MUHTASARI WA UCHAMBUZI NA MIPANGO YA UFUATILIAJI WA Trafiki MTANDAO

A.I. KOSTROMITSKY, Ph.D. teknolojia. Sayansi, V.S. CHIMBA

Utangulizi

Ufuatiliaji wa trafiki ni muhimu kwa usimamizi bora wa mtandao. Ni chanzo cha habari kuhusu utendakazi wa maombi ya kampuni, ambayo huzingatiwa wakati wa kutenga fedha, kupanga nguvu za kompyuta, kutambua na kuweka mapungufu, na kutatua masuala ya usalama.

Katika siku za nyuma si mbali sana, ufuatiliaji wa trafiki ulikuwa kazi rahisi kiasi. Kama sheria, kompyuta ziliunganishwa kulingana na topolojia ya basi, yaani, walikuwa na njia ya pamoja ya maambukizi. Hii iliruhusu kifaa kimoja kuunganishwa kwenye mtandao, ambayo trafiki yote inaweza kufuatiliwa. Hata hivyo, mahitaji ya kuongezeka kwa uwezo wa mtandao na maendeleo ya teknolojia ya kubadili pakiti, ambayo ilisababisha bei ya swichi na routers kuanguka, ilisababisha mabadiliko ya haraka kutoka kwa vyombo vya habari vya pamoja hadi topolojia zilizogawanywa sana. Trafiki ya jumla haiwezi kuonekana tena kutoka kwa sehemu moja. Ili kupata picha kamili, unahitaji kufuatilia kila bandari. Kutumia miunganisho ya uhakika-kwa-point hufanya vifaa vya kuunganisha kuwa visivyofaa na kutahitaji vifaa vingi sana ili kusikiliza milango yote, ambayo inakuwa kazi ya gharama kubwa mno. Kwa kuongeza, swichi na routers wenyewe zina usanifu tata, na kasi ya usindikaji wa pakiti na maambukizi inakuwa jambo muhimu katika kuamua utendaji wa mtandao.

Moja ya kazi za sasa za kisayansi ni uchambuzi (na utabiri zaidi) wa muundo wa trafiki unaofanana katika mitandao ya kisasa ya huduma nyingi. Ili kutatua tatizo hili, ni muhimu kukusanya na baadaye kuchambua takwimu mbalimbali (kasi, kiasi cha data zinazopitishwa, nk) katika mitandao iliyopo. Ukusanyaji wa takwimu hizo kwa namna moja au nyingine inawezekana kwa kutumia zana mbalimbali za programu. Hata hivyo, kuna seti ya vigezo na mipangilio ya ziada ambayo inageuka kuwa muhimu sana wakati wa kutumia zana mbalimbali katika mazoezi.

Watafiti mbalimbali hutumia programu mbalimbali kufuatilia trafiki ya mtandao. Kwa mfano, katika , watafiti walitumia programu - analyzer (sniffer) ya trafiki ya mtandao wa Ethreal (Wireshark).

Mapitio yalijumuisha matoleo ya bure ya programu ambazo zinapatikana kwenye , , .

1. Muhtasari wa programu za ufuatiliaji wa trafiki ya mtandao

Tulipitia programu kumi za uchanganuzi wa trafiki (wavutaji) na zaidi ya programu kumi na mbili za ufuatiliaji wa trafiki ya mtandao, ambayo tulichagua nne kati ya zinazovutia zaidi, kwa maoni yetu, na kukupa muhtasari wa uwezo wao kuu.

1) BMExtreme(Mchoro 1).

Hili ndilo jina jipya la programu inayojulikana ya Bandwidth Monitor. Hapo awali, programu hiyo ilisambazwa bila malipo, lakini sasa ina matoleo matatu, na moja tu ya msingi ni bure. Toleo hili halitoi vipengele vyovyote zaidi ya ufuatiliaji wa trafiki yenyewe, kwa hivyo ni vigumu kuzingatiwa kama mshindani wa programu zingine. Kwa chaguomsingi, BMExtreme hufuatilia trafiki ya mtandao na trafiki kwenye mtandao wa ndani, lakini ufuatiliaji kwenye LAN unaweza kuzimwa ukipenda.

Mchele. 1

2) BWMeter(Mchoro 2).

Mpango huu hauna moja, lakini madirisha mawili ya kufuatilia trafiki: moja inaonyesha shughuli kwenye mtandao, na nyingine kwenye mtandao wa ndani.

Mchele. 2

Programu ina mipangilio rahisi ya ufuatiliaji wa trafiki. Kwa msaada wake, unaweza kuamua ikiwa unahitaji kufuatilia mapokezi na uwasilishaji wa data kwenye Mtandao tu kutoka kwa kompyuta hii au kutoka kwa kompyuta zote zilizounganishwa kwenye mtandao wa ndani, kuweka anuwai ya anwani za IP, bandari na itifaki ambayo ufuatiliaji utafanya au haitatekelezwa. Kwa kuongeza, unaweza kuzima ufuatiliaji wa trafiki wakati wa saa au siku fulani. Wasimamizi wa mfumo hakika watathamini uwezo wa kusambaza trafiki kati ya kompyuta kwenye mtandao wa ndani. Kwa hivyo, kwa kila PC unaweza kuweka kasi ya juu ya kupokea na kusambaza data, na pia kuzuia shughuli za mtandao kwa click moja.

Licha ya saizi yake ndogo sana, programu ina uwezo mkubwa wa anuwai, ambayo baadhi yao inaweza kuwakilishwa kama ifuatavyo:

Kufuatilia miingiliano yoyote ya mtandao na trafiki yoyote ya mtandao.

Mfumo wa chujio wenye nguvu unaokuwezesha kukadiria kiasi cha sehemu yoyote ya trafiki - hadi tovuti maalum katika mwelekeo maalum au trafiki kutoka kwa kila mashine kwenye mtandao wa ndani kwa wakati maalum wa siku.

Idadi isiyo na kikomo ya grafu za shughuli za muunganisho wa mtandao unaoweza kubinafsishwa kulingana na vichujio vilivyochaguliwa.

Dhibiti (kikomo, sitisha) mtiririko wa trafiki kwenye vichujio vyovyote.

Mfumo rahisi wa takwimu (kutoka saa moja hadi mwaka) na kazi ya kuuza nje.

Uwezo wa kutazama takwimu za kompyuta za mbali na BWMeter.

Mfumo unaonyumbulika wa arifa na arifa unapofikia tukio fulani.

Chaguo za juu zaidi za ubinafsishaji, pamoja na. mwonekano.

Uwezekano wa kukimbia kama huduma.

3) Bandwidth Monitor Pro(Mchoro 3).

Watengenezaji wake walilipa kipaumbele sana kwa kuanzisha dirisha la ufuatiliaji wa trafiki. Kwanza, unaweza kuamua ni habari gani programu itaonyesha kila wakati kwenye skrini. Hii inaweza kuwa kiasi cha data iliyopokelewa na kupitishwa (zote tofauti na kwa jumla) kwa leo na kwa muda wowote maalum, wastani, kasi ya sasa na ya juu ya uunganisho. Ikiwa una adapta nyingi za mtandao zilizosakinishwa, unaweza kufuatilia takwimu za kila mmoja wao tofauti. Wakati huo huo, taarifa muhimu kwa kila kadi ya mtandao inaweza pia kuonyeshwa kwenye dirisha la ufuatiliaji.

Mchele. 3

Kwa kando, inafaa kutaja mfumo wa arifa, ambao unatekelezwa kwa mafanikio sana hapa. Unaweza kuweka tabia ya programu wakati masharti maalum yametimizwa, ambayo inaweza kuwa uhamisho wa kiasi fulani cha data kwa muda maalum, kufikia kasi ya juu ya kupakua, kubadilisha kasi ya uunganisho, nk Ikiwa watumiaji kadhaa wanafanya kazi kwenye kompyuta na unahitaji kufuatilia trafiki kwa ujumla, programu inaweza kuendeshwa kama huduma. Katika hali hii, Bandwidth Monitor Pro itakusanya takwimu za watumiaji wote wanaoingia kwenye mfumo chini ya logi zao.

4) DUTraffic(Mchoro 4).

DUTraffic inatofautishwa na programu zote za ukaguzi kwa hali yake ya bure.

Mchele. 4

Kama wenzao wa kibiashara, DUTraffic inaweza kufanya vitendo mbalimbali wakati masharti fulani yametimizwa. Kwa mfano, inaweza kucheza faili ya sauti, kuonyesha ujumbe, au kukata muunganisho wa Mtandao wakati wastani au kasi ya sasa ya kupakua ni chini ya thamani maalum, wakati muda wa kipindi cha Intaneti unazidi idadi maalum ya saa, wakati fulani. kiasi cha data kimehamishwa. Kwa kuongeza, vitendo mbalimbali vinaweza kufanywa kwa mzunguko, kwa mfano, kila wakati programu inatambua uhamisho wa kiasi fulani cha habari. Takwimu katika DUTraffic hudumishwa kando kwa kila mtumiaji na kwa kila muunganisho wa Mtandao. Mpango huo unaonyesha takwimu za jumla za muda uliochaguliwa na taarifa kuhusu kasi, kiasi cha data iliyotumwa na kupokea na gharama za kifedha kwa kila kipindi.

5) Mfumo wa ufuatiliaji wa cacti(Mchoro 5).

Cacti ni programu huria ya wavuti (hakuna faili ya usakinishaji). Cacti hukusanya data ya takwimu kwa vipindi fulani vya muda na hukuruhusu kuzionyesha kwa mchoro. Mfumo hukuruhusu kuunda grafu kwa kutumia RRDtool. Violezo vingi vya kawaida hutumika kuonyesha takwimu za upakiaji wa kichakataji, mgao wa RAM, idadi ya michakato inayoendeshwa na matumizi ya trafiki inayoingia/inayotoka.

Kiolesura cha kuonyesha takwimu zilizokusanywa kutoka kwa vifaa vya mtandao vinawasilishwa kwa namna ya mti, muundo ambao umetajwa na mtumiaji. Kama sheria, grafu zimewekwa kulingana na vigezo fulani, na grafu hiyo hiyo inaweza kuwepo katika matawi tofauti ya mti (kwa mfano, trafiki kupitia interface ya mtandao ya seva - katika moja iliyotolewa kwa picha ya jumla ya trafiki ya mtandao ya kampuni, na katika tawi na vigezo vya kifaa fulani) . Kuna chaguo la kutazama seti iliyokusanywa awali ya chati, na kuna hali ya onyesho la kukagua. Kila moja ya grafu inaweza kutazamwa tofauti, na itawasilishwa kwa siku ya mwisho, wiki, mwezi na mwaka. Inawezekana kwa kujitegemea kuchagua muda wa muda ambao ratiba itatolewa, na hii inaweza kufanyika ama kwa kutaja vigezo vya kalenda au tu kwa kuchagua eneo fulani juu yake na panya.

Jedwali 1

Mipangilio/Programu	BMExtreme	BWMeter	Bandwidth Monitor Pro	DUTraffic	Cacti
Saizi ya faili ya usakinishaji	473 KB	1.91 MB	1.05 MB	MB 1.4
Lugha ya kiolesura	Kirusi	Kirusi	Kiingereza	Kirusi	Kiingereza
Grafu ya kasi
Grafu ya trafiki
Hamisha/Ingiza (hamisha umbizo la faili)	–/–	(*. csv)	–/–	–/–	(*.xls)
Dak - hatua ya muda kati ya ripoti za data	Dakika 5.	1 sek.	Dakika 1.	1 sek.	1 sek.
Uwezekano wa mabadiliko min

2. Mapitio ya programu za uchanganuzi wa trafiki ya mtandao (wanusaji)

Kichanganuzi cha trafiki, au mnusi, ni kichanganuzi cha trafiki ya mtandao, programu au maunzi na kifaa cha programu kilichoundwa ili kukatiza na baadaye kuchambua, au kuchanganua tu, trafiki ya mtandao inayokusudiwa nodi zingine.

Uchanganuzi wa trafiki unaopitishwa kupitia vuta pumzi hukuruhusu:

Zuia trafiki yoyote ya watumiaji ambayo haijasimbwa (na wakati mwingine iliyosimbwa) ili kupata nywila na maelezo mengine.

Tafuta hitilafu ya mtandao au hitilafu ya usanidi wa wakala wa mtandao (vinusi mara nyingi hutumiwa kwa lengo hili na wasimamizi wa mfumo).

Kwa kuwa katika uchambuzi wa trafiki wa "classic" wa sniffer unafanywa kwa mikono, kwa kutumia zana rahisi tu za automatisering (uchambuzi wa itifaki, urejesho wa mkondo wa TCP), inafaa kwa kuchambua kiasi kidogo tu.

1) Wireshark(zamani Ethereal).

Programu ya uchanganuzi wa trafiki kwa mitandao ya kompyuta ya Ethernet na zingine. Ina kiolesura cha picha cha mtumiaji. Wireshark ni programu ambayo "inajua" muundo wa anuwai ya itifaki za mtandao, na kwa hivyo hukuruhusu kuchanganua pakiti ya mtandao, inayoonyesha maana ya kila uwanja wa itifaki kwa kiwango chochote. Kwa kuwa pcap hutumiwa kunasa pakiti, inawezekana kunasa data kutoka kwa mitandao ambayo inaauniwa na maktaba hii pekee. Hata hivyo, Wireshark inaweza kushughulikia aina mbalimbali za miundo ya data ya pembejeo, ili uweze kufungua faili za data zilizonaswa na programu nyingine, kupanua uwezo wako wa kukamata.

2) IrisMtandaoTrafikiAnalyzer.

Mbali na kazi za kawaida za kukusanya, kuchuja na kutafuta vifurushi, pamoja na kutoa ripoti, programu hutoa uwezo wa kipekee wa kuunda upya data. Iris Kichanganuzi cha Trafiki cha Mtandao husaidia kuzaliana kwa undani vipindi vya watumiaji kwa rasilimali mbalimbali za wavuti na hata hukuruhusu kuiga utumaji wa manenosiri ili kufikia seva salama za wavuti kwa kutumia vidakuzi. Teknolojia ya kipekee ya uundaji upya wa data iliyotekelezwa katika moduli ya usimbuaji hubadilisha mamia ya pakiti za mtandao wa binary zilizokusanywa kuwa barua pepe zinazofahamika, kurasa za wavuti, ujumbe wa ICQ, n.k. eEye Iris hukuruhusu kuona ujumbe ambao haujasimbwa kutoka kwa barua za wavuti na programu za ujumbe wa papo hapo, na kupanua uwezo wa zilizopo. zana za ufuatiliaji na ukaguzi.

Kichanganuzi cha pakiti cha eEye Iris hukuruhusu kunasa maelezo mbalimbali ya shambulio hilo, kama vile tarehe na saa, anwani za IP na majina ya DNS ya kompyuta ya hacker na mwathiriwa, na bandari zilizotumiwa.

3) EthanetiMtandaotrafikiTakwimu.

Trafiki ya mtandao ya Ethernet Takwimu inaonyesha kiasi cha data iliyopokelewa na kupokea (kwa byte - jumla na kwa kikao cha mwisho), pamoja na kasi ya uunganisho. Kwa uwazi, data iliyokusanywa inaonyeshwa kwa wakati halisi kwenye grafu. Inafanya kazi bila usakinishaji, interface ni Kirusi na Kiingereza.

Huduma ya kufuatilia kiwango cha shughuli za mtandao - inaonyesha kiasi cha data iliyopokelewa na kukubalika, kuweka takwimu za kipindi, siku, wiki na mwezi.

4) CommTraffic.

Hili ni shirika la mtandao la kukusanya, kuchakata na kuonyesha takwimu za trafiki ya mtandao kupitia modemu (piga-up) au muunganisho maalum. Wakati wa kufuatilia sehemu ya mtandao wa ndani, CommTraffic inaonyesha trafiki ya mtandao kwa kila kompyuta katika sehemu hiyo.

CommTraffic inajumuisha kiolesura kinachoweza kugeuzwa kukufaa kwa urahisi, kinachofaa mtumiaji ambacho kinaonyesha takwimu za utendakazi wa mtandao kwa njia ya grafu na nambari.

meza 2

Mipangilio/Programu	Wireshark	Iris The Network Traffic Analyzer	Takwimu za trafiki ya mtandao wa Ethernet	CommTraffic
Saizi ya faili ya usakinishaji	17.4 MB	5.04 MB	651 KB	7.2 MB
Lugha ya kiolesura	Kiingereza	Kirusi	Kiingereza Kirusi	Kirusi
Grafu ya kasi
Grafu ya trafiki
Hamisha/Ingiza (hamisha umbizo la faili)	+/– (*.txt, *.px, *.csv, *.psml, *.pdml, *.c)	–/–	–/–	–/–
Endesha ufuatiliaji unapohitajika
Dak - hatua ya muda kati ya ripoti za data	0.001 sek.	1 sek.	1 sek.	1 sek.
Uwezekano wa mabadiliko min - Hatua kati ya ripoti za data

Hitimisho

Kwa ujumla, tunaweza kusema kwamba watumiaji wengi wa nyumbani wataridhika na uwezo ambao Bandwidth Monitor Pro hutoa. Ikiwa tunazungumzia juu ya mpango wa kazi zaidi wa ufuatiliaji wa trafiki ya mtandao, hii ni, bila shaka, BWMeter.

Miongoni mwa mipango ya uchambuzi wa trafiki ya mtandao iliyopitiwa, ningependa kuonyesha Wireshark, ambayo ina utendaji zaidi.

Mfumo wa ufuatiliaji wa Cacti unakidhi kikamilifu mahitaji yaliyoongezeka ambayo huwekwa katika kesi ya kufanya utafiti wa trafiki ya mtandao kwa madhumuni ya kisayansi. Katika siku zijazo, waandishi wa kifungu hicho wanapanga kutumia mfumo huu maalum wa kukusanya na uchambuzi wa awali wa trafiki katika mtandao wa huduma nyingi wa Idara ya Mitandao ya Mawasiliano ya Chuo Kikuu cha Kitaifa cha Umeme wa Redio cha Kharkov.

Bibliografia

Platov V.V., Petrov V.V. Utafiti wa muundo unaofanana wa teletraffic kwenye mtandao wa wireless // Daftari za uhandisi za redio. M.: OKB MPEI. 2004. Nambari 3. ukurasa wa 58-62.

Petrov V.V. Muundo wa Trafiki na algoriti ya kuhakikisha ubora wa huduma chini ya ushawishi wa athari ya kujifananisha. Dissertation kwa shahada ya kisayansi ya Mgombea wa Sayansi ya Ufundi, 05.12.13, Moscow, 2004, 199 p.

Asili: Vinukuzi 8 bora vya pakiti na vichanganuzi vya mtandao
Mwandishi: Jon Watson
Tarehe ya kuchapishwa: Novemba 22, 2017
Tafsiri: A. Krivoshey
Tarehe ya uhamisho: Desemba 2017

Kunusa kwa pakiti ni neno la mazungumzo linalorejelea sanaa ya kuchanganua trafiki ya mtandao. Kinyume na imani maarufu, vitu kama vile barua pepe na kurasa za wavuti hazitembei kwenye Mtandao kwa sehemu moja. Wao ni kuvunjwa katika maelfu ya pakiti ndogo data na hivyo kutumwa juu ya mtandao. Katika makala hii, tutaangalia wachambuzi bora wa mtandao wa bure na sniffers za pakiti.

Kuna huduma nyingi ambazo hukusanya trafiki ya mtandao, na nyingi hutumia pcap (kwenye mifumo kama ya Unix) au libcap (kwenye Windows) kama msingi wao. Aina nyingine ya matumizi husaidia kuchambua data hii, kwa kuwa hata kiasi kidogo cha trafiki kinaweza kuzalisha maelfu ya pakiti ambazo ni vigumu kuzunguka. Takriban huduma hizi zote hutofautiana kidogo kutoka kwa kila mmoja katika kukusanya data, tofauti kuu zikiwa katika jinsi wanavyochanganua data.

Kuchanganua trafiki ya mtandao kunahitaji kuelewa jinsi mtandao unavyofanya kazi. Hakuna zana inayoweza kuchukua nafasi ya maarifa ya mchambuzi kuhusu misingi ya mtandao, kama vile TCP "kushikana mikono kwa njia 3" ambayo hutumiwa kuanzisha muunganisho kati ya vifaa viwili. Wachanganuzi pia wanahitaji kuwa na uelewa fulani wa aina za trafiki ya mtandao kwenye mtandao unaofanya kazi kwa kawaida, kama vile ARP na DHCP. Maarifa haya ni muhimu kwa sababu zana za uchanganuzi zitakuonyesha tu kile unachowauliza wafanye. Ni juu yako kuamua nini cha kuomba. Ikiwa hujui jinsi mtandao wako unavyoonekana kwa kawaida, inaweza kuwa vigumu kujua kwamba umepata unachohitaji katika wingi wa vifurushi ulivyokusanya.

Vifusi bora vya pakiti na vichanganuzi vya mtandao

Zana za viwanda

Hebu tuanzie juu kisha tushukie mambo ya msingi. Ikiwa unashughulika na mtandao wa kiwango cha biashara, utahitaji bunduki kubwa. Ingawa karibu kila kitu kinatumia tcpdump katika msingi wake (zaidi juu ya hayo baadaye), zana za kiwango cha biashara zinaweza kutatua matatizo fulani changamano, kama vile kuunganisha trafiki kutoka kwa seva nyingi, kutoa maswali ya akili ili kutambua matatizo, kuonya kuhusu tofauti, na kuunda grafu nzuri, ambayo ndio wakubwa wanadai kila wakati.

Zana za kiwango cha biashara kwa kawaida hulenga kutiririsha trafiki ya mtandao badala ya kutathmini yaliyomo kwenye pakiti. Kwa hili namaanisha kwamba lengo kuu la wasimamizi wengi wa mfumo katika biashara ni kuhakikisha kuwa mtandao hauna vikwazo vya utendaji. Vikwazo hivyo vinapotokea, lengo huwa ni kuamua kama tatizo linasababishwa na mtandao au programu kwenye mtandao. Kwa upande mwingine, zana hizi kwa kawaida zinaweza kushughulikia trafiki nyingi hivi kwamba zinaweza kusaidia kutabiri wakati sehemu ya mtandao itapakiwa kikamilifu, jambo muhimu katika kudhibiti kipimo data cha mtandao.

Hii ni seti kubwa sana ya zana za usimamizi wa IT. Katika makala hii, shirika la Ukaguzi wa Pakiti ya kina na Uchambuzi, ambayo ni sehemu yake, inafaa zaidi. Kukusanya trafiki ya mtandao ni rahisi sana. Na zana kama WireShark, uchambuzi wa kimsingi pia sio shida. Lakini hali sio wazi kila wakati. Kwenye mtandao wenye shughuli nyingi, inaweza kuwa vigumu kuamua hata mambo rahisi sana, kama vile:

Ni programu gani kwenye mtandao inazalisha trafiki hii?
- ikiwa programu inajulikana (sema kivinjari cha wavuti), watumiaji wake hutumia wapi wakati wao mwingi?
- ni miunganisho ipi ambayo ni ndefu zaidi na inapakia mtandao kupita kiasi?

Vifaa vingi vya mtandao hutumia metadata ya kila pakiti ili kuhakikisha kuwa pakiti inaenda inapohitaji kwenda. Yaliyomo kwenye pakiti haijulikani kwa kifaa cha mtandao. Kitu kingine ni ukaguzi wa pakiti ya kina; hii inamaanisha kuwa yaliyomo halisi ya kifurushi huangaliwa. Kwa njia hii, habari muhimu ya mtandao ambayo haiwezi kupatikana kutoka kwa metadata inaweza kugunduliwa. Zana kama zile zinazotolewa na SolarWinds zinaweza kutoa data yenye maana zaidi kuliko mtiririko wa trafiki tu.

Teknolojia zingine za kudhibiti mitandao inayotumia data nyingi ni pamoja na NetFlow na sFlow. Kila moja ina nguvu zake na udhaifu wake,

Unaweza kujifunza zaidi kuhusu NetFlow na sFlow.

Uchambuzi wa mtandao kwa ujumla ni mada ya juu ambayo inategemea ujuzi uliopatikana na uzoefu wa kazi wa vitendo. Unaweza kumfundisha mtu kuwa na ujuzi wa kina wa pakiti za mtandao, lakini isipokuwa mtu huyo awe na ujuzi wa mtandao wenyewe na uzoefu wa kutambua hitilafu, hatafanya vizuri sana. Zana zilizoelezwa katika makala hii zinapaswa kutumiwa na wasimamizi wa mtandao wenye uzoefu ambao wanajua wanachotaka lakini hawana uhakika ni matumizi gani bora. Zinaweza pia kutumiwa na wasimamizi wa mfumo wenye uzoefu mdogo kupata matumizi ya kila siku ya mitandao.

Misingi

Chombo kuu cha kukusanya trafiki ya mtandao ni

Ni programu huria ambayo husakinishwa kwenye takriban mifumo yote ya uendeshaji inayofanana na Unix. Tcpdump ni matumizi bora ya ukusanyaji wa data ambayo ina lugha ya kisasa ya kuchuja. Ni muhimu kujua jinsi ya kuchuja data wakati wa kuikusanya ili kuishia na seti ya kawaida ya data kwa uchambuzi. Kunasa data zote kutoka kwa kifaa cha mtandao, hata kwenye mtandao wenye shughuli nyingi, kunaweza kuzalisha data nyingi sana ambazo ni vigumu sana kuzichanganua.

Katika baadhi ya matukio nadra, itatosha kuchapisha data iliyonaswa ya tcpdump moja kwa moja kwenye skrini ili kupata unachohitaji. Kwa mfano, nilipokuwa nikiandika makala haya, nilikusanya trafiki na niliona kuwa mashine yangu ilikuwa ikituma trafiki kwa anwani ya IP ambayo sikuijua. Ilibadilika kuwa mashine yangu ilikuwa ikituma data kwa anwani ya IP ya Google 172.217.11.142. Kwa kuwa sikuwa na bidhaa zozote za Google na Gmail haikuwa imefunguliwa, sikujua ni kwa nini hili lilikuwa likifanyika. Niliangalia mfumo wangu na nikapata yafuatayo:

[ ~ ]$ ps -ef | mtumiaji wa grep google 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

Inabadilika kuwa hata wakati Chrome haifanyi kazi, inabaki kufanya kazi kama huduma. Nisingegundua hii bila uchambuzi wa pakiti. Nilinasa pakiti chache zaidi za data, lakini wakati huu niliipa tcpdump kazi ya kuandika data hiyo kwa faili, ambayo niliifungua kwa Wireshark (zaidi juu ya hii baadaye). Haya ni maingizo:

Tcpdump ni zana inayopendwa zaidi ya wasimamizi wa mfumo kwa sababu ni matumizi ya safu ya amri. Kuendesha tcpdump haiitaji GUI. Kwa seva za uzalishaji, kiolesura cha picha ni hatari, kwani hutumia rasilimali za mfumo, kwa hivyo mipango ya mstari wa amri ni bora. Kama huduma nyingi za kisasa, tcpdump ina lugha tajiri sana na ngumu ambayo inachukua muda kuijua vizuri. Amri chache za kimsingi zinajumuisha kuchagua kiolesura cha mtandao cha kukusanya data kutoka na kuandika data hiyo kwa faili ili iweze kusafirishwa kwa uchambuzi mahali pengine. Swichi za -i na -w hutumiwa kwa hili.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: kusikiliza kwenye eth0, aina ya kiungo EN10MB (Ethernet), saizi ya kunasa baiti 262144 ^ pakiti za C51 zimenaswa

Amri hii inaunda faili na data iliyokamatwa:

Faili ya tcpdump_packets tcpdump_packets: faili ya kunasa tcpdump (little-endian) - toleo la 2.4 (Ethernet, urefu wa kukamata 262144)

Kiwango cha faili kama hizo ni umbizo la pcap. Sio maandishi, kwa hiyo inaweza tu kuchambuliwa kwa kutumia programu zinazoelewa muundo huu.

3.Windump

Huduma nyingi muhimu za chanzo huria huishia kuunganishwa katika mifumo mingine ya uendeshaji. Hili linapotokea, programu inasemekana kuwa imehamishwa. Windump ni bandari ya tcpdump na inatenda kwa njia inayofanana sana.

Tofauti muhimu zaidi kati ya Windump na tcpdump ni kwamba Windump inahitaji maktaba ya Winpcap iliyosanikishwa kabla ya Windump kukimbia. Ingawa Windump na Winpcap zimetolewa na mtunzaji sawa, lazima zipakuliwe kando.

Winpcap ni maktaba ambayo lazima iwe imewekwa mapema. Lakini Windump ni faili ya exe ambayo haiitaji kusanikishwa, kwa hivyo unaweza kuiendesha tu. Hili ni jambo la kukumbuka ikiwa unatumia mtandao wa Windows. Sio lazima usakinishe Windump kwenye kila mashine kwani unaweza kuinakili inavyohitajika, lakini utahitaji Winpcap ili kusaidia Windup.

Kama ilivyo kwa tcpdump, Windump inaweza kuonyesha data ya mtandao kwa uchanganuzi, kuichuja kwa njia ile ile, na pia kuandika data kwenye faili ya pcap kwa uchambuzi wa baadaye.

4. Wireshark

Wireshark ni zana inayofuata maarufu zaidi katika kisanduku cha zana cha msimamizi wa mfumo. Haikuruhusu tu kunasa data lakini pia hutoa zana za uchambuzi wa hali ya juu. Zaidi ya hayo, Wireshark ni chanzo wazi na imetumwa kwa karibu mifumo yote ya uendeshaji ya seva iliyopo. Inaitwa Etheral, Wireshark sasa inatumika kila mahali, ikijumuisha kama programu inayobebeka, inayobebeka.

Ikiwa unachambua trafiki kwenye seva na GUI, Wireshark inaweza kukufanyia kila kitu. Inaweza kukusanya data na kisha kuichanganua hapo hapo. Hata hivyo, GUI ni nadra kwenye seva, kwa hivyo unaweza kukusanya data ya mtandao ukiwa mbali na kisha kuchunguza matokeo ya faili ya pcap katika Wireshark kwenye kompyuta yako.

Unapozindua Wireshark kwa mara ya kwanza, unaweza kupakia faili iliyopo ya pcap au utekeleze upigaji picha wa trafiki. Katika kesi ya mwisho, unaweza kuongeza vichungi ili kupunguza kiasi cha data iliyokusanywa. Usipotaja kichujio, Wireshark itakusanya tu data zote za mtandao kutoka kwa kiolesura kilichochaguliwa.

Moja ya vipengele muhimu zaidi vya Wireshark ni uwezo wa kufuata mkondo. Ni bora kufikiria thread kama mnyororo. Katika picha ya skrini hapa chini tunaweza kuona data nyingi iliyonaswa, lakini nilichovutiwa nacho zaidi ni anwani ya IP ya Google. Ninaweza kubofya kulia na kufuata mkondo wa TCP ili kuona msururu mzima.

Ikiwa trafiki ilinaswa kwenye kompyuta nyingine, unaweza kuleta faili ya PCAP kwa kutumia Faili ya Wireshark -> Fungua mazungumzo. Vichungi sawa na zana zinapatikana kwa faili zilizoagizwa kama kwa data iliyonaswa ya mtandao.

5.tshark

Tshark ni kiunga muhimu sana kati ya tcpdump na Wireshark. Tcpdump ni bora katika ukusanyaji wa data na inaweza kutoa data unayohitaji kwa upasuaji tu, hata hivyo uwezo wake wa kuchanganua data ni mdogo sana. Wireshark ni nzuri katika kukamata na kuchambua, lakini ina kiolesura kizito cha mtumiaji na haiwezi kutumika kwenye seva bila GUI. Jaribu tshark, inafanya kazi kwenye mstari wa amri.

Tshark hutumia sheria sawa za kuchuja kama Wireshark, ambayo haipaswi kushangaza kwani kimsingi ni bidhaa sawa. Amri iliyo hapa chini inaambia tshark tu kunasa anwani ya IP lengwa, na vile vile sehemu zingine za kupendeza kutoka kwa sehemu ya HTTP ya pakiti.

# tshark -i eth0 -Y http.omba -T sehemu -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Firefox Gecko/20100101 /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.5 x62 Linux; rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x861 Gec6) /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png 172.X1 Linux. x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/201005coni.0

Ikiwa unataka kuandika trafiki kwa faili, tumia -W chaguo kufanya hivyo, na kisha -r (soma) kubadili ili kuisoma.

Ukamataji wa kwanza:

# tshark -i eth0 -w tshark_packets Inanasa kwenye "eth0" 102 ^C

Isome hapa, au ihamishe mahali pengine kwa uchambuzi.

# tshark -r tshark_packets -Y http.request -T fields -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/2010 Firefox /57.0 /contact 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reservations/ 172.20.0.122 Mozilla/5.0122 Mozilla/5.0122 Mozilla/5.0122 Mozilla/5.122 Mozilla/5.122 Mozilla/5.0 122 Mozilla/5.0 122 Mozilla/5.0 122 Mozilla/5.4 Linux Gecko 8/5. 0 0101 Firefox / 57.0 /reservations/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery-jquery6 . js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla_61 x5.4; Linux. 2010 0101 Firefox/57.0 /res/images/title.png

Hiki ni zana ya kuvutia sana ambayo inaangukia zaidi katika kategoria ya zana za uchunguzi wa uchunguzi wa mtandao badala ya kunusa tu. Uga wa uchunguzi wa mahakama kwa kawaida huhusika na uchunguzi na ukusanyaji wa ushahidi, na Mtandao wa Miner hufanya kazi hii vizuri. Kama vile wireshark inavyoweza kufuata mkondo wa TCP ili kuunda upya msururu mzima wa upokezaji wa pakiti, Mtandao wa Miner unaweza kufuata mkondo ili kurejesha faili ambazo zimehamishwa kupitia mtandao.

Mtandao wa Miner unaweza kuwekwa kimkakati kwenye mtandao ili kuweza kutazama na kukusanya trafiki inayokuvutia kwa wakati halisi. Haitazalisha trafiki yake kwenye mtandao, kwa hivyo itafanya kazi kwa siri.

Network Miner pia inaweza kufanya kazi nje ya mtandao. Unaweza kutumia tcpdump kukusanya pakiti katika eneo la mtandao linalokuvutia na kisha kuagiza faili za PCAP kwenye Miner ya Mtandao. Kisha, unaweza kujaribu kurejesha faili au vyeti vyovyote vilivyopatikana kwenye faili iliyorekodiwa.

Network Miner imeundwa kwa ajili ya Windows, lakini kwa Mono inaweza kuendeshwa kwenye OS yoyote inayoauni jukwaa la Mono, kama vile Linux na MacOS.

Kuna toleo la bure, kiwango cha kuingia, lakini na seti nzuri ya kazi. Ikiwa unahitaji vipengele vya ziada kama vile eneo la eneo na hati maalum, utahitaji kununua leseni ya kitaaluma.

7. Fiddler (HTTP)

Kitaalam sio matumizi ya kunasa pakiti za mtandao, lakini ni muhimu sana hivi kwamba inaifanya iwe kwenye orodha hii. Tofauti na zana zingine zilizoorodheshwa hapa, ambazo zimeundwa kunasa trafiki ya mtandao kutoka kwa chanzo chochote, Fiddler ni zana zaidi ya utatuzi. Inanasa trafiki ya HTTP. Ingawa vivinjari vingi tayari vina uwezo huu katika zana zao za wasanidi, Fiddler sio tu kwa trafiki ya kivinjari. Fiddler inaweza kunasa trafiki yoyote ya HTTP kwenye kompyuta, ikijumuisha programu zisizo za wavuti.

Programu nyingi za kompyuta za mezani hutumia HTTP kuunganisha kwa huduma za wavuti, na zaidi ya Fiddler, njia pekee ya kunasa trafiki kama hiyo kwa uchambuzi ni kutumia zana kama vile tcpdump au Wireshark. Walakini, zinafanya kazi katika kiwango cha pakiti, kwa hivyo uchambuzi unahitaji kuunda upya pakiti hizi kwenye mitiririko ya HTTP. Inaweza kuwa kazi nyingi kufanya utafiti rahisi, na hapo ndipo Fiddler anakuja. Fiddler itakusaidia kugundua vidakuzi, vyeti na data nyingine muhimu inayotumwa na programu.

Fiddler ni bure na, kama Network Miner, inaweza kuendeshwa katika Mono karibu na mfumo wowote wa uendeshaji.

8. Capsa

Kichanganuzi cha mtandao cha Capsa kina matoleo kadhaa, kila moja ikiwa na uwezo tofauti. Katika kiwango cha kwanza, Capsa ni bure, na kimsingi hukuruhusu kunasa pakiti na kufanya uchanganuzi wa kimsingi wa picha juu yao. Dashibodi ni ya kipekee na inaweza kusaidia msimamizi wa mfumo asiye na uzoefu kutambua haraka matatizo ya mtandao. Kiwango cha bure ni cha watu wanaotaka kujifunza zaidi kuhusu vifurushi na kujenga ujuzi wao wa uchanganuzi.

Toleo la bure hukuruhusu kufuatilia itifaki zaidi ya 300, inafaa kwa ufuatiliaji wa barua pepe pamoja na kuhifadhi yaliyomo kwenye barua pepe, na pia inasaidia vichochezi vinavyoweza kutumika kusababisha arifa wakati hali fulani zinatokea. Katika suala hili, Capsa inaweza kutumika kama zana ya usaidizi kwa kiasi fulani.

Capsa inapatikana kwa Windows 2008/Vista/7/8 na 10 pekee.

Hitimisho

Ni rahisi kuelewa jinsi msimamizi wa mfumo anaweza kuunda miundombinu ya ufuatiliaji wa mtandao kwa kutumia zana ambazo tumeelezea. Tcpdump au Windump inaweza kusakinishwa kwenye seva zote. Kipanga ratiba, kama vile cron au kipanga ratiba cha Windows, huanza kipindi cha kukusanya pakiti kwa wakati unaofaa na kuandika data iliyokusanywa kwenye faili ya pcap. Kisha msimamizi wa mfumo anaweza kuhamisha pakiti hizi kwenye mashine ya kati na kuzichanganua kwa kutumia wireshark. Ikiwa mtandao ni mkubwa sana kwa hili, zana za kiwango cha biashara kama vile SolarWinds zinapatikana ili kugeuza pakiti zote za mtandao kuwa seti ya data inayoweza kudhibitiwa.

Soma nakala zingine kuhusu kukamata na kuchambua trafiki ya mtandao :

• Dan Nanni, Huduma za Mstari wa Amri za Kufuatilia Trafiki ya Mtandao kwenye Linux
• Paul Cobbaut, Utawala wa Mfumo wa Linux. Inazuia trafiki ya mtandao
• Paul Ferrill, Zana 5 za Ufuatiliaji wa Mtandao kwenye Linux
• Pankaj Tanwar, Kukamata pakiti kwa kutumia maktaba ya libpcap
• Riccardo Capecchi, Kutumia vichungi huko Wireshark
• Nathan Willis, Uchambuzi wa Mtandao na Wireshark
• Prashant Phatak,

Watumiaji wengi wa mtandao wa kompyuta kwa ujumla hawajui dhana ya "mnusi." Hebu jaribu kufafanua nini sniffer ni, kwa lugha rahisi ya mtumiaji ambaye hajafunzwa. Lakini kwanza, bado unapaswa kuzama katika ufafanuzi wa awali wa neno lenyewe.

Sniffer: mtu anayenusa ni nini kutoka kwa mtazamo wa lugha ya Kiingereza na teknolojia ya kompyuta?

Kwa kweli, si vigumu hata kidogo kuamua kiini cha programu hiyo au changamano ya programu-jalizi ikiwa utatafsiri neno hilo tu.

Jina hili linatokana na neno la Kiingereza kunusa (kunusa). Kwa hivyo maana ya neno la Kirusi "sniffer". Je, mtu anayenusa ni nini katika ufahamu wetu? "Mnusi" anayeweza kufuatilia matumizi ya trafiki ya mtandao, au, kwa urahisi zaidi, jasusi anayeweza kuingilia uendeshaji wa mitandao ya ndani au ya mtandao, akitoa maelezo anayohitaji kulingana na upatikanaji kupitia itifaki za uhamisho wa data za TCP/IP.

Kichambuzi cha trafiki: inafanyaje kazi?

Hebu tuweke uhifadhi mara moja: mnusaji, iwe programu au kipengele cha shareware, ana uwezo wa kuchanganua na kuingilia trafiki (data inayotumwa na kupokea) pekee kupitia kadi za mtandao (Ethernet). Nini kinatokea?

Kiolesura cha mtandao hakilindwa kila wakati na ngome (tena, programu au maunzi), na kwa hivyo uzuiaji wa data iliyopitishwa au iliyopokelewa inakuwa suala la teknolojia tu.

Ndani ya mtandao, habari hupitishwa katika sehemu zote. Ndani ya sehemu moja, pakiti za data zinatakiwa kutumwa kwa vifaa vyote vilivyounganishwa kwenye mtandao. Taarifa zilizogawanywa hutumwa kwa ruta (ruta), na kisha kwa swichi (swichi) na viunganishi (hubs). Kutuma habari hufanywa kwa kugawanya pakiti ili mtumiaji wa mwisho apate sehemu zote za kifurushi zilizounganishwa pamoja kutoka kwa njia tofauti kabisa. Kwa hivyo, "kusikiliza" njia zote zinazowezekana kutoka kwa mteja mmoja hadi mwingine au mwingiliano wa rasilimali ya mtandao na mtumiaji inaweza kutoa sio tu ufikiaji wa habari ambayo haijasimbwa, lakini pia kwa funguo kadhaa za siri, ambazo zinaweza pia kutumwa katika mchakato wa mwingiliano kama huo. . Na hapa interface ya mtandao inageuka kuwa haijalindwa kabisa, kwa sababu mtu wa tatu anaingilia kati.

Nia njema na nia mbaya?

Vinusa vinaweza kutumika kwa mema na mabaya. Bila kutaja athari mbaya, ni muhimu kuzingatia kwamba mifumo kama hiyo ya programu na vifaa hutumiwa mara nyingi na wasimamizi wa mfumo ambao wanajaribu kufuatilia vitendo vya mtumiaji sio tu kwenye mtandao, lakini pia tabia zao kwenye mtandao kwa suala la rasilimali zilizotembelewa. vipakuliwa vilivyoamilishwa kwa kompyuta au kutuma kutoka kwao.

Njia ambayo analyzer ya mtandao inafanya kazi ni rahisi sana. Mnusaji hutambua trafiki inayotoka na inayoingia ya mashine. Hatuzungumzii IP ya ndani au ya nje. Kigezo muhimu zaidi ni ile inayoitwa anwani ya MAC, ya kipekee kwa kifaa chochote kilichounganishwa kwenye mtandao wa kimataifa. Inatumika kutambua kila mashine kwenye mtandao.

Aina za kunusa

Lakini kwa aina zinaweza kugawanywa katika kuu kadhaa:

• vifaa;
• programu;
• vifaa na programu;
• applets za mtandaoni.

Ugunduzi wa tabia ya uwepo wa mtu anayenusa kwenye mtandao

Unaweza kugundua kinusi sawa cha WiFi kwa kupakia kwenye mtandao. Ikiwa ni wazi kwamba uhamisho wa data au uunganisho hauko katika kiwango kilichoelezwa na mtoa huduma (au router inaruhusu), unapaswa kuzingatia hili mara moja.

Kwa upande mwingine, mtoa huduma anaweza pia kuendesha programu ya kunusa kufuatilia trafiki bila mtumiaji kujua. Lakini, kama sheria, mtumiaji hajui hata juu yake. Lakini shirika linalotoa huduma za mawasiliano na uunganisho wa Mtandao hivyo humhakikishia mtumiaji usalama kamili katika suala la kuzuia mafuriko, wateja wa kujitegemea wa Trojans mbalimbali, wapelelezi, nk. Lakini zana hizo ni badala ya programu na hazina athari nyingi kwenye mtandao au vituo vya mtumiaji.

Rasilimali za mtandaoni

Lakini kichanganuzi cha trafiki mtandaoni kinaweza kuwa hatari sana. Mfumo wa kwanza wa udukuzi wa kompyuta umejengwa juu ya utumiaji wa vinusi. Teknolojia katika fomu yake rahisi inajitokeza kwa ukweli kwamba mshambuliaji anajiandikisha awali kwenye rasilimali fulani, kisha anapakia picha kwenye tovuti. Baada ya kudhibitisha upakuaji, kiunga cha mtu anayenusa mkondoni hutolewa, ambacho hutumwa kwa mwathirika anayewezekana, kwa mfano, kwa njia ya barua pepe au ujumbe huo huo wa SMS na maandishi kama "Umepokea pongezi kutoka kwa so-na. -hivyo. Ili kufungua picha (kadi ya posta), bofya kiungo."

Watumiaji wasiojua kubofya kiungo kilichobainishwa, kwa sababu hiyo utambuzi umewashwa na anwani ya IP ya nje huhamishiwa kwa mshambulizi. Ikiwa ana programu inayofaa, hataweza tu kutazama data zote zilizohifadhiwa kwenye kompyuta, lakini pia kubadilisha kwa urahisi mipangilio ya mfumo kutoka nje, ambayo mtumiaji wa ndani hata hata kutambua, akikosea mabadiliko hayo kwa ushawishi wa virusi. Lakini scanner itaonyesha vitisho sifuri wakati wa kuangalia.

Jinsi ya kujilinda kutokana na kuingiliwa kwa data?

Iwe ni kivuta pumzi cha WiFi au kichanganuzi kingine chochote, bado kuna mifumo ya kulinda dhidi ya utambazaji ambao haujaidhinishwa wa trafiki. Kuna hali moja tu: wanahitaji kusakinishwa tu ikiwa una uhakika kabisa katika "wiretapping".

Vifaa vile vya programu mara nyingi huitwa "antisniffers". Lakini ikiwa unafikiria juu yake, hawa ni wavutaji sawa wanaochambua trafiki, lakini huzuia programu zingine zinazojaribu kupokea.

Kwa hivyo swali la halali: inafaa kusanikisha programu kama hiyo? Labda utapeli wake na wadukuzi utasababisha madhara zaidi, au yenyewe itazuia kile kinachopaswa kufanya kazi?

Katika hali rahisi na mifumo ya Windows, ni bora kutumia firewall iliyojengwa kama ulinzi. Wakati mwingine kunaweza kuwa na migogoro na antivirus iliyowekwa, lakini mara nyingi hii inatumika tu kwa vifurushi vya bure. Matoleo ya kitaalamu yaliyonunuliwa au ya kila mwezi yaliyoamilishwa hayana mapungufu hayo.

Badala ya neno la baadaye

Hiyo yote ni juu ya dhana ya "mnusi". Nadhani watu wengi tayari wamegundua mvuta pumzi ni nini. Hatimaye, swali linabaki: jinsi kwa usahihi mtumiaji wa kawaida atatumia vitu kama hivyo? Vinginevyo, kati ya watumiaji wachanga wakati mwingine unaweza kugundua tabia ya uhuni wa kompyuta. Wanafikiri kwamba kudukua kompyuta ya mtu mwingine ni kama shindano la kuvutia au kujithibitisha. Kwa bahati mbaya, hakuna hata mmoja wao anayefikiri juu ya matokeo, lakini ni rahisi sana kutambua mshambuliaji kwa kutumia sniffer sawa ya mtandaoni na IP yake ya nje, kwa mfano, kwenye tovuti ya WhoIs. Eneo, hata hivyo, litakuwa eneo la mtoa huduma, hata hivyo, nchi na jiji zitatambuliwa hasa. Naam, basi ni suala la mambo madogo: ama wito kwa mtoa huduma ili kuzuia terminal ambayo upatikanaji usioidhinishwa ulifanywa, au kesi ya jinai. Chora hitimisho lako mwenyewe.

Ikiwa programu imewekwa ili kuamua eneo la terminal ambayo jaribio la kufikia linafanywa, hali ni rahisi zaidi. Lakini matokeo yanaweza kuwa mabaya, kwa sababu sio watumiaji wote wanaotumia wasiojulikana sawa au seva za seva mbadala na hawana hata fununu kuhusu Mtandao. Ingefaa kujifunza...

Vichanganuzi vya pakiti za mtandao, au vinusa, vilitengenezwa awali kama njia ya kutatua matatizo ya mtandao. Wana uwezo wa kukatiza, kutafsiri na kuhifadhi pakiti zinazotumwa kwenye mtandao kwa uchanganuzi unaofuata. Kwa upande mmoja, hii inaruhusu wasimamizi wa mfumo na wahandisi wa usaidizi wa kiufundi kuchunguza jinsi data inavyohamishwa kwenye mtandao, kutambua na kurekebisha matatizo yanayotokea. Kwa maana hii, vinusa pakiti ni zana yenye nguvu ya kugundua shida za mtandao. Kwa upande mwingine, kama zana zingine nyingi zenye nguvu ambazo hapo awali zilikusudiwa kwa usimamizi, baada ya muda, vinusa vilianza kutumika kwa madhumuni tofauti kabisa. Hakika, mtu anayenusa mikononi mwa mshambuliaji ni zana hatari na inaweza kutumika kupata nywila na habari zingine za siri. Walakini, haupaswi kufikiria kuwa wavutaji ni aina fulani ya zana ya kichawi ambayo mdukuzi yeyote anaweza kutazama kwa urahisi habari za siri zinazopitishwa kwenye mtandao. Na kabla hatujathibitisha kwamba hatari inayoletwa na wavutaji si kubwa kama inavyoonyeshwa mara nyingi, hebu tuzingatie kwa undani zaidi kanuni za utendaji wao.

Kanuni za uendeshaji wa sniffers pakiti

Zaidi katika makala hii tutazingatia tu sniffers programu iliyoundwa kwa ajili ya mitandao Ethernet. Kinusi ni programu inayofanya kazi katika kiwango cha adapta ya mtandao ya NIC (Network Interface Card) (safu ya kiungo) na huingilia trafiki yote kwa siri. Kwa sababu wavutaji pumzi hufanya kazi kwenye safu ya kiungo cha data cha muundo wa OSI, si lazima wafuate sheria za itifaki za kiwango cha juu. Vinusi hukwepa njia za kuchuja (anwani, bandari, n.k.) ambazo viendeshi vya Ethaneti na rafu ya TCP/IP hutumia kutafsiri data. Vifurushi vya pakiti hunasa kutoka kwa waya kila kitu kinachokuja kupitia hiyo. Vinusi vinaweza kuhifadhi fremu katika umbizo la jozi na baadaye kusimbua ili kufichua maelezo ya kiwango cha juu yaliyofichwa ndani (Mchoro 1).

Ili sniffer inasa pakiti zote zinazopita kupitia adapta ya mtandao, kiendeshi cha adapta ya mtandao lazima kiunge mkono hali ya uasherati. Ni katika hali hii ya uendeshaji wa adapta ya mtandao ambayo sniffer ina uwezo wa kuingilia pakiti zote. Hali hii ya uendeshaji wa adapta ya mtandao inawashwa kiotomatiki wakati kinusa kinapozinduliwa au kinawekwa kwa mikono na mipangilio inayolingana ya kunusa.

Trafiki yote iliyozuiliwa hupitishwa kwa avkodare ya pakiti, ambayo hutambua na kugawanya pakiti katika viwango vinavyofaa vya daraja. Kulingana na uwezo wa mnusaji fulani, taarifa ya pakiti iliyotolewa baadaye inaweza kuchambuliwa zaidi na kuchujwa.

Mapungufu ya kutumia sniffers

Sniffers iliweka hatari kubwa zaidi katika siku hizo wakati habari ilipitishwa kwenye mtandao kwa maandishi wazi (bila usimbaji fiche), na mitandao ya ndani ilijengwa kwa msingi wa viunga (hubs). Hata hivyo, siku hizi zimepita bila kubatilishwa, na siku hizi kutumia vinukuzi kupata ufikiaji wa taarifa za siri si kazi rahisi.

Ukweli ni kwamba wakati wa kujenga mitandao ya ndani kulingana na hubs, kuna njia fulani ya kawaida ya maambukizi ya data (cable ya mtandao) na pakiti zote za kubadilishana nodes za mtandao, kushindana kwa upatikanaji wa kati hii (Mchoro 2), na pakiti iliyotumwa na mtandao mmoja. nodi hupitishwa kwa bandari zote za kitovu na pakiti hii inasikilizwa na nodi nyingine zote kwenye mtandao, lakini node tu ambayo inashughulikiwa inapokea. Zaidi ya hayo, ikiwa pakiti ya sniffer imewekwa kwenye moja ya nodes za mtandao, basi inaweza kukataza pakiti zote za mtandao zinazohusiana na sehemu fulani ya mtandao (mtandao unaoundwa na kitovu).

Swichi ni vifaa vyenye akili zaidi kuliko vituo vya utangazaji na hutenga trafiki ya mtandao. Swichi inajua anwani za vifaa vilivyounganishwa kwenye kila bandari na husambaza pakiti kati ya bandari muhimu tu. Hii hukuruhusu kupakua bandari zingine bila kulazimika kusambaza kila pakiti kwao, kama kitovu hufanya. Kwa hivyo, pakiti iliyotumwa na node fulani ya mtandao hupitishwa tu kwenye bandari ya kubadili ambayo mpokeaji wa pakiti ameunganishwa, na nodes nyingine zote za mtandao haziwezi kuchunguza pakiti hii (Mchoro 3).

Kwa hiyo, ikiwa mtandao umejengwa kwa misingi ya kubadili, basi sniffer iliyowekwa kwenye moja ya kompyuta za mtandao ina uwezo wa kuingilia tu pakiti hizo ambazo zinabadilishwa kati ya kompyuta hii na nodes nyingine za mtandao. Matokeo yake, ili kuwa na uwezo wa kuingilia pakiti ambazo kompyuta au seva ya maslahi kwa mshambuliaji hubadilishana na nodes nyingine za mtandao, ni muhimu kufunga sniffer kwenye kompyuta hii (seva), ambayo kwa kweli si rahisi sana. Hata hivyo, unapaswa kukumbuka kwamba baadhi ya vifusi vya pakiti huzinduliwa kutoka kwa mstari wa amri na huenda wasiwe na kiolesura cha picha. Vipuli kama hivyo, kimsingi, vinaweza kusanikishwa na kuzinduliwa kwa mbali na bila kutambuliwa na mtumiaji.

Zaidi ya hayo, unapaswa kukumbuka pia kwamba wakati swichi hutenga trafiki ya mtandao, swichi zote zinazodhibitiwa zina utendakazi wa usambazaji wa lango au uakisi wa mlango. Hiyo ni, lango la kubadili linaweza kusanidiwa kwa njia ambayo pakiti zote zinazofika kwenye milango mingine ya swichi zinarudiwa juu yake. Ikiwa katika kesi hii kompyuta yenye sniffer ya pakiti imeunganishwa kwenye bandari hiyo, basi inaweza kukataza pakiti zote zilizobadilishwa kati ya kompyuta kwenye sehemu fulani ya mtandao. Walakini, kama sheria, uwezo wa kusanidi swichi unapatikana tu kwa msimamizi wa mtandao. Hii, bila shaka, haimaanishi kwamba hawezi kuwa mshambuliaji, lakini msimamizi wa mtandao ana njia nyingine nyingi za kudhibiti watumiaji wote wa mtandao wa ndani, na hakuna uwezekano kwamba atakufuatilia kwa njia ya kisasa.

Sababu nyingine kwa nini wavutaji si hatari tena kama walivyokuwa hapo awali ni kwamba data nyeti zaidi sasa inasambazwa kwa njia fiche. Huduma wazi, ambazo hazijasimbwa zinatoweka haraka kwenye Mtandao. Kwa mfano, wakati wa kutembelea tovuti, itifaki ya SSL (Secure Sockets Layer) inazidi kutumika; SFTP (FTP Salama) inatumika badala ya FTP iliyofunguliwa, na mitandao ya kibinafsi ya mtandaoni (VPNs) inazidi kutumika kwa huduma zingine ambazo hazitumii usimbaji fiche kwa chaguomsingi.

Kwa hivyo, wale wanaojali kuhusu uwezekano wa matumizi mabaya ya vinusa pakiti wanapaswa kukumbuka yafuatayo. Kwanza, ili kuleta tishio kubwa kwa mtandao wako, wavutaji lazima wawe ndani ya mtandao yenyewe. Pili, viwango vya leo vya usimbaji fiche hufanya iwe vigumu sana kunasa taarifa nyeti. Kwa hivyo, kwa sasa, wavutaji wa pakiti wanapoteza hatua kwa hatua umuhimu wao kama zana za wadukuzi, lakini wakati huo huo wanabaki chombo cha ufanisi na chenye nguvu cha kuchunguza mitandao. Zaidi ya hayo, vinusa vinaweza kutumika kwa mafanikio sio tu kwa utambuzi na ujanibishaji wa shida za mtandao, lakini pia kwa ukaguzi wa usalama wa mtandao. Hasa, utumiaji wa wachambuzi wa pakiti hukuruhusu kugundua trafiki isiyoidhinishwa, kugundua na kutambua programu isiyoidhinishwa, tambua itifaki zisizotumiwa ili kuziondoa kwenye mtandao, kutoa trafiki kwa upimaji wa kupenya (mtihani wa kupenya) ili kuangalia mfumo wa usalama, fanya kazi na Mifumo ya kugundua uingiliaji ( Mfumo wa Kugundua Uingilizi (IDS).

Muhtasari wa vinusa pakiti za programu

Vinusi vyote vya programu vinaweza kugawanywa katika kategoria mbili: vinusa ambavyo vinaauni uzinduzi kutoka kwa mstari wa amri, na vinusi vilivyo na kiolesura cha picha. Walakini, tunaona kuwa kuna wavutaji ambao huchanganya uwezo huu wote. Kwa kuongeza, sniffers hutofautiana kutoka kwa kila mmoja katika itifaki wanazounga mkono, kina cha uchambuzi wa pakiti zilizoingiliwa, uwezo wa kusanidi filters, na uwezekano wa utangamano na programu nyingine.

Kwa kawaida, dirisha la sniffer yoyote yenye kiolesura cha picha lina maeneo matatu. Ya kwanza yao inaonyesha data ya muhtasari wa pakiti zilizozuiliwa. Kwa kawaida, eneo hili linaonyesha kiwango cha chini cha mashamba, yaani: muda wa kuingilia pakiti; Anwani za IP za mtumaji wa pakiti na mpokeaji; Anwani za MAC za mtumaji na mpokeaji wa pakiti, chanzo na anwani za bandari lengwa; aina ya itifaki (mtandao, usafiri au safu ya maombi); habari fulani ya muhtasari kuhusu data iliyozuiliwa. Eneo la pili linaonyesha taarifa za takwimu kuhusu kifurushi kilichochaguliwa kibinafsi, na hatimaye eneo la tatu linaonyesha kifurushi katika umbo la herufi hexadecimal au ASCII.

Takriban vinusa pakiti zote hukuruhusu kuchanganua pakiti zilizosimbuliwa (ndiyo maana vinukuzi vya pakiti pia huitwa vichanganuzi vya pakiti, au vichanganuzi vya itifaki). Kinusi husambaza pakiti zilizonaswa kwenye tabaka na itifaki. Baadhi ya vifusi vya pakiti vina uwezo wa kutambua itifaki na kuonyesha habari iliyonaswa. Aina hii ya habari kawaida huonyeshwa katika eneo la pili la dirisha la kunusa. Kwa mfano, mnusi yeyote anaweza kutambua itifaki ya TCP, na wavutaji wa hali ya juu wanaweza kuamua ni programu gani iliyozalisha trafiki hii. Wachanganuzi wengi wa itifaki hutambua zaidi ya itifaki 500 tofauti na wanaweza kuzielezea na kuzisimbua kwa majina. Kadiri mtu anayevuta pumzi anavyoweza kusimbua na kuonyesha kwenye skrini, ndivyo maelezo machache zaidi yatakavyoweza kusimbuwa mwenyewe.

Tatizo moja ambalo wavutaji wa pakiti wanaweza kukutana nalo ni kutoweza kutambua kwa usahihi itifaki kwa kutumia mlango tofauti na mlango msingi. Kwa mfano, ili kuboresha usalama, baadhi ya programu zinazojulikana zinaweza kusanidiwa ili kutumia milango tofauti na milango chaguomsingi. Kwa hivyo, badala ya bandari ya jadi 80, iliyohifadhiwa kwa seva ya wavuti, seva hii inaweza kubadilishwa kwa nguvu kwa bandari 8088 au nyingine yoyote. Baadhi ya wachambuzi wa pakiti katika hali hii hawawezi kuamua kwa usahihi itifaki na kuonyesha habari tu kuhusu itifaki ya kiwango cha chini (TCP au UDP).

Kuna vinukuzi vya programu ambavyo huja na moduli za uchanganuzi za programu kama programu-jalizi au moduli zilizojengewa ndani ambazo hukuruhusu kuunda ripoti zenye maelezo muhimu ya uchanganuzi kuhusu trafiki iliyonaswa.

Kipengele kingine cha sifa za programu nyingi za uchanganuzi wa pakiti ni uwezo wa kusanidi vichungi kabla na baada ya trafiki kunaswa. Vichungi huchagua pakiti fulani kutoka kwa trafiki ya jumla kulingana na kigezo fulani, ambacho hukuruhusu kuondoa habari isiyo ya lazima wakati wa kuchambua trafiki.

Wireshark ni kichanganuzi chenye nguvu cha mtandao ambacho kinaweza kutumika kuchanganua trafiki inayopitia kiolesura cha mtandao cha kompyuta yako. Unaweza kuihitaji ili kugundua na kutatua matatizo ya mtandao, kutatua programu zako za wavuti, programu za mtandao au tovuti. Wireshark hukuruhusu kutazama kikamilifu yaliyomo kwenye pakiti katika viwango vyote, ili uweze kuelewa vizuri jinsi mtandao unavyofanya kazi kwa kiwango cha chini.

Pakiti zote hunaswa kwa wakati halisi na hutolewa katika umbizo ambalo ni rahisi kusoma. Programu inasaidia mfumo wa kuchuja wenye nguvu sana, kuangazia rangi, na vipengele vingine ambavyo vitakusaidia kupata vifurushi vinavyofaa. Katika somo hili, tutaangalia jinsi ya kutumia Wireshark kuchambua trafiki. Hivi karibuni, watengenezaji walianza kufanya kazi kwenye tawi la pili la programu ya Wireshark 2.0, mabadiliko mengi na maboresho yalifanywa kwake, hasa kwa interface. Hii ndio tutakayotumia katika makala hii.

Kabla ya kuendelea na kuzingatia njia za kuchambua trafiki, unahitaji kuzingatia vipengele gani programu inasaidia kwa undani zaidi, ni itifaki gani inaweza kufanya kazi na nini inaweza kufanya. Hapa kuna sifa kuu za programu:

• Nasa pakiti kwa wakati halisi kutoka kwa waya au aina nyingine yoyote ya miingiliano ya mtandao, na pia kusoma kutoka kwa faili;
• Miingiliano ifuatayo ya kukamata inaungwa mkono: Ethernet, IEEE 802.11, PPP na violesura vya kawaida vya ndani;
• Pakiti zinaweza kuchujwa kulingana na vigezo vingi kwa kutumia filters;
• Itifaki zote zinazojulikana zinaonyeshwa kwenye orodha katika rangi tofauti, kwa mfano TCP, HTTP, FTP, DNS, ICMP na kadhalika;
• Msaada wa kunasa trafiki ya simu ya VoIP;
• Usimbuaji wa trafiki ya HTTPS unatumika ikiwa cheti kinapatikana;
• Usimbuaji wa trafiki ya WEP na WPA ya mitandao isiyo na waya na ufunguo na kushikana mikono;
• Inaonyesha takwimu za mzigo wa mtandao;
• Tazama yaliyomo kwenye kifurushi kwa tabaka zote za mtandao;
• Inaonyesha wakati wa kutuma na kupokea vifurushi.

Mpango huo una vipengele vingine vingi, lakini hizi ndizo kuu ambazo zinaweza kukuvutia.

Jinsi ya kutumia Wireshark

Nadhani tayari una programu iliyosanikishwa, lakini ikiwa sivyo, unaweza kuiweka kutoka kwa hazina rasmi. Ili kufanya hivyo, chapa amri katika Ubuntu:

sudo apt kufunga wireshark

Baada ya ufungaji, unaweza kupata programu katika orodha kuu ya usambazaji. Unahitaji kuendesha Wireshark na haki za mtumiaji mkuu, kwa sababu vinginevyo haitaweza kuchambua pakiti za mtandao. Hii inaweza kufanywa kutoka kwa menyu kuu au kupitia terminal kwa kutumia amri ya KDE:

Na kwa Gnome/Unity:

Dirisha kuu la programu imegawanywa katika sehemu tatu: safu ya kwanza ina orodha ya miingiliano ya mtandao inayopatikana kwa uchambuzi, ya pili - chaguzi za kufungua faili, na ya tatu - msaada.

Uchambuzi wa trafiki ya mtandao

Ili kuanza uchanganuzi, chagua kiolesura cha mtandao, kwa mfano eth0, na ubofye kitufe Anza.

Baada ya hayo, dirisha lifuatalo litafungua, tayari na mkondo wa pakiti zinazopitia interface. Dirisha hili pia limegawanywa katika sehemu kadhaa:

• Sehemu ya juu- hizi ni menus na paneli na vifungo mbalimbali;
• Orodha ya vifurushi- basi mtiririko wa pakiti za mtandao ambazo utachambua huonyeshwa;
• Yaliyomo kwenye Kifurushi- chini tu ni yaliyomo ya mfuko uliochaguliwa, umegawanywa katika makundi kulingana na kiwango cha usafiri;
• Utendaji halisi- chini kabisa yaliyomo kwenye kifurushi huonyeshwa kwa fomu halisi, na pia katika fomu ya HEX.

Unaweza kubofya kifurushi chochote ili kuchambua yaliyomo:

Hapa tunaona pakiti ya ombi la DNS ili kupata anwani ya IP ya tovuti, katika ombi yenyewe kikoa kinatumwa, na katika pakiti ya majibu tunapokea swali letu pamoja na jibu.

Kwa kutazama kwa urahisi zaidi, unaweza kufungua kifurushi kwenye dirisha jipya kwa kubofya mara mbili kwenye kiingilio:

Vichungi vya Wireshark

Kupitia vifurushi kwa mikono ili kupata zile unazohitaji ni ngumu sana, haswa na uzi unaotumika. Kwa hiyo, kwa kazi hii ni bora kutumia filters. Kuna mstari maalum chini ya menyu ya kuingiza vichungi. Unaweza kubofya Kujieleza kufungua mbuni wa kichungi, lakini kuna mengi yao, kwa hivyo tutaangalia yale ya msingi zaidi:

• ip.dst- anwani ya IP inayolengwa;
• ip.src- anwani ya IP ya mtumaji;
• ip.addr- IP ya mtumaji au mpokeaji;
• ip.proto- itifaki;
• tcp.dstport- bandari ya marudio;
• tcp.srcport- bandari ya mtumaji;
• ip.ttl- Kichujio cha TTL, huamua umbali wa mtandao;
• http.request_uri- anwani ya tovuti iliyoombwa.

Ili kutaja uhusiano kati ya sehemu na thamani katika kichungi, unaweza kutumia waendeshaji wafuatao:

• == - sawa;
• != - sio sawa;
• < - chini;
• > - zaidi;
• <= - chini au sawa;
• >= - zaidi au sawa;
• mechi- kujieleza mara kwa mara;
• ina- ina.

Ili kuchanganya maneno mengi unaweza kutumia:

• && - maneno yote mawili lazima yawe ya kweli kwa kifurushi;
• || - moja ya maneno inaweza kuwa kweli.

Sasa hebu tuangalie kwa karibu vichungi kadhaa kwa kutumia mifano na jaribu kuelewa ishara zote za mahusiano.

Kwanza, hebu tuchuje pakiti zote zilizotumwa kwa 194.67.215. Ingiza kamba kwenye sehemu ya kichujio na ubofye. Omba. Kwa urahisi, vichungi vya Wireshark vinaweza kuhifadhiwa kwa kutumia kitufe Hifadhi:

ip.dst == 194.67.215.125

Na ili kupokea sio tu pakiti zilizotumwa, lakini pia zile zilizopokelewa kwa jibu kutoka kwa nodi hii, unaweza kuchanganya hali mbili:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Tunaweza pia kuchagua faili kubwa zilizohamishwa:

http.content_length > 5000

Kwa kuchuja Aina ya Maudhui, tunaweza kuchagua picha zote ambazo zimepakiwa; Wacha tuchambue trafiki ya Wireshark, pakiti zilizo na picha ya maneno:

http.content_type ina picha

Ili kufuta kichujio, unaweza kubonyeza kitufe Wazi. Inatokea kwamba hujui kila wakati habari zote muhimu kwa kuchuja, lakini unataka tu kuchunguza mtandao. Unaweza kuongeza uwanja wowote wa kifurushi kama safu na kutazama yaliyomo kwenye dirisha la jumla kwa kila kifurushi.

Kwa mfano, ninataka kuonyesha TTL (wakati wa kuishi) ya pakiti kama safu. Ili kufanya hivyo, fungua habari ya mfuko, pata uwanja huu katika sehemu ya IP. Kisha piga menyu ya muktadha na uchague chaguo Tekeleza Kama Safu:

Kwa njia hiyo hiyo, unaweza kuunda chujio kulingana na shamba lolote linalohitajika. Ichague na ulete menyu ya muktadha, kisha ubofye Tumia kama kichujio au Tayarisha kama kichujio, kisha chagua Imechaguliwa kuonyesha tu maadili yaliyochaguliwa, au Haijachaguliwa kuwaondoa:

Sehemu iliyoainishwa na thamani yake itatumika au, katika kesi ya pili, itaingizwa kwenye uwanja wa chujio:

Kwa njia hii, unaweza kuongeza uwanja wa kifurushi chochote au safu kwenye kichungi. Pia kuna chaguo hili kwenye menyu ya muktadha. Ili kuchuja itifaki, unaweza kutumia hali rahisi. Kwa mfano, hebu tuchambue trafiki ya Wireshark kwa itifaki za HTTP na DNS:

Kipengele kingine cha kuvutia cha programu ni matumizi ya Wireshark kufuatilia kikao maalum kati ya kompyuta ya mtumiaji na seva. Ili kufanya hivyo, fungua menyu ya muktadha kwa kifurushi na uchague Fuata mkondo wa TCP.

Kisha dirisha litafunguliwa ambalo utapata data yote iliyohamishwa kati ya seva na mteja:

Utambuzi wa shida za Wireshark

Unaweza kuwa unajiuliza jinsi ya kutumia Wireshark 2.0 kugundua matatizo kwenye mtandao wako. Ili kufanya hivyo, kuna kitufe cha pande zote kwenye kona ya chini kushoto ya dirisha; unapobofya, dirisha linafungua. Zana za Expt. Ndani yake, Wireshark hukusanya ujumbe wote wa makosa na matatizo ya mtandao:

Dirisha limegawanywa katika vichupo kama vile Makosa, Maonyo, Notisi, Gumzo. Programu inaweza kuchuja na kupata shida nyingi za mtandao, na hapa unaweza kuziona haraka sana. Vichungi vya Wireshark pia vinatumika hapa.

Uchambuzi wa trafiki wa Wireshark

Unaweza kuelewa kwa urahisi ni nini watumiaji walipakua na faili gani walizotazama ikiwa muunganisho haukusimbwa kwa njia fiche. Mpango huo hufanya kazi nzuri sana ya kutoa maudhui.

Ili kufanya hivyo, kwanza unahitaji kuacha kukamata trafiki kwa kutumia mraba nyekundu kwenye paneli. Kisha fungua menyu Faili -> Hamisha vitu -> HTTP: