Original: 8 najboljih njuškanja paketa i mrežnih analizatora
Autor: Jon Watson
Datum objave: 22. novembar 2017
Prijevod: A. Krivoshey
Datum prevoda: decembar 2017
Njuškanje paketa je kolokvijalni izraz koji se odnosi na umjetnost analize mrežnog prometa. Suprotno popularnom mišljenju, stvari poput e-pošte i web stranica ne putuju internetom u jednom komadu. Oni su raščlanjeni na hiljade malih paketa podataka i na ovaj način se šalju putem interneta. U ovom članku ćemo pogledati najbolje besplatne mrežne analizatore i njuškare paketa.
Postoji mnogo uslužnih programa koji prikupljaju mrežni promet, a većina njih koristi pcap (na sistemima sličnim Unixu) ili libcap (na Windowsima) kao jezgro. Druga vrsta uslužnih programa pomaže u analizi ovih podataka, jer čak i mala količina saobraćaja može generirati hiljade paketa kojima je teško navigirati. Gotovo svi ovi uslužni programi se malo razlikuju jedni od drugih u prikupljanju podataka, glavne razlike su u načinu na koji analiziraju podatke.
Analiza mrežnog saobraćaja zahtijeva razumijevanje kako mreža funkcionira. Ne postoji alat koji magično zamjenjuje znanje analitičara o osnovama umrežavanja, kao što je TCP 3-way handshake, koji se koristi za iniciranje veze između dva uređaja. Analitičari također moraju imati izvjesno razumijevanje o tipovima mrežnog prometa na mreži koja dobro funkcionira, kao što su ARP i DHCP. Ovo znanje je važno jer će vam analitički alati jednostavno pokazati šta od njih tražite. Na vama je šta ćete tražiti. Ako ne znate kako vaša mreža obično izgleda, može biti teško znati da ste pronašli ono što vam treba u masi paketa koje ste prikupili.
Najbolji njuškari paketa i mrežni analizatori
Industrijski alati
Počnimo od vrha i spustimo se do osnova. Ako se bavite umrežavanjem na nivou preduzeća, potreban vam je veliki pištolj. Iako se gotovo sve oslanja na tcpdump u svojoj srži (više o tome kasnije), alati na nivou preduzeća mogu se pozabaviti određenim lukavim problemima kao što je korelacija prometa sa više servera, pružanje pametnih upita za identifikaciju problema, upozoravanje izuzetaka i generiranje dobrih grafikona koji uvijek upravljaju potražnja....
Poslovni alati su općenito usmjereni na strujanje mrežnog saobraćaja, a ne na procjenu sadržaja paketa. Pod ovim mislim da je glavna briga većine sistemskih administratora u preduzeću da osiguraju da mreža nema uskih grla u performansama. Kada se pojave takva uska grla, cilj je obično utvrditi da li je problem uzrokovan mrežom ili aplikacijom na mreži. S druge strane, ovi alati obično mogu podnijeti toliki promet da mogu pomoći u predviđanju kada će segment mreže biti potpuno učitan, što je kritična tačka u upravljanju propusnim opsegom.
To je veoma veliki skup alata za IT upravljanje. U ovom članku je prikladniji uslužni program Deep Packet Inspection and Analysis, koji je njegov sastavni dio. Prikupljanje mrežnog saobraćaja je prilično jednostavno. Sa alatima kao što je WireShark, ni osnovna analiza nije problem. Ali situacija nije uvijek potpuno jasna. Na veoma prometnoj mreži može biti teško definirati čak i vrlo jednostavne stvari kao što su:
Koja aplikacija na mreži generira ovaj promet?
- ako je aplikacija poznata (recimo web pretraživač) gdje njeni korisnici provode većinu vremena?
- koje veze su najduže i preopterećuju mrežu?
Većina mrežnih uređaja koristi metapodatke svakog paketa kako bi osigurali da paket ide tamo gdje treba. Sadržaj paketa je nepoznat mrežnom uređaju. Duboka inspekcija paketa je druga stvar; to znači da se provjerava stvarni sadržaj paketa. Na ovaj način možete otkriti kritične informacije o mreži koje se ne mogu prikupiti iz metapodataka. Alati poput onih koje pruža SolarWinds mogu pružiti značajnije podatke od pukog protoka saobraćaja.
Ostale tehnologije za upravljanje mrežama koje zahtijevaju veliku količinu podataka uključuju NetFlow i sFlow. Svaki ima svoje vrline i mane,
Možete pročitati više o NetFlow i sFlow.
Mrežna analiza općenito je vrhunska tema koja se gradi kako na stečenom znanju tako i na osnovu praktičnog iskustva. Moguće je obučiti osobu sa detaljnim poznavanjem mrežnih paketa, ali ako ta osoba nema znanje o samoj mreži, i nema iskustva u otkrivanju anomalija, neće dobro proći. Alati opisani u ovom članku trebali bi koristiti iskusni mrežni administratori koji znaju što žele, ali nisu sigurni koji je uslužni program najbolji. Mogu ih koristiti i manje iskusni sistemski administratori kako bi stekli svakodnevno iskustvo umrežavanja.
Osnove
Glavni alat za prikupljanje mrežnog saobraćaja je
To je aplikacija otvorenog koda koja se instalira na gotovo sve operativne sisteme slične Unixu. Tcpdump je odličan uslužni program za prikupljanje podataka koji ima vrlo sofisticiran jezik za filtriranje. Važno je znati kako filtrirati podatke kada ih prikupljate da biste dobili normalan skup podataka za analizu. Snimanje svih podataka sa mrežnog uređaja, čak i na umjereno zauzetoj mreži, može generirati previše podataka koje će biti vrlo teško analizirati.
U nekim retkim slučajevima biće dovoljno da odštampate snimljene tcpdump podatke direktno na ekran da pronađete ono što vam je potrebno. Na primjer, dok sam pisao ovaj članak, prikupio sam promet i primijetio da moja mašina šalje promet na IP adresu koju ne znam. Ispostavilo se da je moja mašina slala podatke na google IP adresu 172.217.11.142. Pošto nisam imao Google proizvode, a nisam imao otvoren Gmail, nisam znao zašto se to dešava. Provjerio sam svoj sistem i našao sljedeće:
[~] $ ps -ef | grep google korisnik 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome --type = usluga
Ispostavilo se da čak i kada Chrome ne radi, on ostaje da radi kao usluga. Ne bih ovo primijetio bez analize paketa. Presreo sam još nekoliko paketa podataka, ali ovaj put sam dao tcpdump zadatak da zapiše podatke u datoteku, koju sam zatim otvorio u Wiresharku (više o tome kasnije). Ovi unosi su:
Tcpdump je omiljeni alat sysadmina jer je uslužni program komandne linije. Za pokretanje tcpdump nije potreban grafički interfejs. Za proizvodne servere, grafički interfejs je prilično štetan jer troši sistemske resurse, stoga se preferiraju programi komandne linije. Kao i mnogi moderni uslužni programi, tcpdump ima veoma bogat i složen jezik za koji je potrebno neko vreme da se savlada. Nekoliko najosnovnijih naredbi uključuje odabir mrežnog sučelja za prikupljanje podataka i pisanje tih podataka u datoteku kako bi se mogli izvesti za analizu negdje drugdje. Za to se koriste prekidači -i i -w.
# tcpdump -i eth0 -w tcpdump_packets tcpdump: slušanje na eth0, tip veze EN10MB (Ethernet), veličina snimanja 262144 bajta ^ C51 paketi uhvaćeni
Ova naredba kreira datoteku sa snimljenim podacima:
Datoteka tcpdump_packets tcpdump_packets: tcpdump datoteka za snimanje (little-endian) - verzija 2.4 (Ethernet, dužina snimanja 262144)
Standard za ove datoteke je pcap format. To nije tekst, tako da ga mogu analizirati samo programi koji razumiju ovaj format.
3. Windump
Većina korisnih uslužnih programa otvorenog koda završi se kloniranjem u druge operativne sisteme. Kada se to dogodi, kaže se da je aplikacija migrirana. Windump je port za tcpdump i ponaša se na vrlo sličan način.
Najznačajnija razlika između Windump-a i tcpdump-a je u tome što je Windump-u potrebna instalirana Winpcap biblioteka prije pokretanja Windump-a. Iako Windump i Winpcap obezbjeđuje isti održavatelj, potrebno ih je zasebno preuzeti.
Winpcap je biblioteka koja mora biti unaprijed instalirana. Ali Windump je exe datoteka koju ne treba instalirati, tako da je možete jednostavno pokrenuti. Ovo morate imati na umu ako koristite Windows mrežu. Ne morate instalirati Windump na svaku mašinu jer ga možete jednostavno kopirati po potrebi, ali će vam trebati Winpcap da podržava Windup.
Kao i kod tcpdump, Windump može prikazati mrežne podatke za analizu, filtrirati na isti način i pisati podatke u pcap datoteku za kasniju analizu.
4. Wireshark
Wireshark je sljedeći najpoznatiji alat u sysadmin paketu. Ne samo da vam omogućava da snimite podatke, već pruža i neke napredne alate za analizu. Pored toga, Wireshark je otvorenog koda i portiran na skoro sve postojeće serverske operativne sisteme. Pod nazivom Etheral, Wireshark sada radi svuda, uključujući i kao samostalna prenosiva aplikacija.
Ako analizirate promet na GUI serveru, Wireshark može učiniti sve umjesto vas. On može prikupiti podatke i onda sve to analizirati ovdje. Međutim, GUI je rijedak na serverima, tako da možete prikupljati mrežne podatke na daljinu, a zatim pregledati rezultujuću pcap datoteku u Wiresharku na svom računaru.
Prilikom prvog pokretanja, Wireshark vam omogućava da učitate postojeću pcap datoteku ili počnete hvatati promet. U potonjem slučaju, možete dodatno postaviti filtere kako biste smanjili količinu prikupljenih podataka. Ako ne navedete filter, Wireshark će jednostavno prikupiti sve mrežne podatke iz odabranog interfejsa.
Jedna od najkorisnijih karakteristika Wiresharka je mogućnost praćenja streama. Najbolje je razmišljati o toku kao o lancu. Na snimku ekrana ispod možemo vidjeti dosta snimljenih podataka, ali mene je najviše zanimala Google-ova IP adresa. Mogu kliknuti desnim tasterom miša i pratiti TCP tok da vidim cijeli lanac.
Ako je promet uhvaćen na drugom računaru, možete uvesti PCAP datoteku koristeći Wireshark File -> Otvori dijalog. Za uvezene datoteke dostupni su isti filteri i alati kao i za snimljene mrežne podatke.
5.tshark
Tshark je vrlo korisna veza između tcpdump-a i Wiresharka. Tcpdump se ističe u prikupljanju podataka i može hirurški izvući samo podatke koji su vam potrebni, međutim njegove mogućnosti analize podataka su vrlo ograničene. Wireshark radi odličan posao i za snimanje i za raščlanjivanje, ali ima težak korisnički interfejs i ne može se koristiti na serverima bez GUI. Probajte tshark, radi na komandnoj liniji.
Tshark koristi ista pravila filtriranja kao i Wireshark, što ne bi trebalo biti iznenađujuće jer su u suštini isti proizvod. Naredba u nastavku govori tsharku samo da preuzme odredišnu IP adresu kao i neka druga polja od interesa iz HTTP dijela paketa.
# tshark -i eth0 -Y http.request -T polja -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko1 Firefox / 2010 /57.0 /images/title.png 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css. rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla / 5.0 (X11; 0 Linuxo 10 Gerv_0) /57.0 /images/styles/index.css 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png 1 Moz Linux / Moz Linux 172.12 x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 2010001.
Ako želite upisati promet u datoteku, koristite opciju -W praćenu prekidačem -r (čitaj) da biste je pročitali.
Prvo snimite:
# tshark -i eth0 -w tshark_packets Hvatanje na "eth0" 102 ^ C
Pročitajte je ovdje ili prenesite na drugo mjesto radi analize.
# tshark -r tshark_packets -Y http.request -T polja -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Firefox00 / 57.0 /57.0 / kontakt 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / rezervacije / 172.20.0.122 Mozilla / 5.0 1; 57.0 /reservations/styles/styles.css 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/jquery_lightbox/jquery.6. js 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css / 172.20.0.122 Mozilla / 16 _16 5.0; Firefox / 57.0 /res/images/title.png
Ovo je vrlo zanimljiv alat koji spada u kategoriju alata za mrežnu forenzičku analizu, a ne samo u njuškare. Oblast forenzike uglavnom se bavi istragama i prikupljanjem dokaza, a Network Miner ovaj posao radi sasvim dobro. Baš kao što wireshark može pratiti TCP tok kako bi oporavio cijeli lanac paketa, Network Miner može pratiti TCP tok kako bi oporavio datoteke koje su prebačene preko mreže.
Network Miner se može strateški postaviti na mrežu kako bi mogao promatrati i prikupljati promet koji vas zanima u realnom vremenu. Neće generirati vlastiti promet na mreži, tako da će raditi prikriveno.
Network Miner može raditi i van mreže. Možete koristiti tcpdump da prikupite pakete na određenoj tački na mreži od interesa, a zatim uvezete PCAP datoteke u Network Miner. Zatim možete pokušati oporaviti sve datoteke ili certifikate pronađene u snimljenoj datoteci.
Network Miner je napravljen za Windows, ali uz Mono može raditi na bilo kojem OS-u koji podržava Mono platformu, kao što su Linux i MacOS.
Postoji besplatna verzija, početni nivo, ali sa pristojnim skupom funkcija. Ako su vam potrebne dodatne funkcije kao što su geolokacija i prilagođeno skriptiranje, morat ćete kupiti profesionalnu licencu.
7. Fiddler (HTTP)
Tehnički nije uslužni program za hvatanje mrežnih paketa, ali je toliko nevjerovatno koristan da se našao na ovoj listi. Za razliku od ostalih ovdje navedenih alata, koji su dizajnirani da hvataju mrežni promet iz bilo kojeg izvora, Fiddler je više alat za otklanjanje grešaka. Snima HTTP promet. Iako mnogi pretraživači već imaju ovu mogućnost u svojim programskim alatima, Fiddler nije ograničen na promet pretraživača. Fiddler može uhvatiti bilo koji HTTP promet na vašem računalu, uključujući ne-web aplikacije.
Mnoge desktop aplikacije koriste HTTP za povezivanje na web servise, a osim Fiddlera, jedini način da se uhvati ovaj promet za analizu je korištenje alata kao što su tcpdump ili Wireshark. Međutim, oni rade na nivou paketa, tako da je za analizu potrebno obrnuti inženjering ovih paketa u HTTP tokove. Za jednostavno istraživanje može biti potrebno puno posla i tu dolazi Fiddler. Fiddler može pomoći u otkrivanju kolačića, certifikata i drugih korisnih podataka koje šalju aplikacije.
Fiddler je besplatan i, baš kao i Network Miner, može se pokrenuti u mono na skoro svakom operativnom sistemu.
8. Capsa
Capsa Network Analyzer je dostupan u nekoliko izdanja, od kojih svako ima različite mogućnosti. Na prvom nivou, Capsa je besplatna i u suštini vam omogućava da samo zgrabite pakete i uradite osnovnu grafičku analizu. Kontrolna tabla je jedinstvena i može pomoći neiskusnom administratoru sistema da brzo identifikuje probleme sa mrežom. Besplatan nivo je za ljude koji žele da nauče više o paketima i da unaprede svoje veštine analize.
Besplatna verzija vam omogućava da kontrolišete preko 300 protokola, pogodna je za praćenje e-pošte kao i za čuvanje sadržaja e-pošte, takođe podržava trigere koji se mogu koristiti za aktiviranje upozorenja kada se dogode određene situacije. U tom smislu, Capsa se u određenoj mjeri može koristiti kao alat za podršku.
Capsa je dostupna samo za Windows 2008 / Vista / 7/8 i 10.
Zaključak
Nije teško vidjeti kako administrator sistema može koristiti alate koje smo opisali za kreiranje infrastrukture za nadzor mreže. Tcpdump ili Windump se mogu instalirati na svim serverima. Planer, kao što je cron ili Windows planer, pokreće sesiju prikupljanja paketa u pravo vrijeme i upisuje prikupljene podatke u pcap datoteku. Sistem administrator tada može prenijeti ove pakete na centralnu mašinu i analizirati ih koristeći wireshark. Ako je mreža prevelika za ovo, dostupni su alati za preduzeća kao što je SolarWinds koji pretvaraju sve mrežne pakete u skup podataka kojim se može upravljati.
Pročitajte druge članke o presretanju i analizi mrežnog prometa :
- Dan Nanni, Uslužni programi komandne linije za nadgledanje mrežnog saobraćaja na Linuxu
- Paul Cobbaut, administracija Linux sistema. Presretanje mrežnog saobraćaja
- Paul Ferrill, 5 Linux alata za praćenje mreže
- Pankaj Tanwar, Hvatanje paketa s bibliotekom libpcap
- Riccardo Capecchi, Korištenje filtera u Wiresharku
- Nathan Willis, Analiza mreže s Wiresharkom
- Prashant Phatak,
Potreba za analizom mrežnog saobraćaja može se pojaviti iz nekoliko razloga. Kontrola računarske sigurnosti, otklanjanje grešaka u lokalnoj mreži, kontrola odlaznog saobraćaja radi optimizacije rada zajedničke internet konekcije - svi ovi zadaci su često na dnevnom redu sistemskih administratora i običnih korisnika. Za njihovo rješavanje postoje brojni uslužni programi, koji se nazivaju sniffers, kako specijalizirani, usmjereni na rješavanje uskog spektra zadataka, tako i višenamjenski "kombajni" koji korisniku pružaju širok izbor alata. Jedan od predstavnika ove druge grupe, odnosno uslužni program CommView iz kompanije, predstavljen je u ovom članku. Program vam omogućava da vizuelno vidite kompletnu sliku saobraćaja koji prolazi kroz računar ili segment lokalne mreže; Konfigurabilni alarmni sistem omogućava vam da upozorite na prisustvo sumnjivih paketa u saobraćaju, pojavu čvorova sa nenormalnim adresama u mreži ili povećanje opterećenja mreže.
CommView pruža mogućnost čuvanja statistike o svim IP konekcijama, dekodiranja IP paketa na niži nivo i njihove analize. Ugrađeni sistem filtera po nekoliko parametara omogućava vam da konfigurišete praćenje samo za potrebne pakete, što njihovu analizu čini efikasnijom. Program može prepoznati pakete više od sedam desetina najčešćih protokola (uključujući DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP, itd.), kao i da ih sačuvate u fajlovima za kasniju analizu. Mnogi drugi alati, kao što je identifikacija proizvođača mrežnog adaptera prema MAC adresi, HTML rekonstrukcija i daljinsko hvatanje paketa pomoću opcionog CommView Remote Agent uslužnog programa, također mogu biti od pomoći u određenim slučajevima.
Rad sa programom
Prvo morate odabrati mrežni interfejs na kojem će se pratiti promet. 
CommView podržava skoro sve vrste Ethernet adaptera - 10, 100 i 1000 Mbps, kao i analogne modeme, xDSL, Wi-Fi, itd. Analizom saobraćaja Ethernet adaptera, CommView može presresti ne samo dolazne i odlazne, već i tranzitni paketi adresirali su bilo koji od računara u segmentu lokalne mreže. Vrijedi napomenuti da ako je zadatak pratiti sav promet na segmentu lokalne mreže, onda je potrebno da se računala u njemu povezuju preko čvorišta, a ne preko prekidača. Neki moderni modeli prekidača imaju zrcaljenje portova, što im omogućava da se konfigurišu i za nadgledanje mreže koristeći CommView. Možete pročitati više o tome. Nakon što odaberete željenu vezu, možete početi sa snimanjem paketa. Tasteri za pokretanje i zaustavljanje snimanja nalaze se u blizini linije za odabir interfejsa. Da biste radili sa kontrolerom daljinskog pristupa, VPN-om i PPPoE tokom instalacije programa, morate instalirati odgovarajući drajver.
Glavni prozor programa podijeljen je na nekoliko kartica koje su odgovorne za jedno ili drugo područje rada. Prvi, "Trenutne IP veze", prikazuje detaljne informacije o trenutnim IP konekcijama računara. Ovdje možete vidjeti lokalne i udaljene IP adrese, broj odaslanih i primljenih paketa, smjer prijenosa, broj uspostavljenih IP sesija, portove, ime hosta (ako funkcija DNS prepoznavanja nije onemogućena u postavkama programa) , i naziv procesa koji prima ili prenosi paket ove sesije. Potonje informacije nisu dostupne za tranzitne pakete, niti na računarima koji koriste Windows 9x / ME. 
Kartica Trenutne IP veze
Ako desnom tipkom miša kliknete vezu, otvara se kontekstni meni u kojem možete pronaći alate koji olakšavaju analizu veza. Ovdje možete vidjeti količinu podataka prenesenih unutar veze, kompletnu listu korištenih portova, detaljne informacije o procesu koji prima ili prenosi pakete ove sesije. CommView vam omogućava da kreirate pseudonime za MAC i IP adrese. Na primjer, postavljanjem aliasa umjesto glomaznih digitalnih adresa mašina na lokalnoj mreži, možete dobiti lako čitljiva i pamtljiva imena računara i na taj način olakšati analizu veza. 
Da biste kreirali pseudonim za IP adresu, u kontekstnom meniju u nizu odaberite stavke "Kreiraj pseudonim" i "koristeći lokalni IP" ili "koristeći udaljenu IP adresu". U prozoru koji se pojavi, polje IP adrese će već biti popunjeno, a preostaje samo da unesete odgovarajuće ime. Ako se novi unos IP imena kreira desnim klikom na paket, polje imena se automatski popunjava imenom hosta (ako je dostupno) i može se uređivati. Rad sa MAC aliasima je isti.
Iz istog menija, odabirom SmartWhois, možete poslati odabranu izvornu ili odredišnu IP adresu u SmartWhois, samostalnu Tamosoft aplikaciju koja prikuplja informacije o bilo kojoj IP adresi ili nazivu hosta, kao što su naziv mreže, domena, država, država ili pokrajina , grad i pruža ga korisniku.
Druga kartica, "Paketi", prikazuje sve pakete snimljene na odabranom mrežnom interfejsu i detaljne informacije o njima. 
Kartica Paketi
Prozor je podijeljen na tri dijela. Prvi prikazuje listu svih uhvaćenih paketa. Ako odaberete jedan od paketa u njemu tako što ćete kliknuti na njega pokazivačem miša, ostatak prozora će prikazati informacije o njemu. Prikazuje broj paketa, protokol, Mac i IP adrese hosta koji šalje i prima, korištene portove i vrijeme pojavljivanja paketa.
Srednji dio prikazuje sadržaj paketa - heksadecimalno ili tekstualno. U potonjem slučaju, znakovi koji se ne mogu ispisati zamjenjuju se tačkama. Ako je nekoliko paketa odabrano istovremeno u gornjem dijelu, tada će srednji prozor pokazati ukupan broj odabranih paketa, njihovu ukupnu veličinu, kao i vremenski interval između prvog i posljednjeg paketa.
Donji prozor prikazuje dekodirane detaljne informacije o odabranom paketu.
Klikom na jedan od tri gumba u donjem desnom dijelu prozora možete odabrati poziciju prozora za dekodiranje: u donjem dijelu, ili poravnati lijevo ili desno. Druga dva dugmeta vam omogućavaju da automatski skočite na poslednji primljeni paket i sačuvate izabrani paket u vidljivom delu liste.
Kontekstni meni vam omogućava da kopirate MAC-, IP adrese i čitave pakete u međuspremnik, dodijelite pseudonime, primijenite brzi filter za odabir potrebnih paketa, a također koristite alate "Rekonstrukcija TCP sesije" i "Generator paketa".
Alat za rekonstrukciju TCP sesije omogućava vam da vidite proces komunikacije između dva hosta preko TCP-a. Da bi sadržaj sesije izgledao razumljivije, potrebno je odabrati odgovarajuću "logiku prikaza". Ova funkcija je najkorisnija za oporavak tekstualnih informacija kao što su HTML ili ASCII. 
Rezultirajući podaci se mogu izvesti kao tekstualni, RTF ili binarni fajl.
Kartica Datoteke evidencije... Ovdje možete konfigurirati postavke za spremanje uhvaćenih paketa u datoteku. CommView čuva datoteke dnevnika u svom NCF formatu; da biste ih pregledali, koristi se ugrađeni uslužni program koji se može pokrenuti iz menija "Datoteka". 
Moguće je omogućiti automatsko čuvanje presretnutih paketa kako stignu, evidentiranje HTTP sesija u TXT i HTML formatima, spremanje, brisanje, spajanje i razdvajanje log fajlova. Imajte na umu da se paket ne pohranjuje odmah po dolasku, tako da ako pregledate datoteku dnevnika u stvarnom vremenu, vjerovatno neće sadržavati najnovije pakete. Da bi program odmah poslao bafer u datoteku, potrebno je da kliknete na dugme „Završi snimanje“.
U kartici "pravila" možete postaviti uslove za presretanje ili ignorisanje paketa. 
Da biste olakšali odabir i analizu potrebnih paketa, možete koristiti pravila filtriranja. Takođe će pomoći da se značajno smanji količina sistemskih resursa koje koristi CommView.
Da biste omogućili bilo koje pravilo, morate odabrati odgovarajući odjeljak na lijevoj strani prozora. Dostupno je sedam vrsta pravila: jednostavna - "Protokoli i smjer", "Mac adrese", "IP adrese", "Portovi", "Tekst", "TCP zastavice", "Proces", kao i univerzalno pravilo " Formule". Za svako od jednostavnih pravila možete odabrati pojedinačne parametre, kao što je izbor smjera ili protokola. Generičko pravilo formule je moćan i fleksibilan mehanizam za kreiranje filtera koristeći Booleovu logiku. Detaljnu referencu o njegovoj sintaksi možete pronaći.
Tab "Upozorenja" pomoći će vam da konfigurirate postavke za obavještenja o različitim događajima koji se dešavaju u proučavanom segmentu mreže. 
Kartica Upozorenja vam omogućava da kreirate, izmenite, izbrišete pravila upozorenja i pregledate trenutne događaje koji odgovaraju tim pravilima
Da biste postavili pravilo upozorenja, klikom na dugme "Dodaj..." u prozoru koji se otvori izaberite potrebne uslove po čijoj pojavi će se obaveštenje pokrenuti, kao i način obaveštavanja korisnika o ovom. 
CommView vam omogućava da definirate sljedeće vrste praćenih događaja:
- "Pronalaženje paketa" koji odgovara navedenoj formuli. Sintaksa formule je detaljno opisana u korisničkom priručniku;
- Bajtova u sekundi. Ovo upozorenje će se aktivirati kada se premaši navedeno opterećenje mreže;
- Paketi u sekundi. Aktivira se kada se premaši specificirani nivo brzine prenosa paketa;
- Emisije u sekundi. Isto, samo za pakete emitovanja;
- Multicast u sekundi je isti za multicast pakete.
- Nepoznata MAC adresa. Ovo upozorenje se može koristiti za otkrivanje povezivanja nove ili neovlaštene opreme na mrežu tako što ćete unaprijed postaviti listu poznatih adresa pomoću opcije "Konfiguriraj";
- upozorenje "Nepoznata IP adresa" će se pokrenuti prilikom presretanja paketa sa nepoznatim izvornim ili odredišnim IP adresama. Ako unaprijed definirate listu poznatih adresa, možete koristiti ovo upozorenje da otkrijete neovlaštene veze putem vašeg korporativnog zaštitnog zida.
CommView ima moćan alat za vizualizaciju statistike prometa. Da biste otvorili prozor sa statistikom, potrebno je da izaberete stavku istog imena iz menija "Pregled". 
Prozor statistike u "General" modu
U ovom prozoru možete vidjeti statistiku mrežnog prometa: ovdje možete vidjeti broj paketa u sekundi, bajtova u sekundi, distribuciju Etherneta, IP-a i podprotokola. Dijagrami se mogu kopirati u međuspremnik, što će vam pomoći ako trebate kreirati izvještaje. 
Dostupnost, cijena, sistemski zahtjevi
Trenutna verzija programa je CommView 5.1. Sa Tamosoft web stranice moguće je, koja će biti operativna 30 dana.
Programer nudi kupcima dvije opcije licence:
- Home License (kućna licenca), vrijedna 2000 rubalja, daje pravo korištenja programa kod kuće na nekomercijalnoj osnovi, dok je broj hostova dostupnih za praćenje na vašoj kućnoj mreži ograničen na pet. Pod ovom vrstom licence nije dozvoljen rad na daljinu koristeći Remote Agent.
- Enterprise License (korporativna, cijena - 10.000 rubalja) daje pravo komercijalne i nekomercijalne upotrebe programa od strane jedne osobe koja lično koristi program na jednom ili više mašina. Program se također može instalirati na jednu radnu stanicu i koristiti od strane više ljudi, ali ne istovremeno.
Aplikacija radi u Windows 98 / Me / NT / 2000 / XP / 2003 operativnim sistemima. Za rad vam je potreban mrežni adapter Ethernet, bežični Ethernet, Token Ring sa podrškom za NDIS 3.0 standard ili standardni kontroler za daljinski pristup.
Pros:
- lokalizirano sučelje;
- odličan sistem pomoći;
- podrška za različite vrste mrežnih adaptera;
- napredna analiza paketa i alati za otkrivanje protokola;
- vizualizacija statistike;
- funkcionalni sistem upozorenja.
minusi:
- previsoka cijena;
- nedostatak unapred podešenih pravila i upozorenja za presretanje;
- nije baš zgodan mehanizam za odabir paketa na kartici "Paketi".
Zaključak
Njegova odlična funkcionalnost i korisničko sučelje čine CommView nezamjenjivim alatom za LAN administratore, ISP-ove i kućne korisnike. Bio sam zadovoljan temeljnim pristupom programera ruskoj lokalizaciji paketa: i interfejs i referentni priručnik su napravljeni na veoma visokom nivou. Slika je donekle potamnjena visokim troškovima programa, ali tridesetodnevna probna verzija pomoći će potencijalnom kupcu da odluči o preporučljivosti kupovine ovog uslužnog programa.
Opće informacije
Alati koji se nazivaju mrežni analizatori su nazvani po Sniffer Network Analyzeru. Lansiran 1988. godine od strane Network Generala (sada Network Associates), ovaj proizvod je bio jedan od prvih uređaja koji je omogućio menadžerima da doslovno saznaju šta se dešava na velikoj mreži bez napuštanja svog stola. Rani analizatori čitaju zaglavlja poruka u paketima podataka koji se šalju preko mreže, pružajući tako administratorima informacije o adresama pošiljaoca i primaoca, veličinama datoteka i drugim informacijama niskog nivoa. A sve je to uz provjeru ispravnosti prijenosa paketa. Koristeći grafikone i tekstualne opise, analizatori su pomogli mrežnim administratorima da dijagnosticiraju servere, mrežne veze, čvorišta i prekidače i aplikacije. Grubo govoreći, mrežni analizator sluša ili "njuši" pakete određenog segmenta fizičke mreže. Ovo vam omogućava da analizirate promet za neke obrasce, riješite specifične probleme i otkrijete sumnjive aktivnosti. Sistem za detekciju upada u mrežu nije ništa drugo do napredni analizator koji uparuje svaki paket na mreži sa bazom podataka poznatih zlonamernih obrazaca saobraćaja, baš kao što antivirusni program radi sa datotekama na računaru. Za razliku od prethodno opisanih alata, analizatori rade na nižem nivou.
Ako se okrenemo BOC referentnom modelu, onda analizatori provjeravaju dva niža nivoa - fizički i kanal.
|
Broj nivoa BOC modela |
Naziv nivoa |
Primjeri protokola |
|
Nivo 7 |
Nivo aplikacije |
DNS, FTP, HTTP, SMTP, SNMP, Telnet |
|
Nivo 6 |
Prezentacijski sloj |
|
|
Nivo 5 |
Nivo sesije |
|
|
Nivo 4 |
Transportni sloj |
NetBIOS, TCP, UDP |
|
Nivo 3 |
Mrežni sloj |
ARP, IP, IPX, OSPF |
|
Nivo 2 |
Sloj veze |
Arcnet, Ethernet, Token ring |
|
Nivo 1 |
Fizički sloj |
Koaksijalni kabl, optičko vlakno, upredena parica |
Fizički sloj je stvarno fizičko ožičenje ili drugi medij koji se koristi za kreiranje mreže. Na sloju veze podataka, podaci se inicijalno kodiraju za prijenos preko određenog medija. Mrežni standardi sloja veze uključuju bežični 802.11, Arcnet, koaksijalni kabel, Ethernet, Token Ring i još mnogo toga. Analizatori obično ovise o vrsti mreže na kojoj rade. Na primjer, da biste analizirali promet na Ethernet mreži, morate imati Ethernet analizator.
Postoje komercijalni analizatori proizvođača kao što su Fluke, Network General i drugi. Obično se radi o specijalnim hardverskim uređajima koji mogu koštati desetine hiljada dolara. Iako je ovaj hardver sposoban za detaljniju analizu, možete napraviti jeftin mrežni analizator koristeći softver otvorenog koda i jeftin PC baziran na Intelu.
Tipovi analizatora
Sada su dostupni mnogi analizatori, koji su podijeljeni u dva tipa. Prvi uključuje samostalne proizvode koji su instalirani na mobilnom računaru. Konsultant ga može ponijeti sa sobom prilikom posjete uredu klijenta i povezati ga na mrežu radi prikupljanja dijagnostičkih podataka.
Prvobitno su prenosivi uređaji za testiranje mreže dizajnirani isključivo za testiranje tehničkih parametara kabla. Međutim, s vremenom, proizvođači su svoju opremu obdarili brojnim funkcijama analizatora protokola. Moderni mrežni analizatori su sposobni da otkriju širok spektar potencijalnih problema - od fizičkog oštećenja kabla do preopterećenja mrežnih resursa.
Drugi tip analizatora je dio šire kategorije hardvera i softvera za praćenje mreže koji omogućava organizacijama da nadgledaju svoje lokalne i globalne mrežne usluge, uključujući Web. Ovi programi daju administratorima holistički pogled na zdravlje mreže. Na primjer, uz pomoć ovakvih proizvoda možete odrediti koja je od aplikacija trenutno pokrenuta, koji su korisnici registrirani na mreži i koji od njih stvara najveći dio prometa.
Pored identifikacije niskorazinskih karakteristika mreže, kao što su izvor paketa i njihovo odredište, savremeni analizatori dekodiraju dobijene informacije na svih sedam slojeva mrežnog steka Open System Interconnection (OSI) i često daju preporuke za rješavanje problema. Ako analiza na nivou aplikacije ne dozvoljava davanje adekvatne preporuke, analizatori vrše istraživanje na nižem, mrežnom nivou.
Moderni analizatori općenito podržavaju standarde daljinskog nadzora (Rmon i Rmon 2), koji automatski pružaju osnovne podatke o performansama kao što je opterećenje dostupnih resursa. Analizatori koji podržavaju Rmon mogu redovno provjeravati ispravnost mrežnih komponenti i upoređivati dobijene podatke sa prethodno prikupljenim podacima. Ako je potrebno, oni će izdati upozorenje da nivo saobraćaja ili performanse premašuju ograničenja koja su postavili administratori mreže.
NetScout Systems je predstavio nGenius Application Service Level Manager, sistem dizajniran za praćenje vremena odgovora u određenim dijelovima kanala za pristup web stranici i određivanje trenutnih performansi servera. Ova aplikacija može analizirati performanse na javnoj mreži kako bi ponovo stvorila veliku sliku na korisnikovom računaru. Danska firma NetTest (ranije GN Nettest) počela je da nudi Fastnet, sistem za praćenje mreže koji pomaže kompanijama za e-poslovanje da planiraju kapacitet kanala i otklone probleme i probleme sa mrežom.
Analiza konvergiranih (multiservisnih) mreža
Proliferacija multiservisnih mreža (konvergentne mreže) može imati odlučujući uticaj na razvoj telekomunikacionih sistema i sistema za prenos podataka u budućnosti. Ideja o kombinovanju u jednoj mrežnoj infrastrukturi zasnovanoj na paketnom protokolu, mogućnosti prenosa podataka, glasovnih tokova i video informacija pokazala se veoma primamljivom za provajdere specijalizovane za pružanje telekomunikacionih usluga, jer je u trenu mogu značajno proširiti spektar usluga koje pružaju.
Kako korporacije počinju da shvataju efikasnost i troškovne prednosti konvergentnih mreža zasnovanih na IP-u, dobavljači mrežnih alata aktivno razvijaju analizatore. U prvoj polovini godine, mnoge firme su uvele komponente za prenos glasa preko IP-a za svoje proizvode za mrežnu administraciju.
„Konvergencija je stvorila nove izazove sa kojima se administratori mreže moraju nositi,“ rekao je Glenn Grossman, direktor upravljanja proizvodima u NetScout Systems. - Glasovni saobraćaj je vrlo osjetljiv na vremenska kašnjenja. Analizatori mogu vidjeti svaki bit i bajt koji se prenose preko žice, interpretirati zaglavlja i automatski odrediti prioritet podataka."
Korišćenje tehnologija konvergencije glasa i podataka moglo bi da izazove novi talas interesovanja za analizatore, jer održavanje prioriteta saobraćaja na nivou IP paketa postaje neophodno za rad govornih i video usluga. Na primjer, Sniffer Technologies je objavio Sniffer Voice, alat dizajniran za administratore multiservisnih mreža. Ovaj proizvod ne samo da pruža tradicionalne dijagnostičke usluge za upravljanje e-poštom, internetom i prometom baze podataka, već također identificira probleme s mrežom i preporučuje korektivne radnje kako bi se osiguralo da se glasovni promet ispravno prenosi preko IP mreža.
Loša strana korištenja analizatora
Treba imati na umu da postoje dvije strane medalje povezane s analizatorima. Oni pomažu u održavanju mreže i radu, ali ih također mogu koristiti hakeri za pretraživanje paketa podataka za korisnička imena i lozinke. Da bi se spriječilo presretanje lozinki pomoću analizatora, zaglavlja paketa su šifrirana (na primjer, korištenjem standarda Secure Sockets Layer).
Uostalom, još uvijek ne postoji alternativa mrežnom analizatoru u onim situacijama kada je potrebno razumjeti što se događa u globalnoj ili korporativnoj mreži. Dobar analizator vam omogućava da razumete stanje mrežnog segmenta i odredite količinu saobraćaja, kao i da ustanovite kako taj obim varira tokom dana, koji korisnici stvaraju najveće opterećenje, u kojim situacijama postoje problemi sa širenjem saobraćaja ili postoji nedostatak propusnog opsega. Zahvaljujući upotrebi analizatora, moguće je dobiti i analizirati sve podatke u segmentu mreže za određeni period.
Međutim, mrežni analizatori su skupi. Ako planirate da ga kupite, onda prvo jasno navedite šta očekujete od njega.
Osobine korištenja mrežnih analizatora
Da biste etički i produktivno koristili mrežne analizatore, potrebno je slijediti sljedeće smjernice.
Dozvola je uvijek potrebna
Mrežna analiza, kao i mnoge druge sigurnosne funkcije, ima potencijal da bude zloupotrebljena. Presretanje svega podataka koji se prenose preko mreže, možete špijunirati lozinke za različite sisteme, sadržaj mail poruka i druge kritične podatke, kako interne tako i eksterne, budući da većina sistema ne šifruje svoj saobraćaj na lokalnoj mreži. Ako takvi podaci dođu u pogrešne ruke, to očigledno može dovesti do ozbiljnih povreda sigurnosti. Osim toga, to bi moglo narušiti privatnost zaposlenih. Prije svega, prije započinjanja takve aktivnosti trebate dobiti pismenu dozvolu od uprave, po mogućnosti više. Također biste trebali razmisliti šta ćete učiniti s podacima kada ih primite. Osim lozinki, to mogu biti i drugi osjetljivi podaci. Protokoli za mrežnu analizu obično bi trebali biti očišćeni iz sistema osim ako su potrebni za krivično ili građansko gonjenje. Postoje dokumentirani slučajevi otpuštanja dobronamjernih administratora sistema zbog neovlaštenog mijenjanja podataka.
Morate razumjeti topologiju mreže
Prije konfiguriranja analizatora, morate u potpunosti razumjeti fizičku i logičku organizaciju mreže. Analizirajući na pogrešnom mjestu u mreži, možete dobiti b) pogrešni rezultati ili jednostavno nenalaženje onoga što vam je potrebno. Potrebno je provjeriti da nema rutera između radne stanice za analizu i mjesta za praćenje. Ruteri će usmjeriti promet na mrežni segment samo ako se tamo pristupa. Isto tako, na komutiranoj mreži, morat ćete konfigurirati port na koji se uspostavlja veza kao "monitor" ili "mirror" port. Različiti dobavljači koriste različitu terminologiju, ali u suštini port treba da se ponaša kao čvorište, a ne svič, budući da mora da vidi sav saobraćaj koji ide kroz komutator, a ne samo saobraćaj koji ide do radne stanice. Bez ove postavke, port monitora će vidjeti samo ono što je usmjereno na povezani port i mrežni promet.
Moraju se koristiti strogi kriteriji pretraživanja
U zavisnosti od toga šta želite da pronađete, korišćenje otvorenog filtera (to jest, prikazivanje svega) će učiniti izlaz podataka glomaznim i teškim za analizu. Bolje je koristiti posebne kriterije pretraživanja da skratite izlaz koji parser proizvodi. Čak i ako ne znate tačno šta da tražite, i dalje možete napisati filter koji će ograničiti rezultate pretrage. Ako želite da pronađete internu mašinu, ispravno je da postavite kriterijume da vidite samo izvorne adrese unutar date mreže. Ako trebate pratiti određenu vrstu prometa, recimo FTP promet, možete ograničiti rezultate samo na ono što dolazi na portu koji koristi aplikacija. Na taj način se mogu postići mnogo bolji analitički rezultati.
Postavljanje referentnog stanja mreže
Primenom mrežnog analizatora tokom normalnog rada , a snimanjem konačnih rezultata dolazi se do referentnog stanja koje se može uporediti s rezultatima dobivenim pri pokušaju izolacije problema. Ethereal analizator o kojem se govori u nastavku generiše neke zgodne izvještaje za ovo. Neki podaci će također biti primljeni za praćenje korištenja mreže tokom vremena. Koristeći ove podatke, možete odrediti kada je mreža zasićena i koji su glavni razlozi za to - preopterećen server, povećanje broja korisnika, promjena vrste prometa itd. Ako postoji polazna tačka, lakše je shvatiti ko je za šta kriv.
tcpdump
Glavni alat za skoro cjelokupno prikupljanje mrežnog prometa je tcpdump. To je aplikacija otvorenog koda koja se instalira na gotovo sve operativne sisteme slične Unixu. Tcpdump je odličan alat za prikupljanje podataka i dolazi s vrlo moćnim mehanizmom za filtriranje. Važno je znati kako filtrirati podatke tokom prikupljanja kako biste na kraju dobili komad podataka kojim se može upravljati za analizu. Snimanje svih podataka sa mrežnog uređaja, čak i na umjereno zauzetoj mreži, može stvoriti previše podataka za jednostavnu analizu.
U nekim rijetkim slučajevima, tcpdump vam omogućava da iznesete izlaz direktno na ekran, a to može biti dovoljno da pronađete ono što tražite. Na primjer, dok je pisao članak, uhvaćen je dio prometa i primjećeno je da mašina šalje promet na nepoznatu IP adresu. Ispostavilo se da je mašina slala podatke na Google-ovu IP adresu 172.217.11.142. S obzirom na to da Google proizvodi nisu lansirani, postavilo se pitanje zašto se to dešava.
Provjera sistema je pokazala sljedeće:
[~] $ ps -ef | grep googleOstavite svoj komentar!
PREGLED PROGRAMA ANALIZE I PRAĆENJA MREŽNOG PROMETA
A.I. KOSTROMITSKY, Kand. tech. nauke, V.S. VOLOTKA
Uvod
Praćenje saobraćaja je od vitalnog značaja za efikasno upravljanje mrežom. To je izvor informacija o funkcionisanju korporativnih aplikacija, koje se uzimaju u obzir pri dodjeli sredstava, planiranju računarske snage, identifikaciji i lokalizaciji kvarova, te rješavanju sigurnosnih problema.
U ne tako davnoj prošlosti, praćenje saobraćaja je bio relativno jednostavan zadatak. Računari su po pravilu bili povezani u mrežu zasnovanu na topologiji magistrale, odnosno imali su zajednički medij za prenos. To je omogućilo povezivanje jednog uređaja na mrežu pomoću kojeg je bilo moguće pratiti sav promet. Međutim, potražnja za povećanom propusnošću mreže i razvojem tehnologija za komutaciju paketa, što je uzrokovalo pad cijena svičeva i rutera, dovelo je do brzog prijelaza sa zajedničkog prijenosnog medija na visoko segmentirane topologije. Ukupan promet se više ne može vidjeti s jedne tačke. Da biste dobili potpunu sliku, morate pratiti svaki port. Povezivanje od tačke do tačke čini povezivanje uređaja nezgodnim i zahtevalo bi previše za slušanje na svim portovima, što ga čini preskupim zadatkom. Osim toga, sami svičevi i ruteri su složene arhitekture, a brzina obrade i prijenosa paketa postaje važan faktor u određivanju performansi mreže.
Jedan od urgentnih naučnih problema trenutno je analiza (i dalje predviđanje) samoslične strukture saobraćaja u savremenim multiservisnim mrežama. Za rješavanje ovog problema potrebno je prikupiti, a zatim analizirati različite statistike (brzina, količine prenetih podataka, itd.) u postojećim mrežama. Prikupljanje takve statistike u ovom ili onom obliku moguće je pomoću različitih softverskih alata. Međutim, postoji niz dodatnih parametara i postavki koji se ispostavljaju vrlo važni u praktičnoj upotrebi različitih alata.
Razni istraživači koriste širok spektar programa za praćenje mrežnog saobraćaja. Na primjer, istraživači su koristili program za analizu mrežnog saobraćaja (sniffer) Ethreal (Wireshark).
Pregledali smo besplatne verzije programa koji su dostupni na,,.
1. Pregled programa za praćenje mrežnog saobraćaja
Pregledali smo desetak programa za analizu saobraćaja (sniffers) i više od desetak programa za praćenje mrežnog saobraćaja, od kojih smo odabrali četiri po našem mišljenju najzanimljivija i ponudili vam pregled njihovih glavnih mogućnosti.
1) BMExtreme(sl. 1).
Ovo je novi naziv dobro poznatog programa Bandwidth Monitor. Ranije se program distribuirao besplatno, ali sada ima tri verzije, a besplatna je samo osnovna. Ova verzija ne pruža nikakve mogućnosti, osim, zapravo, nadzora saobraćaja, tako da se teško može smatrati konkurentom drugim programima. BMExtreme prema zadanim postavkama prati i Internet promet i LAN promet, ali LAN praćenje može biti onemogućeno po želji.
Rice. jedan
2) BWMeter(sl. 2).
Ovaj program ima ne jedan, već dva prozora za praćenje prometa: jedan prikazuje aktivnost na Internetu, a drugi - na lokalnoj mreži.
Rice. 2
Program ima fleksibilne postavke za praćenje saobraćaja. Uz njegovu pomoć možete odrediti da li trebate pratiti prijem i prijenos podataka na Internet samo sa ovog računara ili sa svih računara povezanih na lokalnu mrežu, postaviti raspon IP adresa, portova i protokola za koje će praćenje ili neće biti izvedena. Osim toga, možete isključiti praćenje prometa u određenim satima ili danima. Administratori sistema će sigurno cijeniti mogućnost raspodjele prometa između računala na lokalnoj mreži. Dakle, za svaki računar možete podesiti maksimalnu brzinu prenosa i prijema podataka, kao i zabraniti mrežnu aktivnost jednim klikom.
Sa vrlo malom veličinom, program ima ogroman izbor mogućnosti, od kojih se neke mogu predstaviti na sljedeći način:
Nadgledanje svih mrežnih interfejsa i bilo kakvog mrežnog saobraćaja.
Moćan sistem filtera koji vam omogućava da procenite obim bilo kog dela saobraćaja - do određene lokacije u određenom pravcu ili saobraćaja sa svake mašine u lokalnoj mreži u određeno doba dana.
Neograničen broj prilagodljivih grafikona aktivnosti mrežnih veza na osnovu odabranih filtera.
Kontrola (ograničavanje, obustava) toka saobraćaja na bilo kojem od filtera.
Pogodan statistički sistem (od sata do godinu dana) sa funkcijom izvoza.
Mogućnost pregleda statistike udaljenih računara sa BWMeter-om.
Fleksibilan sistem upozorenja i obavještenja po dolasku na određeni događaj.
Maksimalne mogućnosti prilagođavanja, uklj. izgled.
Mogućnost pokretanja kao usluge.
3) Bandwidth Monitor Pro(sl. 3).
Njegovi programeri su dosta pažnje posvetili postavljanju prozora za praćenje saobraćaja. Prvo, možete definirati koje vrste informacija će program stalno prikazivati na ekranu. To može biti količina primljenih i prenesenih podataka (i zasebno i ukupno) za danas i za bilo koji određeni vremenski period, prosječna, trenutna i maksimalna brzina veze. Ako imate instalirano nekoliko mrežnih adaptera, možete pratiti statistiku za svaki od njih posebno. U isto vrijeme, potrebne informacije za svaku mrežnu karticu također se mogu prikazati u prozoru za nadzor.
Rice. 3
Posebno treba reći o sistemu obavještavanja, koji je ovdje vrlo dobro implementiran. Možete podesiti ponašanje programa kada se ispune navedeni uslovi, a to može biti prenos određene količine podataka u određenom vremenskom periodu, dostizanje maksimalne brzine preuzimanja, promena brzine veze i sl. servis. U ovom slučaju, Bandwidth Monitor Pro će prikupljati statistiku svih korisnika koji se prijavljuju na sistem koristeći svoje prijave.
4) DUTraffic(sl. 4).
DUTraffic se razlikuje od svih programa za pregled po svom besplatnom statusu.
Rice. 4
Poput svojih komercijalnih kolega, DUTraffic može obavljati različite radnje kada su ispunjeni određeni uvjeti. Tako, na primjer, može reproducirati audio fajl, prikazati poruku ili prekinuti internet vezu kada je prosječna ili trenutna brzina preuzimanja manja od određene vrijednosti, kada trajanje internet sesije premašuje određeni broj sati, kada prenosi se određena količina podataka. Osim toga, razne radnje se mogu izvoditi ciklično, na primjer, svaki put kada program otkrije prijenos određene količine informacija. Statistika u DUTraffic-u se vodi zasebno za svakog korisnika i za svaku internet vezu. Program prikazuje kako opštu statistiku za odabrani vremenski period, tako i informacije o brzini, količini prenetih i primljenih podataka i finansijskim troškovima za svaku sesiju.
5) Sistem za nadzor Cactus(sl. 5).
Cacti je web aplikacija otvorenog koda (nema instalacione datoteke). Cacti prikuplja statističke podatke za određene vremenske intervale i omogućava vam da ih prikažete u grafičkom obliku. Sistem vam omogućava da pravite grafikone koristeći RRDtool. Uglavnom se koriste standardni šabloni za prikaz statistike o opterećenju procesora, raspodjeli RAM-a, broju pokrenutih procesa i korištenju dolaznog/odlaznog prometa.
Interfejs za prikaz statistike prikupljene sa mrežnih uređaja predstavljen je u obliku stabla čiju strukturu postavlja sam korisnik. Grafovi se po pravilu grupišu prema određenim kriterijumima, a isti graf može biti prisutan u različitim granama stabla (npr. saobraćaj preko mrežnog interfejsa servera – u onom koji je posvećen opštoj slici internet saobraćaja kompanije, i u grani sa parametrima ovog uređaja) ... Postoji opcija za pregled unapred kompajliranih grafika, a postoji i režim pregleda. Svaki od grafikona se može pogledati zasebno, dok će biti predstavljen za posljednji dan, sedmicu, mjesec i godinu. Moguće je samostalno odabrati vremenski interval za koji će se generisati raspored, a to se može učiniti ili specificiranjem kalendarskih parametara, ili jednostavnim odabirom određenog područja na njemu pomoću miša.
Tabela 1
|
Parametri / Programi |
BMExtreme |
BWMeter |
Bandwidth Monitor Pro |
DUTraffic |
Kaktusi |
|
Veličina instalacionog fajla |
473 KB |
1.91 MB |
1.05 MB |
1.4 MB |
|
|
Jezik interfejsa |
ruski |
ruski |
engleski |
ruski |
engleski |
|
Grafikon brzine |
|||||
|
Grafikon saobraćaja |
|||||
|
Izvoz/uvoz (format datoteke za izvoz) |
–/– |
(*. csv) |
–/– |
–/– |
(*. xls) |
|
Min -ti vremenski korak između izvještaja o podacima |
5 minuta. |
1 sek. |
1 minuta. |
1 sek. |
1 sek. |
|
Mogućnost promjene min |
|||||
2. Pregled analizatora mrežnog saobraćaja (sniffers)
Analizator saobraćaja, ili njuškalo, je analizator mrežnog saobraćaja, programski ili softverski i hardverski uređaj dizajniran da presretne, a zatim analizira ili samo analizira mrežni saobraćaj namenjen drugim čvorovima.
Analiza saobraćaja koji je prošao kroz njuškalo omogućava vam da:
Presretnite svaki nešifrirani (a ponekad i šifrirani) korisnički promet kako biste dobili lozinke i druge informacije.
Pronađite kvar mreže ili konfiguracionu grešku u mrežnim agentima (u tu svrhu administratori sistema često koriste njuškare).
Budući da se u "klasičnom" snifferu analiza saobraćaja radi ručno, uz korištenje samo najjednostavnijih alata za automatizaciju (analiza protokola, oporavak TCP streama), pogodna je za analizu samo malih količina istog.
1) Wireshark(ranije Ethereal).
Softver za analizu saobraćaja za računarske mreže Ethernet i neki drugi. Ima grafičko korisničko sučelje. Wireshark je aplikacija koja "zna" strukturu širokog spektra mrežnih protokola i stoga vam omogućava da analizirate mrežni paket, prikazujući vrijednost svakog polja protokola bilo kojeg sloja. Pošto se pcap koristi za hvatanje paketa, moguće je hvatanje podataka samo sa onih mreža koje podržava ova biblioteka. Međutim, Wireshark može rukovati različitim formatima ulaznih podataka, tako da možete otvoriti datoteke s podacima snimljene drugim programima, što proširuje mogućnosti snimanja.
2) IrisMrežaSaobraćajAnalyzer.
Pored standardnih funkcija prikupljanja, filtriranja i traženja paketa, kao i generisanja izveštaja, program nudi jedinstvene mogućnosti za rekonstrukciju podataka. Iris Analizator mrežnog saobraćaja pomaže da se detaljno reproduciraju sesije korisnika sa različitim web resursima i čak vam omogućava da simulirate slanje lozinki za pristup sigurnim web serverima pomoću kolačića. Jedinstvena tehnologija rekonstrukcije podataka implementirana u modulu za dekodiranje pretvara stotine prikupljenih binarnih mrežnih paketa u poznate e-mailove, web stranice, ICQ poruke, itd. eEye Iris vam omogućava da vidite nešifrovanu web poštu i programe za razmjenu trenutnih poruka, proširujući mogućnosti postojećeg nadzora i alati za reviziju.
Analizator paketa eEye Iris bilježi različite detalje napada kao što su datum i vrijeme, IP adrese i DNS imena računara hakera i žrtve, te korišteni portovi.
3) EthernetInternetsaobraćajaStatistika.
Statistika Ethernet Internet saobraćaja prikazuje količinu primljenih i primljenih podataka (u bajtovima - ukupno i za poslednju sesiju), kao i brzinu veze. Radi jasnoće, prikupljeni podaci se prikazuju u realnom vremenu na grafikonu. Radi bez instalacije, interfejs - ruski i engleski.
Uslužni program za praćenje stepena mrežne aktivnosti - prikazuje količinu primljenih i primljenih podataka, vođenje statistike za sesiju, dan, sedmicu i mjesec.
4) CommTraffic.
Ovo je mrežni uslužni program za prikupljanje, obradu i prikaz statistike internet prometa putem dial-up ili namjenske veze. Prilikom praćenja LAN segmenta, CommTraffic prikazuje Internet promet za svaki računar u segmentu.
CommTraffic uključuje vrlo prilagodljiv, user-friendly sučelje koje prikazuje mrežnu statistiku u grafikonima i brojevima.
tabela 2
|
Parametri / Programi |
Wireshark |
Iris Analizator mrežnog saobraćaja |
Statistika Ethernet saobraćaja |
CommTraffic |
|
Veličina instalacionog fajla |
17,4 MB |
5.04 MB |
651 KB |
7.2 MB |
|
Jezik interfejsa |
engleski |
ruski |
engleski ruski |
ruski |
|
Grafikon brzine |
||||
|
Grafikon saobraćaja |
||||
|
Izvoz/uvoz (format datoteke za izvoz) |
+/– (* .txt, * .px, * .csv, * .psml, * .pdml, * .c) |
–/– |
–/– |
–/– |
|
Započnite praćenje na zahtjev |
||||
|
Min -ti vremenski korak između izvještaja o podacima |
0,001 sek. |
1 sek. |
1 sek. |
1 sek. |
|
Mogućnost promjene min -ti korak između izvještaja o podacima |
Zaključak
Generalno, možemo reći da će većina kućnih korisnika biti zadovoljna mogućnostima koje Bandwidth Monitor Pro pruža. Ako govorimo o najfunkcionalnijem programu za praćenje mrežnog prometa, to je svakako BWMeter.
Od razmatranih analizatora mrežnog saobraćaja, izdvojio bih Wireshark, koji ima više funkcionalnosti.
Cacti monitoring sistem u najvećoj mogućoj mjeri ispunjava povećane zahtjeve u slučaju istraživanja mrežnog saobraćaja u naučne svrhe. U budućnosti, autori članka planiraju da koriste ovaj sistem za prikupljanje i preliminarnu analizu saobraćaja u korporativnoj multiservisnoj mreži Katedre za komunikacione mreže Harkovskog nacionalnog univerziteta za radio elektroniku.
Bibliografija
Platov V.V., Petrov V.V. Istraživanje samoslične strukture teleprometa bežične mreže // Radiotehničke bilježnice. M.: OKB MEI. 2004. br. 3. S. 58-62.
V.V. Petrov Struktura teleprometa i algoritam osiguranja kvaliteta usluge pod uticajem efekta samosličnosti. Disertacija za zvanje kandidata tehničkih nauka, 05.12.13, Moskva, 2004, 199 str.
