Анализатор пакетов

Компьютерное сетевое оборудование или программное обеспечение, анализирующее сетевой трафик.

Скриншот анализатора сетевых протоколов Wireshark

Анализатор пакетов (также сниффер пакетов или сетевой анализатор ) ^{[1] [2] [3] [4] [5] [6] [7] [8]} — это компьютерная программа или компьютерное оборудование , такое как устройство захвата пакетов , которое может анализировать и регистрировать трафик, проходящий через компьютерную сеть или часть сети. ^[9] Захват пакетов — это процесс перехвата и регистрации трафика. По мере того, как потоки данных проходят по сети, анализатор захватывает каждый пакет и, при необходимости, декодирует необработанные данные пакета, показывая значения различных полей в пакете, и анализирует его содержимое в соответствии с соответствующим RFC или другими спецификациями.

Анализатор пакетов, используемый для перехвата трафика в беспроводных сетях, называется беспроводным анализатором , а те, что разработаны специально для сетей Wi-Fi, называются анализаторами Wi-Fi . ^[a] Хотя анализатор пакетов также может называться сетевым анализатором или анализатором протоколов , эти термины могут иметь и другие значения. Анализатор протоколов технически может быть более широким, более общим классом, который включает анализаторы/снифферы пакетов. ^[10] Однако эти термины часто используются взаимозаменяемо. ^[11]

Возможности

В проводных сетях с разделяемой средой , таких как Ethernet , Token Ring и FDDI , в зависимости от структуры сети ( концентратор или коммутатор ), ^{[12] [b]} может быть возможным захват всего трафика в сети с одной машины. В современных сетях трафик может быть захвачен с помощью сетевого коммутатора с использованием зеркалирования портов , которое зеркалирует все пакеты, проходящие через назначенные порты коммутатора, на другой порт, если коммутатор поддерживает зеркалирование портов. Сетевой ответвитель является даже более надежным решением, чем использование порта мониторинга, поскольку ответвители с меньшей вероятностью будут терять пакеты во время высокой нагрузки трафика.

В беспроводных локальных сетях трафик может захватываться по одному каналу за раз или, используя несколько адаптеров, по нескольким каналам одновременно.

В проводных широковещательных и беспроводных локальных сетях для захвата одноадресного трафика между другими машинами сетевой адаптер, захватывающий трафик, должен находиться в беспорядочном режиме . В беспроводных локальных сетях, даже если адаптер находится в беспорядочном режиме, пакеты, не относящиеся к набору служб, для которого настроен адаптер, обычно игнорируются. Чтобы увидеть эти пакеты, адаптер должен находиться в режиме мониторинга . ^{[ необходима цитата ] Для захвата} многоадресного трафика в многоадресную группу, которую анализатор пакетов уже отслеживает, или широковещательного трафика не требуется никаких специальных положений .

При захвате трафика записывается либо все содержимое пакетов, либо только заголовки . Запись только заголовков снижает требования к хранению и позволяет избежать некоторых юридических проблем с конфиденциальностью , но часто предоставляет достаточно информации для диагностики проблем.

Полученная информация декодируется из необработанной цифровой формы в читаемый человеком формат , который позволяет инженерам просматривать обмененную информацию. Анализаторы протоколов различаются по своим возможностям отображения и анализа данных.

Некоторые анализаторы протоколов также могут генерировать трафик. Они могут выступать в качестве тестеров протоколов. Такие тестеры генерируют трафик, соответствующий протоколу, для функционального тестирования, а также могут иметь возможность преднамеренно вводить ошибки для проверки способности тестируемого устройства обрабатывать ошибки. ^{[13] [14]}

Анализаторы протоколов также могут быть аппаратными, либо в формате зонда, либо, как это все чаще встречается, в сочетании с дисковым массивом. Эти устройства записывают пакеты или заголовки пакетов на дисковый массив.

Использует

Анализаторы пакетов могут:

• Анализ сетевых проблем
• Обнаружение попыток вторжения в сеть
• Обнаружение неправомерного использования сети внутренними и внешними пользователями
• Документирование соответствия нормативным требованиям путем регистрации всего трафика по периметру и конечным точкам
• Получить информацию для осуществления сетевого вторжения
• Определить сбор данных и обмен программным обеспечением, таким как операционные системы (для усиления конфиденциальности , контроля и безопасности)
• Помощь в сборе информации для изоляции эксплуатируемых систем
• Мониторинг использования полосы пропускания WAN
• Мониторинг использования сети (включая внутренних и внешних пользователей и системы)
• Мониторинг данных в процессе передачи
• Мониторинг состояния безопасности WAN и конечных точек
• Собирайте и сообщайте сетевую статистику
• Выявление подозрительного контента в сетевом трафике
• Устранение неполадок производительности путем мониторинга сетевых данных из приложения
• Служить основным источником данных для ежедневного мониторинга и управления сетью.
• Шпионить за другими пользователями сети и собирать конфиденциальную информацию, такую ​​как данные для входа в систему или файлы cookie пользователей (в зависимости от используемых методов шифрования контента)
• Обратное проектирование фирменных протоколов, используемых в сети
• Отладка клиент-серверных коммуникаций
• Отладка реализаций сетевых протоколов
• Проверка добавлений, перемещений и изменений
• Проверка эффективности системы внутреннего контроля ( межсетевые экраны , контроль доступа, веб-фильтр, спам-фильтр, прокси-сервер)

Захват пакетов может быть использован для выполнения ордера от правоохранительных органов на прослушивание всего сетевого трафика, генерируемого отдельным лицом. Поставщики интернет-услуг и поставщики VoIP в Соединенных Штатах должны соблюдать положения Закона о содействии связи для правоохранительных органов . Используя захват и хранение пакетов, операторы связи могут предоставлять требуемый законом безопасный и отдельный доступ к целевому сетевому трафику и могут использовать то же устройство для целей внутренней безопасности. Сбор данных из системы оператора без ордера является незаконным из-за законов о перехвате. Используя сквозное шифрование , сообщения могут быть сохранены в тайне от операторов связи и правоохранительных органов.

Известные анализаторы пакетов

• Сетевой мультиметр Allegro
• Сетевой анализатор Capsa
• Отладочный прокси-сервер Charles Web
• Плотоядное животное (программное обеспечение)
• CommView
• dSniff
• Платформа захвата пакетов EndaceProbe
• ettercap
• Скрипач
• Кисмет
• Ланметр
• Сетевой монитор Microsoft
• NarusInsight
• Системы NetScout nGenius Infinistream
• ngrep , Сетевой Grep
• OmniPeek , Omnipliance от Savvius
• СкайГраббер
• Нюхач​
• шпионить
• tcpdump
• Анализатор наблюдателей
• Wireshark (ранее известный как Ethereal)
• Xplico Инструмент для анализа сети с открытым исходным кодом

Смотрите также

• Анализатор шины
• Логический анализатор
• Сетевой детектор
• pcap
• Сигнальная разведка
• Модель генерации трафика

Примечания

1. Термин «анализатор Wi-Fi» также используется для описания инструментов/программного обеспечения для обследования беспроводных площадок .
2. Некоторые методы позволяют избежать сужения трафика коммутаторами, чтобы получить доступ к трафику других систем в сети (например, подмена ARP ).

Ссылки

1. Чаппл, Майк; Стюарт, Джеймс Майкл; Гибсон, Даррил (2018). (ISC)2 CISSP Сертифицированный специалист по безопасности информационных систем Официальное учебное пособие. John Wiley & Sons. ISBN 978-1-119-47587-3. Архивировано из оригинала 5 апреля 2023 г. . Получено 23 марта 2023 г. . Сниффер (также называемый анализатором пакетов или анализатором протоколов) — это программное приложение, которое захватывает трафик, проходящий по сети.
2. Ракибул, Хок, Мэриленд; Эдвард, Башоу, Р. (2020). Трансграничный маркетинг и менеджмент электронной коммерции. IGI Global. п. 186. ИСБН 978-1-7998-5824-9. Архивировано из оригинала 5 апреля 2023 г. . Получено 23 марта 2023 г. . Анализ пакетов: также известен как анализатор пакетов, анализатор протоколов{{cite book}}: CS1 maint: несколько имен: список авторов ( ссылка )
3. Трост, Райан (2009). Практический анализ вторжений: предотвращение и обнаружение в XXI веке: предотвращение и обнаружение в XXI веке. Pearson Education. ISBN 978-0-321-59188-3. Архивировано из оригинала 5 апреля 2023 г. . Получено 23 марта 2023 г. . Анализатор пакетов (также известный как анализатор пакетов, анализатор протоколов или сетевой анализатор) отслеживает сетевой трафик
4. Киберправо, конфиденциальность и безопасность: концепции, методологии, инструменты и приложения. IGI Global. 2019. стр. 58. ISBN 978-1-5225-8898-6. Архивировано из оригинала 6 апреля 2023 г. . Получено 23 марта 2023 г. . Анализ пакетов: анализатор пакетов, также называемый сетевым анализатором, анализатором протоколов или сниффером пакетов
5. Асродия, Паллави; Патель, Хемлата (2012). «Анализ различных инструментов анализа пакетов для мониторинга и анализа сетей». Международный журнал по электротехнике, электронике и вычислительной технике : 55. CiteSeerX 10.1.1.429.567 . ISSN  2277-2626. Анализ пакетов... также известный как сетевой или протокольный анализатор или Ethernet-анализатор 
6. «Что такое Packet Sniffer?». www.kaspersky.com . 2018. Архивировано из оригинала 30 августа 2023 г. Получено 26 декабря 2021 г.
7. «Что такое захват сетевых пакетов?». www.endace.com . 2023. Архивировано из оригинала 30 июля 2023 г. Получено 5 апреля 2023 г.
8. "Определение сетевого анализатора". PCMAG . Архивировано из оригинала 5 апреля 2023 г. Получено 26 декабря 2021 г.
9. Кевин Дж. Коннолли (2003). Закон безопасности и конфиденциальности в Интернете . Aspen Publishers . стр. 131. ISBN 978-0-7355-4273-0.
10. Sikos, Leslie F. (2020). «Анализ пакетов для сетевой криминалистики: комплексное исследование». Forensic Science International: Digital Investigation . 32 : 200892. doi : 10.1016/j.fsidi.2019.200892 . ISSN  2666-2817. S2CID  212863330. Те анализаторы протоколов, которые предназначены для анализа пакетов, называются анализаторами пакетов (анализаторами пакетов, иногда сетевыми анализаторами).
11. Poulton, Don (2012). Руководство по сертификации MCTS 70-642: Сетевая инфраструктура Windows Server 2008, настройка. Pearson Education. ISBN 978-0-13-280216-1. Архивировано из оригинала 13 апреля 2023 г. . Получено 23 марта 2023 г. . анализатор протоколов. Также известный как сетевой анализатор или анализатор пакетов, анализатор протоколов — это аппаратное устройство или программное обеспечение, которое позволяет вам захватывать, хранить и анализировать каждый пакет, проходящий через вашу сеть.
12. "Определение сегмента сети". www.linfo.org . Архивировано из оригинала 7 июня 2023 г. Получено 14 января 2016 г.
13. "Lab Protocol Analyzers". www.amilabs.com . Архивировано из оригинала 30 июня 2023 г. . Получено 30 июня 2023 г. .
14. shivakumar (18 декабря 2020 г.). "Где используется анализатор протоколов?". Prodigy Technovations . Архивировано из оригинала 30 июня 2023 г. . Получено 30 июня 2023 г. .

Внешние ссылки

• Захват пакетов