Отслеживание сетевого трафика что это
Перейти к содержимому

Отслеживание сетевого трафика что это

  • автор:

Система мониторинга и анализа сетевого трафика (Network Forensics)

Широкий спектр сетевых атак («сетевая разведка», парольные атаки, атаки типа Man-in-the-Middle, атаки на приложения, распространение вредоносных программ и т.д.), используемых для получения доступа к информационным ресурсам, применение злоумышленниками комплексных целенаправленных атак (Advanced Persistent Threats, ATP) требуют включения в состав систем обеспечения безопасности информации (СОБИ) специализированных систем/подсистем защиты сетевого уровня.

Одним из возможных эффективных решений является система записи, просмотра и анализа сетевого трафика, которая внедряется в качестве самостоятельной подсистемы СОБИ или дополнения к системам класса SIEM (Security Information and Event Management) в составе Центра управления инцидентами ИБ (SOC – Security Operation Center).

ЭЛВИС-ПЛЮС предлагает построение системы мониторинга и анализа сетевого трафика на базе продукта RSA Security Analytics, построенного на базе архитектуры и возможностей RSA NetWitness (продукта, зарекомендовавшего себя за долгие годы работы в Центре управления инцидентов корпорации EMC, а также во многих других российских и зарубежных компаниях различных направлений деятельности и форм собственности).

Архитектура и основные функции

Система анализа и мониторинга сетевого трафика

Компоненты системы собирают и анализируют сетевой трафик взаимодействия сегментов корпоративной информационной системы (КИС) между собой и с Интернетом. Администратор ИБ на своем автоматизированном рабочем месте может оперативно анализировать зафиксированный сетевой трафик (на основе настроенных правил обработки, графических панелей представления или вручную) и расследовать возможные и обнаруженные инциденты ИБ.

Интерфейс системы предоставляет следующие возможности:

  • Настраиваемые на базе шаблонов инструментальные панели, диаграммы и таблицы, создающие единое представление для анализа угроз.
  • Отчётность по выявленным в сетевом трафике аномалиям и угрозам или различным профилям трафика, включая возможность экспорта данных в различных форматах (HTML, PDF, CSV).

Отправка предупреждений посредством различных протоколов CEF, SNMP, Syslog, SMTP.

Система сохраняет и анализирует содержимое отдельных сетевых пакетов и сессий. Это позволяет извлекать из собранного трафика и мониторить в интерактивном режиме весь подозрительный контент (изображения, аудио, файлы документов и т.д.). Интерфейс визуализации сетевых сессий обеспечивает удобную навигацию, сортировку и воспроизведение содержимого (multi-touch, drill-down, задание временных интервалов).

Преимущества от внедрения
  • Ускорение реакции на критичные для бизнеса инциденты ИБ.
  • Повышение эффективности работы подразделения, ответственного за обеспечение ИБ компании.
  • Повышение эффективности взаимодействия подразделений компании, ответственных за эксплуатацию средств информатизации и обеспечение ИБ.

8 лучших программ для анализа сетевого трафика

Анализ трафика является процессом, важность которого известна любому ИТ-профессионалу, не зависимо от того, работает ли он в небольшой компании или в крупной корпорации. Ведь выявление и исправления проблем с сетью — это настоящее искусство, которое напрямую зависит как от инстинкта самого специалиста, так и от глубины и качества оперируемых им данных. И анализатор трафика является именно тем инструментом, который эти данные предоставляет вам. Выбранное с умом решение для анализа сетевого трафика может не только помочь вам выяснить, как пакеты отправляются, принимаются и насколько сохранно передаются по вашей сети, но и позволит сделать намного-намного больше!

Сейчас на рынке представлено большое количество вариаций программного обеспечения для анализа сетевого трафика. Причем некоторые из них способны вызвать ностальгические воспоминания у специалистов «старой школы»; они используют терминальный шрифт и интерфейс командной строки, и на первый взгляд кажутся сложными в использовании. Другие решения, наоборот, — выделяются простотой установки и ориентированы на аудиторию с визуальным восприятием (они буквально перенасыщены различными графиками). Ценовой диапазон этих решений также весьма существенно отличается — от бесплатных до решений с весьма дорогой корпоративной лицензией.

Для того, чтобы вы в зависимости от своих задач и предпочтений смогли выбрать лучшее решение для анализа сетевого трафика, представляем вам список из наиболее интересных из доступных сейчас на рынке программных продуктов для анализа трафика, а также краткий обзор встроенной в них функциональности для извлечения, обработки и визуального предоставления различной сетевой информации. Часть этих функций у всех приведенных в этом обзоре решений для анализа сетевого трафика схожая — они позволяют с тем или иным уровнем детализации увидеть отправленные и полученные сетевые пакеты, — но практически все из них имеют некоторые характерные особенности, которые делают их уникальными при использовании в определенных ситуациях или сетевых средах. В конце концов, к анализу сетевого трафика мы прибегаем тогда, когда у нас появилась сетевая проблема, но мы не можем быстро свести ее к определенной машине, устройству или протоколу, и нам приходится проводить более глубокий поиск. Мы поможем вам выбрать наиболее подходящее для этих целей программное решение для анализа трафика.

SolarWinds Network Bandwidth Analyzer

трафик анализатор SolarWinds Network Bandwidth Analyzer

Данное решение позиционируется производителем как программный пакет из двух продуктов — Network Performance Monitor (базовое решение) и NetFlow Traffic Analyzer (модульное расширение). Как заявляется, они имеют схожие, но все же отличающиеся функциональные возможности для анализа сетевого трафика, дополняющие друг друга при совместном использовании сразу двух продуктов.

Network Performance Monitor, как следует из названия, осуществляет мониторинг производительности сети и станет для вас заманчивым выбором, если вы хотите получить общее представление о том, что происходит в вашей сети. Покупая это решение, вы платите за возможность контролировать общую работоспособность вашей сети: опираясь на огромное количество статистических данных, таких как скорость и надежность передачи данных и пакетов, в большинстве случаев вы сможете быстро идентифицировать неисправности в работе вашей сети. А продвинутые интеллектуальные возможности программы по выявлению потенциальных проблем и широкие возможности по визуальному представлению результатов в виде таблиц и графиков с четкими предупреждениями о возможных проблемах, еще больше облегчат эту работу.

Модульное расширение NetFlow Traffic Analyzer больше сконцентрировано на анализе самого трафика. В то время, как функциональность базового программного решения Network Performance Monitor больше предназначена для получения общего представления о производительности сети, в NetFlow Traffic Analyzer фокус внимания направлен на более детальный анализ процессов, происходящих в сети. В частности, эта часть программного пакета позволит проанализировать перегрузки или аномальные скачки полосы пропускания и предоставит статистику, отсортированную по пользователям, протоколам или приложениям. Обратите внимание, что данная программа доступна только для среды Windows.

Wireshark

анализатор сетевого трафика Wireshark

WireShark является относительно новым инструментом в большой семье решений для сетевой диагностики, но за это время он уже успел завоевать себе признание и уважение со стороны ИТ-профессионалов. С анализом трафика WireShark справляется превосходно, прекрасно выполняя для вас свою работу. Разработчики смогли найти золотую середину между исходными данными и визуальным представлением этих данных, поэтому в WireShark вы не найдете перекосов в ту или иную сторону, которым грешат большинство других решений для анализа сетевого трафика. WireShark прост, совместим и портативен. Используя WireShark, вы получаете именно то, что ожидаете, и получаете это быстро.

WireShark имеет прекрасный пользовательский интерфейс, множество опций для фильтрации и сортировки, и, что многие из нас смогут оценить по достоинству, анализ трафика WireShark прекрасно работает с любым из трех самых популярных семейств операционных систем — *NIX, Windows и macOS. Добавьте ко всему вышеперечисленному тот факт, что WireShark — программный продукт с открытым исходным кодом и распространяется бесплатно, и вы получите прекрасный инструмент для проведения быстрой диагностики вашей сети.

tcpdump

анализатор трафика локальной сети tcpdump

Анализатор трафика tcpdump выглядит как некий древний инструмент, и, если уж быть до конца откровенными, с точки зрения функциональности работает он также. Несмотря на то, что со своей работой он справляется и справляется хорошо, причем используя для этого минимум системных ресурсов, насколько это вообще возможно, многим современным специалистам будет сложно разобраться в огромном количестве «сухих» таблиц с данными. Но бывают в жизни ситуации, когда использование столь обрезанных и неприхотливых к ресурсам решений может быть полезно. В некоторых средах или на еле работающих ПК минимализм может оказаться единственным приемлемым вариантом.

Изначально программное решение tcpdump разработано для среды *NIX, но на данный момент он также работает с несколькими портами Windows. Он обладает всей базовой функциональностью, которую вы ожидаете увидеть в любом анализаторе трафика — захват, запись и т.д., — но требовать чего-то большего от него не стоит.

Kismet

Kismet анализатор трафика скачать

Анализатор трафика Kismet — еще один пример программного обеспечения с открытым исходным кодом, заточенного для решения конкретных задач. Kismet не просто анализирует сетевой трафик, он предоставляет вам гораздо более расширенные функциональные возможности. К примеру, он способен проводить анализ трафика скрытых сетей и даже беспроводных сетей, которые не транслируют свой идентификатор SSID! Подобный инструмент для анализа трафика может быть чрезвычайно полезен, когда в вашей беспроводной сети есть что-то, вызывающее проблемы, но быстро найти их источник вы не можете. Kismet поможет вам обнаружить неавторизированную сеть или точку доступа, которая работает, но имеет не совсем правильные настройки.

Многие из нас знают не понаслышке, что задача становится более сложной, когда дело доходит до анализа трафика беспроводных сетей, поэтому наличие под рукой такого специализированного инструмента, как Kismet, не только желательно, но и, зачастую, необходимо. Анализатор трафика Kismet станет прекрасным выбором для вас, если вы постоянно имеете дело с большим количеством беспроводного трафика и беспроводных устройств, и вы нуждаетесь в хорошем инструменте для анализа трафика беспроводной сети. Kismet доступен для сред * NIX, Windows под Cygwin и macOS.

EtherApe

EtherApe анализатор трафика в сети

По своим функциональным возможностям EtherApe во многом приближается к WireShark, и он также является программным обеспечением с открытым исходным кодом и распространяется бесплатно. Однако то, чем он действительно выделяется на фоне других решений — это ориентация на графику. И если вы, к примеру, результаты анализа трафика WireShark просматриваете в классическом цифровом виде, то сетевой трафик EtherApe отображается с помощью продвинутого графического интерфейса, где каждая вершина графа представляет собой отдельный хост, размеры вершин и ребер указывают на размер сетевого трафика, а цветом отмечаются различные протоколы. Для тех людей, кто отдает предпочтение визуальному восприятию статистической информации, анализатор EtherApe может стать лучшим выбором. Доступен для сред *NIX и macOS.

Cain and Abel

Cain and Abel анализатор трафика бесплатно

У данного программного обеспечения с весьма любопытным названием возможность анализа трафика является скорее вспомогательной функцией, чем основной. Если ваши задачи выходят далеко за пределы простого анализа трафика, то вам стоит обратить внимание на этот инструмент. С его помощью вы можете восстанавливать пароли для ОС Windows, производить атаки для получения потерянных учетных данных, изучать данные VoIP в сети, анализировать маршрутизацию пакетов и многое другое. Это действительно мощный инструментарий для системного администратора с широкими полномочиями. Работает только в среде Windows.

NetworkMiner

NetworkMiner анализатор трафика в локальной сети

Решение NetworkMiner — еще одно программное решение, чья функциональность выходит за рамки обычного анализа трафика. В то время как другие анализаторы трафика сосредотачивают свое внимание на отправке и получении пакетов, NetworkMiner следит за теми, кто непосредственно осуществляет эту отправку и получение. Этот инструмент больше подходит для выявления проблемных компьютеров или пользователей, чем для проведения общей диагностики или мониторинга сети как таковой. NetworkMiner разработан для ОС Windows.

KisMAC

KisMAC анализатор трафика mac os

KisMAC — название данного программного продукта говорит само за себя — это Kismet для macOS. В наши дни Kismet уже имеет порт для операционной среды macOS, поэтому существование KisMAC может показаться излишним, но тут стоит обратить внимание на тот факт, что решение KisMAC фактически имеет свою собственную кодовую базу и не является непосредственно производным от анализатора трафика Kismet. Особо следует отметить, что KisMAC предлагает некоторые возможности, такие как нанесение на карту местоположения и атака деаутентификации на macOS, которые Kismet сам по себе не предоставляет. Эти уникальные особенности в определенных ситуациях могут перевесить чашу весов в пользу именно этого программного решения.

Заключение

Программы для анализа сетевого трафика могут стать жизненно важным для вас инструментарием, когда вы периодически сталкиваетесь с сетевыми проблемами разных видов — будь то производительность, сброшенные соединения или проблемы с сетевыми резервными копиями. Практически все, что связано с передачей и получением данных в сети, может быть быстро идентифицировано и исправлено благодаря сведениям, полученным с помощью программного обеспечения из вышеприведенного списка.

Результаты, которые даст вам проведенный качественный анализ трафика сети с помощью проверенного специализированного программного инструментария, поможет вам углубится значительно ниже верхнего слоя проблемы, и понять, что на самом деле происходит в вашей сети, или не происходит, но должно происходить.

Появились вопросы или нужна консультация? Обращайтесь!

Отслеживание сетевого трафика: что это?

uchet-jkh.ru

Отслеживание сетевого трафика – это процесс анализа передачи данных в компьютерных сетях. Когда мы посылаем или получаем информацию из интернета, наш компьютер передает эти данные по различным узлам сети. Весь этот процесс можно отслеживать и анализировать для различных целей.

Существуют различные инструменты, которые позволяют отслеживать сетевой трафик. Они могут сканировать пакеты данных, записывать информацию о передаче данных или анализировать трафик для выявления различных паттернов или угроз безопасности. Эти инструменты в основном используются администраторами компьютерных сетей или специалистами по информационной безопасности.

Отслеживание сетевого трафика имеет несколько основных целей. Во-первых, это может быть использовано для обнаружения и предотвращения кибератак. Специалисты по безопасности могут анализировать трафик, чтобы выявить аномалии или подозрительную активность, и принять соответствующие меры для защиты сети.

Во-вторых, отслеживание сетевого трафика может быть полезно для оптимизации работы сети. Администраторы сети могут использовать данные о трафике для определения узких мест или проблем с сетевым оборудованием и принять меры для их устранения. Это позволяет повысить производительность сети и обеспечить лучший пользовательский опыт.

В целом, отслеживание сетевого трафика является важным инструментом для обеспечения безопасности и эффективности работы компьютерных сетей. Оно позволяет выявлять угрозы безопасности, оптимизировать работу сети и обеспечивать стабильное функционирование всей инфраструктуры сети.

Отслеживание сетевого трафика

Отслеживание сетевого трафика — это процесс анализа и мониторинга передачи данных в компьютерных сетях. Оно позволяет следить за передачей пакетов информации, идущих между устройствами, и анализировать их содержимое.

Сетевой трафик состоит из передаваемых данных, таких как веб-страницы, электронные письма, мультимедийные файлы и другие сетевые запросы. Отслеживание этого трафика помогает определить, какие ресурсы используются, сколько времени занимает передача данных и какие проблемы возникают в сети.

Для отслеживания сетевого трафика используются специальные программы и устройства — снифферы и анализаторы сетевого трафика. Снифферы позволяют записывать и анализировать пакеты данных, проходящие через сеть, в то время как анализаторы предоставляют визуальное представление этой информации.

Отслеживание сетевого трафика полезно для множества целей, включая обнаружение и предотвращение кибератак, мониторинг производительности сети, анализ проблем сети и оптимизацию использования ресурсов.

В целях безопасности, отслеживание сетевого трафика может быть использовано для обнаружения вредоносных программ, хакерских атак и несанкционированного доступа к системам. Это позволяет своевременно реагировать на угрозы и принимать меры для защиты данных и сетей.

Мониторинг производительности сети позволяет выявлять узкие места в сетевой инфраструктуре и улучшать ее работу. Путем анализа трафика можно определить, какие приложения и службы создают наибольшую нагрузку на сеть, и принять меры для оптимизации.

Вывод: отслеживание сетевого трафика играет важную роль в обеспечении безопасности и производительности сетей. Это позволяет выявлять и устранять проблемы с сетью, обнаруживать угрозы и повышать эффективность использования ресурсов.

Что это

Отслеживание сетевого трафика – это процесс мониторинга и анализа передачи данных по сети. Он позволяет узнать, какие приложения и сервисы используют сетевой трафик, а также выявить любую нежелательную или вредоносную активность.

Отслеживание сетевого трафика осуществляется с помощью специального программного обеспечения, которое записывает и анализирует данные, проходящие через сеть. Такое программное обеспечение позволяет отслеживать и анализировать пакеты данных, идущие между устройствами в сети.

Зачастую отслеживание сетевого трафика используется для:

  • Определения пропускной способности сети
  • Выявления и устранения узких мест в сетевой инфраструктуре
  • Обнаружения и предотвращения атак в сети
  • Мониторинга активности сотрудников в рабочей сети

Отслеживание сетевого трафика может использоваться как в корпоративной среде, так и для персональных нужд. Так, для бизнеса оно может быть полезным средством улучшения производительности сети и обеспечения безопасности данных, а для обычного пользователя может помочь выявить и предотвратить подозрительную или нежелательную активность в собственной домашней сети.

Как работает

Отслеживание сетевого трафика происходит путем анализа данных, передаваемых между компьютерами и другими устройствами в сети. При этом используются различные методы и средства, позволяющие получать информацию о передаваемых пакетах данных.

Одним из основных методов отслеживания трафика является использование сетевых анализаторов или снифферов. Эти программы или устройства мониторят сетевой интерфейс и записывают информацию о передаваемых пакетах данных, такую как адрес источника и назначения, протокол, длина пакета и другие параметры.

Существуют различные сетевые анализаторы, от простых инструментов командной строки до мощных программного обеспечения с графическим интерфейсом. Они обычно предоставляют возможность фильтрации и анализа данных, что позволяет выявлять проблемы сети, анализировать протоколы или отслеживать активности на уровне приложения.

Кроме того, отслеживание трафика может быть осуществлено и на более низком уровне, например, с использованием коммутаторов или маршрутизаторов с функцией отображения сетевого трафика. Эти устройства позволяют просматривать и анализировать данные на уровне сетевых пакетов, что полезно при обнаружении атак или определении источника проблемы в сети.

Другой способ отслеживания сетевого трафика — использование прокси-серверов. Прокси-серверы выступают в качестве посредника между клиентом и сервером, пропуская и анализируя сетевой трафик. Они позволяют контролировать и фильтровать передаваемые данные, а также предоставляют дополнительные возможности для мониторинга и анализа сетевого трафика.

Отслеживание сетевого трафика имеет множество применений. Оно может быть использовано для обеспечения безопасности сети и обнаружения атак, для анализа работы сети и выявления проблем, а также для контроля использования ресурсов и управления производительностью сети.

Преимущества отслеживания сетевого трафика

Отслеживание сетевого трафика — это процесс мониторинга и анализа информации, передаваемой через сеть. Это важная задача для компаний и организаций, которые хотят обеспечить безопасность своей сети и оптимизировать ее работу.

Вот некоторые преимущества отслеживания сетевого трафика:

  1. Обнаружение и предотвращение атак: Отслеживание сетевого трафика позволяет выявлять подозрительное поведение в сети, такие как вторжения, вирусы и атаки хакеров. С помощью мониторинга можно принимать срочные меры для предотвращения этих угроз и минимизировать потенциальный ущерб для компании.
  2. Оптимизация сетевых ресурсов: Отслеживание сетевого трафика позволяет анализировать нагрузку на сеть и выявлять узкие места. Это помогает оптимизировать использование ресурсов, улучшить производительность сети и предотвратить перегрузки.
  3. Повышение безопасности: Мониторинг сетевого трафика помогает обнаруживать уязвимости в сетевой инфраструктуре и своевременно принимать меры для их устранения. Это позволяет защитить важную информацию от несанкционированного доступа и уменьшить риски для компании.
  4. Улучшение качества обслуживания: Анализ сетевого трафика позволяет выявлять проблемы сетевой инфраструктуры и недостатки в качестве обслуживания. Это помогает быстро выяснить и решить проблемы, связанные с сетью, и улучшить опыт пользователей.

В целом, отслеживание сетевого трафика является важным инструментом для эффективного управления сетью и обеспечения ее безопасности. Оно позволяет компаниям быть готовыми к возможным атакам и проблемам сети, а также оптимизировать работу и повысить эффективность своей сети.

Зачем нужно

Отслеживание сетевого трафика является важным инструментом для многих организаций и частных лиц. Ниже перечислены основные причины, по которым отслеживание сетевого трафика является неотъемлемой частью работы в сетевой сфере:

  • Безопасность сети. Отслеживание сетевого трафика позволяет выявить и предотвратить любые попытки несанкционированного доступа к сети или вредоносной активности.
  • Диагностика и устранение проблем. Отслеживание трафика позволяет обнаружить и анализировать возникшие проблемы в сети, такие как сбои, узкие места или неполадки в оборудовании.
  • Оптимизация сети. С помощью отслеживания трафика можно выявить узкие места в сети и принять меры для их устранения или повышения пропускной способности.
  • Планирование емкости сети. Анализ трафика позволяет определить объем трафика, генерируемый пользователями, и принять меры для обеспечения достаточной пропускной способности сети.
  • Мониторинг производительности. Отслеживание трафика позволяет контролировать производительность сети и выявлять проблемы, которые могут возникнуть в процессе работы.

В целом, отслеживание сетевого трафика является неотъемлемой частью работы в сетевой сфере и является важным инструментом для обеспечения безопасности, диагностики проблем, оптимизации и планирования сети, а также мониторинга производительности.

Вопрос-ответ

Что такое отслеживание сетевого трафика?

Отслеживание сетевого трафика — это процесс мониторинга и анализа данных, проходящих через компьютерную сеть. Оно позволяет узнавать, какие данные передаются, откуда и куда они направляются, и какое количество трафика потребляется.

Как происходит отслеживание сетевого трафика?

Отслеживание сетевого трафика выполняется с помощью программного обеспечения, называемого сетевым анализатором. Это специальное приложение, которое записывает, анализирует и отображает данные, передаваемые по сети. Оно может фиксировать информацию о пакетах данных, анализировать протоколы связи и выявлять потенциальные уязвимости сети.

Зачем нужно отслеживание сетевого трафика?

Отслеживание сетевого трафика имеет несколько целей. Во-первых, оно позволяет администраторам сети контролировать использование ресурсов сети и идентифицировать потенциальные угрозы безопасности. Во-вторых, оно может использоваться для анализа производительности сети и выявления проблем, таких как перегрузки и сбои. Кроме того, отслеживание сетевого трафика может быть полезно для расследования инцидентов безопасности и сбоев в сети.

Какие данные можно отслеживать через сетевой трафик?

Через сетевой трафик можно отслеживать различные данные, включая информацию о передаваемых файлов, электронной почте, веб-сайтах, сообщениях и многое другое. Также можно получить доступ к информации о IP-адресах отправителей и получателей, портах, используемых для передачи данных, и других свойствах сетевых соединений.

Wireshark — подробное руководство по началу использования

Логотип программы

Wireshark – это широко распространённый инструмент для захвата и анализа сетевого трафика, который активно используется как для образовательных целей, так и для устранения неполадок на компьютере или в сети. Wireshark работает практически со всеми протоколами модели OSI, обладает понятным для обычного пользователя интерфейсом и удобной системой фильтрации данных. Помимо всего этого, программа является кроссплатформенной и поддерживает следующие операционные системы: Windows, Linux, Mac OS X, Solaris, FreeBSD, NetBSD, OpenBSD.

В этом руководстве мы рассмотрим основной функционал программы Wireshark, соотнесём её с моделью OSI, научимся анализировать сетевой трафик и обезопасим своё нахождение в глобальной сети Интернет.

2. Как установить Wireshark?

Для начала нам необходимо скачать и установить программу Wireshark. Так как программа распространяется под лицензией GNU GPL v2 (т.е. может свободно распространяться), то несложно найти любую версию программы в свободном доступе. В руководстве мы будем использовать функционал более ранней версии программы (1.12.3). Это вызвано тем, что в этой версии сразу встроен протокол SSL, который используется в главе 6. Установка более ранней версии облегчает подготовку к работе с программой, поэтому мы выбрали её. Найти установщик можно на официальном сайте.

Дальнейшая установка программы проста – нажимаем «Next» — «Next» — «Next».

Установка программы

После успешной установки на Вашем рабочем столе появится ярлык Wireshark. Мы можем приступать к рассмотрению функционала!

Ярлык программы на рабочем столе

3. Как пользоваться программой Wireshark?

Одна из главных возможностей программы – это захват трафика сети. Поэтому для начала необходимо научиться захватывать трафик Вашей сети.

Запустим программу! Нас сразу встречает стартовое меню, на котором можно увидеть доступные для захвата интерфейсы компьютера, руководства от разработчиков программы и множество других интересных вещей.

Стартовое меню

Из всего этого нам необходимо обратить внимание на эту область программы.

Область захвата трафика сетевого интерфейса

Здесь нужно выбрать тот сетевой интерфейс, через который Вы подключены к Интернету.

Сетевой интерфейс – это программное обеспечение, которое взаимодействует с сетевым драйвером и с уровнем IP. Он обеспечивает уровню IP доступ ко всем имеющимся сетевым адаптерам, трафик которых мы будет перехватывать. Чаще всего в программе Wireshark можно встретить сетевой интерфейс беспроводной (Wi-Fi) и кабельный (Ethernet).

В руководстве используется Wi-Fi, поэтому мы выполняем захват «Беспроводной сети», после чего нажимаем «Start».

Если Вы выбрали правильный интерфейс, то сможете увидеть следующее.

Обзор начала захвата трафика

Рассмотрим подробнее это окно по пунктам, указанным на нём:

  1. Панель фильтров, позволяющая найти необходимую информацию. Подробнее о неё рассказано в пятой главе руководства.
  2. Панель наименований, разделяющая информацию из пункта 3 на номер, временя с начала захвата трафика, источник и адресат, а также используемый протокол, размер пакета и небольшую информацию о сетевом пакете.
  3. Панель пакетов, обновляющаяся в реальном времени. Здесь информация о пакетах разделена по столбцам, определённым на панели наименований.
  4. Панель уровней, описывающая уровни модели OSI выбранного сетевого пакета.
  5. Панель метаданных, представляющая данные в шестнадцатеричном коде и символах.

Поздравляем! Вы успешно захватили трафик Вашей сети. Теперь можно увидеть пакеты данных, проходящих по сети, а также некоторую информацию о них: адреса отправителя и получателя, использующиеся протоколы и содержание пакета.

Теперь можно приступить к анализу сетевого трафика.

4. Как найти скрытую информацию?

Перед началом анализа трафика необходимо иметь базовые знания о протоколах сетевой модели OSI. Достаточно прочитать статью в Википедии.

Во многих программах для передачи информации используется протокол HTTP, который позволяет получать различные ресурсы из Интернета и обратно. Рассмотрим один из пакетов, переданных по протоколу HTTP.

Обзор пакета HTTP

В протоколе HTTP для передачи данных используются запросы GET (предназначен для получения данных) и POST (предназначен для отправки данных).

На рисунке в поле 1 мы видим IP-адрес адресата (в данном случае, это адрес моего компьютера). В поле 2 мы узнаём, что сервер антивируса послал запрос GET для того, чтобы запросить некоторые данные о моём компьютере. Это необходимо для корректного обновления программы. И в поле 3 мы видим то, как выглядит этот запрос в виде URL (Интернет-ссылки).

Небольшое домашнее задание!

Для закрепления материала попробуйте проанализировать любой пакет протокола HTTP на Вашем компьютере и попытайтесь объяснить, для чего он был отправлен.

5. Как среди всех пакетов найти необходимые?

При выполнении домашнего задания у Вас могла возникнуть проблема нахождения необходимого пакета. Для её решения в программе Wireshark есть решение – фильтрация! В специальном поле «Filter» можно ввести необходимые команды или воспользоваться подсказками.

Обзор поля

Чаще всего используется фильтрация по IP-адресам, по номерам порта и по протоколам. Давайте посмотрим, как это происходит.

Фильтрация по IP-адресу позволяет нам просматривать все пакеты, приходящие от кого-либо или уходящие кому-либо. Например, отберём все пакеты, приходящие от IP-адреса 10.1.30.46 с помощью ввода в фильтре «ip.src == x.x.x.x».

Обзор команды

Также можно отфильтровать трафик сети по IP-адресу получателя пакетов с помощью команды «ip.dst == x.x.x.x».

Обзор команды

Кроме того, можно увидеть пакеты вне зависимости от направления трафика с помощью «ip.addr == x.x.x.x».

Обзор команды

Для фильтрации по номеру порта используется «.port = x» после названия протокола. Например, для просмотра TCP-порта 80, используемого для незашифрованного трафика HTTP, используем команду «tpc.port == 80».

Обзор команды

И, наконец, для фильтрации трафика по используемым пакетами протоколам необходимо просто ввести название протокола.

Обратите внимание, что фильтры можно комбинировать при помощи логических операторов И «and/&&», ИЛИ «or/||» и НЕ «not/!»

Обзор логических операторов

Снова домашнее задание!

Чтобы попрактиковаться в поиске необходимой информации, попробуйте посмотреть количество пакетов того или иного протокола и подумайте, почему их так много.

6. Как перехватить данные, передающиеся по защищённым каналам связи?

Разобравшись с основным функционалом Wireshark, мы можем приступить к более сложному и полезному.

Передача данных в глобальной сети Интернет является небезопасной, особенно если никак не защищать их. В современных браузерах используется протокол SSL/TLS, который шифрует информацию и позволяет безопасно передать её.

Иногда пользователю или системного администратору необходимо проверить трафик на наличие подозрительной активности или на корректную работу программы. Из-за этого возникает необходимость расшифровывать перехваченный защищённый трафик.

Для начала разберёмся в том, как работает протокол SSL/TLS. Перед обменом шифрованными данными используется процесс установки соединения, также называемый рукопожатием.

На этапе рукопожатия клиент и сервер проходят аутентификацию (проверку подлинности), обмениваются информацией о своих возможностях и лишь после этого начинают согласование общего сеансового ключа.

Для согласования по незащищённому каналу связи существует множество алгоритмов. Выбор происходит из списка алгоритмов, которые поддерживаются клиентом, на начальной стадии рукопожатия.

Наиболее распространённым алгоритмом обмена сеансовым ключом является RSA. Рассмотрим инфографику, описывающую механизм работы алгоритма.

Алгоритм обмена сеансовым ключом RSA

В момент рукопожатия клиент создаёт случайное число, называемое предварительным секретом, и отправляет его, зашифровав открытым ключом сервера. Далее обе стороны конвертируют предварительный секрет в главный и создают сеансовый ключ, который и используется для дальнейшего обмена информацией.

Теперь попробуем перехватить защищённую информацию в программе Wireshark. Выполним подготовительные действия, а именно проверим используемый для согласования сеансовых ключей алгоритм и настроим браузер. Для начала находим рукопожатие с помощью фильтра, введя «ssl.handshake», и проверяем сообщение сервера.

Обзор команды

В поле «Cipher Suite» мы можем увитель «TLS_RSA». Это значит, что мы можем приступать к дальнейшим действиям.

Настройка браузера в операционной система Windows довольно проста. Открываем свойства компьютера, затем «Дополнительные параметры системы» и выбираем «Переменные среды…».

Настройка браузера в Windows 10

Добавляем новую пользовательскую переменную «SSKEYLOGFILE» и указываем путь до файла, куда мы ходим его сохранять.

Рассмотрим ответное сообщение клиента: оно содержит зашифрованное значение предварительного секрета текущей сессии.

Ответное сообщение клиента

Далее переходим к настройке программы Wireshark. Комбинацией клавиш «Ctrl+Shift+P» открываем меню «Preferences», затем раскрываем ветку «Protocols» и выбираем «SSL».

Настройка Wireshark

Проверяем установку необходимых полей, показанных на картинке, и жмём кнопку «Edit». В появившемся окне нажимаем на кнопку «New» и заполняем следующие поля: IP Address (IP-адрес SSL-сервера), Port (порт SSL-сервера), Protocol (протокол, использующий шифрацию SSL. При неизвестном указывать data), Key File (путь к файлу с секретным ключом сервера, который мы указывали в Переменных средах) и Password (если секретный ключ защищён паролем).

Настройка SSL в Wireshark

Теперь можно подтвердить настройки и приступить к просмотру расшифрованного трафика. Не забывайте использовать фильтр!

Закрепление пройденного материала!

Попробуйте самостоятельно подключиться к серверу какого-либо сайта и посмотреть, какими пакетами обменивается Вам компьютер с ним.

7. Какие возможности даёт захват защищённого трафика?

Захват защищённого трафика даёт множество возможностей. Одной из них является перехват HTTPS-запросов пользователей, подключённых к сети. Давайте рассмотрим, как это сделать и какой результат мы получим.

Для начала повторяем действия из предыдущего пункта, но в качестве IP-адреса SSL-сервера указываем адрес необходимого сайта. Для передачи паролей зачастую используется протокол передачи данных HTTP. О используемых в нём методах мы уже говорили в главе 4. Чтобы использовать фильтрацию HTTP-трафика по методам, можно использовать команду «http.request.method == “название метода”». Так как мы хотим перехватить данные, отправленные клиентом на сервер, то будем рассматривать POST-запросы. Для этого применим фильтр «http.request.method == “POST”».

Захват защищённого трафика

Проделав эти несложные действия, мы получили важные данные другого пользователя. Поэтому следует помнить, что общедоступные сети являются небезопасными и представляют угрозу даже для защищённого трафика.

Небольшая практика!

Попробуйте захватить защищённый трафик сервера электронной почты и авторизуйтесь, используя логин и пароль. Найдите POST-запрос и посмотрите, что там находится.

Скорее всего, важные данные будут зашифрованы. Таким способом почтовый сервис защищает Ваши данные, но риск взлома всё равно остаётся.

8. Как можно соотнести модель OSI и программу Wireshark?

Рассмотрев весь функционал программы Wireshark, мы можем соотнести её с сетевой моделью OSI. Но для начала следует вспомнить, что из себя представляет эта модель.

OSI – это набор сетевых протоколов, посредством которого различные сетевые устройства взаимодействуют друг с другом. Модель определяет семь уровней взаимодействия систем. Рассмотрим таблицу уровней модели OSI.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *