Jak rozpoznać problemy sieciowe
- Kamil Folga,
- 10.05.2013
Przyłączanie analizatora do sieci
Administrator sieci LAN najczęściej będzie miał do czynienia z analizą sieci opartej na protokole Ethernet oraz z sieciami bezprzewodowymi. W typowych zastosowaniach można wykorzystać aplikację analizatora w postaci oprogramowania instalowanego w systemie operacyjnym komputera osobistego. Praktycznie każdy nowy komputer przenośny jest wyposażony w interfejs Ethernet oraz interfejs sieci bezprzewodowej WLAN, więc można zrobić z niego bardzo sensowny analizator protokołów sieciowych. Problemem będzie jednak zawsze sposób przyłączenia analizatora do sieci, który pozwoli na możliwie najszerszy zakres pracy. Jeżeli zamierzasz monitorować wyłącznie pakiety wychodzące i trafiające do komputera, nie ma potrzeby realizacji żadnych dodatkowych zabiegów. Analizator uruchomiony na komputerze będzie widział przychodzące i wychodzące połączenia. Co innego, gdy zachodzi konieczność monitorowania segmentu sieci lub wybranych komputerów pracujących w ramach infrastruktury.
W przeszłości, zanim przełączniki sieciowe stały się popularne i przystępne cenowo, wykorzystywano koncentratory sieciowe (określane także nazwą hubów). Ich zaletą - w kontekście potrzeb analizatora - był fakt, że dane przychodzące na dowolny port urządzenia były kopiowane na wszystkie pozostałe porty. W rzeczywistości każdy z uczestników sieci mógł zobaczyć pełną komunikację każdej stacji znajdującej się w tym samym segmencie sieci. Była to sytuacja idealna do wykorzystania przez analizator protokołów, ale i bardzo niebezpieczna. Stwarzała możliwość podsłuchania danych przez nieuprawnione do tego osoby.
WireShark – ekran główny analizatora protokołów
W przypadku sieci bezprzewodowej większość kart Wi-Fi może posłużyć do nasłuchu ramek przesyłanych konkretnym kanałem częstotliwości. Medium jest współdzielone, więc mechanizmy przechwytywania pakietów są stosunkowo łatwe w użyciu. Aby karta widziała ruch nieprzeznaczony dla danej stacji, konieczne jest włączenie trybu promiscuous mode (zwanego też monitor mode) na karcie. Warto dodać, że istnieją także metody zdalnego przechwytywania ruchu (RPCAP), a poszczególni producenci stworzyli własne mechanizmy przechwytywania ruchu (PORT SPAN, VACL).