Co w sieci piszczy?
- 12.04.2011
Wadą jest uzależnienie połączenia badanej maszyny lub segmentu sieci od wydajności kart sieciowych, systemu operacyjnego oraz oprogramowania. Podczas analizy w trybie bridged można także filtrować niepożądane połączenia na tej samej zasadzie, jak robi to prosty IPS. Tryb bridged umożliwia śledzenie aktywności pojedynczego urządzenia sieciowego bez utraty pakietów, gdyż ewentualna utrata byłaby przez kartę sieciową traktowana jak problemy z łączem. Barierą jest jednak wydajność tego rozwiązania.
Problem grubej rury
Program Wireshark podczas analizy przechwytywanych pakietów
Wyjściem jest wykorzystanie rozwiązań klasy appliance, takich jak Riverbed Cascade Shark, które ma specjalizowane karty sieciowe Ethernet 1 Gb/s i 10 Gb/s o wysokiej wydajności i potrafi w sposób ciągły przechwytywać strumienie o paśmie wielu gigabitów na sekundę.
Urządzenie to integruje się z oprogramowaniem Wireshark, umożliwiając dostarczenie do analizy wieloterabajtowego zapisu ruchu sieciowego i wykorzystuje przy tym filtrowanie pakietów na tych samych zasadach. Jest to potężne narzędzie, które potrafi wyłuskać z długiego archiwum interesujące połączenia i pomaga ekspertom analizować przyczyny problemów. Dalszym uzupełnieniem jest oprogramowanie Cascade Pilot, które uzupełnia analizę o wiele źródeł danych dostępnych zdalnie i lokalnie.
Aby sprawdzić, ile naprawdę przechwytuje laptop, warto zestawić środowisko testowe, gdzie z jednego komputera przesyła się pakiety przez oprogramowanie hping, drugi te pakiety odbiera, a za pomocą przełącznika duplikuje się ruch na port analizujący. Im mniejsze pakiety, tym mniejszy odsetek przechwyconego i analizowanego ruchu, większość badanych w ten sposób laptopów przechwytuje 10% ruchu przy pakietach o rozmiarze 256 bajtów, gdy bada się masowy ruch z pakietów 64-bajtowych, odsetek jest jeszcze mniejszy. Głównym winowajcą niskiej wydajności jest karta sieciowa, niedostosowana do pracy w takim trybie, a także sterowniki, które nie działają poprawnie. Problem ten bywa niezależny od systemu operacyjnego czy oprogramowania analizującego, gdyż do jądra systemu nie docierają wszystkie pakiety. Niekiedy sprawę nieco poprawia zmiana sterowników lub rekonfiguracja systemu (wyłączenie opcji Task Offload w systemie Windows 7, wyłączenie Network Managera w systemie Linux). Dla porównania, serwer wyposażony w typową kartę sieciową LAN Intel Pro/1000 przechwytuje co najmniej 80-90% ruchu, dedykowany analizator, który ma specjalnie zaprojektowaną kartę, przechwyci wszystko.