Програма за анализ на преглед на локална мрежа. Мрежови анализатори

Министерство на образованието и науката на Руската федерация

SEI "Санкт Петербургски държавен политехнически университет"

Чебоксарски институт по икономика и управление (клон)

Катедра Висша математика и информационни технологии

ЕСЕ

по курса "Защита на информацията".

по темата: "Мрежови анализатори"

Изпълнено

Студент 4 курс с/о 080502-51М

специалност Мениджмънт

в предприятието по машиностроене"

Павлов К.В.

проверено

Учител

Чебоксари 2011 г


ВЪВЕДЕНИЕ

Ethernet мрежите придобиха огромна популярност поради добрата си честотна лента, лесната инсталация и приемлива ценамонтаж на мрежово оборудване.
Ethernet технологията обаче не е без значителни недостатъци. Основната е несигурността на предаваната информация. Компютрите, свързани към Ethernet мрежа, могат да прихващат информация, адресирана до техните съседи. Причината за това е така нареченият механизъм за обмен на разпръснати съобщения, възприет в Ethernet мрежите.

Обединяването на компютри в мрежа нарушава старите аксиоми за защита на информацията. Например за статичната сигурност. В миналото уязвимостите на системата можеха да бъдат открити и коригирани от системния администратор чрез инсталиране на подходяща актуализация, която можеше да провери функционирането на инсталирания „пач“ само след няколко седмици или месеци. Тази „кръпка“ обаче може да бъде премахната от потребителя случайно или по време на работа, или от друг администратор при инсталиране на нови компоненти. Всичко се променя и сега информационните технологии се променят толкова бързо, че статичните механизми за сигурност вече не осигуряват пълна сигурност на системата.

Доскоро защитните стени бяха основният механизъм за защита на корпоративните мрежи. Въпреки това защитните стени, предназначени да защитават информационните ресурси на организацията, често сами по себе си са уязвими. Това е така, защото системните администратори създават толкова много опростявания в системата за достъп, че в крайна сметка каменна стеназащитната система е пълна с дупки като решето. Защитата със защитна стена (FW) може да не е подходяща за корпоративни мрежи с голям трафик, тъй като използването на много FW може значително да повлияе на производителността на мрежата. В някои случаи е по-добре да "оставите вратите широко отворени" и да се съсредоточите върху методите за откриване и реагиране на мрежови прониквания.

За непрекъснато (24 часа в денонощието, 7 дни в седмицата, 365 дни в годината) наблюдение на корпоративна мрежа за откриване на атаки са проектирани "активни" системи за защита - системи за откриване на проникване. Тези системи откриват атаки срещу корпоративни мрежови възли и реагират на тях по начина, определен от администратора по сигурността. Например, те прекъсват връзката с атакуващия хост, информират администратора или въвеждат информация за атаката в регистрационните файлове.


1. МРЕЖОВИ АНАЛИЗАТОРИ

1.1 IP - ТРЕВОГА 1 ИЛИ ПЪРВИ МРЕЖОВ МОНИТОР

Първо, нека кажем няколко думи за местното излъчване. В Ethernet мрежа компютрите, свързани към нея, обикновено споделят един и същ кабел, който служи като среда за изпращане на съобщения между тях.

Всеки, който желае да предаде каквото и да е съобщение по общ канал, трябва първо да се увери, че този канал е включен този моментсвободно време. След като започне предаването, компютърът слуша носещата честота на сигнала, определяйки дали сигналът е бил изкривен в резултат на сблъсъци с други компютри, които предават своите данни по същото време. Ако има сблъсък, предаването се прекъсва и компютърът "мълчи" за определен период от време, за да се опита да повтори предаването малко по-късно. Ако компютърът, свързан към Ethernet мрежа, не предава нищо сам, той въпреки това продължава да "слуша" за всички съобщения, предавани по мрежата от съседни компютри. След като забележи мрежовия си адрес в заглавката на входящата част от данните, компютърът копира тази част в своята локална памет.

Има два основни начина за свързване на компютри към Ethernet мрежа. В първия случай компютрите са свързани с помощта на коаксиален кабел. Този кабел се полага от компютър на компютър, свързан към мрежови адаптери с Т-образен конектор и затворен в краищата с BNC терминатори. Такава топология на езика на професионалистите се нарича 10Base2 Ethernet мрежа. Но може да се нарече и мрежа, в която „всеки чува всеки“. Всеки компютър, свързан към мрежа, може да прихваща данни, изпратени през тази мрежа от друг компютър. Във втория случай всеки компютър е свързан чрез кабел с усукана двойка към отделен порт на централното комутационно устройство - хъб или суич. В тези мрежи, наречени lOBaseT Ethernet мрежи, компютрите са разделени на групи, наречени сблъсъчни домейни. Домейните на колизия се дефинират от портове на хъб или комутатор, свързани към обща шина. В резултат на това не възникват сблъсъци между всички компютри в мрежата. и поотделно - между тези от тях, които са включени в един и същи колизионен домейн, което увеличава пропускателната способност на мрежата като цяло.

AT последно времев големите мрежи започнаха да се появяват нови видове комутатори, които не използват излъчване и не затварят групи от портове един към друг. Вместо това всички данни, предавани по мрежата, се буферират в паметта и се изпращат възможно най-скоро. Въпреки това все още има доста такива мрежи - не повече от 5% от общия брой мрежи от тип Ethernet.

По този начин алгоритъмът за пренос на данни, възприет в по-голямата част от Ethernet мрежите, изисква всеки компютър, свързан към мрежата, непрекъснато да "слуша" целия мрежов трафик без изключение. Предложените от някои хора алгоритми за достъп, при използване на които компютрите ще бъдат изключени от мрежата при предаване на „чужди“ съобщения, останаха нереализирани поради тяхната прекомерна сложност, висока цена на внедряване и ниска ефективност.

Какво е IPAlert-1 и откъде идва? Някога практическите и теоретични изследвания на авторите в посока, свързана с изучаването на мрежовата сигурност, доведоха до следната идея: в Интернет, както и в други мрежи (например Novell NetWare, Windows NT), имаше сериозна липса на софтуерна защита, която прилага комплекс контрол (мониторинг) на ниво връзка на целия поток от информация, предавана по мрежата, с цел откриване на всички видове дистанционни въздействия, описани в литературата. Проучване на пазара на софтуер за интернет защитна стена разкри факта, че не съществуват такива всеобхватни инструменти за откриване на отдалечено въздействие, а тези, които имаха, бяха предназначени да откриват атаки от един специфичен тип (например ICMP Redirect или ARP). Поради това започна разработването на инструмент за контрол на IP мрежов сегмент, предназначен за използване в Интернет и получил следното име: монитор за мрежова сигурност IP Alert-1.

Основната задача на този инструмент е програмно анализиране мрежов трафикв предавателния канал, се състои не в отразяване на отдалечени атаки, извършени по комуникационния канал, а в тяхното откриване, регистриране (поддържане на одитен файл с регистриране във форма, удобна за последващ визуален анализ на всички събития, свързани с отдалечени атаки в този мрежов сегмент ) и незабавно сигнализиране на сигурността на администратора в случай на откриване на отдалечена атака. Основната задача на монитора за мрежова сигурност IP Alert-1 е да контролира сигурността на съответния сегмент от Интернет.

IP Alert-1 Мониторът за мрежова сигурност има следното функционалности позволява, чрез мрежов анализ, да открие следните отдалечени атаки върху контролирания от него мрежов сегмент:

1. Контрол върху съответствието на IP и Ethernet адреси в пакети, предавани от хостове, разположени в контролирания мрежов сегмент.

На хоста IP Alert-1 администраторът по сигурността създава статична ARP таблица, където въвежда информация за съответните IP и Ethernet адреси на хостове, разположени в контролирания мрежов сегмент.

Тази функция ви позволява да откриете неоторизирани промени в IP адреса или неговата подмяна (т.нар. IP Spoofing, подправяне, IP spoofing (жарг.)).

2. Контрол върху правилното използване на механизма за отдалечено ARP търсене. Тази функция позволява, използвайки статична ARP таблица, да се определи отдалечена атака на "Rogue ARP сървър".

3. Контрол върху правилното използване на механизма за дистанционно DNS търсене. Тази функция ви позволява да идентифицирате всички възможни типове отдалечени атаки срещу DNS услугата

4. Контрол върху коректността на опитите за отдалечено свързване чрез анализ на предадените заявки. Тази функция ви позволява да откриете, първо, опит за изследване на закона за промяна на първоначалната стойност на идентификатора на TCP връзката - ISN, второ, отдалечена атака "отказ на услуга", извършена чрез препълване на опашката за заявка за връзка, и, трето , насочи "буря" от фалшиви заявки за свързване (както TCP, така и UDP), водещи също до отказ на услуга.

По този начин мониторът за мрежова сигурност IP Alert-1 ви позволява да откривате, уведомявате и регистрирате повечето видове отдалечени атаки. В същото време тази програма по никакъв начин не е конкурент на защитните стени. IP Alert-1, използвайки функциите на отдалечени атаки в Интернет, служи като необходимо допълнение - между другото, несравнимо по-евтино - към системите за защитна стена. Без монитор за сигурност, повечето опити за извършване на отдалечени атаки към вашия мрежов сегмент ще останат скрити от очите ви. Нито една от добре познатите защитни стени не се занимава с такъв интелектуален анализ на съобщенията, преминаващи през мрежата, за да открие различни видове отдалечени атаки, ограничени в най-добрия случай до регистриране, което записва информация за опити за отгатване на парола, сканиране на портове и мрежово сканиране с помощта на добре познати програми за дистанционно търсене. Ето защо, ако администраторът на IP мрежата не иска да остане безразличен и да се задоволява с ролята на обикновен статист при отдалечени атаки в мрежата му, тогава е препоръчително да използва монитора за мрежова сигурност IP Alert-1.

Главна информация

Инструментите, наречени мрежови анализатори, са кръстени на Sniffer Network Analyzer. Този продукт беше пуснат през 1988 г. от Network General (сега Network Associates) и беше едно от първите устройства, които позволиха на мениджърите буквално да знаят какво се случва в голяма мрежа от удобството на бюрото си. Първите парсери четат заглавките на съобщенията в пакети с данни, изпратени по мрежата, като по този начин предоставят на администраторите информация за адресите на подателя и получателя, размерите на файловете и друга информация от ниско ниво. И всичко това е в допълнение към проверката на правилността на предаването на пакети. Използвайки графики и текстови описания, анализаторите помогнаха на мрежовите администратори да диагностицират сървъри, мрежови връзки, хъбове и комутатори и приложения. Грубо казано, мрежов снифър слуша или "подушва" пакети в конкретен физически мрежов сегмент. Това ви позволява да анализирате трафика за някои модели, да коригирате определени проблеми и да идентифицирате подозрителна дейност. Системата за откриване на проникване в мрежа не е нищо повече от усъвършенстван анализатор, който съпоставя всеки пакет в мрежата с база данни с известни модели на злонамерен трафик, подобно на антивирусната програма с файловете на компютъра. За разлика от инструментите, описани по-рано, анализаторите работят на по-ниско ниво.

Ако се обърнем към референтния модел OSI, тогава анализаторите проверяват двата по-ниски слоя - физическия и каналния.

Номер на слой на OSI модел

Име на ниво

Примери за протоколи

Ниво 7

Приложен слой

DNS, FTP, HTTP, SMTP, SNMP, Telnet

Ниво 6

Презентационен слой

Ниво 5

ниво на сесията

Ниво 4

транспортен слой

NetBIOS, TCP, UDP

Ниво 3

мрежов слой

ARP, IP, IPX, OSPF

Ниво 2

Връзков слой

Arcnet, Ethernet, Token Ring

Ниво 1

Физически слой

Коаксиален кабел, оптично влакно, усукана двойка

Физическият слой е действителното физическо окабеляване или друга среда, използвана за създаване на мрежата. На слоя на връзката се извършва първоначалното кодиране на данни за предаване през специфична среда. Мрежовите стандарти на ниво връзка включват 802.11 безжична връзка, Arcnet, коаксиален кабел, Ethernet, Token Ring и др. Анализаторите обикновено зависят от типа мрежа, в която работят. Например, за да анализирате трафика в Ethernet мрежа, трябва да имате Ethernet анализатор.

Налични са търговски анализатори от производители като Fluke, Network General и други. Това обикновено са специални хардуерни устройства, които могат да струват десетки хиляди долари. Въпреки че този хардуер е способен на по-задълбочен анализ, е възможно да се изгради евтин мрежов анализатор с помощта на софтуер с отворен код. програмен коди евтин компютър на платформата на Intel.

Видове анализатори

Сега се произвеждат много анализатори, които са разделени на два вида. Първият включва самостоятелни продукти, които се инсталират на мобилен компютър. Консултантът може да го вземе със себе си при посещение в офиса на клиента и да го свърже към мрежата за събиране на диагностични данни.

Първоначално преносимите устройства, предназначени да тестват работата на мрежите, са предназначени единствено за проверка на техническите параметри на кабела. С течение на времето обаче производителите са надарили оборудването си с редица функции за анализатор на протоколи. Съвременните мрежови анализатори са в състояние да открият най-широк кръг от възможни проблеми - от физическа повреда на кабела до претоварени мрежови ресурси.

Вторият тип анализатор е част от по-широка категория хардуер и софтуер за наблюдение на мрежата, който позволява на организациите да контролират своите локални и глобални мрежови услуги, включително уеб. Тези програми дават на администраторите цялостен поглед върху здравето на мрежата. Например, с помощта на такива продукти можете да определите кои приложения се изпълняват в момента, кои потребители са регистрирани в мрежата и кой от тях генерира по-голямата част от трафика.

В допълнение към идентифицирането на мрежови характеристики на ниско ниво, като източника на пакетите и тяхната дестинация, съвременните анализатори декодират информацията, получена на всичките седем слоя на мрежовия стек за свързване на отворена система (OSI) и често издават препоръки за разрешаване на проблеми. Ако анализът на ниво приложение не позволява да се даде адекватна препоръка, анализаторите извършват изследване на по-ниско, мрежово ниво.

Съвременните анализатори обикновено поддържат стандарти за дистанционно наблюдение (Rmon и Rmon 2), които осигуряват автоматично извличане на ключови данни за производителността, като информация за натоварването на наличните ресурси. Анализаторите, които поддържат Rmon, могат редовно да проверяват състоянието на мрежовите компоненти и да сравняват получените данни с натрупаните преди това. Ако е необходимо, те ще издадат предупреждение, че нивата на трафик или производителността надвишават ограниченията, определени от мрежовите администратори.

NetScout Systems представи nGenius Application Service Level Manager, система, предназначена да следи времето за реакция в определени секции на канала за достъп до уеб сайта и да определя текущата производителност на сървърите. Това приложение може да анализира производителността на публичната мрежа, за да пресъздаде цялостната картина на компютъра на потребителя. Датската фирма NetTest (по-рано GN Nettest) започна да предлага Fastnet, система за наблюдение на мрежата, която помага на компаниите за електронен бизнес да планират капацитета на връзката и да отстраняват мрежови проблеми.

Анализ на конвергентни (мултисервизни) мрежи

Разпространението на мултисервизни мрежи (конвергентни мрежи) може да окаже решаващо влияние върху развитието на телекомуникациите и системите за предаване на данни в бъдеще. Идеята за обединяване в единна мрежова инфраструктура, базирана на пакетен протокол, възможността за предаване както на данни, така и на гласови потоци и видео информация, се оказа много примамлива за доставчиците, специализирани в предоставянето на телекомуникационни услуги, тъй като в един миг той е в състояние значително да разшири обхвата на предоставяните от тях услуги.

Тъй като корпорациите започват да осъзнават ефективността и ценовите предимства на базираните на IP конвергентни мрежи, доставчиците на мрежови инструменти активно разработват подходящи анализатори. През първата половина на годината много фирми представиха компоненти за своите мрежови административни продукти, предназначени за глас през IP мрежи.

„Конвергенцията създаде нови предизвикателства за мрежовите администратори, с които трябва да се справят“, каза Глен Гросман, директор продуктов мениджмънт в NetScout Systems. -- Гласовият трафик е много чувствителен към закъснения във времето. Анализаторите могат да разглеждат всеки бит и байт на кабела, да интерпретират заглавките и автоматично да приоритизират данните.

Използването на технологии за конвергенция на глас и данни може да предизвика нова вълна от интерес към анализаторите, тъй като поддръжката за приоритизиране на трафика на ниво IP пакет става съществена за работата на гласови и видео услуги. Например Sniffer Technologies пусна Sniffer Voice, инструментариум, предназначен за многосервизни мрежови администратори. Този продукт не само предоставя традиционни диагностични услуги за управление на имейл, интернет и трафик на бази данни, но също така идентифицира мрежови проблеми и предоставя препоръки за коригиране, за да се гарантира, че гласовият трафик се предава правилно през IP мрежи.

Недостатъкът на използването на анализатори

Трябва да се помни, че има две страни на монетата, свързана с анализаторите. Те помагат за поддържането на функционирането на мрежата, но могат да бъдат използвани и от хакери за търсене на потребителски имена и пароли в пакети с данни. За да се предотврати прихващане на пароли от анализаторите, заглавките на пакетите са криптирани (например чрез стандарта Secure Sockets Layer).

В крайна сметка няма алтернатива на мрежовия анализатор в онези ситуации, когато е необходимо да се разбере какво се случва в глобална или корпоративна мрежа. Добрият анализатор ви позволява да разберете състоянието на мрежовия сегмент и да определите количеството трафик, както и да определите как този обем варира през деня, кои потребители създават най-голямо натоварване, в кои ситуации има проблеми с разпределението на трафика или липса на честотната лента. Благодарение на използването на анализатора е възможно да се получат и анализират всички фрагменти от данни в мрежовия сегмент за даден период.

Мрежовите анализатори обаче са скъпи. Ако планирате да го закупите, тогава първо ясно формулирайте какво очаквате от него.

Характеристики на използването на мрежови анализатори

За да използвате мрежовите анализатори етично и продуктивно, трябва да се следват следните указания.

Винаги е необходимо разрешение

Мрежовият анализ, подобно на много други функции за сигурност, има потенциал за злоупотреба. прихващане на всичко данни, предавани по мрежата, можете да шпионирате пароли за различни системи, съдържанието на имейл съобщения и други критични данни, както вътрешни, така и външни, тъй като повечето системи не криптират своя трафик в локална мрежа. Ако такива данни попаднат в неподходящи ръце, това очевидно може да доведе до сериозни пробиви в сигурността. Освен това може да се превърне в нарушение на поверителността на служителите. Преди всичко трябва да получите писмено разрешение от ръководството, за предпочитане по-високо, преди да започнете такава дейност. Трябва също така да се обмисли какво да се прави с данните, след като бъдат получени. В допълнение към паролите, това може да са други чувствителни данни. Като общо правило, протоколите за мрежов анализ трябва да бъдат изчистени от системата, освен ако не са необходими за наказателно или гражданско преследване. Има документирани прецеденти, при които добронамерени системни администратори са били уволнявани за неразрешено прихващане на данни.

Необходимо е да се разбере топологията на мрежата

Преди да настроите анализатора, трябва да разберете напълно физическата и логическа организация на тази мрежа. Като извършите анализ на грешното място в мрежата, можете да получите грешни резултати или просто да не намерите това, от което се нуждаете. Необходимо е да се провери липсата на маршрутизатори между анализиращата работна станция и мястото на наблюдение. Рутерите ще препращат трафик към мрежов сегмент само ако има достъп до хост, разположен там. По същия начин, в комутирана мрежа, ще трябва да конфигурирате порта, към който сте свързани, като порт за "монитор" или "огледало". Различните производители използват различна терминология, но по същество вие искате портът да действа като хъб, а не комутатор, защото трябва да вижда целия трафик, преминаващ през комутатора, а не само този, насочен към работната станция. Без тази конфигурация портът на монитора ще вижда само това, което е насочено към порта, към който е свързан, и мрежовия трафик.

Трябва да се използват строги критерии за търсене

В зависимост от това какво искате да намерите, използването на отворен филтър (т.е. показване на всичко) ще направи изходните данни обемни и трудни за анализ. По-добре е да използвате специални критерии за търсене, за да съкратите изхода, който анализаторът произвежда. Дори и да не знаете точно какво да търсите, пак можете да напишете филтър, за да ограничите резултатите от търсенето. Ако искате да намерите вътрешна машина, правилно е да зададете критерии за търсене само на изходни адреси в дадена мрежа. Ако искате да наблюдавате конкретен тип трафик, да речем FTP трафик, можете да ограничите резултатите само до това, което идва на порта, използван от приложението. По този начин могат да се постигнат значително по-добри резултати от анализа.

Задаване на референтното състояние на мрежата

Използване на мрежов анализатор по време на нормална работа , и чрез записване на крайните резултати се достига до референтно състояние, което може да се сравни с резултатите, получени при опитите за изолиране на проблема. Анализаторът Ethereal, разгледан по-долу, създава няколко удобни отчета за това. Някои данни също ще бъдат получени за проследяване на използването на мрежата във времето. Използвайки тези данни, можете да определите кога мрежата е наситена и какви са основните причини за това - претоварен сървър, увеличаване на броя на потребителите, промяна на типа трафик и др. Ако има отправна точка, по-лесно се разбира кой и за какво е виновен.

полезност commviewслужи за събиране и анализ на локален мрежов и интернет трафик. Програмата улавя и декодира до най-ниско ниво данните, преминаващи през мрежата, включително списъка с мрежови връзки и IP пакети на повече от 70 от най-често срещаните мрежови протоколи. commviewподдържа IP статистика, уловените пакети могат да бъдат записани във файл за допълнителен анализ. Използвайки гъвкава филтърна система в програмата, можете да изхвърлите ненужните за улавяне на пакетиили прихванете само необходимите. Включеният в програмата VoIP модул позволява задълбочен анализ, запис и възпроизвеждане на гласови съобщения по стандартите SIP и H.323. CommView ви позволява да видите подробна картина на информационния трафик, преминаващ през мрежова карта или отделен мрежов сегмент.

Интернет и LAN скенер

Като мрежов скенер CommView е полезен за системни администратори, хора, работещи в областта на мрежовата сигурност, програмисти, разработващи софтуеризползване на мрежови връзки. Помощната програма поддържа руски език, има приятелски интерфейс, включва подробна и разбираема помощна система за всички функции и функции, внедрени в програмата.

Основни характеристики на CommView

  • Прихващане на интернет или локален трафик, преминаващ през мрежов адаптер или комутируем контролер
  • Подробна статистика за IP връзката (адреси, портове, сесии, име на хост, процеси и т.н.)
  • Пресъздаване на TCP сесия
  • Настройка на известия за събития
  • Диаграми на IP протоколи и протоколи от горно ниво
  • Преглед на заснети и декодирани пакети в реално време
  • Търсете в съдържанието на заснетите пакети по низове или HEX данни
  • Запазване на пакети в архиви
  • Зареждане и преглед на предварително запазени пакети, когато връзката е прекъсната
  • Експортиране и импортиране на архиви с пакети към (от) формати NI Observer или NAI Sniffer
  • Получаване на информация за IP адреса
  • Поддръжка на протокол и декодиране: ARP, BCAST, RTSP, SAP, SER, SIP, SMB, SMTP, SNA, SNMP, SNTP, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG, DNS, EIGRP, FTP, G.723, GRE, H. 225, H.261, H.263, H.323, HTTP, HTTPS, 802.1Q, 802.1X, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX, HSRP, LDAP, MS SQL, NCP , NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, LDAP, MS SQL, NCP, NDS, NetBIOS, RDP, RIP, RIPX, RMCP, RPC, RSVP, RTP, RTCP, SOCKS, SPX, SSH, TCP, TELNET, TFTP, TIME, TLS, UDP, VTP, WDOG, YMSG.

Наскоро, когато обсъждах в един чат въпроса: как отWiresharkфайл за изтегляне, изскочи помощната програма NetworkMiner. След разговор с колеги и гугъл в интернет заключих, че не много хора знаят за тази помощна програма. Тъй като помощната програма значително опростява живота на изследовател / пентестер, коригирам този недостатък и ще разкажа на общността какво е NetworkMiner.

мрежов миньоре помощна програма за прихващане и анализиране на мрежов трафик между хостове в локална мрежа, написана за Windows (но работи и на Linux, Mac OS X, FreeBSD).

NetworkMiner може да се използва като пасивен снифър на мрежови пакети, чийто анализ ще разкрие пръстов отпечатък операционна система, сесии, хостове и отворени портове. NetworkMiner също ви позволява да анализирате PCAP файлове офлайн и да възстановявате прехвърлени файлове и сертификати за сигурност.

Официална страница на помощната програма: http://www.netresec.com/?page=Networkminer

И така, нека започнем прегледа.

Помощната програма се предлага в две версии: безплатна и професионална (цена 700 USD).

Следните опции са налични в безплатното издание:

  • прихващане на трафик;
  • анализиране на PCAP файл;
  • получаване на PCAP файл през IP;
  • Определение на ОС.

Професионалното издание добавя следните опции:

  • анализиране на PcapNG файл,
  • Дефиниция на порт протокол,
  • Експортиране на данни в CSV / Excel,
  • Проверка на DNS имена на сайта http://www.alexa.com/topsites,
  • IP локализация,
  • Поддръжка на командния ред.

В тази статия ще разгледаме опцията за анализиране на PCAP файл, получен от Wireshark.

Но първо, нека инсталираме NetworkMiner на Kali Linux.

  1. По подразбиране Mono пакетите вече са инсталирани в KaliLinux, но ако не са инсталирани, тогава извършваме следното действие:

sudo apt-get инсталирайте libmono-winforms2.0-cil

  1. След това изтеглете и инсталирайте NetworkMiner

wget sf.net/projects/networkminer/files/latest -O /tmp/nm.zip
sudo разархивирайте /tmp/nm.zip -d /opt/
cd /opt/NetworkMiner*
sudo chmod +x NetworkMiner.exe
sudo chmod -R go+w AsscodebledFiles/
sudo chmod -R go+w Captures/

  1. За да стартирате NetworkMiner, използвайте следната команда:

моно NetworkMiner.exe

За информация. Пет минути прихващане на трафик в моята тестова мрежа събра повече от 30 000 различни пакета.

Както разбирате, анализирането на такъв трафик е доста трудоемко и отнема много време. Wireshark има вградени филтри и е доста гъвкав, но какво да правите, когато трябва бързо да анализирате трафика, без да изучавате цялото разнообразие на Wireshark?

Нека се опитаме да видим каква информация ще ни предостави NetworkMiner.

  1. Отворете получения PCAP в NetworkMiner. Отне по-малко от минута, за да се анализира трафик от над 30 000 пакета.

  1. Разделът Хостове съдържа списък на всички хостове, участващи в генерирането на трафик, с подробна информация за всеки хост:

  1. В раздела Frames трафикът се представя под формата на пакети с информация за всеки слой на OSI модела (връзка, мрежа и транспорт).

  1. Следващият раздел Идентификационни данни ще покаже прихванатите опити за оторизация в обикновен текст. Ето как, след като сте прекарали по-малко от минута, можете незабавно да получите потребителско име и парола за оторизация от голям трафик. Направих това на примера на моя рутер.

  1. И друг раздел, който улеснява получаването на данни от трафика, е Файлове.

В нашия пример попаднах на pdf файл, който можете веднага да отворите и прегледате.

Но най-вече бях изненадан, когато намерих txt файл в трафика, както се оказа, от моя рутер DIR-620. Така че този рутер, когато е авторизиран на него, предава всичките си настройки и пароли в текстов вид, включително от WPA2.

В резултат на това помощната програма се оказа доста интересна и полезна.

На вас, скъпи читателю, давам тази статия за четене и отидох да купя нов рутер.

Всеки от екипа на ][ има свои собствени предпочитания по отношение на софтуер и помощни програми за
тест за писалка. След консултация разбрахме, че изборът варира толкова много, че можете
направете истински джентълменски набор от доказани програми. На това и
реши. За да не правим комбинирана смесица, разделихме целия списък на теми - и в
този път ще се докоснем до помощните програми за подслушване и манипулиране на пакети. Използвайте върху
здраве.

Wireshark

netcat

Ако говорим за прихващане на данни, тогава мрежов миньорсвали го от ефир
(или от предварително подготвен дъмп във формат PCAP) файлове, сертификати,
изображения и други медии, както и пароли и друга информация за оторизация.
Полезна функция е търсенето на тези секции с данни, които съдържат ключови думи
(напр. потребителско влизане).

Скейпи

уебсайт:
www.secdev.org/projects/scapy

Задължителен за всеки хакер, който е най-мощният инструмент за
интерактивна манипулация на пакети. Получаване и декодиране на повечето пакети
различни протоколи, отговор на заявка, инжектиране на модифициран и
ръчно изработен пакет - всичко е лесно! С него можете да изпълнявате цяло
редица класически задачи като сканиране, проследяване, атаки и откриване
мрежова инфраструктура. В една бутилка получаваме заместител на толкова популярни помощни програми,
като: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f и др. На това
същото време Скейпиви позволява да изпълнявате всякакви, дори и най-специфичните
задача, която никога няма да може да изпълни, вече създадена от друг разработчик
означава. Вместо да напишете цяла планина от редове на C, така че, например,
генерирайте грешен пакет и размийте някакъв демон, това е достатъчно
хвърлете няколко реда код, използвайки Скейпи! Програмата няма
графичен интерфейс, а интерактивността се постига чрез интерпретатора
Python. Свикнете с него малко и няма да ви струва нищо да създадете неправилно
пакети, инжектирайте необходимите 802.11 рамки, комбинирайте различни подходи в атаки
(да речем ARP кеш отравяне и VLAN hopping) и т.н. Разработчиците настояват
на факта, че възможностите на Scapy се използват в други проекти. Свързвайки я
като модул е ​​лесно да се създаде помощна програма за различни видове местни изследвания,
търсене на уязвимости, Wi-Fi инжектиране, автоматично изпълнение на конкретни
задачи и др.

пакет

уебсайт:
Платформа: *nix, има порт за Windows

Интересна разработка, която позволява, от една страна, да генерира всякакви
ethernet пакет и, от друга страна, изпращайте последователности от пакети до
пропускателни проверки. За разлика от други подобни инструменти, пакет
То има GUI, което ви позволява да създавате пакети по най-лесния начин
форма. Освен това. Специално разработено създаването и изпращането
последователности от пакети. Можете да зададете закъснения между изпращането,
изпращайте пакети с максимална скорост, за да тествате пропускателната способност
част от мрежата (да, това е мястото, където те ще ddos) и, което е още по-интересно -
динамично променяйте параметрите в пакетите (например IP или MAC адрес).



Подобно съдържание

Какво означава в нумерологията?
прозорец

Какво означава в нумерологията?

Значението на името Амал, Амала Тълкуване на значението на буквите на името Амал
прозорец

Значението на името Амал, Амала Тълкуване на значението на буквите на името Амал

Коледно време и коледни гадания за бъдещето
прозорец

Коледно време и коледни гадания за бъдещето