Co w sieci piszczy?
- 12.04.2011
Powódź zalewa karty
Przygotowanie do aktywnego snif?ngu w sieciach z przełącznikiem
Pakiety pod lupą
Ponieważ jest to zazwyczaj zadanie okazjonalne, można posłużyć się darmowym oprogramowaniem rozwijanym w modelu open source. Numerem jeden jest Wireshark - analizator ruchu sieciowego, który potrafi dekodować wiele protokołów. Oprócz filtrowania zebranych danych oprogramowanie potrafi łączyć pakiety, tworząc zapis strumienia TCP/UDP, który następnie jest dekodowany.
Wireshark potrafi dekodować wiele protokołów, przy czym rozpoznaje i śledzi strumienie także protokołów szyfrowanych, takich jak SSL. Szczególnie mocnym narzędziem są filtry - w oprogramowanie wbudowano ponad 105 tys. filtrów, obejmując najważniejsze protokoły sieciowe, dodatkowe warunki oraz inne opcje. Filtry te można łączyć z typowymi warunkami, takimi jak IP, MAC czy inne opcje.
Aby ułatwić diagnostykę sieci, oprogramowanie oferuje narzędzie zwane Expert Info, które sugeruje potencjalne problemy, wykryte w przechwyconym materiale. Nie należy ich traktować jako wyrocznię, ale raczej jako wskazówkę, ujawniającą miejsce dalszych poszukiwań problemów.
Ważną cechą Wiresharka jest możliwość użycia wirtualnego interfejsu "any", który zbiera ruch ze wszystkich dostępnych interfejsów sieciowych. Ma to głęboki sens, gdyż w przypadku analizy ruchu odbywającego się w pełnym dupleksie, należy mieć dwa interfejsy analizujące, podłączone do dwóch wyjść. Ponadto w ten sposób można koncentrować ruch z dwóch segmentów sieci, zatem analizator może zbierać informacje z różnych segmentów w tym samym czasie, by dokonać korelacji zdarzeń.
Drugim przydatnym narzędziem jest ettercap. Program ten rozwinął się z aktywnego sniffera, który potrafił przekierować ruch do interfejsu analizującego także w środowisku wykorzystującym przełączniki sieciowe. Opcja ta oczywiście nadal jest dostępna, stanowiąc część możliwości sniffera w trybie zunifikowanym (united sniffing), ale w tej chwili jedynie uzupełnia arsenał środków. Mocną stroną oprogramowania ettercap jest bridged sniffing, gdzie oprogramowanie zostaje uruchomione na hoście, który ma dwa interfejsy sieciowe, tworząc most. W ten sposób można analizować cały ruch wychodzący z konkretnej maszyny lub segmentu sieci, bez konieczności korzystania z tapa lub rekonfiguracji przełączników.