Wireshark (şəbəkə paketinin tutulması). Windows üçün sadə bir sniffer yazırıq

Wireshark, kompüterinizin şəbəkə interfeysindən keçən trafiki təhlil etmək üçün istifadə edilə bilən güclü şəbəkə analizatorudur. Şəbəkə problemlərini aşkar etmək və həll etmək, veb proqramlarınızı, şəbəkə proqramlarınızı və ya saytlarınızı sazlamaq üçün sizə lazım ola bilər. Wireshark bütün səviyyələrdə paketin məzmununa tam baxmaq imkanı verir: beləliklə, şəbəkənin aşağı səviyyədə necə işlədiyini daha yaxşı başa düşə bilərsiniz.

Bütün paketlər real vaxt rejimində tutulur və asan oxunan formatda təqdim olunur. Proqram çox güclü filtrləmə sistemini, rəngin işıqlandırılmasını və sizə lazım olan paketləri tapmağınıza kömək edəcək digər funksiyaları dəstəkləyir. Bu dərslikdə biz trafiki təhlil etmək üçün Wireshark-dan necə istifadə edəcəyimizə baxacağıq. Bu yaxınlarda tərtibatçılar Wireshark 2.0 proqramının ikinci qolu üzərində işləməyə keçdilər, ona, xüsusən də interfeys üçün bir çox dəyişiklik və təkmilləşdirmələr edildi. Bu məqalədə istifadə edəcəyimiz budur.

Trafikin təhlili yollarını nəzərdən keçirməyə davam etməzdən əvvəl, proqramın hansı xüsusiyyətləri daha ətraflı dəstəklədiyini, hansı protokollarla işləyə biləcəyini və nə edəcəyini nəzərdən keçirməlisiniz. Proqramın əsas xüsusiyyətləri bunlardır:

• Simli və ya hər hansı digər şəbəkə interfeyslərindən real vaxt paketlərini ələ keçirin, həmçinin fayldan oxuyun;
• Aşağıdakı tutma interfeysləri dəstəklənir: Ethernet, IEEE 802.11, PPP və yerli virtual interfeyslər;
• Paketlər filtrlərdən istifadə edərək müxtəlif parametrlərə görə süzülə bilər;
• Bütün məlum protokollar TCP, HTTP, FTP, DNS, ICMP və s. kimi müxtəlif rənglərdə siyahıda vurğulanır;
• VoIP zənglərinin trafikini ələ keçirmək üçün dəstək;
• HTTPS trafikinin şifrəsinin açılması sertifikatın olması ilə dəstəklənir;
• Açar və əl sıxma olduqda simsiz şəbəkələrin WEP-, WPA-trafikinin şifrəsinin açılması;
• Şəbəkə yükü statistikasının göstərilməsi;
• Bütün şəbəkə qatları üçün paketlərin məzmununa baxın;
• Paketlərin göndərilmə və qəbulu vaxtını göstərir.

Proqramın bir çox başqa xüsusiyyətləri var, lakin bunlar sizi maraqlandıra biləcək əsas xüsusiyyətlər idi.

Wireshark-dan necə istifadə etmək olar

Güman edirəm ki, sizdə artıq proqram quraşdırılıb, lakin deyilsə, onu rəsmi depolardan quraşdıra bilərsiniz. Bunu etmək üçün Ubuntu-da əmr yazın:

sudo apt wireshark quraşdırın

Quraşdırıldıqdan sonra proqramı paylamanın əsas menyusunda tapa bilərsiniz. Siz Wireshark-ı super istifadəçi hüquqları ilə işlətməlisiniz, çünki əks halda o, şəbəkə paketlərini təhlil edə bilməyəcək. Bu, əsas menyudan və ya terminal vasitəsilə KDE üçün əmrdən istifadə etməklə edilə bilər:

Və Gnome/Unity üçün:

Proqramın əsas pəncərəsi üç hissəyə bölünür: birinci sütunda təhlil üçün mövcud olan şəbəkə interfeyslərinin siyahısı, ikincidə - faylların açılması üçün seçimlər, üçüncüsü isə yardım göstərilir.

Şəbəkə trafikinin təhlili

Təhlil etməyə başlamaq üçün şəbəkə interfeysini, məsələn, eth0 seçin və düyməni basın başlamaq.

Bundan sonra növbəti pəncərə artıq interfeysdən keçən paket axını ilə açılacaq. Bu pəncərə də bir neçə hissəyə bölünür:

• Üst hissə- bunlar müxtəlif düymələri olan menyular və panellərdir;
• Paket Siyahısı- daha sonra təhlil edəcəyiniz şəbəkə paketlərinin axını göstərilir;
• Paket məzmunu- seçilmiş paketin məzmunundan bir qədər aşağıda yerləşir, daşıma səviyyəsindən asılı olaraq kateqoriyalara bölünür;
• Əsl performans- ən aşağı hissədə paketin məzmunu real formada, eləcə də HEX şəklində göstərilir.

İstənilən paketin üzərinə klikləməklə onun məzmununu təhlil edə bilərsiniz:

Burada biz saytın IP ünvanını əldə etmək üçün DNS sorğu paketini görürük, sorğunun özündə domen göndərilir, cavab paketində isə sualımızla yanaşı cavabı da alırıq.

Daha rahat baxmaq üçün girişə iki dəfə klikləməklə paketi yeni pəncərədə aça bilərsiniz:

Wireshark filtrləri

Sizə lazım olanları tapmaq üçün paketləri əl ilə çeşidləmək çox əlverişsizdir, xüsusən də aktiv axın ilə. Buna görə də, belə bir iş üçün filtrlərdən istifadə etmək daha yaxşıdır. Menyu altında filtrləri daxil etmək üçün xüsusi bir xətt var. klikləyə bilərsiniz ifadə filtr qurucusunu açmaq üçün, lakin onların çoxu var, buna görə də ən əsaslarını əhatə edəcəyik:

• ip.dst- hədəf IP ünvanı;
• ip.src- göndərənin IP-ünvanı;
• ip.addr- Göndərənin və ya alıcının IP-si;
• ip.proto- protokol;
• tcp.dstport- təyinat limanı;
• tcp.srcport- göndərənin limanı;
• ip.ttl- ttl ilə süzün, şəbəkə məsafəsini təyin edir;
• http.request_uri- tələb olunan sayt ünvanı.

Sahə ilə filtrdəki dəyər arasındakı əlaqəni təyin etmək üçün aşağıdakı operatorlardan istifadə edə bilərsiniz:

• == - bərabərdir;
• != - bərabər deyil;
• < - daha az;
• > - daha çox;
• <= - az və ya bərabər;
• >= - daha çox və ya bərabər;
• matçlar- Müntəzəm ifadə;
• ehtiva edir- ehtiva edir.

Çoxsaylı ifadələri birləşdirmək üçün istifadə edə bilərsiniz:

• && - hər iki ifadə paket üçün doğru olmalıdır;
• || - ifadələrdən biri doğru ola bilər.

İndi bir neçə filtrin nümunələrinə daha yaxından nəzər salaq və münasibətlərin bütün əlamətlərini anlamağa çalışaq.

Əvvəlcə 194.67.215-ə göndərilən bütün paketləri süzgəcdən keçirək. Filtr sahəsinə sətir yazın və klikləyin. müraciət edin. Rahatlıq üçün Wireshark filtrləri düyməni istifadə edərək yadda saxlanıla bilər Yadda saxla:

ip.dst == 194.67.215.125

Yalnız göndərilən paketləri deyil, həm də bu qovşaqdan cavab almaq üçün iki şərti birləşdirə bilərsiniz:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Biz həmçinin köçürülmüş böyük faylları seçə bilərik:

http.content_length > 5000

Məzmun Tipini süzgəcdən keçirərək, biz yüklənmiş bütün şəkilləri seçə bilərik; Wireshark trafikini, təsvir sözünü ehtiva edən paketləri təhlil edək:

http.content_type şəkil ehtiva edir

Filtri təmizləmək üçün düyməni basa bilərsiniz Təmiz. Belə olur ki, siz həmişə filtrləmə üçün lazım olan bütün məlumatları bilmirsiniz, ancaq şəbəkəni öyrənmək istəyirsiniz. İstənilən paket sahəsini sütun kimi əlavə edə və onun məzmununa hər bir paket üçün ümumi pəncərədə baxa bilərsiniz.

Məsələn, mən paketin ttl (yaşayış vaxtı) göstəricisini sütun kimi göstərmək istəyirəm. Bunu etmək üçün paket məlumatını açın, IP bölməsində bu sahəni tapın. Sonra kontekst menyusuna zəng edin və seçimi seçin Sütun kimi tətbiq edin:

Eyni şəkildə, istədiyiniz sahəyə əsaslanan bir filtr yarada bilərsiniz. Onu seçin və kontekst menyusuna zəng edin, sonra klikləyin Filtr kimi tətbiq edin və ya Filtr kimi hazırlayın, sonra seçin seçilmiş, yalnız seçilmiş dəyərləri göstərmək üçün və ya Seçilməyib onları aradan qaldırmaq üçün:

Göstərilən sahə və onun dəyəri tətbiq olunacaq və ya ikinci halda filtr sahəsində əvəz olunacaq:

Bu yolla siz istənilən paketin və ya sütunun sahəsini filtrə əlavə edə bilərsiniz. Kontekst menyusunda da bu seçim var. Siz həmçinin protokolları filtrləmək üçün daha sadə şərtlərdən istifadə edə bilərsiniz. Məsələn, HTTP və DNS protokolları üçün Wireshark trafikini təhlil edək:

Proqramın digər maraqlı xüsusiyyəti istifadəçinin kompüteri ilə server arasında xüsusi seansı izləmək üçün Wireshark-dan istifadə edilməsidir. Bunu etmək üçün paketin kontekst menyusunu açın və seçin TCP axını izləyin.

Sonra server və müştəri arasında ötürülən bütün məlumatları tapa biləcəyiniz bir pəncərə açılacaq:

Wireshark Problemlərinin Diaqnozu

Şəbəkə problemlərini aşkar etmək üçün Wireshark 2.0-dan necə istifadə edəcəyinizlə maraqlanırsınız. Bunun üçün pəncərənin aşağı sol küncündə dəyirmi düymə var, üzərinə kliklədikdə pəncərə açılır. Ekspert Alətləri. Orada Wireshark bütün səhv və şəbəkə uğursuzluğu mesajlarını toplayır:

Pəncərə Səhvlər, Xəbərdarlıqlar, Bildirişlər, Söhbətlər kimi nişanlara bölünür. Proqram bir çox şəbəkə problemlərini süzgəcdən keçirə və tapa bilər və burada onları çox tez görə bilərsiniz. Wireshark filtrləri də burada dəstəklənir.

Wireshark trafik təhlili

İstifadəçilərin tam olaraq nə yüklədiyini və əlaqə şifrələnmədiyi təqdirdə hansı faylları izlədiklərini çox asanlıqla başa düşə bilərsiniz. Proqram məzmun çıxarmaq üçün çox yaxşı bir iş görür.

Bunu etmək üçün əvvəlcə paneldəki qırmızı kvadratdan istifadə edərək trafikin çəkilməsini dayandırmalısınız. Sonra menyunu açın fayl -> Obyektləri ixrac edin -> http:

Sniffers- bunlar müdaxilə edən proqramlardır
bütün şəbəkə trafiki. Sniffers şəbəkə diaqnostikası üçün faydalıdır (adminlər üçün) və
parolları tutmaq (kimin üçün aydındır :)). Məsələn, girişiniz varsa
bir şəbəkə maşını və orada bir sniffer quraşdırdı,
sonra tezliklə bütün parollar
onların alt şəbəkələri sizin olacaq. Sniffers qoydu
dinləmək üçün şəbəkə kartı
rejimi (PROMISC).Yəni bütün paketləri qəbul edirlər. LAN-da siz müdaxilə edə bilərsiniz
bütün maşınlardan göndərilən bütün paketlər (heç bir hub ilə ayrılmamısınızsa),
Belə ki
orada yayım necə tətbiq olunur.
Sniffers hər şeyin qarşısını ala bilər
paketlər (bu, çox əlverişsizdir, log faylı çox tez aşır,
lakin şəbəkənin daha ətraflı təhlili üçün ən çox)
və ya hər hansı birindən yalnız ilk bayt
ftp, telnet, pop3 və s. (bu, adətən ilk 100 baytda ən əyləncəlidir
istifadəçi adı və parol ehtiva edir. İndi iyləyin
boşandı ... Çox iyləyənlər var
həm Unix altında, həm də Windows altında (hətta DOS altında da var :)).
Sniffers bilər
yalnız müəyyən bir oxu dəstəkləyir (məsələn, linux_sniffer.c olan
Linux :)) və ya bir neçəsini dəstəkləyir (məsələn, Sniffit,
BSD, Linux, Solaris ilə işləyir). Sniffers çox zəngin oldu, çünki
parolların şəbəkə üzərindən aydın mətnlə ötürülməsi.
Belə xidmətlər
çoxlu. Bunlar telnet, ftp, pop3, www və s. Bu xidmətlər
çox həzz alır
Xalq :). Sniffers bumu sonra, müxtəlif
alqoritmlər
bu protokolların şifrələnməsi. SSH ortaya çıxdı (alternativ
dəstəkləyən telnet
şifrələmə), SSL (Secure Socket Layer - Netscape tərəfindən şifrələnə bilən inkişaf
www sessiya). Bütün növ Kerberous, VPN(Virtual Şəxsi
şəbəkə). Bəzi AntiSniffs, ifstatus və s. istifadə edilmişdir. Amma bu, prinsipcə belə deyil
mövqelərini dəyişdi. İstifadə edən xidmətlər
parolun düz mətnlə ötürülməsi
bütünlükdə yuzayutsya :). Ona görə də iyləmə uzun müddət olacaq :).

Snifferlərin Windows tətbiqləri

linsniffer
Bu tutmaq üçün sadə bir snifferdir
girişlər/parollar. Standart tərtib (gcc -o linsniffer
linsniffer.c).
Log tcp.log-a yazır.

linux_sniffer
Linux_sniffer
istədiyiniz zaman tələb olunur
şəbəkəni ətraflı öyrənin. Standart
tərtib. Əlavə olaraq hər hansı bir shnyag verir,
isn, ack, syn, echo_request (ping) və s.

iyləmək
Sniffit - qabaqcıl model
sniffer Brecht Claerhout tərəfindən yazılmışdır. Quraşdırın (lazımdır
libcap):
#./konfiqurasiya
#edin
İndi başlayırıq
iyləmək:
#./snifffit
istifadə: ./sniffit [-xdabvnN] [-P proto] [-A simvol] [-p
port] [(-r|-R) qeyd faylı]
[-l sniflen] [-L logparam] [-F snifdevice]
[-M plagini]
[-D tty] (-t | -s ) |
(-i|-I) | -c ]
Mövcud plaginlər:
0 - Dummy
plagin
1 - DNS plagini

Gördüyünüz kimi, sniffit çoxlarını dəstəkləyir
seçimlər. Sniffak-dan interaktiv şəkildə istifadə edə bilərsiniz.
Ancaq iyləyin
olduqca faydalı proqram, amma istifadə etmirəm.
Niyə? Çünki Sniffit var
böyük təhlükəsizlik problemləri. Sniffit üçün uzaq kök və dos
Linux və Debian! Hər qoxuçu buna imkan vermir :).

ovlamaq
Bu
ən sevdiyim qoxu. Onu idarə etmək çox asandır
çox sərin dəstəkləyir
chips və hal-hazırda heç bir təhlükəsizlik problemi yoxdur.
Üstəlik çox deyil
kitabxanalar haqqında seçici (məsələn, linsniffer və
Linux_sniffer). O
cari əlaqələri real vaxtda və aşağı səviyyədə kəsə bilər
uzaq terminaldan təmiz zibil. V
ümumiyyətlə, Hijack
rulezzz :). tövsiyə edin
hamısı təkmilləşdirilmiş istifadə üçün :).
yüklemek:
#edin
qaçmaq:
#ov-i

RADSMB
READSMB sniffer LophtCrack-dən kəsilib və ona ötürülür
Unix (qəribədir :)). Readsmb SMB-ni kəsir
paketlər.

TCPDUMP
tcpdump kifayət qədər tanınmış paket snifferdir.
yazılı
daha məşhur - Van Jacobson, VJ sıxılma üçün icad edən
PPP və traceroute yazdı (və başqa nə bilir?).
Kitabxana tələb edir
libpcap.
yüklemek:
#./konfiqurasiya
#edin
İndi başlayırıq
onun:
#tcpdump
tcpdump: ppp0-da dinləmək
Bütün bağlantılarınız çıxış üçün
terminal. Ping çıxışının bir nümunəsidir

ftp.technotronic.com:
02:03:08.918959
195.170.212.151.1039 > 195.170.212.77.domen: 60946+ A?
ftp.technotronic.com.
(38)
02:03:09.456780 195.170.212.77.domen > 195.170.212.151.1039: 60946*
1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: əks-səda
xahiş
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: əks-səda
cavab ver
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: əks-səda
xahiş
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: əks-səda
cavab ver
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: əks-səda
xahiş
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: əks-səda
cavab ver

Ümumiyyətlə, iyləmə şəbəkələri sazlamaq üçün faydalıdır,
problemlərin aradan qaldırılması və
və s.

Dsniff
Dsniff üçün libpcap, ibnet,
libnids və OpenSSH. Yalnız daxil edilmiş əmrləri qeyd edir, bu çox rahatdır.
Budur bir əlaqə jurnalının nümunəsi
unix-shells.com saytında:

02/18/01
03:58:04 tcp my.ip.1501 ->
handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
ls
pwd
üst
sonuncu
çıxış

Budur
dsniff parol (stalsen/asdqwe123) ilə girişə müdaxilə etdi.
yüklemek:
#./konfiqurasiya
#edin
#edin
yüklemek

Sniffer Mühafizəsi

Qorunmağın ən etibarlı yolu
iyləyənlər -
ŞİFRELƏMƏDƏN istifadə edin (SSH, Kerberous, VPN, S/Key, S/MIME,
SHTTP, SSL və s.). Yaxşı
və düz mətn xidmətlərindən imtina etmək və əlavə qurmaq istəmirsinizsə
paketlər :)? O zaman anti-sniffer paketlərindən istifadə etmək vaxtıdır...

Windows üçün AntiSniff
Bu məhsul tanınmış bir qrup tərəfindən buraxıldı
loft. Bu, öz növünün ilk məhsulu idi.
AntiSniff -də göstərildiyi kimi
Təsvir:
"AntiSniff Qrafik İstifadəçi İnterfeysi (GUI) üçün idarə olunan bir vasitədir
yerli şəbəkənizdə qeyri-adi Şəbəkə İnterfeys Kartlarının (NIC) aşkarlanması
seqment". Ümumiyyətlə, o, promisc rejimində kartları tutur.
Böyük dəstəkləyir
testlərin sayı (DNS testi, ARP testi, Ping Testi, ICMP Time Delta
Test, Echo Test, PingDrop testi). Bir avtomobil kimi skan edilə bilər,
şəbəkə də belədir. var
log dəstəyi. AntiSniff win95/98/NT/2000-də işləyir,
tövsiyə edilsə də
NT platforması. Lakin onun səltənəti qısamüddətli və tezliklə oldu
zaman, AntiAntiSniffer adlı bir qoxuçu peyda oldu :),
Mike tərəfindən yazılmışdır
Perri (Mayk Perri) (onu www.void.ru/news/9908/snoof.txt saytında tapa bilərsiniz).
LinSniffer əsasında (sonra müzakirə olunacaq).

Unix sniffer aşkar edir:
Sniffer
əmri ilə tapmaq olar:

#ifconfig -a
lo Link qapağı: Yerli
geri dönmə
inet ünvanı:127.0.0.1Maska:255.0.0.0
U.P.
GERİ DÖNÜŞÜM MTU:3924 Metrik:1
RX paketləri: 2373 səhv: 0
düşdü:0 həddi aşır:0 kadr:0
TX paketləri: 2373 səhv: 0 düşdü: 0
aşır: 0 daşıyıcı: 0
toqquşmalar:0 txqueuelen:0

ppp0 keçid
encap:Nöqtədən Nöqtə Protokolu
inet ünvanı: 195.170.y.x
P-t-P:195.170.y.x Maska:255.255.255.255
YUXARI NÖQTƏNƏ PROMISC
NOARP MULTICAST MTU:1500 Metrik:1
RX paketləri: 3281
səhvlər: 74 düşdü: 0 həddi aşır: 0 çərçivə: 74
TX paketləri: 3398 səhv: 0
düşdü: 0 həddi aşır: 0 daşıyıcı: 0
toqquşmalar:0 txqueuelen:10

Necə
ppp0 interfeysinin PROMISC rejimində olduğunu görürsünüz. İstənilən operator
üçün iyləmə yüklənmişdir
Şəbəkə yoxlayır və ya sizdə artıq var ... Amma unutmayın,
ifconfig təhlükəsiz ola bilər
dəyişdirin, buna görə aşkar etmək üçün tripwire istifadə edin
dəyişikliklər və hər cür proqramlar
qoxuları yoxlamaq üçün.

Unix üçün AntiSniff.
üçün işləyir
BSD, Solaris və
linux. Ping/icmp vaxt testi, arp testi, echo testi, dns dəstəkləyir
test, etherping testi, ümumiyyətlə, Win üçün AntiSniff analoqu, yalnız üçün
Unix :).
yüklemek:
#linux-hamısını et

Sentinel
üçün də faydalıdır
iyləyənləri tutmaq. Bir çox testləri dəstəkləyir.
Sadəcə daxil
istifadə edin.
Quraşdırın: #make
#./sentinel
./ gözətçi [-t
]
Metodlar:
[-ARP testi]
[ -d DNS testi
]
[ -i ICMP Ping Latency testi ]
[ -e ICMP Etherping testi
]
seçimlər:
[-f ]
[ -v Versiyanı göstər və
çıxış]
[-n ]
[-İ
]

Seçimlər o qədər sadədir ki, yox
şərhlər.

DAHA ÇOX

Budur daha bir neçəsi
şəbəkənizi sınamaq üçün kommunal proqramlar (üçün
Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c -remote
Ethernet kartları üçün PROMISC rejimi detektoru (qırmızı şapka 5.x üçün).
http://packetstorm.securify.com/UNIX/IDS/neped.c
- Network Promiscuous Ethernet Detector (libcap & Glibc tələb olunur).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
-İkləmələri aşkar etmək üçün sistem cihazlarını skan edir.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
- ifstatus şəbəkə interfeyslərini PROMISC rejimində sınaqdan keçirir.

Şəbəkə paket analizatorları və ya snifferlər əvvəlcə şəbəkə problemlərinin həlli vasitəsi kimi hazırlanmışdır. Onlar əlavə təhlil üçün şəbəkə üzərindən ötürülən paketləri ələ keçirə, şərh edə və saxlaya bilirlər. Bu, bir tərəfdən, sistem administratorlarına və texniki dəstək mühəndislərinə məlumatların şəbəkə üzərindən necə ötürüldüyünə nəzarət etmək, yaranan problemlərin diaqnostikasını aparmaq və aradan qaldırmaq imkanı verir. Bu mənada paket snayferləri şəbəkə problemlərinin diaqnostikası üçün güclü vasitədir. Digər tərəfdən, əvvəlcə idarəetmə üçün nəzərdə tutulmuş bir çox digər güclü vasitələr kimi, zaman keçdikcə sniffers tamamilə fərqli məqsədlər üçün istifadə edilmişdir. Həqiqətən, təcavüzkarın əlindəki snayfer olduqca təhlükəli bir vasitədir və parolları və digər məxfi məlumatları ələ keçirmək üçün istifadə edilə bilər. Bununla belə, düşünməyin ki, qoxuçular hər hansı bir hakerin şəbəkə üzərindən ötürülən məxfi məlumatları asanlıqla görə biləcəyi bir növ sehrli alətdir. Sniffers tərəfindən yaranan təhlükənin tez-tez təqdim edildiyi qədər böyük olmadığını sübut etməzdən əvvəl, onların fəaliyyət prinsiplərinə daha yaxından nəzər salaq.

Paket sniffer necə işləyir

Daha sonra bu məqalədə biz yalnız Ethernet şəbəkələri üçün nəzərdə tutulmuş proqram təminatını nəzərdən keçirəcəyik. Sniffer, NIC (Şəbəkə İnterfeys Kartı) şəbəkə adapteri (bağlantı qatı) səviyyəsində işləyən və bütün trafiki gizli şəkildə kəsən proqramdır. Snifferlər OSI modelinin məlumat əlaqəsi səviyyəsində işlədikləri üçün onlar daha yüksək səviyyə protokollarının qaydaları ilə oynamaq məcburiyyətində deyillər. Snifferlər Ethernet sürücülərinin və TCP/IP yığınının məlumatları şərh etmək üçün istifadə etdiyi filtrləmə mexanizmlərini (ünvanlar, portlar və s.) yan keçir. Paket snayferləri teldən keçən hər şeyi tutur. Sniffers ikili formatda çərçivələri saxlaya və içəridə gizlənmiş daha yüksək səviyyəli məlumatları aşkar etmək üçün onların şifrəsini daha sonra aça bilər (Şəkil 1).

Snifferin şəbəkə adapterindən keçən bütün paketləri tuta bilməsi üçün şəbəkə adapterinin sürücüsü qeyri-adi iş rejimini (promiscuous mode) dəstəkləməlidir. Şəbəkə adapterinin bu iş rejimində sniffer bütün paketləri ələ keçirə bilir. Şəbəkə adapterinin bu iş rejimi sniffer işə salındıqda və ya snifferin müvafiq parametrləri ilə əl ilə təyin edildikdə avtomatik olaraq aktivləşdirilir.

Tutulan bütün trafik paketləri iyerarxiyanın müvafiq səviyyələrinə müəyyən edən və bölən paket dekoderinə ötürülür. Müəyyən bir snifferin imkanlarından asılı olaraq, paketlər haqqında təqdim olunan məlumatlar sonradan daha çox təhlil edilə və süzülə bilər.

Sniffer Məhdudiyyətləri

Şəbəkə üzərindən informasiyanın aydın mətnlə (şifrələnmədən) ötürüldüyü, konsentratorlar (hublar) əsasında lokal şəbəkələrin qurulduğu bir vaxtda snifferlər ən böyük təhlükə yaradırdı. Bununla belə, o vaxtlar əbədi olaraq geridə qaldı və hazırda məxfi məlumatlara çıxış əldə etmək üçün snayferlərdən istifadə etmək heç də asan məsələ deyil.

Fakt budur ki, qovşaqlar əsasında lokal şəbəkələr qurarkən müəyyən ümumi məlumat ötürmə mühiti (şəbəkə kabeli) mövcuddur və bütün şəbəkə qovşaqları bu mühitə daxil olmaq üçün rəqabət apararaq paket mübadiləsi aparır (şək. 2) və bir şəbəkə tərəfindən göndərilən paket. node hubın bütün portlarına ötürülür və bu paket şəbəkənin bütün digər qovşaqları tərəfindən dinlənilir, lakin yalnız onun ünvanlandığı qovşaq onu qəbul edir. Üstəlik, şəbəkə qovşaqlarından birində paket sniffer quraşdırılıbsa, o, bu şəbəkə seqmentinə aid olan bütün şəbəkə paketlərini (hub tərəfindən yaradılmış şəbəkə) tuta bilər.

Kommutatorlar yayım mərkəzlərindən daha ağıllıdır və şəbəkə trafikini təcrid edir. Kommutator hər bir porta qoşulmuş cihazların ünvanlarını bilir və paketləri yalnız tələb olunan portlar arasında yönləndirir. Bu, hub kimi hər bir paketi onlara ötürmədən digər portları yükləməyə imkan verir. Beləliklə, müəyyən şəbəkə nodu tərəfindən göndərilən paket yalnız paketin alıcısının qoşulduğu keçid portuna ötürülür və bütün digər şəbəkə qovşaqları bu paketi aşkar edə bilmir (şək. 3).

Buna görə də, əgər şəbəkə keçid əsasında qurulubsa, o zaman şəbəkə kompüterlərindən birində quraşdırılmış snayfer yalnız bu kompüterin digər şəbəkə qovşaqları ilə mübadilə etdiyi paketləri tuta bilir. Nəticədə, təcavüzkarı maraqlandıran kompüter və ya serverin qalan şəbəkə qovşaqları ilə mübadilə etdiyi paketləri tuta bilmək üçün bu kompüterdə (serverdə) sniffer quraşdırmaq lazımdır ki, bu da əslində belə deyil. sadə. Bununla belə, yadda saxlamalısınız ki, bəzi paket snayferləri komanda xəttindən idarə olunur və qrafik interfeysə malik olmaya bilər. Belə snifferlər, prinsipcə, istifadəçiyə uzaqdan və görünməz şəkildə quraşdırıla və işə salına bilər.

Bundan əlavə, siz həmçinin yadda saxlamalısınız ki, açarlar şəbəkə trafikini təcrid edərkən, bütün idarə olunan açarlarda port yönləndirmə və ya port yansıtma funksiyası var. Yəni, keçid portu elə konfiqurasiya oluna bilər ki, keçidin digər portlarına gələn bütün paketlər onun üzərində təkrarlansın. Əgər bu halda paket snifferinə malik kompüter belə bir porta qoşulubsa, o zaman bu şəbəkə seqmentindəki kompüterlər arasında mübadilə edilən bütün paketləri ələ keçirə bilər. Bununla belə, bir qayda olaraq, keçidi konfiqurasiya etmək imkanı yalnız şəbəkə administratorunda mövcuddur. Bu, əlbəttə ki, onun təcavüzkar ola bilməyəcəyi anlamına gəlmir, lakin şəbəkə administratorunun yerli şəbəkənin bütün istifadəçilərini idarə etmək üçün bir çox başqa yolları var və o, çətin ki, sizi bu qədər mürəkkəb şəkildə izləsin.

Snifferlərin artıq əvvəlki kimi təhlükəli olmamasının başqa bir səbəbi, indiki vaxtda ən vacib məlumatların şifrələnmiş formada ötürülməsidir. Açıq, şifrələnməmiş xidmətlər internetdən sürətlə yox olur. Məsələn, vebsaytlara daxil olarkən SSL (Secure Sockets Layer) protokolu getdikcə daha çox istifadə olunur; Açıq FTP əvəzinə SFTP (Təhlükəsiz FTP) istifadə olunur və standart olaraq şifrələmədən istifadə etməyən digər xidmətlər getdikcə daha çox virtual şəxsi şəbəkələrdən (VPN) istifadə edir.

Beləliklə, paket snayferlərinin zərərli istifadə ehtimalından narahat olanlar aşağıdakıları yadda saxlamalıdırlar. Birincisi, şəbəkəniz üçün ciddi təhlükə yaratmaq üçün snayferlər şəbəkənin özündə yerləşməlidir. İkincisi, bugünkü şifrələmə standartları məxfi məlumatların ələ keçirilməsini son dərəcə çətinləşdirir. Buna görə də, hazırda paket snayferləri hakerlər üçün alət kimi öz aktuallığını tədricən itirir, lakin eyni zamanda şəbəkələrin diaqnostikası üçün effektiv və güclü alət olaraq qalır. Üstəlik, sniffers yalnız şəbəkə problemlərinin diaqnostikası və lokallaşdırılması üçün deyil, həm də şəbəkə təhlükəsizliyinin auditi üçün uğurla istifadə edilə bilər. Xüsusilə, paket analizatorlarının istifadəsi icazəsiz trafiki aşkarlamağa, icazəsiz proqram təminatını aşkar etməyə və müəyyən etməyə, istifadə olunmamış protokolları şəbəkədən çıxarmaq üçün müəyyən etməyə, mühafizə sistemini sınaqdan keçirmək üçün penetrasiya testi üçün trafik yaratmağa, müdaxilənin aşkarlanması sistemləri ilə işləməyə imkan verir ( Intrusion Detection Sistem, IDS).

Proqram Paketi Snifferlərinə Baxış

Bütün proqram təminatı snifferlərini təxminən iki kateqoriyaya bölmək olar: komanda xəttindən işə salmağı dəstəkləyən snifferlər və qrafik interfeysə malik olan snifferlər. Eyni zamanda qeyd edirik ki, bu xüsusiyyətlərin hər ikisini özündə birləşdirən qoxuçular var. Bundan əlavə, snifferlər bir-birindən dəstəklədikləri protokollara, ələ keçirilən paketlərin təhlilinin dərinliyinə, filtrləri konfiqurasiya etmək qabiliyyətinə və digər proqramlarla uyğunluq imkanlarına görə fərqlənirlər.

Tipik olaraq, qrafik interfeysli hər hansı bir snayferin pəncərəsi üç sahədən ibarətdir. Birincisi tutulan paketlərin xülasəsini göstərir. Tipik olaraq, bu sahə minimum sahələri göstərir, yəni: paket tutma vaxtı; paketi göndərən və alıcının IP ünvanları; Paket mənbəyi və təyinat MAC ünvanları, mənbə və təyinat port ünvanları; protokol növü (şəbəkə, nəqliyyat və ya tətbiq səviyyəsi); ələ keçirilən məlumatlar haqqında bəzi ümumi məlumat. İkinci sahə fərdi seçilmiş paket haqqında statistik məlumatları göstərir və nəhayət, üçüncü sahə paketi onaltılıq və ya simvol şəklində təqdim edir - ASCII.

Demək olar ki, bütün paket snifferləri deşifrə olunmuş paketlərin təhlilinə imkan verir (buna görə də paket snifferlərinə paket analizatorları və ya protokol analizatorları da deyilir). Sniffer tutulan paketləri təbəqələr və protokollar üzrə paylayır. Bəzi paket analizatorları protokolu tanıya və alınan məlumatları göstərə bilir. Bu tip məlumat adətən sniffer pəncərəsinin ikinci sahəsində göstərilir. Məsələn, hər hansı bir sniffer TCP protokolunu tanıya bilir və qabaqcıl snayferlər bu trafiki hansı proqramın yaratdığını müəyyən edə bilər. Əksər protokol analizatorları 500-dən çox müxtəlif protokolları tanıyır və onları adla təsvir edə və deşifrə edə bilir. Snayfer nə qədər çox məlumatı deşifrə edə və ekranda təqdim edə bilsə, bir o qədər əl ilə deşifrə etməli olacaqsınız.

Paket snifferlərinin qarşılaşa biləcəyi problemlərdən biri standart portdan başqa bir portdan istifadə edərək protokolu düzgün müəyyən edə bilməməkdir. Məsələn, təhlükəsizliyi yaxşılaşdırmaq üçün bəzi tanınmış proqramlar standart portlardan başqa portlardan istifadə etmək üçün konfiqurasiya edilə bilər. Beləliklə, veb server üçün qorunan ənənəvi port 80 əvəzinə, bu server 8088 və ya hər hansı digər porta yenidən konfiqurasiya etməyə məcbur edilə bilər. Bu vəziyyətdə bəzi paket analizatorları protokolu düzgün təyin edə bilmir və yalnız aşağı səviyyəli protokol (TCP və ya UDP) haqqında məlumatları göstərə bilmir.

Plug-inlər və ya quraşdırılmış modullar kimi proqram analitik modulları ilə birlikdə gələn proqram snifferləri var ki, onlar sizə müdaxilə edilmiş trafik haqqında faydalı analitik məlumatlarla hesabatlar yaratmağa imkan verir.

Əksər proqram paket analizatorlarının başqa bir xarakterik xüsusiyyəti, trafikin tutulmasından əvvəl və sonra filtrləri konfiqurasiya etmək qabiliyyətidir. Filtrlər müəyyən paketləri ümumi trafikdən müəyyən meyara görə ayırır ki, bu da trafiki təhlil edərkən lazımsız məlumatlardan qurtulmağa imkan verir.

Trafik təhlili istər kiçik bir şirkətdə, istərsə də böyük bir korporasiyada işləməsindən asılı olmayaraq, hər bir İT mütəxəssisinə əhəmiyyəti məlum olan bir prosesdir. Axı, şəbəkə ilə bağlı problemləri müəyyən etmək və düzəltmək həm mütəxəssisin özünün instinktindən, həm də işlədiyi məlumatların dərinliyindən və keyfiyyətindən birbaşa asılı olan əsl sənətdir. Trafik analizatoru isə məhz bu məlumatları sizə təqdim edən vasitədir. Ağıllı şəkildə seçilmiş şəbəkə trafikinin təhlili həlli sizə paketlərin necə göndərildiyini, qəbul edildiyini və onların şəbəkənizdə necə təhlükəsiz səyahət etdiyini anlamağa kömək etməklə yanaşı, daha çox şey edə bilər!

İndi bazarda şəbəkə trafikini təhlil etmək üçün çoxlu sayda proqram varyasyonları mövcuddur. Üstəlik, onların bəziləri “köhnə məktəb” mütəxəssislərində nostalji xatirələr oyatmağı bacarır; onlar terminal şriftindən və komanda xətti interfeysindən istifadə edirlər və ilk baxışdan istifadə etmək çətin görünür. Digər həllər, əksinə, quraşdırma asanlığı ilə seçilir və vizual qavrayışa malik bir auditoriyaya yönəldilir (onlar müxtəlif qrafika ilə sanki həddən artıq doymuşdur). Bu həllərin qiymət diapazonu da çox fərqlidir - pulsuzdan çox bahalı korporativ lisenziyası olan həllərə qədər.

Tapşırıqlarınızdan və üstünlüklərinizdən asılı olaraq, şəbəkə trafikinin təhlili üçün ən yaxşı həll yolunu seçə bilməniz üçün sizə hazırda bazarda mövcud olan ən maraqlı trafik təhlili proqram məhsullarının siyahısını, eləcə də qısa icmalı təqdim edirik. müxtəlif şəbəkə məlumatlarının çıxarılması, emalı və vizual təqdimatı üçün onlara quraşdırılmış funksionallıq. Bu funksiyalardan bəziləri bu icmalda təqdim olunan bütün şəbəkə trafikinin təhlili həlləri üçün oxşardır - onlar sizə bu və ya digər səviyyəli təfərrüata malik göndərilmiş və qəbul edilmiş şəbəkə paketlərini görməyə imkan verir, lakin onların demək olar ki, hamısı istifadə edildikdə onları unikal edən bəzi xarakterik xüsusiyyətlərə malikdir. müəyyən vəziyyətlərdə və ya şəbəkə mühitlərində. Axı biz şəbəkə problemimiz olanda şəbəkə trafikinin təhlilinə müraciət edirik, lakin onu tez bir zamanda konkret maşın, cihaz və ya protokola daralda bilmirik və biz daha dərindən axtarış aparmalıyıq. Biz sizə bu məqsədlər üçün ən uyğun trafik təhlili proqram həllini seçməyə kömək edəcəyik.

SolarWinds Şəbəkə Bant Genişliyi Analizatoru

Bu həll istehsalçı tərəfindən iki məhsuldan ibarət proqram paketi kimi yerləşdirilmişdir - Şəbəkə Performans Monitoru (əsas həll) və NetFlow Traffic Analyzer (modul genişləndirmə). Qeyd edildiyi kimi, iki məhsul eyni vaxtda istifadə edildikdə bir-birini tamamlayan şəbəkə trafikini təhlil etmək üçün oxşar, lakin yenə də fərqli funksionallıqlara malikdirlər.

Şəbəkə Performans Monitoru, adından da göründüyü kimi, şəbəkə performansına nəzarət edir və şəbəkənizdə baş verənlər haqqında ümumi fikir əldə etmək istəyirsinizsə, cəlbedici seçimdir. Bu həlli almaqla siz şəbəkənizin ümumi sağlamlığına nəzarət etmək imkanı üçün ödəniş etmiş olursunuz: məlumatların və paket köçürmələrinin sürəti və etibarlılığı kimi çoxlu statistik məlumatlara əsaslanaraq, əksər hallarda siz tez bir zamanda müəyyən edə biləcəksiniz. şəbəkənizdəki problemlər. Proqramın potensial problemləri müəyyən etmək üçün qabaqcıl intellektual imkanları və nəticələrin mümkün problemlər haqqında aydın xəbərdarlıqlarla cədvəl və qrafiklər şəklində vizual təqdim edilməsi üçün geniş imkanlar bu işi daha da asanlaşdıracaq.

NetFlow Traffic Analyzer modulunun genişləndirilməsi daha çox trafikin özünün təhlilinə yönəlib. Əsas proqram həlli Şəbəkə Performans Monitorunun funksionallığı daha çox şəbəkə performansı haqqında ümumi təsəvvür əldə etmək üçün nəzərdə tutulsa da, NetFlow Traffic Analyzer-də diqqət şəbəkədə baş verən proseslərin daha ətraflı təhlilinə yönəldilmişdir. Xüsusilə, proqram paketinin bu hissəsi bant genişliyi tıxanmasını və ya anomal partlayışları təhlil edəcək və istifadəçi, protokol və ya tətbiqə görə çeşidlənmiş statistik məlumat verəcəkdir. Nəzərə alın ki, bu proqram yalnız Windows mühiti üçün mövcuddur.

Wireshark

Bu, şəbəkə diaqnostik həllərinin böyük bir ailəsində nisbətən yeni bir vasitədir, lakin bu müddət ərzində o, artıq İT mütəxəssisləri tərəfindən tanınma və hörmət qazanmağı bacarmışdır. Trafik təhlilinə gəldikdə, WireShark sizin üçün öz işini görmək üçün əla iş görür. Tərtibatçılar orijinal məlumatlar və bu məlumatların vizual təsviri arasında orta zəmin tapa bildilər, ona görə də WireShark-da şəbəkə trafikinin təhlili həllərinin əksəriyyətinin günah etdiyi bu və ya digər istiqamətdə təhrifləri tapa bilməyəcəksiniz. WireShark sadə, uyğun və portativdir. WireShark ilə siz tam olaraq gözlədiyinizi əldə edirsiniz və onu tez əldə edirsiniz.

WireShark əla istifadəçi interfeysinə, süzgəcdən keçirmək və çeşidləmək üçün çoxlu seçimlərə malikdir və bir çoxumuz bunu qiymətləndirəcəyik, WireShark trafik təhlili üç ən populyar əməliyyat sistemi ailəsindən hər hansı biri ilə əla işləyir - *NIX, Windows və macOS. Yuxarıdakıların hamısına əlavə edin ki, WireShark açıq mənbə və pulsuzdur və sizin şəbəkənizi tez diaqnostika etmək üçün əla alətiniz var.

tcpdump

Tcpdump trafik analizatoru qədim alətə bənzəyir və tam düzünü desəm, funksionallıq baxımından da işləyir. İşinin öhdəsindən gəlməsinə və bunu yaxşı yerinə yetirməsinə və bunun üçün mümkün qədər az sistem resurslarından istifadə etməsinə baxmayaraq, bir çox müasir mütəxəssislər üçün çox sayda "quru" məlumat cədvəlini başa düşmək çətin olacaq. Ancaq həyatda elə vəziyyətlər var ki, bu qədər kəsilmiş və resurslara qarşı iddiasız olan həllərin istifadəsi faydalı ola bilər. Bəzi mühitlərdə və ya çətin işləyən kompüterlərdə minimalizm yeganə əlverişli seçim ola bilər.

tcpdump proqram həlli əvvəlcə *NIX mühiti üçün işlənib hazırlanmışdı, lakin indi bir neçə Windows portu ilə də işləyir. O, hər hansı bir trafik analizatorundan gözlədiyiniz bütün əsas funksiyalara malikdir - çəkmək, qeyd etmək və s. - lakin ondan çox şey gözləməyin.

Qismət

Kismet Traffic Analyzer xüsusi ehtiyaclara uyğunlaşdırılmış açıq mənbə proqram təminatının başqa bir nümunəsidir. Kismet təkcə şəbəkə trafikini təhlil etmir, o, sizə daha təkmil funksionallıq verir. Məsələn, o, gizli şəbəkələrin və hətta SSID-lərini yayımlamayan simsiz şəbəkələrin trafikini təhlil edə bilər! Bu kimi trafik təhlili aləti simsiz şəbəkənizdə problemlərə səbəb olan, lakin siz onun mənbəyini tez tapa bilməyən bir şey olduqda çox faydalı ola bilər. Kismet sizə yaramaz şəbəkəni və ya işləyən, lakin tam düzgün olmayan giriş nöqtəsini aşkar etməyə kömək edəcək.

Bir çoxumuz əvvəlcədən bilirik ki, simsiz şəbəkə trafikinin təhlilinə gəldikdə vəzifə daha mürəkkəbləşir, ona görə də Kismet kimi xüsusi alətin əlinizdə olması təkcə arzuolunan deyil, həm də tez-tez zəruridir. Daim çoxlu simsiz trafik və simsiz cihazlarla məşğul olursunuzsa və yaxşı simsiz trafik təhlili alətinə ehtiyacınız varsa, Kismet Traffic Analyzer sizin üçün əla seçimdir. Kismet *NIX, Cygwin altında Windows və macOS mühitləri üçün mövcuddur.

EterApe

EtherApe funksionallıq baxımından WireShark-a yaxınlaşır və o, həm də pulsuz və açıq mənbə proqramdır. Bununla belə, onu digər həllərdən həqiqətən fərqləndirən şey onun qrafika diqqət yetirməsidir. Əgər siz, məsələn, WireShark trafik təhlilinin nəticələrinə klassik rəqəmsal formada baxırsınızsa, o zaman EtherApe şəbəkə trafiki hər bir qrafik təpəsinin ayrıca hostu təmsil etdiyi, təpələrin və kənarların ölçüləri təkmil qrafik interfeysdən istifadə etməklə göstərilir. şəbəkə trafikinin ölçüsü və rəngləri müxtəlif protokollarla qeyd olunur. Statistik məlumatların vizual qavranılmasına üstünlük verənlər üçün EtherApe analizatoru ən yaxşı seçim ola bilər. *NIX və macOS mühitləri üçün əlçatandır.

Qabil və Habil

Çox maraqlı bir ada malik bu proqramda trafiki təhlil etmək qabiliyyəti əsas funksiyadan daha çox köməkçi funksiyadır. Əgər tapşırıqlarınız sadə trafik təhlilindən çox kənara çıxırsa, bu alətə diqqət yetirməlisiniz. Bununla siz Windows OS üçün parolları bərpa edə, itirilmiş etimadnamələri əldə etmək üçün hücumlar həyata keçirə, şəbəkədə VoIP məlumatlarını öyrənə, paket marşrutunu təhlil edə və s. Bu, geniş səlahiyyətlərə malik sistem administratoru üçün həqiqətən güclü alətlər dəstidir. Yalnız Windows mühitində işləyir.

şəbəkə mədənçisi

NetworkMiner həlli funksionallığı adi trafik təhlilindən kənara çıxan başqa bir proqram həllidir. Digər trafik analizatorları paketlərin göndərilməsi və qəbul edilməsinə diqqət yetirərkən, NetworkMiner bu paketləri birbaşa göndərən və qəbul edənləri izləyir. Bu alət ümumi diaqnostika və ya şəbəkə monitorinqi üçün deyil, problemli kompüterləri və ya istifadəçiləri müəyyən etmək üçün daha uyğundur. şəbəkə mədənçisi OS üçün nəzərdə tutulmuşdur Windows.

KisMAC

KisMAC - bu proqram məhsulunun adı özü üçün danışır - bu macOS üçün Kismetdir. Bu günlərdə Kismet-in artıq macOS əməliyyat mühiti üçün portu var, ona görə də KisMAC-in mövcudluğu lazımsız görünə bilər, lakin KisMAC həllinin əslində öz kod bazasına malik olduğuna və Kismet trafikindən birbaşa alınmamasına diqqət yetirməyə dəyər. analizator. Xüsusilə qeyd etmək lazımdır ki, KisMAC bəzi imkanları təklif edir, məsələn, yer xəritəsi və macOS-da autentifikasiya hücumu, Kismet-in tək-tək təmin etmədiyi. Müəyyən hallarda bu unikal xüsusiyyətlər tərəziləri bu xüsusi proqram həllinin xeyrinə dəyişə bilər.

Nəticə

Performans, kəsilmiş əlaqələr və ya şəbəkə ehtiyat nüsxələri ilə bağlı problemlər olsun, vaxtaşırı müxtəlif növ şəbəkə problemləri ilə qarşılaşdığınız zaman şəbəkə trafikinin təhlili proqramı sizin üçün mühüm alət ola bilər. Şəbəkədə məlumatların göndərilməsi və qəbulu ilə bağlı faktiki olaraq hər şey yuxarıdakı siyahıdan proqram təminatından istifadə etməklə əldə edilən məlumatlar sayəsində tez müəyyən edilə və düzəldilə bilər.

Şəbəkə trafikinin keyfiyyət təhlilinin sizə sübut olunmuş ixtisaslaşdırılmış proqram alətlərindən istifadə edərək verəcəyi nəticələr problemin yuxarı qatının altına getməyə və şəbəkənizdə həqiqətən nə baş verdiyini və ya baş vermədiyini, lakin baş verməli olduğunu başa düşməyə kömək edəcək.

Bülletenə abunə olun, sosial şəbəkələrdə məqalələr paylaşın və şərhlərdə suallar verin!

Həmişə əlaqə, İqor Panov.

23/05/16 45,3K

Bir çox şəbəkə administratorları tez-tez şəbəkə trafikinin təhlili həll etməyə kömək edə biləcək problemlərlə üzləşirlər. Və burada biz trafik analizatoru kimi bir konsepsiya ilə qarşılaşırıq. Bəs bu nədir?

NetFlow analizatorları və kollektorları şəbəkə trafiki məlumatlarını izləməyə və təhlil etməyə kömək edən alətlərdir. Şəbəkə prosesi analizatorları bant genişliyini azaldan cihazları dəqiq təyin etməyə imkan verir. Onlar sisteminizdə problemli sahələri necə tapmağı və şəbəkənin ümumi səmərəliliyini yaxşılaşdırmağı bilirlər.

termini " NetFlow" IP üzərindən trafik haqqında məlumat toplamaq və şəbəkə trafikinə nəzarət etmək üçün nəzərdə tutulmuş Cisco protokoluna istinad edir. NetFlow axın texnologiyaları üçün standart protokol kimi qəbul edilmişdir.

NetFlow proqramı marşrutlaşdırıcılar tərəfindən yaradılan axın məlumatlarını toplayır və təhlil edir və onları istifadəçi dostu formatda təqdim edir.

Bir neçə digər şəbəkə avadanlığı təchizatçılarının öz monitorinq və məlumat toplama protokolları var. Məsələn, başqa bir çox hörmətli şəbəkə cihazı satıcısı Juniper öz protokolunu çağırır " j-axın". HP və Fortinet " terminindən istifadə edir. s-Axın". Protokolların adları fərqli olsa da, hamısı oxşar şəkildə işləyir. Bu yazıda biz Windows üçün 10 pulsuz şəbəkə trafiki analizatoru və NetFlow kollektoruna nəzər salacağıq.

SolarWinds Real-Time NetFlow Trafik Analizatoru

Pulsuz NetFlow Traffic Analyzer pulsuz yükləmək üçün mövcud olan ən populyar alətlərdən biridir. O, sizə məlumatları müxtəlif yollarla çeşidləmək, etiketləmək və göstərmək imkanı verir. Bu, şəbəkə trafikini rahat şəkildə vizuallaşdırmağa və təhlil etməyə imkan verir. Alət şəbəkə trafikini növə və müddətə görə izləmək üçün əladır. Həm də müxtəlif tətbiqlərin nə qədər trafik istehlak etdiyini müəyyən etmək üçün testlər keçirin.

Bu pulsuz alət bir NetFlow monitorinq interfeysi ilə məhdudlaşır və yalnız 60 dəqiqə məlumat saxlayır. Bu Netflow Analizatoru istifadə etməyə dəyər güclü bir vasitədir.

Colasoft Capsa Pulsuz

Bu pulsuz LAN trafik analizatoru sizə 300-dən çox şəbəkə protokolunu müəyyən etməyə və izləməyə imkan verir və fərdiləşdirilə bilən hesabatlar yaratmağa imkan verir. Buraya e-poçt monitorinqi və ardıcıllıq diaqramları daxildir TCP sinxronizasiyası, hamısı bir fərdiləşdirilə bilən paneldə toplanmışdır.

Digər xüsusiyyətlərə şəbəkə təhlükəsizliyi təhlili daxildir. Məsələn, DoS / DDoS hücumlarının izlənməsi, qurd aktivliyi və ARP hücumlarının aşkarlanması. Paketin dekodlanması və məlumatların göstərilməsi, şəbəkədəki hər bir host haqqında statistika, paket mübadiləsinə nəzarət və axının yenidən qurulması. Capsa Free Windows XP-nin bütün 32-bit və 64-bit versiyalarını dəstəkləyir.

Quraşdırma üçün minimum sistem tələbləri: 2 GB RAM və 2,8 GHz prosessor. Siz həmçinin internetə ethernet bağlantınız olmalıdır ( NDIS 3 və ya daha yüksək ilə uyğun gəlir), Fast Ethernet və ya qarışıq rejimli sürücü ilə Gigabit. Bu, Ethernet kabeli ilə ötürülən bütün paketləri passiv şəkildə tutmağa imkan verir.

Angry IP Scanner

Bu sürətli və istifadəsi asan açıq mənbəli Windows trafik analizatorudur. Bu quraşdırma tələb etmir və Linux, Windows və Mac OSX-də istifadə edilə bilər. Bu alət hər bir IP ünvanının sadə ping vasitəsilə işləyir və MAC ünvanlarını müəyyən edə, portları skan edə, NetBIOS məlumatını təmin edə, Windows sistemlərində səlahiyyətli istifadəçini təyin edə, veb serverləri kəşf edə və s. Onun imkanları Java plaginləri ilə genişləndirilir. Skan məlumatları CSV, TXT, XML formatlı fayllarda saxlanıla bilər.

ManageEngine NetFlow Analyzer Professional

ManageEngines-dən NetFlow proqramının tam funksional versiyası. Bu, təhlil və məlumatların toplanması üçün tam funksiyalar dəstinə malik güclü proqram təminatıdır: real vaxt rejimində kanalın bant genişliyinin monitorinqi və hədlərə çatdıqda xəbərdarlıq edir, bu da prosesləri tez idarə etməyə imkan verir. Bundan əlavə, o, resursların istifadəsi, monitorinq proqramları və protokolları və daha çox şey haqqında ümumi məlumatların çıxışını təmin edir.

Linux trafik analizatorunun pulsuz versiyası məhsulu 30 gün müddətində qeyri-müəyyən müddətə istifadə etməyə imkan verir, bundan sonra yalnız iki interfeysə nəzarət edə bilərsiniz. NetFlow Analyzer ManageEngine üçün sistem tələbləri axın sürətinə görə dəyişir. Saniyədə 0-dan 3000-ə qədər olan minimum axın sürəti üçün tövsiyə olunan tələblər: 2,4 GHz cüt nüvəli prosessor, 2 GB RAM və 250 GB boş sabit disk sahəsi. Nəzarət ediləcək axın sürəti artdıqca tələblər də artır.

Dostum

Bu proqram MikroTik tərəfindən hazırlanmış məşhur şəbəkə monitorudur. O, avtomatik olaraq bütün cihazları skan edir və şəbəkə xəritəsini yenidən yaradır. Dostum müxtəlif cihazlarda işləyən serverləri izləyir və problem yaranarsa, sizi xəbərdar edir. Digər xüsusiyyətlərə yeni cihazların avtomatik aşkarlanması və göstərilməsi, fərdi xəritələr yaratmaq imkanı, cihazın uzaqdan idarəetmə alətlərinə daxil olmaq və s. daxildir. Windows, Linux Wine və MacOS Darwine sistemlərində işləyir.

JDSU Şəbəkə Analizatoru Fast Ethernet

Bu trafik analizatoru proqramı şəbəkə üzərindən məlumatları tez toplamaq və nəzərdən keçirmək imkanı verir. Alət qeydiyyatdan keçmiş istifadəçilərə baxmaq, ayrı-ayrı qurğular üzrə şəbəkə bant genişliyi istifadə səviyyəsini müəyyən etmək və səhvləri tez tapmaq və düzəltmək imkanı verir. Həmçinin real vaxt məlumatları ələ keçirin və təhlil edin.

Tətbiq inzibatçılara yol hərəkəti anomaliyalarını izləmək, məlumatların böyük həcmdə məlumatları süzmək üçün filtrasiya etmək və s. imkan verən yüksək təfərrüatlı qrafik və cədvəllərin yaradılmasını dəstəkləyir. Başlanğıc səviyyəli peşəkarlar, eləcə də təcrübəli inzibatçılar üçün nəzərdə tutulmuş bu alət şəbəkəni tamamilə idarə etməyə imkan verir.

Plixer Scrutinizer

Bu şəbəkə trafiki analizatoru sizə şəbəkə trafikini toplamağa və hərtərəfli təhlil etməyə, səhvləri tez tapıb düzəltməyə imkan verir. Scrutinizer ilə siz vaxt intervalları, hostlar, proqramlar, protokollar və s. daxil olmaqla məlumatları müxtəlif yollarla çeşidləyə bilərsiniz. Pulsuz versiya limitsiz sayda interfeysə nəzarət etməyə və 24 saatlıq fəaliyyət üçün məlumatları saxlamağa imkan verir.

Wireshark

Wireshark Linux, Windows, MacOS X, Solaris və digər platformalarda işləyə bilən güclü şəbəkə analizatorudur. Wireshark sizə qrafik interfeysdən istifadə edərək ələ keçirilən məlumatlara baxmaq və ya TTY rejimli TShark utilitlərindən istifadə etmək imkanı verir. Onun xüsusiyyətlərinə VoIP trafikinin toplanması və təhlili, Ethernet məlumatlarının real vaxt rejimində göstərilməsi, IEEE 802.11, Bluetooth, USB, Frame Relay, məlumatların XML, PostScript, CSV-yə çıxışı, şifrənin açılması dəstəyi və s. daxildir.

Sistem tələbləri: Windows XP və daha yüksək, istənilən müasir 64/32-bit prosessor, 400 Mb RAM və 300 Mb boş disk sahəsi. Wireshark NetFlow Analyzer istənilən şəbəkə administratorunun işini xeyli asanlaşdıra bilən güclü vasitədir.

Paessler PRTG

Bu trafik analizatoru istifadəçilərə bir çox faydalı xüsusiyyətlər təqdim edir: LAN, WAN, VPN, proqramlar, virtual server, QoS və ətraf mühitin monitorinqi üçün dəstək. Çox saytlı monitorinq də dəstəklənir. PRTG SNMP , WMI , NetFlow , SFlow , JFlow və paket koklama, eləcə də iş vaxtı / dayanma vaxtı monitorinqi və IPv6 dəstəyindən istifadə edir.

Pulsuz versiya 30 gün ərzində məhdudiyyətsiz sayda sensordan istifadə etməyə imkan verir, bundan sonra yalnız 100-ə qədər pulsuz istifadə edə bilərsiniz.

nProbe

Bu, tam xüsusiyyətli açıq mənbə NetFlow izləmə və təhlil proqramıdır.

nProbe IPv4 və IPv6, Cisco NetFlow v9 / IPFIX, NetFlow-Lite, VoIP trafik təhlili, axın və paket seçmə, giriş, MySQL/Oracle və DNS fəaliyyətini və s. dəstəkləyir. Trafik analizatorunu Linux və ya Windows-da yükləyib tərtib etsəniz, proqram pulsuzdur. Quraşdırma icraedicisi tutma miqdarını 2000 paketlə məhdudlaşdırır. nProbe təhsil müəssisələri, eləcə də qeyri-kommersiya və elmi təşkilatlar üçün tamamilə pulsuzdur. Bu alət Linux və Windows əməliyyat sistemlərinin 64-bit versiyalarında işləyəcək.

10 pulsuz NetFlow trafik analizatoru və kollektorunun bu siyahısı kiçik ofis şəbəkəsi və ya böyük çoxsahəli korporativ WAN-ın monitorinqinə və problemlərin aradan qaldırılmasına başlamaqda sizə kömək edəcək.

Bu məqalədə təqdim olunan hər bir proqram şəbəkə trafikini izləmək və təhlil etmək, kiçik nasazlıqları aşkar etmək, təhlükəsizlik təhdidlərini göstərə bilən bant genişliyi anomaliyalarını müəyyən etmək imkanı verir. Şəbəkə, trafik və s. haqqında məlumatları vizuallaşdırmaqla yanaşı. Şəbəkə administratorlarının arsenalında mütləq belə alətlər olmalıdır.

Bu nəşr məqalənin tərcüməsidir " Windows üçün Top 10 Ən Yaxşı Pulsuz Netflow Analizatorları və Kollektorları» mehriban layihə komandası tərəfindən hazırlanmışdır

Yaxşı Pis