Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Co w sieci piszczy?

Co w sieci piszczy?

Wadą jest uzależnienie połączenia badanej maszyny lub segmentu sieci od wydajności kart sieciowych, systemu operacyjnego oraz oprogramowania. Podczas analizy w trybie bridged można także filtrować niepożądane połączenia na tej samej zasadzie, jak robi to prosty IPS. Tryb bridged umożliwia śledzenie aktywności pojedynczego urządzenia sieciowego bez utraty pakietów, gdyż ewentualna utrata byłaby przez kartę sieciową traktowana jak problemy z łączem. Barierą jest jednak wydajność tego rozwiązania.

Problem grubej rury

Co w sieci piszczy?

Program Wireshark podczas analizy przechwytywanych pakietów

Dopóki ruch w segmencie sieci nie jest zbyt duży, dobra serwerowa karta sieciowa daje sobie z nim radę. Gdy jednak trzeba analizować strumień liczony w gigabitach na sekundę, nie każdy sprzęt będzie odpowiedni. Urządzenia IPS do tego celu wykorzystują dedykowane układy scalone, specjalne moduły Ethernet oraz programowalne bramki logiczne, których nie da się zaimplementować w typowym sprzęcie PC. Chociaż IPS jest przeznaczony do ochrony urządzeń sieciowych przed atakami, z powodzeniem może być wykorzystywany do analizy ruchu w poszukiwaniu oczekiwanej aktywności. Administratorzy tworzą wtedy regułę, która reaguje na oczekiwany ruch i wybierają opcję logowania aktywności. Jest to jedna z metod analizy ruchu, która sprawdza się dobrze w przypadku kontroli dużego strumienia danych - a z tym IPS-y radzą sobie bardzo dobrze. Mimo wszystko, nie są to rozwiązania, które będą rejestrować cały ruch, umożliwiając później jego zaawansowaną analizę offline.

Wyjściem jest wykorzystanie rozwiązań klasy appliance, takich jak Riverbed Cascade Shark, które ma specjalizowane karty sieciowe Ethernet 1 Gb/s i 10 Gb/s o wysokiej wydajności i potrafi w sposób ciągły przechwytywać strumienie o paśmie wielu gigabitów na sekundę.

Urządzenie to integruje się z oprogramowaniem Wireshark, umożliwiając dostarczenie do analizy wieloterabajtowego zapisu ruchu sieciowego i wykorzystuje przy tym filtrowanie pakietów na tych samych zasadach. Jest to potężne narzędzie, które potrafi wyłuskać z długiego archiwum interesujące połączenia i pomaga ekspertom analizować przyczyny problemów. Dalszym uzupełnieniem jest oprogramowanie Cascade Pilot, które uzupełnia analizę o wiele źródeł danych dostępnych zdalnie i lokalnie.

Co potrafi laptop, a co serwer

Aby sprawdzić, ile naprawdę przechwytuje laptop, warto zestawić środowisko testowe, gdzie z jednego komputera przesyła się pakiety przez oprogramowanie hping, drugi te pakiety odbiera, a za pomocą przełącznika duplikuje się ruch na port analizujący. Im mniejsze pakiety, tym mniejszy odsetek przechwyconego i analizowanego ruchu, większość badanych w ten sposób laptopów przechwytuje 10% ruchu przy pakietach o rozmiarze 256 bajtów, gdy bada się masowy ruch z pakietów 64-bajtowych, odsetek jest jeszcze mniejszy. Głównym winowajcą niskiej wydajności jest karta sieciowa, niedostosowana do pracy w takim trybie, a także sterowniki, które nie działają poprawnie. Problem ten bywa niezależny od systemu operacyjnego czy oprogramowania analizującego, gdyż do jądra systemu nie docierają wszystkie pakiety. Niekiedy sprawę nieco poprawia zmiana sterowników lub rekonfiguracja systemu (wyłączenie opcji Task Offload w systemie Windows 7, wyłączenie Network Managera w systemie Linux). Dla porównania, serwer wyposażony w typową kartę sieciową LAN Intel Pro/1000 przechwytuje co najmniej 80-90% ruchu, dedykowany analizator, który ma specjalnie zaprojektowaną kartę, przechwyci wszystko.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas