Плюсы и минусы сетевых анализаторов (часть 2)

Опубликовано: 14 Апреля, 2023


Инструмент торговли.


Если вы отвечаете за сетевую безопасность, топологию сети, устранение неполадок в сети или сетевые коммуникации, сетевой анализатор — это швейцарский армейский нож, который поможет вам починить, просмотреть или разметить сеть. Сетевой анализатор — это инструмент торговли, и если его использовать по назначению, он может оказаться самым ценным инструментом, который у вас есть в вашем наборе инструментов. Злоумышленники всегда ищут способы злоупотребления инструментами, и, как и любой другой инструмент, сетевой анализатор в чужих руках может иметь катастрофические последствия. Последней тенденцией является обнаружение IDS и устройств сетевого анализа. Как только злоумышленник узнает, что эти устройства существуют, он атакует их, отключая их, а затем продолжая атаку в сети. Сниффер исследует сеть с помощью активного набора инструментов, которые имитируют трафик, измеряют время отклика и устраняют проблемы. В этой статье я сосредоточусь на том, на что следует обратить внимание при выборе анализатора сети.


Что искать в сниффере как инструменте.


Сниффер или анализатор протоколов — это мощный универсальный инструмент для наблюдения за сетью. Большинство хороших снифферов могут похвастаться рядом встроенных функций, улучшающих ваши рентгеновские способности.


1. Убедитесь, что сниффер имеет возможность захвата сетевого трафика для всестороннего анализа на более позднем этапе. Эта функция поможет вам проанализировать сетевую проблему, когда в вашей сети происходит слишком много событий в любой момент времени. Это позволяет сделать снимок за определенный период времени. Преимущества этой функции заключаются в том, что вы сможете прокручивать большие объемы данных в своем собственном темпе и использовать их в качестве доказательств для судебной экспертизы.


2. Ищите возможность отслеживать сетевую активность в режиме реального времени. Эта функция также поможет вам провести быстрый статистический анализ запущенных собранных данных, которые приложение-сниффер могло составить с тех пор, как вы включили эту функцию. Мониторинг в режиме реального времени также важен, так как иногда вы улавливаете то, что не увидели бы в более полном «Режиме захвата». Если проблема более поверхностная, вы сможете решить ее, просто просматривая данные мониторинга в реальном времени.


3. Ищите функции, которые могут помочь вам в диагностике проблем, используя специализированные фильтры или программное обеспечение для анализа, встроенное в сниффинг-приложение. Некоторые анализаторы протоколов имеют встроенные фильтры, которые оповещают администраторов при выполнении определенных условий. Эти инструменты могут оказаться весьма полезными при попытке проанализировать случайные события, не имеющие объяснения. Собирая эти оповещения и сводя их в таблицу, вы сможете обнаружить тенденции, которые помогут вам решить эту иллюзорную «полуночную» сетевую проблему.


4. Широкие возможности ведения журналов. Хорошие приложения-снифферы способны собирать подробную информацию об использовании, статистике ошибок и разговорах для всех или отдельных станций в сегменте вашей сети. Это не следует путать с функцией захвата, поскольку это не так, но представляет собой функцию, в большей степени основанную на регистрации и фильтрации, которая отображает конкретную запрошенную информацию в формате отчета, который может быть представлен руководству в отчете о техническом анализе.


5. Получите сниффер, который сохраняет историческую, статистическую информацию об использовании и ошибках для сравнительного базового анализа. Используя эту информацию, вы сможете составлять управленческие отчеты и проводить сравнительный анализ вашей сети для руководства. Этот тип анализа поможет вам получить мотивационную информацию, которая будет способствовать поощрению новых обновлений оборудования или изменений в сети, если это необходимо.


6. Выберите анализатор протоколов, который сможет генерировать сигналы тревоги в реальном времени, которые будут уведомлять администраторов сети, когда в сети происходят определенные обстоятельства. Это особенно полезно, когда в вашей сети установлены ловушки, такие как медовые горшки, и вы знаете, что никто не должен получать к ним доступ!



Изображение 26228


На приведенной выше диаграмме представлен фильтр, примененный к буферизованным данным в реальном времени, которые можно сохранить и экспортировать для последующего анализа. Этот конкретный фильтр представляет первую десятку говорящих в сети, и в этом конкретном сценарии машина транслировала информацию в сеть и обозначается самой высокой зеленой полосой.


Изображение 26229


На приведенной выше диаграмме показано распределение протоколов и процентная доля протоколов в сети.


7. Убедитесь, что сниффер использует возможности многозадачности 32-разрядной версии Windows и может запускать несколько экземпляров программы и ее отдельных инструментов. Это очень важная функция, так как в некоторых старых снифферах отсутствует 32-битная многозадачность, и это может привести к тому, что вы будете использовать несколько машин для одного базового типа параллельного анализа.



8. Убедитесь, что выбранный вами сетевой анализатор сможет отображать статистику загрузки сети, такую как трафик за определенный интервал времени, процент использования, статистику сетевых ошибок.



9. Убедитесь, что драйверы, прилагаемые к анализатору, совместимы с вашей сетевой картой и что ваша сетевая карта поддерживается приложением анализатора. Некоторым снифферам могут потребоваться проприетарные сетевые карты.



На приведенной ниже диаграмме представлена матрица трафика. Этот инструмент реального времени — это то, что я вызывающе ищу в сниффере. Используя этот инструмент, я могу видеть, как машины соединяются друг с другом. Если какой-то трафик будет передаваться по сети, то я моментально подберу его в матрице. Матрица настроена для отображения MAC-адресов на картинке, но вы также можете настроить ее для просмотра IP-адресов или настроить сниффер для разрешения имен хостов, чтобы было легко идентифицировать машины и к какому узлу они подключаются..


Изображение 26230


Хороший нюх…




  1. Выявляет неправомерное использование трафика и несоответствия, помогая устранять узкие места.


  2. Также это облегчит поиск и идентификацию неисправного оборудования, без сниффера это очень сложно.


  3. Помогает вам установить стандартные базовые показатели, чтобы сравнительные статистические отчеты имели смысл при представлении их руководству.


  4. Поможет вам определить устаревшее оборудование, которое не справляется с поставленной задачей, улучшит вашу способность планировать расширение сети и позволит вам установить структурированную сетевую среду для максимальной эффективности.

Резюме


В этой статье я сосредоточился на идеях и принципах работы наиболее известных отраслевых снифферов. Эта статья написана, чтобы помочь вам принять более взвешенное решение при выборе сниффера по вашему выбору, и обязательно поможет вам, когда дело доходит до поиска полезных функций. Рекомендуется, чтобы при выборе сниффера присутствовало большинство функций, описанных выше, и чтобы программное обеспечение было протестировано в контролируемой среде перед запуском. Эта стратегия сведет к минимуму риски и недостатки, которые могут быть связаны с приложением, которые в противном случае могли бы остаться незамеченными.