Izvornik: 8 najboljih njuškanja paketa i mrežnih analizatora
Autor: Jon Watson
Datum objave: 22. studenog 2017
Prijevod: A. Krivoshey
Datum prijenosa: prosinac 2017
Njuškanje paketa je kolokvijalni pojam koji se odnosi na umjetnost njuškanja mrežnog prometa. Suprotno uvriježenom mišljenju, stvari poput e-pošte i web stranica ne prolaze Internetom u jednom komadu. Oni su razbijeni u tisuće malih paketa podataka i na taj način poslani internetom. U ovom članku ćemo pogledati najbolje besplatne mrežne analizatore i njuškare paketa.
Postoje mnogi uslužni programi koji prikupljaju mrežni promet, a većina njih koristi pcap (na sustavima sličnim Unixu) ili libcap (na Windowsima) kao jezgru. Druga vrsta uslužnog programa pomaže analizirati ove podatke, budući da čak i mala količina prometa može generirati tisuće paketa kojima je teško navigirati. Gotovo svi ovi uslužni programi se malo razlikuju jedni od drugih u prikupljanju podataka, glavne razlike su u načinu na koji analiziraju podatke.
Analiza mrežnog prometa zahtijeva razumijevanje kako mreža radi. Ne postoji alat koji na magičan način zamjenjuje znanje analitičara o osnovnom umrežavanju, kao što je TCP "3-way handshake" koji se koristi za iniciranje veze između dva uređaja. Analitičari također moraju imati određeno razumijevanje o vrstama mrežnog prometa na mreži koja normalno funkcionira, kao što su ARP i DHCP. Ovo znanje je važno jer će vam analitički alati jednostavno pokazati što od njih tražite. Na vama je da odlučite što ćete tražiti. Ako ne znate kako vaša mreža obično izgleda, može biti teško znati da ste pronašli ono što tražite u masi paketa koje ste sastavili.
Najbolji njuškari paketa i mrežni analizatori
industrijski alati
Počnimo od vrha, a zatim se spustimo na osnove. Ako imate posla s mrežom na razini poduzeća, trebat će vam veliki pištolj. Iako gotovo sve koristi tcpdump u svojoj srži (više o tome kasnije), alati na razini poduzeća mogu riješiti određene lukave probleme, kao što je korelacija prometa s više poslužitelja, pružanje inteligentnih upita za identificiranje problema, upozoravanje na iznimke i stvaranje dobrih grafikona, što gazde uvijek zahtijevaju..
Alati na razini poduzeća obično se usredotočuju na strujanje mrežnog prometa, a ne na procjenu sadržaja paketa. Time mislim da je glavni fokus većine administratora sustava u poduzeću osigurati da mreža nema uskih grla u performansama. Kada se pojave takva uska grla, cilj je obično utvrditi je li problem uzrokovan mrežom ili aplikacijom na mreži. S druge strane, ovi alati obično mogu podnijeti toliko prometa da mogu pomoći predvidjeti kada će mrežni segment biti potpuno učitan, što je kritična točka u upravljanju propusnošću mreže.
Ovo je vrlo velik skup alata za IT upravljanje. U ovom je članku prikladniji uslužni program Deep Packet Inspection and Analysis, koji je njegov sastavni dio. Prikupljanje mrežnog prometa je prilično jednostavno. Uz alate kao što je WireShark, osnovna analiza također nije problem. Ali situacija nije uvijek potpuno jasna. Na vrlo prometnoj mreži može biti teško odrediti čak i vrlo jednostavne stvari, kao što su:
Koja aplikacija na mreži generira ovaj promet?
- ako je aplikacija poznata (recimo, web preglednik), gdje njezini korisnici provode većinu vremena?
- koje veze su najduže i preopterećuju mrežu?
Većina mrežnih uređaja koristi metapodatke svakog paketa kako bi bili sigurni da paket ide kamo treba. Sadržaj paketa nepoznat je mrežnom uređaju. Druga stvar je duboka inspekcija paketa; to znači da se provjerava stvarni sadržaj paketa. Na taj način mogu se otkriti kritične mrežne informacije koje se ne mogu prikupiti iz metapodataka. Alati poput onih koje nudi SolarWinds mogu pružiti značajnije podatke od pukog protoka prometa.
Ostale tehnologije upravljanja mrežom koje zahtijevaju velike količine podataka uključuju NetFlow i sFlow. Svaki ima svoje snage i slabosti,
Možete saznati više o NetFlow i sFlow.
Analiza mreže općenito je napredna tema koja se izvlači kako na temelju stečenog znanja tako i na temelju praktičnog iskustva. Moguće je uvježbati osobu u detaljnom poznavanju mrežnih paketa, ali ako ta osoba nema znanje o samoj mreži, i nema iskustva u otkrivanju anomalija, neće joj dobro proći. Alati opisani u ovom članku trebali bi koristiti iskusni mrežni administratori koji znaju što žele, ali nisu sigurni koji je alat najbolji. Mogu ih koristiti i manje iskusni administratori sustava za stjecanje svakodnevnog mrežnog iskustva.
Osnove
Glavni alat za prikupljanje mrežnog prometa je
To je aplikacija otvorenog koda koja je instalirana na gotovo svim operativnim sustavima sličnim Unixu. Tcpdump je izvrstan uslužni program za prikupljanje podataka koji ima vrlo sofisticiran jezik za filtriranje. Važno je znati filtrirati podatke dok ih prikupljate kako biste na kraju dobili normalan skup podataka za analizu. Snimanje svih podataka s mrežnog uređaja, čak i na umjereno zauzetoj mreži, može generirati previše podataka koje će biti vrlo teško analizirati.
U nekim rijetkim slučajevima bit će dovoljno ispisati podatke koje je uhvatio tcpdump izravno na zaslon kako biste pronašli ono što trebate. Na primjer, dok sam pisao ovaj članak, prikupio sam promet i primijetio da moj stroj šalje promet na IP adresu koju ne znam. Ispostavilo se da je moj stroj slao podatke na Google IP adresu 172.217.11.142. Budući da nisam imao nikakve Googleove proizvode i nisam imao otvoren Gmail, nisam znao zašto se to događa. Provjerio sam svoj sustav i našao sljedeće:
[ ~ ]$ ps -ef | grep google korisnik 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service
Ispada da čak i kada Chrome ne radi, ostaje pokrenut kao usluga. Ne bih ovo primijetio bez njuškanja paketa. Snimio sam još nekoliko paketa podataka, ali ovaj put sam natjerao tcpdump da zapiše podatke u datoteku, koju sam zatim otvorio u Wiresharku (više o tome kasnije). Evo unosa:
Tcpdump je omiljeni alat administratora sustava jer je uslužni program naredbenog retka. tcpdump ne zahtijeva GUI za pokretanje. Za proizvodne poslužitelje, grafičko sučelje je prilično štetno, jer troši resurse sustava, pa se preferiraju programi naredbenog retka. Poput mnogih modernih uslužnih programa, tcpdump ima vrlo bogat i složen jezik za koji je potrebno neko vrijeme za savladavanje. Nekoliko najosnovnijih naredbi uključuje odabir mrežnog sučelja za prikupljanje podataka i zapisivanje tih podataka u datoteku kako bi se mogli izvesti za analizu negdje drugdje. Za to se koriste prekidači -i i -w.
# tcpdump -i eth0 -w tcpdump_packets tcpdump: slušanje na eth0, tip veze EN10MB (Ethernet), veličina snimanja 262144 bajta ^C51 uhvaćeni paketi
Ova naredba stvara datoteku sa snimljenim podacima:
Datoteka tcpdump_packets tcpdump_packets: tcpdump datoteka za snimanje (little-endian) - verzija 2.4 (Ethernet, duljina snimanja 262144)
Standard za takve datoteke je pcap format. To nije tekst, pa ga mogu analizirati samo programi koji razumiju ovaj format.
3. Windump
Većina korisnih programa otvorenog koda na kraju se kloniraju u druge operativne sustave. Kada se to dogodi, kaže se da je aplikacija migrirana. Windump je port za tcpdump i ponaša se na vrlo sličan način.
Najznačajnija razlika između Windump i tcpdump je ta što Windump treba instalirati Winpcap knjižnicu prije pokretanja Windumpa. Iako Windump i Winpcap osigurava isti održavatelj, potrebno ih je zasebno preuzeti.
Winpcap je biblioteka koja mora biti unaprijed instalirana. No Windump je exe datoteka koju ne treba instalirati, pa je možete jednostavno pokrenuti. Ovo morate imati na umu ako koristite Windows mrežu. Ne morate instalirati Windump na svaki stroj jer ga možete jednostavno kopirati po potrebi, ali će vam trebati Winpcap da podržava Windup.
Kao i kod tcpdump, Windump može prikazati mrežne podatke za analizu, filtrirati na isti način i zapisati podatke u pcap datoteku za kasniju analizu.
4 Wireshark
Wireshark je sljedeći najpoznatiji alat u sysadmin paketu. Ne samo da vam omogućuje hvatanje podataka, već pruža i neke napredne alate za analizu. Osim toga, Wireshark je otvorenog koda i prenesen je na gotovo svaki postojeći poslužiteljski operativni sustav. Pod nazivom Etheral, Wireshark sada radi posvuda, uključujući i kao samostalna prijenosna aplikacija.
Ako analizirate promet na GUI poslužitelju, Wireshark može učiniti sve umjesto vas. On može prikupiti podatke i onda sve to analizirati tamo. Međutim, GUI je rijedak na poslužiteljima, tako da možete prikupljati mrežne podatke na daljinu, a zatim pregledati rezultirajuću pcap datoteku u Wiresharku na vašem računalu.
Kada se prvi put pokrene, Wireshark vam omogućuje ili učitavanje postojeće pcap datoteke ili pokretanje snimanja prometa. U potonjem slučaju možete dodatno postaviti filtere kako biste smanjili količinu prikupljenih podataka. Ako ne navedete filtar, Wireshark će jednostavno prikupiti sve mrežne podatke s odabranog sučelja.
Jedna od najkorisnijih značajki Wiresharka je mogućnost praćenja streama. Najbolje je razmišljati o niti kao o lancu. Na snimci zaslona ispod možemo vidjeti dosta uhvaćenih podataka, ali mene je najviše zanimala Googleova IP adresa. Mogu kliknuti desnom tipkom miša i pratiti TCP tok da vidim cijeli lanac.
Ako je promet uhvaćen na drugom računalu, možete uvesti PCAP datoteku koristeći Wireshark File -> Otvori dijaloški okvir. Za uvezene datoteke dostupni su isti filtri i alati kao i za snimljene mrežne podatke.
5.morski pas
Tshark je vrlo korisna veza između tcpdump i Wireshark. Tcpdump se ističe u prikupljanju podataka i može samo kirurški izdvojiti podatke koji su vam potrebni, međutim njegove mogućnosti analize podataka su vrlo ograničene. Wireshark radi izvrstan posao i za snimanje i za analizu, ali ima teško korisničko sučelje i ne može se koristiti na poslužiteljima koji nisu GUI. Pokušajte s tsharkom, radi na naredbenom retku.
Tshark koristi ista pravila filtriranja kao i Wireshark, što ne bi trebalo biti iznenađenje jer su u biti isti proizvod. Naredba u nastavku samo govori tsharku da preuzme odredišnu IP adresu i neka druga polja od interesa iz HTTP dijela paketa.
# tshark -i eth0 -Y http.request -T polja -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/201001 /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.21_20; Linux 172.20; rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux; 1) Gerv: 1 Firefoxo/ Linux 1: Firefox 2:00 0 /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png/172.20.0 Mozilla (X12.20.0) x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.
Ako želite zapisati promet u datoteku, upotrijebite opciju -W za to, a zatim prekidač -r (čitaj) da biste je pročitali.
Prvo snimi:
# tshark -i eth0 -w tshark_packets Hvatanje na "eth0" 102 ^C
Pročitajte je ovdje ili premjestite na drugo mjesto radi analize.
# tshark -r tshark_packets -Y http.request -T polja -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/2010 /57.0 /kontakt 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /rezervacije/ 172.20.0.122 Mozilla/5.0 (X81 Geck160 Linux; X81 Geck160 Linux); reservations/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js.2.7 pack/js.2.js6-pack .0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gerv: 20100100 Firefox/57. 57.0 /res/images/title.png
Ovo je vrlo zanimljiv alat koji spada u kategoriju alata za mrežnu forenzičku analizu, a ne samo u njuške. Područje forenzičke znanosti obično je istraga i prikupljanje dokaza, a Network Miner ovaj posao obavlja sasvim dobro. Baš kao što wireshark može pratiti TCP stream kako bi oporavio cijeli lanac prijenosa paketa, Network Miner može pratiti stream kako bi oporavio datoteke koje su prenesene preko mreže.
Network Miner se može strateški postaviti na mrežu kako bi mogao promatrati i prikupljati promet koji vas zanima u stvarnom vremenu. Neće generirati vlastiti promet na mreži, pa će raditi u tajnosti.
Network Miner također može raditi izvan mreže. Možete koristiti tcpdump za prikupljanje paketa s mrežne točke interesa, a zatim uvesti PCAP datoteke u Network Miner. Zatim možete pokušati vratiti sve datoteke ili certifikate pronađene u snimljenoj datoteci.
Network Miner je napravljen za Windows, ali s Mono se može pokrenuti na bilo kojem OS-u koji podržava Mono platformu, kao što su Linux i MacOS.
Postoji besplatna verzija, početna, ali s pristojnim skupom značajki. Ako trebate dodatne značajke kao što su geolokacija i prilagođeni scenariji, morat ćete kupiti profesionalnu licencu.
7Fiddler (HTTP)
Tehnički nije uslužni program za hvatanje mrežnih paketa, ali je toliko nevjerojatno koristan da se nalazi na ovom popisu. Za razliku od ostalih ovdje navedenih alata, koji su dizajnirani za hvatanje mrežnog prometa iz bilo kojeg izvora, Fiddler je više alat za otklanjanje pogrešaka. Snima HTTP promet. Iako mnogi preglednici već imaju tu mogućnost u svojim razvojnim alatima, Fiddler nije ograničen na promet preglednika. Fiddler može uhvatiti bilo koji HTTP promet na vašem računalu, uključujući ne-web aplikacije.
Mnoge desktop aplikacije koriste HTTP za povezivanje s web uslugama, a osim Fiddlera, jedini način za hvatanje takvog prometa za analizu je korištenje alata poput tcpdump ili Wireshark. Međutim, oni rade na razini paketa, pa je za analizu potrebno obrnuti inženjering te pakete u HTTP streamove. Provođenje jednostavnog istraživanja može biti puno posla, a tu dolazi Fiddler. Fiddler može pomoći u otkrivanju kolačića, certifikata i drugih korisnih podataka koje šalju aplikacije.
Fiddler je besplatan i, kao i Network Miner, može se pokrenuti u mono na gotovo svakom operativnom sustavu.
8 Capsa
Capsa Network Analyzer ima nekoliko izdanja, svako s različitim mogućnostima. Na prvoj razini, Capsa je besplatna i u biti vam omogućuje jednostavno hvatanje paketa i njihovu osnovnu grafičku analizu. Nadzorna ploča je jedinstvena i može pomoći neiskusnom administratoru sustava da brzo identificira probleme s mrežom. Besplatna razina je za ljude koji žele naučiti više o paketima i izgraditi svoje vještine analize.
Besplatna verzija omogućuje vam kontrolu nad više od 300 protokola, prikladnih za praćenje e-pošte, kao i za spremanje sadržaja e-pošte, također podržava okidače koji se mogu koristiti za aktiviranje upozorenja u određenim situacijama. U tom smislu, Capsa se u određenoj mjeri može koristiti kao alat za podršku.
Capsa je dostupna samo za Windows 2008/Vista/7/8 i 10.
Zaključak
Lako je vidjeti kako, koristeći alate koje smo opisali, administrator sustava može stvoriti infrastrukturu za praćenje mreže. Tcpdump ili Windump se mogu instalirati na svim poslužiteljima. Planer, kao što je cron ili Windows planer, pokreće sesiju prikupljanja paketa u pravo vrijeme i zapisuje prikupljene podatke u pcap datoteku. Administrator sustava zatim može poslati te pakete na središnji stroj i analizirati ih pomoću wiresharka. Ako je mreža prevelika za to, postoje alati poslovne klase kao što je SolarWinds koji pretvaraju sve mrežne pakete u skup podataka kojim se može upravljati.
Pročitajte druge članke o presretanju i analizi mrežnog prometa :
- Dan Nanni, Uslužni programi naredbenog retka za praćenje mrežnog prometa u Linuxu
- Paul Cobbaut, administracija Linux sustava. Presretanje mrežnog prometa
- Paul Ferrill, 5 Linux alata za praćenje mreže
- Pankaj Tanwar, Hvatanje paketa s bibliotekom libpcap
- Riccardo Capecchi, Korištenje Wireshark filtera
- Nathan Willis, Analiza mreže s Wiresharkom
- Prashant Phatak,
Potreba za analizom mrežnog prometa može se pojaviti iz nekoliko razloga. Nadgledanje računalne sigurnosti, otklanjanje pogrešaka u lokalnoj mreži, praćenje odlaznog prometa radi optimizacije rada zajedničke internetske veze - svi su ti zadaci često na dnevnom redu administratora sustava i običnih korisnika. Za njihovo rješavanje postoje mnogi uslužni programi koji se nazivaju sniffers, kako specijalizirani, usmjereni na rješavanje uskog područja zadataka, tako i višenamjenski "kombajni" koji korisniku pružaju širok izbor alata. Ovaj članak predstavlja jednog od predstavnika potonje grupe, odnosno uslužni program CommView koji proizvodi tvrtka. Program vam omogućuje da vizualno vidite potpunu sliku prometa koji prolazi kroz računalo ili segment lokalne mreže; prilagodljivi alarmni sustav omogućuje vam da upozorite na prisutnost sumnjivih paketa u prometu, pojavu čvorova s abnormalnim adresama na mreži ili povećanje mrežnog opterećenja.
CommView pruža mogućnost čuvanja statistike o svim IP vezama, dekodiranja IP paketa na nisku razinu i njihove analize. Ugrađeni sustav filtriranja za nekoliko parametara omogućuje vam da konfigurirate praćenje samo potrebnih paketa, što njihovu analizu čini učinkovitijom. Program može prepoznati pakete iz više od sedam desetaka najčešćih protokola (uključujući DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP, itd.) i spremite ih u datoteke za daljnju analizu. Mnogi drugi alati, kao što je otkrivanje proizvođača mrežnog adaptera prema MAC adresi, rekonstrukcija HTML-a i daljinsko hvatanje paketa s opcijskim uslužnim programom CommView Remote Agent, također mogu biti korisni u određenim slučajevima.
Rad s programom
Najprije morate odabrati mrežno sučelje na kojem će se pratiti promet. 
CommView podržava gotovo sve vrste Ethernet adaptera - 10, 100 i 1000 Mbps, kao i analogne modeme, xDSL, Wi-Fi, itd. Analizirajući promet Ethernet adaptera, CommView može presresti ne samo dolazne i odlazne, već i tranzitne pakete adresirane na bilo koje od računala u segmentu lokalne mreže. Vrijedi napomenuti da ako je zadatak pratiti sav promet na segmentu lokalne mreže, tada je potrebno da računala u njemu budu povezana preko čvorišta, a ne preko prekidača. Neki moderni modeli prekidača imaju značajku zrcaljenja porta, koja im također omogućuje konfiguraciju za mrežni nadzor pomoću CommViewa. Više o tome možete pročitati. Nakon odabira željene veze, možete početi hvatati pakete. Gumbi za početak i zaustavljanje snimanja nalaze se u blizini linije za odabir sučelja. Za rad s daljinskim upravljačem pristupa, VPN-om i PPPoE-om, prilikom instaliranja programa morate instalirati odgovarajući upravljački program.
Glavni prozor programa podijeljen je na nekoliko kartica koje su odgovorne za određeno područje rada. Prvi, "Trenutne IP veze", prikazuje detaljne informacije o važećim IP vezama računala. Ovdje možete vidjeti lokalnu i udaljenu IP adresu, broj odaslanih i primljenih paketa, smjer prijenosa, broj uspostavljenih IP sesija, portove, naziv hosta (ako funkcija DNS razlučivanja nije onemogućena u postavkama programa) , i naziv procesa koji prima ili prenosi paket ove sesije. Najnovije informacije nisu dostupne za tranzitne pakete ili na računalima sa sustavom Windows 9x/ME. 
Kartica Trenutne IP veze
Ako desnom tipkom miša kliknete bilo koju vezu, otvorit će se kontekstni izbornik u kojem možete pronaći alate koji olakšavaju analizu veza. Ovdje možete vidjeti količinu podataka prenesenih unutar veze, potpuni popis korištenih portova, detaljne informacije o procesu koji prima ili prenosi pakete ove sesije. CommView vam omogućuje stvaranje aliasa za MAC i IP adrese. Na primjer, navođenjem njihovih aliasa umjesto glomaznih digitalnih adresa strojeva lokalne mreže, možete dobiti lako čitljiva i pamtljiva imena računala i tako olakšati analizu veza. 
Da biste stvorili pseudonim za IP adresu, trebate odabrati "Stvori pseudonim" i "koristeći lokalni IP" ili "koristeći udaljeni IP" iz kontekstnog izbornika. U prozoru koji se pojavi, polje IP adrese će već biti popunjeno, a preostaje samo unijeti odgovarajući naziv. Ako se novi unos IP imena kreira desnim klikom na paket, polje imena se automatski popunjava imenom hosta (ako je dostupno) i može se uređivati. Isto vrijedi i za MAC pseudonime.
Iz istog izbornika, odabirom SmartWhois, možete poslati odabranu izvornu ili odredišnu IP adresu u SmartWhois, samostalnu aplikaciju iz Tamosofta koja prikuplja informacije o bilo kojoj IP adresi ili nazivu hosta, kao što su naziv mreže, domena, država, država, ili pokrajina, grad i pruža ga korisniku.
druga kartica, "Paketi", prikazuje sve pakete snimljene na odabranom mrežnom sučelju i detaljne informacije o njima. 
Kartica Paketi
Prozor je podijeljen u tri područja. Prvi prikazuje popis svih zarobljenih paketa. Ako odaberete jedan od paketa u njemu klikom na njega pokazivačem miša, tada će se u preostalim prozorima prikazati informacije o njemu. Prikazuje broj paketa, protokol, Mac i IP adrese hosta za prijenos i primanje, korištene portove i kada se paket pojavio.
Srednje područje prikazuje sadržaj paketa - u heksadecimalnom ili tekstualnom obliku. U potonjem slučaju znakovi koji se ne mogu ispisati zamjenjuju se točkama. Ako je više paketa odabrano istovremeno u gornjem dijelu, tada će se u srednjem prozoru prikazati ukupan broj odabranih paketa, njihova ukupna veličina, kao i vremenski interval između prvog i posljednjeg paketa.
Donji prozor prikazuje dekodirane detaljne informacije o odabranom paketu.
Klikom na jedan od tri gumba u donjem desnom dijelu prozora, možete odabrati mjesto prozora za dekodiranje: u donjem dijelu, ili poravnati lijevo ili desno. Druga dva gumba omogućuju vam da automatski skočite na zadnji primljeni paket i spremite odabrani paket u vidljivo područje popisa.
Kontekstni izbornik omogućuje kopiranje MAC-, IP-adresa i cijelih paketa u međuspremnik, dodjelu aliasa, primjenu brzog filtra za odabir potrebnih paketa, kao i korištenje alata "TCP Session Reconstruction" i "Packet Generator".
Alat za rekonstrukciju TCP sesije omogućuje vam pregled procesa razmjene između dva hosta putem TCP-a. Kako bi sadržaj sesije izgledao razumljivije, potrebno je odabrati odgovarajuću "logiku prikaza". Ova je značajka najkorisnija za vraćanje tekstualnih informacija kao što su HTML ili ASCII. 
Rezultirajući podaci mogu se izvesti kao tekstualna, RTF ili binarna datoteka.
Kartica datoteka zapisnika. Ovdje možete konfigurirati postavke za spremanje zarobljenih paketa u datoteku. CommView sprema datoteke dnevnika u izvornom NCF formatu; za njihovo pregledavanje koristi se ugrađeni uslužni program koji se može pokrenuti iz izbornika Datoteka. 
Moguće je omogućiti automatsko spremanje zarobljenih paketa kako stignu, čuvati zapisnike HTTP sesija u TXT i HTML formatima, spremati, brisati, spajati i dijeliti datoteke dnevnika. Imajte na umu da se paket ne sprema čim stigne, pa kada pogledate dnevnik uživo, najvjerojatnije neće sadržavati najnovije pakete. Da bi program odmah poslao međuspremnik u datoteku, morate kliknuti gumb "Završi snimanje".
U kartici "pravila" možete postaviti uvjete za presretanje ili ignoriranje paketa. 
Kako bi se olakšao odabir i analiza potrebnih paketa, mogu se koristiti pravila filtriranja. To će također uvelike smanjiti količinu resursa sustava koje koristi CommView.
Da biste omogućili bilo koje pravilo, trebate odabrati odgovarajući odjeljak na lijevoj strani prozora. Ukupno je dostupno sedam vrsta pravila: jednostavna - "Protokoli i smjer", "Mac adrese", "IP adrese", "Lukovi", "Tekst", "TCP zastavice", "Proces", kao i univerzalno pravilo "Formule". Za svako od jednostavnih pravila moguće je odabrati pojedinačne parametre, poput izbora smjera ili protokola. Univerzalno pravilo formule je moćan i fleksibilan mehanizam za stvaranje filtara pomoću Booleove logike. Može se pronaći detaljna referenca o njegovoj sintaksi.
tab "Upozorenja" pomoći će vam da konfigurirate postavke za obavijesti o raznim događajima koji se događaju u segmentu mreže koji se proučava. 
Kartica Upozorenja omogućuje vam stvaranje, izmjenu, brisanje pravila upozorenja i pregled trenutnih događaja koji odgovaraju tim pravilima
Kako biste postavili pravilo upozorenja, klikom na gumb "Dodaj..." u prozoru koji se otvori odaberite potrebne uvjete po nastanku kojih će se obavijest pokrenuti, kao i način obavještavanja korisnika o to. 
CommView vam omogućuje da postavite sljedeće vrste događaja za praćenje:
- "Otkrivanje paketa" koji odgovara navedenoj formuli. Sintaksa formule detaljno je opisana u korisničkom priručniku;
- "bajtova u sekundi". Ovo upozorenje će se aktivirati kada se premaši određena razina opterećenja mreže;
- Paketi u sekundi. Pokreće se kada se premaši specificirana razina paketne brzine;
- Emitiranja u sekundi. Isto, samo za pakete emitiranja;
- "Multicast per second" - isto za multicast pakete.
- "Nepoznata MAC adresa". Ovo se upozorenje može koristiti za otkrivanje povezivanja nove ili neovlaštene opreme na mrežu tako da se unaprijed postavi popis poznatih adresa pomoću opcije "Konfiguriraj";
- upozorenje "Nepoznata IP adresa" će se pokrenuti kada se presretnu paketi s nepoznatim izvornim ili odredišnim IP adresama. Ako unaprijed navedete popis poznatih adresa, ovo se upozorenje može koristiti za otkrivanje neovlaštenih veza putem korporativnog vatrozida.
CommView ima moćan alat za vizualizaciju statistike proučavanog prometa. Da biste otvorili prozor statistike, potrebno je odabrati istoimenu stavku iz izbornika "Prikaz". 
Prozor statistike u općem načinu
U ovom prozoru možete vidjeti statistiku mrežnog prometa: ovdje možete vidjeti broj paketa u sekundi, bajtova u sekundi, distribuciju Etherneta, IP i podprotokola. Dijagrami se mogu kopirati u međuspremnik, što će pomoći u slučaju potrebe za izvješćivanjem. 
Dostupnost, cijena, zahtjevi sustava
Trenutna verzija programa je CommView 5.1. S web stranice Tamosoft možete, koja će funkcionirati 30 dana.
Programer nudi kupcima dvije opcije licence:
- Home License (kućna licenca), vrijedna 2000 rubalja, daje pravo korištenja programa kod kuće na nekomercijalnoj osnovi, dok je broj hostova dostupnih za praćenje u vašoj kućnoj mreži ograničen na pet. Ova vrsta licence ne dopušta vam daljinski rad koristeći Remote Agent.
- Enterprise License (korporativna, cijena - 10.000 rubalja) daje pravo na komercijalnu i nekomercijalnu upotrebu programa od strane jedne osobe koja osobno koristi program na jednom ili više strojeva. Program se također može instalirati na jednu radnu stanicu i koristiti ga više osoba, ali ne istovremeno.
Aplikacija radi na Windows 98/Me/NT/2000/XP/2003 operativnim sustavima. Zahtijeva mrežni adapter za Ethernet, bežični Ethernet, Token Ring s podrškom za NDIS 3.0 ili standardni kontroler za daljinski pristup.
Prednosti:
- lokalizirano sučelje;
- izvrstan sustav pomoći;
- podrška za različite vrste mrežnih adaptera;
- napredna analiza paketa i alati za definiranje protokola;
- vizualizacija statistike;
- funkcionalni sustav upozorenja.
minusi:
- previsoka cijena;
- nedostatak unaprijed postavljenih pravila i upozorenja za presretanje;
- nije baš prikladan mehanizam odabira paketa na kartici "Paketi".
Zaključak
Sa svojom izvrsnom funkcionalnošću i korisničkim sučeljem, CommView može postati nezamjenjiv alat za lokalne mrežne administratore, davatelje internetskih usluga i kućne korisnike. Bio sam zadovoljan temeljitim pristupom programera ruskoj lokalizaciji paketa: i sučelje i referentni priručnik izrađeni su na vrlo visokoj razini. Visoka cijena programa donekle zamračuje sliku, ali tridesetodnevna probna verzija pomoći će potencijalnom kupcu da odluči o preporučljivosti kupnje ovog uslužnog programa.
Opće informacije
Alati koji se nazivaju mrežni analizatori nazvani su po Sniffer Network Analyzeru. Ovaj proizvod je 1988. izdao Network General (sada Network Associates) i bio je jedan od prvih uređaja koji je omogućio menadžerima da doslovno znaju što se događa u velikoj mreži iz udobnosti svog stola. Prvi parseri čitaju zaglavlja poruka u paketima podataka koji se šalju preko mreže, pružajući tako administratorima informacije o adresama pošiljatelja i primatelja, veličinama datoteka i drugim niskim razinama podataka. A sve je to uz provjeru ispravnosti prijenosa paketa. Koristeći grafikone i tekstualne opise, analizatori su pomogli mrežnim administratorima dijagnosticirati poslužitelje, mrežne veze, čvorišta i prekidače te aplikacije. Grubo govoreći, mrežni njuškalo sluša ili "njuši" pakete na određenom segmentu fizičke mreže. To vam omogućuje da analizirate promet za neke obrasce, riješite određene probleme i identificirate sumnjive aktivnosti. Sustav za otkrivanje upada u mrežu nije ništa više od naprednog analizatora koji uspoređuje svaki paket na mreži s bazom podataka poznatih zlonamjernih prometnih obrazaca, slično kao što antivirusni program radi s datotekama na računalu. Za razliku od prethodno opisanih alata, parseri rade na nižoj razini.
Ako se okrenemo referentnom modelu OSI, tada analizatori provjeravaju dva niža sloja - fizički i kanal.
|
Broj sloja modela OSI |
Naziv razine |
Primjeri protokola |
|
Razina 7 |
Aplikacijski sloj |
DNS, FTP, HTTP, SMTP, SNMP, Telnet |
|
Razina 6 |
Prezentacijski sloj |
|
|
Razina 5 |
razini sesije |
|
|
Razina 4 |
transportni sloj |
NetBIOS, TCP, UDP |
|
Razina 3 |
mrežni sloj |
ARP, IP, IPX, OSPF |
|
Razina 2 |
Sloj veze |
Arcnet, Ethernet, Token ring |
|
Razina 1 |
Fizički sloj |
Koaksijalni kabel, optičko vlakno, upredena parica |
Fizički sloj je stvarno fizičko ožičenje ili drugi medij koji se koristi za stvaranje mreže. Na sloju veze dolazi do početnog kodiranja podataka za prijenos kroz određeni medij. Mrežni standardi sloja veze uključuju bežični 802.11, Arcnet, koaksijalni kabel, Ethernet, Token Ring i još mnogo toga. Analizatori obično ovise o vrsti mreže na kojoj rade. Na primjer, da biste analizirali promet na Ethernet mreži, morate imati Ethernet analizator.
Postoje komercijalni analizatori dostupni od proizvođača kao što su Fluke, Network General i drugi. Obično se radi o posebnim hardverskim uređajima koji mogu koštati desetke tisuća dolara. Iako je ovaj hardver sposoban za dublju analizu, moguće je izraditi jeftin mrežni analizator korištenjem softvera otvorenog koda i jeftinog računala baziranog na Intelu.
Vrste analizatora
Sada se proizvodi mnogo analizatora, koji su podijeljeni u dvije vrste. Prvi uključuje samostalne proizvode koji se instaliraju na mobilno računalo. Konzultant ga može ponijeti sa sobom prilikom posjete uredu klijenta i spojiti ga na mrežu radi prikupljanja dijagnostičkih podataka.
U početku su prijenosni uređaji dizajnirani za testiranje rada mreža dizajnirani isključivo za provjeru tehničkih parametara kabela. Međutim, s vremenom su proizvođači svoju opremu obdarili brojnim funkcijama analizatora protokola. Moderni mrežni analizatori su u stanju otkriti najširi raspon mogućih problema - od fizičkog oštećenja kabela do preopterećenih mrežnih resursa.
Druga vrsta analizatora dio je šire kategorije hardvera i softvera za praćenje mreže koji organizacijama omogućuje kontrolu nad svojim lokalnim i globalnim mrežnim uslugama, uključujući web. Ovi programi daju administratorima holistički pogled na zdravlje mreže. Na primjer, uz pomoć takvih proizvoda možete odrediti koje su aplikacije trenutno pokrenute, koji su korisnici registrirani na mreži i koji od njih generira najveći dio prometa.
Osim identificiranja mrežnih karakteristika niske razine, kao što su izvor paketa i njihovo odredište, moderni analizatori dekodiraju informacije primljene na svih sedam slojeva mrežnog stoga Open System Interconnection (OSI) i često izdaju preporuke za rješavanje problema. Ako analiza na razini aplikacije ne dopušta davanje adekvatne preporuke, analizatori provode studiju na nižoj, mrežnoj razini.
Moderni analizatori obično podržavaju standarde daljinskog nadzora (Rmon i Rmon 2) koji omogućuju automatsko dohvaćanje ključnih podataka o izvedbi, kao što su informacije o opterećenju dostupnih resursa. Analizatori koji podržavaju Rmon mogu redovito provjeravati status mrežnih komponenti i uspoređivati primljene podatke s prethodno akumuliranim. Ako je potrebno, izdat će upozorenje da razine prometa ili performanse premašuju ograničenja koja su postavili administratori mreže.
NetScout Systems je predstavio nGenius Application Service Level Manager, sustav dizajniran za praćenje vremena odgovora u određenim dijelovima pristupnog kanala web stranici i određivanje trenutne performanse poslužitelja. Ova aplikacija može analizirati performanse javne mreže kako bi ponovno stvorila cjelokupnu sliku na računalu korisnika. Danska tvrtka NetTest (bivši GN Nettest) počela je nuditi Fastnet, sustav za praćenje mreže koji pomaže tvrtkama e-poslovanja planirati kapacitet propusnosti i rješavati probleme s mrežom.
Analiza konvergiranih (multiservisnih) mreža
Širenje multi-servisnih mreža (konvergiranih mreža) može imati odlučujući utjecaj na razvoj telekomunikacijskih i sustava prijenosa podataka u budućnosti. Ideja da se u jednu mrežnu infrastrukturu objedini na paketnom protokolu, mogućnost prijenosa podataka, glasovnih tokova i video informacija, pokazala se vrlo primamljivom za pružatelje specijaliziranih za pružanje telekomunikacijskih usluga, jer se može značajno proširiti raspon usluga koje pružaju u trenu.
Kako korporacije počinju shvaćati učinkovitost i troškovne prednosti konvergiranih mreža temeljenih na IP-u, dobavljači mrežnih alata aktivno razvijaju odgovarajuće analizatore. U prvoj polovici godine mnoge su tvrtke predstavile komponente za svoje proizvode za mrežnu administraciju dizajnirane za glasovne preko IP mreže.
"Konvergencija je stvorila nove izazove s kojima se mrežni administratori moraju nositi", rekao je Glenn Grossman, direktor upravljanja proizvodima u NetScout Systemsu. -- Glasovni promet vrlo je osjetljiv na vremenska kašnjenja. Analizatori mogu pogledati svaki bit i bajt na žici, interpretirati zaglavlja i automatski odrediti prioritet podataka.”
Korištenje tehnologija konvergencije glasa i podataka može potaknuti novi val interesa za analizatore jer podrška za određivanje prioriteta prometa na razini IP paketa postaje ključna za rad glasovnih i video usluga. Na primjer, Sniffer Technologies je izdao Sniffer Voice, alat dizajniran za multiservisne mrežne administratore. Ovaj proizvod ne samo da pruža tradicionalne dijagnostičke usluge za upravljanje prometom e-pošte, interneta i baze podataka, već također otkriva mrežne probleme i daje preporuke za njihovo rješavanje kako bi se osiguralo da se glasovni promet ispravno prenosi preko IP mreža.
Loša strana korištenja analizatora
Treba imati na umu da postoje dvije strane medalje povezane s analizatorima. Oni pomažu u održavanju mreže i radu, ali ih također mogu koristiti hakeri za traženje korisničkih imena i lozinki u paketima podataka. Kako bi se spriječilo presretanje lozinke od strane analizatora, zaglavlja paketa su šifrirana (na primjer, korištenjem standarda Secure Sockets Layer).
Na kraju, mrežni analizator nema alternative u onim situacijama kada je potrebno razumjeti što se događa u globalnoj ili korporativnoj mreži. Dobar analizator omogućuje vam razumijevanje stanja mrežnog segmenta i određivanje količine prometa, kao i utvrđivanje kako taj volumen varira tijekom dana, koji korisnici stvaraju najveće opterećenje, u kojim situacijama postoje problemi s distribucijom prometa ili nedostatak propusnosti. Zahvaljujući korištenju analizatora, moguće je dobiti i analizirati sve fragmente podataka u segmentu mreže za određeno razdoblje.
Međutim, mrežni analizatori su skupi. Ako ga namjeravate kupiti, prvo jasno izrazite što očekujete od njega.
Značajke korištenja mrežnih analizatora
Kako biste etički i produktivno koristili mrežne analizatore, potrebno je slijediti sljedeće smjernice.
Dozvola je uvijek potrebna
Analiza mreže, kao i mnoge druge sigurnosne značajke, ima potencijal za zlouporabu. presrećući sve podataka koji se prenose preko mreže, možete špijunirati lozinke za različite sustave, sadržaj e-mail poruka i druge kritične podatke, interne i vanjske, budući da većina sustava ne šifrira svoj promet na lokalnoj mreži. Ako takvi podaci dođu u pogrešne ruke, to očito može dovesti do ozbiljnih sigurnosnih povreda. Osim toga, to može postati kršenje privatnosti zaposlenika. Prije svega, prije početka takve aktivnosti trebate dobiti pismeno dopuštenje uprave, po mogućnosti više. Također treba razmotriti što učiniti s podacima nakon što ih primi. Osim lozinki, to mogu biti i drugi osjetljivi podaci. U pravilu, protokoli mrežne analize trebali bi biti očišćeni iz sustava osim ako su potrebni za kazneni ili građanski progon. Postoje dokumentirani presedani gdje su dobronamjerni administratori sustava otpušteni zbog neovlaštenog presretanja podataka.
Potrebno je razumjeti topologiju mreže
Prije postavljanja analizatora, morate u potpunosti razumjeti fizičku i logičku organizaciju ove mreže. Provodeći analizu na pogrešnom mjestu u mreži, možete dobiti pogrešne rezultate ili jednostavno ne pronaći ono što trebate. Potrebno je provjeriti odsutnost usmjerivača između analizirajuće radne stanice i mjesta promatranja. Usmjerivači će prosljeđivati promet na mrežni segment samo ako pristupa hostu koji se tamo nalazi. Slično tome, na komutiranoj mreži morat ćete konfigurirati port na koji ste spojeni kao "monitor" ili "zrcalni" priključak. Različiti proizvođači koriste različitu terminologiju, ali u biti želite da port djeluje kao čvorište, a ne prekidač, jer mora vidjeti sav promet koji prolazi kroz prekidač, a ne samo onaj usmjeren na radnu stanicu. Bez ove konfiguracije, port monitora će vidjeti samo ono što je usmjereno na port na koji je spojen i promet mrežnog emitiranja.
Moraju se koristiti strogi kriteriji pretraživanja
Ovisno o tome što želite pronaći, korištenje otvorenog filtra (to jest, prikazivanje svega) učinit će izlaz podataka opsežnim i teškim za analizu. Bolje je koristiti posebne kriterije pretraživanja kako biste skratili izlaz koji parser proizvodi. Čak i ako ne znate što točno tražiti, još uvijek možete napisati filtar koji će ograničiti rezultate pretraživanja. Ako želite pronaći interni stroj, ispravno je postaviti kriterije za traženje samo izvornih adresa unutar dane mreže. Ako želite pratiti određenu vrstu prometa, recimo FTP promet, možete ograničiti rezultate samo na ono što dolazi na portu koji koristi aplikacija. Time se mogu postići znatno bolji rezultati analize.
Postavljanje referentnog stanja mreže
Korištenje mrežnog analizatora tijekom normalnog rada , a snimanjem konačnih rezultata dolazi se do referentnog stanja koje se može usporediti s rezultatima dobivenim tijekom pokušaja izolacije problema. Analizator Ethereal, o kojem se govori u nastavku, stvara nekoliko prikladnih izvješća za to. Također će se dobiti neki podaci za praćenje korištenja mreže tijekom vremena. Koristeći ove podatke, možete odrediti kada je mreža zasićena i koji su glavni razlozi za to - preopterećeni poslužitelj, povećanje broja korisnika, promjena vrste prometa itd. Ako postoji polazište, lakše je razumjeti tko je i za što kriv.
tcpdump
Glavni alat za gotovo cjelokupno prikupljanje mrežnog prometa je tcpdump. To je aplikacija otvorenog koda koja je instalirana na gotovo svim operativnim sustavima sličnim Unixu. Tcpdump je izvrstan alat za prikupljanje podataka i dolazi s vrlo moćnim mehanizmom za filtriranje. Važno je znati filtrirati podatke tijekom prikupljanja kako biste na kraju dobili dio podataka kojim se može upravljati za analizu. Snimanje svih podataka s mrežnog uređaja, čak i na umjereno zauzetoj mreži, može generirati previše podataka za jednostavnu analizu.
U nekim rijetkim slučajevima, tcpdump vam omogućuje da iznesete izlaz izravno na vaš zaslon, a to može biti dovoljno da pronađete ono što tražite. Na primjer, prilikom pisanja članka zabilježen je dio prometa i uočeno je da stroj šalje promet na nepoznatu IP adresu. Ispostavilo se da je stroj slao podatke na Google IP adresu 172.217.11.142. Budući da nijedan Googleov proizvod nije lansiran, postavilo se pitanje zašto se to događa.
Provjera sustava pokazala je sljedeće:
[ ~ ]$ ps -ef | grep googleOstavite svoj komentar!
PREGLED PROGRAMA ANALIZE I PRAĆENJA MREŽNOG PROMETA
A.I. KOSTROMITSKY, dr. sc. tech. znanosti, V.S. VOLOTKA
Uvod
Praćenje prometa ključno je za učinkovito upravljanje mrežom. Izvor je informacija o funkcioniranju poslovnih aplikacija koje se uzimaju u obzir pri dodjeli sredstava, planiranju računalnih kapaciteta, identificiranju i lokalizaciji kvarova te rješavanju sigurnosnih problema.
U nedavnoj prošlosti nadzor prometa bio je relativno jednostavan zadatak. Računala su u pravilu bila umrežena na temelju topologije sabirnice, odnosno imala su zajednički prijenosni medij. To je omogućilo spajanje jednog uređaja na mrežu s kojim se mogao pratiti sav promet. Međutim, zahtjevi za povećanom propusnošću mreže i napredak u tehnologiji komutacije paketa, koji je uzrokovao pad cijene prekidača i usmjerivača, doveli su do brzog prijelaza sa zajedničkih medija na visoko segmentirane topologije. Ukupan promet se više ne može vidjeti s jedne točke. Da biste dobili potpunu sliku, morate pratiti svaki port. Korištenje veze točka-točka čini nezgodnim povezivanje uređaja, a za slušanje na svim portovima bilo bi potrebno previše njih, što postaje preskup zadatak. Osim toga, sami prekidači i usmjerivači su složene arhitekture, a brzina kojom se paketi obrađuju i prenose postaje važan čimbenik u određivanju performansi mreže.
Jedan od aktualnih znanstvenih zadataka trenutno je analiza (i daljnje predviđanje) samoslične prometne strukture u suvremenim multiservisnim mrežama. Za rješavanje ovog problema potrebno je prikupiti, a zatim analizirati različite statistike (brzina, količine prenesenih podataka i sl.) u postojećim mrežama. Prikupljanje takve statistike u ovom ili onom obliku moguće je pomoću raznih softverskih alata. Međutim, postoji skup dodatnih parametara i postavki koje su vrlo važne u praktičnom korištenju raznih alata.
Razni istraživači koriste razne programe za praćenje mrežnog prometa. Na primjer, istraživači su koristili Ethreal (Wireshark) program za analizu mrežnog prometa (njuškalo).
Pregledane su besplatne verzije programa koje su dostupne na,,,.
1. Pregled programa za praćenje mrežnog prometa
Razmotreno je desetak programa analizatora prometa (sniffers) i više od desetak programa za praćenje mrežnog prometa, od kojih smo odabrali četiri po našem mišljenju najzanimljivija te vam nudimo pregled njihovih glavnih značajki.
1) BMExtreme(Sl. 1).
Ovo je novi naziv dobro poznatog programa Bandwidth Monitor. Prije se program distribuirao besplatno, ali sada ima tri verzije, a besplatna je samo osnovna. Ova verzija ne nudi nikakve značajke osim, zapravo, nadzora prometa, pa se teško može smatrati konkurentom drugim programima. Prema zadanim postavkama, BMExtreme nadzire i internetski promet i promet na lokalnoj mreži, ali se nadzor na LAN-u može onemogućiti po želji.
Riža. jedan
2) BWMeter(slika 2).
Ovaj program ima ne jedan, već dva prozora za praćenje prometa: jedan prikazuje aktivnost na Internetu, a drugi prikazuje aktivnost na lokalnoj mreži.
Riža. 2
Program ima fleksibilne postavke za praćenje prometa. Uz njegovu pomoć možete odrediti je li potrebno pratiti prijam i prijenos podataka na Internetu samo s ovog računala ili sa svih računala spojenih na lokalnu mrežu, postaviti raspon IP adresa, portova i protokola za koje će se pratiti ili se neće izvesti. Osim toga, možete onemogućiti praćenje prometa tijekom određenih sati ili dana. Administratori sustava sigurno će cijeniti mogućnost raspodjele prometa između računala na lokalnoj mreži. Dakle, za svako računalo možete postaviti maksimalnu brzinu za primanje i prijenos podataka, kao i onemogućiti mrežnu aktivnost jednim klikom.
Uz vrlo minijaturnu veličinu, program ima ogroman izbor značajki, od kojih se neke mogu predstaviti na sljedeći način:
Nadgledanje svih mrežnih sučelja i mrežnog prometa.
Snažan sustav filtera koji vam omogućuje procjenu obujma bilo kojeg dijela prometa - do određene stranice u određenom smjeru ili prometa sa svakog stroja u lokalnoj mreži u određeno doba dana.
Neograničeni prilagodljivi grafikoni aktivnosti mrežne veze na temelju odabranih filtara.
Upravljanje (ograničenje, obustava) protoka prometa na bilo kojem od filtara.
Zgodan statistički sustav (od sata do godinu dana) s funkcijom izvoza.
Mogućnost pregleda statistike udaljenih računala s BWMeterom.
Fleksibilan sustav upozorenja i obavijesti po dolasku na određeni događaj.
Maksimalne mogućnosti prilagodbe, uklj. izgled.
Sposobnost pokretanja kao usluge.
3) Bandwidth Monitor Pro(slika 3).
Njegovi programeri su puno pažnje posvetili postavljanju prozora za praćenje prometa. Prvo, možete odrediti kakve će informacije program stalno prikazivati na zaslonu. To može biti količina primljenih i odaslanih podataka (i zasebno i ukupno) za danas i za bilo koje određeno vremensko razdoblje, prosječna, trenutna i maksimalna brzina veze. Ako imate instalirano više mrežnih adaptera, možete pratiti statistiku za svaki od njih zasebno. Istodobno, potrebne informacije za svaku mrežnu karticu također se mogu prikazati u prozoru za nadzor.
Riža. 3
Posebno vrijedi spomenuti sustav obavijesti koji je ovdje vrlo dobro implementiran. Možete podesiti ponašanje programa kada se ispune određeni uvjeti, a to može biti prijenos određene količine podataka za određeno vremensko razdoblje, postizanje maksimalne brzine preuzimanja, promjena brzine veze itd. Ako više korisnika radi na računala i trebate pratiti ukupni promet, program se može pokrenuti kao servis. U tom slučaju, Bandwidth Monitor Pro će prikupljati statistiku svih korisnika koji se prijavljuju u sustav pod svojim prijavama.
4) DUTraffic(slika 4).
Ono što razlikuje DUTraffic od svih programa za recenzije je njegov besplatni status.
Riža. 4
Poput komercijalnih kolega, DUTraffic može izvršiti razne radnje kada su ispunjeni određeni uvjeti. Tako, na primjer, može reproducirati audio datoteku, prikazati poruku ili prekinuti internetsku vezu kada je prosječna ili trenutna brzina preuzimanja manja od određene vrijednosti, kada trajanje internetske sesije prelazi određeni broj sati, kada prenesena je određena količina podataka. Osim toga, razne se radnje mogu izvoditi ciklički, na primjer, svaki put kada program popravi prijenos zadane količine informacija. Statistika u DUTraffic-u se vodi zasebno za svakog korisnika i za svaku internetsku vezu. Program prikazuje i opću statistiku za odabrano vremensko razdoblje, kao i informacije o brzini, količini odaslanih i primljenih podataka te financijskim troškovima za svaku sesiju.
5) Sustav za nadzor Cactus(Sl.5).
Cacti je web aplikacija otvorenog koda (odnosno, ne postoji instalacijska datoteka). Cacti prikuplja statističke podatke za određene vremenske intervale i omogućuje vam da ih prikažete u grafičkom obliku. Sustav vam omogućuje izradu grafikona pomoću RRDtool-a. Uglavnom se standardni predlošci koriste za prikaz statistike o opterećenju CPU-a, dodjeli RAM-a, broju pokrenutih procesa i korištenju dolaznog/odlaznog prometa.
Sučelje za prikaz statistike prikupljene s mrežnih uređaja predstavljeno je u obliku stabla čiju strukturu postavlja korisnik. U pravilu se grafovi grupiraju prema određenim kriterijima, a isti graf može biti prisutan u različitim granama stabla (npr. promet preko mrežnog sučelja poslužitelja – u onom koji je posvećen cjelokupnoj slici interneta tvrtke prometa, a u poslovnici s parametrima ovog uređaja) . Postoji opcija za pregled unaprijed sastavljenog skupa grafikona, a postoji i način pregleda. Svaki od grafova može se pogledati zasebno, a prikazat će se za zadnji dan, tjedan, mjesec i godinu. Moguće je samostalno odabrati vremensko razdoblje za koje će se grafikon generirati, a to se može učiniti ili navođenjem kalendarskih parametara ili jednostavnim odabirom određenog područja na njemu mišem.
stol 1
|
Opcije/Programi |
BMExtreme |
BWMeter |
Bandwidth Monitor Pro |
DUTraffic |
Kaktusi |
|
Veličina instalacijske datoteke |
473 KB |
1,91 MB |
1,05 MB |
1,4 MB |
|
|
Jezik sučelja |
ruski |
ruski |
Engleski |
ruski |
Engleski |
|
Grafikon brzine |
|||||
|
Grafikon prometa |
|||||
|
Izvoz/uvoz (format datoteke za izvoz) |
–/– |
(*.csv) |
–/– |
–/– |
(*.xls) |
|
Min -ti vremenski korak između izvješća podataka |
5 minuta. |
1 sek. |
1 minuta. |
1 sek. |
1 sek. |
|
Mogućnost promjene min |
|||||
2. Pregled analizatora mrežnog prometa (njuškala)
Analizator prometa ili njuškalo je analizator mrežnog prometa, program ili hardverski i softverski uređaj dizajniran za presretanje, a zatim analizu ili samo analizu mrežnog prometa namijenjenog drugim čvorovima.
Analiza prometa koji je prošao kroz njuškalo omogućuje vam:
Presretajte svaki nešifrirani (a ponekad i šifrirani) korisnički promet kako biste dobili lozinke i druge informacije.
Locirajte mrežni kvar ili pogrešku u konfiguraciji mrežnog agenta (administratori sustava često koriste njuškare u tu svrhu).
Budući da "klasični" njuškalo analizira promet ručno, koristeći samo najjednostavnije alate za automatizaciju (analiza protokola, oporavak TCP streama), prikladan je za analizu samo malih količina istog.
1) Wireshark(bivši Ethereal).
Program za analizu prometa za Ethernet računalne mreže i neke druge. Ima grafičko korisničko sučelje. Wireshark je aplikacija koja "zna" strukturu širokog spektra mrežnih protokola i stoga vam omogućuje da analizirate mrežni paket, prikazujući vrijednost svakog polja protokola na bilo kojoj razini. Budući da se pcap koristi za hvatanje paketa, moguće je hvatanje podataka samo s mreža koje podržava ova knjižnica. Međutim, Wireshark može raditi s različitim formatima ulaznih podataka, odnosno moguće je otvoriti podatkovne datoteke snimljene drugim programima, što proširuje mogućnosti snimanja.
2) irismrežaPrometanalizator.
Uz standardne funkcije za prikupljanje, filtriranje i traženje paketa, kao i izradu izvješća, program nudi jedinstvene mogućnosti za rekonstrukciju podataka. Iris Analizator mrežnog prometa pomaže u detaljnoj reprodukciji korisničkih sesija s raznim web resursima, pa čak i omogućuje simulaciju slanja lozinki za pristup sigurnim web poslužiteljima pomoću kolačića. Jedinstvena tehnologija rekonstrukcije podataka implementirana u modulu za dekodiranje pretvara stotine prikupljenih binarnih mrežnih paketa u poznate e-poruke, web stranice, ICQ poruke itd. eEye Iris vam omogućuje pregled nekriptirane web pošte i instant poruka, proširujući mogućnosti postojećeg nadzora i alati za reviziju.
Njuškalo paketa eEye Iris bilježi različite detalje napada, kao što su datum i vrijeme, IP adrese i DNS imena računala hakera i žrtve, kao i korišteni portovi.
3) ethernetInternetprometstatistički.
Ethernet Internet promet Statistika prikazuje količinu primljenih i primljenih podataka (u bajtovima - ukupno i za posljednju sesiju), kao i brzinu veze. Radi jasnoće, prikupljeni podaci prikazuju se u stvarnom vremenu na grafikonu. Radi bez instalacije, sučelje - ruski i engleski.
Uslužni program za praćenje stupnja mrežne aktivnosti - prikazuje količinu primljenih i primljenih podataka, vodeći statistiku za sesiju, dan, tjedan i mjesec.
4) CommTraffic.
Ovo je mrežni uslužni program za prikupljanje, obradu i prikaz statistike internetskog prometa putem modema (dial-up) ili namjenske veze. Prilikom praćenja LAN segmenta, CommTraffic prikazuje internetski promet za svako računalo u segmentu.
CommTraffic uključuje lako prilagodljivo, user-friendly sučelje koje prikazuje statistiku učinkovitosti mreže u obliku grafikona i brojeva.
tablica 2
|
Opcije/Programi |
Wireshark |
Iris Analizator mrežnog prometa |
Statistika Ethernet internetskog prometa |
CommTraffic |
|
Veličina instalacijske datoteke |
17,4 MB |
5,04 MB |
651 KB |
7,2 MB |
|
Jezik sučelja |
Engleski |
ruski |
engleski ruski |
ruski |
|
Grafikon brzine |
||||
|
Grafikon prometa |
||||
|
Izvoz/uvoz (format izvozne datoteke) |
+/– (*.txt, *.px, *.csv, *.psml, *.pdml, *.c) |
–/– |
–/– |
–/– |
|
Počnite pratiti na zahtjev |
||||
|
Min -ti vremenski korak između zapisa podataka |
0,001 sek. |
1 sek. |
1 sek. |
1 sek. |
|
Mogućnost promjene min -th korak između izvješća podataka |
Zaključak
Općenito, možemo reći da će većina kućnih korisnika biti zadovoljna mogućnostima koje pruža Bandwidth Monitor Pro. Ako govorimo o najfunkcionalnijem programu za praćenje mrežnog prometa, to je, naravno, BWMeter.
Među razmatranim programima za analizu mrežnog prometa, želio bih istaknuti Wireshark, koji ima više funkcionalnosti.
Sustav za praćenje Cacti maksimalno zadovoljava povećane zahtjeve koji se postavljaju u slučaju istraživanja mrežnog prometa u znanstvene svrhe. U budućnosti, autori članka planiraju koristiti ovaj sustav za prikupljanje i preliminarnu analizu prometa u korporativnoj multiservisnoj mreži Odjela za komunikacijske mreže Harkovskog nacionalnog sveučilišta za radioelektroniku.
Bibliografija
Platov V.V., Petrov V.V. Proučavanje samoslične strukture teleprometa bežične mreže // Radiotehničke bilježnice. M.: OKB MEI. 2004. broj 3. str. 58-62.
Petrov V.V. Struktura teleprometa i algoritam za osiguranje kvalitete usluge pod utjecajem efekta samosličnosti. Teza za stupanj kandidata tehničkih znanosti, 05.12.13., Moskva, 2004., 199 str.
