformatie vervolgens verder worden geanalyseerd en gefilterd.

Beperkingen bij het gebruik van sniffers

Sniffers vormden het grootste gevaar in de tijd dat informatie in gewone tekst (zonder encryptie) over het netwerk werd verzonden en lokale netwerken werden gebouwd op basis van concentrators (hubs). Die tijd is echter voor altijd voorbij, en tegenwoordig is het gebruik van sniffers om toegang te krijgen tot vertrouwelijke informatie geenszins een gemakkelijke taak.

Feit is dat bij het bouwen van lokale netwerken op basis van hubs er een bepaald gemeenschappelijk medium voor gegevensoverdracht (netwerkkabel) is en dat alle netwerkknooppunten pakketten uitwisselen, strijdend om toegang tot dit medium (Fig. 2), en een pakket dat door één netwerk wordt verzonden. knooppunt wordt naar alle poorten van de hub verzonden en naar dit pakket wordt geluisterd door alle andere knooppunten in het netwerk, maar alleen het knooppunt waaraan het is geadresseerd, ontvangt het. Als er bovendien een pakketsniffer op een van de netwerkknooppunten is geïnstalleerd, kan deze alle netwerkpakketten onderscheppen die verband houden met een bepaald netwerksegment (het netwerk dat wordt gevormd door de hub).

Schakelaars zijn meer slimme apparaten dan uitzendhubs, en isoleer netwerkverkeer. De switch kent de adressen van apparaten die op elke poort zijn aangesloten en verzendt alleen pakketten ertussen de nodige havens. Hierdoor kunt u andere poorten ontlasten zonder dat u elk pakket naar hen hoeft door te sturen, zoals bij een hub. Een pakket dat door een bepaald netwerkknooppunt wordt verzonden, wordt dus alleen verzonden naar de switchpoort waarmee de pakketontvanger is verbonden, en alle andere netwerkknooppunten kunnen dit niet detecteren. dit pakket(Afb. 3).

Als het netwerk dus is gebouwd op basis van een switch, kan een sniffer die op een van de netwerkcomputers is geïnstalleerd alleen de uitgewisselde pakketten onderscheppen. deze computer met andere netwerkknooppunten. Als gevolg hiervan is het, om pakketten te kunnen onderscheppen die de computer of server die van belang is voor de aanvaller, uitwisselt met andere netwerkknooppunten, noodzakelijk om een ​​sniffer op deze specifieke computer (server) te installeren, wat eigenlijk niet zo eenvoudig is. Houd er echter rekening mee dat sommige pakketsniffers vanaf de opdrachtregel worden gestart en mogelijk geen grafische interface hebben. Dergelijke sniffers kunnen in principe op afstand en onopgemerkt door de gebruiker worden geïnstalleerd en gelanceerd.

Bovendien moet u er ook rekening mee houden dat hoewel switches het netwerkverkeer isoleren, ze allemaal beheerde schakelaars beschikken over port forwarding- of port mirroring-functionaliteit. Dat wil zeggen dat de switchpoort zo kan worden geconfigureerd dat alle pakketten die op andere switchpoorten aankomen daarop worden gedupliceerd. Als in dit geval een computer met een pakketsniffer op een dergelijke poort is aangesloten, kan deze alle pakketten onderscheppen die tussen computers in een bepaald netwerksegment worden uitgewisseld. In de regel is de mogelijkheid om de switch te configureren echter alleen beschikbaar voor de netwerkbeheerder. Dit betekent natuurlijk niet dat hij geen aanvaller kan zijn, maar een netwerkbeheerder heeft veel andere manieren om alle gebruikers van het lokale netwerk te controleren, en het is onwaarschijnlijk dat hij u op zo'n geavanceerde manier in de gaten zal houden.

Een andere reden waarom sniffers niet meer zo gevaarlijk zijn als vroeger, is dat de meeste gevoelige gegevens nu gecodeerd worden verzonden. Open, niet-versleutelde diensten verdwijnen snel van het internet. Bij het bezoeken van websites wordt er bijvoorbeeld steeds vaker gebruik van gemaakt SSL-protocol(Secure Sockets-laag); in plaats van FTP openen Er wordt gebruik gemaakt van SFTP (Secure FTP), en voor andere diensten die standaard geen gebruik maken van encryptie worden steeds vaker Virtual Private Networks (VPN's) gebruikt.

Degenen die zich zorgen maken over de mogelijkheid van kwaadwillig gebruik van pakketsniffers moeten dus het volgende in gedachten houden. Ten eerste moeten sniffers zich binnen het netwerk zelf bevinden om een ​​ernstige bedreiging voor uw netwerk te kunnen vormen. Ten tweede maken de huidige encryptiestandaarden het uiterst moeilijk om gevoelige informatie te onderscheppen. Daarom verliezen pakketsniffers momenteel geleidelijk hun relevantie als hackertools, maar tegelijkertijd blijven ze effectief en een krachtig hulpmiddel voor het diagnosticeren van netwerken. Bovendien kunnen sniffers niet alleen met succes worden gebruikt voor het diagnosticeren en lokaliseren van netwerkproblemen, maar ook voor auditing netwerkbeveiliging. Met name het gebruik van pakketanalysatoren stelt u in staat ongeautoriseerd verkeer te detecteren, ongeautoriseerd verkeer te detecteren en te identificeren software, ongebruikte protocollen identificeren om ze uit het netwerk te verwijderen, verkeer genereren voor penetratietesten (penetratietest) om het beveiligingssysteem te controleren, werken met inbraakdetectiesystemen ( Inbraakdetectie Systeem, IDS).

Overzicht van softwarepakketsniffers

Alle software-sniffers kunnen in twee categorieën worden onderverdeeld: sniffers die starten vanaf de opdrachtregel ondersteunen, en sniffers die een grafische interface hebben. We merken echter op dat er sniffers zijn die beide mogelijkheden combineren. Bovendien verschillen sniffers van elkaar in de protocollen die ze ondersteunen, de diepte van de analyse van onderschepte pakketten, de mogelijkheid om filters te configureren en de mogelijkheid van compatibiliteit met andere programma's.

Normaal gesproken bestaat het venster van elke sniffer met een grafische interface uit drie gebieden. De eerste toont de samenvattingsgegevens van onderschepte pakketten. Normaal gesproken geeft dit gebied een minimum aan velden weer, namelijk: pakketonderscheppingstijd; IP-adressen van de afzender en ontvanger van het pakket; MAC-adressen van de afzender en ontvanger van het pakket, bron- en bestemmingspoortadressen; protocoltype (netwerk, transport of toepassingsniveau); enige samenvattende informatie over de onderschepte gegevens. In het tweede gebied wordt het weergegeven statistische informatie over het individueel geselecteerde pakket, en ten slotte wordt in het derde gebied het pakket gepresenteerd in hexadecimale of ASCII-tekenvorm.

Met bijna alle pakketsniffers kunt u gedecodeerde pakketten analyseren (daarom worden pakketsniffers ook wel pakketanalysatoren of protocolanalysatoren genoemd). De sniffer verdeelt onderschepte pakketten over lagen en protocollen. Sommige pakketsniffers kunnen het protocol herkennen en de vastgelegde informatie weergeven. Dit soort informatie wordt meestal weergegeven in het tweede gebied van het sniffervenster. Elke snuffelaar kan het bijvoorbeeld herkennen TCP-protocol, en geavanceerde sniffers kunnen bepalen welke applicatie is gegenereerd dit verkeer. De meeste protocolanalysatoren herkennen meer dan 500 verschillende protocollen en kunnen deze op naam beschrijven en decoderen. Hoe meer informatie in staat bent om de sniffer op het scherm te decoderen en weer te geven, hoe minder u handmatig hoeft te decoderen.

Een probleem waarmee pakketsniffers te maken kunnen krijgen, is het onvermogen om een ​​protocol correct te identificeren via een andere poort dan de standaardpoort. Om de beveiliging te verbeteren kunnen sommige bekende toepassingen bijvoorbeeld worden geconfigureerd om andere poorten dan de standaardpoorten te gebruiken. Dus in plaats van de traditionele poort 80 die gereserveerd is voor de webserver, deze server U kunt het geforceerd opnieuw configureren naar poort 8088 of een andere poort. Sommige pakketanalysatoren zijn in deze situatie niet in staat het protocol correct te bepalen en geven alleen informatie over het protocol weer lager niveau(TCP of UDP).

Er zijn software-sniffers die worden geleverd met software-analysemodules als plug-ins of ingebouwde modules waarmee u rapporten kunt maken met nuttige analytische informatie over onderschept verkeer.

Een ander kenmerkend kenmerk van de meeste pakketanalysesoftware is de mogelijkheid om filters te configureren voor en nadat het verkeer is vastgelegd. Filters zijn gescheiden van totaal verkeer bepaalde pakketten volgens een bepaald criterium, waardoor u onnodige informatie kunt verwijderen bij het analyseren van verkeer.

Wireshark is een krachtige netwerkanalysator die kan worden gebruikt om het verkeer dat door de netwerkinterface van uw computer gaat te analyseren. Mogelijk hebt u het nodig om netwerkproblemen op te sporen en op te lossen, uw webapplicaties te debuggen, netwerk programma's of websites. Met Wireshark kun je op alle niveaus de inhoud van een pakket volledig bekijken, zodat je op een laag niveau beter begrijpt hoe het netwerk werkt.

Alle pakketten worden in realtime vastgelegd en in een gemakkelijk leesbaar formaat aangeboden. Het programma is zeer ondersteunend krachtig systeem filtering, kleuraccentuering en andere functies waarmee u de pakketten kunt vinden die u nodig heeft. In deze zelfstudie bekijken we hoe u Wireshark kunt gebruiken om verkeer te analyseren. Onlangs begonnen de ontwikkelaars te werken aan de tweede tak van het Wireshark 2.0-programma, er zijn veel wijzigingen en verbeteringen aangebracht, vooral voor de interface. Dit is wat we in dit artikel zullen gebruiken.

Voordat u verdergaat met het overwegen van manieren om verkeer te analyseren, moet u in meer detail overwegen welke functies het programma ondersteunt, met welke protocollen het kan werken en wat het kan doen. Dit zijn de belangrijkste kenmerken van het programma:

• Pakketten in realtime vastleggen van bekabelde of andere netwerkinterfaces, en lezen uit een bestand;
• De volgende capture-interfaces worden ondersteund: Ethernet, IEEE 802.11, PPP en lokale virtuele interfaces;
• Pakketten kunnen worden uitgefilterd op basis van veel parameters met behulp van filters;
• Alle bekende protocollen worden in verschillende kleuren in de lijst gemarkeerd, bijvoorbeeld TCP, HTTP, FTP, DNS, ICMP enzovoort;
• Ondersteuning voor het vastleggen van VoIP-gespreksverkeer;
• Decodering van HTTPS-verkeer wordt ondersteund als er een certificaat beschikbaar is;
• Decodering van WEP- en WPA-verkeer draadloze netwerken met een sleutel en handdruk;
• Weergave van netwerkbelastingstatistieken;
• Bekijk pakketinhoud voor alle netwerklagen;
• Geeft het tijdstip weer van het verzenden en ontvangen van pakketten.

Het programma heeft nog veel meer functies, maar dit zijn de belangrijkste die u wellicht interesseren.

Wireshark gebruiken

Ik neem aan dat je het programma al hebt geïnstalleerd, maar als dat niet het geval is, kun je het installeren vanuit de officiële repository's. Om dit te doen, typt u de opdracht in Ubuntu:

sudo apt installeer wireshark

Na de installatie kun je het programma vinden in het hoofdmenu van de distributie. U moet Wireshark uitvoeren met superuser-rechten, omdat het anders geen netwerkpakketten kan analyseren. Dit kan gedaan worden vanuit het hoofdmenu of via de terminal met behulp van de opdracht voor KDE:

En voor Gnome/Eenheid:

Het hoofdvenster van het programma is verdeeld in drie delen: de eerste kolom bevat een lijst met netwerkinterfaces die beschikbaar zijn voor analyse, de tweede - opties voor het openen van bestanden en de derde - hulp.

Analyse van netwerkverkeer

Om de analyse te starten, selecteert u een netwerkinterface, bijvoorbeeld eth0, en klikt u op de knop Begin.

Hierna wordt het volgende venster geopend, al met een stroom pakketten die door de interface gaan. Dit venster is ook verdeeld in verschillende delen:

• Bovenste deel- dit zijn menu's en panelen met verschillende knoppen;
• Lijst met pakketten- vervolgens wordt de stroom netwerkpakketten weergegeven die u gaat analyseren;
• Pakketinhoud- net daaronder staat de inhoud van het geselecteerde pakket, deze is onderverdeeld in categorieën afhankelijk van het transportniveau;
• Echte prestaties- helemaal onderaan wordt de inhoud van het pakket weergegeven in echte vorm, evenals in HEX-vorm.

U kunt op elk pakket klikken om de inhoud ervan te analyseren:

Hier zien we een DNS-verzoekpakket om het IP-adres van de site te verkrijgen, in het verzoek zelf wordt het domein verzonden en in het antwoordpakket ontvangen we zowel onze vraag als het antwoord.

Voor een gemakkelijkere weergave kunt u het pakket in een nieuw venster openen door op het item te dubbelklikken:

Wireshark-filters

Handmatig door pakketten gaan om de pakketten te vinden die je nodig hebt, is erg lastig, vooral met een actieve thread. Daarom is het voor deze taak beter om filters te gebruiken. Er is een speciale regel onder het menu voor het invoeren van filters. Je kunt klikken Uitdrukking om de filterontwerper te openen, maar er zijn er veel, dus we zullen naar de meest elementaire kijken:

• ip.dst- doel-IP-adres;
• ip.src- IP-adres van de afzender;
• ip.adres- IP van de afzender of ontvanger;
• ip.proto-protocol;
• tcp.dstport- haven van bestemming;
• tcp.srcport- afzenderpoort;
• ip.ttl- TTL-filter, bepaalt de netwerkafstand;
• http.request_uri- het gevraagde locatieadres.

Om de relatie tussen een veld en een waarde in een filter te specificeren, kunt u de volgende operators gebruiken:

• == - gelijk aan;
• != - niet gelijk;
• < - minder;
• > - meer;
• <= - kleiner dan of gelijk aan;
• >= - groter dan of gelijk aan;
• wedstrijden- reguliere expressie;
• bevat- bevat.

Om meerdere uitdrukkingen te combineren, kunt u het volgende gebruiken:

• && - beide expressies moeten waar zijn voor het pakket;
• || - een van de uitdrukkingen kan waar zijn.

Laten we nu verschillende filters eens nader bekijken aan de hand van voorbeelden en proberen alle tekenen van relaties te begrijpen.

Laten we eerst alle pakketten filteren die naar 194.67.215 zijn verzonden. Typ een tekenreeks in het filterveld en klik op Toepassen. Voor het gemak kunnen Wireshark-filters worden opgeslagen met behulp van de knop Redden:

ip.dst == 194.67.215.125

En om niet alleen de verzonden pakketten te ontvangen, maar ook de pakketten die als reactie van dit knooppunt zijn ontvangen, kunt u twee voorwaarden combineren:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

We kunnen ook overgedragen grote bestanden selecteren:

http.content_length > 5000

Door het inhoudstype te filteren, kunnen we alle afbeeldingen selecteren die zijn geüpload; laten we de analyse uitvoeren Wireshark-verkeer, pakketten die het woord afbeelding bevatten:

http.content_type bevat afbeelding

Om het filter te wissen, kunt u op de knop drukken Duidelijk. Het komt voor dat u niet altijd alle informatie kent die nodig is om te filteren, maar gewoon het netwerk wilt verkennen. U kunt elk veld van een pakket als kolom toevoegen en de inhoud ervan bekijken in het algemene venster voor elk pakket.

Ik wil bijvoorbeeld de TTL (time to live) van een pakket als een kolom weergeven. Open hiervoor de pakketinformatie. Zoek dit veld in de IP-sectie. Bel dan contextmenu en selecteer de optie Toepassen als kolom:

Op dezelfde manier kunt u een filter maken op basis van elk gewenst veld. Selecteer het, open het contextmenu en klik vervolgens Toepassen als filter of Bereid als filter en selecteer vervolgens Gekozen om alleen de geselecteerde waarden weer te geven, of Niet geselecteerd om ze te verwijderen:

Het opgegeven veld en de waarde ervan worden toegepast of, in het tweede geval, ingevoegd in het filterveld:

Op deze manier kunt u een veld van elk pakket of kolom aan het filter toevoegen. Er is ook deze optie in het contextmenu. Om protocollen te filteren, kunt u meer gebruiken eenvoudige voorwaarden. Laten we bijvoorbeeld Wireshark-verkeer analyseren voor HTTP-protocollen en DNS:

Nog één interessante kans programma's - waarbij Wireshark wordt gebruikt om een ​​specifieke sessie tussen de computer van de gebruiker en de server te volgen. Open hiervoor het contextmenu voor het pakket en selecteer Volg de TCP-stream.

Er wordt dan een venster geopend waarin u alle gegevens vindt die tussen de server en de client worden overgedragen:

Diagnose van Wireshark-problemen

U vraagt ​​zich misschien af ​​hoe u Wireshark 2.0 kunt gebruiken om netwerkproblemen op te sporen. Om dit te doen, bevindt zich een ronde knop in de linkerbenedenhoek van het venster; als u erop klikt, wordt er een venster geopend Expet-tools. Daarin verzamelt Wireshark alle foutmeldingen en netwerkproblemen:

Het venster is onderverdeeld in tabbladen zoals Fouten, Waarschuwingen, Mededelingen, Chats. Het programma kan veel netwerkproblemen filteren en vinden, en hier kun je ze heel snel zien. Wireshark-filters worden hier ook ondersteund.

Wireshark-verkeersanalyse

U kunt heel gemakkelijk begrijpen wat gebruikers hebben gedownload en welke bestanden ze hebben bekeken als de verbinding niet was gecodeerd. Het programma is zeer goed in het extraheren van inhoud.

Om dit te doen, moet u eerst het vastleggen van verkeer stoppen via het rode vierkant op het paneel. Open vervolgens het menu Bestand -> Objecten exporteren -> HTTP: