CC BY
13
УДК 004.056
А.Н. Громов
Омский государственный университет путей сообщения, г. Омск
СОПОСТАВИТЕЛЬНЫЙ АНАЛИЗ СЕТЕВЫХ АНАЛИЗАТОРОВ
В современных информационных системах наиболее важным является вопрос обеспечения информационной безопасности (ИБ). Одним из факторов оперативного анализа ИБ и ее контроля является анализ сетей.
Мониторинг и анализ состояния элементов сети выполняется на разных уровнях. На физическом уровне определяются такие параметры, как уровень сигнала, затухание в линии, параметры помех и т.п. На канальном уровне применительно к Ethemet интересно количество переданных и принятых кадров за единицу времени, количество коллизий, ошибочных кадров, уровень загрузки канала, списки наиболее активных узлов. На сетевом уровне интересна статистическая информация о пакетах определенных протоколов, для отладки может потребоваться захват определенных пакетов для их последующего детального анализа. На прикладном уровне интересно, например, время отклика сети. Мониторинг и анализ ЛВС НОД проводится на канальном и сетевом уровнях.
Для проведения мониторинга на канальном уровне использовали программный продукт MRTG 2.9 (MultiRouterTrafficGrapher) (см. рис.1)
IV л tm ’Г
Рис. 1. Интерфейс Sniffer Pro LAN 4.6
Для проведения мониторинга на сетевом уровне использован программный пакет для экспертного анализа трафика в локальных сетях SnifferPro LAN 4.6. SnifferPro LAN - программный пакет для экспертного анализа трафика в локальных сетях любого размера. Графическое представление информации в реальном времени, декодер более 450 протоколов (включая оригинальные, например, Cisco VLAN), экспертный анализ, работа с коммутирующими (Switched) концентраторами - вот неполный перечень возможностей данного продукта.
237
SnifferPro LAN подключается к концентратору второго уровня с помощью двух сетевых интерфейсов. Первый интерфейс является административным и служит для управления концентратором по SNMP. Второй интерфейс подключается к —зеркальному □ порту - через него SnifferPro LAN перехватывает весь сетевой трафик, проходящий через концентратор.
Программный продукт SnifferPro LAN обладает следующими возможностями:
1) Захват сетевых пакетов в реальном времени;
2) Анализ ошибок физического уровня (необходимо применение сертифицированных сетевых адаптеров);
3) Отображение статистической информации в реальном времени;
4) Визуализация трафика в виде диаграмм, графов, таблиц и т.д.;
5) Декодер более 450 протоколов;
6) Анализ оригинальных протоколов (в частности, Cisco VLAN);
7) SnifferExpert - экспертная система анализа, распознающая более 250 различных симптомов неисправностей;
В) SwitchExpert - анализ концентраторов Ethernet второго уровня (CiscoCatalyst серий 2900, 5000, 6000, NortelBaystack 450);
9) Поддержка топологий Ethernet 10/Mbps, 100 Mbps, FullDuplex, TokenRing 4 Mbps, 16 Mbps, FDDI 100 Mbps;
10) Анализ полнодуплексных коммутируемых сегментов FastEthernet (требуется внешний адаптер FastEthernetFullDuplexPod).
Врианты использования SnifferPro Lan:
а) TrafficMatrix - отображает все маршруты (показывает пары узлов, обменивающихся информацией, а также демонстрирует, какие пары узлов дают наибольший вклад в трафик). Матрицу можно просматривать в виде графа или диаграмм. Ярким цветом подсвечиваются самые последние передачи данных (см. рис2).
К
Г * а ii
а
j;
■
*
JV (9
Рис. 2. Работа TrafficMatrix
б) History - временные графики различных характеристик (загрузка, коллизии, число "битых" фреймов и т.д.).
в) HostTable - 10 самых активных узлов (по объему трафика). Для каждого узла предоставляется информация, включающая адрес MAC, адреса и протоколы IP, сеть и транспортные параметры IPX.
г) ProtocolDistribution - распределение одних протоколов внутри других протоколов (например, IP и DECNet поверх Ethernet; HTTP, FTP и NetBIOS поверх IP (рис.З).
■ >
ll rfIK ІЛщі
■ . Ч: і
JU Ю l4l If] 1 и 1] 1 ,__* ig?i«D4
ЇІЇЇЛЇЇІЇ
JlJ ffi l4l 3
23В
Рис. 3. Средства визуализации
д) GlobalStatistics - статистическое распределение размеров пакетов и загрузки сети (рис.4.)
Статистическое распределение размеров пакетов и загрузки сети
Рис. 4. Статистическое распределение пакетов и загрузки сети
SnifferPro LAN декодирует более 450 протоколов сетевого взаимодействия, начиная с канального и заканчивая уровнем приложений. Декодер отображает полную инкапсуляцию и расшифровывает все заголовки. Например, у перехваченного пакета SMB/NetBIOS можно просмотреть заголовки канального уровня (DLC), сетевого (IP), а также TCP и собственно SMB. Кроме этого приводится 16-ричный дамп (HexDump) пакета.
Генерация трафика незаменима при отладке сетевых приложений разработчиком. SnifferPro LAN способен воспроизводить записанные пакеты, по одному или пачкой, с заданным временным интервалом для лучшего контроля загрузки сети. Пакеты могут быть предварительно откорректированы редактором. Возможна также одновременная генерация трафика с мониторингом.
Важной особенностью пакета SnifferPro LAN является возможность анализа сетевого трафика за длительный период времени с представлением данных в графическом формате.
239
SnifferPro LAN собирает и накапливает статистику, которая может быть отображена в реальном времени в виде "моментального снимка" сетевой активности, сохранена для дальнейшего использования или экспортированы в CSV-формат для последующего анализа с помощью множества различных инструментов производства третьих фирм. Кроме того, SnifferPro LAN включает большое количество готовых форм отчетов за определенный период.
а) Сетевая статистика: загрузка сети, %; отслежено фреймов; байты; распределение
размеров фреймов; количество сетевых узлов;
б) Статистика ошибок: количество ошибок исполнения (RunErrors); количество ошибок контроля/выравнивания (CDC/alignment); число коллизий; количество ошибок фреймов; фреймы с превышением размера;
в) Статистика протоколов: загрузка сети по протоколам, %; количество фреймов по протоколам, %; количество байт по протоколам, %;
г) Статистика размеров фреймов: доли фреймов по размеру, %; количество фреймов по размеру;
д) Статистика станций (для каждой активной станции): трафик (входящий и исходящий); загрузка, % (средняя и текущая); средняя загрузка сети, %;
е) Сетевые тревоги: порог уровня ошибок; порог бездействия сети; порог загрузки сети; порог уровня фреймов; тревоги превышения размера фрейма;
ж) Топологии: Ethernet: 10 Mbps, 100 Mbps, Full Duplex; Token Ring: 4 Mbps, 16 Mbps; FDDI (Fiber Distributed Data Interface) 100 Mbps.
Библиографический список
1. Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства. - М. :ДМК Пресс, 2010. - 544 с.
2. Майстренко, В. А. Безопасность информационных систем и технологий : монография / В. А. Майстренко, В. Г. Шахов ; ОмГТУ. - Омск : ОмГТУ, 2006. - 231 с.
