Аналіз трафіку локальної мережі за допомогою сніферів

Abstract

Історична передумова створення сніферів полягала в знаходженні неполадок і їх усунення в комп'ютерній мережі. Широкий набір інструментів, такий як захоплення, декодування, збереження переданих пакетів, дозволяє повністю аналізувати всю комп'ютерну мережу. Кожний вузол комп'ютерної мережі пересилає один одному пакети даних, при цьому відбувається такий процес як конкуренція за доступ до середовища. Передача пакета даних з одного вузла здійснюється на конкретний порт комутатора, на який підключений одержувач пакета, а мережі, що залишилися в вузлу, не мають доступу і не можуть побачити цей пакет. Аналіз минулого через сніфер трафіка дозволяє одержати інформацію для виконання наступних дій: 1. Виявити паразитний, вірусний і закільцьований трафік, наявність якого збільшує завантаження мережного встаткування і каналів зв'язку. 2. Перехопити будь-який незашифрований (а часом і зашифрований) користувацький трафік з метою одержання паролів і іншої інформації. 3. Локалізувати несправність мережі або помилку конфігурації мережних агентів. Із числа розглянутих програм-аналізаторів мережного трафіка виділяється Wireshark, яка має більшу кількість функціональних можливостей. Використання Wireshark дає можливість одержання інформації про розподіл трафіка, яка необхідна для інтерпретації протоколів. Графічно представлена інформація появи пакетів стосовні до основних 4 протоколам мережі. У процесі аналізу мережного трафіка локальної мережі за допомогою системного інструмента можна визначити наявність пакетів з помилками або попередженнями. Аналізуючи захоплений трафік локальної мережі, можна довідатися, що було завантажено на комп'ютер. Для цього необхідно зробити фільтрацію всього трафіка по фільтру, наприклад для http. Після того як наш захоплений трафік відфільтрований, він відображає всі пакети, які використовували http протокол.