CC BY
17УДК 004
Технические науки
Хомякова Ника Александровна, студент
Астраханский государственный университет им. В. Н. Татищева,
г. Астрахань, Россия Email: tfrbdv@bk.ru
АНАЛИЗ СЕТЕВОГО ТРАФИКА С ЦЕЛЬЮ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Аннотация: Стремительное развитие информационных технологий вызвало проблемы защиты информации, которые столь же важны и остры, как и влияние информационных технологий на все общество. Сетевые атаки, сбои и отказы сетевого оборудования являются основными факторами, влияющими на безопасность передачи информации в распределенных сетях. Поэтому анализ сетевого трафика является очень важной частью процесса обеспечения информационной безопасности.
Ключевые слова: информационная безопасность, защита, информационная среда, оборудование.
Abstract: The rapid development of information technologies has caused problems of information protection, which are as important and acute as the impact of information technologies on the whole society. Network attacks, failures and failures of network equipment are the main factors affecting the security of information transmission in distributed networks. Therefore, network traffic analysis is a very important part of the information security process.
Keywords: information security, protection, information environment, equipment.
Современный мир невозможно представить без использования
компьютерных сетей. Сети обеспечивают быстрый доступ к информации, упрощают работу и повышают эффективность бизнес-процессов. Однако, с увеличением количества информации, передаваемой по сети, растет и угроза нарушения информационной безопасности.
Один из способов защиты информации - это анализ сетевого трафика. Анализ сетевого трафика позволяет выявить подозрительную активность, установить источник атаки и предпринять меры по защите системы.
Анализ сетевого трафика состоит из нескольких этапов. Сначала необходимо собрать данные о трафике, который передается по сети. Для этого используются специальные программы - снифферы. Снифферы могут работать на уровне сетевого интерфейса или захватывать трафик на уровне приложений. Собранные данные сохраняются в файлы, которые затем анализируются.
Далее, данные обрабатываются с помощью специальных программ, которые позволяют выделить основные характеристики трафика, такие как размер пакетов, время задержки, тип протокола и т.д. Анализ этих характеристик позволяет выявить аномалии в сетевом трафике.
Кроме того, при анализе сетевого трафика можно выявить попытки несанкционированного доступа к сети. Например, если обнаружены попытки подбора паролей или сканирования портов, то это может указывать на наличие злоумышленников, пытающихся получить доступ к защищенным ресурсам.
В качестве механизма безопасности вы можете использовать программу Wireshark, предназначенную для перехвата и последующего анализа, или анализировать только сетевой трафик, используемый для других узлов.
При анализе сетевого трафика должны быть решены следующие задачи:
Захват трафика при передаче файлов и изображений;
Отменить информацию, содержащуюся в пакете захвата;
Быстрый анализ сеансов TCP: определение количества сеансов TCP в буфере захваченных пакетов; отображение статистики сеансов TCP;
Неверная идентификация ошибок в захваченных пакетах;
Мы делаем выводы о проделанной нами работе.
Чтобы захватить сетевой трафик, используйте меню Cupture-Options и получите дамп с захваченными пакетами, как показано на рисунке 1.
Рисунок 1 -Дамп захваченных пакетов
Чтобы извлечь файлы или изображения из захваченных файлов, их необходимо отфильтровать с помощью пакетов протокола HTTP. Далее, чтобы извлечь информацию, перейдите к
Файл-Экспорт объекта-меню HTTP. Появится окно, в котором будут показаны все захваченные http-объекты - текстовые файлы, изображения и т.д. (Рисунок 2).
Ц WW** HTTP otojcd tut L^.^e^J
РккИ пыгг Hottname Content Тур« B>1« Fil«n«oK
20 31 66 portal.trviii.ru tOf)-fwzl.mail.ri applKJtiorvjson 1S1 Hr.T0»t»?m»c:l&9jm«cntslfiiicginsol9a.ibr»mkin»4>40m»il.ru&/n image/grf 43 Ь*а^г13<ШН*.<Ь=4вШ;у«г=60;.;;ОЯ170049Д8833447 application >-j*v«icnp4 3296 134811 ?tW9ct-refrKtlp\3A%2f\2fgo.mtri.ru
138 an.yandcuu 43 SlCAvuJf jZm40Q00Zhl Np4<jSxPlf8$(jl aRKdC m<jF au8 AhlZoOO^ki ■ KE1И
•
ДО J Save ¿j Save AJI j ¿areei (
Рисунок 2 -Список захваченных файлов
Чтобы извлечь любой файл из этого списка, просто выберите его и нажмите "Сохранить как". С извлечением чертежа проблем нет (рис. 3). Потоковое видео / аудио может быть извлечено таким же образом.
Ггог*46 jpg ■ средство Просмотр« фо-с*р*фи5 W.ndowi
I I ФаЛя " П«ч«т» * Эл. почт* Звлис» » Стереть » •1
........ - ;■-> •> •-
^ «Чо/ / ' Т\ ^
___________ .--___________
■ч- ri« iQi >1-1 а с
Рисунок 3 - Извлеченный чертеж
Чтобы быстро просмотреть данные передачи в рамках определенного сеанса, пожалуйста, используйте команду меню Анализировать - Следовать потоку TCP. Чтобы использовать функцию отслеживания потока TCP, вам необходимо знать, что данные, которые вы ищете, находятся в определенном пакете. Вы можете определить это, "увидев" передачу данных в потоке TCP в виде пакета протокола FTP-data (рис. 4):
ifJMISJ»»«.«
■ ~ * ■ * в w ■
J 1 1 ■ | 1 | Mi
•:r»r LM T»».v
„,...'•'. 1 I .........................it »Hl iK »-1 1» et IM 'mry Wa I « <кпи. u«! ». •«»: ». J
-1 Г.^-.ж - - --■■ f » - m »iiifmWIf'iiMMil* «1« o» JJ p .. >« ч ^ w»—— v—. ss 2s.T»2»2Sii sssaSSSS ...... Kite «hkmqikm», и a u M « -1 л .AI. . IM«, ss SMSW^SMS äwSSeSiiSiS St".....** .... s i 4
Рисунок 4 - Выбор пакета передачи данных
В появившемся окне выберите функцию "Сохранить" и сохраните данные на диск, используя расширение файла. Если вы не знаете точно расширение сохраненного файла, то заголовок файла может помочь вам "распознать" его - в нашем примере JFIF означает, что это файл jpg.
Чтобы определить количество сеансов TCP в буфере захваченных пакетов, вам необходимо выполнить команду меню Статистика-Разговоры (рис.
5).
Рисунок 5 - Количество сеансов TCP
На рисунке 5 показано, что в буфере захваченного файла имеется 9 сеансов TCP. Выберите первый сеанс и щелкните правой кнопкой мыши, чтобы воспользоваться контекстным меню "Применить как выбранный фильтр-А<->B" (рис. 6).
Д Cor—THftowa старое
НМтк» nT»[tiniri< i • 4 TCP.i
lOCwwwwbem
Ш.. А « Paal « Шп1 < >сл| • »>«■ « rmitiM • I)«««-! • »кик U-» « V nt-ton
IUM1J ¡ёкы * ж -1 5 Ml 111
млаи , »НИ»'"» » WM(M • 0 0 «
wutiJ , UIKU » «4МКМ • > »: »
IV1MI * ( СИ»м<Си win« • .VUMM » A-tm, « Ш 111
ШШШ u«ï ПКНЖЯГ55Г MUMKW • A -Apy 4 B4 Ul
1Ш1Ш «1«4 MUOIHC Mvt • ■ЙММ ■ Я UW t*J
им тз «Ri u»tun не ТГ "ТТЖ" г 4 » »
шжи !»!««»» jeu » 1M 5 S 9K4M
/ Нмяш ¡лиши*«
im h* e- J
Рисунок 6-Кадр, показывающий только один сеанс
а) Клиент использует порт 61787, а сервер использует порт 2041;
б) Начальный серийный номер, выбранный клиентом, равен 122; в) Длина заголовка TCP составляет 60 байт.
Выбрав составное меню Analyze-Expert Info, мы извлекем сообщения об ошибках и предупреждающие знаки (например, отсутствующие сегменты или сегменты вне очереди) для быстрого обнаружения проблем, как показано на рисунке 6.
Errors: 0 (0) Warnings: 1 (1) Notes: 1 (2) | Chats: 16 (64) | Oetatls: 67
Group < Protocol < Summary « Count «
1 в Sequence TCP Previous segment lost (common at capture ll
Packet- 156 1
Help
Рисунок 6 - Окно функции обнаружения ошибок
На рисунке 6 показано 16 чатов. Например, TCP-пакет с установленным флагом SYN; предупреждение - кодировка второго пакета протокола DHCP; предупреждение - предыдущий абзац потерян; и ошибка не была обнаружена.
Библиографический список:
1. Технологии слияния гетерогенной информации из разнородных источников (data fusion) Ананченко И.В., Гайков А.В., Мусаев А.А. Известия Санкт-Петербургского государственного технологического института (технического университета). 2013. №19 (45). с. 098-105.
2. The information infrastructure design of an educational organization using virtualization technologies. Musaev A.A., Gazul S.M., Anantchenko I.V. Известия Санкт-Петербургского государственного технологического института (технического университета). 2014. № 27 (53). с. 71-76.
