Сетевые анализаторы и анализаторы протоколов сети

Сетевые анализаторы и анализаторы протоколов сети

Сетевые анализаторы и анализаторы протоколов сети

Введение

Когда-то сетевой мир был очень фрагментированным в том, что касалось стандартов передачи физического и канального уровней; не существовало единого доминирующего стандарта для ЛВС (локальных вычислительных сетей). Корпорация IBM сделала свою топологию Token Ring стандартом для своих сетей ПК. Многие компании, которые первоначально использовали оборудование IBM, применяли Token Ring, потому что у них не было выбора. Arcnet, в силу своей дешевизны, был популярен в небольших компаниях. Ethernet доминировал в университетских и исследовательских средах. Существовало множество других протоколов, таких как AppleTalk компании Apple для компьютеров Macintosh. Эти протоколы обычно были специфичными для конкретного производителя. Однако с развитием Интернета стандарт Ethernet стал набирать все большую популярность. Поставщики оборудования начали стандартизацию и сосредоточились на дешевых платах Ethernet, концентраторах и коммутаторах. На сегодняшний день Ethernet стал фактическим стандартом для локальных сетей и Интернета. Большинство компаний и организаций выбрали его из-за невысокой стоимости и по соображениям совместимости.

Сети Ethernet завоевали огромную популярность благодаря хорошей пропускной способности, простоте установки и приемлемой стоимости сетевого оборудования. Однако технология Ethernet не лишена существенных недостатков. Основной из них состоит в незащищенности передаваемой информации. Компьютеры, подключенные к сети Ethernet, в состоянии перехватывать информацию, адресованную своим соседям. Причиной тому является принятый в сетях Ethernet так называемый широковещательный механизм обмена сообщениями.

Объединение компьютеров в сети ломает старые аксиомы защиты информации. Например, о статичности безопасности. В прошлом уязвимость системы могла быть обнаружена и устранена администратором системы путем установки соответствующего обновления, который мог только через несколько недель или месяцев проверить функционирование установленной "заплаты". Однако эта "заплата" могла быть удалена пользователем случайно или в процесс работы, или другим администратором при инсталляции новых компонент. Все меняется, и сейчас информационные технологии меняются настолько быстро, что статичные механизмы безопасности уже не обеспечивают полной защищенности системы.

Еще 1,5 - 2 года назад считалось, что эффективная защита может быть обеспечена применением традиционных услуг безопасности (паролированием и разграничением доступа, криптографией и т.д.) и, для сетей, имеющих выход в Internet, использованием межсетевых экранов. Сегодня общепринятым является подход, включающий постоянный (24 часа в день, 7 дней в неделю) контроль над трафиком корпоративной сети на предмет обнаружения вторжений (мониторинг сети) и периодическое проведение анализа сети на наличие уязвимостей (аудит сети).

Для решения задачи анализа сети на наличие уязвимостей должен существовать инструмент, позволяющий выявлять и анализировать уязвимости сети и выдавать рекомендации по их устранению. Такие инструменты есть и называются они средствами анализа защищенности (за рубежом эти средства называют сканирующим обеспечением, или просто сканерами, а также сканерами безопасности).

Сегодня ведущие разработчики соответствующего программного обеспечения все чаще реализуют сетевой мониторинг и аудит в едином изделии («в одном флаконе»).

В основе мониторинга безопасности лежит анализ сетевого трафика. В частном случае задача анализа трафика решается на основе применения сетевых анализаторов (анализаторов протоколов).

1. Сетевые анализаторы

Общие сведения

Инструментальные средства, называемые сетевыми анализаторами, получили свое имя в честь Sniffer Network Analyzer. Этот продукт был выпущен в 1988 году компанией Network General (теперь - Network Associates) и стал одним из первых устройств, позволяющих менеджерам буквально не выходя из-за стола узнать о том, что происходит в крупной сети. Первые анализаторы считывали заголовки сообщений в пакетах данных, пересылаемых по сети, предоставляя, таким образом, администраторам информацию об адресах отправителей и получателей, размере файлов и другие сведения низкого уровня. Причем все это - в дополнение к проверке корректности передачи пакетов. С помощью графов и текстовых описаний анализаторы помогали сетевым администраторам провести диагностику серверов, сетевых каналов, концентраторов и коммутаторов, а также приложений. Грубо говоря, сетевой анализатор прослушивает или "обнюхивает" ("sniffs") пакеты определенного физического сегмента сети. Это позволяет анализировать трафик на наличие некоторых шаблонов, исправлять определенные проблемы и выявлять подозрительную активность. Сетевая система обнаружения вторжений является ничем иным, как развитым анализатором, который сопоставляет каждый пакет в сети с базой данных известных образцов вредоносного трафика, аналогично тому, как антивирусная программа поступает с файлами в компьютере. В отличие от средств, описанных ранее, анализаторы действуют на более низком уровне.

Если обратиться к эталонной модели ВОС, то анализаторы проверяют два нижних уровня - физический и канальный.

Физический уровень - это реальная физическая проводка или иная среда, примененная для создания сети. На канальном уровне происходит первоначальное кодирование данных для передачи через конкретную среду. Сетевые стандарты канального уровня включают беспроводной 802.11, Arcnet, коаксиальный кабель, Ethernet, Token Ring и многое другое. Анализаторы обычно зависят от типа сети, в которой они работают. Например, для анализа трафика в сети Ethernet вы должны иметь анализатор Ethernet.

Существуют анализаторы коммерческого класса, от таких производителей, как Fluke, Network General и других. Обычно это специальные аппаратные устройства, которые могут стоить десятки тысяч долларов. Хотя эти аппаратные средства способны осуществлять более глубокий анализ, можно создать недорогой сетевой анализатор с помощью программного обеспечения с открытыми исходными текстами и недорогого ПК на Intel-платформе.

Виды анализаторов

Сейчас выпускается множество анализаторов, которые подразделяются на два вида. К первому относятся автономные продукты, устанавливаемые на мобильном компьютере. Консультант может брать его с собой при посещении офиса клиента и подключать к сети, чтобы собрать данные диагностики.

Первоначально портативные устройства, предназначенные для тестирования работы сетей, были рассчитаны исключительно на проверку технических параметров кабеля. Однако со временем производители наделили свое оборудование рядом функций анализаторов протоколов. Современные сетевые анализаторы способны обнаруживать широчайший спектр возможных неполадок - от физического повреждения кабеля до перегрузки сетевых ресурсов.

Второй вид анализаторов является частью более широкой категории аппаратного и программного обеспечения, предназначенного для мониторинга сети и позволяющего организациям контролировать свои локальные и глобальные сетевые службы, в том числе Web. Эти программы дают администраторам целостное представление о состоянии сети. Например, с помощью таких продуктов можно определить, какие из приложений выполняются в данный момент, какие пользователи зарегистрировались в сети и кто из них генерирует основной объем трафика.

Помимо выявления низкоуровневых характеристик сети, например источник пакетов и пункт их назначения, современные анализаторы декодируют полученные сведения на всех семи уровнях сетевого стека Open System Interconnection (OSI) и зачастую выдают рекомендации по устранению проблем. Если же анализ на уровне приложения не позволяет дать адекватную рекомендацию, анализаторы производят исследование на более низком, сетевом уровне.

Современные анализаторы обычно поддерживают стандарты удаленного мониторинга (Rmon и Rmon 2), которые обеспечивают автоматическое получение основных данных о производительности, таких как информация о нагрузке на доступные ресурсы. Анализаторы, поддерживающие Rmon, могут регулярно проверять состояние сетевых компонентов и сравнивать полученные данные с накопленными ранее. Если необходимо, они выдадут предупреждение о том, что уровень трафика или производительность превосходит ограничения, установленные сетевыми администраторами.

Компания NetScout Systems представила систему nGenius Application Service Level Manager, предназначенную для контроля времени реакции на отдельных участках канала доступа к Web-сайту и определения текущей производительности серверов. Это приложение может анализировать производительность в общедоступной сети, с тем, чтобы воссоздавать общую картину на компьютере пользователя. Датская фирма NetTest (бывшая GN Nettest) начала предлагать Fastnet - систему сетевого мониторинга, которая помогает компаниям, занимающимся электронным бизнесом, планировать емкость каналов, искать и устранять неисправности в сети.

Анализ конвергентных (мультисервисных) сетей

Распространение мультисервисных сетей (converged networks) может оказать решающее влияние на развитие телекоммуникационных систем и систем передач данных в будущем. Идея объединить в единой сетевой инфраструктуре, основанной на пакетном протоколе, возможность передачи и данных, и голосовых потоков, и видеоинформации - оказалась весьма заманчивой для провайдеров, специализирующихся на предоставлении телекоммуникационных сервисов, ведь она в одно мгновенье способна существенно расширить спектр предоставляемых ими услуг.

По мере того как корпорации начинают осознавать эффективность и ценовые преимущества конвергентных сетей на базе протокола IP, производители сетевых инструментальных средств активно разрабатывают соответствующие анализаторы. В первой половине года многие фирмы представили компоненты для своих продуктов сетевого администрирования, рассчитанные на передачу голоса по IP-сетям.

«Конвергенция породила новые сложности, с которыми приходится иметь дело сетевым администраторам, - заметил Гленн Гроссман, директор по управлению продуктами компании NetScout Systems. - Голосовой трафик очень чувствителен к временным задержкам. Анализаторы могут просматривать каждый бит и байт, передаваемый по проводам, интерпретировать заголовки и автоматически определять приоритет данных».

Использование технологий конвергенции голоса и данных может пробудить новую волну интереса к анализаторам, поскольку поддержка приоритетности трафика на уровне IP-пакетов становится существенной для функционирования голосовых и видеослужб. Например, фирма Sniffer Technologies выпустила Sniffer Voice - инструментарий, предназначенный для администраторов мультисервисных сетей. Этот продукт не только предоставляет традиционные службы диагностики для управления трафиком электронной почты, Internet и баз данных, но и выявляет сетевые проблемы, а также дает рекомендации по их устранению, дабы обеспечить корректную передачу голосового трафика по IP-сетям.

Обратная сторона использования анализаторов

Следует помнить, что с анализаторами связаны две стороны медали. Они помогают поддерживать сеть в рабочем состоянии, но их могут применять и хакеры для поиска в пакетах данных имен пользователей и паролей. Для предотвращения перехвата паролей посредством анализаторов служит шифрование заголовков пакетов (например, с помощью стандарта Secure Sockets Layer).

В конце концов, пока не существует альтернативы сетевому анализатору в тех ситуациях, когда необходимо понять, что же происходит в глобальной или корпоративной сети. Хороший анализатор позволяет разобраться в состоянии сетевого сегмента и определить объем трафика, а также установить, как этот объем варьируется в течение дня, какие пользователи создают самую большую нагрузку, в каких ситуациях возникают проблемы с распространением трафика или возникает нехватка полосы пропускания. Благодаря применению анализатора можно получить и проанализировать все фрагменты данных в сетевом сегменте за данный период.

Однако сетевые анализаторы стоят дорого. Если вы планируете приобрести его, то прежде четко сформулируйте, чего вы от него ожидаете.

Особенности применения сетевых анализаторов

Чтобы применять сетевые анализаторы этично и продуктивно, необходимо выполнять следующие рекомендации.

Всегда необходимо разрешение

Анализ сети, как и многие другие функции безопасности, имеет потенциал для ненадлежащего использования. Перехватывая все данные, передаваемые по сети, можно подсмотреть пароли для различных систем, содержимое почтовых сообщений и другие критичные данные, как внутренние, так и внешние, так как большинство систем не шифрует свой трафик в локальной сети. Если подобные данные попадут в нехорошие руки, это, очевидно, может привести к серьезным нарушениям безопасности. Кроме того, это может стать нарушением приватности служащих. Прежде всего, следует получить письменное разрешение руководства, желательно высшего, прежде чем начинать подобную деятельность. Следует также предусмотреть, что делать с данными после их получения. Помимо паролей, это могут быть другие критичные данные. Как правило, протоколы сетевого анализа должны вычищаться из системы, если только они не нужны для уголовного или гражданского преследования. Существуют документированные прецеденты, когда благонамеренных системных администраторов увольняли за несанкционированный перехват данных.

Нужно понимать топологию сети

Прежде чем настраивать анализатор, необходимо полностью разобраться в физической и логической организацию данной сети. Проводя анализ в неправильном месте сети, можно получить ошибочные результаты или просто не найти то, что нужно. Необходимо проверить отсутствие маршрутизаторов между анализирующей рабочей станцией и местом наблюдения. Маршрутизаторы будут направлять трафик в сегмент сети, только если происходит обращение к расположенному там узлу. Аналогично, в коммутируемой сети, понадобится сконфигурировать порт, с которым установлено подключение, как порт "монитора" или "зеркала". Разные производители используют различную терминологию, но, по сути, необходимо, чтобы порт действовал как концентратор, а не как коммутатор, так как он должен видеть весь трафик, идущий через коммутатор, а не только тот, что направлен на рабочую станцию. Без такой настройки порт монитора будет видеть только то, что направлено в порт, с которым установлено подключение, и сетевой широковещательный трафик.

Необходимо использовать жесткие критерии поиска

В зависимости от того, что требуется найти, использование открытого фильтра (то есть показ всего) сделает вывод данных объемным и трудным для анализа. Лучше использовать специальные критерии поиска, чтобы сократить вывод, который выдает анализатор. Даже если не известно точно, что нужно искать, можно, тем не менее, написать фильтр для ограничения результатов поиска. Если требуется найти внутреннюю машину, правильно будет задать критерии для просмотра только исходных адресов внутри данной сети. Если необходимо отследить определенный тип трафика, скажем, трафик FTP, то можно ограничить результаты только тем, что приходит в порт, используемый приложением. Поступая таким образом, можно добиться значительно лучших результатов анализа.

Установка эталонного состояния сети

Применив сетевой анализатор во время нормальной работы, и записав итоговые результаты, достигается эталонное состояние, которое можно сравнивать с результатами, полученными во время попыток выделения проблемы. Анализатор Ethereal, рассматриваемый ниже, создает для этого несколько удобных отчетов. Будут получены также некоторые данные для отслеживания использования сети в зависимости от времени. При помощи этих данных можно определить, когда сеть насыщается и каковы основные причины этого - перегруженный сервер, рост числа пользователей, изменение типа трафика и т.п. Если есть точка отсчета, проще понять, кто и в чем виноват.

. Анализаторы сетевых протоколов

Анализатор сетевых протоколов - жизненно важная часть набора инструментов сетевого администратора. Анализ сетевых протоколов - это поиск истины в сетевых коммуникациях.

Анализатор протоколов выполняет простые операции:

.        При работе в режиме полного сканирования (когда перехватываются все пакеты, а не только широковещательные или адресованные сетевому адаптеру анализатора) он получает копию каждого пакета, проходящего по некоторому участку сети.

.        Присваивает пакетам метки времени.

.        Отбрасывает неинтересные для данного наблюдения пакеты.

.        Выводит побитную информацию о пакетах каждого из сетевых уровней.

Результаты исследования пакетов можно сохранить в журнале отслеживания и всегда вызвать для дополнительного анализа. Работа анализатора показана на рис. 1.

Рисунок 1. Схема перехвата пакетов и вывода результатов в анализаторе протоколов

Рисунок 2. Пример анализа пакета

Программные анализаторы для локальных сетей (LAN).

На низшей ступени анализаторов LAN находятся программные анализаторы. Цена

получается низкой за счет применения ПО, работающего под обычной операционной системой и использования имеющейся сетевой карты. Прогресс в производительности компьютеров и характеристиках чипсетов для сетевых карт сделал программные анализаторы жизнеспособными в низко и средне загруженных сетях. Для сетей Ethernet и Token Ring сетевой адаптер должен поддерживать так называемый беспорядочный режим(Promiscuous Mode) при котором в сети обнаруживаются и передаются для дальнейшего анализа в компьютер все фреймы вне зависимости от их конечного адреса. Без этого режима сетевой адаптер будет пропускать в компьютер фреймы только со своим MAC-адресом (MAC-адрес -уникальное 48-разрядное число, присваиваемое сетевому адаптеру производителем), что делает анализ малоинформативным. Поскольку программный анализатор - это программа, выполняемая на компьютере, то, по сути дела, все функции анализа выполняет компьютер. Вычислительная мощь компьютера, количество памяти, возможности сетевого адаптера и степень загруженности сети - все это сказывается на характеристиках программного анализатора.

Если локальная сеть полностью загружена, то есть вероятность того, что программный анализатор не будет "видеть" все пакеты в сети, потому что скорости процессора не хватит для анализа каждого из них. Многие программные анализаторы в силу стремления к снижению стоимости не предназначены для глубокого анализа декодированных фреймов. Понимать и использовать информацию, предоставляемую такими анализаторами, способен далеко не каждый пользователь. В любом случае, при обращении в службу поддержки, эта информация не будет лишней. Всегда выбирайте программный анализатор с большей глубиной анализа, даже если Вам кажется, что такие подробности излишни. Слежение за загруженностью сети и предоставление статистики - еще одна способность качественных программных анализаторов, совсем не лишняя при проведении анализа трафика локальной сети. В целом, программные анализаторы предоставляют информацию об общей модели трафика, не вдаваясь в дополнительные подробности. Выбирайте программу, которая показывает не только количество IP, IPX или HTTP трафика, но и подробную информацию о модели трафика и протоколах. Для сужения области поиска конкретной неисправности пользователь может применить фильтр, который будет пропускать для дальнейшей обработки только определенные фреймы, например, только от какой-то одной рабочей станции. При этом все фреймы поступают в компьютер и обрабатываются на предмет соответствия условиям фильтрации. Соответствующие условиям фреймы записываются в память, остальные - отбрасываются. Этот тип фильтрации требует большой вычислительной мощности процессора. Одним из ограничений, присущих программным анализаторам является невозможность работы в дуплексном режиме, когда прием и передача выполняются одновременно. В случае подключения через концентратор (Hub), пригоден и полудуплексный анализатор.

Все фреймы на входе концентратора передаются на все задействованные порты. Это значит, что анализатор протоколов может быть подключен к любому свободному порту, и будет "видеть" все данные на входе концентратора.

Сложности возникают при использовании в сети коммутаторов (switch). Будучи более "разумным" устройством, чем "широковещательный" концентратор, коммутатор "знает" адреса устройств, подключенных к каждому порту, и передает фреймы только между требуемыми портами. Это позволяет разгрузить другие порты, не передавая на них каждый пакет, как это делает концентратор. В то же время, мы не можем подключить анализатор, поскольку порт занят исследуемым устройством.

Одним из способов решения этой проблемы является присоединение концентратора к порту коммутатора. Тогда трафик по этому порту будет передаваться одновременно и на анализатор протоколов и на устройство. Если возможно, то концентратор лучше включать в последний используемый порт коммутатора. Порты коммутатора, подключенные к клиентам, обычно менее загружены, чем порты, подключенные к серверам. Подключение программных анализаторов к коммутаторам сети Ethernet может быть выполнено с помощью концентратора. Этот тип соединения может не работать в некоторых дуплексных средах.

Некоторые программные анализаторы комплектуются специальными сетевыми адаптерами. По сравнению с обычными сетевыми адаптерами такие карты имеют улучшенные возможности по отслеживанию определенных параметров, например, таких как коллизии. Эти адаптеры не следует путать с настоящими аппаратными анализаторами, поскольку для перехвата и анализа фреймов все еще применяется компьютер.

Аппаратные анализаторы локальных сетей.

Когда необходима высокая производительность и подробный анализ протоколов и трафика, то тогда придется покупать аппаратный анализатор протоколов. Возросшие требования по мониторингу скоростного трафика удовлетворяются применением специализированной аппаратной схемы со встроенным программным обеспечением. В аппаратной схеме применяются процессоры, полностью посвященные задачам перехвата и анализа сетевых данных. В отличие от своих программных "братьев" характеристики перехвата и анализа фреймов у аппаратных анализаторов не зависят от производительности процессора компьютера. Аппаратные анализаторы содержат специальные схемы, которые могут быть настроены для фильтрации по определенным условиям, как входящих, так и исходящих фреймов. Эти схемы позволяют избежать посылки на процессор сигналов прерывания, "предлагающих" ему заняться работой по фильтрации, и уменьшают или исключают возможность пропуска необходимых фреймов в сильно загруженных сетях.

Другой важной особенностью качественных аппаратных анализаторов является возможность мониторинга дуплексных сетей Ethernet. Многие сети, особенно те, в которых применяются коммутаторы, могут проверяться только аппаратными анализаторами, способными поддерживать дуплексный режим. Работа в дуплексном режиме не исключает возможности подключения аппаратного анализатора к стандартному порту концентратора.

Благодаря специализированным аппаратным схемам становится возможной разработка ПО, расширяющего возможности анализаторов. Это могут быть долговременный мониторинг приложений и экспертные системы, работающие в реальном времени. При покупке аппаратного анализатора, обращайте внимание на предоставляемые им возможности. Не все из них могут Вам понадобиться сегодня, но потребности меняются с развитием технологий и лучше сейчас немного переплатить за прибор, способный "расти" вместе с Вашей сетью, чем через несколько лет покупать новый. Некоторые программные анализаторы поддерживают многосегментный анализ. При этом производится мониторинг более чем одного сегмента сети одновременно. Например, обе стороны маршрутизатора, локальная и глобальная, могут отслеживаться одновременно для анализа трафика, проходящего через маршрутизатор. Если Вы сталкиваетесь с неисправностями маршрутизации, коммутирования и временными задержками, то многосегметный анализ поможет проверить правильность маршрутизации или коммутации и обнаружить чрезмерные задержки при передаче пакетов. Аппаратные анализаторы бывают двух основных типов. В первом случае анализатор представляет собой самодостаточный прибор, в котором содержится все необходимое для работы: от интерфейсных карт до клавиатуры и дисплея. Недостатком такого подхода является отсутствие гибкости: возможности ограничены предусмотренным набором, модернизация прибора и адаптация к новым технологиям затруднены. Во втором случае анализатор изготавливается в виде отдельного блока, который подключается к персональному компьютеру (ноутбуку). Это позволяет использовать уже имеющийся компьютер для управления анализатором. Полученная информация сохраняется на жестком диске компьютера и может быть просмотрена позже без необходимости включения анализатора. Облегчается передача информации в расположенные на компьютере приложения по составлению отчетов и отсылка этой информации по электронной почте. Другое преимущество внешнего анализатора, управляемого компьютером, заключается в его стоимости. Производитель анализаторов со встроенным компьютером тратит время и деньги на разработку компьютера, в то время как, возможно, компьютер даже с лучшими параметрами у Вас уже есть. Некоторые производители делают сетевые адаптеры, которые в действительности представляют собой аппаратные анализаторы. Обычно они выполнены в виде PCI-карты и содержат процессор и другие цепи, предназначенные для выполнения анализа. Это не значит, что все PCI-анализаторы являются аппаратными. Отличить аппаратный анализатор от программного можно по месту сбора и обработки данных.

Анализаторы глобальных сетей (WAN).

В силу специфики работы глобальных сетей программных анализаторов для них не существует. По своей природе глобальные сети двунаправлены. Это значит, что аппаратура передачи данных (data communications equipment, DCE) и оконечное оборудование (data terminal equipment, DTE) имеют один приемник и один передатчик. Кроме того, для приложений WAN часто необходим специализированный интерфейс, учитывающий множество скоростей и оконечных устройств. Для мониторинга трафика в обоих направлениях анализатор должен следить как за стороной передачи, так и за стороной приема. Для этого необходимо иметь два приемника. Обычно подключение WAN-анализатора выполняется “Y” кабелем.

При слежении за трафиком WAN-анализатор должен "понимать" различные типы инкапсуляций (вложений протоколов), применяемых в сети. Таких как PPP, frame relay, SDLC и т.д. Помните, что Ваша сеть может измениться, поэтому WAN-анализатор должен легко модернизироваться. При покупке WAN-анализатора необходимо рассматривать его совместимость с LAN-анализатором. Если в будущем Вам понадобится LAN-анализатор, то лучше чтобы оборудование было сделано по общему принципу, работало "в команде". В этом случае возможности анализа у такой пары будут выше, чем у суммы разнородных приборов. Обращайте внимание на такие инструменты, как декодирующие протокол приложения и согласующийся вид графиков и диаграмм на LAN и WAN-анализаторах. Распределенные анализаторы предназначены для проведения анализа в ключевых точках по всей сети. Идея состоит в том, чтобы разместить анализаторы в различных сегментах сети и управлять ими удаленно, из одного места. Распределенные анализаторы могут быть как аппаратными, так и программными для локальных сетей, и только аппаратными для глобальных. Программные анализаторы часто размещают на компьютерах пользователей и в случае необходимости запускают их в фоновом режиме. Работникам информационно-управляющей системы (MIS) надо только подключиться и запустить анализатор. В зависимости от потребностей количество "агентов" распределенного анализатора может составлять от двух до нескольких сотен. При выборе компьютеров для размещения "агентов" следует руководствоваться определенными соображениями. Выбирайте компьютеры, которые не будут выключены. Некоторые пользователи устанавливают компьютеры, полностью посвященные работе приложений анализатора. Это гарантирует постоянный доступ и исключает возможность изменения конфигурации таким образом, что это остановит работу "агента". Кроме того, характеристики анализатора будут лучше, если на компьютере одновременно не будут запускаться конкурирующие приложения. Блоки аппаратного анализатора размещают в различных местах по всей сети. Аппаратные анализаторы часто применяются как для обычного мониторинга сети, так и для анализа. Текущее состояние сети можно сравнивать с данными собранными ранее, что позволяет увидеть отклонения в степени загруженности сети и принять меры раньше, чем возникнут проблемы. Если Вы собираетесь устанавливать распределенный анализатор в сети, то продумайте способ подключения и управления блоками. Помимо подключения через локальную сеть надо предусмотреть подключение по телефонной линии. Распределенный анализатор, к которому невозможно подключиться по причине выхода сети из строя, принесет мало пользы. Распределенный аппаратный анализатор должен поддерживать метод сегментированной коммутации. Задействуя матричные коммутаторы, пользователь может подключить анализатор к множеству портов концентратора или коммутатора и удаленно выбирать порт для мониторинга. Это исключает необходимость покупки большого количества анализаторов. Матричные коммутаторы доступны для поддержки всех видов локальных и глобальных сетей. Многие пользователи выбирают комбинацию аппаратных и программных анализаторов в распределенной системе. Аппаратные анализаторы размещают в критически важных участках, таких как магистраль Ethernet или линия ATM или frame relay глобальной сети. Они дополняются распределенными программными анализаторами, работающими на компьютерах, подключенных к менее критическим участкам Ethernet. Убедитесь, что ключевые приложения, такие как механизм декодирования протоколов, работают одинаково как в аппаратном, так и в программном анализаторах. Часто программные анализаторы размещают на компьютерах пользователей в ключевых сегментах по всей сети, а аппаратные анализаторы устанавливают возле маршрутизаторов и коммутаторов в помещении для оборудования. Этот способ выгоден тем, что обеспечивает низкую стоимость анализа индивидуальных сегментов и, в то же время, помещает мощь аппаратных анализаторов в то место, где от них будет максимум пользы.

Выбор анализатора

Выбор необходимого Вам анализатора зависит от информации, которую Вы надеетесь от него получить. Если нужен базовый мониторинг локальной сети и возможность локализации неисправностей, то подойдет программный анализатор. Аппаратные LAN-анализаторы сложнее в настройке и работе, но предоставляют большое количество информации, с которой обычно имеют дело эксперты по сетям. Если Вы экспертом пока не являетесь, то сложность и подробность информации Вам не очень поможет. В этом случае лучше пользоваться простым и понятным программным анализатором. Если Вы выбираете программный анализатор, то убедитесь, что к нему есть дополнительные программные модули, повышающие уровень анализа. Часто пользователи начинают работать с базовыми компонентами программного анализатора и по мере их освоения видят, что могли бы получить больше от дополнительных компонентов, например, таких как программы экспертного анализа. Некоторые программные анализаторы не имеют дополнительных возможностей, и пользователям приходится полностью менять анализатор в случае возросших требований к производительности анализа. Если Вы отвечаете за сегмент локальной сети размещенной на большой площади, то распределенный программный анализатор поможет сократить "походно-ремонтное" время. Жалобы от удаленного пользователя на медленно работающее приложение можно проверить, не сходя со своего рабочего места, подключившись к соответствующему агенту программного анализатора. В случае изменения конфигурации сети можно оценить ее производительность и определить нагрузку, вызванную подключением нового пользователя или запуском приложения в сегменте. Аппаратные LAN-анализаторы - инструмент для серьезных пользователей. Хороший аппаратный анализатор "выдает" огромное количество информации о сети и больше всего подходит для слежения за нагрузкой и распределением протоколов на высокоскоростных тяжело загруженных участках и магистралях. Благодаря своим возможностям передачи данных они могут применяться как для проверки участков WAN и LAN, так и для подключения новых. Это инструменты для тех, кто профессионально отвечает за настройку сети, поддержку, анализ и нахождение неисправностей. Одна из вещей, часто остающаяся вне поля зрения, - это система экспертного анализа. Сеть 100Base-T Fast Ethernet может легко производить 20000 фреймов в секунду. Такой объем трафика может "завалить" данными пользователя, пытающегося анализировать его. В какой-то степени может помочь фильтрация отдельных типов фреймов, но полностью проверить весь объем данных под силу экспертной системе. Особенно она полезна, когда проблемы вызваны взаимодействием нескольких различных приложений. Помните: целью является поиск и устранение неисправности. Хорошая экспертная система делает Вас экспертом, но не требует им быть, чтобы пользоваться ею. Портативность - тоже важный вопрос для рассмотрения. Подумайте о том, где Вы планируете использовать анализатор. Некоторые анализаторы никогда не покинут здание, поэтому их вес и размеры не имеют значения. Если же Вам придется ездить с анализатором, то подумайте, как он будет размещаться в машине, и сколько человек его будут туда нести. У многих пользователей есть ноутбук, которым они регулярно пользуются. Если у Вас анализатор со встроенным компьютером, то носить надо будет два компьютера. Оказавшись перед зданием с неисправным лифтом, очень не хочется вешать на плечи 20 кг инструментария. Если Вы намереваетесь составлять отчеты или переносить собранную информацию в другие приложения, то убедитесь, что анализатор поддерживает такие возможности. Это окажется важным, когда Вы захотите отправить собранную информацию в службу поддержки. Предполагаемому получателю не понадобится загружать в компьютер ПО Вашего анализатора, если данные будут преобразованы в стандартный формат. Возможно, лучше всего Вам подойдет комбинация программных и аппаратных анализаторов. В этом случае большому количеству пользователей можно установить относительно недорогие программные анализаторы, а аппаратный анализатор использовать в особо тяжелых случаях.

Типичные функции

Большинство анализаторов сетевых протоколов работают по схеме, представленной на рис. 3, и отображают, по крайней мере, в некотором начальном виде, одинаковую базовую информацию. Анализатор работает на станции хоста. Когда анализатор запускается в беспорядочном режиме (promiscuous mode), драйвер сетевого адаптера, NIC, перехватывает весь проходящий через него трафик. Анализатор протоколов передает перехваченный трафик декодеру пакетов анализатора (packet-decoder engine), который идентифицирует и расщепляет пакеты по соответствующим уровням иерархии. Программное обеспечение протокольного анализатора изучает пакеты и отображает информацию о них на экране хоста в окне анализатора. В зависимости от возможностей конкретного продукта, представленная информация может впоследствии дополнительно анализироваться и отфильтровываться.

Рисунок 3. Анализатор протоколов выполняет мониторинг сетевого трафика

Обычно окно протокольного анализатора состоит их трех областей, как, например, показано на рис. 4, демонстрирующем продукт Ethereal. Верхняя область отображает итоговые данные перехваченных пакетов. Обычно в этой области отображается минимум полей, а именно: дата; время (в миллисекундах), когда пакеты были перехвачены; исходные и целевые IP-адреса; исходные и целевые адреса портов; тип протокола (сетевой, транспортный или прикладного уровня); некоторая суммарная информация о перехваченных данных. В средней области показаны логические врезки пакетов, выбранных оператором. И наконец, в нижней области пакет представлен в шестнадцатеричном виде или в символьной форме - ASCII.

Анализ декодированных пакетов - основная задача любого анализатора сетевых протоколов. Анализатор организует перехваченные пакеты по уровням и протоколам. Лучшие анализаторы пакетов могут распознать протокол по его наиболее характерному уровню - верхнему - и отобразить перехваченную информацию. Этот тип информации обычно отображается во второй области окна анализатора. Например, любой анализатор протоколов может распознавать трафик TCP. Хороший анализатор заметит, что данный трафик порожден Microsoft Exchange Server, работающим поверх протокола удаленного вызова процедур, Remote Procedure Call - RPC, и покажет текст почтового сообщения. Большинство анализаторов протоколов распознают свыше 300 различных протоколов и умеют описывать и декодировать их по именам. Чем больше анализатор в состоянии декодировать информации и представить ее на экране, тем меньше придется декодировать вручную.

Заявления производителя о том, что его анализатор протоколов поддерживает более 4000 декодеров протоколов, должно вызвать подозрение; 300-400 декодеров - вот наиболее реалистичный диапазон. Большинство продуктов поддерживает примерно одинаковое число декодеров, несмотря на рекламные заявления отдельных поставщиков. Например, один продукт может расчленить простой процесс Ping на несколько протоколов (т. е. Internet Control Message Protocol - ICMP, Echo Request, ICMP Echo Reply), тогда как другой будет декодировать тот же процесс Ping как один протокол, хотя оба продукта оценивают и декодируют одну и ту же информацию.

Сегодня все хорошо осознают важность проблем безопасности, и запуск известных приложений на редко используемых портах является общепринятой практикой защиты от хакеров. Некоторые декодеры умеют распознавать трафик независимо от того, через какой порт он проходит, тогда как другие - нет, и поэтому просто будут определять протокол по его нижнему уровню (т. е. TCP или UDP), а это означает, что декодер не представит более полезной информации о полях. Некоторые анализаторы позволяют модифицировать декодер, чтобы научиться распознавать больше, чем просто порт по умолчанию для определенных протоколов.

Рисунок 4. Пример окна анализатора протоколов

Продавцы анализаторов протоколов часто хвастают аналитическими и экспертными модулями своих продуктов - анализатор умеет считывать пакет или серию пакетов и выдавать отчеты с полезной аналитической информацией о перехваченном трафике. Экспертный анализ действительно может сообщить об аномалиях трафика или несанкционированных пакетах или же полностью декодировать серии потоков данных между двумя хостами. Декодирующая составляющая поистине бесценна, так как позволяет увидеть весь коммуникационный поток данных, и для этого достаточно просто щелкнуть мышью на заинтересовавшем вас пакете. Например, можно щелкнуть HTTP-пакет и увидеть Web-страницу, которая ему соответствует, все равно как если бы пользователь наблюдал код HTML в режиме визуализации. Другая общая функциональность включает фильтры до и после захвата трафика (возможность выделить определенные пакеты по заданному критерию), триггеры (инициирование вторичных действий при обнаружении заранее описанных пакетов), повторное воспроизведение (возможность повторно отработать перехваченные пакеты в сети), сбор статистики и составление отчетов о трафике, а также управление множеством сенсоров с одной консоли.

3. Обзор некоторых сетевых анализаторов

Ethereal 0.10.14

Пакетный сниффер Ethereal 0.10.14 (www.ethereal.com <#"599850.files/image013.gif">

Рисунок 5. Главное окно программы Ethereal 0.10.14

Графический интерфейс программы Ethereal облегчает создание пакетных фильтров как для файлов перехваченных пакетов (фильтры отображения), так и для «живого» перехвата (фильтры перехвата). После изучения синтаксиса фильтров программы Ethereal можно создавать фильтры самостоятельно, присваивать им имена и сохранять их для последующего использования (рис. 6). Программа Ethereal обладает довольно удобным интерфейсом для создания фильтров. Достаточно нажать на кнопку Add Expression, чтобы создать фильтры в диалоговом окне Filter Expression.

Рисунок 6. Создание фильтра в программе Ethereal 0.10.14

Стоит отметить, что программа Ethereal обладает очень гибкими возможностями по созданию фильтров. Программа способна осуществлять фильтрацию практически по любой характеристике пакета и по любому значению этой характеристики. Кроме того, фильтры можно комбинировать друг с другом с использованием булевых операторов AND и OR.

Применение фильтров в анализаторе Ethereal позволяет легко выделить из общего потока перехваченной информации именно те или даже тот единственный кадр, который требуется. Рассмотрим, к примеру, как найти при помощи фильтра пакет с паролем при подключении пользователя к Интернету через dial-up-соединение.

Прежде всего, запускаем сниффер (это можно сделать и из командной строки, причем удаленно и незаметно для пользователя) и накапливаем информацию до тех пор, пока пользователь не установит соединение с Интернетом.

Далее необходимо настроить фильтр, позволяющий найти нужный пакет. Поскольку процесс аутентификации пользователя проходит по протоколу PPP PAP, необходимо создать фильтр на выделение этого протокола. Для этого в строке выражения достаточно указать «pap» и присвоить имя новому фильтру (например, DialUp_Password) (рис. 7).

Рисунок 7. Настройка фильтра для получения пакета с паролем

После применения фильтра из всей совокупности пакетов останутся только два: пакет-запрос на аутентификацию (Authenticate-Request) и пакет подтверждения аутентификации (Authenticate-ACK). Понятно, что пароль (как правило, он передается провайдеру в незашифрованном виде) содержится в первом пакете, в чем несложно убедиться, просмотрев содержимое самого пакета (рис. 8).

Рисунок 8. Содержимое пакета

Еще один пример эффективного использования программы Ethereal 0.10.14 в мирных целях - это точная настройка размера TCP-окна. Чтобы оптимальным образом настроить размер TCP-окна, необходимо запустить сниффер в процессе скачивания файла по сети и затем, настроив соответствующим образом фильтр, просмотреть количество запросов на повторную передачу пакетов, количество пакетов-подтверждений и ошибочных пакетов. Манипулируя с размером TCP-окна, можно добиться максимально возможной скорости передачи, снизив количество подтверждений при хорошем качестве связи или уменьшив число запросов на повторную передачу, - при не очень хорошем качестве связи.

Помимо прекрасных возможностей по созданию разного рода фильтров, программа Ethereal позволяет выполнять всесторонний анализ трафика, представляя его в графической форме или в форме статистического отчета. К примеру, можно выполнить анализ TCP-трафика по пропускной способности, по времени передачи туда и обратно и по номерам пакетов. Результаты анализа представляются в виде графиков. Так, анализ, использующий порядковые номера пакетов и время, позволяет получить представление о том, какой объем данных был послан в различные моменты времени, поскольку порядковые номера пакетов увеличиваются на размер пакета данных.

В целом можно сказать, что пакетный анализатор Ethereal 0.10.14 является очень мощным инструментальным средством диагностики сетей. Конечно, для детального освоения пакета потребуется немало времени. Однако если все-таки удастся преодолеть этот барьер и освоить пакет Ethereal, то необходимость освоения других аналогичных продуктов попросту отпадет.

Analyzer v.2.2