Сетевые анализаторы и анализаторы протоколов сети

Рисунок 10. Главное окно пакетного анализатора CommView 5.0

Информация в окне с захваченными пакетами довольно скудная. Отображаются лишь тип протокола, IP- и MAC-адреса источника и получателя пакета, время и порт назначения и отправления.

Окно с декодированной информацией об отдельном пакете значительно более информативно и по детализации предоставляемой информации не уступает анализатору Ethereal (во всяком случае это касается протокола TCP). К достоинствам анализатора CommView 5.0 можно отнести возможность просмотра подробной статистической информации о сеансе перехвата, которая представляется в отдельном окне в удобном графическом виде (рис. 11), а также составление отчета в отдельном файле.

Еще одним отличием анализатора CommView 5.0 является возможность настройки сигнала тревоги по предопределенным событиям. В частности, можно задать правила, при выполнении которых будет послано оповещение по электронной почте.

Рис. 11. Статистическая информация о сеансе перехвата в программе CommView 5.0

Кроме того, сниффер CommView 5.0 позволяет заменять IP- и MAC-адреса сетевого адаптера на имена пользователей, что упрощает мониторинг сети. С целью диагностики сети данный сниффер имеет встроенный генератор трафика с возможностью настройки размера передаваемого пакета и скорости генерации пакетов.

И наконец, последняя особенность сниффера CommView 5.0 -- возможность создания удаленного агента, что позволяет производить удаленный мониторинг сети. Для реализации данной функции на удаленном ПК необходимо инсталлировать программу Remote Agent, а используя консоль CommView 5.0, можно устанавливать соединение с компьютером, на котором инсталлирована утилита Remote Agent.

Iris Network Traffic Analyzer4.07

Пакетный анализатор Iris 4.07 (www.eeye.com) от компании eEye digital Security представляет собой мощное инструментальное средство для диагностики локальных сетей и каналов связи с Интернетом. Программа Iris 4.07 распространяется на коммерческой основе, однако на сайте производителя доступна ее ознакомительная версия.

Несмотря на заявленную в документации поддержку только операционных систем Windows 95/98/NT/2000, реально этот список можно расширить, и, скорее всего, данная программа способна работать с любой операционной системой семейства Windows.

Графический интерфейс программы (рис. 12) интуитивно понятен, прост и традиционен для пакетных снифферов. Имеется три окна, в первом из которых отображаются перехваченные пакеты с достаточно подробной информацией о каждом пакете, включающей MAC- и IP-адреса источника и отправителя пакетов, тип пакета, протокол, порт отправления и назначения, размер пакета, а также порядковые номера SEQ и ACK. Подробная декодированная информация о каждом отдельном пакете доступна во втором окне, а содержимое каждого пакета -- в третьем окне. Нужно отметить, что по степени детализации предоставляемой информации данный пакет не уступает анализатору Ethereal.

Рисунок 12. Главное окно пакетного анализатора Iris 4.07

Пожалуй, единственный недостаток данного анализатора заключается в том, что отображаемые в первом окне пакеты не маркируются цветом (как это делается в других анализаторах), что создает определенное неудобство при визуальном восприятии информации.

Пакетный анализатор Iris 4.07 позволяет очень гибко и в то же время просто настраивать фильтры для захвата пакетов. Так, используя диалоговое окно (рис. 13) Edit filter settings, можно создавать фильтры по MAC-адресам источника и получателя, по IP-адресам источника и получателя, по портам, протоколам, а также по вхождению в содержимое пакета определенного слова. Кроме того, можно настраивать фильтры на размер пакета и на фрагмент пакета в HEX-формате.

Рисунок 13. Настройка пакетного фильтра в анализаторе Iris 4.07

Отметим, что недостатком программы Iris 4.07 является то, что фильтры можно создавать только для вновь принимаемых пакетов, а реализовать фильтрацию уже перехваченных пакетов не представляется возможным. Вместо этого в программе предусмотрен поиск нужных пакетов по фильтру.

Другим отличием программы Iris 4.07 является возможность отображения в графической форме статистической информации во время запуска режима захвата пакетов. Так, имеется возможность отображать график скорости передачи пакетов (рис. 43), диаграмму распределения размеров пакетов (рис. 15) и многое другое.

Рисунок 14. График скорости передачи пакетов в анализаторе Iris 4.07

Рисунок 15. Диаграмма распределения размеров пакетов в анализаторе Iris 4.07

Помимо перечисленных возможностей анализатор пакетов Iris 4.07 позволяет создавать HTML-отчеты о сеансе связи, куда включается наиболее важная информация, в том числе статистика о посещении сайтов, объеме переданного и принятого трафика и многое другое. Также программа Iris 4.07 имеет встроенный генератор трафика, что удобно для диагностики узких мест в сети.

Еще одной особенностью программы Iris 4.07 является наличие встроенного модуля, позволяющего фиксировать все попытки соединения с компьютером, что обеспечивает отслеживание попыток несанкционированного проникновения в сеть.

ЗАКЛЮЧЕНИЕ

сетевой анализатор протокол

Сетевые анализаторы и анализаторы протоколов, представляют собой мощные и эффективное средство администрирования компьютерных сетей, так как позволяют с большой точностью оценить многие параметры работы сети, такие как скорости прохождения сигналов, участки скопления коллизий и т.д. Так же задача, с которой они успешно справляются - это выявление атак на компьютерные сети и оповещение администратора о них на основе анализа трафика. Вместе с тем, применение этих программных средств таит в себе потенциальную опасность, так как, ввиду того, что информация проходит через мониторы и анализаторы, может быть осуществлен несанкционированный съем этой информации. Системному администратору требуется уделять должное внимание защите своей сети и помнить о том, что комбинированная защита намного эффективнее.

С изучением применения анализаторов протоколов как средства предотвращения возможных атак на информационные ресурсы сети появился принципиально новый класс систем - системы мониторинга безопасности. Любая такая система включает в свой состав декодирующий анализатор протоколов и библиотеку сигнатур типовых атак. Они гораздо эффективнее простого использования сетевого анализатора или анализатора протоколов.

Так же следует внимательно относиться к выбору программного средства анализа трафика, исходя из реальной стоимости информации, которую предполагается охранять, вероятности вторжения, ценности информации для третьих лиц, наличие уже готовых защитных решений, возможности бюджета организации. Грамотный выбор решения будет способствовать уменьшению вероятности несанкционированного доступа и не будет слишком «тяжелым» в плане финансирования. Всегда следует помнить, что на сегодняшний день нет совершенного средства безопасности, и это относится, конечно же, и к анализаторам. Соответственно, следует не только грамотно спланировать защиту сетевой инфраструктуры предприятия, но и постоянно следить за обновлениями используемых программных продуктов.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Партыка Т.Л., Попов И.И. Информационная безопасность (2-е издание). М.: «Academia», 2007

2. Уилсон Эд. Мониторинг и анализ сетей. Методы выявления неисправностей, Москва: Издательство «Лори», 2002г.

3. Хогдал Дж. Анализ и диагностика компьютерных сетей. Просто и доступно, Москва: Издательство «Лори», 2001.

4. Networking Essentials. Э. Титтел, К. Хадсон, Дж.М. Стюарт. Пер. с англ. - СПб.: Издательство «Питер», 1999.

5. Танненбаум Э. Компьютерные сети. 4-е изд. СПб.: «Питер», 2003.

6. Олифер В.Г., Олифер Н.А. Компьютерные сети (принципы, технологии, протоколы) 3-е издание. СПб.: «Питер», 2006

7. Журнал «Сети»/Network World, изд. «Открытые системы», №10, 2001

8. Журнал «КомпьютерПресс» №4, 2006

9. Статьи об информационной безопасности, avoidance.ru

10. Материалы с сайта Национального Открытого Интернет Университета «ИНТУИТ», http://www.intuit.ru/

Размещено на Allbest.ru