Пакетов анализатор или анализатор пакеты является компьютерной программой или компьютерными аппаратные средствами , таких как захват пакетов прибор , который может перехватывать и журнал трафик , который проходит через компьютерную сеть или часть сети. [1] Захват пакетов - это процесс перехвата и регистрации трафика. По мере прохождения потоков данных по сети анализатор захватывает каждый пакет и, при необходимости, декодирует необработанные данные пакета, показывая значения различных полей в пакете, и анализирует его содержимое согласно соответствующему RFC или другим спецификациям.
Анализатор пакетов, используемый для перехвата трафика в беспроводных сетях, известен как анализатор беспроводной сети или анализатор WiFi . Анализатор пакетов также может называться анализатором сети или анализатором протокола, хотя эти термины имеют и другие значения.
Возможности
В проводных сетях с общей средой , таких как Ethernet , Token Ring и FDDI , в зависимости от сетевой структуры ( концентратор или коммутатор ) [2] [a] может быть возможно захватить весь трафик в сети с одной машины. В современных сетях трафик может быть захвачен с помощью сетевого коммутатора с использованием зеркалирования портов , которое отражает все пакеты, проходящие через назначенные порты коммутатора на другой порт, если коммутатор поддерживает зеркалирование портов. Сеть кран является еще более надежным решением , чем использовать порт мониторинга , поскольку краны имеют меньше шансов отбрасывать пакеты во время высокой нагрузки трафика.
В беспроводных локальных сетях трафик может захватываться по одному каналу за раз или с использованием нескольких адаптеров одновременно по нескольким каналам.
В проводных широковещательных и беспроводных локальных сетях для перехвата одноадресного трафика между другими машинами сетевой адаптер, перехватывающий трафик, должен находиться в беспорядочном режиме . В беспроводных локальных сетях, даже если адаптер находится в беспорядочном режиме, пакеты, не относящиеся к сервисному набору, для которого настроен адаптер, обычно игнорируются. Чтобы увидеть эти пакеты, адаптер должен находиться в режиме монитора . [ необходима цитата ] Никаких специальных положений не требуется для захвата многоадресного трафика в группу многоадресной рассылки, которую анализатор пакетов уже отслеживает, или широковещательного трафика.
При захвате трафика записывается либо все содержимое пакетов, либо только заголовки . Запись только заголовков снижает требования к хранилищу и позволяет избежать некоторых юридических проблем , связанных с конфиденциальностью , но часто предоставляет достаточно информации для диагностики проблем.
Собранная информация декодируется из необработанной цифровой формы в удобочитаемый формат, который позволяет инженерам просматривать полученную информацию. Анализаторы протоколов различаются по своим способностям отображать и анализировать данные.
Некоторые анализаторы протокола также могут генерировать трафик. Они могут действовать как тестеры протокола. Такие тестеры генерируют корректный для протокола трафик для функционального тестирования, а также могут иметь возможность намеренно вносить ошибки, чтобы проверить способность тестируемого устройства обрабатывать ошибки. [ необходима цитата ]
Анализаторы протоколов также могут быть аппаратными, либо в формате зондов, либо, что становится все более распространенным, в сочетании с дисковым массивом. Эти устройства записывают пакеты или заголовки пакетов на дисковый массив.
Использует
Анализаторы пакетов могут: [3]
- Анализируйте сетевые проблемы
- Обнаружение попыток вторжения в сеть
- Обнаружение неправомерного использования сети внутренними и внешними пользователями
- Документирование соответствия нормативным требованиям посредством регистрации всего трафика периметра и конечных точек
- Получите информацию для осуществления сетевого вторжения
- Помощь в сборе информации для изоляции эксплуатируемых систем
- Мониторинг использования полосы пропускания WAN
- Мониторинг использования сети (включая внутренних и внешних пользователей и системы)
- Мониторинг данных в пути
- Мониторинг состояния безопасности WAN и конечных точек
- Собирать и сообщать сетевую статистику
- Выявление подозрительного контента в сетевом трафике
- Устранение проблем с производительностью путем мониторинга сетевых данных из приложения
- Служить основным источником данных для повседневного мониторинга и управления сетью
- Следите за другими пользователями сети и собирайте конфиденциальную информацию, такую как данные для входа в систему или файлы cookie пользователей (в зависимости от используемых методов шифрования контента )
- Собственные протоколы обратного проектирования , используемые в сети
- Отладка взаимодействия клиент / сервер
- Отладка реализации сетевого протокола
- Проверка добавлений, перемещений и изменений
- Проверить эффективность системы внутреннего контроля ( брандмауэры , контроль доступа, веб-фильтр, фильтр спама, прокси)
Захват пакетов может использоваться для выполнения ордера правоохранительных органов на прослушивание всего сетевого трафика, генерируемого физическим лицом. Провайдеры интернет-услуг и провайдеры VoIP в США должны соблюдать положения Закона о предоставлении помощи в связи с правоохранительными органами . Используя захват и хранение пакетов, операторы связи могут обеспечить требуемый законом безопасный и отдельный доступ к целевому сетевому трафику и могут использовать одно и то же устройство в целях внутренней безопасности. Сбор данных из системы-носителя без ордера является незаконным из-за законов о перехвате. Используя сквозное шифрование , можно сохранить конфиденциальность связи от операторов связи и юридических органов.
Известные анализаторы пакетов
- Сетевой анализатор Capsa
- Прокси-сервер для веб-отладки Charles
- Carnivore (программное обеспечение)
- CommView
- dSniff
- Платформа аналитики EndaceProbe от Endace
- Ettercap
- Скрипач
- Кисмет
- Lanmeter
- Монитор сети Microsoft
- НарусИнсайт
- Системы NetScout nGenius Infinistream
- ngrep , Сеть Grep
- OmniPeek , Omnipliance Саввиуса
- SkyGrabber
- шпионить
- tcpdump
- Наблюдатель Анализатор
- Wireshark (ранее известный как Ethereal)
- Инструмент криминалистического анализа сети с открытым исходным кодом Xplico
Смотрите также
- Анализатор шины
- Логический анализатор
- Детектор сети
- pcap
- Сигналы разведки
- Модель генерации трафика
Заметки
- ^ Некоторые методы позволяют избежать сужения трафика коммутаторами для получения доступа к трафику из других систем в сети (например, спуфинг ARP ).
Рекомендации
- ^ Кевин Дж. Коннолли (2003). Закон интернет-безопасности и конфиденциальности . Издательство Aspen . п. 131. ISBN. 978-0-7355-4273-0.
- ^ «Определение сегмента сети» . www.linfo.org . Проверено 14 января 2016 года .
- ^ «Анализ пакетов» . www.networxsecurity.org . Проверено 12 октября 2019 года .
Внешние ссылки
- Анализаторы протоколов в Curlie
- Многоканальный захват сетевых пакетов
- WiFi-адаптер для анализатора пакетов