Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Лекция 15. Анализаторы протоколов.
Анализатор сетевых протоколов — жизненно важная часть набора инструментов сетевого администратора. Анализ сетевых протоколов — это поиск истины в сетевых коммуникациях. Чтобы узнать, почему какое-либо сетевое устройство работает именно так, а не иначе, следует использовать анализатор протоколов, чтобы «вживую» прочувствовать трафик и выделить из него данные и протоколы, передающиеся по сетевому кабелю. Анализатор сетевых протоколов может использоваться для: · локализации трудноразрешимых проблем; · обнаружения и идентификации несанкционированного программного обеспечения; · получения такой информации, как базовые модели трафика (baseline traffic patterns) и метрики утилизации сети; · идентификации неиспользуемых протоколов для удаления их из сети; · генерации трафика для испытания на вторжение (penetration test) с целью проверки системы защиты; · работы с системами обнаружения вторжений Intrusion Detection System (IDS); · прослушивания трафика, т. е. локализации несанкционированного трафика с использованием Instant Messaging (IM) или беспроводных точек доступа Access Points — (AP); · изучения работы сети. Если вы обслуживаете сеть и до сих пор не имеете анализатора протоколов, самое время его приобрести. Чтобы выбрать анализатор сетевых протоколов, который бы соответствовал конкретной среде работы, рассмотрим сначала некоторые типичные функции программного анализатора протоколов. После чего будут изучены и сопоставлены рассмотренные функции для шести популярных анализаторов сетевых протоколов. Типичные функции Большинство анализаторов сетевых протоколов работают по схеме, представленной на рис. 1, и отображают, по крайней мере в некотором начальном виде, одинаковую базовую информацию. Анализатор работает на станции хоста. Когда анализатор запускается в беспорядочном режиме (promiscuous mode), драйвер сетевого адаптера, NIC, перехватывает весь проходящий через него трафик. Анализатор протоколов передает перехваченный трафик декодеру пакетов анализатора (packet-decoder engine), который идентифицирует и расщепляет пакеты по соответствующим уровням иерархии. Программное обеспечение протокольного анализатора изучает пакеты и отображает информацию о них на экране хоста в окне анализатора. В зависимости от возможностей конкретного продукта, представленная информация может впоследствии дополнительно анализироваться и отфильтровываться.
Обычно окно протокольного анализатора состоит их трех областей, как, например, показано на экране 1, демонстрирующем продукт Ethereal. Верхняя область отображает итоговые данные перехваченных пакетов. Обычно в этой области отображается минимум полей, а именно: дата; время (в миллисекундах), когда пакеты были перехвачены; исходные и целевые IP-адреса; исходные и целевые адреса портов; тип протокола (сетевой, транспортный или прикладного уровня); некоторая суммарная информация о перехваченных данных. В средней области показаны логические врезки пакетов, выбранных оператором. И наконец, в нижней области пакет представлен в шестнадцатеричном виде или в символьной форме — ASCII. Общая проблема, которую я наблюдал, работая со многими анализаторами протоколов, включая и те, что рассматриваются в данной статье, — невозможность аккуратной идентификации (а следовательно, и декодирования) протокола, использующего порт, отличный от порта по умолчанию. Сегодня все хорошо осознают важность проблем безопасности, и запуск известных приложений на редко используемых портах является общепринятой практикой защиты от хакеров. Некоторые декодеры умеют распознавать трафик независимо от того, через какой порт он проходит, тогда как другие — нет, и поэтому просто будут определять протокол по его нижнему уровню (т. е. TCP или UDP), а это означает, что декодер не представит более полезной информации о полях. Некоторые анализаторы позволяют модифицировать декодер, чтобы научиться распознавать больше, чем просто порт по умолчанию для определенных протоколов. Обзор анализаторов На рынке программного обеспечения и программных продуктов среди анализаторов сетевых протоколов я, к своему удивлению, обнаружил большое количество сильных программ, вполне достойных друг друга. Оценивая анализатор протоколов, рекомендую особое внимание обратить на такие его свойства, как точность перехвата пакетов, диапазон декодируемых протоколов (с учетом условий работы конкретной сети), степень детализации декодеров, наличие экспертного анализа, модель размещения (распределенная или нет), цена и техническая поддержка. Далее мы рассмотрим шесть анализаторов сетевых протоколов общего назначения: Ethereal, OptiView Protocol Expert 4.0 (производитель — Fluke Networks), Netasyst Network Analyzer WLX (производитель — Network Associates), Observer 9.0 (производитель — Network Instruments), LanHound 1.1 (производитель — Sunbelt Software) и EtherPeek NX 2.1 (производитель — WildPackets).
|
Последнее изменение этой страницы: 2019-06-19; Просмотров: 705; Нарушение авторского права страницы