تحلیلگرهای بسته شبکه تحلیلگرهای شبکه

اصل: 8 بهترین بسته‌ها و آنالایزرهای شبکه
نویسنده: جان واتسون
تاریخ انتشار: 22 نوامبر 2017
ترجمه: A. Krivoshey
تاریخ انتقال: دسامبر 2017

Packet Sniffing یک اصطلاح محاوره ای است که به هنر استشمام ترافیک شبکه اشاره دارد. برخلاف تصور رایج، چیزهایی مانند ایمیل ها و صفحات وب یکپارچه از طریق اینترنت عبور نمی کنند. آنها به هزاران بسته داده کوچک شکسته می شوند و بنابراین از طریق اینترنت ارسال می شوند. در این مقاله نگاهی به بهترین آنالایزرهای رایگان شبکه و بسته sniffers خواهیم داشت.

برنامه های کاربردی زیادی وجود دارند که ترافیک شبکه را جمع آوری می کنند و اکثر آنها از pcap (در سیستم های مشابه یونیکس) یا libcap (در ویندوز) به عنوان هسته خود استفاده می کنند. نوع دیگری از ابزار به تجزیه و تحلیل این داده ها کمک می کند، زیرا حتی مقدار کمی ترافیک می تواند هزاران بسته ایجاد کند که ناوبری آنها دشوار است. تقریباً همه این ابزارها در جمع آوری داده ها با یکدیگر تفاوت کمی دارند، تفاوت اصلی آنها در نحوه تجزیه و تحلیل داده ها است.

تجزیه و تحلیل ترافیک شبکه مستلزم درک نحوه عملکرد شبکه است. هیچ ابزاری وجود ندارد که به طور جادویی جایگزین دانش یک تحلیلگر از شبکه های اولیه شود، مانند TCP "3-way handshake" که برای شروع ارتباط بین دو دستگاه استفاده می شود. تحلیلگران همچنین باید درک درستی از انواع ترافیک شبکه در یک شبکه معمولی مانند ARP و DHCP داشته باشند. این دانش مهم است زیرا ابزارهای تجزیه و تحلیل به سادگی آنچه را که از آنها می خواهید به شما نشان می دهند. این شما هستید که تصمیم می گیرید چه چیزی بخواهید. اگر نمی‌دانید شبکه شما معمولاً چه شکلی است، ممکن است سخت باشد که بدانید آنچه را که به دنبال آن هستید در انبوه بسته‌هایی که کامپایل کرده‌اید پیدا کرده‌اید.

بهترین ابزارهای شناسایی بسته و آنالایزر شبکه

ابزار صنعتی

بیایید از بالا شروع کنیم و سپس به اصول اولیه برویم. اگر با یک شبکه در سطح سازمانی سر و کار دارید، به یک تفنگ بزرگ نیاز دارید. در حالی که تقریباً همه چیز از tcpdump در هسته خود استفاده می کند (در ادامه در مورد آن توضیح خواهیم داد)، ابزارهای سطح سازمانی می توانند برخی از مشکلات پیچیده را حل کنند، مانند ارتباط ترافیک از چندین سرور، ارائه پرس و جوهای هوشمند برای شناسایی مشکلات، هشدار دادن به استثناها، و ایجاد نمودارهای خوب. که روسا همیشه مطالبه می کنند. .

ابزارهای سطح سازمانی تمایل دارند به جای ارزیابی محتویات بسته ها، بر جریان ترافیک شبکه تمرکز کنند. منظور من این است که تمرکز اصلی اکثر مدیران سیستم در یک سازمان این است که اطمینان حاصل کنند که شبکه دارای گلوگاه های عملکردی نیست. هنگامی که چنین تنگناهایی رخ می دهد، هدف معمولاً تعیین این است که آیا مشکل ناشی از شبکه است یا یک برنامه کاربردی در شبکه. از طرف دیگر، این ابزارها معمولاً می توانند ترافیک زیادی را مدیریت کنند که می توانند به پیش بینی زمان بارگیری کامل یک بخش شبکه کمک کنند، که یک نقطه مهم در مدیریت پهنای باند شبکه است.

این مجموعه بسیار بزرگی از ابزارهای مدیریت فناوری اطلاعات است. در این مقاله، ابزار Deep Packet Inspection and Analysis که جزء لاینفک آن است، مناسب تر است. جمع آوری ترافیک شبکه بسیار ساده است. با ابزارهایی مانند WireShark، تجزیه و تحلیل اولیه نیز مشکلی نیست. اما وضعیت همیشه کاملاً روشن نیست. در یک شبکه بسیار شلوغ، تعیین موارد بسیار ساده نیز ممکن است دشوار باشد، مانند:

چه برنامه ای در شبکه این ترافیک را ایجاد می کند؟
- اگر برنامه شناخته شده باشد (مثلاً یک مرورگر وب)، کاربران آن بیشتر وقت خود را در کجا می گذرانند؟
- کدام اتصالات طولانی ترین و بیش از حد شبکه هستند؟

اکثر دستگاه های شبکه از فراداده هر بسته استفاده می کنند تا مطمئن شوند که بسته به جایی که باید برود می رود. محتویات بسته برای دستگاه شبکه ناشناخته است. چیز دیگر بازرسی بسته عمیق است. این بدان معنی است که محتوای واقعی بسته بررسی می شود. به این ترتیب، اطلاعات حیاتی شبکه را که نمی توان از ابرداده ها به دست آورد، کشف کرد. ابزارهایی مانند ابزارهای ارائه شده توسط SolarWinds می توانند داده های معنی داری بیشتری نسبت به جریان ترافیک ارائه دهند.

از دیگر فناوری‌های مدیریت شبکه با داده فشرده می‌توان به NetFlow و sFlow اشاره کرد. هر کدام نقاط قوت و ضعف خود را دارند،

می توانید در مورد NetFlow و sFlow اطلاعات بیشتری کسب کنید.

تحلیل شبکه به طور کلی یک موضوع پیشرفته است که هم بر اساس دانش کسب شده و هم بر اساس تجربیات عملی است. می توان دانش دقیقی در مورد بسته های شبکه به فرد آموزش داد، اما اگر این فرد دانش خود شبکه را نداشته باشد و در تشخیص ناهنجاری ها تجربه ای نداشته باشد، خیلی خوب عمل نمی کند. ابزارهای این مقاله باید توسط مدیران شبکه با تجربه استفاده شود که می دانند چه می خواهند اما مطمئن نیستند که کدام ابزار بهترین است. آنها همچنین می توانند توسط مدیران سیستم با تجربه کمتر برای کسب تجربه شبکه روزانه مورد استفاده قرار گیرند.

مبانی

ابزار اصلی برای جمع آوری ترافیک شبکه است

این یک برنامه متن باز است که تقریباً بر روی تمام سیستم عامل های مشابه یونیکس نصب شده است. Tcpdump یک ابزار عالی برای جمع آوری داده است که دارای یک زبان فیلترینگ بسیار پیچیده است. مهم است که بدانید چگونه داده ها را هنگام جمع آوری فیلتر کنید تا در نهایت به یک مجموعه داده معمولی برای تجزیه و تحلیل برسید. گرفتن تمام داده‌ها از یک دستگاه شبکه، حتی در یک شبکه نسبتاً شلوغ، می‌تواند داده‌های زیادی تولید کند که تجزیه و تحلیل آن بسیار دشوار خواهد بود.

در برخی موارد نادر، کافی است داده‌های گرفته شده توسط tcpdump را مستقیماً روی صفحه چاپ کنید تا آنچه را که نیاز دارید پیدا کنید. به عنوان مثال، هنگام نوشتن این مقاله، ترافیک را جمع آوری کردم و متوجه شدم که دستگاه من ترافیک را به یک آدرس IP که من نمی دانم ارسال می کند. معلوم شد دستگاه من داده‌ها را به آدرس IP Google 172.217.11.142 ارسال کرده است. از آنجایی که هیچ محصول Google نداشتم و جیمیل باز نداشتم، نمی دانستم چرا این اتفاق می افتد. من سیستمم را چک کردم و موارد زیر را پیدا کردم:

[ ~ ]$ ps -ef | grep google user 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

به نظر می رسد که حتی زمانی که کروم در حال اجرا نیست، همچنان به عنوان یک سرویس در حال اجرا است. من بدون بو کشیدن بسته متوجه این موضوع نمی شدم. من چند بسته داده دیگر گرفتم، اما این بار از tcpdump خواستم که داده ها را در یک فایل بنویسد، که سپس آن را در Wireshark باز کردم (در ادامه در مورد آن توضیح خواهیم داد). در اینجا ورودی ها آمده است:

Tcpdump ابزار مورد علاقه مدیران سیستم است زیرا یک ابزار خط فرمان است. tcpdump برای اجرا به رابط کاربری گرافیکی نیاز ندارد. برای سرورهای تولیدی، رابط گرافیکی نسبتاً مضر است، زیرا منابع سیستم را مصرف می کند، بنابراین برنامه های خط فرمان ترجیح داده می شوند. مانند بسیاری از ابزارهای مدرن، tcpdump زبان بسیار غنی و پیچیده ای دارد که تسلط بر آن زمان می برد. تعدادی از ابتدایی ترین دستورات شامل انتخاب یک رابط شبکه برای جمع آوری داده ها و نوشتن آن داده ها در یک فایل است تا بتوان آن را برای تجزیه و تحلیل در جای دیگری صادر کرد. برای این کار از سوئیچ های -i و -w استفاده می شود.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: گوش دادن در eth0، نوع پیوند EN10 مگابایت (اترنت)، اندازه ضبط 262144 بایت ^ بسته‌های C51 ضبط شده

این دستور یک فایل با داده های ضبط شده ایجاد می کند:

فایل tcpdump_packets tcpdump_packets: فایل ضبط tcpdump (little-endian) - نسخه 2.4 (اترنت، طول ضبط 262144)

استاندارد چنین فایل هایی فرمت pcap است. این متن نیست، بنابراین فقط می تواند توسط برنامه هایی که این قالب را درک می کنند، تجزیه شود.

3. بادگیر

اکثر ابزارهای منبع باز مفید در نهایت به سیستم عامل های دیگر شبیه سازی می شوند. وقتی این اتفاق می افتد، گفته می شود که برنامه مهاجرت کرده است. Windump یک پورت tcpdump است و رفتار بسیار مشابهی دارد.

مهم ترین تفاوت بین Windump و tcpdump این است که Windump قبل از اجرای Windump به کتابخانه Winpcap نیاز دارد. اگرچه Windump و Winpcap توسط یک نگهدارنده ارائه شده اند، اما باید جداگانه دانلود شوند.

Winpcap یک کتابخانه است که باید از قبل نصب شده باشد. اما Windump یک فایل exe است که نیازی به نصب ندارد، بنابراین می توانید آن را اجرا کنید. اگر از شبکه ویندوزی استفاده می کنید، باید به این نکته توجه داشته باشید. لازم نیست Windump را روی هر ماشینی نصب کنید، زیرا می توانید آن را در صورت نیاز کپی کنید، اما برای پشتیبانی از Windup به Winpcap نیاز دارید.

همانند tcpdump، Windump می‌تواند داده‌های شبکه را برای تجزیه و تحلیل نمایش دهد، به همان روش فیلتر کند و داده‌ها را برای تجزیه و تحلیل بعدی در یک فایل pcap بنویسد.

4 Wireshark

Wireshark بهترین ابزار شناخته شده بعدی در مجموعه sysadmin است. این نه تنها به شما امکان می دهد داده ها را ضبط کنید، بلکه برخی از ابزارهای تحلیل پیشرفته را نیز ارائه می دهد. علاوه بر این، Wireshark منبع باز است و تقریباً به هر سیستم عامل سرور موجود منتقل شده است. Wireshark که Etheral نامیده می شود، اکنون در همه جا کار می کند، از جمله به عنوان یک برنامه کاربردی قابل حمل مستقل.

اگر در حال تجزیه و تحلیل ترافیک روی یک سرور رابط کاربری گرافیکی هستید، Wireshark می تواند همه چیز را برای شما انجام دهد. او می‌تواند داده‌ها را جمع‌آوری کند و سپس همه آن‌ها را همانجا تجزیه و تحلیل کند. با این حال، رابط کاربری گرافیکی در سرورها نادر است، بنابراین می توانید داده های شبکه را از راه دور جمع آوری کنید و سپس فایل pcap حاصل را در Wireshark در رایانه خود بررسی کنید.

هنگامی که برای اولین بار راه اندازی شد، Wireshark به شما این امکان را می دهد که یک فایل pcap موجود را بارگیری کنید یا یک ضبط ترافیک را اجرا کنید. در مورد دوم، می‌توانید فیلترهایی را برای کاهش حجم داده‌های جمع‌آوری‌شده تنظیم کنید. اگر فیلتری را مشخص نکنید، Wireshark به سادگی تمام داده های شبکه را از رابط انتخاب شده جمع آوری می کند.

یکی از مفیدترین ویژگی های Wireshark امکان دنبال کردن جریان است. بهتر است نخ را به عنوان یک زنجیره در نظر بگیرید. در اسکرین شات زیر، می‌توانیم داده‌های زیادی را مشاهده کنیم، اما من بیشتر به آدرس IP گوگل علاقه داشتم. من می توانم کلیک راست کرده و جریان TCP را دنبال کنم تا کل زنجیره را ببینم.

اگر ترافیک در رایانه دیگری ضبط شده است، می توانید فایل PCAP را با استفاده از Wireshark File -> Open dialog وارد کنید. فیلترها و ابزارهای مشابه برای داده های شبکه گرفته شده برای فایل های وارد شده موجود است.

5-کوسه

Tshark یک پیوند بسیار مفید بین tcpdump و Wireshark است. Tcpdump در جمع آوری داده ها عالی است و فقط می تواند داده های مورد نیاز شما را با جراحی استخراج کند، با این حال قابلیت های تجزیه و تحلیل داده های آن بسیار محدود است. Wireshark هم در ضبط و هم در تجزیه و تحلیل کار بسیار خوبی انجام می دهد، اما رابط کاربری سنگینی دارد و نمی توان از آن در سرورهای غیر GUI استفاده کرد. tshark را امتحان کنید، روی خط فرمان کار می کند.

Tshark از همان قوانین فیلترینگ Wireshark استفاده می کند، که جای تعجب نیست زیرا آنها اساساً یک محصول هستند. دستور زیر فقط به tshark می‌گوید که آدرس IP مقصد و برخی فیلدهای مورد علاقه دیگر را از قسمت HTTP بسته بگیرد.

# tshark -i eth0 -Y http.request -T fields -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.20.2 Mozilla.20.0.01. rv:57.0) Gecko/20100101 فایرفاکس/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x81010Ge1000. Linux x86_50. /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png 172.20.1 Mozilla. x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 / Firefoxfavic/57on

اگر می خواهید ترافیک یک فایل را بنویسید، از گزینه -W برای انجام این کار استفاده کنید و سپس از کلید -r (خواندن) برای خواندن آن استفاده کنید.

ابتدا عکس بگیرید:

# tshark -i eth0 -w tshark_packets گرفتن روی "eth0" 102 ^C

اینجا را بخوانید یا برای تجزیه و تحلیل به جای دیگری منتقل کنید.

# tshark -r tshark_packets -Y http.request -T fields -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/2010011 Firefox /57.0 /contact 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reservations/ 172.20.0.122 Mozilla/5.0.74 (86_01) reservations/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js.7.2s. 0.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x8100101) Gecko/20100101 57.0 /res/images/title.png

این یک ابزار بسیار جالب است که به جای sniffers در دسته ابزارهای تجزیه و تحلیل قانونی شبکه قرار می گیرد. رشته علوم پزشکی قانونی معمولاً تحقیقاتی و جمع آوری شواهد است و Network Miner این کار را به خوبی انجام می دهد. همانطور که wireshark می تواند یک جریان TCP را دنبال کند تا کل زنجیره انتقال بسته را بازیابی کند، Network Miner نیز می تواند یک جریان را دنبال کند تا فایل هایی را که از طریق شبکه منتقل شده اند بازیابی کند.

Network Miner را می توان به صورت استراتژیک در شبکه قرار داد تا بتواند ترافیک مورد نظر شما را در زمان واقعی مشاهده و جمع آوری کند. ترافیک خود را در شبکه ایجاد نمی کند، بنابراین به صورت مخفی کار می کند.

Network Miner می تواند به صورت آفلاین نیز کار کند. می توانید از tcpdump برای جمع آوری بسته ها از نقطه مورد نظر شبکه استفاده کنید و سپس فایل های PCAP را به Network Miner وارد کنید. در مرحله بعد، می توانید سعی کنید هر فایل یا گواهی موجود در فایل ضبط شده را بازیابی کنید.

Network Miner برای ویندوز ساخته شده است، اما با Mono می توان آن را روی هر سیستم عاملی که از پلتفرم Mono پشتیبانی می کند، مانند Linux و MacOS اجرا کرد.

یک نسخه رایگان، در سطح ورودی، اما با مجموعه ای مناسب از ویژگی ها وجود دارد. اگر به ویژگی های اضافی مانند موقعیت جغرافیایی و سناریوهای سفارشی نیاز دارید، باید یک مجوز حرفه ای خریداری کنید.

7Fiddler (HTTP)

این ابزار از لحاظ فنی یک ابزار ضبط بسته های شبکه نیست، اما آنقدر فوق العاده مفید است که در این لیست قرار دارد. برخلاف سایر ابزارهای فهرست شده در اینجا، که برای گرفتن ترافیک شبکه از هر منبعی طراحی شده اند، Fiddler بیشتر یک ابزار اشکال زدایی است. ترافیک HTTP را جذب می کند. در حالی که بسیاری از مرورگرها در حال حاضر این قابلیت را در ابزارهای توسعه دهنده خود دارند، Fiddler به ترافیک مرورگر محدود نمی شود. Fiddler می تواند هر ترافیک HTTP را روی رایانه شما، از جمله برنامه های غیر وب، ضبط کند.

بسیاری از برنامه های دسکتاپ از HTTP برای اتصال به سرویس های وب استفاده می کنند و به غیر از Fiddler، تنها راه برای جذب چنین ترافیکی برای تجزیه و تحلیل، استفاده از ابزارهایی مانند tcpdump یا Wireshark است. با این حال، آنها در سطح بسته ها کار می کنند، بنابراین برای تجزیه و تحلیل لازم است که این بسته ها به جریان های HTTP مهندسی معکوس شوند. انجام تحقیقات ساده می تواند کار زیادی باشد، و اینجاست که Fiddler وارد عمل می شود. Fiddler می تواند به شناسایی کوکی ها، گواهی ها و سایر داده های مفید ارسال شده توسط برنامه ها کمک کند.

Fiddler رایگان است و مانند Network Miner، تقریباً در هر سیستم عاملی می توان آن را به صورت Mono اجرا کرد.

8 کپسا

Capsa Network Analyzer دارای چندین نسخه است که هر کدام دارای قابلیت های متفاوتی هستند. در سطح اول، Capsa رایگان است و اساساً به شما امکان می دهد تا بسته ها را به سادگی ضبط کنید و برخی از تجزیه و تحلیل گرافیکی اولیه آنها را انجام دهید. داشبورد منحصر به فرد است و می تواند به مدیر سیستم بی تجربه کمک کند تا به سرعت مشکلات شبکه را شناسایی کند. سطح رایگان برای افرادی است که می خواهند در مورد بسته ها بیشتر بیاموزند و مهارت های تجزیه و تحلیل خود را تقویت کنند.

نسخه رایگان به شما اجازه می دهد تا بیش از 300 پروتکل را کنترل کنید، مناسب برای نظارت بر ایمیل و همچنین ذخیره محتوای ایمیل، همچنین از محرک هایی پشتیبانی می کند که می توانند برای ایجاد هشدار در شرایط خاص استفاده شوند. در این راستا می توان از Capsa تا حدودی به عنوان یک ابزار پشتیبانی استفاده کرد.

Capsa فقط برای Windows 2008/Vista/7/8 و 10 در دسترس است.

نتیجه

به راحتی می توان فهمید که چگونه با استفاده از ابزارهایی که توضیح دادیم، یک مدیر سیستم می تواند یک زیرساخت نظارت بر شبکه ایجاد کند. Tcpdump یا Windump را می توان روی همه سرورها نصب کرد. یک زمان‌بندی، مانند cron یا زمان‌بندی ویندوز، جلسه جمع‌آوری بسته‌ها را در زمان مناسب شروع می‌کند و داده‌های جمع‌آوری‌شده را در یک فایل pcap می‌نویسد. سپس مدیر سیستم می تواند این بسته ها را به ماشین مرکزی ارسال کند و با استفاده از wireshark آنها را تجزیه و تحلیل کند. اگر شبکه برای این کار بیش از حد بزرگ است، ابزارهای درجه یک سازمانی مانند SolarWinds برای تبدیل همه بسته های شبکه به یک مجموعه داده قابل مدیریت وجود دارد.

مقالات دیگر در مورد رهگیری و تجزیه و تحلیل ترافیک شبکه را بخوانید :

• Dan Nanni، ابزارهای خط فرمان برای نظارت بر ترافیک شبکه در لینوکس
• پل کابوت، مدیریت سیستم های لینوکس. رهگیری ترافیک شبکه
• پل فریل، 5 ابزار نظارت بر شبکه لینوکس
• پانکاج تنور، گرفتن بسته ها با کتابخانه libpcap
• Riccardo Capecchi، با استفاده از فیلترهای Wireshark
• ناتان ویلیس، تجزیه و تحلیل شبکه با Wireshark
• پراشانت فاتاک،

نیاز به تجزیه و تحلیل ترافیک شبکه می تواند به دلایل مختلفی ایجاد شود. نظارت بر امنیت رایانه، اشکال زدایی شبکه محلی، نظارت بر ترافیک خروجی برای بهینه سازی عملکرد یک اتصال اینترنتی مشترک - همه این وظایف اغلب در دستور کار مدیران سیستم و کاربران عادی است. برای حل آنها، ابزارهای بسیاری به نام sniffer وجود دارد، هر دو تخصصی، با هدف حل یک منطقه باریک از وظایف، و "ترکیب" چند منظوره که انتخاب گسترده ای از ابزار را در اختیار کاربر قرار می دهد. در این مقاله یکی از نمایندگان گروه دوم یعنی ابزار CommView تولید شده توسط این شرکت معرفی می شود. این برنامه به شما امکان می دهد تصویر کامل ترافیک عبوری از یک رایانه یا بخشی از یک شبکه محلی را به صورت بصری مشاهده کنید. یک سیستم هشدار قابل تنظیم به شما امکان می دهد در مورد وجود بسته های مشکوک در ترافیک، ظهور گره هایی با آدرس های غیرعادی در شبکه یا افزایش بار شبکه هشدار دهید.

CommView امکان نگهداری آمار در مورد تمام اتصالات IP، رمزگشایی بسته های IP در سطح پایین و تجزیه و تحلیل آنها را فراهم می کند. سیستم فیلتر داخلی با چندین پارامتر به شما امکان می دهد ردیابی بسته های لازم را پیکربندی کنید و این باعث می شود تجزیه و تحلیل آنها کارآمدتر شود. این برنامه می تواند بسته ها را از بیش از هفت دوجین از رایج ترین پروتکل ها (از جمله DDNS، DHCP، DIAG، DNS، FTP، HTTP، HTTPS، ICMP، ICQ، IMAP، IPsec، IPv4، IPv6، IPX، LDAP، MS SQL، NCP، NetBIOS، NFS، NLSP، POP3، PPP، PPPoE، SMB، SMTP، SOCKS، SPX، SSH، TCP، TELNET، UDP، WAP و غیره) و آنها را برای تجزیه و تحلیل بیشتر در فایل ها ذخیره کنید. بسیاری از ابزارهای دیگر، مانند تشخیص سازنده آداپتور شبکه با آدرس MAC، بازسازی HTML، و ضبط بسته از راه دور با ابزار اختیاری CommView Remote Agent نیز می توانند در موارد خاص مفید باشند.

کار با برنامه

ابتدا باید رابط شبکه ای را انتخاب کنید که ترافیک روی آن نظارت می شود.

CommView تقریباً از هر نوع آداپتور اترنت - 10، 100 و 1000 مگابیت بر ثانیه، و همچنین مودم های آنالوگ، xDSL، Wi-Fi و غیره پشتیبانی می کند. با تجزیه و تحلیل ترافیک آداپتور اترنت، CommView می تواند نه تنها ورودی و خروجی، بلکه بسته های انتقال آدرس را نیز رهگیری کند. به هر یک از رایانه های موجود در بخش شبکه محلی. شایان ذکر است که اگر وظیفه نظارت بر تمام ترافیک در یک بخش شبکه محلی است، لازم است که رایانه های موجود در آن از طریق یک هاب و نه از طریق سوئیچ متصل شوند. برخی از مدل‌های سوئیچ مدرن دارای ویژگی Port Mirroring هستند که به آنها اجازه می‌دهد تا برای نظارت بر شبکه با استفاده از CommView پیکربندی شوند. می توانید در این مورد بیشتر بخوانید. پس از انتخاب اتصال مورد نظر، می توانید شروع به گرفتن بسته ها کنید. دکمه های شروع و توقف ضبط در نزدیکی خط انتخاب رابط قرار دارند. برای کار با کنترلر دسترسی از راه دور، VPN و PPPoE، هنگام نصب برنامه، باید درایور مناسب را نصب کنید.

پنجره اصلی برنامه به چندین برگه تقسیم می شود که مسئولیت یک منطقه خاص از کار را بر عهده دارند. اولی، "اتصالات IP فعلی"، اطلاعات دقیق در مورد اتصالات IP معتبر رایانه را نمایش می دهد. در اینجا می توانید آدرس IP محلی و راه دور، تعداد بسته های ارسال شده و دریافتی، جهت انتقال، تعداد جلسات IP ایجاد شده، پورت ها، نام میزبان (در صورتی که عملکرد وضوح DNS در تنظیمات برنامه غیرفعال نباشد) را مشاهده کنید. ، و نام فرآیندی که بسته این جلسات را دریافت یا ارسال می کند. آخرین اطلاعات برای بسته های حمل و نقل یا رایانه های دارای Windows 9x/ME در دسترس نیست.

تب اتصالات IP فعلی

با کلیک راست بر روی یک اتصال، یک منوی زمینه باز می شود که در آن می توانید ابزارهایی را برای تجزیه و تحلیل اتصالات پیدا کنید. در اینجا می توانید مقدار داده های منتقل شده در اتصال، لیست کامل پورت های استفاده شده، اطلاعات دقیق در مورد فرآیند دریافت یا ارسال بسته های این جلسه را مشاهده کنید. CommView به شما امکان می دهد نام مستعار برای آدرس های MAC و IP ایجاد کنید. به عنوان مثال، با تعیین نام مستعار آنها به جای آدرس های دیجیتال دست و پا گیر ماشین های شبکه محلی، می توانید نام های کامپیوتری را به راحتی خوانا و به یاد ماندنی دریافت کنید و در نتیجه تجزیه و تحلیل اتصالات را تسهیل کنید.

برای ایجاد نام مستعار برای یک آدرس IP، باید "ایجاد نام مستعار" و "استفاده از IP محلی" یا "استفاده از IP راه دور" را از منوی زمینه انتخاب کنید. در پنجره ای که ظاهر می شود، فیلد آدرس IP از قبل پر می شود و تنها چیزی که باقی می ماند این است که یک نام مناسب وارد کنید. اگر یک ورودی نام IP جدید با کلیک راست روی یک بسته ایجاد شود، فیلد نام به طور خودکار با نام میزبان (در صورت وجود) پر می شود و می توان آن را ویرایش کرد. همین امر در مورد نام مستعار MAC نیز صدق می کند.

از همان منو، با انتخاب SmartWhois، می‌توانید آدرس IP منبع یا مقصد انتخاب شده را به SmartWhois ارسال کنید، برنامه‌ای مستقل از Tamosoft که اطلاعات مربوط به هر آدرس IP یا نام میزبان را جمع‌آوری می‌کند، مانند نام شبکه، دامنه، کشور، ایالت، یا استان، شهر و در اختیار کاربر قرار می دهد.

تب دوم، "بسته ها"، تمام بسته های ضبط شده در رابط شبکه انتخاب شده و اطلاعات دقیق در مورد آنها را نمایش می دهد.

برگه بسته ها

پنجره به سه قسمت تقسیم می شود. اولی لیستی از تمام بسته های ضبط شده را نمایش می دهد. اگر یکی از بسته های موجود در آن را با کلیک بر روی آن با اشاره گر ماوس انتخاب کنید، پنجره های باقی مانده اطلاعات مربوط به آن را نشان می دهند. شماره بسته، پروتکل، مک و آدرس IP میزبان ارسال کننده و دریافت کننده، پورت های استفاده شده و زمانی که بسته ظاهر شد را نمایش می دهد.

ناحیه میانی محتویات بسته را به صورت هگزادسیمال یا متنی نمایش می دهد. در مورد دوم، کاراکترهای غیر قابل چاپ با نقطه جایگزین می شوند. اگر چندین بسته به طور همزمان در قسمت بالایی انتخاب شوند، تعداد کل بسته های انتخابی، اندازه کل آنها و همچنین فاصله زمانی بین بسته اول و آخرین بسته در پنجره میانی نشان داده می شود.

پنجره پایینی اطلاعات دقیق رمزگشایی شده در مورد بسته انتخابی را نمایش می دهد.

با کلیک بر روی یکی از سه دکمه در قسمت پایین سمت راست پنجره، می توانید مکان پنجره رمزگشایی را انتخاب کنید: در قسمت پایین، یا تراز را به سمت چپ یا راست تنظیم کنید. دو دکمه دیگر به شما این امکان را می دهند که به صورت خودکار به آخرین بسته دریافتی بپرید و بسته انتخابی را در قسمت فهرست قابل مشاهده ذخیره کنید.

منوی زمینه به شما این امکان را می دهد که MAC، آدرس های IP و کل بسته ها را در کلیپ بورد کپی کنید، نام مستعار اختصاص دهید، یک فیلتر سریع برای انتخاب بسته های مورد نیاز اعمال کنید، و همچنین از ابزارهای "TCP Session Reconstruction" و "Packet Generator" استفاده کنید.

ابزار TCP Session Reconstruction به شما اجازه می دهد تا فرآیند تبادل بین دو هاست را از طریق TCP مشاهده کنید. برای اینکه مطالب جلسه قابل درک تر به نظر برسد، باید "منطق نمایش" مناسب را انتخاب کنید. این ویژگی برای بازیابی اطلاعات متنی مانند HTML یا ASCII بسیار مفید است.

داده های حاصل را می توان به صورت متن، RTF یا فایل باینری صادر کرد.

برگه فایل های گزارش. در اینجا می توانید تنظیمات ذخیره بسته های ضبط شده را در یک فایل پیکربندی کنید. CommView فایل های ورود به سیستم را در قالب NCF بومی ذخیره می کند. برای مشاهده آنها، از یک ابزار داخلی استفاده می شود که می تواند از منوی File راه اندازی شود.

امکان فعال کردن ذخیره خودکار بسته های ضبط شده در هنگام رسیدن، حفظ گزارش جلسه HTTP در فرمت های TXT و HTML، ذخیره، حذف، ادغام و تقسیم فایل های گزارش وجود دارد. به خاطر داشته باشید که یک بسته به محض رسیدن ذخیره نمی شود، بنابراین وقتی گزارش زنده را مشاهده می کنید به احتمال زیاد حاوی آخرین بسته ها نخواهد بود. برای اینکه برنامه فوراً بافر را به یک فایل ارسال کند، باید روی دکمه "Finish Capture" کلیک کنید.

در برگه "قوانین"می توانید شرایط را برای رهگیری یا نادیده گرفتن بسته ها تنظیم کنید.

برای تسهیل در انتخاب و تحلیل بسته های مورد نیاز می توان از قوانین فیلترینگ استفاده کرد. این امر همچنین میزان منابع سیستم مورد استفاده توسط CommView را تا حد زیادی کاهش می دهد.

برای فعال کردن هر قانون، باید بخش مربوطه را در سمت چپ پنجره انتخاب کنید. در مجموع، هفت نوع قانون در دسترس است: قوانین ساده - "پروتکل ها و جهت"، "آدرس های مک"، "آدرس های IP"، "پورت ها"، "متن"، "پرچم های TCP"، "فرآیند" و همچنین یک قانون جهانی "فرمول ها". برای هر یک از قوانین ساده، امکان انتخاب پارامترهای فردی مانند انتخاب جهت یا پروتکل وجود دارد. قانون جهانی فرمول یک مکانیسم قدرتمند و انعطاف پذیر برای ایجاد فیلترها با استفاده از منطق بولی است. یک مرجع دقیق در نحو آن را می توان یافت.

زبانه "هشدارها"به شما کمک می کند تا تنظیمات اعلان های مربوط به رویدادهای مختلفی را که در بخش شبکه مورد مطالعه رخ می دهد، پیکربندی کنید.

برگه هشدارها به شما امکان می دهد قوانین هشدار را ایجاد، تغییر دهید، حذف کنید و رویدادهای جاری را مشاهده کنید که با این قوانین مطابقت دارند.

به منظور تنظیم یک قانون هشدار، با کلیک بر روی دکمه "افزودن..."، در پنجره باز شده، شرایط لازم را که در صورت وقوع اعلان فعال می شود و همچنین روش اطلاع رسانی به کاربر را انتخاب کنید. آی تی.

CommView به شما امکان می دهد انواع رویدادهای زیر را برای نظارت تنظیم کنید:

• "تشخیص یک بسته" که با فرمول مشخص شده مطابقت دارد. نحو فرمول به تفصیل در کتابچه راهنمای کاربر توضیح داده شده است.
• "بایت در ثانیه". این اخطار زمانی فعال می شود که از سطح بار شبکه مشخص شده فراتر رود.
• بسته ها در ثانیه زمانی فعال می شود که از سطح نرخ بسته مشخص شده فراتر رود.
• پخش در ثانیه همان، فقط برای بسته های پخش.
• "Multicasts در ثانیه" - برای بسته های چندپخشی یکسان است.
• "آدرس MAC ناشناخته". از این هشدار می توان برای شناسایی اتصالات تجهیزات جدید یا غیرمجاز به شبکه با از پیش تنظیم لیستی از آدرس های شناخته شده با استفاده از گزینه "پیکربندی" استفاده کرد.
• هشدار "آدرس IP ناشناخته" هنگامی که بسته ها با آدرس های IP ناشناخته منبع یا مقصد رهگیری می شوند، فعال می شود. اگر فهرستی از آدرس های شناخته شده را از قبل تنظیم کرده باشید، این هشدار می تواند برای شناسایی اتصالات غیرمجاز از طریق فایروال شرکت استفاده شود.

CommView ابزار قدرتمندی برای تجسم آمار ترافیک مورد مطالعه دارد. برای باز کردن پنجره آمار، باید موردی به همین نام را از منوی "View" انتخاب کنید.

پنجره آمار در حالت عمومی

در این پنجره می توانید آمار ترافیک شبکه را مشاهده کنید: در اینجا می توانید تعداد بسته ها در ثانیه، بایت ها در ثانیه، توزیع اترنت، IP و پروتکل های فرعی را مشاهده کنید. نمودارها را می توان در کلیپ بورد کپی کرد تا در صورت نیاز به گزارش کمک کند.

در دسترس بودن، هزینه، سیستم مورد نیاز

نسخه فعلی برنامه CommView 5.1 است. از وب سایت Tamosoft می توانید که به مدت 30 روز کار می کند.

توسعه دهنده دو گزینه مجوز را به خریداران ارائه می دهد:

• مجوز خانه (مجوز خانه)، به ارزش 2000 روبل، حق استفاده از برنامه را در خانه به صورت غیرتجاری می دهد، در حالی که تعداد میزبان های موجود برای نظارت در شبکه خانگی شما به پنج محدود است. این نوع مجوز به شما اجازه نمی دهد با استفاده از Remote Agent از راه دور کار کنید.
• مجوز سازمانی (شرکتی، هزینه - 10000 روبل) حق استفاده تجاری و غیرتجاری از برنامه را توسط یک نفر که شخصاً از برنامه در یک یا چند ماشین استفاده می کند، فراهم می کند. این برنامه همچنین می تواند بر روی یک ایستگاه کاری نصب شود و توسط چندین نفر استفاده شود، اما نه به طور همزمان.

این برنامه بر روی سیستم عامل های Windows 98/Me/NT/2000/XP/2003 اجرا می شود. به یک اترنت، اترنت بی‌سیم، آداپتور شبکه Token Ring با پشتیبانی NDIS 3.0 یا یک کنترل‌کننده استاندارد دسترسی از راه دور نیاز دارد.

طرفداران:

• رابط محلی؛
• سیستم کمک عالی؛
• پشتیبانی از انواع مختلف آداپتورهای شبکه؛
• تجزیه و تحلیل بسته های پیشرفته و ابزارهای تعریف پروتکل؛
• تجسم آمار؛
• سیستم هشدار عملکردی

معایب:

• هزینه بسیار بالا؛
• فقدان تنظیمات از پیش تعیین شده برای قوانین رهگیری و هشدارها؛
• مکانیسم انتخاب بسته خیلی راحت در برگه "بسته ها" نیست.

نتیجه

CommView با عملکرد عالی و رابط کاربر پسند خود می تواند به ابزاری ضروری برای مدیران شبکه محلی، ارائه دهندگان خدمات اینترنت و کاربران خانگی تبدیل شود. من از رویکرد کامل توسعه دهنده به بومی سازی بسته روسی خوشحال شدم: هم رابط کاربری و هم دفترچه راهنمای مرجع در سطح بسیار بالایی ساخته شده اند. هزینه بالای این برنامه تا حدودی تصویر را تیره می کند، با این حال، یک نسخه آزمایشی سی روزه به خریدار بالقوه کمک می کند تا در مورد توصیه خرید این ابزار تصمیم گیری کند.

اطلاعات کلی

ابزارهایی به نام آنالایزر شبکه به نام Sniffer Network Analyzer نامگذاری شده اند. این محصول در سال 1988 توسط Network General (در حال حاضر Network Associates) عرضه شد و یکی از اولین دستگاه هایی بود که به مدیران این امکان را می داد تا به معنای واقعی کلمه از روی میز خود بدانند که در یک شبکه بزرگ چه اتفاقی می افتد. اولین تجزیه کننده ها سرصفحه های پیام ها را در بسته های داده ارسال شده از طریق شبکه می خوانند، بنابراین اطلاعاتی در مورد آدرس فرستنده و گیرنده، اندازه فایل و سایر اطلاعات سطح پایین به مدیران ارائه می دهند. و همه اینها علاوه بر بررسی صحت ارسال بسته است. با استفاده از نمودارها و توضیحات متن، تحلیلگرها به مدیران شبکه کمک کردند تا سرورها، پیوندهای شبکه، هاب ها و سوئیچ ها و برنامه ها را تشخیص دهند. به طور تقریبی، یک sniffer شبکه بسته‌ها را در یک بخش فیزیکی خاص از شبکه گوش می‌دهد یا "خرید" می‌کند. این به شما امکان می دهد ترافیک را برای برخی الگوها تجزیه و تحلیل کنید، مشکلات خاصی را برطرف کنید و فعالیت های مشکوک را شناسایی کنید. یک سیستم تشخیص نفوذ شبکه چیزی نیست جز یک آنالیزور پیشرفته که هر بسته موجود در شبکه را با پایگاه داده ای از الگوهای ترافیک مخرب شناخته شده مطابقت می دهد، دقیقاً مانند یک برنامه آنتی ویروس با فایل های روی رایانه. برخلاف ابزارهایی که قبلا توضیح داده شد، تجزیه کننده ها در سطح پایین تری کار می کنند.

اگر به مدل مرجع OSI روی بیاوریم، آنالایزرها دو لایه پایین تر - فیزیکی و کانال را بررسی می کنند.

لایه فیزیکی سیم کشی فیزیکی واقعی یا رسانه دیگری است که برای ایجاد شبکه استفاده می شود. در لایه پیوند، رمزگذاری اولیه داده ها برای انتقال از طریق یک رسانه خاص اتفاق می افتد. استانداردهای شبکه لایه پیوند شامل 802.11 بی سیم، Arcnet، کابل کواکسیال، اترنت، Token Ring و غیره است. آنالایزرها معمولاً به نوع شبکه ای که روی آن کار می کنند وابسته هستند. به عنوان مثال، برای تجزیه و تحلیل ترافیک در یک شبکه اترنت، باید یک تحلیلگر اترنت داشته باشید.

آنالایزرهای درجه تجاری موجود از تولیدکنندگانی مانند Fluke، Network General و دیگران وجود دارد. اینها معمولاً دستگاه های سخت افزاری خاصی هستند که می توانند ده ها هزار دلار قیمت داشته باشند. در حالی که این سخت افزار قادر به تجزیه و تحلیل عمیق تر است، می توان یک تحلیلگر شبکه ارزان قیمت با استفاده از نرم افزار منبع باز و یک کامپیوتر ارزان قیمت مبتنی بر اینتل ساخت.

انواع آنالایزر

اکنون آنالایزرهای زیادی تولید می شود که به دو نوع تقسیم می شوند. اولین مورد شامل محصولات مستقلی است که بر روی یک رایانه همراه نصب می شوند. مشاور می تواند هنگام مراجعه به مطب مشتری آن را با خود برده و برای جمع آوری داده های تشخیصی به شبکه متصل کند.

در ابتدا، دستگاه های قابل حمل که برای آزمایش عملکرد شبکه ها طراحی شده بودند، صرفاً برای بررسی پارامترهای فنی کابل طراحی شدند. با این حال، با گذشت زمان، سازندگان تجهیزات خود را با تعدادی از عملکردهای تحلیلگر پروتکل وقف کرده اند. تحلیلگرهای شبکه مدرن قادر به تشخیص گسترده ترین طیف از مشکلات ممکن هستند - از آسیب فیزیکی به کابل گرفته تا منابع شبکه بیش از حد.

نوع دوم آنالایزر بخشی از دسته وسیع‌تری از سخت‌افزار و نرم‌افزار نظارت بر شبکه است که به سازمان‌ها اجازه می‌دهد تا خدمات شبکه محلی و جهانی خود از جمله وب را کنترل کنند. این برنامه ها به مدیران یک دید کلی از سلامت شبکه می دهد. به عنوان مثال، با کمک چنین محصولاتی می توانید تعیین کنید که کدام برنامه ها در حال اجرا هستند، کدام کاربران در شبکه ثبت نام کرده اند و کدام یک از آنها بیشترین ترافیک را ایجاد می کنند.

علاوه بر شناسایی ویژگی های شبکه سطح پایین، مانند منبع بسته ها و مقصد آنها، تحلیلگرهای مدرن اطلاعات دریافتی را در هر هفت لایه پشته شبکه Open System Interconnection (OSI) رمزگشایی می کنند و اغلب توصیه هایی برای حل مشکلات صادر می کنند. اگر تجزیه و تحلیل در سطح برنامه اجازه ارائه توصیه کافی را ندهد، تحلیلگرها مطالعه ای را در سطح شبکه پایین تر انجام می دهند.

تحلیلگرهای مدرن معمولاً از استانداردهای نظارت از راه دور (Rmon و Rmon 2) پشتیبانی می‌کنند که بازیابی خودکار داده‌های عملکرد کلیدی، مانند اطلاعات مربوط به بار روی منابع موجود را فراهم می‌کنند. آنالایزرهایی که از Rmon پشتیبانی می کنند می توانند به طور مرتب وضعیت اجزای شبکه را بررسی کرده و داده های دریافتی را با داده های انباشته شده قبلی مقایسه کنند. در صورت لزوم، آنها هشداری مبنی بر فراتر رفتن سطح ترافیک یا عملکرد از محدودیت های تعیین شده توسط مدیران شبکه صادر می کنند.

NetScout Systems nGenius Application Service Level Manager را معرفی کرده است، سیستمی که برای نظارت بر زمان پاسخگویی در بخش های خاصی از کانال دسترسی به وب سایت و تعیین عملکرد فعلی سرورها طراحی شده است. این نرم افزار می تواند عملکرد شبکه عمومی را تجزیه و تحلیل کند تا تصویر کلی را در رایانه کاربر بازسازی کند. شرکت دانمارکی NetTest (GN Nettest سابق) شروع به ارائه Fastnet کرده است، یک سیستم نظارت بر شبکه که به شرکت های تجارت الکترونیک کمک می کند ظرفیت پهنای باند را برنامه ریزی کرده و مشکلات شبکه را عیب یابی کنند.

تجزیه و تحلیل شبکه های همگرا (چند سرویس)

گسترش شبکه های چند سرویس (شبکه های همگرا) می تواند تأثیر تعیین کننده ای بر توسعه سیستم های مخابراتی و انتقال داده در آینده داشته باشد. ایده ترکیب در یک زیرساخت شبکه واحد مبتنی بر پروتکل بسته، توانایی انتقال داده، جریان صوتی و اطلاعات ویدیویی، برای ارائه دهندگان متخصص در ارائه خدمات مخابراتی بسیار وسوسه انگیز بود، زیرا می تواند به طور قابل توجهی گسترش یابد. طیف وسیعی از خدماتی که در یک لحظه ارائه می کنند.

همانطور که شرکت ها شروع به درک کارایی و مزایای هزینه شبکه های همگرا مبتنی بر IP می کنند، فروشندگان ابزار شبکه به طور فعال در حال توسعه تحلیلگرهای مناسب هستند. در نیمه اول سال، بسیاری از شرکت ها اجزایی را برای محصولات مدیریت شبکه خود که برای صدا از طریق شبکه های IP طراحی شده بودند، معرفی کردند.

گلن گروسمن، مدیر مدیریت محصول در NetScout Systems گفت: «همگرایی چالش‌های جدیدی را برای مدیران شبکه ایجاد کرده است. -- ترافیک صوتی به تاخیر زمانی بسیار حساس است. آنالایزرها می توانند به هر بیت و بایت سیم نگاه کنند، هدرها را تفسیر کنند و به طور خودکار داده ها را اولویت بندی کنند.

استفاده از فناوری های همگرایی صدا و داده ممکن است موج جدیدی از علاقه را در تحلیلگرها ایجاد کند زیرا پشتیبانی از اولویت بندی ترافیک در سطح بسته IP برای عملکرد خدمات صوتی و تصویری ضروری است. به عنوان مثال، Sniffer Technologies Sniffer Voice را منتشر کرده است، ابزاری که برای مدیران شبکه چندسرویس طراحی شده است. این محصول نه تنها خدمات عیب یابی سنتی را برای مدیریت ایمیل، اینترنت و ترافیک پایگاه داده ارائه می دهد، بلکه مشکلات شبکه را شناسایی کرده و توصیه هایی برای رفع آنها ارائه می دهد تا اطمینان حاصل شود که ترافیک صوتی به درستی از طریق شبکه های IP منتقل می شود.

معایب استفاده از آنالایزرها

لازم به یادآوری است که دو روی سکه در ارتباط با تحلیلگرها وجود دارد. آنها به راه‌اندازی و راه‌اندازی شبکه کمک می‌کنند، اما هکرها می‌توانند از آنها برای جستجوی نام‌های کاربری و رمز عبور در بسته‌های داده استفاده کنند. برای جلوگیری از رهگیری رمز عبور توسط تحلیلگرها، هدر بسته ها رمزگذاری می شوند (به عنوان مثال، با استفاده از استاندارد لایه سوکت های امن).

در نهایت، در شرایطی که نیاز به درک آنچه در یک شبکه جهانی یا شرکتی اتفاق می افتد، جایگزینی برای تحلیلگر شبکه وجود ندارد. یک تحلیلگر خوب به شما امکان می دهد وضعیت بخش شبکه را درک کنید و میزان ترافیک را تعیین کنید، همچنین تعیین کنید که این حجم در طول روز چگونه تغییر می کند، کدام کاربران بیشترین بار را ایجاد می کنند، در چه شرایطی مشکلاتی در توزیع ترافیک یا کمبود وجود دارد. از پهنای باند به لطف استفاده از تحلیلگر، می توان تمام قطعات داده در بخش شبکه را برای یک دوره معین به دست آورد و آنالیز کرد.

با این حال، تحلیلگرهای شبکه گران هستند. اگر قصد خرید آن را دارید، ابتدا آنچه را که از آن انتظار دارید به وضوح بیان کنید.

ویژگی های استفاده از تحلیلگرهای شبکه

برای استفاده اخلاقی و سازنده از تحلیلگرهای شبکه، دستورالعمل های زیر باید رعایت شود.

اجازه همیشه لازم است

تجزیه و تحلیل شبکه، مانند بسیاری از ویژگی های امنیتی دیگر، دارای پتانسیل سوء استفاده است. رهگیری همه چیز داده‌هایی که از طریق شبکه منتقل می‌شوند، می‌توانید از رمزهای عبور سیستم‌های مختلف، محتوای پیام‌های ایمیل و سایر داده‌های مهم داخلی و خارجی جاسوسی کنید، زیرا اکثر سیستم‌ها ترافیک خود را در شبکه محلی رمزگذاری نمی‌کنند. اگر چنین داده هایی به دست افراد اشتباه بیفتد، بدیهی است که می تواند منجر به نقض جدی امنیت شود. علاوه بر این، می تواند به نقض حریم خصوصی کارکنان تبدیل شود. اول از همه، قبل از شروع چنین فعالیتی باید از مدیریت، ترجیحاً مجوز بالاتر، مجوز کتبی دریافت کنید. همچنین باید در نظر گرفته شود که پس از دریافت داده ها چه باید کرد. علاوه بر رمزهای عبور، این ممکن است داده های حساس دیگری نیز باشد. به عنوان یک قاعده کلی، پروتکل های تحلیل شبکه باید از سیستم پاک شوند، مگر اینکه برای پیگرد کیفری یا مدنی مورد نیاز باشند. سوابق مستندی وجود دارد که در آن مدیران سیستم به دلیل شنود غیرمجاز داده ها اخراج شده اند.

نیاز به درک توپولوژی شبکه

قبل از راه اندازی آنالایزر، باید سازماندهی فیزیکی و منطقی این شبکه را کاملاً بشناسید. با انجام تجزیه و تحلیل در مکان اشتباه در شبکه، می توانید دریافت کنید نتایج اشتباه یا به سادگی پیدا نکردن آنچه شما نیاز دارید. لازم است عدم وجود روترها بین ایستگاه کاری تجزیه و تحلیل و محل مشاهده بررسی شود. روترها تنها در صورتی ترافیک را به یک بخش شبکه ارسال می کنند که به میزبانی که در آنجا قرار دارد دسترسی داشته باشد. به طور مشابه، در یک شبکه سوئیچ شده، باید پورتی را که به آن متصل هستید به عنوان پورت "مانیتور" یا "آینه" پیکربندی کنید. سازندگان مختلف از اصطلاحات متفاوتی استفاده می کنند، اما در اصل، شما می خواهید که پورت به عنوان یک هاب عمل کند، نه یک سوئیچ، زیرا باید تمام ترافیکی را که از طریق سوئیچ می گذرد، ببیند، نه فقط ترافیکی که به ایستگاه کاری هدایت می شود. بدون این پیکربندی، پورت مانیتور فقط آنچه را که به پورتی که به آن متصل است هدایت می شود و ترافیک پخش شبکه را مشاهده می کند.

باید از معیارهای جستجوی دقیق استفاده کرد

بسته به آنچه می خواهید پیدا کنید، استفاده از یک فیلتر باز (یعنی نشان دادن همه چیز) خروجی داده ها را حجیم و تجزیه و تحلیل آن را دشوار می کند. بهتر است از معیارهای جستجوی خاص برای کوتاه کردن خروجی که تجزیه کننده تولید می کند استفاده کنید. حتی اگر نمی‌دانید دقیقاً به دنبال چه چیزی باشید، همچنان می‌توانید فیلتری برای محدود کردن نتایج جستجو بنویسید. اگر می‌خواهید یک ماشین داخلی پیدا کنید، درست است که معیارهایی را برای جستجوی آدرس‌های منبع در یک شبکه معین تنظیم کنید. اگر می خواهید نوع خاصی از ترافیک را نظارت کنید، مثلاً ترافیک FTP، می توانید نتایج را فقط به آنچه در پورت استفاده شده توسط برنامه وارد می شود محدود کنید. با انجام این کار می توان به نتایج قابل توجهی تحلیل بهتری دست یافت.

تنظیم وضعیت مرجع شبکه

استفاده از تحلیلگر شبکه در حین کار عادی و با ثبت نتایج نهایی به یک حالت مرجع می رسد که می توان آن را با نتایج به دست آمده طی تلاش برای جداسازی مشکل مقایسه کرد. تحلیلگر Ethereal که در زیر مورد بحث قرار گرفته است، چندین گزارش راحت برای این کار ایجاد می کند. برخی از داده ها نیز برای ردیابی استفاده از شبکه در طول زمان به دست خواهند آمد. با استفاده از این داده ها، می توانید تعیین کنید که چه زمانی شبکه اشباع شده است و دلایل اصلی آن چیست - سرور بیش از حد، افزایش تعداد کاربران، تغییر در نوع ترافیک و غیره. اگر نقطه شروعی وجود داشته باشد، درک اینکه چه کسی و چه چیزی مقصر است آسان تر است.

tcpdump

ابزار اصلی تقریباً تمام جمع آوری ترافیک شبکه tcpdump است. این یک برنامه متن باز است که تقریباً بر روی تمام سیستم عامل های مشابه یونیکس نصب شده است. Tcpdump یک ابزار عالی برای جمع آوری داده ها است و دارای یک موتور فیلتر بسیار قدرتمند است. مهم است که بدانید چگونه داده ها را در حین جمع آوری فیلتر کنید تا در نهایت یک داده قابل مدیریت برای تجزیه و تحلیل داشته باشید. گرفتن تمام داده ها از یک دستگاه شبکه، حتی در یک شبکه نسبتاً شلوغ، می تواند داده های زیادی برای تجزیه و تحلیل ساده ایجاد کند.

در برخی موارد نادر، tcpdump به شما این امکان را می دهد که خروجی را مستقیماً به صفحه نمایش خود ارسال کنید، و این ممکن است برای یافتن آنچه به دنبال آن هستید کافی باشد. به عنوان مثال، هنگام نوشتن یک مقاله، مقداری ترافیک ضبط شد و متوجه شد که دستگاه در حال ارسال ترافیک به یک آدرس IP ناشناخته است. به نظر می رسد که دستگاه داده ها را به آدرس IP Google 172.217.11.142 ارسال می کرده است. از آنجایی که هیچ محصول گوگل راه اندازی نشده است، این سوال مطرح شد که چرا این اتفاق می افتد.

بررسی سیستم موارد زیر را نشان داد:

نظر خود را بگذارید

مروری بر برنامه های تحلیل و نظارت ترافیک شبکه

A.I. کاسترومیتسکی، دکتری. فن آوری علوم، V.S. VOLOTKA

معرفی

نظارت بر ترافیک برای مدیریت موثر شبکه حیاتی است. این منبع اطلاعاتی در مورد عملکرد برنامه های کاربردی سازمانی است که هنگام تخصیص بودجه، برنامه ریزی ظرفیت های محاسباتی، شناسایی و بومی سازی خرابی ها و حل مسائل امنیتی مورد توجه قرار می گیرد.

در گذشته نزدیک، نظارت بر ترافیک یک کار نسبتا ساده بود. به عنوان یک قاعده، کامپیوترها بر اساس یک توپولوژی گذرگاه شبکه شده بودند، یعنی یک رسانه انتقال مشترک داشتند. این اجازه می دهد تا یک دستگاه واحد به شبکه متصل شود که با آن تمام ترافیک قابل نظارت باشد. با این حال، تقاضا برای افزایش پهنای باند شبکه و پیشرفت در فناوری سوئیچینگ بسته، که باعث کاهش قیمت سوئیچ‌ها و مسیریاب‌ها شد، منجر به انتقال سریع از رسانه مشترک به توپولوژی‌های بسیار تقسیم‌بندی شده شده است. دیگر کل ترافیک از یک نقطه دیده نمی شود. برای دریافت تصویر کامل، باید بر هر پورت نظارت داشته باشید. استفاده از اتصالات نقطه به نقطه اتصال دستگاه ها را ناخوشایند می کند، و گوش دادن به تعداد زیادی از آنها در همه پورت ها نیاز دارد که این کار بسیار گران می شود. علاوه بر این، سوئیچ ها و مسیریاب ها خود معماری های پیچیده ای هستند و سرعت پردازش و ارسال بسته ها عامل مهمی در تعیین عملکرد شبکه می شود.

یکی از وظایف علمی موضوعی در حال حاضر، تجزیه و تحلیل (و پیش‌بینی بیشتر) ساختار ترافیک خود مشابه در شبکه‌های چندسرویس مدرن است. برای حل این مشکل، جمع آوری و سپس تجزیه و تحلیل آمارهای مختلف (سرعت، حجم داده های ارسالی و ...) در شبکه های موجود ضروری است. جمع آوری این گونه آمارها به هر شکلی توسط ابزارهای نرم افزاری مختلف امکان پذیر است. با این حال، مجموعه ای از پارامترها و تنظیمات اضافی وجود دارد که در استفاده عملی از ابزارهای مختلف بسیار مهم است.

محققان مختلف از برنامه های متنوعی برای نظارت بر ترافیک شبکه استفاده می کنند. به عنوان مثال، در سال، محققان از برنامه تحلیلگر ترافیک شبکه Ethreal (Wireshark) (sniffer) استفاده کردند.

نسخه های رایگان برنامه هایی که در،،، موجود است، بررسی شدند.

1. مروری بر برنامه های نظارت بر ترافیک شبکه

حدود ده برنامه تحلیلگر ترافیک (sniffers) و بیش از ده ها برنامه برای نظارت بر ترافیک شبکه در نظر گرفته شد که ما چهار مورد از جالب ترین آنها را از نظر خود انتخاب کردیم و نمای کلی از ویژگی های اصلی آنها را به شما ارائه می دهیم.

1) BMExtreme(عکس. 1).

این نام جدید برنامه معروف Bandwidth Monitor است. قبلاً این برنامه رایگان توزیع می شد، اما اکنون سه نسخه دارد و فقط نسخه اصلی آن رایگان است. این نسخه هیچ ویژگی دیگری به جز نظارت بر ترافیک ارائه نمی دهد، بنابراین به سختی می توان آن را رقیبی برای سایر برنامه ها دانست. به طور پیش فرض، BMExtreme هم ترافیک اینترنت و هم ترافیک شبکه محلی را کنترل می کند، اما در صورت تمایل می توان نظارت بر شبکه محلی را غیرفعال کرد.

برنج. یکی

2) بی دبلیو متر(شکل 2).

این برنامه نه یک، بلکه دو پنجره نظارت بر ترافیک دارد: یکی فعالیت در اینترنت و دیگری فعالیت در شبکه محلی را نشان می دهد.

برنج. 2

این برنامه دارای تنظیمات انعطاف پذیر برای نظارت بر ترافیک است. با کمک آن می توانید تعیین کنید که آیا نظارت بر دریافت و انتقال داده ها در اینترنت فقط از این رایانه یا از همه رایانه های متصل به شبکه محلی ضروری است یا خیر، محدوده آدرس های IP، پورت ها و پروتکل هایی را که نظارت بر آنها انجام می شود را تنظیم کنید. یا اجرا نخواهد شد. علاوه بر این، می توانید ردیابی ترافیک را در ساعات یا روزهای خاصی غیرفعال کنید. مطمئناً مدیران سیستم از توانایی توزیع ترافیک بین رایانه های موجود در یک شبکه محلی قدردانی خواهند کرد. بنابراین، برای هر رایانه شخصی، می توانید حداکثر سرعت را برای دریافت و انتقال داده ها تنظیم کنید و همچنین فعالیت شبکه را با یک کلیک غیرفعال کنید.

این برنامه با اندازه بسیار کوچک دارای ویژگی های بسیار متنوعی است که برخی از آنها را می توان به شرح زیر نشان داد:

نظارت بر هر رابط شبکه و هر ترافیک شبکه.

یک سیستم فیلتر قدرتمند که به شما امکان می دهد حجم هر قسمت از ترافیک را - تا یک سایت خاص در یک جهت مشخص یا ترافیک هر ماشین در شبکه محلی را در یک زمان مشخص از روز ارزیابی کنید.

نمودارهای فعالیت اتصال شبکه قابل تنظیم نامحدود بر اساس فیلترهای انتخاب شده.

مدیریت (محدودیت، تعلیق) جریان ترافیک در هر یک از فیلترها.

سیستم آماری مناسب (از یک ساعت تا یک سال) با تابع صادرات.

امکان مشاهده آمار کامپیوترهای راه دور با BWMeter.

سیستم انعطاف پذیر هشدارها و اعلان ها پس از رسیدن به یک رویداد خاص.

حداکثر گزینه های سفارشی سازی، از جمله ظاهر.

قابلیت اجرا به صورت سرویس.

3) پهنای باند مانیتور حرفه ای(شکل 3).

توسعه دهندگان آن توجه زیادی به راه اندازی پنجره نظارت بر ترافیک داشتند. ابتدا می توانید تعیین کنید که برنامه به طور مداوم چه نوع اطلاعاتی را روی صفحه نمایش می دهد. این می تواند مقدار داده های دریافتی و ارسالی (هم به صورت جداگانه و هم در مجموع) برای امروز و برای هر بازه زمانی مشخص، متوسط، فعلی و حداکثر سرعت اتصال باشد. اگر چندین آداپتور شبکه نصب کرده‌اید، می‌توانید آمار هر یک از آن‌ها را جداگانه بررسی کنید. در عین حال، اطلاعات لازم برای هر کارت شبکه نیز در پنجره مانیتورینگ قابل نمایش است.

برنج. 3

به طور جداگانه باید به سیستم اطلاع رسانی اشاره کرد که در اینجا بسیار خوب پیاده سازی شده است. شما می توانید رفتار برنامه را در مواقعی که شرایط خاصی برآورده می شود تنظیم کنید، که می تواند انتقال مقدار مشخصی از داده ها برای مدت زمان مشخص، رسیدن به حداکثر سرعت دانلود، تغییر سرعت اتصال و غیره باشد. اگر چندین کاربر روی آن کار کنند. کامپیوتر و شما نیاز به نظارت بر ترافیک کلی دارید، برنامه را می توان به عنوان سرویس راه اندازی کرد. در این صورت Bandwidth Monitor Pro آمار تمامی کاربرانی را که تحت لاگین خود وارد سیستم می شوند جمع آوری می کند.

4) DUTtraffic(شکل 4).

آنچه DUTraffic را از همه برنامه های بررسی متمایز می کند، وضعیت رایگان آن است.

برنج. 4

مانند همتایان تجاری، DUTraffic می تواند اقدامات مختلفی را در صورت رعایت شرایط خاص انجام دهد. بنابراین، به عنوان مثال، می تواند یک فایل صوتی پخش کند، پیامی را نشان دهد، یا اتصال اینترنت را قطع کند، زمانی که میانگین یا سرعت دانلود فعلی کمتر از مقدار مشخص شده باشد، زمانی که مدت زمان یک جلسه اینترنت از تعداد ساعت های مشخص شده بیشتر شود. مقدار معینی از داده ها منتقل شده است. علاوه بر این، اقدامات مختلفی را می توان به صورت چرخه ای انجام داد، برای مثال، هر بار که برنامه انتقال مقدار معینی از اطلاعات را برطرف می کند. آمار در DUTtraffic برای هر کاربر و برای هر اتصال اینترنتی به طور جداگانه نگهداری می شود. این برنامه هم آمار کلی برای یک دوره زمانی انتخاب شده و هم اطلاعاتی در مورد سرعت، میزان داده های ارسالی و دریافتی و هزینه های مالی هر جلسه را نشان می دهد.

5) سیستم مانیتورینگ کاکتوس(شکل 5).

Cacti یک برنامه وب منبع باز است (به ترتیب، فایل نصبی وجود ندارد). Cacti داده های آماری را برای بازه های زمانی مشخص جمع آوری می کند و به شما امکان نمایش آنها را به صورت گرافیکی می دهد. این سیستم به شما امکان می دهد با استفاده از RRDtool نمودار بسازید. عمدتاً از الگوهای استاندارد برای نمایش آمار بار CPU، تخصیص RAM، تعداد فرآیندهای در حال اجرا و استفاده از ترافیک ورودی/خروجی استفاده می شود.

رابط نمایش آمار جمع آوری شده از دستگاه های شبکه به صورت درختی ارائه شده است که ساختار آن توسط کاربر تنظیم شده است. به عنوان یک قاعده، نمودارها بر اساس معیارهای خاصی گروه بندی می شوند و همان نمودار می تواند در شاخه های مختلف درخت وجود داشته باشد (به عنوان مثال، ترافیک از طریق رابط شبکه سرور - در رابطی که به تصویر کلی اینترنت شرکت اختصاص داده شده است. ترافیک و در شعبه با پارامترهای این دستگاه) . گزینه ای برای مشاهده مجموعه ای از نمودارهای از پیش کامپایل شده و حالت پیش نمایش وجود دارد. هر یک از نمودارها را می توان به طور جداگانه مشاهده کرد و برای روز، هفته، ماه و سال آخر ارائه می شود. می توان به طور مستقل دوره زمانی که نمودار برای آن تولید می شود را انتخاب کرد و این کار را می توان با تعیین پارامترهای تقویم یا به سادگی با انتخاب یک منطقه خاص روی آن با ماوس انجام داد.

میز 1

2. مروری بر تحلیلگرهای ترافیک شبکه (Sniffers)

تحلیلگر ترافیک یا sniffer یک تحلیلگر ترافیک شبکه، یک برنامه یا یک دستگاه سخت افزاری و نرم افزاری است که برای رهگیری و سپس تجزیه و تحلیل یا تنها تجزیه و تحلیل ترافیک شبکه به مقصد گره های دیگر طراحی شده است.

تجزیه و تحلیل ترافیک عبور شده از sniffer به شما امکان می دهد:

رهگیری هرگونه ترافیک کاربر رمزگذاری نشده (و گاهی اوقات رمزگذاری شده) برای به دست آوردن رمز عبور و اطلاعات دیگر.

خرابی شبکه یا خطای پیکربندی عامل شبکه را پیدا کنید (اغلب توسط مدیران سیستم برای این منظور از sniffer استفاده می شود).

از آنجایی که sniffer "کلاسیک" ترافیک را به صورت دستی تجزیه و تحلیل می کند، تنها با استفاده از ساده ترین ابزارهای اتوماسیون (تجزیه و تحلیل پروتکل ها، بازیابی جریان TCP)، تنها برای تجزیه و تحلیل حجم های کمی از آن مناسب است.

1) Wireshark(اثیری سابق).

برنامه تحلیلگر ترافیک برای شبکه های کامپیوتری اترنت و برخی دیگر. دارای رابط کاربری گرافیکی Wireshark برنامه‌ای است که ساختار طیف گسترده‌ای از پروتکل‌های شبکه را می‌شناسد، و بنابراین به شما امکان می‌دهد یک بسته شبکه را تجزیه کنید و مقدار هر فیلد پروتکل را در هر سطحی نمایش دهید. از آنجایی که pcap برای گرفتن بسته ها استفاده می شود، گرفتن داده ها فقط از شبکه هایی که توسط این کتابخانه پشتیبانی می شوند امکان پذیر است. با این حال، Wireshark می‌تواند با انواع فرمت‌های داده ورودی کار کند، بنابراین می‌توانید فایل‌های داده گرفته‌شده توسط برنامه‌های دیگر را باز کنید، که گزینه‌های ضبط را گسترش می‌دهد.

2) عنبیهشبکهترافیکتحلیلگر.

علاوه بر توابع استاندارد برای جمع آوری، فیلتر کردن و جستجوی بسته ها، و همچنین ساخت گزارش، این برنامه فرصت های منحصر به فردی را برای بازسازی داده ها ارائه می دهد. Iris The Network Traffic Analyzer به بازتولید جزئیات جلسات کاربر با منابع مختلف وب کمک می کند و حتی به شما امکان می دهد ارسال رمز عبور را برای دسترسی به سرورهای وب امن با استفاده از کوکی ها شبیه سازی کنید. فناوری منحصربه‌فرد بازسازی داده‌های پیاده‌سازی شده در ماژول رمزگشایی، صدها بسته شبکه باینری جمع‌آوری‌شده را به ایمیل‌های آشنا، صفحات وب، پیام‌های ICQ و غیره تبدیل می‌کند. ابزار حسابرسی

بسته sniffer eEye Iris جزئیات مختلفی از حمله، مانند تاریخ و زمان، آدرس های IP و نام های DNS رایانه های هکر و قربانی و همچنین پورت های مورد استفاده را ضبط می کند.

3) شبکه محلی کابلیاینترنتترافیکآماری.

آمار ترافیک اینترنت اترنت میزان داده های دریافتی و دریافتی (بر حسب بایت - کل و برای آخرین جلسه) و همچنین سرعت اتصال را نشان می دهد. برای وضوح، داده های جمع آوری شده در زمان واقعی بر روی یک نمودار نمایش داده می شود. بدون نصب، رابط - روسی و انگلیسی کار می کند.

ابزار نظارت بر میزان فعالیت شبکه - میزان داده های دریافتی و دریافتی را نشان می دهد، آمار مربوط به جلسه، روز، هفته و ماه را حفظ می کند.

4) CommTraffic.

این یک ابزار شبکه برای جمع آوری، پردازش و نمایش آمار ترافیک اینترنت از طریق یک مودم (dial-up) یا اتصال اختصاصی است. هنگام نظارت بر یک بخش LAN، CommTraffic ترافیک اینترنت را برای هر رایانه در بخش نشان می دهد.

CommTraffic شامل یک رابط کاربری آسان و قابل تنظیم است که آمار عملکرد شبکه را در قالب نمودارها و اعداد نمایش می دهد.

جدول 2

نتیجه

به طور کلی می توان گفت که اکثر کاربران خانگی از قابلیت هایی که Bandwidth Monitor Pro ارائه می دهد راضی خواهند بود. اگر در مورد کاربردی ترین برنامه برای نظارت بر ترافیک شبکه صحبت کنیم، این البته BWMeter است.

در میان برنامه های تحلیلگر ترافیک شبکه در نظر گرفته شده، می خواهم Wireshark را برجسته کنم که عملکرد بیشتری دارد.

سیستم مانیتورینگ Cacti حداکثر نیازهای افزایش یافته ای را که در مورد تحقیقات ترافیک شبکه برای اهداف علمی تحمیل می شود برآورده می کند. در آینده، نویسندگان مقاله قصد دارند از این سیستم خاص برای جمع آوری و تجزیه و تحلیل اولیه ترافیک در شبکه چند سرویس شرکتی گروه شبکه های ارتباطی دانشگاه ملی رادیو الکترونیک خارکف استفاده کنند.

کتابشناسی - فهرست کتب

Platov V.V.، Petrov V.V. مطالعه ساختار خود مشابه ترافیک تله یک شبکه بی سیم // نوت بوک های مهندسی رادیو. M.: OKB MEI. 2004. شماره 3. صص 58-62.

پتروف V.V. ساختار ترافیک از راه دور و الگوریتم تضمین کیفیت خدمات تحت تأثیر تأثیر خود شباهت. پایان نامه برای درجه کاندیدای علوم فنی، 05.12.13، مسکو، 2004، 199 ص.