Przyłączanie analizatora do sieci

Administrator sieci LAN najczęściej będzie miał do czynienia z analizą sieci opartej na protokole Ethernet oraz z sieciami bezprzewodowymi. W typowych zastosowaniach można wykorzystać aplikację analizatora w postaci oprogramowania instalowanego w systemie operacyjnym komputera osobistego. Praktycznie każdy nowy komputer przenośny jest wyposażony w interfejs Ethernet oraz interfejs sieci bezprzewodowej WLAN, więc można zrobić z niego bardzo sensowny analizator protokołów sieciowych. Problemem będzie jednak zawsze sposób przyłączenia analizatora do sieci, który pozwoli na możliwie najszerszy zakres pracy. Jeżeli zamierzasz monitorować wyłącznie pakiety wychodzące i trafiające do komputera, nie ma potrzeby realizacji żadnych dodatkowych zabiegów. Analizator uruchomiony na komputerze będzie widział przychodzące i wychodzące połączenia. Co innego, gdy zachodzi konieczność monitorowania segmentu sieci lub wybranych komputerów pracujących w ramach infrastruktury.

W przeszłości, zanim przełączniki sieciowe stały się popularne i przystępne cenowo, wykorzystywano koncentratory sieciowe (określane także nazwą hubów). Ich zaletą - w kontekście potrzeb analizatora - był fakt, że dane przychodzące na dowolny port urządzenia były kopiowane na wszystkie pozostałe porty. W rzeczywistości każdy z uczestników sieci mógł zobaczyć pełną komunikację każdej stacji znajdującej się w tym samym segmencie sieci. Była to sytuacja idealna do wykorzystania przez analizator protokołów, ale i bardzo niebezpieczna. Stwarzała możliwość podsłuchania danych przez nieuprawnione do tego osoby.

Następcą koncentratorów sieciowych były przełączniki (określane także nazwą switch). W tym przypadku transmisja nie była widoczna dla innych uczestników sieci. Przełączniki sieciowe są powszechnie wykorzystywane jako standard w sieciach przewodowych. Większość zarządzalnych przełączników sieciowych ma funkcję tworzenia lustrzanego odbicia danych z danego portu (port mirroring). W ten sposób można skonfigurować przełącznik tak, aby zawartość przesyłana jednym portem lub grupą portów była kopiowana na specjalnie wybrany port. W ten port można wpiąć analizator protokołów bezpośrednio do tego portu i przechwytywać dane z dowolnego miejsca sieci. Warto jednak zaznaczyć, że w razie znaczącego obciążenia przełącznika może dojść do utraty danych. Rozwiązaniem tego problemu są stosowane raczej w sprzętowych i zaawansowanych analizatorach sondy (network tap), pozwalające na fizyczne przyłączenie się do analizowanego segmentu sieci bez wpływu na wydajność sieci. Jeżeli nie można skorzystać z żadnej z tych metod, istnieje opcja realizacji ataku zatruwania ARP (APR poisoning) do skierowania ruchu z określonych stacji na dany interfejs sieciowy.

W przypadku sieci bezprzewodowej większość kart Wi-Fi może posłużyć do nasłuchu ramek przesyłanych konkretnym kanałem częstotliwości. Medium jest współdzielone, więc mechanizmy przechwytywania pakietów są stosunkowo łatwe w użyciu. Aby karta widziała ruch nieprzeznaczony dla danej stacji, konieczne jest włączenie trybu promiscuous mode (zwanego też monitor mode) na karcie. Warto dodać, że istnieją także metody zdalnego przechwytywania ruchu (RPCAP), a poszczególni producenci stworzyli własne mechanizmy przechwytywania ruchu (PORT SPAN, VACL).