С.А. Романов, (Студент КНИТУ-КАИ, Казань) |
Конференция 01 «ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В НАУКЕ, БИЗНЕСЕ И ОБРАЗОВАНИИ»: Сборник статей V Международной научно-практической конференции студентов, аспирантов и молодых ученых. |
||||||||
ПРИМЕНЕНИЕ НА ПРАКТИКЕ Причины применения мониторинга за сетью. Например, сеть состоит из трех компьютеров a, b и c. На компьютере a запущен сетевой анализатор, и вы можете наблюдать не только входящий/исходящий трафик на компьютере a, но и данные, проходящие между компьютерами b и c. Это типовая ситуация при работе с сетевыми анализаторами, системами учета трафика и мониторинга сетевого контента. В принципе, вы можете запустить эти программы на каждом компьютере, но это довольно неудобно, поскольку у вас перед глазами не будет всей полноты картины. СПОСОБЫ МОНИТОРИНГА ETHERNET Мониторинг с помощью хабов Из-за достаточно низкой стоимости в небольших сетях чаще используются хабы нежели коммутаторы, что позволяет использовать их особенность ретрансляции поступающих данных на все порты в promiscuous мониторинге. Помимо этого некоторые виды хабов могут не позволить вести полноценный мониторинг своего сегмента сети. 1. Компьютер, подключенный к хабу Любой компьютер, подключенный к хабу, может использоваться для мониторинга, поскольку хаб передает принятые/переданные данные от маршрутизатора на все порты. Достаточно лишь отключить на компьютере фильтрацию данных, направляемых по другим IP-адресам. Также отметим, что возможен мониторинг обмена между локальными ПК. 2. Хаб между маршрутизатором и коммутатором Есть возможность наблюдать данные, передаваемые и получаемые из Интернета, но данные, которыми обмениваются локальные компьютеры внутри ЛВС, вам недоступны. 3. Мониторинг локальной сети без коммутатора Топология малых компьютерных сетей предусматривает совмещение маршрутизатора и коммутатора, к которому подключаются остальные компьютеры (терминалы). Для мониторинга всех данных, передаваемых или принимаемых из Интернета, можно установить хаб между внешней сетью и маршрутизатором, тогда можно будет узнать даже передаваемые скрытым путем данные. Важно отметить, что программа сетевого мониторинга не сможет различать трафик от разных рабочих станций до тех пор, пока у этих рабочих станций, находящихся за маршрутизатором, не будет трассируемых ip-адресов. Если у них нет трассируемых ip-адресов, то все пакеты будут иметь один ip-адрес – это публичный ip-адрес вашей сети. Компьютер для мониторинга должен быть абсолютно пассивным и не передавать данных в сеть, то есть интерфейс должен только принимать данные. Этого можно достичь путем назначения достичь путем назначения сетевой карте нетрассируемого IP-адреса. Мониторинг с помощью коммутаторов Для сетевого мониторинга подходил управляемый коммутатор с поддержкой зеркалирвания портов. Функция зеркалирования позволяет перенаправлять трафик с любых портов на один определенный порт коммутатора. Есть два типичных способа зеркалирования портов: 1. Использование коммутатора с зеркалированием портов Главный коммутатор обладает способностью зеркалировать порты на определенный порт. Подключаем компьютер к «зеркальному» порту, на который производится перенаправление трафика с ЛВС. Причем, можно зеркалировать трафик не с одного, а с нескольких портов коммутатора. 2. Использование неконтролируемых коммутаторов в сети При использовании в сети неконтролируемых коммутаторов, не поддрживающих зеркалирование портов, невозможно подключить к ним контролируемый коммутатор. Максимально возможное в данном случае: подключиться к коммутатору, подключенному к Интернету (они, чаще всего, поддерживают зеркалирование портов) и перехватывать трафик между ЛВС и сетью Интернет. Но будет недоступна информация, передаваемая внутри ЛВС между рабочими станциями. Некоторые коммутаторы, не поддерживающие зерклирование портов, могут быть использованы для мониторинга в режиме “promiscuous”, но в таком случае в результате реализации arp флуда” или arp спуффинга, коммутатор начинает рассылать пакеты по всем портам. Рекомендации по выбору конфигурации сети: 1) Использование отдельного терминала для мониторинга. Мониторинг сети является задачей, требующей больших ресурсов, при обработке данных и трафика, что создает большую нагрузку на процессор. В связи с этим рекомендуется выполнять эту задачу на отдельном компьютере. 2) Использование вместо хабов, ретранслирующих данные на все порты, управляемых коммутаторов, транслирующих трафик на отдельный порт, что снижает нагрузку в сети и риск несанкционированного мониторинга. УДАЛЕННЫЙ МОНИТОРИНГ Способы удаленного мониторинга: 1) Использование программ для удаленного доступа позволяет, которые получили широкое распространение в виду простоты их использования (microsoft remote desktop connection и terminal services, TeamViewer. 2) Использование удаленных сетевых модулей. Подключившись к одному или к нескольким удаленным агентам из одного центра, администратор видит в своей программе мониторинга весь трафик с удаленных машин в режиме реального времени. Что дает одновременное подключение сразу ко многим удаленным модулям и возможность анализировать/сохранять данные на вашем компьютере. СПОСОБ МОНИТОРИНГА НА БАЗЕ ДВУХ СЕТЕВЫХ КАРТ На внешней сетевой карте настраивается режим «promiscuous». Promiscuous mode или promisc mode — так называемый «неразборчивый» режим, в котором сетевая плата позволяет принимать все пакеты независимо от того, кому они адресованы. По умолчанию сетевое оборудование игнорирует трафик, адресованный не ему путем сравнения заголовков пакетов. В более широком смысле режим promiscuous также означает прозрачность сети с определенной точки наблюдения, но при этом не подразумевается обязательного перевода адаптеров в данный режим. В современном оборудовании и программном обеспечении часто реализованы и другие способы мониторинга для достижения полной видимости всех сетевых процессов. |
||||||||
СПИСОК ЛИТЕРАТУРЫ: 1. Техника и философия хакерских атак. М.: СОЛОН-Р, 1999, ISBN 5-93455-015-2 2. Лаем Куин, Ричард Рассел Fast Ethernet, bhv, Киев, 1998. ISBN 5-7315-0014-2 (англ: ISBN 0-471-16998-6) 3. Техника сетевых атак. М.: СОЛОН-Р, 2001, ISBN 5-93455-078-0 |
||||||||
© С.А. Романов, Изд-во "Научные технологии". |