Analizoare de pachete de rețea. Analizoare de rețea

Original: 8 cele mai bune sniffer de pachete și analizoare de rețea
Autor: Jon Watson
Data publicării: 22 noiembrie 2017
Traducere: A. Krivoshey
Data traducerii: decembrie 2017

Packet sniffing este un termen colocvial care se referă la arta de a analiza traficul de rețea. Contrar credinței populare, lucruri precum e-mailurile și paginile web nu călătoresc pe internet dintr-o singură bucată. Ele sunt împărțite în mii de pachete de date mici și sunt trimise prin Internet în acest fel. În acest articol, vom arunca o privire la cele mai bune analizoare de rețea și sniffer de pachete gratuite.

Există multe utilitare care colectează trafic de rețea și majoritatea folosesc pcap (pe sisteme similare Unix) sau libcap (pe Windows) ca nucleu. Un alt tip de utilități ajută la analiza acestor date, deoarece chiar și o cantitate mică de trafic poate genera mii de pachete greu de navigat. Aproape toate aceste utilități diferă puțin unele de altele în colectarea datelor, principalele diferențe sunt în modul în care analizează datele.

Analiza traficului de rețea necesită înțelegerea modului în care funcționează rețeaua. Nu există nicio unealtă care să înlocuiască în mod magic cunoștințele unui analist cu privire la elementele de bază ale rețelei, cum ar fi strângerea de mână în trei căi TCP, care este folosită pentru a iniția o conexiune între două dispozitive. De asemenea, analiștii trebuie să înțeleagă tipurile de trafic de rețea dintr-o rețea care funcționează bine, cum ar fi ARP și DHCP. Aceste cunoștințe sunt importante deoarece instrumentele analitice vă vor arăta pur și simplu ceea ce le cereți să facă. Depinde de tine ce să ceri. Dacă nu știți cum arată de obicei rețeaua dvs., poate fi dificil să știți că ați găsit ceea ce aveți nevoie în masa de pachete pe care le-ați adunat.

Cele mai bune sniffer de pachete și analizoare de rețea

Instrumente industriale

Să începem de la vârf și să mergem până la elementele de bază. Dacă aveți de-a face cu rețele la nivel de întreprindere, aveți nevoie de o armă mare. În timp ce aproape totul se bazează pe tcpdump în esență (mai multe despre asta mai târziu), instrumentele la nivel de întreprindere pot aborda anumite probleme dificile, cum ar fi corelarea traficului de la mai multe servere, furnizarea de interogări inteligente pentru a identifica problemele, alertarea excepțiilor și generarea de grafice bune pe care șefii întotdeauna cerere....

Instrumentele de întreprindere sunt, în general, orientate spre fluxul de trafic de rețea, mai degrabă decât spre evaluarea conținutului pachetelor. Prin aceasta vreau să spun că principala preocupare a majorității administratorilor de sistem din întreprindere este să se asigure că rețeaua nu are blocaje de performanță. Când apar astfel de blocaje, scopul este de obicei de a determina dacă problema este cauzată de o rețea sau de o aplicație din rețea. Pe de altă parte, aceste instrumente pot gestiona de obicei atât de mult trafic încât pot ajuta la prezicerea când un segment al rețelei va fi încărcat complet, ceea ce este un punct critic în gestionarea lățimii de bandă.

Este un set foarte mare de instrumente de management IT. În acest articol, utilitarul Deep Packet Inspection and Analysis este mai potrivit, care este parte integrantă a acestuia. Colectarea traficului de rețea este destul de simplă. Cu instrumente precum WireShark, nici analiza de bază nu este o problemă. Dar situația nu este întotdeauna complet clară. Într-o rețea foarte aglomerată, poate fi dificil să definiți chiar și lucruri foarte simple, cum ar fi:

Ce aplicație din rețea generează acest trafic?
- dacă aplicația este cunoscută (să zicem un browser web) unde își petrec utilizatorii cea mai mare parte a timpului?
- care conexiuni sunt cele mai lungi și supraîncărcă rețeaua?

Majoritatea dispozitivelor de rețea folosesc metadatele fiecărui pachet pentru a se asigura că pachetul ajunge acolo unde trebuie. Conținutul pachetului este necunoscut dispozitivului din rețea. Inspecția profundă a pachetelor este o altă problemă; aceasta înseamnă că conținutul real al pachetului este verificat. În acest fel, puteți descoperi informații critice de rețea care nu pot fi culese din metadate. Instrumente precum cele oferite de SolarWinds pot oferi date mai semnificative decât doar fluxul de trafic.

Alte tehnologii pentru gestionarea rețelelor cu consum mare de date includ NetFlow și sFlow. Fiecare are propriile sale puncte forte și puncte slabe,

Puteți citi mai multe despre NetFlow și sFlow.

Analiza rețelei în general este un subiect de vârf care se bazează atât pe cunoștințele acumulate, cât și pe baza experienței practice. Este posibil să instruiți o persoană cu cunoștințe detaliate despre pachetele de rețea, dar dacă acea persoană nu are cunoștințe despre rețea în sine și nu are experiență în detectarea anomaliilor, nu se va descurca bine. Instrumentele descrise în acest articol ar trebui să fie utilizate de administratori de rețea cu experiență, care știu ce vor, dar nu sunt siguri care este cel mai bun utilitar. Ele pot fi, de asemenea, folosite de administratori de sistem mai puțin experimentați pentru a câștiga experiență de zi cu zi în rețea.

Cele elementare

Instrumentul principal pentru colectarea traficului de rețea este

Este o aplicație open source care se instalează pe aproape toate sistemele de operare asemănătoare Unix. Tcpdump este un utilitar excelent de colectare a datelor care are un limbaj de filtrare foarte sofisticat. Este important să știți cum să filtrați datele atunci când le colectați pentru a ajunge la un set de date normal pentru analiză. Captarea tuturor datelor de pe un dispozitiv de rețea, chiar și într-o rețea moderat ocupată, poate genera prea multe date care vor fi foarte greu de analizat.

În unele cazuri rare, va fi suficient să imprimați datele tcpdump capturate direct pe ecran pentru a găsi ceea ce aveți nevoie. De exemplu, în timp ce scriam acest articol, am colectat trafic și am observat că aparatul meu trimite trafic la o adresă IP pe care nu o cunosc. Se pare că aparatul meu trimitea date la adresa IP Google 172.217.11.142. Deoarece nu aveam niciun produs Google și nu aveam Gmail deschis, nu știam de ce se întâmpla asta. Mi-am verificat sistemul și am găsit următoarele:

[~] $ ps -ef | utilizator grep google 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome --type = serviciu

Se pare că, chiar și atunci când Chrome este oprit, rămâne să ruleze ca serviciu. Nu aș fi observat asta fără analiza pachetelor. Am mai interceptat câteva pachete de date, dar de data aceasta i-am dat tcpdump o sarcină pentru a scrie datele într-un fișier, pe care l-am deschis apoi în Wireshark (mai multe despre asta mai târziu). Aceste intrări sunt:

Tcpdump este un instrument preferat al administratorilor de sistem, deoarece este un utilitar de linie de comandă. Nu este necesară nicio interfață grafică pentru a rula tcpdump. Pentru serverele de producție, interfața grafică este destul de dăunătoare, deoarece consumă resurse de sistem, prin urmare sunt preferate programele de linie de comandă. La fel ca multe utilitare moderne, tcpdump are un limbaj foarte bogat și complex, care necesită ceva timp pentru a fi stăpânit. Câteva dintre cele mai de bază comenzi includ selectarea unei interfețe de rețea pentru a colecta date și scrierea acestor date într-un fișier, astfel încât să poată fi exportate pentru analiză în altă parte. Comutatoarele -i și -w sunt folosite pentru aceasta.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: ascultare pe eth0, tip link EN10MB (Ethernet), dimensiunea capturii 262144 octeți ^ Pachete C51 capturate

Această comandă creează un fișier cu datele capturate:

Fișier tcpdump_packets tcpdump_packets: fișier de captură tcpdump (little-endian) - versiunea 2.4 (Ethernet, lungime de captură 262144)

Standardul pentru aceste fișiere este formatul pcap. Nu este text, deci poate fi analizat doar de programe care înțeleg acest format.

3. Windump

Cele mai multe dintre utilitarele open source utile ajung să fie clonate în alte sisteme de operare. Când se întâmplă acest lucru, se spune că aplicația a fost migrată. Windump este un port al tcpdump și se comportă într-un mod foarte similar.

Cea mai semnificativă diferență dintre Windump și tcpdump este că Windump are nevoie de biblioteca Winpcap instalată înainte de a rula Windump. Deși atât Windump, cât și Winpcap sunt furnizate de același întreținător, acestea trebuie descărcate separat.

Winpcap este o bibliotecă care trebuie preinstalată. Dar Windump este un fișier exe care nu trebuie instalat, așa că îl puteți rula. Acest lucru trebuie avut în vedere dacă utilizați o rețea Windows. Nu trebuie să instalați Windump pe fiecare mașină, deoarece îl puteți copia doar după cum este necesar, dar veți avea nevoie de Winpcap pentru a suporta Windup.

Ca și în cazul tcpdump, Windump poate afișa date de rețea pentru analiză, poate filtra în același mod și poate scrie date într-un fișier pcap pentru analiză ulterioară.

4. Wireshark

Wireshark este următorul instrument cel mai faimos din suita de administrare a sistemului. Nu numai că vă permite să capturați date, ci oferă și câteva instrumente avansate de analiză. În plus, Wireshark este open source și portat la aproape toate sistemele de operare server existente. Numit Etheral, Wireshark funcționează acum peste tot, inclusiv ca aplicație portabilă autonomă.

Dacă analizați traficul pe un server GUI, Wireshark poate face totul pentru dvs. El poate colecta date și apoi le poate analiza pe toate aici. Cu toate acestea, GUI este rară pe servere, așa că puteți colecta date de rețea de la distanță și apoi puteți examina fișierul pcap rezultat în Wireshark pe computer.

La prima lansare, Wireshark vă permite fie să încărcați un fișier pcap existent, fie să începeți să capturați trafic. În acest din urmă caz, puteți seta suplimentar filtre pentru a reduce cantitatea de date colectate. Dacă nu specificați un filtru, Wireshark va colecta pur și simplu toate datele de rețea din interfața selectată.

Una dintre cele mai utile caracteristici ale Wireshark este capacitatea de a urmări un flux. Cel mai bine este să ne gândim la un flux ca la un lanț. În captura de ecran de mai jos, putem vedea o mulțime de date capturate, dar cel mai mult m-a interesat adresa IP a Google. Pot face clic dreapta și pot urmări fluxul TCP pentru a vedea întregul lanț.

Dacă traficul a fost capturat pe alt computer, puteți importa fișierul PCAP utilizând dialogul Wireshark File -> Open. Aceleași filtre și instrumente sunt disponibile pentru fișierele importate ca și pentru datele de rețea capturate.

5.rechin

Tshark este o legătură foarte utilă între tcpdump și Wireshark. Tcpdump excelează la colectarea datelor și poate extrage chirurgical doar datele de care aveți nevoie, cu toate acestea, capabilitățile sale de analiză a datelor sunt foarte limitate. Wireshark face o treabă grozavă atât în ​​ceea ce privește capturarea, cât și analizarea, dar are o interfață de utilizator grea și nu poate fi folosit pe servere fără GUI. Încercați tshark, funcționează pe linia de comandă.

Tshark folosește aceleași reguli de filtrare ca și Wireshark, ceea ce nu ar trebui să fie surprinzător, deoarece sunt în esență același produs. Comanda de mai jos îi spune lui tshark doar să ia adresa IP de destinație, precum și alte câmpuri de interes din porțiunea HTTP a pachetului.

# tshark -i eth0 -Y http.request -T câmpuri -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox /57.0 /images/title.png 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css 172.1 25;1 Linux x86_64; 172.25; 04.04; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla / 5.0 (X11; Linux x86v: 10.0.164; Linux x. /57.0 /images/styles/index.css 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png 172.20.0.001 / Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 2010.0.120 Firefox / 2010.0571.

Dacă doriți să scrieți trafic într-un fișier, utilizați opțiunea -W urmată de comutatorul -r (citește) pentru a-l citi.

Captură mai întâi:

# tshark -i eth0 -w tshark_packets Captură pe „eth0” 102 ^ C

Citiți-l aici sau transferați-l în alt loc pentru analiză.

# tshark -r tshark_packets -Y http.request -T câmpuri -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 201000 Firefox /57.0 / contact 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / rezervări / 172.20.0.122 Mozilla / 5.0; 1; 10100101 Firefox / 5.0; 172.20.0.122 57.0 /reservations/styles/styles.css 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/-jquery.jquery.j js 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css 172.20.0.122 Mozilla / 11.0.122 Mozilla / 11.0.122 rv: 57.0; Firefox / 57.0 /res/images/title.png

Acesta este un instrument foarte interesant, care se încadrează în categoria instrumentelor de analiză criminalistică de rețea, mai degrabă decât doar sniffer. Domeniul criminalisticii se ocupă, în general, de investigații și culegerea de dovezi, iar Network Miner face această treabă foarte bine. Așa cum wireshark poate urmări un flux TCP pentru a recupera întregul lanț de pachete, Network Miner poate urma un flux TCP pentru a recupera fișierele care au fost transferate prin rețea.

Network Miner poate fi plasat strategic în rețea pentru a putea observa și colecta traficul care vă interesează în timp real. Nu va genera propriul trafic în rețea, așa că va funcționa pe furiș.

Network Miner poate funcționa și offline. Puteți utiliza tcpdump pentru a colecta pachete într-un punct din rețeaua de interes și apoi importați fișierele PCAP în Network Miner. Apoi puteți încerca să recuperați orice fișiere sau certificate găsite în fișierul înregistrat.

Network Miner este creat pentru Windows, dar cu Mono poate rula pe orice sistem de operare care acceptă platforma Mono, cum ar fi Linux și MacOS.

Există o versiune gratuită, entry-level, dar cu un set decent de caracteristici. Dacă aveți nevoie de funcții suplimentare, cum ar fi localizarea geografică și scripting personalizat, va trebui să achiziționați o licență profesională.

7. Lăutar (HTTP)

Din punct de vedere tehnic, nu este un utilitar de captare a pachetelor de rețea, dar este atât de incredibil de util încât a ajuns în această listă. Spre deosebire de celelalte instrumente enumerate aici, care sunt concepute pentru a capta traficul de rețea din orice sursă, Fiddler este mai mult un instrument de depanare. Captează traficul HTTP. Deși multe browsere au deja această capacitate în instrumentele lor de dezvoltare, Fiddler nu se limitează la traficul browserului. Fiddler poate captura orice trafic HTTP de pe computer, inclusiv aplicații non-web.

Multe aplicații desktop folosesc HTTP pentru a se conecta la serviciile web și, pe lângă Fiddler, singura modalitate de a capta acest trafic pentru analiză este utilizarea unor instrumente precum tcpdump sau Wireshark. Cu toate acestea, ele funcționează la nivel de pachet, așa că pentru analiză este necesar să faceți inginerie inversă a acestor pachete în fluxuri HTTP. Poate fi nevoie de multă muncă pentru a face o cercetare simplă și aici intervine Fiddler. Fiddler poate ajuta la detectarea cookie-urilor, certificatelor și a altor date utile trimise de aplicații.

Fiddler este gratuit și, la fel ca Network Miner, poate fi rulat în Mono pe aproape orice sistem de operare.

8. Capsa

Capsa Network Analyzer este disponibil în mai multe ediții, fiecare cu capacități diferite. La primul nivel, Capsa este gratuit și, în esență, vă permite să luați pachete și să faceți niște analize grafice de bază. Tabloul de bord este unic și poate ajuta un administrator de sistem fără experiență să identifice rapid problemele de rețea. Nivelul gratuit este pentru persoanele care doresc să învețe mai multe despre pachete și să-și dezvolte abilitățile de analiză.

Versiunea gratuită vă permite să controlați peste 300 de protocoale, este potrivită pentru monitorizarea e-mail-ului, precum și pentru salvarea conținutului de e-mail, acceptă și declanșatoare care pot fi folosite pentru a declanșa alerte atunci când apar anumite situații. În acest sens, Capsa poate fi folosit într-o oarecare măsură ca instrument de sprijin.

Capsa este disponibil numai pentru Windows 2008 / Vista / 7/8 și 10.

Concluzie

Nu este greu de văzut cum un administrator de sistem poate folosi instrumentele pe care le-am descris pentru a crea o infrastructură de monitorizare a rețelei. Tcpdump sau Windump pot fi instalate pe toate serverele. Un planificator, cum ar fi cron sau planificatorul Windows, pornește o sesiune de colectare a pachetelor la momentul potrivit și scrie datele colectate într-un fișier pcap. Administratorul de sistem poate apoi transfera aceste pachete pe mașina centrală și le poate analiza folosind wireshark. Dacă rețeaua este prea mare pentru acest lucru, instrumente de nivel enterprise, cum ar fi SolarWinds, sunt disponibile pentru a transforma toate pachetele de rețea într-un set de date gestionabil.

Citiți alte articole despre interceptarea și analiza traficului de rețea :

• Dan Nanni, Utilitare de linie de comandă pentru monitorizarea traficului de rețea pe Linux
• Paul Cobbaut, Administrarea sistemelor Linux. Interceptarea traficului de rețea
• Paul Ferrill, 5 instrumente de monitorizare a rețelei Linux
• Pankaj Tanwar, Capturarea pachetelor cu biblioteca libpcap
• Riccardo Capecchi, Utilizarea filtrelor în Wireshark
• Nathan Willis, Analiza rețelei cu Wireshark
• Prashant Phatak,

Necesitatea analizei traficului de rețea poate apărea din mai multe motive. Controlul securității computerului, depanarea unei rețele locale, controlul traficului de ieșire pentru a optimiza funcționarea unei conexiuni la Internet partajate - toate aceste sarcini sunt adesea pe agenda administratorilor de sistem și a utilizatorilor obișnuiți. Pentru a le rezolva, există multe utilități, numite sniffer, ambele specializate, care vizează rezolvarea unei game restrânse de sarcini, și „combine” multifuncționale care oferă utilizatorului o selecție largă de instrumente. Unul dintre reprezentanții acestui din urmă grup, și anume utilitarul CommView de la companie, este introdus în acest articol. Programul vă permite să vedeți vizual imaginea completă a traficului care trece printr-un computer sau un segment de rețea locală; Un sistem de alarmă configurabil vă permite să avertizați despre prezența pachetelor suspecte în trafic, apariția nodurilor cu adrese anormale în rețea sau o creștere a încărcării rețelei.

CommView oferă capacitatea de a păstra statistici pentru toate conexiunile IP, de a decoda pachetele IP la un nivel scăzut și de a le analiza. Sistemul încorporat de filtre după mai mulți parametri vă permite să configurați urmărirea doar pentru pachetele necesare, ceea ce face analiza lor mai eficientă. Programul poate recunoaște pachete de peste șapte duzini dintre cele mai comune protocoale (inclusiv DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP etc.), precum și salvarea lor în fișiere pentru analiză ulterioară. Multe alte instrumente, cum ar fi identificarea producătorului unui adaptor de rețea după adresa MAC, reconstrucția HTML și capturarea de pachete de la distanță folosind utilitarul opțional CommView Remote Agent, pot fi de asemenea utile în anumite cazuri.

Lucrul cu programul

În primul rând, trebuie să selectați interfața de rețea pe care va fi monitorizat traficul.

CommView acceptă aproape orice tip de adaptoare Ethernet - 10, 100 și 1000 Mbps, precum și modemuri analogice, xDSL, Wi-Fi etc. Prin analizarea traficului unui adaptor Ethernet, CommView poate intercepta nu numai intrarea și ieșirea, ci și Pachetele de tranzit s-au adresat oricărui computer din segmentul rețelei locale. Este de remarcat faptul că, dacă sarcina este de a monitoriza tot traficul pe un segment de rețea locală, atunci este necesar ca computerele din acesta să fie conectate printr-un hub, și nu printr-un comutator. Unele modele de switch moderne au oglindire porturi, ceea ce le permite să fie configurate și pentru monitorizarea rețelei folosind CommView. Puteți citi mai multe despre asta. După ce ați selectat conexiunea dorită, puteți începe să capturați pachete. Butoanele pentru pornirea și oprirea capturii sunt situate lângă linia de selecție a interfeței. Pentru a lucra cu controlerul de acces la distanță, VPN și PPPoE în timpul instalării programului, trebuie să instalați driverul corespunzător.

Fereastra principală a programului este împărțită în mai multe file, care sunt responsabile pentru una sau alta zonă de lucru. Primul, „Conexiuni IP curente”, afișează informații detaliate despre conexiunile IP curente ale computerului. Aici puteți vedea adresele IP locale și de la distanță, numărul de pachete transmise și primite, direcția de transmisie, numărul de sesiuni IP stabilite, porturile, numele gazdei (dacă funcția de recunoaștere DNS nu este dezactivată în setările programului) , și numele procesului care primește sau transmite pachetul acestei sesiuni. Aceste din urmă informații nu sunt disponibile pentru pachetele de tranzit și nici pe computerele care rulează Windows 9x / ME.

Fila Conexiuni IP curente

Dacă dai clic dreapta pe o conexiune, se deschide un meniu contextual, în care poți găsi instrumente care facilitează analiza conexiunilor. Aici puteți vedea cantitatea de date transmise în cadrul conexiunii, o listă completă de porturi utilizate, informații detaliate despre procesul prin care se primește sau se transmite pachetele din această sesiune. CommView vă permite să creați alias-uri pentru adrese MAC și IP. De exemplu, setând aliasuri în locul adreselor digitale greoaie ale mașinilor dintr-o rețea locală, puteți obține nume de computere ușor de citit și memorabile și, astfel, puteți facilita analiza conexiunilor.

Pentru a crea un alias pentru o adresă IP, selectați elementele „Creare alias” și „utilizare IP local” sau „utilizare IP la distanță” din meniul contextual în secvență. În fereastra care apare, câmpul de adresă IP va fi deja completat și nu rămâne decât să introduceți un nume potrivit. Dacă o nouă intrare de nume IP este creată făcând clic dreapta pe pachet, câmpul de nume este completat automat cu numele de gazdă (dacă este disponibil) și poate fi editat. Lucrul cu aliasurile MAC este același.

Din același meniu, selectând SmartWhois, puteți trimite adresa IP sursă sau destinație selectată către SmartWhois, o aplicație autonomă Tamosoft care colectează informații despre orice adresă IP sau nume de gazdă, cum ar fi numele rețelei, domeniu, țară, stat sau provincie. , oraș și îl oferă utilizatorului.

A doua filă, "Pachete", afișează toate pachetele capturate pe interfața de rețea selectată și informații detaliate despre acestea.

Fila Pachete

Fereastra este împărțită în trei zone. Primul afișează o listă cu toate pachetele capturate. Dacă selectați unul dintre pachetele din acesta făcând clic pe el cu cursorul mouse-ului, atunci restul ferestrelor vor afișa informații despre acesta. Afișează numărul pachetului, protocolul, adresele Mac și IP ale gazdelor expeditoare și receptoare, porturile utilizate și ora apariției pachetului.

Zona din mijloc afișează conținutul pachetului - în hexazecimal sau text. În acest din urmă caz, caracterele care nu pot fi imprimate sunt înlocuite cu puncte. Dacă mai multe pachete sunt selectate simultan în zona superioară, atunci fereastra din mijloc va afișa numărul total de pachete selectate, dimensiunea totală a acestora, precum și intervalul de timp dintre primul și ultimul pachet.

Fereastra de jos afișează informații detaliate decodificate despre pachetul selectat.

Făcând clic pe unul dintre cele trei butoane din partea dreaptă jos a ferestrei, puteți selecta poziția ferestrei de decodare: în partea inferioară, sau aliniați la stânga sau la dreapta. Celelalte două butoane vă permit să săriți automat la ultimul pachet primit și să salvați pachetul selectat în zona vizibilă a listei.

Meniul contextual vă permite să copiați adrese MAC, IP și pachete întregi în clipboard, să atribuiți aliasuri, să aplicați un filtru rapid pentru a selecta pachetele necesare și, de asemenea, să utilizați instrumentele „Reconstituire sesiune TCP” și „Generator de pachete”.

Instrumentul TCP Session Reconstruction vă permite să vizualizați procesul de comunicare între două gazde prin TCP. Pentru a face conținutul sesiunii să pară mai ușor de înțeles, trebuie să selectați „logica de afișare” corespunzătoare. Această funcție este cea mai utilă pentru recuperarea informațiilor text, cum ar fi HTML sau ASCII.

Datele rezultate pot fi exportate ca fișier text, RTF sau binar.

Fila Fișiere jurnal... Aici puteți configura setările pentru salvarea pachetelor capturate într-un fișier. CommView salvează fișierele jurnal în propriul format NCF; pentru a le vizualiza se folosește utilitarul încorporat, care poate fi lansat din meniul „Fișier”.

Este posibil să activați salvarea automată a pachetelor interceptate pe măsură ce sosesc, înregistrarea sesiunilor HTTP în formatele TXT și HTML, salvarea, ștergerea, îmbinarea și împărțirea fișierelor jurnal. Rețineți că un pachet nu este salvat imediat la sosire, așa că dacă vizualizați fișierul jurnal în timp real, probabil că acesta nu va conține cele mai recente pachete. Pentru ca programul să trimită imediat tamponul într-un fișier, trebuie să faceți clic pe butonul „Opriți captarea”.

În fila "Reguli" puteți seta condițiile pentru interceptarea sau ignorarea pachetelor.

Pentru a facilita selectarea și analiza pachetelor necesare, puteți utiliza reguli de filtrare. De asemenea, va ajuta la reducerea semnificativă a cantității de resurse de sistem utilizate de CommView.

Pentru a activa orice regulă, trebuie să selectați secțiunea corespunzătoare din partea stângă a ferestrei. Există șapte tipuri de reguli disponibile: simple - „Protocoale și direcție”, „Adrese Mac”, „Adrese IP”, „Porturi”, „Text”, „Stavilele TCP”, „Proces”, precum și regula universală „ Formule”. Pentru fiecare dintre regulile simple, puteți selecta parametri individuali, cum ar fi alegerea direcției sau a protocolului. Regula generică de formulă este un mecanism puternic și flexibil pentru crearea filtrelor folosind logica booleană. O referință detaliată despre sintaxa sa poate fi găsită.

Tab "Avertizări" vă va ajuta să configurați setările pentru notificări despre diverse evenimente care au loc în segmentul de rețea studiat.

Fila Alerte vă permite să creați, să modificați, să ștergeți reguli de alertă și să vizualizați evenimentele curente care se potrivesc cu acele reguli

Pentru a stabili o regulă de avertizare, făcând clic pe butonul „Adăugați...”, în fereastra care se deschide, selectați condițiile necesare, la apariția cărora se va declanșa notificarea, precum și modalitatea de sesizare a utilizatorului despre asta.

CommView vă permite să definiți următoarele tipuri de evenimente monitorizate:

• „Găsirea unui pachet” care se potrivește cu formula specificată. Sintaxa formulei este descrisă în detaliu în manualul de utilizare;
• Octeți pe secundă. Acest avertisment va fi declanșat atunci când sarcina de rețea specificată este depășită;
• Pachete pe secundă. Declanșat atunci când nivelul specificat al ratei de transmisie a pachetelor este depășit;
• Emisiuni pe secundă. La fel, doar pentru pachetele de difuzare;
• Multicast-urile pe secundă este aceeași pentru pachetele multicast.
• Adresă MAC necunoscută. Acest avertisment poate fi folosit pentru a detecta conexiunile echipamentelor noi sau neautorizate la rețea prin presetarea unei liste de adrese cunoscute folosind opțiunea „Configurare”;
• avertismentul „Adresă IP necunoscută” va fi declanșat la interceptarea pachetelor cu adrese IP sursă sau destinație necunoscute. Dacă predefiniți o listă de adrese cunoscute, puteți utiliza această alertă pentru a detecta conexiuni neautorizate prin firewall-ul dvs. corporativ.

CommView are un instrument puternic de vizualizare pentru statisticile de trafic. Pentru a deschide fereastra de statistici, trebuie să selectați elementul cu același nume din meniul „Vizualizare”.

Fereastra de statistici în modul „General”.

În această fereastră, puteți vizualiza statisticile traficului de rețea: aici puteți vedea numărul de pachete pe secundă, octeți pe secundă, distribuția Ethernet, IP și sub-protocoale. Diagramele pot fi copiate în clipboard, ceea ce vă va ajuta dacă trebuie să creați rapoarte.

Disponibilitate, cost, cerințe de sistem

Versiunea actuală a programului este CommView 5.1. De pe site-ul Tamosoft este posibil, care va fi operațional timp de 30 de zile.

Dezvoltatorul oferă cumpărătorilor două opțiuni de licență:

• Licența de acasă (licență de acasă), în valoare de 2000 de ruble, oferă dreptul de a utiliza programul acasă pe o bază necomercială, în timp ce numărul de gazde disponibile pentru monitorizare în rețeaua dvs. de domiciliu este limitat la cinci. În cadrul acestui tip de licență, nu este permis să lucrați de la distanță folosind Remote Agent.
• Licența Enterprise (corporativă, cost - 10.000 de ruble) oferă dreptul de utilizare comercială și necomercială a programului de către o persoană care utilizează personal programul pe una sau mai multe mașini. Programul poate fi instalat și pe o stație de lucru și utilizat de mai multe persoane, dar nu simultan.

Aplicația funcționează în sistemele de operare Windows 98 / Me / NT / 2000 / XP / 2003. Pentru a funcționa, aveți nevoie de un adaptor de rețea Ethernet, Wireless Ethernet, Token Ring cu suport pentru standardul NDIS 3.0 sau un controler standard de acces la distanță.

Pro:

• interfață localizată;
• excelent sistem de ajutor;
• suport pentru diferite tipuri de adaptoare de rețea;
• instrumente avansate de analiză a pachetelor și de detectare a protocolului;
• vizualizarea statisticilor;
• sistem de avertizare funcțional.

Minusuri:

• cost prea mare;
• lipsa presetărilor pentru regulile de interceptare și avertismente;
• mecanism nu este foarte convenabil pentru selectarea unui pachet în fila „Pachete”.

Concluzie

Funcționalitatea sa excelentă și interfața prietenoasă fac din CommView un instrument indispensabil pentru administratorii LAN, ISP-urile și utilizatorii casnici. Am fost mulțumit de abordarea amănunțită a dezvoltatorului față de localizarea pachetului în limba rusă: atât interfața, cât și manualul de referință sunt realizate la un nivel foarte înalt. Imaginea este oarecum întunecată de costul ridicat al programului, dar o versiune de încercare de treizeci de zile va ajuta un potențial cumpărător să decidă oportunitatea achiziționării acestui utilitar.

Informatii generale

Instrumentele numite analizoare de rețea sunt denumite după Sniffer Network Analyzer. Lansat în 1988 de Network General (acum Network Associates), acest produs a fost unul dintre primele dispozitive care a permis managerilor să învețe literalmente despre ce se întâmplă într-o rețea mare, fără a părăsi biroul lor. Analizatorii timpurii citesc anteturile mesajelor din pachetele de date trimise prin rețea, oferind astfel administratorilor informații despre adresele expeditorului și destinatarului, dimensiunile fișierelor și alte informații de nivel scăzut. Și toate acestea sunt în plus față de verificarea corectitudinii transmisiei pachetelor. Folosind grafice și descrieri de text, analizatorii au ajutat administratorii de rețea să diagnosticheze serverele, legăturile de rețea, hub-urile și comutatoarele și aplicațiile. În linii mari, un analizor de rețea ascultă sau „adulmecă” pachete dintr-un anumit segment fizic de rețea. Acest lucru vă permite să analizați traficul pentru anumite modele, să remediați probleme specifice și să detectați activități suspecte. Un sistem de detectare a intruziunilor în rețea nu este altceva decât un analizor avansat care potrivește fiecare pachet din rețea cu o bază de date de tipare cunoscute de trafic rău intenționat, la fel cum face un program antivirus cu fișierele de pe un computer. Spre deosebire de instrumentele descrise mai devreme, analizoarele funcționează la un nivel inferior.

Dacă ne întoarcem la modelul de referință BOC, atunci analizatorii verifică cele două niveluri inferioare - fizic și canal.

Stratul fizic este cablarea fizică reală sau alt mediu utilizat pentru a crea rețeaua. La nivelul de legătură de date, datele sunt inițial codificate pentru transmisie pe un mediu specific. Standardele de rețea pentru stratul de legătură includ wireless 802.11, Arcnet, cablu coaxial, Ethernet, Token Ring și multe altele. Analizatoarele depind de obicei de tipul de rețea pe care operează. De exemplu, pentru a analiza traficul într-o rețea Ethernet, trebuie să aveți un analizor Ethernet.

Există analizoare de calitate comercială de la producători precum Fluke, Network General și alții. Acestea sunt de obicei dispozitive hardware speciale care pot costa zeci de mii de dolari. În timp ce acest hardware este capabil de o analiză mai aprofundată, puteți construi un analizor de rețea ieftin folosind software open source și un computer ieftin bazat pe Intel.

Tipuri de analizoare

Multe analizoare sunt acum disponibile, care sunt împărțite în două tipuri. Primul include produse de sine stătătoare care sunt instalate pe un computer mobil. Consultantul îl poate lua cu el atunci când vizitează biroul clientului și îl poate conecta la rețea pentru a colecta date de diagnostic.

Inițial, dispozitivele portabile de testare a rețelei au fost concepute exclusiv pentru a testa parametrii tehnici ai cablului. Cu toate acestea, de-a lungul timpului, producătorii și-au dotat echipamentele cu o serie de funcții de analizor de protocol. Analizatoarele de rețea moderne sunt capabile să detecteze o gamă largă de probleme potențiale - de la deteriorarea fizică a cablului până la supraîncărcarea resurselor rețelei.

Al doilea tip de analizor face parte dintr-o categorie mai largă de hardware și software de monitorizare a rețelei, care permite organizațiilor să își monitorizeze serviciile de rețea locale și globale, inclusiv Web-ul. Aceste programe oferă administratorilor o viziune holistică asupra stării de sănătate a rețelei. De exemplu, cu ajutorul unor astfel de produse, puteți determina care dintre aplicații rulează în prezent, ce utilizatori sunt înregistrați în rețea și care dintre ele generează cea mai mare parte a traficului.

Pe lângă identificarea caracteristicilor de nivel scăzut ale rețelei, cum ar fi sursa pachetelor și destinația acestora, analizoarele moderne decodează informațiile obținute la toate cele șapte straturi ale stivei de rețea Open System Interconnection (OSI) și oferă adesea recomandări pentru rezolvarea problemelor. Dacă analiza la nivel de aplicație nu permite o recomandare adecvată, analizatorii efectuează cercetări la un nivel inferior, de rețea.

Analizoarele moderne acceptă în general standardele de monitorizare de la distanță (Rmon și Rmon 2), care furnizează automat date de performanță de bază, cum ar fi încărcarea resurselor disponibile. Analizatorii care acceptă Rmon pot verifica în mod regulat starea de sănătate a componentelor rețelei și pot compara datele obținute cu datele colectate anterior. Dacă este necesar, vor emite un avertisment că nivelul de trafic sau performanța depășește limitele stabilite de administratorii de rețea.

NetScout Systems a introdus nGenius Application Service Level Manager, un sistem conceput pentru a monitoriza timpii de răspuns la anumite secțiuni ale canalului de acces la site-ul Web și pentru a determina performanța curentă a serverelor. Această aplicație poate analiza performanța în rețeaua publică pentru a recrea imaginea de ansamblu pe computerul utilizatorului. Firma daneză NetTest (fostă GN Nettest) a început să ofere Fastnet, un sistem de monitorizare a rețelei care ajută companiile de e-business să planifice capacitatea canalului și să depaneze și să depaneze problemele de rețea.

Analiza rețelelor convergente (multiservicii).

Proliferarea rețelelor multiservicii (rețele convergente) poate avea un impact decisiv asupra dezvoltării sistemelor de telecomunicații și a sistemelor de transmisie a datelor în viitor. Ideea de a combina într-o singură infrastructură de rețea bazată pe protocolul de pachete, capacitatea de a transmite date, fluxuri de voce și informații video s-a dovedit a fi foarte tentantă pentru furnizorii specializați în furnizarea de servicii de telecomunicații, deoarece într-o clipă pot extinde semnificativ gama de servicii pe care le oferă.

Pe măsură ce corporațiile încep să realizeze avantajele de eficiență și costuri ale rețelelor convergente bazate pe IP, furnizorii de instrumente de rețea dezvoltă în mod activ analizatoare. În prima jumătate a anului, multe firme au introdus componente Voice-over-IP pentru produsele lor de administrare a rețelei.

„Convergența a creat noi provocări pentru administratorii de rețea”, a declarat Glenn Grossman, director de management de produs la NetScout Systems. - Traficul vocal este foarte sensibil la întârzieri. Analizatorii pot vizualiza fiecare bit și octet transmis prin fir, pot interpreta antetele și pot determina automat prioritatea datelor.”

Utilizarea tehnologiilor de convergență a vocii și a datelor ar putea declanșa un nou val de interes în analizatoare, întrucât menținerea prioritizării traficului la nivel de pachete IP devine esențială pentru funcționarea serviciilor de voce și video. De exemplu, Sniffer Technologies a lansat Sniffer Voice, un set de instrumente conceput pentru administratorii de rețele multiservicii. Acest produs nu numai că oferă servicii tradiționale de diagnosticare pentru gestionarea traficului de e-mail, internet și baze de date, dar identifică și problemele de rețea și recomandă acțiuni corective pentru a se asigura că traficul de voce este transportat corect prin rețelele IP.

Dezavantajul utilizării analizoarelor

Trebuie amintit că există două fețe ale monedei asociate cu analizoare. Acestea ajută la menținerea rețelei în funcțiune, dar pot fi folosite și de hackeri pentru a căuta în pachete de date nume de utilizator și parole. Pentru a preveni interceptarea parolelor prin intermediul analizoarelor, anteturile pachetelor sunt criptate (de exemplu, folosind standardul Secure Sockets Layer).

La urma urmei, încă nu există alternativă la un analizor de rețea în acele situații în care este necesar să înțelegem ce se întâmplă în rețeaua globală sau corporativă. Un analizor bun vă permite să înțelegeți starea unui segment de rețea și să determinați cantitatea de trafic, precum și să stabiliți cum variază acest volum în timpul zilei, care utilizatori creează cea mai mare sarcină, în ce situații există probleme cu propagarea traficului sau există o lipsă de lățime de bandă. Datorită utilizării analizorului, este posibil să se obțină și să analizeze toate datele din segmentul de rețea pentru o anumită perioadă.

Cu toate acestea, analizoarele de rețea sunt scumpe. Dacă intenționați să-l cumpărați, atunci mai întâi spuneți clar ce așteptări aveți de la el.

Caracteristici de utilizare a analizoarelor de rețea

Pentru a utiliza analizoarele de rețea în mod etic și productiv, trebuie respectate următoarele îndrumări.

Este întotdeauna nevoie de permisiunea

Analiza rețelei, la fel ca multe alte funcții de securitate, are potențialul de a fi utilizată greșit. Interceptând totul datele transmise prin rețea, puteți spiona parolele pentru diferite sisteme, conținutul mesajelor de e-mail și alte date critice, atât interne, cât și externe, deoarece majoritatea sistemelor nu își criptează traficul în rețeaua locală. Dacă astfel de date cad în mâini greșite, poate duce evident la încălcări grave de securitate. În plus, ar putea încălca confidențialitatea angajaților. În primul rând, înainte de a începe o astfel de activitate, trebuie să obțineți permisiunea scrisă de la conducere, de preferință una superioară. De asemenea, ar trebui să vă gândiți ce să faceți cu datele odată ce le primiți. Pe lângă parole, pot fi și alte date sensibile. De obicei, protocoalele de analiză a rețelei ar trebui eliminate din sistem, cu excepția cazului în care sunt necesare pentru urmărirea penală sau civilă. Există cazuri documentate în care administratorii de sistem bine intenționați au fost concediați pentru manipularea datelor.

Trebuie să înțelegeți topologia rețelei

Înainte de a configura analizorul, trebuie să înțelegeți pe deplin organizarea fizică și logică a rețelei. Analizând în locul greșit din rețea, puteți obține b) rezultate eronate sau pur și simplu nu găsiți ceea ce aveți nevoie. Este necesar să se verifice dacă nu există routere între stația de lucru de analiză și site-ul de monitorizare. Routerele vor direcționa traficul către un segment de rețea numai dacă o gazdă este accesată acolo. La fel, pe o rețea comutată, va trebui să configurați portul la care este stabilită conexiunea ca port „monitor” sau „oglindă”. Diferiți furnizori folosesc o terminologie diferită, dar în esență portul trebuie să acționeze ca un hub, nu un comutator, deoarece trebuie să vadă tot traficul care trece prin comutator, nu doar traficul care merge la stația de lucru. Fără această setare, portul de monitorizare va vedea doar ceea ce este direcționat către portul conectat și traficul de difuzare în rețea.

Trebuie folosite criterii de căutare puternice

În funcție de ceea ce doriți să găsiți, utilizarea unui filtru deschis (adică arătând totul) va face rezultatul datelor greoaie și dificil de analizat. Este mai bine să folosiți criterii speciale de căutare pentru a scurta rezultatul pe care îl produce analizatorul. Chiar dacă nu știi exact ce să cauți, poți totuși să scrii un filtru pentru a limita rezultatele căutării. Dacă doriți să găsiți o mașină internă, este corect să setați criteriile pentru a vizualiza numai adresele sursă dintr-o anumită rețea. Dacă trebuie să urmăriți un anumit tip de trafic, să spunem traficul FTP, puteți limita rezultatele doar la ceea ce intră pe portul utilizat de aplicație. Procedând astfel, se pot obține rezultate analitice mult mai bune.

Setarea stării de referință a rețelei

Prin aplicarea unui analizor de rețea în timpul funcționării normale , iar prin înregistrarea rezultatelor finale se ajunge la o stare de referință care poate fi comparată cu rezultatele obținute atunci când se încearcă izolarea problemei. Analizatorul Ethereal discutat mai jos generează câteva rapoarte utile pentru aceasta. De asemenea, unele date vor fi primite pentru a urmări utilizarea rețelei în timp. Folosind aceste date, puteți determina când rețeaua este saturată și care sunt principalele motive pentru aceasta - un server supraîncărcat, o creștere a numărului de utilizatori, o schimbare a tipului de trafic etc. Dacă există un punct de plecare, este mai ușor de înțeles cine este vinovat pentru ce.

tcpdump

Instrumentul principal pentru aproape toată colectarea traficului de rețea este tcpdump. Este o aplicație open source care se instalează pe aproape toate sistemele de operare asemănătoare Unix. Tcpdump este un instrument excelent de colectare a datelor și vine cu un motor de filtrare foarte puternic. Este important să știți cum să filtrați datele în timpul colectării, astfel încât să ajungeți cu o bucată de date gestionabilă pentru analiză. Capturarea tuturor datelor de pe un dispozitiv de rețea, chiar și într-o rețea moderat ocupată, poate crea prea multe date pentru o analiză simplă.

În unele cazuri rare, tcpdump vă permite să scoateți rezultatul direct pe ecran, iar asta poate fi suficient pentru a găsi ceea ce căutați. De exemplu, în timpul scrierii unui articol, a fost captat o parte din trafic și a fost observat că mașina trimite trafic la o adresă IP necunoscută. Se pare că aparatul trimitea date la adresa IP a Google 172.217.11.142. Deoarece nu au fost lansate produse Google, a apărut întrebarea de ce se întâmplă acest lucru.

Verificarea sistemului a arătat următoarele:

Lasă comentariul tău!

PREZENTARE GENERALĂ A PROGRAMELOR DE ANALIZA ȘI MONITORIZARE A TRAFICULUI ÎN REȚEA

A.I. KOTROMITSKY, Cand. tehnologie. Științe, V.S. VOLOTKA

Introducere

Monitorizarea traficului este vitală pentru gestionarea eficientă a rețelei. Este o sursă de informații despre funcționarea aplicațiilor corporative, care este luată în considerare la alocarea fondurilor, planificarea puterii de calcul, identificarea și localizarea defecțiunilor și rezolvarea problemelor de securitate.

În trecutul nu atât de îndepărtat, monitorizarea traficului era o sarcină relativ simplă. De regulă, computerele erau conectate într-o rețea bazată pe o topologie de magistrală, adică aveau un mediu de transmisie partajat. Acest lucru a făcut posibilă conectarea unui singur dispozitiv la rețea cu care a fost posibilă monitorizarea întregului trafic. Cu toate acestea, cererea pentru creșterea lățimii de bandă a rețelei și dezvoltarea tehnologiilor de comutare de pachete, care au determinat scăderea prețurilor switch-urilor și routerelor, au condus la o tranziție rapidă de la un mediu de transmisie partajat la topologii foarte segmentate. Traficul total nu mai poate fi văzut dintr-un punct. Pentru a obține o imagine completă, trebuie să monitorizați fiecare port. Conexiunile punct-la-punct fac conectarea dispozitivelor incomod și ar necesita prea multe pentru a asculta pe toate porturile, ceea ce face o sarcină prea costisitoare. În plus, comutatoarele și routerele în sine sunt arhitecturi complexe, iar viteza de procesare și transmisie a pachetelor devine un factor important în determinarea performanței rețelei.

Una dintre problemele științifice urgente în prezent este analiza (și prognozarea ulterioară) a structurii de trafic autosimilar în rețelele moderne multiservicii. Pentru a rezolva această problemă, este necesar să se colecteze și apoi să se analizeze o varietate de statistici (viteză, volume de date transmise etc.) în rețelele existente. Colectarea unor astfel de statistici într-o formă sau alta este posibilă prin diverse instrumente software. Cu toate acestea, există un set de parametri și setări suplimentare care se dovedesc a fi foarte importante în utilizarea practică a diferitelor instrumente.

Diferiți cercetători folosesc o mare varietate de programe pentru a monitoriza traficul în rețea. De exemplu, în, cercetătorii au folosit un program de analiză a traficului de rețea (sniffer) Ethreal (Wireshark).

Am analizat versiunile gratuite ale programelor disponibile pe,,.

1. Prezentare generală a programelor de monitorizare a traficului în rețea

Am trecut în revistă aproximativ zece programe de analiză a traficului (sniffer) și mai mult de o duzină de programe de monitorizare a traficului în rețea, dintre care am selectat patru dintre cele mai interesante, după părerea noastră, și vă oferim o privire de ansamblu asupra principalelor capacități ale acestora.

1) BMExtreme(fig. 1).

Acesta este noul nume al binecunoscutului program Bandwidth Monitor. Anterior, programul era distribuit gratuit, dar acum are trei versiuni, iar doar cea de bază este gratuită. Această versiune nu oferă nicio caracteristică, cu excepția, de fapt, de monitorizare a traficului, așa că cu greu poate fi considerată un concurent al altor programe. În mod implicit, BMExtreme monitorizează atât traficul pe Internet, cât și traficul LAN, dar monitorizarea LAN poate fi dezactivată dacă se dorește.

Orez. unu

2) BWMeter(fig. 2).

Acest program are nu una, ci două ferestre de monitorizare a traficului: una afișează activitatea pe Internet, iar cealaltă - în rețeaua locală.

Orez. 2

Programul are setări flexibile pentru monitorizarea traficului. Cu ajutorul acestuia, puteți determina dacă trebuie să monitorizați recepția și transmiterea de date pe Internet numai de pe acest computer sau de pe toate computerele conectate la rețeaua locală, setați gama de adrese IP, porturi și protocoale pentru care monitorizarea va sau nu vor fi efectuate. În plus, puteți dezactiva urmărirea traficului la anumite ore sau zile. Administratorii de sistem vor aprecia cu siguranță capacitatea de a distribui traficul între computerele dintr-o rețea locală. Deci, pentru fiecare PC, puteți seta viteza maximă de transmitere și recepție a datelor, precum și să interziceți activitatea în rețea cu un singur clic.

Cu o dimensiune foarte mică, programul are o mare varietate de posibilități, dintre care unele pot fi reprezentate după cum urmează:

Monitorizarea oricăror interfețe de rețea și a oricărui trafic de rețea.

Un sistem de filtrare puternic care vă permite să estimați volumul oricărei părți a traficului - până la un anumit site într-o direcție specificată sau trafic de la fiecare mașină din rețeaua locală la o anumită oră a zilei.

Număr nelimitat de grafice personalizabile ale activității conexiunilor de rețea pe baza filtrelor selectate.

Controlul (limitarea, suspendarea) fluxului de trafic pe oricare dintre filtre.

Sistem de statistici convenabil (de la o oră la un an) cu funcție de export.

Abilitatea de a vizualiza statisticile computerelor la distanță cu BWMeter.

Sistem flexibil de alerte și notificări la atingerea unui anumit eveniment.

Opțiuni maxime de personalizare, incl. aspect.

Abilitatea de a rula ca serviciu.

3) Bandwidth Monitor Pro(fig. 3).

Dezvoltatorii săi au acordat foarte multă atenție instalării ferestrei de monitorizare a traficului. În primul rând, puteți defini ce fel de informații va afișa programul în mod constant pe ecran. Aceasta poate fi cantitatea de date primite și transmise (atât separat, cât și în total) pentru astăzi și pentru orice perioadă de timp specificată, viteza medie, curentă și maximă a conexiunii. Dacă aveți mai multe adaptoare de rețea instalate, puteți monitoriza statisticile pentru fiecare dintre ele separat. Totodată, în fereastra de monitorizare pot fi afișate și informațiile necesare pentru fiecare placă de rețea.

Orez. 3

Separat, trebuie spus despre sistemul de notificare, care este implementat foarte bine aici. Puteți seta comportamentul programului atunci când sunt îndeplinite condițiile specificate, care pot fi transferul unei anumite cantități de date pentru o anumită perioadă de timp, atingerea vitezei maxime de descărcare, schimbarea vitezei de conectare etc. În acest caz, Bandwidth Monitor Pro va colecta statistici ale tuturor utilizatorilor care se conectează la sistem folosind datele de conectare.

4) DUTrafic(fig. 4).

DUTraffic se distinge de toate programele de revizuire prin statutul său gratuit.

Orez. 4

La fel ca omologii săi comerciali, DUTraffic poate efectua diverse acțiuni atunci când sunt îndeplinite anumite condiții. Deci, de exemplu, poate reda un fișier audio, afișa un mesaj sau deconecta conexiunea la Internet atunci când viteza medie sau curentă de descărcare este mai mică decât o valoare specificată, când durata sesiunii de Internet depășește un anumit număr de ore, când se transferă o anumită cantitate de date. În plus, diverse acțiuni pot fi efectuate ciclic, de exemplu, de fiecare dată când programul detectează transferul unei cantități date de informații. Statisticile în DUTraffic sunt păstrate separat pentru fiecare utilizator și pentru fiecare conexiune la Internet. Programul afișează atât statistici generale pentru perioada de timp selectată, cât și informații despre viteza, cantitatea de date transmise și primite și costurile financiare pentru fiecare sesiune.

5) Sistem de monitorizare Cacti(fig. 5).

Cacti este o aplicație web open-source (nu există, respectiv, fișier de instalare). Cacti colectează date statistice pentru anumite intervale de timp și vă permite să le afișați în formă grafică. Sistemul vă permite să construiți diagrame folosind RRDtool. În cea mai mare parte, șabloanele standard sunt folosite pentru a afișa statistici privind încărcarea procesorului, alocarea RAM, numărul de procese care rulează și utilizarea traficului de intrare/ieșire.

Interfața pentru afișarea statisticilor colectate de la dispozitivele de rețea este prezentată sub forma unui arbore, a cărui structură este stabilită de utilizatorul însuși. De regulă, graficele sunt grupate după anumite criterii, iar același grafic poate fi prezent în diferite ramuri ale arborelui (de exemplu, traficul prin interfața de rețea a serverului - în cea dedicată imaginii generale a traficului de internet al companiei, și în ramura cu parametrii acestui dispozitiv) ... Există o opțiune pentru vizualizarea unui set precompilat de grafice și există un mod de previzualizare. Fiecare dintre diagrame poate fi vizualizată separat, în timp ce va fi prezentat pentru ultima zi, săptămână, lună și an. Este posibil să se selecteze independent intervalul de timp pentru care va fi generat programul, iar acest lucru se poate face fie prin specificarea parametrilor calendarului, fie pur și simplu selectând o anumită zonă de pe acesta cu mouse-ul.

tabelul 1

2. Prezentare generală a analizoarelor de trafic de rețea (sniffer)

Analizor de trafic, sau sniffer, este un analizor de trafic de rețea, un program sau un dispozitiv software și hardware conceput pentru a intercepta și apoi a analiza sau doar a analiza traficul de rețea destinat altor noduri.

Analiza traficului trecut prin sniffer vă permite să:

Interceptați orice trafic de utilizator necriptat (și uneori criptat) pentru a obține parole și alte informații.

Localizați o defecțiune a rețelei sau o eroare de configurare în agenții de rețea (în acest scop, snifferele sunt adesea folosite de administratorii de sistem).

Întrucât în ​​snifferul „clasic”, analiza traficului se face manual, folosind doar cele mai simple instrumente de automatizare (analiza protocolului, recuperarea fluxului TCP), este potrivită pentru analizarea doar a unor volume mici din acesta.

1) Wireshark(fost Ethereal).

Software de analiză de trafic pentru rețele de computere Ethernet și altele. Are o interfață grafică cu utilizatorul. Wireshark este o aplicație care „cunoaște” structura unei game largi de protocoale de rețea și, prin urmare, vă permite să analizați un pachet de rețea, afișând valoarea fiecărui câmp al protocolului oricărui strat. Deoarece pcap este folosit pentru a captura pachete, este posibil să captați date numai din acele rețele care sunt acceptate de această bibliotecă. Cu toate acestea, Wireshark poate gestiona o varietate de formate de date de intrare, astfel încât să puteți deschide fișiere de date capturate de alte programe, ceea ce extinde capacitățile de capturare.

2) IrisReţeaTraficAnalizor.

Pe lângă funcțiile standard de colectare, filtrare și căutare a pachetelor, precum și generarea de rapoarte, programul oferă capabilități unice pentru reconstrucția datelor. Iris The Network Traffic Analyzer ajută la reproducerea în detaliu a sesiunilor utilizatorilor cu diverse resurse web și chiar vă permite să simulați trimiterea de parole pentru accesarea serverelor web securizate folosind cookie-uri. Tehnologia unică de reconstrucție a datelor implementată în modulul de decodare convertește sute de pachete binare de rețea colectate în e-mailuri familiare, pagini web, mesaje ICQ etc. eEye Iris vă permite să vizualizați e-mailuri web necriptate și programe de mesagerie instantanee, extinzând capacitățile de monitorizare existente. și instrumente de audit.

Analizorul de pachete eEye Iris captează diverse detalii despre atac, cum ar fi data și ora, adresele IP și numele DNS ale computerelor hackerului și victimei și porturile utilizate.

3) EthernetInternettraficStatistic.

Statistica traficului Internet Ethernet arată cantitatea de date primite și primite (în octeți - total și pentru ultima sesiune), precum și viteza conexiunii. Pentru claritate, datele colectate sunt afișate în timp real pe un grafic. Funcționează fără instalare, interfață - rusă și engleză.

Utilitate pentru monitorizarea gradului de activitate a rețelei - arată cantitatea de date primite și primite, păstrând statistici pentru sesiune, zi, săptămână și lună.

4) CommTraffic.

Acesta este un utilitar de rețea pentru colectarea, procesarea și afișarea statisticilor privind traficul de Internet printr-o conexiune dial-up sau dedicată. Când monitorizează un segment LAN, CommTraffic arată traficul de Internet pentru fiecare computer din segment.

CommTraffic include o interfață extrem de personalizabilă, ușor de utilizat, care afișează statisticile rețelei în grafice și numere.

masa 2

Concluzie

În general, putem spune că majoritatea utilizatorilor casnici vor fi mulțumiți de capabilitățile pe care le oferă Bandwidth Monitor Pro. Dacă vorbim despre cel mai funcțional program de monitorizare a traficului de rețea, acesta este cu siguranță BWMeter.

Dintre analizatorii de trafic de rețea considerați, aș dori să evidențiez Wireshark, care are mai multe funcționalități.

Sistemul de monitorizare Cacti indeplineste pe cat posibil cerintele crescute in cazul cercetarii traficului de retea in scop stiintific. În viitor, autorii articolului intenționează să folosească acest sistem special pentru colectarea și analiza preliminară a traficului în rețeaua corporativă multiservicii a Departamentului de Rețele de Comunicații al Universității Naționale de Radio Electronică din Harkiv.

Bibliografie

Platov V.V., Petrov V.V. Investigarea structurii auto-similare a teletraficului rețelei fără fir // Caiete de inginerie radio. M .: OKB MEI. 2004. Nr. 3. S. 58-62.

V.V. Petrov Structura de teletrafic și algoritmul de asigurare a calității serviciului sub influența efectului de auto-similaritate. Disertație pentru gradul de candidat în științe tehnice, 05.12.13, Moscova, 2004, 199 p.