Анализатор пакетов

Компьютерное сетевое оборудование или программное обеспечение, анализирующее сетевой трафик.

Скриншот анализатора сетевых протоколов Wireshark

Анализатор пакетов , также известный как анализатор пакетов , анализатор протоколов или сетевой анализатор , ^{[1] [2] [3] [4] [5] [6] [7] [8]} — это компьютерная программа или компьютерное оборудование , такое как устройство перехвата пакетов , которое может анализировать и регистрировать трафик, проходящий через компьютерную сеть или часть сети. ^[9] Захват пакетов — это процесс перехвата и регистрации трафика. По мере прохождения потоков данных по сети анализатор захватывает каждый пакет и, при необходимости, декодирует необработанные данные пакета, показывая значения различных полей в пакете, и анализирует его содержимое в соответствии с соответствующим RFC или другими спецификациями.

Анализатор пакетов, используемый для перехвата трафика в беспроводных сетях, известен как анализатор беспроводной сети или анализатор WiFi . Хотя анализатор пакетов также можно называть анализатором сети или анализатором протоколов, эти термины могут иметь и другие значения. Анализатор протоколов технически может представлять собой более широкий и общий класс, включающий анализаторы/снифферы пакетов. ^[10] Однако эти термины часто используются как взаимозаменяемые. ^[11]

Возможности

В проводных сетях с разделяемой средой , таких как Ethernet , Token Ring и FDDI , в зависимости от структуры сети ( концентратор или коммутатор ) ^{[12] [a]} может оказаться возможным перехват всего трафика в сети с одной машины. В современных сетях трафик можно захватывать с помощью сетевого коммутатора с использованием зеркалирования портов , которое зеркалирует все пакеты, проходящие через назначенные порты коммутатора, на другой порт, если коммутатор поддерживает зеркалирование портов. Сетевой перехват является даже более надежным решением, чем использование порта мониторинга, поскольку перехватчики с меньшей вероятностью будут отбрасывать пакеты при высокой нагрузке трафика.

В беспроводных локальных сетях трафик можно захватывать по одному каналу за раз или с помощью нескольких адаптеров по нескольким каналам одновременно.

В проводных широковещательных и беспроводных локальных сетях для захвата одноадресного трафика между другими компьютерами сетевой адаптер, захватывающий трафик, должен находиться в неразборчивом режиме . В беспроводных локальных сетях, даже если адаптер находится в неразборчивом режиме, пакеты, не относящиеся к набору служб, для которых настроен адаптер, обычно игнорируются. Чтобы увидеть эти пакеты, адаптер должен находиться в режиме монитора . ^{[ необходима цитация ]} Никаких специальных мер не требуется для захвата многоадресного трафика в группу многоадресной рассылки, которую анализатор пакетов уже отслеживает, или широковещательного трафика.

При захвате трафика записывается либо все содержимое пакетов, либо только заголовки . Запись только заголовков снижает требования к хранению и позволяет избежать некоторых юридических проблем, связанных с конфиденциальностью , но при этом часто предоставляет достаточную информацию для диагностики проблем.

Собранная информация декодируется из необработанной цифровой формы в удобочитаемый формат , который позволяет инженерам просматривать обмениваемую информацию. Анализаторы протоколов различаются по своим возможностям отображения и анализа данных.

Некоторые анализаторы протоколов также могут генерировать трафик. Они могут действовать как тестеры протоколов. Такие тестеры генерируют трафик, соответствующий протоколу, для функционального тестирования, а также могут иметь возможность намеренно вводить ошибки для проверки способности тестируемого устройства обрабатывать ошибки. ^{[13] [14]}

Анализаторы протоколов также могут быть аппаратными, либо в формате зонда, либо, что становится все более распространенным, в сочетании с дисковым массивом. Эти устройства записывают пакеты или заголовки пакетов в дисковый массив.

Использование

Анализаторы пакетов могут:

• Анализ сетевых проблем
• Обнаружение попыток вторжения в сеть
• Обнаружение злоупотреблений сетью внутренними и внешними пользователями
• Документирование соответствия нормативным требованиям путем регистрации всего трафика по периметру и конечным точкам.
• Получите информацию для осуществления вторжения в сеть.
• Определить сбор данных и совместное использование программного обеспечения, такого как операционные системы (для усиления конфиденциальности , контроля и безопасности).
• Помощь в сборе информации для изоляции эксплуатируемых систем.
• Мониторинг использования полосы пропускания WAN
• Мониторинг использования сети (включая внутренних и внешних пользователей и системы)
• Мониторинг данных в пути
• Мониторинг состояния глобальной сети и безопасности конечных точек
• Собирать и сообщать сетевую статистику
• Выявление подозрительного контента в сетевом трафике
• Устранение проблем с производительностью путем мониторинга сетевых данных из приложения.
• Служить основным источником данных для ежедневного мониторинга и управления сетью.
• Шпионьте за другими пользователями сети и собирайте конфиденциальную информацию, такую ​​как данные для входа в систему или файлы cookie пользователей (в зависимости от используемых методов шифрования контента).
• Реверс-инжиниринг собственных протоколов, используемых в сети.
• Отладка связи клиент/сервер
• Отладка реализаций сетевых протоколов
• Проверка добавлений, перемещений и изменений
• Проверка эффективности системы внутреннего контроля ( брандмауэры , контроль доступа, веб-фильтр, спам-фильтр, прокси-сервер)

Перехват пакетов может использоваться для выполнения ордера правоохранительных органов на прослушивание всего сетевого трафика, генерируемого отдельным лицом. Интернет-провайдеры и провайдеры VoIP в США должны соблюдать положения Закона о коммуникационной помощи правоохранительным органам . Используя захват и хранение пакетов, операторы связи могут обеспечить требуемый законом безопасный и отдельный доступ к целевому сетевому трафику и могут использовать одно и то же устройство в целях внутренней безопасности. Сбор данных из системы оператора связи без ордера является незаконным в соответствии с законами о перехвате. Используя сквозное шифрование , можно сохранить конфиденциальность сообщений от операторов связи и юридических органов.

Известные анализаторы пакетов

• Сетевой мультиметр Аллегро
• Сетевой анализатор Capsa
• Прокси-сервер Charles для веб-отладки
• Карнивор (программное обеспечение)
• КоммВью
• dSniff
• Платформа захвата пакетов EndaceProbe
• эттеркэп
• Скрипач
• Кисмет
• Ланметр
• Сетевой монитор Майкрософт
• НарусИнсайт
• NetScout Systems nGenius Infinistream
• ngrep , сетевой Греп
• OmniPeek , Omnipliance от Savvius
• Скайграббер
• Нюхач _
• шпионить
• tcpdump
• Наблюдатель Анализатор
• Wireshark (ранее известный как Ethereal)
• Инструмент сетевого криминалистического анализа Xplico с открытым исходным кодом

Смотрите также

• Анализатор шины
• Логический анализатор
• Сетевой детектор
• ПКАП
• Сигнальная разведка
• Модель генерации трафика

Примечания

1. Некоторые методы позволяют избежать сужения трафика коммутаторами для получения доступа к трафику от других систем в сети (например, подмена ARP ).

Рекомендации

1. Чаппл, Майк; Стюарт, Джеймс Майкл; Гибсон, Дэррил (2018). (ISC)2 Официальное учебное пособие для сертифицированных CISSP специалистов по безопасности информационных систем. Джон Уайли и сыновья. ISBN 978-1-119-47587-3. Сниффер (также называемый анализатором пакетов или анализатором протоколов) — это программное приложение, которое захватывает трафик, проходящий по сети.
2. Ракибул, Хок, Мэриленд; Эдвард, Башоу, Р. (2020). Трансграничный маркетинг и менеджмент электронной коммерции. IGI Global. п. 186. ИСБН 978-1-7998-5824-9. Обнюхивание пакетов: он также известен как анализатор пакетов, анализатор протоколов.{{cite book}}: CS1 maint: несколько имен: список авторов ( ссылка )
3. Трост, Райан (2009). Практический анализ вторжений: предотвращение и обнаружение в двадцать первом веке: предотвращение и обнаружение в двадцать первом веке. Пирсон Образование. ISBN 978-0-321-59188-3. Анализатор пакетов (также известный как анализатор пакетов, анализатор протоколов или сетевой анализатор) отслеживает сетевой трафик.
4. Киберправо, конфиденциальность и безопасность: концепции, методологии, инструменты и приложения. IGI Global. 2019. с. 58. ИСБН 978-1-5225-8898-6. Анализ пакетов: анализатор пакетов, также называемый анализатором сети, анализатором протоколов или анализатором пакетов.
5. Асродия, Паллави; Патель, Хемлата (2012). «Анализ различных инструментов перехвата пакетов для мониторинга и анализа сети». Международный журнал по электротехнике, электронике и вычислительной технике : 55. CiteSeerX 10.1.1.429.567 . ISSN  2277-2626. Анализ пакетов... также известный как анализатор сети или протокола или анализатор Ethernet. 
6. «Что такое анализатор пакетов?». www.kaspersky.com . 2018.
7. «Что такое захват сетевых пакетов?». www.endace.com . 2023.
8. «Определение сетевого анализатора» . ПКМАГ .
9. Кевин Дж. Коннолли (2003). Закон об интернет-безопасности и конфиденциальности . Издательство Аспен . п. 131. ИСБН 978-0-7355-4273-0.
10. Сикос, Лесли Ф. (2020). «Анализ пакетов для сетевой криминалистики: комплексное исследование». Forensic Science International: Цифровые расследования . 32 : 200892. doi : 10.1016/j.fsidi.2019.200892 . ISSN  2666-2817. S2CID  212863330. Те анализаторы протоколов, которые предназначены для анализа пакетов, называются анализаторами пакетов (снифферами пакетов, иногда сетевыми анализаторами).
11. Поултон, Дон (2012). Руководство по сертификации MCTS 70-642: Сетевая инфраструктура Windows Server 2008, настройка. Пирсон Образование. ISBN 978-0-13-280216-1. анализатор протоколов. Анализатор протоколов, также известный как сетевой анализатор или анализатор пакетов, представляет собой аппаратное устройство или программную программу, которая позволяет захватывать, хранить и анализировать каждый пакет, проходящий через вашу сеть.
12. «Определение сегмента сети» . www.linfo.org . Проверено 14 января 2016 г.
13. «Лабораторные анализаторы протоколов». www.amilabs.com . Проверено 30 июня 2023 г.
14. Шивакумар (18 декабря 2020 г.). «Где используется анализатор протоколов?». Продиджи Техновейшнс . Проверено 30 июня 2023 г.

Внешние ссылки

• Анализаторы протоколов в Curlie
• Захват пакетов