Ένα πρόγραμμα για την ανάλυση μιας ανασκόπησης τοπικού δικτύου. Αναλυτές δικτύου

Υπουργείο Παιδείας και Επιστημών της Ρωσικής Ομοσπονδίας

SEI "Κρατικό Πολυτεχνείο Αγίας Πετρούπολης"

Cheboksary Institute of Economics and Management (παράρτημα)

Τμήμα Ανώτατων Μαθηματικών και Πληροφορικής

ΕΚΘΕΣΗ ΙΔΕΩΝ

στο μάθημα «Προστασία Πληροφοριών».

με θέμα: "Αναλυτές δικτύου"

Εκπληρωμένος

4ο έτος φοιτητής s/o 080502-51M

με ειδίκευση στη Διοίκηση

στην επιχείρηση μηχανολογίας»

Pavlov K.V.

τετραγωνισμένος

Δάσκαλος

Cheboksary 2011


ΕΙΣΑΓΩΓΗ

Τα δίκτυα Ethernet έχουν αποκτήσει τεράστια δημοτικότητα λόγω του καλού εύρους ζώνης, της ευκολίας εγκατάστασης και αποδεκτό κόστοςεγκατάσταση εξοπλισμού δικτύου.
Ωστόσο, η τεχνολογία Ethernet δεν είναι χωρίς σημαντικά μειονεκτήματα. Το κυριότερο είναι η ανασφάλεια των μεταδιδόμενων πληροφοριών. Οι υπολογιστές που είναι συνδεδεμένοι σε ένα δίκτυο Ethernet μπορούν να υποκλέψουν πληροφορίες που απευθύνονται στους γείτονές τους. Ο λόγος για αυτό είναι ο λεγόμενος μηχανισμός ανταλλαγής μηνυμάτων εκπομπής που υιοθετείται στα δίκτυα Ethernet.

Ο συνδυασμός υπολογιστών σε ένα δίκτυο σπάει τα παλιά αξιώματα της προστασίας των πληροφοριών. Για παράδειγμα, σχετικά με τη στατική ασφάλεια. Στο παρελθόν, ο διαχειριστής του συστήματος μπορούσε να ανακαλύψει και να διορθώσει μια ευπάθεια συστήματος εγκαθιστώντας την κατάλληλη ενημέρωση, η οποία μπορούσε να ελέγξει τη λειτουργία της εγκατεστημένης "patch" μόνο μετά από μερικές εβδομάδες ή μήνες. Ωστόσο, αυτή η "patch" θα μπορούσε να αφαιρεθεί από τον χρήστη κατά λάθος ή κατά τη διάρκεια της εργασίας ή από άλλον διαχειριστή κατά την εγκατάσταση νέων στοιχείων. Όλα αλλάζουν και τώρα η τεχνολογία των πληροφοριών αλλάζει τόσο γρήγορα που οι στατικοί μηχανισμοί ασφάλειας δεν παρέχουν πλέον πλήρη ασφάλεια του συστήματος.

Μέχρι πρόσφατα, τα τείχη προστασίας ήταν ο κύριος μηχανισμός για την προστασία των εταιρικών δικτύων. Ωστόσο, τα τείχη προστασίας που έχουν σχεδιαστεί για να προστατεύουν τους πόρους πληροφοριών ενός οργανισμού είναι συχνά τα ίδια ευάλωτα. Αυτό συμβαίνει επειδή οι διαχειριστές συστήματος δημιουργούν τόσες πολλές απλουστεύσεις στο σύστημα πρόσβασης που στο τέλος πέτρινος τοίχοςτο σύστημα προστασίας γίνεται γεμάτο τρύπες, σαν κόσκινο. Η προστασία τείχους προστασίας (FW) μπορεί να μην είναι κατάλληλη για εταιρικά δίκτυα υψηλής επισκεψιμότητας, καθώς η χρήση πολλαπλών FW μπορεί να επηρεάσει σημαντικά την απόδοση του δικτύου. Σε ορισμένες περιπτώσεις, είναι καλύτερο να "αφήνουμε τις πόρτες ορθάνοιχτες" και να εστιάσουμε σε μεθόδους για τον εντοπισμό και την απόκριση σε εισβολές δικτύου.

Για συνεχή (24 ώρες το 24ωρο, 7 ημέρες την εβδομάδα, 365 ημέρες το χρόνο) παρακολούθηση εταιρικού δικτύου για την ανίχνευση επιθέσεων, σχεδιάζονται «ενεργά» συστήματα προστασίας - συστήματα ανίχνευσης εισβολής. Αυτά τα συστήματα εντοπίζουν επιθέσεις σε κόμβους εταιρικού δικτύου και αντιδρούν σε αυτούς με τον τρόπο που καθορίζεται από τον διαχειριστή ασφαλείας. Για παράδειγμα, διακόπτουν τη σύνδεση με τον κεντρικό υπολογιστή που επιτίθεται, ενημερώνουν τον διαχειριστή ή εισάγουν πληροφορίες σχετικά με την επίθεση στα αρχεία καταγραφής.


1. ΑΝΑΛΥΤΕΣ ΔΙΚΤΥΟΥ

1.1 IP - ΣΥΝΑΓΕΡΜΟΣ 1 Ή ΠΡΩΤΗ ΟΘΟΝΗ ΔΙΚΤΥΟΥ

Αρχικά, ας πούμε λίγα λόγια για τις τοπικές εκπομπές. Σε ένα δίκτυο Ethernet, οι υπολογιστές που είναι συνδεδεμένοι σε αυτό μοιράζονται συνήθως το ίδιο καλώδιο, το οποίο χρησιμεύει ως μέσο για την αποστολή μηνυμάτων μεταξύ τους.

Όποιος επιθυμεί να μεταδώσει οποιοδήποτε μήνυμα σε ένα κοινό κανάλι πρέπει πρώτα να βεβαιωθεί ότι αυτό το κανάλι είναι μέσα αυτή τη στιγμήελεύθερος χρόνος. Αφού ξεκινήσει η μετάδοση, ο υπολογιστής ακούει τη φέρουσα συχνότητα του σήματος, προσδιορίζοντας εάν το σήμα έχει παραμορφωθεί ως αποτέλεσμα συγκρούσεων με άλλους υπολογιστές που μεταδίδουν τα δεδομένα τους ταυτόχρονα με αυτό. Εάν υπάρξει σύγκρουση, η μετάδοση διακόπτεται και ο υπολογιστής «σιωπά» για ένα συγκεκριμένο χρονικό διάστημα προκειμένου να προσπαθήσει να επαναλάβει τη μετάδοση λίγο αργότερα. Εάν ένας υπολογιστής που είναι συνδεδεμένος σε δίκτυο Ethernet δεν μεταδίδει τίποτα ο ίδιος, ωστόσο συνεχίζει να "ακούει" για όλα τα μηνύματα που μεταδίδονται μέσω του δικτύου από γειτονικούς υπολογιστές. Έχοντας παρατηρήσει τη διεύθυνση δικτύου του στην κεφαλίδα του τμήματος εισερχόμενων δεδομένων, ο υπολογιστής αντιγράφει αυτό το τμήμα στην τοπική του μνήμη.

Υπάρχουν δύο κύριοι τρόποι σύνδεσης υπολογιστών σε δίκτυο Ethernet. Στην πρώτη περίπτωση, οι υπολογιστές συνδέονται με ομοαξονικό καλώδιο. Αυτό το καλώδιο τοποθετείται από υπολογιστή σε υπολογιστή, συνδέεται με προσαρμογείς δικτύου με υποδοχή σε σχήμα Τ και κλείνει στα άκρα με τερματικούς σταθμούς BNC. Μια τέτοια τοπολογία ονομάζεται δίκτυο Ethernet 10Base2 στη γλώσσα των επαγγελματιών. Ωστόσο, μπορεί επίσης να ονομαστεί ένα δίκτυο στο οποίο «όλοι ακούν όλους τους άλλους». Κάθε υπολογιστής που είναι συνδεδεμένος σε δίκτυο μπορεί να υποκλέψει δεδομένα που αποστέλλονται μέσω αυτού του δικτύου από άλλον υπολογιστή. Στη δεύτερη περίπτωση, κάθε υπολογιστής συνδέεται με ένα καλώδιο συνεστραμμένου ζεύγους σε μια ξεχωριστή θύρα της κεντρικής συσκευής μεταγωγής - έναν διανομέα ή έναν διακόπτη. Σε αυτά τα δίκτυα, που ονομάζονται δίκτυα lOBaseT Ethernet, οι υπολογιστές χωρίζονται σε ομάδες που ονομάζονται τομείς σύγκρουσης. Οι τομείς σύγκρουσης ορίζονται από θύρες διανομέα ή μεταγωγέα συνδεδεμένες σε κοινό δίαυλο. Ως αποτέλεσμα, δεν συμβαίνουν συγκρούσεις μεταξύ όλων των υπολογιστών του δικτύου. και μεμονωμένα - μεταξύ αυτών που περιλαμβάνονται στον ίδιο τομέα σύγκρουσης, γεγονός που αυξάνει την απόδοση του δικτύου στο σύνολό του.

ΣΤΟ πρόσφατους χρόνουςσε μεγάλα δίκτυα, άρχισαν να εμφανίζονται νέοι τύποι μεταγωγέων που δεν χρησιμοποιούν εκπομπή και δεν κλείνουν ομάδες θυρών μεταξύ τους. Αντίθετα, όλα τα δεδομένα που μεταδίδονται μέσω του δικτύου αποθηκεύονται στην προσωρινή μνήμη και αποστέλλονται το συντομότερο δυνατό. Ωστόσο, εξακολουθούν να υπάρχουν αρκετά τέτοια δίκτυα - όχι περισσότερο από το 5% του συνολικού αριθμού δικτύων τύπου Ethernet.

Έτσι, ο αλγόριθμος μεταφοράς δεδομένων που υιοθετείται στη συντριπτική πλειοψηφία των δικτύων Ethernet απαιτεί από κάθε υπολογιστή που είναι συνδεδεμένος στο δίκτυο να «ακούει» συνεχώς όλη την κίνηση του δικτύου χωρίς εξαίρεση. Οι αλγόριθμοι πρόσβασης που προτάθηκαν από ορισμένους ανθρώπους, όταν χρησιμοποιούν ποιοι υπολογιστές θα αποσυνδέονταν από το δίκτυο κατά τη μετάδοση «ξένων» μηνυμάτων, παρέμειναν απραγματοποίητοι λόγω της υπερβολικής πολυπλοκότητάς τους, του υψηλού κόστους υλοποίησης και της χαμηλής απόδοσης.

Τι είναι το IPAlert-1 και από πού προήλθε; Μια φορά κι έναν καιρό, η πρακτική και θεωρητική έρευνα των συγγραφέων στην κατεύθυνση που σχετίζεται με τη μελέτη της ασφάλειας δικτύων οδήγησε στην ακόλουθη ιδέα: στο Διαδίκτυο, όπως και σε άλλα δίκτυα (για παράδειγμα, Novell NetWare, Windows NT), υπήρχε σοβαρή έλλειψη προστασίας λογισμικού που υλοποιεί συγκρότημα έλεγχος (παρακολούθηση) σε επίπεδο ζεύξης ολόκληρης της ροής πληροφοριών που μεταδίδονται μέσω του δικτύου προκειμένου να ανιχνευθούν όλοι οι τύποι απομακρυσμένων επιρροών που περιγράφονται στη βιβλιογραφία. Έρευνα στην αγορά λογισμικού τείχους προστασίας Διαδικτύου αποκάλυψε το γεγονός ότι δεν υπήρχαν τέτοια ολοκληρωμένα εργαλεία ανίχνευσης απομακρυσμένων επιπτώσεων και αυτά που είχαν σχεδιαστεί για να ανιχνεύουν επιθέσεις ενός συγκεκριμένου τύπου (για παράδειγμα, ICMP Redirect ή ARP). Επομένως, ξεκίνησε η ανάπτυξη ενός εργαλείου ελέγχου τμήματος δικτύου IP που σχεδιάστηκε για χρήση στο Διαδίκτυο και έλαβε το ακόλουθο όνομα: οθόνη ασφαλείας δικτύου IP Alert-1.

Το κύριο καθήκον αυτού του εργαλείου, προγραμματική ανάλυση κυκλοφορίας δικτύουστο κανάλι μετάδοσης, δεν συνίσταται στην αντανάκλαση απομακρυσμένων επιθέσεων που πραγματοποιούνται μέσω του καναλιού επικοινωνίας, αλλά στον εντοπισμό τους, στην καταγραφή (διατήρηση ενός αρχείου ελέγχου με καταγραφή σε μια μορφή κατάλληλη για επακόλουθη οπτική ανάλυση όλων των συμβάντων που σχετίζονται με απομακρυσμένες επιθέσεις σε αυτό το τμήμα δικτύου ) και άμεση σηματοδότηση στην ασφάλεια του διαχειριστή σε περίπτωση εντοπισμού απομακρυσμένης επίθεσης. Το κύριο καθήκον της οθόνης ασφαλείας δικτύου IP Alert-1 είναι να ελέγχει την ασφάλεια του αντίστοιχου τμήματος του Διαδικτύου.

Το IP Alert-1 Network Security Monitor έχει τα ακόλουθα λειτουργικότητακαι επιτρέπει, μέσω ανάλυσης δικτύου, τον εντοπισμό των ακόλουθων απομακρυσμένων επιθέσεων στο τμήμα δικτύου που ελέγχεται από αυτό:

1. Έλεγχος της αντιστοιχίας των διευθύνσεων IP και Ethernet σε πακέτα που μεταδίδονται από κεντρικούς υπολογιστές που βρίσκονται εντός του ελεγχόμενου τμήματος δικτύου.

Στον κεντρικό υπολογιστή IP Alert-1, ο διαχειριστής ασφαλείας δημιουργεί έναν στατικό πίνακα ARP όπου εισάγει πληροφορίες σχετικά με τις αντίστοιχες διευθύνσεις IP και Ethernet των κεντρικών υπολογιστών που βρίσκονται μέσα στο ελεγχόμενο τμήμα δικτύου.

Αυτή η δυνατότητα σάς επιτρέπει να εντοπίζετε μη εξουσιοδοτημένες αλλαγές στη διεύθυνση IP ή την αντικατάστασή της (το λεγόμενο IP Spoofing, spoofing, IP spoofing (jarg.)).

2. Έλεγχος της σωστής χρήσης του μηχανισμού απομακρυσμένης αναζήτησης ARP. Αυτή η λειτουργία επιτρέπει, χρησιμοποιώντας έναν στατικό πίνακα ARP, τον προσδιορισμό μιας απομακρυσμένης επίθεσης "Rogue ARP server".

3. Έλεγχος της σωστής χρήσης του μηχανισμού απομακρυσμένης αναζήτησης DNS. Αυτή η δυνατότητα σάς επιτρέπει να αναγνωρίζετε όλους τους πιθανούς τύπους απομακρυσμένων επιθέσεων στην υπηρεσία DNS

4. Έλεγχος της ορθότητας των προσπαθειών απομακρυσμένης σύνδεσης με την ανάλυση των μεταδιδόμενων αιτημάτων. Αυτή η δυνατότητα σάς επιτρέπει να εντοπίσετε, πρώτον, μια προσπάθεια διερεύνησης του νόμου της αλλαγής της αρχικής τιμής του αναγνωριστικού σύνδεσης TCP - ISN, δεύτερον, μια απομακρυσμένη επίθεση "άρνησης υπηρεσίας" που πραγματοποιείται με υπερχείλιση της ουράς αιτημάτων σύνδεσης και, τρίτον, , κατεύθυνε «μια καταιγίδα» ψευδών αιτημάτων σύνδεσης (τόσο TCP όσο και UDP) οδηγώντας επίσης σε άρνηση υπηρεσίας.

Έτσι, η οθόνη ασφαλείας δικτύου IP Alert-1 σάς επιτρέπει να ανιχνεύετε, να ειδοποιείτε και να καταγράφετε τους περισσότερους τύπους απομακρυσμένων επιθέσεων. Ταυτόχρονα, αυτό το πρόγραμμα δεν είναι σε καμία περίπτωση ανταγωνιστής των συστημάτων Firewall. Το IP Alert-1, χρησιμοποιώντας τις δυνατότητες απομακρυσμένων επιθέσεων στο Διαδίκτυο, χρησιμεύει ως απαραίτητη προσθήκη - παρεμπιπτόντως, ασύγκριτα φθηνότερο - σε συστήματα Firewall. Χωρίς οθόνη ασφαλείας, οι περισσότερες απόπειρες πραγματοποίησης απομακρυσμένων επιθέσεων στο τμήμα του δικτύου σας θα παραμείνουν κρυφές από τα μάτια σας. Κανένα από τα γνωστά τείχη προστασίας δεν ασχολείται με τέτοια πνευματική ανάλυση των μηνυμάτων που περνούν μέσω του δικτύου προκειμένου να ανιχνεύσει διάφορα είδη απομακρυσμένων επιθέσεων, περιορίζονται, στην καλύτερη περίπτωση, στην καταγραφή, η οποία καταγράφει πληροφορίες σχετικά με προσπάθειες εικασίας κωδικού πρόσβασης, σάρωση θυρών και σάρωση δικτύου με τη χρήση γνωστών προγραμμάτων απομακρυσμένης αναζήτησης. Επομένως, εάν ο διαχειριστής του δικτύου IP δεν θέλει να μείνει αδιάφορος και να αρκείται στον ρόλο ενός απλού επιπλέον σε απομακρυσμένες επιθέσεις στο δίκτυό του, τότε είναι σκόπιμο να χρησιμοποιήσει την οθόνη ασφαλείας δικτύου IP Alert-1.

Γενικές πληροφορίες

Τα εργαλεία που ονομάζονται αναλυτές δικτύου ονομάζονται από το Sniffer Network Analyzer. Αυτό το προϊόν κυκλοφόρησε το 1988 από τη Network General (τώρα Network Associates) και ήταν μία από τις πρώτες συσκευές που επέτρεψαν στους διαχειριστές να γνωρίζουν κυριολεκτικά τι συμβαίνει σε ένα μεγάλο δίκτυο από την άνεση του γραφείου τους. Οι πρώτοι αναλυτές διαβάζουν τις κεφαλίδες των μηνυμάτων σε πακέτα δεδομένων που αποστέλλονται μέσω του δικτύου, παρέχοντας έτσι στους διαχειριστές πληροφορίες σχετικά με τις διευθύνσεις αποστολέα και παραλήπτη, μεγέθη αρχείων και άλλες πληροφορίες χαμηλού επιπέδου. Και όλα αυτά είναι επιπλέον του ελέγχου της ορθότητας της μετάδοσης πακέτων. Χρησιμοποιώντας γραφήματα και περιγραφές κειμένου, οι αναλυτές βοήθησαν τους διαχειριστές δικτύου να διαγνώσουν διακομιστές, συνδέσμους δικτύου, διανομείς και διακόπτες και εφαρμογές. Σε γενικές γραμμές, ένας ανιχνευτής δικτύου ακούει ή «σνιφάρει» πακέτα σε ένα συγκεκριμένο φυσικό τμήμα δικτύου. Αυτό σας επιτρέπει να αναλύσετε την επισκεψιμότητα για ορισμένα μοτίβα, να διορθώσετε ορισμένα προβλήματα και να εντοπίσετε ύποπτη δραστηριότητα. Ένα σύστημα ανίχνευσης εισβολής δικτύου δεν είναι τίποτα άλλο παρά ένας προηγμένος αναλυτής που αντιστοιχίζει κάθε πακέτο στο δίκτυο με μια βάση δεδομένων γνωστών κακόβουλων προτύπων κυκλοφορίας, όπως ακριβώς κάνει ένα πρόγραμμα προστασίας από ιούς με αρχεία σε έναν υπολογιστή. Σε αντίθεση με τα εργαλεία που περιγράφηκαν προηγουμένως, οι αναλυτές λειτουργούν σε χαμηλότερο επίπεδο.

Αν στραφούμε στο μοντέλο αναφοράς OSI, τότε οι αναλυτές ελέγχουν τα δύο κατώτερα στρώματα - το φυσικό και το κανάλι.

Αριθμός επιπέδου μοντέλου OSI

Όνομα επιπέδου

Παραδείγματα πρωτοκόλλου

Επίπεδο 7

Επίπεδο εφαρμογής

DNS, FTP, HTTP, SMTP, SNMP, Telnet

Επίπεδο 6

Επίπεδο παρουσίασης

Επίπεδο 5

επίπεδο συνεδρίας

Επίπεδο 4

στρώμα μεταφοράς

NetBIOS, TCP, UDP

Επίπεδο 3

επίπεδο δικτύου

ARP, IP, IPX, OSPF

Επίπεδο 2

Στρώμα σύνδεσης

Arcnet, Ethernet, Token δαχτυλίδι

Επίπεδο 1

Φυσική στρώση

Ομοαξονικό καλώδιο, οπτική ίνα, συνεστραμμένο ζεύγος

Το φυσικό επίπεδο είναι η πραγματική φυσική καλωδίωση ή άλλο μέσο που χρησιμοποιείται για τη δημιουργία του δικτύου. Στο επίπεδο σύνδεσης, λαμβάνει χώρα η αρχική κωδικοποίηση δεδομένων για μετάδοση μέσω ενός συγκεκριμένου μέσου. Τα πρότυπα δικτύωσης επιπέδου σύνδεσης περιλαμβάνουν ασύρματο 802.11, Arcnet, ομοαξονικό καλώδιο, Ethernet, Token Ring και άλλα. Οι αναλυτές συνήθως εξαρτώνται από τον τύπο του δικτύου στο οποίο λειτουργούν. Για παράδειγμα, για να αναλύσετε την κίνηση σε ένα δίκτυο Ethernet, πρέπει να έχετε έναν αναλυτή Ethernet.

Υπάρχουν αναλυτές εμπορικής ποιότητας που διατίθενται από κατασκευαστές όπως οι Fluke, Network General και άλλοι. Αυτές είναι συνήθως ειδικές συσκευές υλικού που μπορεί να κοστίζουν δεκάδες χιλιάδες δολάρια. Ενώ αυτό το υλικό είναι ικανό για βαθύτερη ανάλυση, είναι δυνατή η κατασκευή ενός φθηνού αναλυτή δικτύου χρησιμοποιώντας λογισμικό ανοιχτού κώδικα. πηγαίος κώδικαςκαι έναν φθηνό υπολογιστή στην πλατφόρμα της Intel.

Τύποι αναλυτών

Τώρα παράγονται πολλοί αναλυτές, οι οποίοι χωρίζονται σε δύο τύπους. Το πρώτο περιλαμβάνει αυτόνομα προϊόντα που είναι εγκατεστημένα σε φορητό υπολογιστή. Ο σύμβουλος μπορεί να το πάρει μαζί του όταν επισκέπτεται το γραφείο του πελάτη και να το συνδέσει στο δίκτυο για τη συλλογή διαγνωστικών δεδομένων.

Αρχικά, οι φορητές συσκευές που σχεδιάστηκαν για τη δοκιμή της λειτουργίας των δικτύων σχεδιάστηκαν αποκλειστικά για τον έλεγχο των τεχνικών παραμέτρων του καλωδίου. Ωστόσο, με την πάροδο του χρόνου, οι κατασκευαστές έχουν προικίσει τον εξοπλισμό τους με μια σειρά από λειτουργίες αναλυτή πρωτοκόλλου. Οι σύγχρονοι αναλυτές δικτύου είναι σε θέση να ανιχνεύσουν το ευρύτερο φάσμα πιθανών προβλημάτων - από φυσική ζημιά στο καλώδιο έως υπερφορτωμένους πόρους δικτύου.

Ο δεύτερος τύπος αναλυτών είναι μέρος μιας ευρύτερης κατηγορίας υλικού και λογισμικού παρακολούθησης δικτύου που επιτρέπει στους οργανισμούς να ελέγχουν τις τοπικές και παγκόσμιες υπηρεσίες δικτύου τους, συμπεριλαμβανομένου του Ιστού. Αυτά τα προγράμματα δίνουν στους διαχειριστές μια ολιστική άποψη για την υγεία του δικτύου. Για παράδειγμα, με τη βοήθεια τέτοιων προϊόντων, μπορείτε να προσδιορίσετε ποιες εφαρμογές εκτελούνται αυτήν τη στιγμή, ποιοι χρήστες είναι εγγεγραμμένοι στο δίκτυο και ποιες από αυτές δημιουργούν το μεγαλύτερο μέρος της επισκεψιμότητας.

Εκτός από τον εντοπισμό χαρακτηριστικών δικτύου χαμηλού επιπέδου, όπως η πηγή των πακέτων και ο προορισμός τους, οι σύγχρονοι αναλυτές αποκωδικοποιούν τις πληροφορίες που λαμβάνονται και στα επτά επίπεδα της στοίβας δικτύου Open System Interconnection (OSI) και συχνά εκδίδουν συστάσεις για την επίλυση προβλημάτων. Εάν η ανάλυση σε επίπεδο εφαρμογής δεν επιτρέπει την παροχή επαρκών συστάσεων, οι αναλυτές εκτελούν μια μελέτη σε χαμηλότερο επίπεδο δικτύου.

Οι σύγχρονοι αναλυτές υποστηρίζουν τυπικά πρότυπα απομακρυσμένης παρακολούθησης (Rmon και Rmon 2) που παρέχουν αυτόματη ανάκτηση βασικών δεδομένων απόδοσης, όπως πληροφορίες σχετικά με το φορτίο στους διαθέσιμους πόρους. Οι αναλυτές που υποστηρίζουν το Rmon μπορούν να ελέγχουν τακτικά την κατάσταση των στοιχείων δικτύου και να συγκρίνουν τα δεδομένα που λαμβάνονται με τα προηγούμενα συσσωρευμένα. Εάν είναι απαραίτητο, θα εκδώσουν μια προειδοποίηση ότι το επίπεδο κίνησης ή η απόδοση υπερβαίνει τα όρια που έχουν ορίσει οι διαχειριστές δικτύου.

Η NetScout Systems παρουσίασε το nGenius Application Service Level Manager, ένα σύστημα που έχει σχεδιαστεί για να παρακολουθεί τον χρόνο απόκρισης σε ορισμένα τμήματα του καναλιού πρόσβασης στην τοποθεσία Web και να προσδιορίζει την τρέχουσα απόδοση των διακομιστών. Αυτή η εφαρμογή μπορεί να αναλύσει την απόδοση του δημόσιου δικτύου προκειμένου να αναδημιουργήσει τη συνολική εικόνα στον υπολογιστή του χρήστη. Η δανική εταιρεία NetTest (πρώην GN Nettest) έχει αρχίσει να προσφέρει το Fastnet, ένα σύστημα παρακολούθησης δικτύου που βοηθά τις εταιρείες ηλεκτρονικών επιχειρήσεων να σχεδιάζουν χωρητικότητα εύρους ζώνης και να αντιμετωπίζουν προβλήματα δικτύου.

Ανάλυση συγκλίνονων (πολυυπηρεσιακών) δικτύων

Η εξάπλωση των δικτύων πολλαπλών υπηρεσιών (συγκλίνοντα δίκτυα) μπορεί να έχει αποφασιστικό αντίκτυπο στην ανάπτυξη των τηλεπικοινωνιών και των συστημάτων μετάδοσης δεδομένων στο μέλλον. Η ιδέα να συνδυαστεί σε μια ενιαία υποδομή δικτύου βασισμένη σε πρωτόκολλο πακέτων, η δυνατότητα μεταφοράς δεδομένων, ροών φωνής και πληροφοριών βίντεο, αποδείχθηκε πολύ δελεαστική για παρόχους που ειδικεύονται στην παροχή τηλεπικοινωνιακών υπηρεσιών, επειδή μπορεί να επεκταθεί σημαντικά το φάσμα των υπηρεσιών που παρέχουν σε μια στιγμή.

Καθώς οι εταιρείες αρχίζουν να αντιλαμβάνονται τα πλεονεκτήματα της αποδοτικότητας και του κόστους των σύγκλινων δικτύων που βασίζονται σε IP, οι πωλητές εργαλείων δικτύου αναπτύσσουν ενεργά τους κατάλληλους αναλυτές. Το πρώτο εξάμηνο του έτους, πολλές εταιρείες εισήγαγαν εξαρτήματα για τα προϊόντα διαχείρισης δικτύου τους σχεδιασμένα για δίκτυα φωνής μέσω IP.

«Η σύγκλιση έχει δημιουργήσει νέες προκλήσεις για να αντιμετωπίσουν οι διαχειριστές δικτύου», δήλωσε ο Glenn Grossman, διευθυντής διαχείρισης προϊόντων στη NetScout Systems. -- Η κίνηση φωνής είναι πολύ ευαίσθητη στις χρονικές καθυστερήσεις. Οι αναλυτές μπορούν να εξετάσουν κάθε bit και byte στο καλώδιο, να ερμηνεύσουν τις κεφαλίδες και να ιεραρχήσουν αυτόματα τα δεδομένα."

Η χρήση τεχνολογιών σύγκλισης φωνής και δεδομένων μπορεί να προκαλέσει ένα νέο κύμα ενδιαφέροντος στους αναλυτές, καθώς η υποστήριξη για την ιεράρχηση της κυκλοφορίας σε επίπεδο πακέτου IP καθίσταται απαραίτητη για τη λειτουργία των υπηρεσιών φωνής και βίντεο. Για παράδειγμα, η Sniffer Technologies κυκλοφόρησε το Sniffer Voice, μια εργαλειοθήκη σχεδιασμένη για διαχειριστές δικτύων πολλαπλών υπηρεσιών. Αυτό το προϊόν όχι μόνο παρέχει παραδοσιακές διαγνωστικές υπηρεσίες για τη διαχείριση της κίνησης email, Διαδικτύου και βάσης δεδομένων, αλλά επίσης εντοπίζει προβλήματα δικτύου και παρέχει συστάσεις για την επίλυσή τους, προκειμένου να διασφαλιστεί ότι η φωνητική κίνηση μεταδίδεται σωστά μέσω δικτύων IP.

Το μειονέκτημα της χρήσης αναλυτών

Θα πρέπει να θυμόμαστε ότι υπάρχουν δύο όψεις του νομίσματος που σχετίζονται με τους αναλυτές. Βοηθούν στη διατήρηση και λειτουργία του δικτύου, αλλά μπορούν επίσης να χρησιμοποιηθούν από χάκερ για να αναζητήσουν ονόματα χρήστη και κωδικούς πρόσβασης σε πακέτα δεδομένων. Για να αποφευχθεί η υποκλοπή κωδικού πρόσβασης από τους αναλυτές, οι κεφαλίδες πακέτων κρυπτογραφούνται (για παράδειγμα, χρησιμοποιώντας το πρότυπο Secure Sockets Layer).

Τελικά, δεν υπάρχει εναλλακτική λύση από έναν αναλυτή δικτύου σε εκείνες τις περιπτώσεις όπου είναι απαραίτητο να κατανοήσουμε τι συμβαίνει σε ένα παγκόσμιο ή εταιρικό δίκτυο. Ένας καλός αναλυτής σάς επιτρέπει να κατανοήσετε την κατάσταση του τμήματος δικτύου και να προσδιορίσετε την ποσότητα της κίνησης, καθώς και να προσδιορίσετε πώς αυτός ο όγκος ποικίλλει κατά τη διάρκεια της ημέρας, ποιοι χρήστες δημιουργούν το μεγαλύτερο φορτίο, σε ποιες περιπτώσεις υπάρχουν προβλήματα με την κατανομή της κυκλοφορίας ή την έλλειψη του εύρους ζώνης. Χάρη στη χρήση του αναλυτή, είναι δυνατή η λήψη και η ανάλυση όλων των τμημάτων δεδομένων στο τμήμα δικτύου για μια δεδομένη περίοδο.

Ωστόσο, οι αναλυτές δικτύου είναι ακριβοί. Εάν σκοπεύετε να το αγοράσετε, τότε πρώτα διατυπώστε ξεκάθαρα τι περιμένετε από αυτό.

Χαρακτηριστικά της χρήσης αναλυτών δικτύου

Για να χρησιμοποιούνται οι αναλυτές δικτύου με ηθικό και παραγωγικό τρόπο, θα πρέπει να ακολουθούνται οι ακόλουθες οδηγίες.

Πάντα χρειάζεται άδεια

Η ανάλυση δικτύου, όπως και πολλά άλλα χαρακτηριστικά ασφαλείας, έχει τη δυνατότητα κακής χρήσης. αναχαιτίζοντας τα πάντα δεδομένα που μεταδίδονται μέσω του δικτύου, μπορείτε να κατασκοπεύετε κωδικούς πρόσβασης για διάφορα συστήματα, το περιεχόμενο των μηνυμάτων email και άλλα κρίσιμα δεδομένα, τόσο εσωτερικά όσο και εξωτερικά, καθώς τα περισσότερα συστήματα δεν κρυπτογραφούν την επισκεψιμότητά τους στο τοπικό δίκτυο. Εάν τέτοια δεδομένα πέσουν σε λάθος χέρια, μπορεί προφανώς να οδηγήσει σε σοβαρές παραβιάσεις της ασφάλειας. Επιπλέον, μπορεί να γίνει παραβίαση της ιδιωτικής ζωής των εργαζομένων. Πρώτα απ 'όλα, θα πρέπει να λάβετε γραπτή άδεια από τη διοίκηση, κατά προτίμηση ανώτερη, πριν ξεκινήσετε μια τέτοια δραστηριότητα. Θα πρέπει επίσης να ληφθεί υπόψη τι πρέπει να γίνει με τα δεδομένα μετά τη λήψη τους. Εκτός από τους κωδικούς πρόσβασης, αυτά μπορεί να είναι άλλα ευαίσθητα δεδομένα. Κατά γενικό κανόνα, τα πρωτόκολλα ανάλυσης δικτύου θα πρέπει να αφαιρούνται από το σύστημα, εκτός εάν χρειάζονται για ποινικές ή αστικές διώξεις. Υπάρχουν τεκμηριωμένα προηγούμενα όπου καλοπροαίρετοι διαχειριστές συστήματος έχουν απολυθεί για μη εξουσιοδοτημένη υποκλοπή δεδομένων.

Χρειάζεται κατανόηση της τοπολογίας του δικτύου

Πριν ρυθμίσετε τον αναλυτή, πρέπει να κατανοήσετε πλήρως τη φυσική και λογική οργάνωση αυτού του δικτύου. Διεξάγοντας ανάλυση σε λάθος μέρος στο δίκτυο, μπορείτε να πάρετε λανθασμένα αποτελέσματα ή απλώς μη εύρεση αυτού που χρειάζεστε. Είναι απαραίτητο να ελέγξετε την απουσία δρομολογητών μεταξύ του σταθμού εργασίας ανάλυσης και του τόπου παρατήρησης. Οι δρομολογητές θα προωθήσουν την κίνηση σε ένα τμήμα δικτύου μόνο εάν έχει πρόσβαση σε έναν κεντρικό υπολογιστή που βρίσκεται εκεί. Ομοίως, σε ένα δίκτυο μεταγωγής, θα χρειαστεί να διαμορφώσετε τη θύρα στην οποία είστε συνδεδεμένοι ως θύρα "monitor" ή "mirror". Διαφορετικοί κατασκευαστές χρησιμοποιούν διαφορετική ορολογία, αλλά στην ουσία θέλετε η θύρα να λειτουργεί ως διανομέας, όχι ως διακόπτης, επειδή πρέπει να βλέπει όλη την κίνηση που περνάει από το διακόπτη, όχι μόνο αυτή που κατευθύνεται στον σταθμό εργασίας. Χωρίς αυτήν τη διαμόρφωση, η θύρα οθόνης θα βλέπει μόνο ό,τι κατευθύνεται στη συνδεδεμένη θύρα και στην κυκλοφορία εκπομπής δικτύου.

Πρέπει να χρησιμοποιούνται αυστηρά κριτήρια αναζήτησης

Ανάλογα με το τι θέλετε να βρείτε, η χρήση ενός ανοιχτού φίλτρου (δηλαδή που δείχνει τα πάντα) θα κάνει την έξοδο δεδομένων ογκώδη και δύσκολη στην ανάλυση. Είναι καλύτερα να χρησιμοποιήσετε ειδικά κριτήρια αναζήτησης για να συντομεύσετε την έξοδο που παράγει ο αναλυτής. Ακόμα κι αν δεν ξέρετε τι ακριβώς να αναζητήσετε, μπορείτε να γράψετε ένα φίλτρο για να περιορίσετε τα αποτελέσματα αναζήτησης. Εάν θέλετε να βρείτε ένα εσωτερικό μηχάνημα, είναι σωστό να ορίσετε κριτήρια ώστε να αναζητάτε μόνο διευθύνσεις πηγής μέσα σε ένα δεδομένο δίκτυο. Εάν θέλετε να παρακολουθείτε έναν συγκεκριμένο τύπο κίνησης, ας πούμε την κυκλοφορία FTP, μπορείτε να περιορίσετε τα αποτελέσματα μόνο σε ό,τι εισέρχεται στη θύρα που χρησιμοποιεί η εφαρμογή. Με αυτόν τον τρόπο, μπορούν να επιτευχθούν σημαντικά καλύτερα αποτελέσματα ανάλυσης.

Ρύθμιση της κατάστασης αναφοράς δικτύου

Χρήση αναλυτή δικτύου κατά την κανονική λειτουργία , και με την καταγραφή των τελικών αποτελεσμάτων, επιτυγχάνεται μια κατάσταση αναφοράς, η οποία μπορεί να συγκριθεί με τα αποτελέσματα που λαμβάνονται κατά τις προσπάθειες απομόνωσης του προβλήματος. Ο αναλυτής Ethereal, που συζητείται παρακάτω, δημιουργεί αρκετές βολικές αναφορές για αυτό. Θα ληφθούν επίσης ορισμένα δεδομένα για την παρακολούθηση της χρήσης του δικτύου με την πάροδο του χρόνου. Με αυτά τα δεδομένα, μπορείτε να προσδιορίσετε πότε το δίκτυο είναι κορεσμένο και ποιοι είναι οι κύριοι λόγοι για αυτό - υπερφορτωμένος διακομιστής, αύξηση του αριθμού των χρηστών, αλλαγή στον τύπο κίνησης κ.λπ. Αν υπάρχει μια αφετηρία, είναι πιο εύκολο να καταλάβουμε ποιος φταίει και για τι.

Χρησιμότητα commviewεξυπηρετεί για συλλογή και ανάλυση της κίνησης του τοπικού δικτύου και του Διαδικτύου. Το πρόγραμμα καταγράφει και αποκωδικοποιεί στο χαμηλότερο επίπεδο τα δεδομένα που διέρχονται από το δίκτυο, συμπεριλαμβανομένης της λίστας των συνδέσεων δικτύου και των πακέτων IP με περισσότερα από 70 από τα πιο κοινά πρωτόκολλα δικτύου. commviewδιατηρεί στατιστικά στοιχεία IP, τα πακέτα που έχουν συλληφθεί μπορούν να αποθηκευτούν σε ένα αρχείο για περαιτέρω ανάλυση. Χρησιμοποιώντας ένα ευέλικτο σύστημα φίλτρων στο πρόγραμμα, μπορείτε να απορρίψετε τα περιττά να συλλάβει πακέταή να αναχαιτίσουν μόνο τα απαραίτητα. Η μονάδα VoIP που περιλαμβάνεται στο πρόγραμμα επιτρέπει τη βαθιά ανάλυση, εγγραφή και αναπαραγωγή φωνητικών μηνυμάτων προτύπων SIP και H.323. Το CommView σάς επιτρέπει να βλέπετε μια λεπτομερή εικόνα της κίνησης πληροφοριών που διέρχεται από μια κάρτα δικτύου ή ένα ξεχωριστό τμήμα δικτύου.

Internet και LAN Scanner

Ως σαρωτής δικτύου, το CommView είναι χρήσιμο σε διαχειριστές συστημάτων, άτομα που εργάζονται στον τομέα της ασφάλειας δικτύου, προγραμματιστές που αναπτύσσουν λογισμικόχρησιμοποιώντας συνδέσεις δικτύου. Το βοηθητικό πρόγραμμα υποστηρίζει τη ρωσική γλώσσα, έχει φιλική διεπαφή, περιλαμβάνει ένα λεπτομερές και κατανοητό σύστημα βοήθειας για όλες τις λειτουργίες και τις δυνατότητες που εφαρμόζονται στο πρόγραμμα.

Βασικά χαρακτηριστικά του CommView

  • Παρακολούθηση Διαδικτύου ή τοπικής κίνησης που διέρχεται μέσω προσαρμογέα δικτύου ή ελεγκτή τηλεφώνου
  • Λεπτομερή στατιστικά στοιχεία σύνδεσης IP (διευθύνσεις, θύρες, περίοδοι λειτουργίας, όνομα κεντρικού υπολογιστή, διεργασίες κ.λπ.)
  • Επαναδημιουργία μιας συνεδρίας TCP
  • Ρύθμιση ειδοποιήσεων συμβάντων
  • Διαγράμματα πρωτοκόλλων IP και πρωτοκόλλων ανώτερου επιπέδου
  • Προβολή καταγεγραμμένων και αποκωδικοποιημένων πακέτων σε πραγματικό χρόνο
  • Αναζήτηση στο περιεχόμενο των συλλεγόμενων πακέτων με συμβολοσειρές ή δεδομένα HEX
  • Αποθήκευση πακέτων σε αρχεία
  • Φόρτωση και προβολή πακέτων που έχουν αποθηκευτεί προηγουμένως όταν αποσυνδεθεί η σύνδεση
  • Εξαγωγή και εισαγωγή αρχείων με πακέτα σε (από) μορφές NI Observer ή NAI Sniffer
  • Λήψη πληροφοριών σχετικά με τη διεύθυνση IP
  • Υποστήριξη πρωτοκόλλου και αποκωδικοποίηση: ARP, BCAST, RTSP, SAP, SER, SIP, SMB, SMTP, SNA, SNMP, SNTP, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG, DNS, EIGRP, FTP, G.723, GRE, H. 225, H.261, H.263, H.323, HTTP, HTTPS, 802.1Q, 802.1X, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX, HSRP, LDAP, MS SQL, , NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, LDAP, MS SQL, NCP, NDS, NetBIOS, RDP, RIP, RIPX, RMCP, RPC, RSVP, RTP, RTCP, SOCKS, SPX, SSH, TCP, TELNET, TFTP, TIME, TLS, UDP, VTP, WDOG, YMSG.

Πρόσφατα, όταν συζητούσαμε σε μια συνομιλία το θέμα: πώς τουWiresharkτραβήξτε το αρχείο, εμφανίστηκε το βοηθητικό πρόγραμμα NetworkMiner. Αφού μίλησα με συναδέλφους και γκουγκλάρισα στο Διαδίκτυο, κατέληξα στο συμπέρασμα ότι δεν γνωρίζουν πολλοί άνθρωποι για αυτό το βοηθητικό πρόγραμμα. Δεδομένου ότι το βοηθητικό πρόγραμμα απλοποιεί πολύ τη ζωή ενός ερευνητή / pentester, διορθώνω αυτό το μειονέκτημα και θα πω στην κοινότητα τι είναι το NetworkMiner.

εξόρυξης δικτύουείναι ένα βοηθητικό πρόγραμμα για την παρακολούθηση και την ανάλυση της κυκλοφορίας δικτύου μεταξύ κεντρικών υπολογιστών σε τοπικό δίκτυο, γραμμένο για Windows (αλλά λειτουργεί επίσης σε Linux, Mac OS X, FreeBSD).

Το NetworkMiner μπορεί να χρησιμοποιηθεί ως παθητικός ανιχνευτής πακέτων δικτύου, η ανάλυση του οποίου θα αποκαλύψει ένα δακτυλικό αποτύπωμα λειτουργικά συστήματα, περιόδους σύνδεσης, κεντρικούς υπολογιστές και ανοιχτές θύρες. Το NetworkMiner σάς επιτρέπει επίσης να αναλύετε αρχεία PCAP εκτός σύνδεσης και να ανακτάτε μεταφερθέντα αρχεία και πιστοποιητικά ασφαλείας.

Επίσημη σελίδα του βοηθητικού προγράμματος: http://www.netresec.com/?page=Networkminer

Και έτσι, ας ξεκινήσουμε την αναθεώρηση.

Το βοηθητικό πρόγραμμα είναι διαθέσιμο σε δύο εκδόσεις: Δωρεάν και Professional (κόστος 700 USD).

Οι ακόλουθες επιλογές είναι διαθέσιμες στη δωρεάν έκδοση:

  • παρακολούθηση κυκλοφορίας?
  • ανάλυση ενός αρχείου PCAP.
  • λήψη ενός αρχείου PCAP μέσω IP.
  • Ορισμός λειτουργικού συστήματος.

Η έκδοση Professional προσθέτει τις ακόλουθες επιλογές:

  • ανάλυση του αρχείου PcapNG,
  • Ορισμός πρωτοκόλλου λιμένα,
  • Εξαγωγή δεδομένων σε CSV / Excel,
  • Έλεγχος ονομάτων DNS στον ιστότοπο http://www.alexa.com/topsites,
  • εντοπισμός IP,
  • Υποστήριξη γραμμής εντολών.

Σε αυτό το άρθρο, θα εξετάσουμε την επιλογή ανάλυσης ενός αρχείου PCAP που ελήφθη από το Wireshark.

Αλλά πρώτα, ας εγκαταστήσουμε το NetworkMiner στο Kali Linux.

  1. Από προεπιλογή, τα πακέτα Mono είναι ήδη εγκατεστημένα στο KaliLinux, αλλά αν δεν είναι εγκατεστημένα, τότε εκτελούμε την ακόλουθη ενέργεια:

sudo apt-get εγκατάσταση libmono-winforms2.0-cil

  1. Στη συνέχεια, κατεβάστε και εγκαταστήστε το NetworkMiner

wget sf.net/projects/networkminer/files/latest -O /tmp/nm.zip
sudo unzip /tmp/nm.zip -d /opt/
cd /opt/NetworkMiner*
sudo chmod +x NetworkMiner.exe
sudo chmod -R go+w AsscodebledFiles/
sudo chmod -R go+w Captures/

  1. Για να ξεκινήσετε το NetworkMiner χρησιμοποιήστε την ακόλουθη εντολή:

μονοφωνικό NetworkMiner.exe

Για πληροφορίες. Πέντε λεπτά παρακολούθησης της κυκλοφορίας στο δοκιμαστικό μου δίκτυο συγκέντρωσαν περισσότερα από 30.000 διαφορετικά πακέτα.

Όπως καταλαβαίνετε, η ανάλυση μιας τέτοιας κίνησης είναι αρκετά επίπονη και χρονοβόρα. Το Wireshark έχει ενσωματωμένα φίλτρα και είναι αρκετά ευέλικτο, αλλά τι να κάνετε όταν χρειάζεται να αναλύσετε γρήγορα την κυκλοφορία χωρίς να μελετήσετε όλη την ποικιλία του Wireshark;

Ας προσπαθήσουμε να δούμε τι πληροφορίες θα μας δώσει το NetworkMiner.

  1. Ανοίξτε το ληφθέν PCAP στο NetworkMiner. Χρειάστηκε λιγότερο από ένα λεπτό για να αναλυθεί μια χωματερή κυκλοφορίας άνω των 30.000 πακέτων.

  1. Η καρτέλα Hosts περιέχει μια λίστα με όλους τους κεντρικούς υπολογιστές που εμπλέκονται στη δημιουργία επισκεψιμότητας, με λεπτομερείς πληροφορίες για κάθε κεντρικό υπολογιστή:

  1. Στην καρτέλα Frames, η κίνηση παρουσιάζεται με τη μορφή πακέτων με πληροφορίες για κάθε επίπεδο του μοντέλου OSI (Σύνδεσμος, Δίκτυο και Μεταφορά).

  1. Η επόμενη καρτέλα Διαπιστευτήρια θα εμφανίσει τις υποκλαπείς προσπάθειες εξουσιοδότησης σε απλό κείμενο. Έτσι, έχοντας ξοδέψει λιγότερο από ένα λεπτό, μπορείτε να λάβετε αμέσως μια σύνδεση και έναν κωδικό πρόσβασης για εξουσιοδότηση από μια μεγάλη χωματερή κυκλοφορίας. Αυτό το έκανα στο παράδειγμα του δρομολογητή μου.

  1. Και μια άλλη καρτέλα που διευκολύνει τη λήψη δεδομένων από την κυκλοφορία είναι τα Αρχεία.

Στο παράδειγμά μας, συνάντησα ένα αρχείο pdf που μπορείτε να ανοίξετε και να προβάλετε αμέσως.

Αλλά πάνω απ 'όλα, εξεπλάγην όταν βρήκα ένα αρχείο txt στη χωματερή κυκλοφορίας, όπως αποδείχθηκε, από το δρομολογητή DIR-620 μου. Έτσι, αυτός ο δρομολογητής, όταν είναι εξουσιοδοτημένος σε αυτόν, μεταδίδει όλες τις ρυθμίσεις και τους κωδικούς πρόσβασης σε μορφή κειμένου, συμπεριλαμβανομένου του WPA2.

Ως αποτέλεσμα, το βοηθητικό πρόγραμμα αποδείχθηκε αρκετά ενδιαφέρον και χρήσιμο.

Σε σένα, αγαπητέ αναγνώστη, δίνω αυτό το άρθρο για ανάγνωση και πήγα να αγοράσω ένα νέο δρομολογητή.

Κάθε μία από την ομάδα ][ έχει τις δικές της προτιμήσεις σχετικά με το λογισμικό και τα βοηθητικά προγράμματα για
δοκιμή στυλό. Μετά από διαβούλευση, ανακαλύψαμε ότι η επιλογή ποικίλλει τόσο πολύ που μπορείτε
φτιάξτε ένα πραγματικό σετ τζέντλεμαν από δοκιμασμένα προγράμματα. Σε αυτό και
αποφασισμένος. Για να μην κάνουμε ένα συνδυασμένο κουκούτσι, χωρίσαμε ολόκληρη τη λίστα σε θέματα - και μέσα
αυτή τη φορά θα αγγίξουμε τα βοηθητικά προγράμματα για sniffing και χειρισμό πακέτων. Χρήση σε
υγεία.

Wireshark

netcat

Αν μιλάμε για υποκλοπή δεδομένων, τότε εξόρυξης δικτύουβγάλε το από τον αέρα
(ή από μια προπαρασκευασμένη χωματερή σε μορφή PCAP) αρχεία, πιστοποιητικά,
εικόνες και άλλα μέσα, καθώς και κωδικούς πρόσβασης και άλλες πληροφορίες για εξουσιοδότηση.
Ένα χρήσιμο χαρακτηριστικό είναι η αναζήτηση για εκείνες τις ενότητες δεδομένων που περιέχουν λέξεις-κλειδιά
(π.χ. είσοδος χρήστη).

Scapy

Δικτυακός τόπος:
www.secdev.org/projects/scapy

Must-have για κάθε χάκερ, που είναι το πιο ισχυρό εργαλείο
διαδραστικό χειρισμό πακέτων. Λάβετε και αποκωδικοποιήστε τα περισσότερα πακέτα
διάφορα πρωτόκολλα, απαντήστε σε ένα αίτημα, εισάγετε ένα τροποποιημένο και
χειροποίητη συσκευασία - όλα είναι εύκολα! Με αυτό, μπορείτε να εκτελέσετε ένα σύνολο
μια σειρά από κλασικές εργασίες όπως σάρωση, tracorute, επιθέσεις και ανίχνευση
υποδομή δικτύου. Σε ένα μπουκάλι, παίρνουμε μια αντικατάσταση για τέτοια δημοφιλή βοηθητικά προγράμματα,
όπως: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f κ.λπ. Σε αυτό
Ίδια στιγμή Scapyσας επιτρέπει να εκτελέσετε οποιαδήποτε, ακόμα και την πιο συγκεκριμένη
μια εργασία που δεν θα είναι ποτέ σε θέση να την κάνει που έχει ήδη δημιουργηθεί από άλλον προγραμματιστή
που σημαίνει. Αντί να γράψετε ένα ολόκληρο βουνό από γραμμές στο C, έτσι ώστε, για παράδειγμα,
δημιουργήστε το λάθος πακέτο και θολώστε κάποιο δαίμονα, είναι αρκετό
ρίξτε μερικές γραμμές κώδικα χρησιμοποιώντας Scapy! Το πρόγραμμα δεν έχει
γραφική διεπαφή και η διαδραστικότητα επιτυγχάνεται μέσω του διερμηνέα
Πύθων. Συνηθίστε το λίγο και δεν θα σας κοστίσει τίποτα να δημιουργήσετε λάθος
πακέτα, εισάγουν τα απαραίτητα πλαίσια 802.11, συνδυάζουν διαφορετικές προσεγγίσεις στις επιθέσεις
(ας πούμε, δηλητηρίαση κρυφής μνήμης ARP και μεταπήδηση VLAN), κ.λπ. Οι προγραμματιστές επιμένουν
για το γεγονός ότι οι δυνατότητες του Scapy χρησιμοποιούνται σε άλλα έργα. Συνδέοντάς την
ως ενότητα, είναι εύκολο να δημιουργηθεί ένα βοηθητικό πρόγραμμα για διάφορα είδη τοπικής έρευνας,
αναζήτηση για τρωτά σημεία, Wi-Fi injection, αυτόματη εκτέλεση συγκεκριμένων
εργασίες κ.λπ.

πακέτο

Δικτυακός τόπος:
Πλατφόρμα: *nix, υπάρχει θύρα για Windows

Μια ενδιαφέρουσα εξέλιξη που επιτρέπει, αφενός, να δημιουργήσει οποιαδήποτε
πακέτο ethernet και, από την άλλη πλευρά, στείλτε ακολουθίες πακέτων στο
ελέγχους διεκπεραίωσης. Σε αντίθεση με άλλα παρόμοια εργαλεία, πακέτο
Εχει GUI, επιτρέποντάς σας να δημιουργείτε πακέτα με τον πιο απλό τρόπο
μορφή. Περαιτέρω περισσότερα. Ιδιαίτερα επεξεργάστηκε τη δημιουργία και την αποστολή
ακολουθίες πακέτων. Μπορείτε να ορίσετε καθυστερήσεις μεταξύ της αποστολής,
στείλτε πακέτα με τη μέγιστη ταχύτητα για να δοκιμάσετε την απόδοση
τμήμα του δικτύου (ναι, εδώ θα ddos) και, αυτό που είναι ακόμα πιο ενδιαφέρον -
αλλάζει δυναμικά τις παραμέτρους σε πακέτα (για παράδειγμα, διεύθυνση IP ή MAC).



Παρόμοιο περιεχόμενο

Διάλογος στα γερμανικά
Παράθυρο

Διάλογος στα γερμανικά

Τι να μαγειρέψετε με μπρόκολο
Παράθυρο

Τι να μαγειρέψετε με μπρόκολο

Φαγόπυρο με μανιτάρια και κοτόπουλο ψημένο στο φούρνο με ξινή κρέμα συνταγή μαγειρικής Βήμα προς βήμα μαγείρεμα με φωτογραφία φαγόπυρου με μανιτάρια και κοτόπουλο
Παράθυρο

Φαγόπυρο με μανιτάρια και κοτόπουλο ψημένο στο φούρνο με ξινή κρέμα συνταγή μαγειρικής Βήμα προς βήμα μαγείρεμα με φωτογραφία φαγόπυρου με μανιτάρια και κοτόπουλο