Анализатор пакетов

Эта статья требует дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален.
Поиск источников: «Анализатор пакетов» - новости · газеты · книги · ученый · JSTOR ( март 2013 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения )

Скриншот анализатора сетевых протоколов Wireshark

Пакетов анализатор или анализатор пакеты является компьютерной программой или компьютерными аппаратные средствами , таких как захват пакетов прибор , который может перехватывать и журнал трафик , который проходит через компьютерную сеть или часть сети. ^[1] Захват пакетов - это процесс перехвата и регистрации трафика. По мере прохождения потоков данных по сети анализатор захватывает каждый пакет и, при необходимости, декодирует необработанные данные пакета, показывая значения различных полей в пакете, и анализирует его содержимое согласно соответствующему RFC или другим спецификациям.

Анализатор пакетов, используемый для перехвата трафика в беспроводных сетях, известен как анализатор беспроводной сети или анализатор WiFi . Анализатор пакетов также может называться анализатором сети или анализатором протокола, хотя эти термины имеют и другие значения.

Возможности [ править ]

В проводных сетях с общей средой , таких как Ethernet , Token Ring и FDDI , в зависимости от сетевой структуры ( концентратор или коммутатор ) ^[2]^[a] может быть возможно захватить весь трафик в сети с одной машины. В современных сетях трафик может быть захвачен с помощью сетевого коммутатора с использованием зеркалирования портов , которое отражает все пакеты, проходящие через назначенные порты коммутатора на другой порт, если коммутатор поддерживает зеркалирование портов. Сеть кран является еще более надежным решением , чем использовать порт мониторинга , поскольку краны имеют меньше шансов отбрасывать пакеты во время высокой нагрузки трафика.

В беспроводных локальных сетях трафик может захватываться по одному каналу за раз или с использованием нескольких адаптеров одновременно по нескольким каналам.

В проводных широковещательных и беспроводных локальных сетях для перехвата одноадресного трафика между другими машинами сетевой адаптер, перехватывающий трафик, должен находиться в беспорядочном режиме . В беспроводных локальных сетях, даже если адаптер находится в беспорядочном режиме, пакеты, не относящиеся к набору служб, для которого настроен адаптер, обычно игнорируются. Чтобы увидеть эти пакеты, адаптер должен находиться в режиме монитора . ^{[ необходима цитата ]} Никаких специальных положений не требуется для захвата многоадресного трафика в группу многоадресной рассылки, которую анализатор пакетов уже отслеживает, или широковещательного трафика.

При захвате трафика записывается либо все содержимое пакетов, либо только заголовки . Запись только заголовков снижает требования к хранилищу и позволяет избежать некоторых юридических проблем , связанных с конфиденциальностью , но часто предоставляет достаточно информации для диагностики проблем.

Собранная информация декодируется из необработанной цифровой формы в удобочитаемый формат, который позволяет инженерам просматривать полученную информацию. Анализаторы протоколов различаются по своим способностям отображать и анализировать данные.

Некоторые анализаторы протокола также могут генерировать трафик. Они могут действовать как тестеры протокола. Такие тестеры генерируют корректный для протокола трафик для функционального тестирования, а также могут иметь возможность преднамеренно вносить ошибки, чтобы проверить способность тестируемого устройства обрабатывать ошибки. ^{[ необходима цитата ]}

Анализаторы протоколов также могут быть аппаратными, либо в формате зондов, либо, что становится все более распространенным, в сочетании с дисковым массивом. Эти устройства записывают пакеты или заголовки пакетов на дисковый массив. Это позволяет проводить исторический криминалистический анализ пакетов без необходимости воссоздавать какие-либо ошибки. ^{[ необходима цитата ]}

Использует [ редактировать ]

Анализаторы пакетов могут: ^[3]

Анализируйте сетевые проблемы
Обнаружение попыток вторжения в сеть
Обнаружение неправомерного использования сети внутренними и внешними пользователями
Документирование соответствия нормативным требованиям посредством регистрации всего трафика периметра и конечных точек
Получите информацию для осуществления сетевого вторжения
Помощь в сборе информации для изоляции эксплуатируемых систем
Мониторинг использования полосы пропускания WAN
Мониторинг использования сети (включая внутренних и внешних пользователей и системы)
Мониторинг данных в пути
Мониторинг состояния безопасности WAN и конечных точек
Собирать и сообщать сетевую статистику
Выявление подозрительного контента в сетевом трафике
Устранение проблем с производительностью путем мониторинга сетевых данных из приложения
Служить основным источником данных для повседневного мониторинга и управления сетью
Следите за другими пользователями сети и собирайте конфиденциальную информацию, такую как данные для входа или файлы cookie пользователей (в зависимости от любых методов шифрования контента, которые могут использоваться)
Собственные протоколы обратного проектирования , используемые в сети
Отладка взаимодействия клиент / сервер
Отладка реализации сетевого протокола
Проверка добавлений, перемещений и изменений
Проверить эффективность системы внутреннего контроля ( брандмауэры , контроль доступа, веб-фильтр, фильтр спама, прокси)

Захват пакетов может использоваться для выполнения ордера правоохранительных органов на прослушивание всего сетевого трафика, генерируемого физическим лицом. Провайдеры интернет-услуг и провайдеры VoIP в США должны соблюдать положения Закона о предоставлении помощи в связи с правоохранительными органами . Используя захват и хранение пакетов, операторы связи могут обеспечить требуемый законом безопасный и отдельный доступ к целевому сетевому трафику и могут использовать одно и то же устройство в целях внутренней безопасности. Сбор данных из системы-носителя без ордера является незаконным из-за законов о перехвате. Используя сквозное шифрование, сообщения могут быть конфиденциальными от операторов связи и юридических органов.

Известные анализаторы пакетов [ править ]

Сетевой анализатор Capsa
Прокси-сервер для веб-отладки Charles
Carnivore (программное обеспечение)
CommView
dSniff
Платформа аналитики EndaceProbe от Endace
Ettercap
Скрипач
Кисмет
Lanmeter
Монитор сети Microsoft
НарусИнсайт
Системы NetScout nGenius Infinistream
ngrep , Сеть Grep
OmniPeek , Omnipliance Саввиуса
SkyGrabber
шпионить
tcpdump
Наблюдатель Анализатор
Wireshark (ранее известный как Ethereal)
Инструмент криминалистического анализа сети с открытым исходным кодом Xplico

См. Также [ править ]

Анализатор шины
Логический анализатор
Детектор сети
pcap
Сигналы разведки
Модель генерации трафика

Заметки [ править ]

^ Некоторые методы позволяют избежать сужения трафика коммутаторами для получения доступа к трафику из других систем в сети (например, спуфинг ARP ).

Ссылки [ править ]

^ Кевин Дж. Коннолли (2003). Закон интернет-безопасности и конфиденциальности . Издательство Aspen . п. 131. ISBN. 978-0-7355-4273-0.
^ «Определение сегмента сети» . www.linfo.org . Проверено 14 января 2016 года .
^ "Обнюхивание пакетов" . www.networxsecurity.org . Проверено 12 октября 2019 года .

Внешние ссылки [ править ]

Викискладе есть медиафайлы по компьютерным анализаторам сетей передачи данных .

В Викиверситете есть учебные ресурсы об анализаторе пакетов

Анализаторы протоколов в Curlie
Многоканальный захват сетевых пакетов

[3] Некоторые методы позволяют избежать сужения трафика коммутаторами для получения доступа к трафику из других систем в сети (например, спуфинг ARP ).

[1] Кевин Дж. Коннолли (2003). Закон интернет-безопасности и конфиденциальности . Издательство Aspen . п. 131. ISBN. 978-0-7355-4273-0.

[2] «Определение сегмента сети» . www.linfo.org . Проверено 14 января 2016 года .

[4] "Обнюхивание пакетов" . www.networxsecurity.org . Проверено 12 октября 2019 года .

[1]