Powódź zalewa karty

Sieć lokalna w przedsiębiorstwach przenosi coraz więcej informacji - standardem stają się treści multimedialne, telefonia IP oraz wideokonferencje. Zatem w analizowanym porcie lub segmencie normą staje się ruch rzędu kilkudziesięciu megabitów na sekundę. Wiele stacji roboczych ma już gigabitowe karty sieciowe, z których z powodzeniem korzystają firmowe aplikacje. Oznacza to, że przy monitorowaniu ruchu z gigabitowego portu interfejs analizujący musi pracować z taką samą prędkością, otrzymując szeroki strumień danych. Z tym jednak nie radzą sobie dobrze karty sieciowe w laptopach, gdyż nie są do tego przystosowane. Przy dużym obciążeniu drobnymi pakietami, gdy duplikuje się ruch na port analizujący, z mocno obciążonej sieciowej stacji roboczej, która korzysta z wielu aplikacji, przeciętny laptop przechwytuje między 7% a 30% ogółu ruchu. Przy takim odsetku analizowanych pakietów nie można mówić o tym, by analiza przeprowadzana na ich podstawie była rzetelna. Gdy monitoring przeprowadza się w celu wykrycia problemów z siecią, na przykład wydajnościowych, wiele drobnych pakietów może w ogóle nie dotrzeć do systemu operacyjnego, a zatem również do oprogramowania analizującego.

Pakiety pod lupą

Ponieważ jest to zazwyczaj zadanie okazjonalne, można posłużyć się darmowym oprogramowaniem rozwijanym w modelu open source. Numerem jeden jest Wireshark - analizator ruchu sieciowego, który potrafi dekodować wiele protokołów. Oprócz filtrowania zebranych danych oprogramowanie potrafi łączyć pakiety, tworząc zapis strumienia TCP/UDP, który następnie jest dekodowany.

Wireshark potrafi dekodować wiele protokołów, przy czym rozpoznaje i śledzi strumienie także protokołów szyfrowanych, takich jak SSL. Szczególnie mocnym narzędziem są filtry - w oprogramowanie wbudowano ponad 105 tys. filtrów, obejmując najważniejsze protokoły sieciowe, dodatkowe warunki oraz inne opcje. Filtry te można łączyć z typowymi warunkami, takimi jak IP, MAC czy inne opcje.

Aby ułatwić diagnostykę sieci, oprogramowanie oferuje narzędzie zwane Expert Info, które sugeruje potencjalne problemy, wykryte w przechwyconym materiale. Nie należy ich traktować jako wyrocznię, ale raczej jako wskazówkę, ujawniającą miejsce dalszych poszukiwań problemów.

Ważną cechą Wiresharka jest możliwość użycia wirtualnego interfejsu "any", który zbiera ruch ze wszystkich dostępnych interfejsów sieciowych. Ma to głęboki sens, gdyż w przypadku analizy ruchu odbywającego się w pełnym dupleksie, należy mieć dwa interfejsy analizujące, podłączone do dwóch wyjść. Ponadto w ten sposób można koncentrować ruch z dwóch segmentów sieci, zatem analizator może zbierać informacje z różnych segmentów w tym samym czasie, by dokonać korelacji zdarzeń.

Drugim przydatnym narzędziem jest ettercap. Program ten rozwinął się z aktywnego sniffera, który potrafił przekierować ruch do interfejsu analizującego także w środowisku wykorzystującym przełączniki sieciowe. Opcja ta oczywiście nadal jest dostępna, stanowiąc część możliwości sniffera w trybie zunifikowanym (united sniffing), ale w tej chwili jedynie uzupełnia arsenał środków. Mocną stroną oprogramowania ettercap jest bridged sniffing, gdzie oprogramowanie zostaje uruchomione na hoście, który ma dwa interfejsy sieciowe, tworząc most. W ten sposób można analizować cały ruch wychodzący z konkretnej maszyny lub segmentu sieci, bez konieczności korzystania z tapa lub rekonfiguracji przełączników.