Как называется анализ сетевого трафика

Как называется анализ сетевого трафика

Библиотека сайта rus-linux.net

— какое приложение в сети создает этот трафик?
— если приложение известно (скажем, веб-браузер), где его пользователи проводят большую часть своего времени?
— какие соединения самые длинные и перегружают сеть?

Большинство сетевых устройств, чтобы убедиться, что пакет идет туда, куда нужно, используют метаданные каждого пакета. Содержимое пакета неизвестно сетевому устройству. Другое дело — глубокая инспекция пакетов; это означает, что проверяется фактическое содержимое пакета. Таким образом можно обнаружить критическую сетевую информацию, которую нельзя почерпнуть из метаданных. Инструменты, подобные тем, которые предоставляются SolarWinds, могут выдавать более значимые данные, чем просто поток трафика.

Другие технологии управления сетями с большим объемом данных включают NetFlow и sFlow. У каждой есть свои сильные и слабые стороны,

здесь вы можете узнать больше о NetFlow и sFlow.

Анализ сетей в целом является передовой темой, которая базируется как на основе полученных знаний, так и на основе практического опыта работы. Можно обучить человека детальным знаниям о сетевых пакетах, но если этот человек не обладает знаниями о самой сети, и не имеет опыта выявления аномалий, он не слишком преуспеет. Инструменты, описанные в этой статье, должны использоваться опытными сетевыми администраторами, которые знают, что они хотят, но не уверены в том, какая утилита лучше. Они также могут использоваться менее опытными системными администраторами, чтобы получить повседневный опыт работы с сетями.

Основы

2. tcpdump

Основным инструментом для сбора сетевого трафика является

tcpdump . Это приложение с открытым исходным кодом, которое устанавливается практически во всех Unix-подобных операционных системах. Tcpdump — отличная утилита для сбора данных, которая имеет очень сложный язык фильтрации. Важно знать, как фильтровать данные при их сборе, чтобы в итоге получить нормальный набор данных для анализа. Захват всех данных с сетевого устройства даже в умеренно загруженной сети может породить слишком много данных, которые будет очень трудно проанализировать.

В некоторых редких случаях достаточно будет выводить захваченные tcpdump данные прямо на экран, чтобы найти то, что вам нужно. Например, при написании этой статьи я собрал трафик и заметил, что моя машина отправляет трафик на IP-адрес, который я не знаю. Оказывается, моя машина отправляла данные на IP-адрес Google 172.217.11.142. Поскольку у меня не было никаких продуктов Google, и не был открыт Gmail, я не знал, почему это происходит. Я проверил свою систему и нашел следующее:

Оказывыается, что даже когда Chrome не работает, он остается запущенным как служба. Я не заметил бы этого без анализа пакетов. Я перехватил еще несколько пакетов данных, но на этот раз дал tcpdump задачу записать данные в файл, который затем открыл в Wireshark (подробнее об этом позже). Вот эти записи:

Tcpdump — любимый инструмент системных администраторов, потому что это утилита командной строки. Для запуска tcpdump не требуется графический интерфейс. Для производственных серверов графический интерфес скорее вреден, так как потребляет системные ресурсы, поэтому предпочтительны программы командной строки. Как и многие современные утилиты, tcpdump имеет очень богатый и сложный язык, который требует некоторого времени для его освоения. Несколько самых базовых команд включают в себя выбор сетевого интерфейса для сбора данных и запись этих данных в файл, чтобы его можно было экспортировать для анализа в другом месте. Для этого используются переключатели -i и -w.

Эта команда создает файл с захваченными данными:

Стандартом для таких файлов является формат pcap. Он не является текстом, поэтому его можно анализировать только с помощью программ, которые понимают данный формат.

3. Windump

Большинство полезных утилит с открытым исходным кодом в конечном итоге клонируют в другие операционные системы. Когда это происходит, говорят, что приложение было перенесено. Windump — это порт tcpdump и ведет себя очень похожим образом.

Самое существенное различие между Windump и tcpdump заключается в том, что Windump нуждается в библиотеке Winpcap, установленной до запуска Windump. Несмотря на то, что Windump и Winpcap предоставляются одним и тем же майнтайнером, их нужно скачивать отдельно.

Winpcap — это библиотека, которая должна быть предварительно установлена. Но Windump — это exe-файл, который не нуждается в установке, поэтому его можно просто запускать. Это нужно иметь в виду, если вы используете сеть Windows. Вам не обязательно устанавливать Windump на каждой машине, поскольку вы можете просто копировать его по мере необходимости, но вам понадобится Winpcap для поддержки Windup.

Как и в случае с tcpdump, Windump может выводить сетевые данные на экран для анализа, фильтровать таким же образом, а также записывать данные в файл pcap для последующего анализа.

4. Wireshark

Wireshark является следующим самым известным инструментом в наборе системного администратора. Он позволяет не только захватывать данные, но также предоставляет некоторые расширенные инструменты анализа. Кроме того, Wireshark является программой с открытым исходным кодом и перенесен практически на все существующие серверные операционные системы. Под названием Etheral, Wireshark теперь работает везде, в том числе в качестве автономного переносимого приложения.

Если вы анализируете трафик на сервере с графическим интерфейсом, Wireshark может сделать все за вас. Он может собрать данные, а затем анализировать их все здесь же. Однако на серверах графический интерфейс встречается редко, поэтому вы можете собирать сетевые данные удаленно, а затем изучать полученный файл pcap в Wireshark на своем компьютере.

При первом запуске Wireshark позволяет либо загрузить существующий файл pcap, либо запустить захват трафика. В последнем случае вы можете дополнительно задать фильтры для уменьшения количества собираемых данных. Если вы не укажете фильтр, Wireshark будет просто собирать все сетевые данные с выбранного интерфейса.

Одной из самых полезных возможностей Wireshark является возможность следовать за потоком. Лучше всего представить поток как цепочку. На скриншоте ниже мы можем видеть множество захваченных данных, но меня больше всего интересовал IP-адрес Google. Я могу щелкнуть правой кнопкой мыши и следовать потоку TCP, чтобы увидеть всю цепочку.

Если захват трафика производился на другом компьютере, вы можете импортировать файл PCAP с помощью диалога Wireshark File -> Open. Для импортированных файлов доступны те же фильтры и инструменты, что и для захваченных сетевых данных.

5. tshark

Tshark — это очень полезное звено между tcpdump и Wireshark. Tcpdump превосходит их при сборе данных и может хирургически извлекать только те данные, которые вам нужны, однако его возможности анализа данных очень ограничены. Wireshark отлично справляется как с захватом, так и с анализом, но имеет тяжелый пользовательский интерфейс и не может использоваться на серверах без графического интерфейса. Попробуйте tshark, он работает в командной строке.

Tshark использует те же правила фильтрации, что и Wireshark, что не должно удивлять, так как они по сути являются одним и тем же продуктом. Приведенная ниже команда говорит tshark только о том, что необходимо захватить IP-адрес пункта назначения, а также некоторые другие интересующие нас поля из HTTP-части пакета.

Если вы хотите записать трафик в файл, используйте для этого параметр-W, а затем переключатель -r (чтение), чтобы прочитать его.

Прочитайте его здесь же, или перенесите в другое место для анализа.

6. Network Miner

Network Miner — это очень интересный инструмент, который скорее попадает в категорию инструментов сетевого криминалистического анализа, а не просто снифферов. Сфера криминалистики, как правило, занимается расследованиями и сбором доказательств, и Network Miner выполняет эту работу просто отлично. Также, как wireshark может следовать потоку TCP, чтобы восстановить всю цепочку передачи паков, Network Miner может следовать потоку для того, чтобы восстановить файлы, которые были переданы по сети.

Network Miner может быть стратегически размещен в сети, чтобы иметь возможность наблюдать и собирать трафик, который вас интересует, в режиме реального времени. Он не будет генерировать свой собственный трафик в сети, поэтому будет работать скрытно.

Network Miner также может работать в автономном режиме. Вы можете использовать tcpdump, чтобы собрать пакеты в интересующей вас точке сети, а затем импортировать файлы PCAP в Network Miner. Далее можно будет попробовать восстановить какие-либо файлы или сертификаты, найденные в записанном файле.

Network Miner сделан для Windows, но с помощью Mono он может быть запущен в любой ОС, которая поддерживает платформу Mono, например Linux и MacOS.

Есть бесплатная версия, начального уровня, но с приличным набором функций. Если вам нужны дополнительные возможности, такие как геолокация и пользовательские сценарии, потребуется приобрести профессиональную лицензию.

7. Fiddler (HTTP)

Fiddler технически не является утилитой для захвата сетевых пакетов, но он так невероятно полезен, что попал в этот список. В отличие от других перечисленных здесь инструментов, которые предназначены для захвата трафика в сети из любого источника, Fiddler скорее служит инструментом отладки. Он захватывает HTTP трафик. Хотя многие браузеры уже имеют эту возможность в своих средствах разработчика, Fiddler не ограничивается трафиком браузера. Fiddler может захватить любой HTTP-трафик на компьютере, в том числе и не из веб-приложений.

Многие настольные приложения используют HTTP для подключения к веб-службам, и помимо Fiddler, единственным способом захвата такого трафика для анализа является использование таких инструментов, как tcpdump или Wireshark. Однако они работают на уровне пакетов, поэтому для анализа необходимо реконструировать этии пакеты в потоки HTTP. Это может потребовать много работы для выполнения простых исследований и здесь на помощь приходит Fiddler. Fiddler поможет обнаружить куки, сертификаты, и прочие полезные данные, отправляемые приложениями.

Fiddler является бесплатным и, так же, как Network Miner, он может быть запущен в Mono практически на любой операционной системе.

8. Capsa

Анализатор сети Capsa имеет несколько редакций, каждая из которых имеет различные возможности. На первом уровне Capsa бесплатна, и она по существу позволяет просто захватывает пакеты и производить их базовый графический анализ. Панель мониторинга уникальна и может помочь неопытному системному администратору быстро определить проблемы в сети. Бесплатный уровень предназначен для людей, которые хотят узнать больше о пакетах, и наращивать свои навыки в анализе.

Бесплатная версия позволяет контролировать более 300 протоколов, подходит для мониторинга электронной почты, а также сохранения содержимого электронной почты, она также поддерживает триггеры, которые могут использоваться для включения оповещений при возникновении определенных ситуаций. В связи с этим Capsa в какой-то степени может использоваться в качестве средства поддержки.

Capsa доступна только для Windows 2008/Vista/7/8 и 10.

Заключение

Несложно понять, как с помощью описанных нами инструментов системный админимтратор может создать инфраструктуру мониторинга сети. Tcpdump или Windump могут быть установлены на всех серверах. Планировщик, такой как cron или планировщик Windows, в нужный момент запускает сеанса сбора пакетов и записывает собранные данные в файл pcap. Далее системный администратор может передать эти пакеты центральной машине и анализировать их с помощью wireshark. Если сеть слишком велика для этого, имеются инструменты корпоративного уровня, такие как SolarWinds, чтобы превратить все сетевые пакеты в управляемый набор данных.

Network traffic analysis and sniffing using Wireshark

Attackers are unendingly adjusting their strategies to avoid detection and, much of the time, leverage legitimate credentials with trusted tools already deployed in a network domain, making it hard for associations to recognize primary security dangers proactively.

Network traffic analysis is a troublesome and requesting task that is a crucial piece of a Network Administrator’s job. Network Administrators are continually endeavoring to keep up the smooth task of their systems. If a network were to be down notwithstanding for a short time, productivity inside an organization would decline, and on account of public service departments, the capacity to give essential services would be undermined. To be proactive instead of reactive, executives need to monitor traffic movement and performance all through the network and confirm that security breaches don’t happen inside the system.

While other network security devices, for example, firewalls and IDS/IPS tools center around checking vertical traffic that crosses the edge of a network domain, network traffic analysis solutions are centered around all interchanges — regardless of whether those are conventional TCP/IP style packets, “virtual system traffic” crossing a virtual switch, traffic from and inside cloud workloads, and API calls to SaaS applications or serverless processing instances. These arrangements likewise center on operational innovation and Internet of things (IoT) systems that are generally totally invisible to the security group. Progressed network traffic analysis devices are even compelling when system traffic is encoded.

This article will talk about various network traffic analysis methods, their functionalities, and a usage process in the real environment.

Wireshark

Wireshark is a network or protocol analyzer (otherwise called a network sniffer) accessible for free at the Wireshark website. It is utilized to dissect the structure of various system conventions and can show encapsulation. The analyzer works on UNIX, Linux, and Microsoft Windows operating frameworks, and uses the GTK+ gadget toolbox and pcap for packet capturing. Wireshark and other terminal-based free programming renditions like Tshark are released under the GNU General Public License.

МОНИТОРИНГ СЕТИ: определение, инструменты, трафик и свободная сеть

Недостаточно просто иметь функционирующую сеть. Необходимо тщательно следить за тем, чтобы не было нарушений. Мониторинг сети относится к процессу мониторинга сетевой активности для выявления и диагностики проблем, повышения производительности и обеспечения безопасности. Он включает в себя сбор данных о сетевом трафике и их анализ для выявления аномалий, тенденций и потенциальных проблем. Существует множество инструментов для мониторинга сети, начиная от простых утилит командной строки и заканчивая сложным программным обеспечением корпоративного уровня. В чем именно заключается мониторинг сети с точки зрения трафика и свободной сети? Давай выясним!

Понимание сетевого мониторинга трафика и свободной сети

Сетевой трафик относится к данным, которые передаются по сети, включая как внутренний трафик между устройствами в одной сети, так и внешний трафик, который проходит через сетевой шлюз для подключения к Интернету. Анализ сетевого трафика включает мониторинг и анализ этого трафика для выявления потенциальных угроз безопасности, оптимизации производительности и устранения неполадок.

Бесплатная сеть — это тип сети, которая открыта для публики и не требует проверки подлинности или контроля доступа. Примеры бесплатных сетей включают общедоступные точки доступа Wi-Fi и открытые сети, предоставляемые отелями, кафе и другими предприятиями. Бесплатные сети могут представлять угрозу безопасности, поскольку они часто не зашифрованы и могут быть легко перехвачены злоумышленниками. Важно проявлять осторожность при доступе к бесплатным сетям и использовать VPN или другие меры безопасности для защиты ваших данных.

Основные возможности мониторинга сети

Мониторинг сети является важным аспектом управления сетью, который включает в себя отслеживание и анализ производительности и поведения сетевых компонентов для обеспечения оптимальной работы сети. Ниже приведены некоторые из его ключевых особенностей;

№1. Анализ трафика

Инструменты должны уметь анализировать сетевой трафик для выявления источников перегрузки сети, угроз безопасности и аномалий. Это помогает администраторам оптимизировать производительность сети и повысить безопасность.

№2. Отчетность и аналитика

Инструмент, используемый для мониторинга, должен предоставлять подробные отчеты и возможности аналитики, которые позволяют администраторам анализировать производительность сети с течением времени, выявлять тенденции и планировать обновления и расширения сети.

№3. Мониторинг в реальном времени

Инструмент, используемый для мониторинга сети, должен обеспечивать возможность наблюдения в режиме реального времени, что позволяет администраторам выявлять и устранять проблемы по мере их возникновения, а не ждать, пока они вызовут серьезные проблемы.

№ 4. Оповещения и уведомления

Следующая функция в нашем списке — оповещения и уведомления. Инструмент должен предоставлять оповещения и уведомления о таких событиях, как сбои системы, перегрузка сети, нарушения безопасности и использование полосы пропускания. Это позволяет администраторам оперативно реагировать на проблемы и избегать простоев.

№5. Мониторинг производительности

Это включает в себя пристальное наблюдение за показателями производительности сетевых компонентов, такими как использование полосы пропускания, задержка, потеря пакетов и пропускная способность. Мониторинг производительности помогает администраторам выявлять, а также устранять проблемы с производительностью.

№ 6. Отображение топологии сети

Инструменты должны предоставлять возможности отображения топологии сети, которые позволяют администраторам визуализировать физическую и логическую компоновку своих сетей. Это помогает им выявлять узкие места в сети и планировать ее расширение.

№ 7. Интеграция с другими инструментами

Еще одна замечательная функция — интеграция с другими инструментами. Эти инструменты должны легко интегрироваться с другими инструментами управления сетью, такими как инструменты управления конфигурацией сети и инструментами управления производительностью сети. Это позволяет администраторам более эффективно и результативно управлять своими сетями.

Как мы можем контролировать сеть?

Существует несколько способов мониторинга сети, в том числе:

• Использование инструментов мониторинга сети
• Настройка оповещений
• Анализ сетевых журналов
• Использование сетевых снифферов
• Проведение регулярных аудитов сети
• Мониторинг активности пользователей

Мониторинг сети бесплатно

Существует несколько бесплатных инструментов мониторинга сети, доступных для компаний и частных лиц, которые хотят отслеживать свою сетевую активность, не тратя денег на дорогое программное обеспечение. Вот несколько примеров:

№ 1. Заббикс

Zabbix — это бесплатный инструмент мониторинга с открытым исходным кодом, который обеспечивает мониторинг сетевых устройств, серверов и приложений в режиме реального времени, а также расширенные функции аналитики и оповещения. Он поддерживает широкий спектр протоколов и может быть настроен для удовлетворения конкретных потребностей мониторинга.

№2. Кактусы

Cacti — это бесплатный инструмент для мониторинга и построения графиков сети с открытым исходным кодом, который позволяет пользователям отслеживать и визуализировать данные о сетевом трафике и производительности. Он включает поддержку нескольких источников данных и может быть настроен с помощью плагинов и шаблонов.

№ 3. Нагиос

Nagios — это мощный инструмент с открытым исходным кодом, который позволяет пользователям отслеживать сетевые устройства, серверы и приложения на предмет их доступности и производительности. Он предоставляет оповещения и уведомления в режиме реального времени и включает настраиваемые информационные панели и отчеты.

№4. Wireshark

Wireshark — это бесплатный анализатор сетевых протоколов с открытым исходным кодом, который позволяет пользователям захватывать и анализировать сетевой трафик в режиме реального времени. Он может захватывать пакеты с нескольких интерфейсов и поддерживает сотни протоколов, что делает его универсальным инструментом для пристального наблюдения за сетью.

№ 5. Обсервиум

Observium — это бесплатный инструмент мониторинга сети с открытым исходным кодом, который обеспечивает мониторинг сети и серверов в режиме реального времени, включая обнаружение устройств, сопоставление и оповещение. Он поддерживает широкий спектр устройств и протоколов и включает настраиваемые информационные панели и отчеты.

Инструменты мониторинга домашней сети

Существует несколько инструментов мониторинга домашней сети, которые могут помочь вам отслеживать сетевую активность и устранять неполадки. При выборе инструмента важно учитывать ваши конкретные потребности в мониторинге, такие как устройства и протоколы, которые необходимо отслеживать, требуемый уровень настройки и автоматизации, а также необходимые функции отчетности и аналитики. Вот несколько примеров:

№1. Сетевой монитор PRTG Бесплатно

PRTG Network Monitor Free — это комплексный инструмент для мониторинга сети, обеспечивающий в реальном времени представление о производительности и доступности сети, а также расширенные функции аналитики и отчетности. Бесплатная версия позволяет контролировать до 100 датчиков.

№ 2. Финг

Fing — это бесплатное приложение сетевого сканера, которое позволяет обнаруживать все устройства, подключенные к вашей сети, выявлять угрозы безопасности и устранять проблемы с сетью. Он включает в себя такие функции, как тестирование скорости сети, блокировка устройств и сканирование портов.

№3. NetWorx

NetWorx — это инструмент мониторинга сети и использования полосы пропускания, который позволяет отслеживать сетевую активность, измерять скорость сети и использование полосы пропускания, а также обнаруживать проблемы с сетью. Он включает в себя такие функции, как тестирование скорости сети, отслеживание использования данных и настраиваемые оповещения.

№ 4. Стеклянная проволока

GlassWire — это инструмент мониторинга и безопасности, который позволяет отслеживать сетевую активность в режиме реального времени, визуализировать использование сетевых данных и выявлять потенциальные угрозы безопасности. Он включает в себя такие функции, как мониторинг брандмауэра, тестирование скорости и мониторинг приложений.

№ 5. Безопасность домашней сети

Home Network Security — это бесплатный инструмент безопасности, который позволяет сканировать вашу домашнюю сеть на наличие потенциальных угроз безопасности, таких как слабые пароли, устаревшее программное обеспечение и открытые порты. Он включает в себя такие функции, как сканирование уязвимостей, оповещения системы безопасности и блокировка устройств.

Мониторинг сети трафика

Мониторинг сети трафика включает в себя мониторинг сетевого трафика в режиме реального времени для выявления потенциальных проблем, диагностики проблем и оптимизации производительности сети. При выборе инструмента важно учитывать ваши конкретные потребности в мониторинге, такие как устройства и протоколы, которые необходимо отслеживать, требуемый уровень настройки и автоматизации, а также необходимые функции отчетности и аналитики. Ниже приведены некоторые распространенные инструменты и методы, используемые для мониторинга трафика:

№1. Анализаторы NetFlow

Анализаторы NetFlow, такие как Plixer Scrutinizer, обеспечивают в реальном времени представление о шаблонах сетевого трафика и использовании полосы пропускания. Они могут помочь вам определить перегрузку полосы пропускания, отслеживать производительность приложений и оптимизировать производительность сети.

№ 2. SNMP-мониторинг

Простой протокол управления сетью (SNMP) позволяет отслеживать сетевые устройства и их производительность, например загрузку ЦП, использование памяти и состояние интерфейса. Инструменты мониторинга SNMP, такие как Nagios, могут помочь вам выявить потенциальные проблемы до того, как они станут проблемами.

№3. Анализаторы пакетов

Снифферы пакетов, такие как Wireshark, позволяют захватывать и анализировать сетевой трафик в режиме реального времени. Они могут помочь вам определить источник сетевых проблем, таких как низкая производительность или проблемы с подключением.

№ 4. Оповещения и уведомления

Инструменты оповещения и уведомления, такие как Zabbix, могут уведомлять вас в режиме реального времени о потенциальных проблемах с сетью, таких как высокий уровень трафика, сбои устройств или угрозы безопасности. Это может помочь вам выявлять проблемы и реагировать на них до того, как они повлияют на производительность сети.

№ 5. Панели анализа трафика

Панели мониторинга трафика, такие как SolarWinds NPM, обеспечивают в режиме реального времени представление о сетевом трафике и производительности, включая задержку, потерю пакетов и пропускную способность. Они могут помочь вам выявить проблемы и оптимизировать производительность сети.

Инструменты Мониторинг сети

На рынке доступно множество инструментов мониторинга сети, как бесплатных, так и коммерческих, которые могут помочь предприятиям и организациям контролировать свои сети на предмет производительности, безопасности и доступности. При выборе инструмента важно учитывать ваши конкретные потребности в мониторинге, такие как устройства и протоколы, которые необходимо отслеживать, требуемый уровень настройки и автоматизации, а также необходимые функции отчетности и аналитики.

Ниже приведены некоторые из наиболее популярных инструментов:

№1. Сетевой монитор PRTG

PRTG Network Monitor — это комплексный инструмент для мониторинга сети, который обеспечивает в режиме реального времени обзор производительности и доступности сети, а также расширенные функции аналитики и отчетности. Он включает в себя настраиваемые информационные панели и поддерживает широкий спектр устройств и протоколов.

№ 2. Нагиос

Nagios — это инструмент мониторинга сети с открытым исходным кодом, который позволяет пользователям отслеживать сетевые устройства, серверы и приложения на предмет их доступности и производительности. Он предоставляет оповещения и уведомления в режиме реального времени и включает настраиваемые информационные панели и отчеты.

№ 3. Заббикс

Zabbix — это бесплатный инструмент мониторинга с открытым исходным кодом, который обеспечивает мониторинг сетевых устройств, серверов и приложений в режиме реального времени, а также расширенные функции аналитики и оповещения. Он поддерживает широкий спектр протоколов и может быть настроен для удовлетворения конкретных потребностей мониторинга.

№ 4. Обсервиум

Observium — это бесплатный инструмент мониторинга сети с открытым исходным кодом, который обеспечивает мониторинг сети и серверов в режиме реального времени, включая обнаружение устройств, сопоставление и оповещение. Он поддерживает широкий спектр устройств и протоколов и включает настраиваемые информационные панели и отчеты.

№5. Монитор производительности сети SolarWinds

SolarWinds NPM — это мощный коммерческий инструмент мониторинга сети, который в режиме реального времени обеспечивает представление производительности и доступности сети, включая задержку, потерю пакетов и пропускную способность. Он включает расширенные функции аналитики и оповещения и поддерживает широкий спектр устройств и протоколов.

Какие существуют типы мониторинга сети?

Существует несколько типов мониторинга сети, и ниже приведены некоторые из них.

• Мониторинг производительности
• Мониторинг безопасности
• Мониторинг доступности
• Мониторинг конфигурации
• Мониторинг трафика

Почему важен мониторинг сети?

Мониторинг сети важен по нескольким причинам, и ниже приведены некоторые из них.

• Обнаружение и предотвращение проблем
• Повышение производительности сети
• Повышение безопасности сети
• Обеспечение соответствия
• Обеспечение видимости и понимания

Каковы 4 типа мониторинга?

Четыре основных типа мониторинга:

• Мониторинг в режиме реального времени
• Периодический мониторинг
• Мониторинг порога
• Прогностический мониторинг

Каковы три основных типа мониторинга?

Три основных типа мониторинга:

• Реактивный мониторинг
• Проактивный мониторинг
• Предиктивный мониторинг

Какой инструмент чаще всего используется для мониторинга сети?

Доступно множество инструментов для мониторинга сети, и выбор инструмента зависит от конкретных потребностей и целей контролируемой организации или системы. Некоторые из наиболее распространенных инструментов мониторинга сети:

Wireshark — подробное руководство по началу использования

Wireshark – это широко распространённый инструмент для захвата и анализа сетевого трафика, который активно используется как для образовательных целей, так и для устранения неполадок на компьютере или в сети. Wireshark работает практически со всеми протоколами модели OSI, обладает понятным для обычного пользователя интерфейсом и удобной системой фильтрации данных. Помимо всего этого, программа является кроссплатформенной и поддерживает следующие операционные системы: Windows, Linux, Mac OS X, Solaris, FreeBSD, NetBSD, OpenBSD.

В этом руководстве мы рассмотрим основной функционал программы Wireshark, соотнесём её с моделью OSI, научимся анализировать сетевой трафик и обезопасим своё нахождение в глобальной сети Интернет.

2. Как установить Wireshark?

Для начала нам необходимо скачать и установить программу Wireshark. Так как программа распространяется под лицензией GNU GPL v2 (т.е. может свободно распространяться), то несложно найти любую версию программы в свободном доступе. В руководстве мы будем использовать функционал более ранней версии программы (1.12.3). Это вызвано тем, что в этой версии сразу встроен протокол SSL, который используется в главе 6. Установка более ранней версии облегчает подготовку к работе с программой, поэтому мы выбрали её. Найти установщик можно на официальном сайте.

Дальнейшая установка программы проста – нажимаем «Next» — «Next» — «Next».

После успешной установки на Вашем рабочем столе появится ярлык Wireshark. Мы можем приступать к рассмотрению функционала!

3. Как пользоваться программой Wireshark?

Одна из главных возможностей программы – это захват трафика сети. Поэтому для начала необходимо научиться захватывать трафик Вашей сети.

Запустим программу! Нас сразу встречает стартовое меню, на котором можно увидеть доступные для захвата интерфейсы компьютера, руководства от разработчиков программы и множество других интересных вещей.

Из всего этого нам необходимо обратить внимание на эту область программы.

Здесь нужно выбрать тот сетевой интерфейс, через который Вы подключены к Интернету.

Сетевой интерфейс – это программное обеспечение, которое взаимодействует с сетевым драйвером и с уровнем IP. Он обеспечивает уровню IP доступ ко всем имеющимся сетевым адаптерам, трафик которых мы будет перехватывать. Чаще всего в программе Wireshark можно встретить сетевой интерфейс беспроводной (Wi-Fi) и кабельный (Ethernet).

В руководстве используется Wi-Fi, поэтому мы выполняем захват «Беспроводной сети», после чего нажимаем «Start».

Если Вы выбрали правильный интерфейс, то сможете увидеть следующее.

Рассмотрим подробнее это окно по пунктам, указанным на нём:

Панель фильтров, позволяющая найти необходимую информацию. Подробнее о неё рассказано в пятой главе руководства.

Панель наименований, разделяющая информацию из пункта 3 на номер, временя с начала захвата трафика, источник и адресат, а также используемый протокол, размер пакета и небольшую информацию о сетевом пакете.

Панель пакетов, обновляющаяся в реальном времени. Здесь информация о пакетах разделена по столбцам, определённым на панели наименований.

Панель уровней, описывающая уровни модели OSI выбранного сетевого пакета.

Панель метаданных, представляющая данные в шестнадцатеричном коде и символах.

Поздравляем! Вы успешно захватили трафик Вашей сети. Теперь можно увидеть пакеты данных, проходящих по сети, а также некоторую информацию о них: адреса отправителя и получателя, использующиеся протоколы и содержание пакета.

Теперь можно приступить к анализу сетевого трафика.

4. Как найти скрытую информацию?

Перед началом анализа трафика необходимо иметь базовые знания о протоколах сетевой модели OSI. Достаточно прочитать статью в Википедии.

Во многих программах для передачи информации используется протокол HTTP, который позволяет получать различные ресурсы из Интернета и обратно. Рассмотрим один из пакетов, переданных по протоколу HTTP.

В протоколе HTTP для передачи данных используются запросы GET (предназначен для получения данных) и POST (предназначен для отправки данных).

На рисунке в поле 1 мы видим IP-адрес адресата (в данном случае, это адрес моего компьютера). В поле 2 мы узнаём, что сервер антивируса послал запрос GET для того, чтобы запросить некоторые данные о моём компьютере. Это необходимо для корректного обновления программы. И в поле 3 мы видим то, как выглядит этот запрос в виде URL (Интернет-ссылки).

Небольшое домашнее задание!

Для закрепления материала попробуйте проанализировать любой пакет протокола HTTP на Вашем компьютере и попытайтесь объяснить, для чего он был отправлен.

5. Как среди всех пакетов найти необходимые?

При выполнении домашнего задания у Вас могла возникнуть проблема нахождения необходимого пакета. Для её решения в программе Wireshark есть решение – фильтрация! В специальном поле «Filter» можно ввести необходимые команды или воспользоваться подсказками.

Чаще всего используется фильтрация по IP-адресам, по номерам порта и по протоколам. Давайте посмотрим, как это происходит.

Фильтрация по IP-адресу позволяет нам просматривать все пакеты, приходящие от кого-либо или уходящие кому-либо. Например, отберём все пакеты, приходящие от IP-адреса 10.1.30.46 с помощью ввода в фильтре «ip.src == x.x.x.x».

Также можно отфильтровать трафик сети по IP-адресу получателя пакетов с помощью команды «ip.dst == x.x.x.x».

Кроме того, можно увидеть пакеты вне зависимости от направления трафика с помощью «ip.addr == x.x.x.x».

Для фильтрации по номеру порта используется «.port = x» после названия протокола. Например, для просмотра TCP-порта 80, используемого для незашифрованного трафика HTTP, используем команду «tpc.port == 80».

И, наконец, для фильтрации трафика по используемым пакетами протоколам необходимо просто ввести название протокола.

Обратите внимание, что фильтры можно комбинировать при помощи логических операторов И «and/&&», ИЛИ «or/||» и НЕ «not/!»

Снова домашнее задание!

Чтобы попрактиковаться в поиске необходимой информации, попробуйте посмотреть количество пакетов того или иного протокола и подумайте, почему их так много.

6. Как перехватить данные, передающиеся по защищённым каналам связи?

Разобравшись с основным функционалом Wireshark, мы можем приступить к более сложному и полезному.

Передача данных в глобальной сети Интернет является небезопасной, особенно если никак не защищать их. В современных браузерах используется протокол SSL/TLS, который шифрует информацию и позволяет безопасно передать её.

Иногда пользователю или системного администратору необходимо проверить трафик на наличие подозрительной активности или на корректную работу программы. Из-за этого возникает необходимость расшифровывать перехваченный защищённый трафик.

Для начала разберёмся в том, как работает протокол SSL/TLS. Перед обменом шифрованными данными используется процесс установки соединения, также называемый рукопожатием.

На этапе рукопожатия клиент и сервер проходят аутентификацию (проверку подлинности), обмениваются информацией о своих возможностях и лишь после этого начинают согласование общего сеансового ключа.

Для согласования по незащищённому каналу связи существует множество алгоритмов. Выбор происходит из списка алгоритмов, которые поддерживаются клиентом, на начальной стадии рукопожатия.

Наиболее распространённым алгоритмом обмена сеансовым ключом является RSA. Рассмотрим инфографику, описывающую механизм работы алгоритма.

В момент рукопожатия клиент создаёт случайное число, называемое предварительным секретом, и отправляет его, зашифровав открытым ключом сервера. Далее обе стороны конвертируют предварительный секрет в главный и создают сеансовый ключ, который и используется для дальнейшего обмена информацией.

Теперь попробуем перехватить защищённую информацию в программе Wireshark. Выполним подготовительные действия, а именно проверим используемый для согласования сеансовых ключей алгоритм и настроим браузер. Для начала находим рукопожатие с помощью фильтра, введя «ssl.handshake», и проверяем сообщение сервера.

В поле «Cipher Suite» мы можем увитель «TLS_RSA». Это значит, что мы можем приступать к дальнейшим действиям.

Настройка браузера в операционной система Windows довольно проста. Открываем свойства компьютера, затем «Дополнительные параметры системы» и выбираем «Переменные среды…».

Добавляем новую пользовательскую переменную «SSKEYLOGFILE» и указываем путь до файла, куда мы ходим его сохранять.

Рассмотрим ответное сообщение клиента: оно содержит зашифрованное значение предварительного секрета текущей сессии.

Далее переходим к настройке программы Wireshark. Комбинацией клавиш «Ctrl+Shift+P» открываем меню «Preferences», затем раскрываем ветку «Protocols» и выбираем «SSL».

Проверяем установку необходимых полей, показанных на картинке, и жмём кнопку «Edit». В появившемся окне нажимаем на кнопку «New» и заполняем следующие поля: IP Address (IP-адрес SSL-сервера), Port (порт SSL-сервера), Protocol (протокол, использующий шифрацию SSL. При неизвестном указывать data), Key File (путь к файлу с секретным ключом сервера, который мы указывали в Переменных средах) и Password (если секретный ключ защищён паролем).

Теперь можно подтвердить настройки и приступить к просмотру расшифрованного трафика. Не забывайте использовать фильтр!

Закрепление пройденного материала!

Попробуйте самостоятельно подключиться к серверу какого-либо сайта и посмотреть, какими пакетами обменивается Вам компьютер с ним.

7. Какие возможности даёт захват защищённого трафика?

Захват защищённого трафика даёт множество возможностей. Одной из них является перехват HTTPS-запросов пользователей, подключённых к сети. Давайте рассмотрим, как это сделать и какой результат мы получим.

Для начала повторяем действия из предыдущего пункта, но в качестве IP-адреса SSL-сервера указываем адрес необходимого сайта. Для передачи паролей зачастую используется протокол передачи данных HTTP. О используемых в нём методах мы уже говорили в главе 4. Чтобы использовать фильтрацию HTTP-трафика по методам, можно использовать команду «http.request.method == “название метода”». Так как мы хотим перехватить данные, отправленные клиентом на сервер, то будем рассматривать POST-запросы. Для этого применим фильтр «http.request.method == “POST”».

Проделав эти несложные действия, мы получили важные данные другого пользователя. Поэтому следует помнить, что общедоступные сети являются небезопасными и представляют угрозу даже для защищённого трафика.

Небольшая практика!

Попробуйте захватить защищённый трафик сервера электронной почты и авторизуйтесь, используя логин и пароль. Найдите POST-запрос и посмотрите, что там находится.

Скорее всего, важные данные будут зашифрованы. Таким способом почтовый сервис защищает Ваши данные, но риск взлома всё равно остаётся.

8. Как можно соотнести модель OSI и программу Wireshark?

Рассмотрев весь функционал программы Wireshark, мы можем соотнести её с сетевой моделью OSI. Но для начала следует вспомнить, что из себя представляет эта модель.

OSI – это набор сетевых протоколов, посредством которого различные сетевые устройства взаимодействуют друг с другом. Модель определяет семь уровней взаимодействия систем. Рассмотрим таблицу уровней модели OSI.