Analizuesit e paketave të rrjetit. Analizuesit e rrjetit

Origjinali: 8 gërmuesit më të mirë të paketave dhe analizuesit e rrjetit
Autori: Jon Watson
Data e publikimit: 22 Nëntor 2017
Përkthim: A. Krivoshey
Data e përkthimit: Dhjetor 2017

Njohja e paketave është një term kolokial që i referohet artit të analizimit të trafikut të rrjetit. Ndryshe nga besimi popullor, gjëra të tilla si emailet dhe faqet e internetit nuk udhëtojnë nëpër internet në një pjesë të vetme. Ato ndahen në mijëra paketa të vogla të dhënash dhe dërgohen në internet në këtë mënyrë. Në këtë artikull, ne do t'i hedhim një vështrim analizuesve më të mirë të rrjetit falas dhe sniferëve të paketave.

Ka shumë shërbime që mbledhin trafikun e rrjetit dhe shumica e tyre përdorin pcap (në sisteme të ngjashme me Unix) ose libcap (në Windows) si kernel të tyre. Një lloj tjetër shërbimesh ndihmon për të analizuar këto të dhëna, pasi edhe një sasi e vogël trafiku mund të gjenerojë mijëra paketa, të cilat janë të vështira për t'u lundruar. Pothuajse të gjitha këto shërbime ndryshojnë pak nga njëra-tjetra në mbledhjen e të dhënave, dallimet kryesore janë në mënyrën se si ato analizojnë të dhënat.

Analizimi i trafikut të rrjetit kërkon të kuptuarit se si funksionon rrjeti. Nuk ka asnjë mjet që zëvendëson në mënyrë magjike njohuritë e një analisti për bazat e rrjetit, siç është shtrëngimi i duarve me TCP 3, i cili përdoret për të nisur një lidhje midis dy pajisjeve. Analistët gjithashtu duhet të kenë njëfarë kuptimi për llojet e trafikut të rrjetit në një rrjet që funksionon mirë, si ARP dhe DHCP. Kjo njohuri është e rëndësishme sepse mjetet analitike thjesht do t'ju tregojnë se çfarë ju kërkoni të bëjnë. Varet nga ju se çfarë të kërkoni. Nëse nuk e dini se si duket zakonisht rrjeti juaj, mund të jetë e vështirë të dini se keni gjetur atë që ju nevojitet në masën e paketave që keni mbledhur.

Sniferët më të mirë të paketave dhe analizuesit e rrjetit

Mjete Industriale

Le të fillojmë nga lart dhe të shkojmë deri te bazat. Nëse keni të bëni me rrjetëzimin e nivelit të ndërmarrjes, ju duhet një armë e madhe. Ndërsa pothuajse gjithçka mbështetet në tcpdump në thelbin e saj (më shumë për këtë më vonë), mjetet e nivelit të ndërmarrjes mund të trajtojnë disa çështje të ndërlikuara, të tilla si korrelimi i trafikut nga serverë të shumtë, ofrimi i pyetjeve inteligjente për të identifikuar problemet, sinjalizimi i përjashtimeve dhe gjenerimi i grafikëve të mirë që shefat gjithmonë kërkesa....

Mjetet e ndërmarrjes përgjithësisht janë të orientuara drejt transmetimit të trafikut të rrjetit në vend që të vlerësojnë përmbajtjen e paketave. Me këtë dua të them se shqetësimi kryesor i shumicës së sysadminëve në ndërmarrje është të sigurohet që rrjeti të mos ketë pengesa në performancë. Kur ndodhin pengesa të tilla, qëllimi është zakonisht të përcaktohet nëse problemi është shkaktuar nga një rrjet ose një aplikacion në rrjet. Nga ana tjetër, këto mjete zakonisht mund të trajtojnë aq shumë trafik sa që mund të ndihmojnë në parashikimin se kur një segment i rrjetit do të ngarkohet plotësisht, gjë që është një pikë kritike në menaxhimin e gjerësisë së brezit.

Është një grup shumë i madh mjetesh të menaxhimit të IT. Në këtë artikull, programi Deep Packet Inspection and Analysis është më i përshtatshëm, që është pjesë përbërëse e tij. Mbledhja e trafikut të rrjetit është mjaft e thjeshtë. Me mjete si WireShark, as analiza bazë nuk është problem. Por situata nuk është gjithmonë plotësisht e qartë. Në një rrjet shumë të ngarkuar, mund të jetë e vështirë të përcaktosh edhe gjëra shumë të thjeshta si:

Cili aplikacion në rrjet po e gjeneron këtë trafik?
- nëse aplikacioni është i njohur (të themi një shfletues ueb) ku përdoruesit e tij kalojnë pjesën më të madhe të kohës?
- cilat lidhje janë më të gjata dhe mbingarkojnë rrjetin?

Shumica e pajisjeve të rrjetit përdorin meta të dhënat e secilës paketë për t'u siguruar që paketa të shkojë aty ku duhet të shkojë. Përmbajtja e paketës është e panjohur për pajisjen e rrjetit. Inspektimi i thellë i paketave është një çështje tjetër; kjo do të thotë se përmbajtja aktuale e paketës po kontrollohet. Në këtë mënyrë, ju mund të zbuloni informacione kritike të rrjetit që nuk mund të nxirren nga meta të dhënat. Mjetet si ato të ofruara nga SolarWinds mund të ofrojnë të dhëna më domethënëse sesa thjesht fluksi i trafikut.

Teknologji të tjera për menaxhimin e rrjeteve me të dhëna intensive përfshijnë NetFlow dhe sFlow. Secili ka pikat e veta të forta dhe të dobëta,

Mund të lexoni më shumë rreth NetFlow dhe sFlow.

Analiza e rrjetit në përgjithësi është një temë e fundit që bazohet në njohuritë e marra dhe në bazë të përvojës praktike. Është e mundur të trajnohet një person me njohuri të hollësishme të paketave të rrjetit, por nëse ai person nuk ka njohuri për vetë rrjetin dhe nuk ka përvojë në zbulimin e anomalive, nuk do të bëjë mirë. Mjetet e përshkruara në këtë artikull duhet të përdoren nga administratorë me përvojë të rrjetit, të cilët e dinë se çfarë duan, por nuk janë të sigurt se cili mjet është më i miri. Ato mund të përdoren gjithashtu nga administratorë të sistemit me më pak përvojë për të fituar përvojë të përditshme në rrjet.

Bazat

Mjeti kryesor për mbledhjen e trafikut të rrjetit është

Është një aplikacion me burim të hapur që instalohet në pothuajse të gjitha sistemet operative të ngjashme me Unix. Tcpdump është një mjet i shkëlqyer për mbledhjen e të dhënave që ka një gjuhë filtrimi shumë të sofistikuar. Është e rëndësishme të dini se si të filtroni të dhënat gjatë mbledhjes së tyre në mënyrë që të përfundoni me një grup të dhënash normale për analizë. Kapja e të gjitha të dhënave nga një pajisje rrjeti, edhe në një rrjet mesatarisht të ngarkuar, mund të gjenerojë shumë të dhëna që do të jetë shumë e vështirë për t'u analizuar.

Në disa raste të rralla, do të jetë e mjaftueshme të printoni të dhënat e kapura tcpdump drejtpërdrejt në ekran për të gjetur atë që ju nevojitet. Për shembull, ndërsa shkruaja këtë artikull, mblodha trafik dhe vura re se makina ime po dërgon trafik në një adresë IP që nuk e di. Rezulton se makina ime po dërgonte të dhëna në adresën IP të Google 172.217.11.142. Meqenëse nuk kisha asnjë produkt të Google dhe nuk kisha Gmail të hapur, nuk e dija pse po ndodhte kjo. Kontrollova sistemin tim dhe gjeta sa vijon:

[~] $ ps -ef | përdorues grep google 1985 1881 0 10:16? 00:00:00 / opt / google / krom / krom --lloj = shërbim

Rezulton se edhe kur Chrome nuk funksionon, ai vazhdon të funksionojë si shërbim. Nuk do ta kisha vënë re këtë pa analizën e paketave. Kam përgjuar disa paketa të tjera të dhënash, por këtë herë i dhashë tcpdump një detyrë për të shkruar të dhënat në një skedar, të cilin më pas e hapa në Wireshark (më shumë për këtë më vonë). Këto hyrje janë:

Tcpdump është një mjet i preferuar i sysadmins sepse është një mjet i linjës së komandës. Asnjë ndërfaqe grafike nuk kërkohet për të ekzekutuar tcpdump. Për serverët e prodhimit, ndërfaqja grafike është mjaft e dëmshme pasi konsumon burimet e sistemit, prandaj preferohen programet e linjës së komandës. Ashtu si shumë shërbime moderne, tcpdump ka një gjuhë shumë të pasur dhe komplekse që kërkon pak kohë për ta zotëruar. Disa nga komandat më themelore përfshijnë zgjedhjen e një ndërfaqe rrjeti për të mbledhur të dhëna dhe shkrimin e atyre të dhënave në një skedar në mënyrë që të mund të eksportohen për analizë diku tjetër. Për këtë përdoren çelësat -i dhe -w.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: dëgjim në eth0, lloji i lidhjes EN10MB (Ethernet), madhësia e kapjes 262144 bajt ^ Paketat C51 të kapura

Kjo komandë krijon një skedar me të dhënat e kapura:

Skedari tcpdump_packets tcpdump_packets: skedari i kapjes tcpdump (pak-endian) - versioni 2.4 (Ethernet, gjatësia e kapjes 262144)

Standardi për këto skedarë është formati pcap. Nuk është tekst, kështu që mund të analizohet vetëm nga programet që e kuptojnë këtë format.

3. Hapur

Shumica e shërbimeve të dobishme me burim të hapur përfundojnë duke u klonuar në sisteme të tjera operative. Kur kjo ndodh, aplikacioni thuhet se është migruar. Windump është një port i tcpdump dhe sillet në një mënyrë shumë të ngjashme.

Dallimi më domethënës midis Windump dhe tcpdump është se Windump ka nevojë për bibliotekën Winpcap të instaluar përpara se të ekzekutojë Windump. Megjithëse Windump dhe Winpcap ofrohen nga i njëjti mirëmbajtësi, ato duhet të shkarkohen veçmas.

Winpcap është një bibliotekë që duhet të instalohet paraprakisht. Por Windump është një skedar exe që nuk ka nevojë të instalohet, kështu që thjesht mund ta ekzekutoni. Kjo duhet të kihet parasysh nëse jeni duke përdorur një rrjet Windows. Ju nuk keni nevojë të instaloni Windump në çdo makinë pasi thjesht mund ta kopjoni atë sipas nevojës, por do t'ju duhet Winpcap për të mbështetur Windup.

Ashtu si me tcpdump, Windump mund të shfaqë të dhënat e rrjetit për analizë, të filtrojë në të njëjtën mënyrë dhe të shkruajë të dhëna në një skedar pcap për analiza të mëvonshme.

4. Wireshark

Wireshark është mjeti tjetër më i famshëm në paketën sysadmin. Ai jo vetëm që ju lejon të kapni të dhëna, por gjithashtu ofron disa mjete të avancuara analize. Për më tepër, Wireshark është me burim të hapur dhe i transferuar pothuajse në të gjitha sistemet operative ekzistuese të serverëve. I quajtur Etheral, Wireshark tani funksionon kudo, duke përfshirë si një aplikacion portativ të pavarur.

Nëse po analizoni trafikun në një server GUI, Wireshark mund t'i bëjë të gjitha për ju. Ai mund të mbledhë të dhëna dhe pastaj t'i analizojë të gjitha këtu. Sidoqoftë, GUI është i rrallë në serverë, kështu që ju mund të mbledhni të dhëna rrjeti nga distanca dhe më pas të ekzaminoni skedarin pcap që rezulton në Wireshark në kompjuterin tuaj.

Në nisjen e parë, Wireshark ju lejon ose të ngarkoni një skedar ekzistues pcap ose të filloni të kapni trafikun. Në rastin e fundit, mund të vendosni gjithashtu filtra për të zvogëluar sasinë e të dhënave të mbledhura. Nëse nuk specifikoni një filtër, Wireshark thjesht do të mbledhë të gjitha të dhënat e rrjetit nga ndërfaqja e zgjedhur.

Një nga veçoritë më të dobishme të Wireshark është aftësia për të ndjekur një transmetim. Është më mirë të mendosh për një rrjedhë si një zinxhir. Në pamjen e mëposhtme të ekranit, ne mund të shohim shumë të dhëna të kapura, por unë isha më i interesuar për adresën IP të Google. Mund të klikoj me të djathtën dhe të ndjek transmetimin TCP për të parë të gjithë zinxhirin.

Nëse trafiku është kapur në një kompjuter tjetër, mund të importoni skedarin PCAP duke përdorur dialogun Wireshark File -> Open. Të njëjtat filtra dhe mjete janë të disponueshme për skedarët e importuar si për të dhënat e rrjetit të kapur.

5. peshkaqen

Tshark është një lidhje shumë e dobishme midis tcpdump dhe Wireshark. Tcpdump shkëlqen në mbledhjen e të dhënave dhe mund të nxjerrë kirurgjikisht vetëm të dhënat që ju nevojiten, megjithatë aftësitë e tij të analizës së të dhënave janë shumë të kufizuara. Wireshark bën një punë të shkëlqyeshme si për kapjen ashtu edhe për analizimin, por ka një ndërfaqe të rëndë të përdoruesit dhe nuk mund të përdoret në serverë pa një GUI. Provoni tshark, funksionon në vijën e komandës.

Tshark përdor të njëjtat rregulla filtrimi si Wireshark, gjë që nuk duhet të jetë befasuese pasi ato janë në thelb i njëjti produkt. Komanda më poshtë i thotë tshark vetëm të rrëmbejë adresën IP të destinacionit, si dhe disa fusha të tjera me interes nga pjesa HTTP e paketës.

# tshark -i eth0 -Y http.kërkesa -T fushat -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 2010011 /57.0 /images/title.png 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css. rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla / 5.0 (X16; 401/01/01/01/2001; X15; Linuxv01; 0.0 (X15; Linuxv01) /57.0 /images/styles/index.css 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png 101.01.png. x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 2010.ico.

Nëse dëshironi të shkruani trafik në një skedar, përdorni opsionin -W i ndjekur nga çelësi -r (lexo) për ta lexuar atë.

Kapni së pari:

# tshark -i eth0 -w tshark_packets Kapja në "eth0" 102 ^ C

Lexojeni këtu, ose transferojeni në një vend tjetër për analizë.

# tshark -r tshark_packets -Y http.kërkesë -T fusha -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 2010 /57.0 / kontakt 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / rezervime / 172.20.0.122 Mozilla: 6_15 / 5.0 (5.0). 57.0 /reservations/styles/styles.css 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_query_lightboxry6.jquery. js 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css 172.20.0.122 Mozilla: 601 x100. Firefox / 57.0 /res/images/title.png

Ky është një mjet shumë interesant që bie në kategorinë e mjeteve të analizës mjeko-ligjore të rrjetit dhe jo vetëm sniffers. Fusha e mjekësisë ligjore në përgjithësi merret me hetime dhe mbledhje të provave, dhe Network Miner e bën këtë punë mjaft mirë. Ashtu si wireshark mund të ndjekë një transmetim TCP për të rikuperuar të gjithë zinxhirin e paketave, Network Miner mund të ndjekë një transmetim TCP për të rikuperuar skedarët që janë transferuar në rrjet.

Network Miner mund të vendoset në mënyrë strategjike në rrjet për të qenë në gjendje të vëzhgojë dhe mbledhë trafikun që ju intereson në kohë reale. Ai nuk do të gjenerojë trafikun e vet në rrjet, kështu që do të funksionojë në mënyrë të fshehtë.

Network Miner mund të funksionojë edhe jashtë linje. Ju mund të përdorni tcpdump për të mbledhur paketa në një pikë në rrjetin e interesit dhe më pas të importoni skedarët PCAP në Network Miner. Pastaj mund të provoni të rikuperoni çdo skedar ose certifikatë që gjendet në skedarin e regjistruar.

Network Miner është krijuar për Windows, por me Mono mund të funksionojë në çdo OS që mbështet platformën Mono, si Linux dhe MacOS.

Ekziston një version falas, i nivelit fillestar, por me një grup të mirë karakteristikash. Nëse keni nevojë për veçori shtesë si gjeolokacioni dhe skriptimi me porosi, do t'ju duhet të blini një licencë profesionale.

7. Fiddler (HTTP)

Teknikisht nuk është një mjet për kapjen e paketave të rrjetit, por është kaq tepër i dobishëm saqë u fut në këtë listë. Ndryshe nga mjetet e tjera të listuara këtu, të cilat janë krijuar për të kapur trafikun e rrjetit nga çdo burim, Fiddler është më shumë një mjet korrigjimi. Ai kap trafikun HTTP. Ndërsa shumë shfletues tashmë e kanë këtë aftësi në mjetet e tyre të zhvilluesve, Fiddler nuk është i kufizuar në trafikun e shfletuesit. Fiddler mund të kapë çdo trafik HTTP në kompjuterin tuaj, duke përfshirë aplikacionet jo-web.

Shumë aplikacione desktop përdorin HTTP për t'u lidhur me shërbimet në internet, dhe përveç Fiddler, mënyra e vetme për të kapur këtë trafik për analizë është duke përdorur mjete si tcpdump ose Wireshark. Sidoqoftë, ato punojnë në nivel paketash, kështu që për analizë është e nevojshme që këto paketa të kthehen në rryma HTTP. Mund të duhet shumë punë për të bërë kërkime të thjeshta dhe këtu hyn Fiddler. Fiddler mund të ndihmojë në zbulimin e skedarëve të personalizimit, certifikatave dhe të dhënave të tjera të dobishme të dërguara nga aplikacionet.

Fiddler është falas dhe, ashtu si Network Miner, mund të ekzekutohet në mono në pothuajse çdo sistem operativ.

8. Capsa

Capsa Network Analyzer është i disponueshëm në disa botime, secili me aftësi të ndryshme. Në nivelin e parë, Capsa është falas dhe në thelb ju lejon të kapni paketa dhe të bëni disa analiza grafike bazë. Paneli është unik dhe mund të ndihmojë një administrator të sistemit të papërvojë të identifikojë shpejt problemet e rrjetit. Niveli falas është për njerëzit që duan të mësojnë më shumë rreth paketave dhe të ndërtojnë aftësitë e tyre të analizës.

Versioni falas ju lejon të kontrolloni mbi 300 protokolle, është i përshtatshëm për monitorimin e postës elektronike, si dhe ruajtjen e përmbajtjes së postës elektronike, ai gjithashtu mbështet aktivizuesit që mund të përdoren për të aktivizuar alarmet kur ndodhin situata të caktuara. Në këtë drejtim, Capsa mund të përdoret në një farë mase si një mjet mbështetës.

Capsa është në dispozicion vetëm për Windows 2008 / Vista / 7/8 dhe 10.

konkluzioni

Nuk është e vështirë të shihet se si një administrator i sistemit mund të përdorë mjetet që kemi përshkruar për të krijuar një infrastrukturë të monitorimit të rrjetit. Tcpdump ose Windump mund të instalohen në të gjithë serverët. Një planifikues, si p.sh. planifikuesi cron ose Windows, fillon një seancë të mbledhjes së paketave në kohën e duhur dhe i shkruan të dhënat e mbledhura në një skedar pcap. Administratori i sistemit më pas mund t'i transferojë këto pako në makinën qendrore dhe t'i analizojë ato duke përdorur wireshark. Nëse rrjeti është shumë i madh për këtë, mjetet e nivelit të ndërmarrjes si SolarWinds janë të disponueshme për t'i kthyer të gjitha paketat e rrjetit në një grup të dhënash të menaxhueshme.

Lexoni artikuj të tjerë rreth përgjimit dhe analizimit të trafikut të rrjetit :

• Dan Nanni, Shërbimet e linjës së komandës për monitorimin e trafikut të rrjetit në Linux
• Paul Cobbaut, Administrimi i Sistemeve Linux. Përgjimi i trafikut të rrjetit
• Paul Ferrill, 5 Mjete të Monitorimit të Rrjetit Linux
• Pankaj Tanwar, Kapja e paketave me bibliotekën libpcap
• Riccardo Capecchi, Përdorimi i filtrave në Wireshark
• Nathan Willis, Analiza e Rrjetit me Wireshark
• Prashant Phatak,

Nevoja për të analizuar trafikun e rrjetit mund të lindë për disa arsye. Kontrolli i sigurisë së kompjuterit, korrigjimi i një rrjeti lokal, kontrolli i trafikut në dalje për të optimizuar funksionimin e një lidhjeje të përbashkët në internet - të gjitha këto detyra janë shpesh në axhendën e administratorëve të sistemit dhe përdoruesve të zakonshëm. Për t'i zgjidhur ato, ka shumë shërbime, të quajtura sniffers, të dyja të specializuara, që synojnë zgjidhjen e një game të ngushtë detyrash, dhe "kombinime" shumëfunksionale që i ofrojnë përdoruesit një përzgjedhje të gjerë mjetesh. Një nga përfaqësuesit e grupit të fundit, përkatësisht mjeti CommView nga kompania, prezantohet në këtë artikull. Programi ju lejon të shihni vizualisht pamjen e plotë të trafikut që kalon nëpër një segment kompjuteri ose rrjeti lokal; Një sistem alarmi i konfigurueshëm ju lejon të paralajmëroni për praninë e paketave të dyshimta në trafik, shfaqjen e nyjeve me adresa jonormale në rrjet ose një rritje të ngarkesës së rrjetit.

CommView ofron mundësinë për të mbajtur statistika për të gjitha lidhjet IP, për të deshifruar paketat IP në një nivel të ulët dhe për t'i analizuar ato. Sistemi i integruar i filtrave sipas disa parametrave ju lejon të konfiguroni gjurmimin vetëm për paketat e nevojshme, gjë që e bën analizën e tyre më efikase. Programi mund të njohë paketa me më shumë se shtatë duzina protokolle më të zakonshme (përfshirë DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP, etj.), si dhe ruajini ato në skedarë për analiza të mëvonshme. Shumë mjete të tjera, të tilla si identifikimi i prodhuesit të një përshtatësi rrjeti sipas adresës MAC, rindërtimi i HTML dhe kapja e paketave në distancë duke përdorur mjetin opsional CommView Remote Agent, mund të jenë gjithashtu të dobishme në raste të caktuara.

Puna me programin

Së pari, duhet të zgjidhni ndërfaqen e rrjetit në të cilën do të monitorohet trafiku.

CommView mbështet pothuajse çdo lloj adaptuesi Ethernet - 10, 100 dhe 1000 Mbps, si dhe modemë analogë, xDSL, Wi-Fi, etj. Duke analizuar trafikun e një përshtatësi Ethernet, CommView mund të përgjojë jo vetëm hyrjet dhe daljet, por edhe paketat e tranzitit adresuan cilindo nga kompjuterët në segmentin e rrjetit lokal. Vlen të përmendet se nëse detyra është të monitoroni të gjithë trafikun në një segment të rrjetit lokal, atëherë kërkohet që kompjuterët në të të lidhen përmes një shpërndarës, dhe jo përmes një ndërprerës. Disa modele moderne të ndërprerësve kanë pasqyrim portash, i cili u lejon atyre të konfigurohen edhe për monitorimin e rrjetit duke përdorur CommView. Ju mund të lexoni më shumë për këtë. Pasi të keni zgjedhur lidhjen që dëshironi, mund të filloni të kapni paketa. Butonat për fillimin dhe ndalimin e kapjes ndodhen pranë linjës së përzgjedhjes së ndërfaqes. Për të punuar me kontrolluesin e qasjes në distancë, VPN dhe PPPoE gjatë instalimit të programit, duhet të instaloni drejtuesin e duhur.

Dritarja kryesore e programit është e ndarë në disa skeda, të cilat janë përgjegjëse për një ose një fushë tjetër të punës. E para, "Lidhjet aktuale IP", shfaq informacion të detajuar në lidhje me lidhjet aktuale IP të kompjuterit. Këtu mund të shihni adresat IP lokale dhe të largëta, numrin e paketave të transmetuara dhe të marra, drejtimin e transmetimit, numrin e seancave IP të vendosura, portet, emrin e hostit (nëse funksioni i njohjes DNS nuk është i çaktivizuar në cilësimet e programit) , dhe emrin e procesit që merr ose transmeton paketën e këtij sesioni. Informacioni i fundit nuk është i disponueshëm për paketat transitore, as për kompjuterët që përdorin Windows 9x / ME.

Skeda e lidhjeve aktuale IP

Nëse klikoni me të djathtën mbi një lidhje, hapet një meny konteksti, në të cilën mund të gjeni mjete që lehtësojnë analizën e lidhjeve. Këtu mund të shihni sasinë e të dhënave të transmetuara brenda lidhjes, një listë të plotë të porteve të përdorura, informacion të detajuar në lidhje me procesin që merr ose transmeton paketat e këtij sesioni. CommView ju lejon të krijoni pseudonime për adresat MAC dhe IP. Për shembull, duke vendosur pseudonime në vend të adresave dixhitale të rënda të makinave në një rrjet lokal, mund të merrni emra kompjuterësh lehtësisht të lexueshëm dhe të paharrueshëm dhe kështu të lehtësoni analizën e lidhjeve.

Për të krijuar një pseudonim për një adresë IP, zgjidhni artikujt "Krijo pseudonim" dhe "duke përdorur IP lokale" ose "duke përdorur IP të largët" në menynë e kontekstit me radhë. Në dritaren që shfaqet, fusha e adresës IP tashmë do të plotësohet dhe gjithçka që mbetet është të vendosni një emër të përshtatshëm. Nëse krijohet një hyrje e re emri IP duke klikuar me të djathtën në paketë, fusha e emrit plotësohet automatikisht me emrin e hostit (nëse disponohet) dhe mund të modifikohet. Puna me pseudonimet MAC është e njëjtë.

Nga e njëjta meny, duke zgjedhur SmartWhois, mund të dërgoni adresën IP të burimit ose të destinacionit te SmartWhois, një aplikacion i pavarur Tamosoft që mbledh informacione për çdo adresë IP ose emër hosti, si emri i rrjetit, domeni, shteti, shteti ose krahina. , qytet dhe ia ofron përdoruesit.

Skeda e dytë, "Paketat", shfaq të gjitha paketat e kapura në ndërfaqen e zgjedhur të rrjetit dhe informacion të detajuar rreth tyre.

Skeda e paketave

Dritarja është e ndarë në tre zona. E para shfaq një listë të të gjitha paketave të kapura. Nëse zgjidhni një nga paketat në të duke klikuar mbi të me treguesin e miut, atëherë pjesa tjetër e dritareve do të shfaqë informacione për të. Ai shfaq numrin e paketës, protokollin, Mac dhe adresat IP të hosteve dërgues dhe marrës, portat e përdorura dhe kohën e shfaqjes së paketës.

Zona e mesme shfaq përmbajtjen e paketës - në heksadecimal ose tekst. Në rastin e fundit, karakteret jo të printueshme zëvendësohen me pika. Nëse disa paketa zgjidhen njëkohësisht në zonën e sipërme, atëherë dritarja e mesme do të tregojë numrin total të paketave të zgjedhura, madhësinë totale të tyre, si dhe intervalin kohor midis paketave të para dhe të fundit.

Dritarja e poshtme shfaq informacion të detajuar të deshifruar në lidhje me paketën e zgjedhur.

Duke klikuar në një nga tre butonat në pjesën e poshtme djathtas të dritares, mund të zgjidhni pozicionin e dritares së dekodimit: në pjesën e poshtme, ose të rreshtoni majtas ose djathtas. Dy butonat e tjerë ju lejojnë të kaloni automatikisht në paketën e fundit të marrë dhe të ruani paketën e zgjedhur në zonën e dukshme të listës.

Menyja e kontekstit ju lejon të kopjoni MAC, adresat IP dhe paketat e tëra në kujtesën e fragmenteve, të caktoni pseudonime, të aplikoni një filtër të shpejtë për të zgjedhur paketat e kërkuara dhe gjithashtu të përdorni veglat "Rindërtimi i sesionit TCP" dhe "Generatori i paketave".

Mjeti i rindërtimit të sesionit TCP ju lejon të shikoni procesin e komunikimit midis dy hosteve mbi TCP. Për ta bërë përmbajtjen e seancës të duket më e kuptueshme, duhet të zgjidhni "logjikën e shfaqjes" së duhur. Ky funksion është më i dobishëm për rikuperimin e informacionit të tekstit si HTML ose ASCII.

Të dhënat që rezultojnë mund të eksportohen si tekst, RTF ose skedar binar.

Skeda e skedarëve të regjistrit... Këtu mund të konfiguroni cilësimet për ruajtjen e paketave të kapura në një skedar. CommView ruan skedarët e regjistrave në formatin e vet NCF; për t'i parë ato, përdoret mjeti i integruar, i cili mund të hapet nga menyja "File".

Është e mundur të mundësohet ruajtja automatike e paketave të përgjuara kur ato mbërrijnë, regjistrimi i seancave HTTP në formatet TXT dhe HTML, ruajtja, fshirja, bashkimi dhe ndarja e skedarëve të regjistrit. Mbani në mend se një paketë nuk ruhet menjëherë pas mbërritjes, kështu që nëse shikoni skedarin e regjistrit në kohë reale, ai ka të ngjarë të mos përmbajë paketat më të fundit. Në mënyrë që programi të dërgojë menjëherë bufferin në një skedar, duhet të klikoni butonin "Fund Capture".

Në skedën "Rregullat" mund të vendosni kushtet për përgjimin ose injorimin e paketave.

Për të lehtësuar zgjedhjen dhe analizën e paketave të kërkuara, mund të përdorni rregullat e filtrimit. Ai gjithashtu do të ndihmojë në uljen e konsiderueshme të sasisë së burimeve të sistemit të përdorura nga CommView.

Për të aktivizuar çdo rregull, duhet të zgjidhni seksionin e duhur në anën e majtë të dritares. Ekzistojnë shtatë lloje rregullash në dispozicion: të thjeshta - "Protokollet dhe drejtimi", "Adresat Mac", "Adresat IP", "Portet", "Teksti", "Flamujt TCP", "Procesi", si dhe rregulli universal " Formulat ". Për secilën nga rregullat e thjeshta, mund të zgjidhni parametra individualë, si zgjedhja e drejtimit ose protokollit. Rregulli i përgjithshëm i Formulës është një mekanizëm i fuqishëm dhe fleksibël për krijimin e filtrave duke përdorur logjikën Boolean. Mund të gjendet një referencë e detajuar mbi sintaksën e saj.

Tab "Paralajmërime" do t'ju ndihmojë të konfiguroni cilësimet për njoftimet për ngjarje të ndryshme që ndodhin në segmentin e rrjetit të studiuar.

Skeda Alerts ju lejon të krijoni, modifikoni, fshini rregullat e sinjalizimit dhe të shikoni ngjarjet aktuale që përputhen me ato rregulla

Për të vendosur një rregull paralajmërimi, duke klikuar butonin "Shto ...", në dritaren që hapet, zgjidhni kushtet e nevojshme, me shfaqjen e të cilave do të aktivizohet njoftimi, si dhe mënyrën e njoftimit të përdoruesit. në lidhje me këtë.

CommView ju lejon të përcaktoni llojet e mëposhtme të ngjarjeve të monitoruara:

• "Gjetja e një pakete" që përputhet me formulën e specifikuar. Sintaksa e formulës përshkruhet në detaje në manualin e përdoruesit;
• Bajt për sekondë. Ky paralajmërim do të aktivizohet kur të tejkalohet ngarkesa e specifikuar e rrjetit;
• Paketat për sekondë. Aktivizohet kur tejkalohet niveli i specifikuar i shpejtësisë së transmetimit të paketave;
• Transmetimet në sekondë. E njëjta gjë, vetëm për paketat e transmetimit;
• Multicast për sekondë është i njëjtë për paketat multicast.
• Adresa MAC e panjohur. Ky paralajmërim mund të përdoret për të zbuluar lidhjet e pajisjeve të reja ose të paautorizuara në rrjet duke paracaktuar një listë të adresave të njohura duke përdorur opsionin "Konfiguro";
• paralajmërimi "Adresa IP e panjohur" do të aktivizohet kur përgjohen paketa me adresa IP të panjohur të burimit ose destinacionit. Nëse paracaktoni një listë të adresave të njohura, mund ta përdorni këtë alarm për të zbuluar lidhje të paautorizuara përmes murit të zjarrit të korporatës.

CommView ka një mjet të fuqishëm vizualizimi për statistikat e trafikut. Për të hapur dritaren e statistikave, duhet të zgjidhni artikullin me të njëjtin emër nga menyja "Shiko".

Dritarja e statistikave në modalitetin "Të përgjithshme".

Në këtë dritare mund të shikoni statistikat e trafikut të rrjetit: këtu mund të shihni numrin e paketave për sekondë, bajt për sekondë, shpërndarjen e Ethernetit, IP-së dhe nënprotokolleve. Diagramet mund të kopjohen në clipboard, gjë që do t'ju ndihmojë nëse keni nevojë të krijoni raporte.

Disponueshmëria, kostoja, kërkesat e sistemit

Versioni aktual i programit është CommView 5.1. Nga faqja e internetit Tamosoft është e mundur, e cila do të jetë funksionale për 30 ditë.

Zhvilluesi u ofron blerësve dy opsione licence:

• Licenca e shtëpisë (licenca e shtëpisë), me vlerë 2000 rubla, jep të drejtën për të përdorur programin në shtëpi në baza jo komerciale, ndërsa numri i hosteve të disponueshëm për monitorim në rrjetin tuaj të shtëpisë është i kufizuar në pesë. Sipas këtij lloji të licencës, nuk lejohet të punohet në distancë duke përdorur Agjentin në distancë.
• Licenca e ndërmarrjes (korporate, kosto - 10,000 rubla) siguron të drejtën për përdorim komercial dhe jokomercial të programit nga një person që përdor personalisht programin në një ose disa makina. Programi gjithashtu mund të instalohet në një stacion pune dhe të përdoret nga disa persona, por jo njëkohësisht.

Aplikacioni funksionon në sistemet operative Windows 98 / Me / NT / 2000 / XP / 2003. Për të punuar, ju nevojitet një përshtatës rrjeti Ethernet, Wireless Ethernet, Token Ring me mbështetje për standardin NDIS 3.0 ose një kontrollues standard i qasjes në distancë.

Të mirat:

• ndërfaqe e lokalizuar;
• sistem i shkëlqyer i ndihmës;
• mbështetje për lloje të ndryshme të përshtatësve të rrjetit;
• mjete të avancuara të analizës së paketave dhe zbulimit të protokollit;
• vizualizimi i statistikave;
• sistemi funksional i paralajmërimit.

Minuset:

• kosto shumë e lartë;
• mungesa e paracaktimit për rregullat dhe paralajmërimet e përgjimit;
• mekanizëm jo shumë i përshtatshëm për zgjedhjen e një pakete në skedën "Paketat".

konkluzioni

Funksionaliteti i tij i shkëlqyer dhe ndërfaqja miqësore për përdoruesit e bëjnë CommView një mjet të domosdoshëm për administratorët e LAN, ISP-të dhe përdoruesit e shtëpisë. Isha i kënaqur me qasjen e plotë të zhvilluesit ndaj lokalizimit rus të paketës: si ndërfaqja ashtu edhe manuali i referencës janë bërë në një nivel shumë të lartë. Pamja është disi e errët nga kostoja e lartë e programit, por një version provë tridhjetë-ditor do të ndihmojë një blerës të mundshëm të vendosë për këshillueshmërinë e blerjes së këtij mjeti.

Informacion i pergjithshem

Mjetet e quajtura analizues të rrjetit janë emëruar sipas Sniffer Network Analyzer. I lançuar në 1988 nga Network General (tani Network Associates), ky produkt ishte një nga pajisjet e para që i lejoi menaxherët të mësojnë fjalë për fjalë se çfarë po ndodh në një rrjet të madh pa lënë tavolinën e tyre. Analizuesit e hershëm lexojnë titujt e mesazheve në paketat e të dhënave të dërguara përmes rrjetit, duke u ofruar kështu administratorëve informacion rreth adresave të dërguesit dhe marrësit, madhësive të skedarëve dhe informacione të tjera të nivelit të ulët. Dhe e gjithë kjo është përveç kontrollit të korrektësisë së transmetimit të paketave. Duke përdorur grafikët dhe përshkrimet e tekstit, analizuesit ndihmuan administratorët e rrjetit të diagnostikojnë serverët, lidhjet e rrjetit, shpërndarësit dhe ndërprerësit dhe aplikacionet. Përafërsisht, një analizues i rrjetit dëgjon ose "nuhat" paketat e një segmenti të caktuar fizik të rrjetit. Kjo ju lejon të analizoni trafikun për disa modele, të rregulloni probleme specifike dhe të zbuloni aktivitete të dyshimta. Një sistem zbulimi i ndërhyrjeve në rrjet nuk është gjë tjetër veçse një analizues i avancuar që përputhet me çdo paketë në rrjet me një bazë të dhënash të modeleve të njohura keqdashëse të trafikut, ashtu si bën një program antivirus me skedarët në një kompjuter. Ndryshe nga mjetet e përshkruara më parë, analizuesit funksionojnë në një nivel më të ulët.

Nëse i drejtohemi modelit të referencës BOC, atëherë analizuesit kontrollojnë dy nivelet më të ulëta - atë fizik dhe kanal.

Shtresa fizike është instalimi aktual fizik ose mediumi tjetër i përdorur për të krijuar rrjetin. Në shtresën e lidhjes së të dhënave, të dhënat fillimisht kodohen për transmetim në një medium specifik. Standardet e rrjetit të shtresës së lidhjes përfshijnë 802.11 wireless, Arcnet, kabllo koaksiale, Ethernet, Token Ring dhe më shumë. Analizuesit zakonisht varen nga lloji i rrjetit në të cilin operojnë. Për shembull, për të analizuar trafikun në një rrjet Ethernet, duhet të keni një analizues Ethernet.

Ekzistojnë analizues të klasës komerciale nga prodhues të tillë si Fluke, Network General dhe të tjerë. Këto janë zakonisht pajisje të veçanta harduerike që mund të kushtojnë dhjetëra mijëra dollarë. Ndërsa ky harduer është i aftë për analiza më të thella, ju mund të ndërtoni një analizues rrjeti të lirë duke përdorur softuer me burim të hapur dhe një kompjuter të lirë me bazë Intel.

Llojet e analizatorëve

Tani janë në dispozicion shumë analizues, të cilët ndahen në dy lloje. E para përfshin produkte të pavarura që janë instaluar në një kompjuter celular. Konsulenti mund ta marrë me vete kur viziton zyrën e klientit dhe ta lidhë me rrjetin për të mbledhur të dhëna diagnostikuese.

Fillimisht, pajisjet portative të testimit të rrjetit u krijuan vetëm për të testuar parametrat teknikë të kabllit. Sidoqoftë, me kalimin e kohës, prodhuesit i kanë pajisur pajisjet e tyre me një numër funksionesh të analizuesit të protokollit. Analizuesit modernë të rrjetit janë të aftë të zbulojnë një gamë të gjerë problemesh të mundshme - nga dëmtimi fizik i kabllove deri te mbingarkesa e burimeve të rrjetit.

Lloji i dytë i analizuesit është pjesë e një kategorie më të gjerë të harduerit dhe softuerit të monitorimit të rrjetit që lejon organizatat të monitorojnë shërbimet e tyre lokale dhe globale të rrjetit, duke përfshirë Ueb-in. Këto programe u japin administratorëve një pamje tërësore të shëndetit të rrjetit. Për shembull, me ndihmën e produkteve të tilla, mund të përcaktoni se cilat prej aplikacioneve janë aktualisht duke u ekzekutuar, cilët përdorues janë të regjistruar në rrjet dhe cili prej tyre gjeneron pjesën më të madhe të trafikut.

Përveç identifikimit të karakteristikave të nivelit të ulët të rrjetit, si burimi i paketave dhe destinacioni i tyre, analizuesit modern deshifrojnë informacionin e marrë në të shtatë shtresat e rrjetit të rrjetit të ndërlidhjes së sistemit të hapur (OSI) dhe shpesh ofrojnë rekomandime për zgjidhjen e problemeve. Nëse analiza në nivelin e aplikacionit nuk lejon dhënien e një rekomandimi adekuat, analizuesit kryejnë kërkime në një nivel më të ulët rrjeti.

Analizuesit modernë përgjithësisht mbështesin standardet e monitorimit në distancë (Rmon dhe Rmon 2), të cilat automatikisht ofrojnë të dhëna bazë të performancës, siç është ngarkesa në burimet e disponueshme. Analizuesit që mbështesin Rmon mund të kontrollojnë rregullisht shëndetin e komponentëve të rrjetit dhe të krahasojnë të dhënat e marra me të dhënat e mbledhura më parë. Nëse është e nevojshme, ata do të lëshojnë një paralajmërim se niveli i trafikut ose performanca tejkalon kufijtë e vendosur nga administratorët e rrjetit.

NetScout Systems prezantoi nGenius Application Service Level Manager, një sistem i krijuar për të monitoruar kohën e përgjigjes në seksione specifike të kanalit të hyrjes në uebfaqe dhe për të përcaktuar performancën aktuale të serverëve. Ky aplikacion mund të analizojë performancën në rrjetin publik në mënyrë që të rikrijojë pamjen e madhe në kompjuterin e përdoruesit. Firma daneze NetTest (dikur GN Nettest) filloi të ofrojë Fastnet, një sistem monitorimi i rrjetit që ndihmon kompanitë e e-biznesit të planifikojnë kapacitetin e kanalit dhe të zgjidhin dhe zgjidhin problemet e rrjetit.

Analiza e rrjeteve të konvergjuara (multiservice).

Përhapja e rrjeteve me shumë shërbime (rrjetet e konvergjuara) mund të ketë një ndikim vendimtar në zhvillimin e sistemeve të telekomunikacionit dhe sistemeve të transmetimit të të dhënave në të ardhmen. Ideja e kombinimit në një infrastrukturë të vetme rrjeti bazuar në protokollin e paketës, aftësia për të transmetuar të dhëna, transmetime zanore dhe informacione video doli të ishte shumë joshëse për ofruesit e specializuar në ofrimin e shërbimeve të telekomunikacionit, sepse në një çast ajo mund të zgjerojnë ndjeshëm gamën e shërbimeve që ofrojnë.

Ndërsa korporatat fillojnë të kuptojnë avantazhet e efikasitetit dhe kostos së rrjeteve të konvergjuara të bazuara në IP, shitësit e mjeteve të rrjetit po zhvillojnë në mënyrë aktive analizues. Në gjysmën e parë të vitit, shumë firma prezantuan komponentët zë mbi IP për produktet e tyre të administrimit të rrjetit.

“Konvergjenca ka krijuar sfida të reja për t'u përballur me administratorët e rrjetit,” tha Glenn Grossman, drejtor i menaxhimit të produkteve në NetScout Systems. - Trafiku zanor është shumë i ndjeshëm ndaj vonesave kohore. Analizuesit mund të shikojnë çdo bit dhe bajt të transmetuar përmes telit, të interpretojnë titujt dhe të përcaktojnë automatikisht përparësinë e të dhënave."

Përdorimi i teknologjive të konvergjencës së zërit dhe të dhënave mund të nxisë një valë të re interesi te analizuesit, pasi mbajtja e prioriteteve të trafikut në nivelin e paketave IP bëhet thelbësore për funksionimin e shërbimeve zanore dhe video. Për shembull, Sniffer Technologies ka lëshuar Sniffer Voice, një paketë veglash e krijuar për administratorët e rrjeteve me shumë shërbime. Ky produkt jo vetëm që ofron shërbime tradicionale diagnostikuese për menaxhimin e trafikut të postës elektronike, internetit dhe bazës së të dhënave, por gjithashtu identifikon problemet e rrjetit dhe rekomandon veprime korrigjuese për të siguruar që trafiku zanor të transportohet në mënyrë korrekte përmes rrjeteve IP.

Ana negative e përdorimit të analizatorëve

Duhet mbajtur mend se ka dy anët e medaljes që lidhen me analizuesit. Ato ndihmojnë në funksionimin dhe funksionimin e rrjetit, por ato mund të përdoren gjithashtu nga hakerat për të kërkuar paketat e të dhënave për emrat e përdoruesve dhe fjalëkalimet. Për të parandaluar përgjimin e fjalëkalimeve me anë të analizuesve, kokat e paketave janë të koduara (për shembull, duke përdorur standardin Secure Sockets Layer).

Në fund të fundit, nuk ka ende asnjë alternativë për një analizues rrjeti në ato situata kur është e nevojshme të kuptohet se çfarë po ndodh në rrjetin global ose të korporatës. Një analizues i mirë ju lejon të kuptoni gjendjen e një segmenti të rrjetit dhe të përcaktoni sasinë e trafikut, si dhe të përcaktoni se si ky vëllim ndryshon gjatë ditës, cilët përdorues po krijojnë ngarkesën më të madhe, në cilat situata ka probleme me përhapjen e trafikut ose ka mungesë të gjerësisë së brezit. Falë përdorimit të analizuesit, është e mundur të merren dhe të analizohen të gjitha pjesët e të dhënave në segmentin e rrjetit për një periudhë të caktuar.

Megjithatë, analizuesit e rrjetit janë të shtrenjtë. Nëse po planifikoni ta blini atë, atëherë së pari tregoni qartë se çfarë prisni prej tij.

Karakteristikat e përdorimit të analizuesve të rrjetit

Për të përdorur analizuesit e rrjetit në mënyrë etike dhe produktive, duhet të ndiqen udhëzimet e mëposhtme.

Leja është gjithmonë e nevojshme

Analiza e rrjetit, si shumë funksione të tjera të sigurisë, ka potencialin të keqpërdoret. Duke përgjuar gjithçka të dhënat e transmetuara përmes rrjetit, ju mund të spiunoni fjalëkalime për sisteme të ndryshme, përmbajtjen e mesazheve të postës dhe të dhëna të tjera kritike, të brendshme dhe të jashtme, pasi shumica e sistemeve nuk e kodojnë trafikun e tyre në rrjetin lokal. Nëse të dhëna të tilla bien në duar të gabuara, padyshim që mund të çojnë në shkelje serioze të sigurisë. Përveç kësaj, mund të cenojë privatësinë e punonjësve. Para së gjithash, duhet të merrni leje me shkrim nga menaxhmenti, mundësisht një më të lartë, përpara se të filloni një aktivitet të tillë. Ju gjithashtu duhet të konsideroni se çfarë të bëni me të dhënat pasi t'i merrni ato. Përveç fjalëkalimeve, mund të jenë të dhëna të tjera të ndjeshme. Në mënyrë tipike, protokollet e analizës së rrjetit duhet të pastrohen nga sistemi, përveç rasteve kur ato nevojiten për ndjekje penale ose civile. Ka raste të dokumentuara të sysadmin-ëve me qëllim të mirë që janë pushuar nga puna për ngatërrim të të dhënave.

Ju duhet të kuptoni topologjinë e rrjetit

Para se të konfiguroni analizuesin, duhet të kuptoni plotësisht organizimin fizik dhe logjik të rrjetit. Duke analizuar në vendin e gabuar në rrjet, mund të merrni b) rezultate të gabuara ose thjesht mos gjetja e asaj që ju nevojitet. Është e nevojshme të verifikohet që nuk ka routera midis stacionit të punës së analizës dhe vendit të monitorimit. Ruterat do ta drejtojnë trafikun në një segment rrjeti vetëm nëse një host aksesohet atje. Po kështu, në një rrjet me komutim, do t'ju duhet të konfiguroni portin me të cilin është krijuar lidhja si një port "monitor" ose "pasqyrë". Shitës të ndryshëm përdorin terminologji të ndryshme, por në thelb porti duhet të veprojë si një shpërndarës, jo një ndërprerës, pasi duhet të shohë të gjithë trafikun që kalon përmes çelësit, jo vetëm trafikun që shkon në stacionin e punës. Pa këtë cilësim, porta e monitorit do të shohë vetëm atë që i drejtohet portit të lidhur dhe trafikut të transmetimit të rrjetit.

Duhet të përdoren kritere të forta kërkimi

Në varësi të asaj që dëshironi të gjeni, përdorimi i një filtri të hapur (d.m.th., duke treguar gjithçka) do ta bëjë prodhimin e të dhënave të rëndë dhe të vështirë për t'u analizuar. Është më mirë të përdoren kritere të veçanta kërkimi për të shkurtuar prodhimin që prodhon analizuesi. Edhe nëse nuk dini saktësisht se çfarë të kërkoni, prapë mund të shkruani një filtër për të kufizuar rezultatet e kërkimit tuaj. Nëse dëshironi të gjeni një makinë të brendshme, është e saktë të vendosni kriteret për të parë vetëm adresat e burimit brenda një rrjeti të caktuar. Nëse keni nevojë të gjurmoni një lloj të caktuar trafiku, le të themi trafikun FTP, mund t'i kufizoni rezultatet vetëm në atë që vjen në portin e përdorur nga aplikacioni. Duke vepruar kështu, mund të arrihen rezultate shumë më të mira analitike.

Vendosja e gjendjes së referencës së rrjetit

Duke aplikuar një analizues rrjeti gjatë funksionimit normal , dhe duke regjistruar rezultatet përfundimtare, arrihet një gjendje referimi që mund të krahasohet me rezultatet e marra gjatë përpjekjes për të izoluar problemin. Analizatori Ethereal i diskutuar më poshtë gjeneron disa raporte të dobishme për këtë. Do të merren gjithashtu disa të dhëna për të gjurmuar përdorimin e rrjetit me kalimin e kohës. Duke përdorur këto të dhëna, mund të përcaktoni se kur rrjeti është i ngopur dhe cilat janë arsyet kryesore për këtë - një server i mbingarkuar, një rritje në numrin e përdoruesve, një ndryshim në llojin e trafikut, etj. Nëse ka një pikënisje, është më e lehtë të kuptosh se kush është fajtor për çfarë.

tcpdump

Mjeti kryesor për pothuajse të gjithë grumbullimin e trafikut të rrjetit është tcpdump. Është një aplikacion me burim të hapur që instalohet në pothuajse të gjitha sistemet operative të ngjashme me Unix. Tcpdump është një mjet i shkëlqyeshëm për mbledhjen e të dhënave dhe vjen me një motor filtrues shumë të fuqishëm. Është e rëndësishme të dini se si të filtroni të dhënat gjatë mbledhjes në mënyrë që të përfundoni me një pjesë të menaxhueshme të të dhënave për analizë. Kapja e të gjitha të dhënave nga një pajisje rrjeti, edhe në një rrjet mesatarisht të ngarkuar, mund të krijojë shumë të dhëna për analizë të thjeshtë.

Në disa raste të rralla, tcpdump ju lejon të nxirrni daljen direkt në ekranin tuaj dhe kjo mund të jetë e mjaftueshme për të gjetur atë që kërkoni. Për shembull, gjatë shkrimit të një artikulli, një pjesë e trafikut u kap dhe makina u vu re duke dërguar trafik në një adresë IP të panjohur. Rezulton se makina po dërgonte të dhëna në adresën IP të Google 172.217.11.142. Meqenëse asnjë produkt i Google nuk u lançua, lindi pyetja se pse po ndodh kjo.

Kontrolli i sistemit tregoi sa vijon:

Lini komentin tuaj!

VËSHTRIM I PËRGJITHSHËM I ANALIZËS SË TRAFIKUT DHE PROGRAMEVE TË MONITORIMIT TË RRJETIVE

A.I. KOSTROMITSKY, Cand. teknologjisë. Shkenca, V.S. VOLOTKA

Prezantimi

Monitorimi i trafikut është jetik për menaxhimin efektiv të rrjetit. Është një burim informacioni për funksionimin e aplikacioneve të korporatave, i cili merret parasysh gjatë shpërndarjes së fondeve, planifikimit të fuqisë llogaritëse, identifikimit dhe lokalizimit të dështimeve dhe zgjidhjes së çështjeve të sigurisë.

Në të kaluarën jo aq të largët, monitorimi i trafikut ishte një detyrë relativisht e thjeshtë. Si rregull, kompjuterët ishin të lidhur në një rrjet të bazuar në një topologji autobusi, domethënë ata kishin një medium të përbashkët transmetimi. Kjo bëri të mundur lidhjen e një pajisjeje të vetme në rrjet me të cilën ishte e mundur të monitorohej i gjithë trafiku. Megjithatë, kërkesa për rritjen e gjerësisë së brezit të rrjetit dhe zhvillimi i teknologjive të komutimit të paketave, të cilat shkaktuan rënien e çmimeve të çelsave dhe ruterave, çuan në një kalim të shpejtë nga një medium transmetimi i përbashkët në topologji shumë të segmentuara. Trafiku i përgjithshëm nuk mund të shihet më nga një pikë. Për të marrë një pamje të plotë, duhet të monitoroni çdo port. Lidhjet pikë-për-pikë e bëjnë lidhjen e pajisjeve të papërshtatshme dhe do të kërkonin shumë për të dëgjuar në të gjitha portet, duke e bërë atë një detyrë tepër të shtrenjtë. Për më tepër, vetë çelsat dhe ruterët janë arkitektura komplekse, dhe shpejtësia e përpunimit dhe transmetimit të paketave po bëhet një faktor i rëndësishëm në përcaktimin e performancës së rrjetit.

Një nga problemet urgjente shkencore aktualisht është analiza (dhe parashikimi i mëtejshëm) i strukturës së trafikut të ngjashëm në rrjetet moderne multiservice. Për të zgjidhur këtë problem, është e nevojshme të mblidhen dhe më pas të analizohen një sërë statistikash (shpejtësia, vëllimet e të dhënave të transmetuara, etj.) në rrjetet ekzistuese. Mbledhja e statistikave të tilla në një formë ose në një tjetër është e mundur nga mjete të ndryshme softuerike. Sidoqoftë, ekziston një grup parametrash dhe cilësimesh shtesë që rezultojnë të jenë shumë të rëndësishme në përdorimin praktik të mjeteve të ndryshme.

Studiues të ndryshëm përdorin një shumëllojshmëri të gjerë programesh për të monitoruar trafikun e rrjetit. Për shembull, në, studiuesit përdorën një program analizues të trafikut të rrjetit (sniffer) Ethreal (Wireshark).

Ne shqyrtuam versionet falas të programeve që janë të disponueshme në,,.

1. Pasqyrë e programeve të monitorimit të trafikut në rrjet

Ne shqyrtuam rreth dhjetë programe të analizuesve të trafikut (sniffers) dhe më shumë se një duzinë programe për monitorimin e trafikut të rrjetit, nga të cilat zgjodhëm katër nga më interesantet, sipas mendimit tonë, dhe ju ofrojmë një përmbledhje të aftësive të tyre kryesore.

1) BMExtreme(fig. 1).

Ky është emri i ri i programit të mirënjohur Bandwidth Monitor. Më parë, programi shpërndahej pa pagesë, por tani ai ka tre versione, dhe vetëm ai bazë është falas. Ky version nuk ofron asnjë veçori, përveç, në fakt, monitorimin e trafikut, kështu që vështirë se mund të konsiderohet një konkurrent i programeve të tjera. Si parazgjedhje, BMExtreme monitoron trafikun e internetit dhe trafikun LAN, por monitorimi LAN mund të çaktivizohet nëse dëshironi.

Oriz. një

2) BWMeter(fig. 2).

Ky program nuk ka një, por dy dritare të monitorimit të trafikut: njëra tregon aktivitetin në internet, dhe tjetra - në rrjetin lokal.

Oriz. 2

Programi ka cilësime fleksibël për monitorimin e trafikut. Me ndihmën e tij, ju mund të përcaktoni nëse keni nevojë të monitoroni marrjen dhe transmetimin e të dhënave në internet vetëm nga ky kompjuter ose nga të gjithë kompjuterët e lidhur me rrjetin lokal, të vendosni gamën e adresave IP, porteve dhe protokolleve për të cilat monitorimi do të ose nuk do të kryhet. Përveç kësaj, mund të çaktivizoni gjurmimin e trafikut në orë ose ditë të caktuara. Administratorët e sistemit me siguri do të vlerësojnë aftësinë për të shpërndarë trafikun midis kompjuterëve në një rrjet lokal. Pra, për çdo PC, mund të vendosni shpejtësinë maksimale të transmetimit dhe marrjes së të dhënave, si dhe të ndaloni aktivitetin e rrjetit me një klik.

Me një madhësi shumë të vogël, programi ka një larmi të madhe mundësish, disa prej të cilave mund të përfaqësohen si më poshtë:

Monitorimi i çdo ndërfaqe rrjeti dhe çdo trafiku në rrjet.

Një sistem i fuqishëm filtri që ju lejon të vlerësoni vëllimin e çdo pjese të trafikut - deri në një vend specifik në një drejtim të caktuar ose trafikun nga çdo makinë në rrjetin lokal në një kohë të caktuar të ditës.

Numri i pakufizuar i grafikëve të personalizueshëm të aktivitetit të lidhjeve të rrjetit bazuar në filtrat e zgjedhur.

Kontroll (kufizim, pezullim) i fluksit të trafikut në cilindo nga filtrat.

Sistemi i përshtatshëm i statistikave (nga një orë në një vit) me një funksion eksporti.

Aftësia për të parë statistikat e kompjuterëve në distancë me BWMeter.

Sistemi fleksibël i sinjalizimeve dhe njoftimeve pas arritjes së një ngjarje të caktuar.

Opsionet maksimale të personalizimit, përfshirë. pamjen.

Aftësia për të funksionuar si shërbim.

3) Monitori i gjerësisë së brezit Pro(fig. 3).

Zhvilluesit e tij i kushtuan shumë vëmendje konfigurimit të dritares së monitorimit të trafikut. Së pari, mund të përcaktoni se çfarë lloj informacioni programi do të shfaqë vazhdimisht në ekran. Kjo mund të jetë sasia e të dhënave të marra dhe të transmetuara (si veçmas ashtu edhe në total) për sot dhe për çdo periudhë të caktuar kohore, shpejtësi mesatare, aktuale dhe maksimale të lidhjes. Nëse keni të instaluar disa përshtatës rrjeti, mund të monitoroni statistikat për secilin prej tyre veç e veç. Në të njëjtën kohë, informacioni i nevojshëm për secilën kartë rrjeti mund të shfaqet edhe në dritaren e monitorimit.

Oriz. 3

Më vete, duhet thënë për sistemin e njoftimeve, i cili zbatohet shumë mirë këtu. Ju mund të vendosni sjelljen e programit kur plotësohen kushtet e specifikuara, që mund të jetë transferimi i një sasie të caktuar të dhënash për një periudhë të caktuar kohore, arritja e shpejtësisë maksimale të shkarkimit, ndryshimi i shpejtësisë së lidhjes, etj. Në këtë rast, Bandwidth Monitor Pro do të mbledhë statistika të të gjithë përdoruesve që hyjnë në sistem duke përdorur hyrjet e tyre.

4) DUTtraffic(fig. 4).

DUTraffic dallohet nga të gjitha programet e rishikimit nga statusi i tij falas.

Oriz. 4

Ashtu si homologët e tij komercialë, DUTraffic mund të kryejë veprime të ndryshme kur plotësohen disa kushte. Kështu, për shembull, mund të luajë një skedar audio, të shfaqë një mesazh ose të shkëputë lidhjen me internetin kur shpejtësia mesatare ose aktuale e shkarkimit është më e vogël se një vlerë e caktuar, kur kohëzgjatja e seancës së internetit tejkalon një numër të caktuar orësh, kur transferohet një sasi e caktuar e të dhënave. Përveç kësaj, veprime të ndryshme mund të kryhen në mënyrë ciklike, për shembull, sa herë që programi zbulon transferimin e një sasie të caktuar informacioni. Statistikat në DUTraffic mbahen veçmas për çdo përdorues dhe për çdo lidhje interneti. Programi tregon statistika të përgjithshme për periudhën e zgjedhur kohore, dhe informacion në lidhje me shpejtësinë, sasinë e të dhënave të transmetuara dhe të marra dhe kostot financiare për çdo seancë.

5) Sistemi i monitorimit Cacti(fig. 5).

Cacti është një aplikacion në internet me burim të hapur (përkatësisht nuk ka skedar instalimi). Cacti mbledh të dhëna statistikore për intervale specifike kohore dhe ju lejon t'i shfaqni ato në formë grafike. Sistemi ju lejon të ndërtoni grafikët duke përdorur RRDtool. Kryesisht shabllonet standarde përdoren për të shfaqur statistika mbi ngarkesën e procesorit, shpërndarjen e RAM-it, numrin e proceseve që funksionojnë dhe përdorimin e trafikut hyrës/dalës.

Ndërfaqja për shfaqjen e statistikave të mbledhura nga pajisjet e rrjetit paraqitet në formën e një peme, struktura e së cilës përcaktohet nga vetë përdoruesi. Si rregull, grafikët grupohen sipas kritereve të caktuara, dhe i njëjti grafik mund të jetë i pranishëm në degë të ndryshme të pemës (për shembull, trafiku përmes ndërfaqes së rrjetit të serverit - në atë që i kushtohet pamjes së përgjithshme të trafikut të internetit të kompanisë, dhe në degën me parametrat e kësaj pajisjeje) ... Ekziston një opsion për shikimin e një grupi grafikësh të përpiluar paraprakisht dhe ekziston një modalitet paraprak. Secili nga grafikët mund të shihet veçmas, ndërsa do të prezantohet për ditën, javën, muajin dhe vitin e fundit. Është e mundur të zgjidhni në mënyrë të pavarur intervalin kohor për të cilin do të gjenerohet orari, dhe kjo mund të bëhet ose duke specifikuar parametrat e kalendarit, ose thjesht duke zgjedhur një zonë të caktuar në të me miun.

Tabela 1

2. Pasqyrë e analizuesve të trafikut të rrjetit (sniffers)

Analizuesi i trafikut, ose sniffer, është një analizues i trafikut në rrjet, program ose softuer dhe pajisje harduerike e krijuar për të përgjuar dhe më pas analizuar ose vetëm analizuar trafikun e rrjetit të destinuar për nyje të tjera.

Analiza e trafikut të kaluar përmes nuhatësit ju lejon të:

Përgjoni çdo trafik përdoruesi të pakriptuar (dhe ndonjëherë të koduar) për të marrë fjalëkalime dhe informacione të tjera.

Gjeni një mosfunksionim të rrjetit ose një gabim konfigurimi në agjentët e rrjetit (për këtë qëllim, sniffers përdoren shpesh nga administratorët e sistemit).

Meqenëse në nuhatësin "klasik", analiza e trafikut bëhet me dorë, duke përdorur vetëm mjetet më të thjeshta të automatizimit (analiza e protokollit, rikuperimi i rrjedhës TCP), është i përshtatshëm për të analizuar vetëm vëllime të vogla të tij.

1) Wireshark(dikur Ethereal).

Softuer për analizues trafiku për rrjetet kompjuterike Ethernet dhe disa të tjerë. Ka një ndërfaqe grafike të përdoruesit. Wireshark është një aplikacion që "njeh" strukturën e një shumëllojshmërie të gjerë të protokolleve të rrjetit, dhe për këtë arsye ju lejon të analizoni një paketë rrjeti, duke shfaqur vlerën e secilës fushë të protokollit të çdo shtrese. Meqenëse pcap përdoret për kapjen e paketave, është e mundur të merren të dhëna vetëm nga ato rrjete që mbështeten nga kjo bibliotekë. Sidoqoftë, Wireshark mund të trajtojë një sërë formatesh të dhënash hyrëse, kështu që ju mund të hapni skedarë të dhënash të kapur nga programe të tjera, gjë që zgjeron aftësitë e kapjes.

2) IrisRrjetiTrafikuAnalizator.

Përveç funksioneve standarde të mbledhjes, filtrimit dhe kërkimit të paketave, si dhe gjenerimit të raporteve, programi ofron aftësi unike për rindërtimin e të dhënave. Iris Analizuesi i Trafikut të Rrjetit ndihmon për të riprodhuar në detaje seancat e përdoruesve me burime të ndryshme ueb dhe madje ju lejon të simuloni dërgimin e fjalëkalimeve për të hyrë në serverët e sigurt të uebit duke përdorur kuki. Teknologjia unike e rindërtimit të të dhënave e zbatuar në modulin e dekodimit konverton qindra paketa të grumbulluara të rrjetit binare në e-mail të njohur, faqe ueb, mesazhe ICQ, etj. eEye Iris ju lejon të shikoni postën në internet të pakriptuar dhe programet e mesazheve të çastit, duke zgjeruar aftësitë e monitorimit ekzistues dhe mjetet e auditimit.

Analizuesi i paketave eEye Iris kap detaje të ndryshme të sulmit si data dhe ora, adresat IP dhe emrat DNS të kompjuterëve të hakerit dhe viktimës, si dhe portat e përdorura.

3) EthernetinternettrafikuStatistikat.

Statistikat e trafikut të internetit Ethernet tregojnë sasinë e të dhënave të marra dhe të marra (në bajt - total dhe për seancën e fundit), si dhe shpejtësinë e lidhjes. Për qartësi, të dhënat e mbledhura shfaqen në kohë reale në një grafik. Punon pa instalim, ndërfaqe - rusisht dhe anglisht.

Shërbimi për monitorimin e shkallës së aktivitetit të rrjetit - tregon sasinë e të dhënave të marra dhe të marra, duke mbajtur statistika për seancën, ditën, javën dhe muajin.

4) CommTraffic.

Ky është një mjet rrjeti për mbledhjen, përpunimin dhe shfaqjen e statistikave të trafikut të Internetit përmes një lidhjeje dial-up ose të dedikuar. Kur monitoron një segment LAN, CommTraffic tregon trafikun e internetit për çdo kompjuter në segment.

CommTraffic përfshin një ndërfaqe shumë të personalizueshme, miqësore për përdoruesit që shfaq statistikat e rrjetit në grafikë dhe numra.

tabela 2

konkluzioni

Në përgjithësi, mund të themi se shumica e përdoruesve shtëpiak do të jenë të kënaqur me aftësitë që ofron Bandwidth Monitor Pro. Nëse flasim për programin më funksional për monitorimin e trafikut të rrjetit, ky është padyshim BWMeter.

Nga analizuesit e konsideruar të trafikut të rrjetit, do të doja të veçoja Wireshark, i cili ka më shumë funksionalitet.

Sistemi i monitorimit Cacti plotëson kërkesat e rritura sa më shumë që të jetë e mundur në rastin e kërkimit të trafikut të rrjetit për qëllime shkencore. Në të ardhmen, autorët e artikullit planifikojnë të përdorin këtë sistem të veçantë për mbledhjen dhe analizën paraprake të trafikut në rrjetin e korporatës multiservice të Departamentit të Rrjeteve të Komunikimit të Universitetit Kombëtar të Radio Electronics Kharkiv.

Bibliografi

Platov V.V., Petrov V.V. Hetimi i strukturës vetë të ngjashme të teletrafikut të rrjetit pa tel // Fletoret e inxhinierisë radio. M .: OKB MEI. 2004. Nr. 3. S. 58-62.

V.V. Petrov Struktura e teletrafikut dhe algoritmi i sigurimit të cilësisë së shërbimit nën ndikimin e efektit të vetëngjashmërisë. Disertacion për gradën e kandidatit të shkencave teknike, 05.12.13, Moskë, 2004, 199 f.