Сетевые анализаторы. Мониторинг сети с использование утилиты TCPView и netstat Анализатор сетевых пакетов

Wireshark - это мощный сетевой анализатор, который может использоваться для анализа трафика, проходящего через сетевой интерфейс вашего компьютера. Он может понадобиться для обнаружения и решения проблем с сетью, отладки ваших веб-приложений, сетевых программ или сайтов. Wireshark позволяет полностью просматривать содержимое пакета на всех уровнях: так вы сможете лучше понять как работает сеть на низком уровне.

Все пакеты перехватываются в реальном времени и предоставляются в удобном для чтения формате. Программа поддерживает очень мощную систему фильтрации, подсветку цветом, и другие особенности, которые помогут найти нужные пакеты. В этой инструкции мы рассмотрим, как пользоваться Wireshark для анализа трафика. Недавно разработчики перешли к работе над второй веткой программы Wireshark 2.0, в неё было внесено множество изменений и улучшений, особенно для интерфейса. Именно её мы будем использовать в этой статье.

Перед тем, как переходить к рассмотрению способов анализа трафика, нужно рассмотреть, какие возможности поддерживает программа более подробно, с какими протоколами она может работать и что делать. Вот основные возможности программы:

Захват пакетов в реальном времени из проводного или любого другого типа сетевых интерфейсов, а также чтение из файла;
Поддерживаются такие интерфейсы захвата: Ethernet, IEEE 802.11, PPP и локальные виртуальные интерфейсы;
Пакеты можно отсеивать по множеству параметров с помощью фильтров;
Все известные протоколы подсвечиваются в списке разными цветами, например TCP, HTTP, FTP, DNS, ICMP и так далее;
Поддержка захвата трафика VoIP-звонков;
Поддерживается расшифровка HTTPS-трафика при наличии сертификата;
Расшифровка WEP-, WPA-трафика беспроводных сетей при наличии ключа и handshake;
Отображение статистики нагрузки на сеть;
Просмотр содержимого пакетов для всех сетевых уровней;
Отображение времени отправки и получения пакетов.

Программа имеет множество других функций, но это были те основные, которые могут вас заинтересовать.

Как пользоваться Wireshark

Я предполагаю, что программа у вас уже установлена, но если нет, то вы можете ее установить из официальных репозиториев. Для этого наберите команду в Ubuntu:

sudo apt install wireshark

После установки вы сможете найти программу в главном меню дистрибутива. Запускать Wireshark нужно с правами суперпользователя, потому что иначе она не сможет анализировать сетевые пакеты. Это можно сделать из главного меню или через терминал с помощью команды для KDE:

А для Gnome / Unity:

Главное окно программы разделено на три части: первая колонка содержит список доступных для анализа сетевых интерфейсов, вторая - опции для открытия файлов, а третья - помощь.

Анализ сетевого трафика

Для начала анализа выберите сетевой интерфейс, например eth0, и нажмите кнопку Start.

После этого откроется следующее окно, уже с потоком пакетов, которые проходят через интерфейс. Это окно тоже разделено на несколько частей:

Верхняя часть - это меню и панели с различными кнопками;
Список пакетов - дальше отображается поток сетевых пакетов, которые вы будете анализировать;
Содержимое пакета - чуть ниже расположено содержимое выбранного пакета, оно разбито по категориям в зависимости от транспортного уровня;
Реальное представление - в самом низу отображается содержимое пакета в реальном виде, а также в виде HEX.

Вы можете кликнуть по любому пакету, чтобы проанализировать его содержимое:

Здесь мы видим пакет запроса к DNS, чтобы получить IP-адрес сайта, в самом запросе отправляется домен, а в пакете ответа мы получаем наш вопрос, а также ответ.

Для более удобного просмотра можно открыть пакет в новом окне, выполнив двойной клик по записи:

Фильтры Wireshark

Перебирать пакеты вручную, чтобы найти нужные, очень неудобно, особенно при активном потоке. Поэтому для такой задачи лучше использовать фильтры. Для ввода фильтров под меню есть специальная строка. Вы можете нажать Expression , чтобы открыть конструктор фильтров, но там их очень много, поэтому мы рассмотрим самые основные:

ip.dst - целевой IP-адрес;
ip.src - IP-адрес отправителя;
ip.addr - IP отправителя или получателя;
ip.proto - протокол;
tcp.dstport - порт назначения;
tcp.srcport - порт отправителя;
ip.ttl - фильтр по ttl, определяет сетевое расстояние;
http.request_uri - запрашиваемый адрес сайта.

Для указания отношения между полем и значением в фильтре можно использовать такие операторы:

== - равно;
!= - не равно;
< - меньше;
> - больше;
<= - меньше или равно;
>= - больше или равно;
matches - регулярное выражение;
contains - содержит.

Для объединения нескольких выражений можно применять:

&& - оба выражения должны быть верными для пакета;
|| - может быть верным одно из выражений.

Теперь рассмотрим подробнее на примерах несколько фильтров и попытаемся понять все знаки отношений.

Сначала отфильтруем все пакеты, отправленные на 194.67.215.. Наберите строку в поле фильтра и нажмите Apply . Для удобства фильтры Wireshark можно сохранять с помощью кнопки Save :

ip.dst == 194.67.215.125

А чтобы получить не только отправленные пакеты, но и полученные в ответ от этого узла, можно объединить два условия:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Также мы можем отобрать переданные большие файлы:

http.content_length > 5000

Отфильтровав Content-Type, мы можем выбрать все картинки, которые были загружены; выполним анализ трафика Wireshark, пакеты, которого содержат слово image:

http.content_type contains image

Чтобы очистить фильтр, вы можете нажать кнопку Clear . Бывает, вы не всегда знаете всю необходимую для фильтрации информацию, а просто хотите изучить сеть. Вы можете добавить любое поле пакета в качестве колонки и посмотреть его содержимое в общем окне для каждого пакета.

Например, я хочу вывести в виде колонки ttl (время жизни) пакета. Для этого откройте информацию о пакете, найдите это поле в разделе IP. Затем вызовите контекстное меню и выберите опцию Apply As Column :

Таким же образом можно создать фильтр на основе любого нужного поля. Выберите его и вызовите контекстное меню, затем нажмите Apply as filter или Prepare as filter , затем выбираем Selected, чтобы вывести только выбранные значения, или Not selected , чтобы их убрать:

Указанное поле и его значение будет применено или во втором случае подставлено в поле фильтра:

Таким способом вы можете добавить в фильтр поле любого пакета или колонку. Там тоже есть эта опция в контекстном меню. Для фильтрации протоколов вы можете использовать и более простые условия. Например, выполним анализ трафика Wireshark для протоколов HTTP и DNS:

Еще одна интересная возможность программы - использование Wireshark для отслеживания определённого сеанса между компьютером пользователя и сервером. Для этого откройте контекстное меню для пакета и выберите Follow TCP stream .

Затем откроется окно, в котором вы найдете все данные, переданные между сервером и клиентом:

Диагностика проблем Wireshark

Возможно, вам интересно, как пользоваться Wireshark 2.0 для обнаружения проблем в сети. Для этого в левом нижнем углу окна есть круглая кнопка, при нажатии на неё открывается окно Expet Tools . В нём Wireshark собирает все сообщения об ошибках и неполадках в сети:

Окно разделено на такие вкладки, как Errors, Warnings, Notices, Chats. Программа умеет фильтровать и находить множество проблем с сетью, и тут вы можете их очень быстро увидеть. Здесь тоже поддерживаются фильтры Wireshark.

Анализ трафика Wireshark

Вы можете очень просто понять, что именно скачивали пользователи и какие файлы они смотрели, если соединение не было зашифровано. Программа очень хорошо справляется с извлечением контента.

Для этого сначала нужно остановить захват трафика с помощью красного квадрата на панели. Затем откройте меню File -> Export Objects -> HTTP :

ОБЗОР ПРОГРАММ АНАЛИЗА И МОНИТОРИНГА СЕТЕВОГО ТРАФИКА

А.И. КОСТРОМИЦКИЙ, канд. техн. наук, В.С. ВОЛОТКА

Введение

Мониторинг трафика жизненно важен для эффективного управления сетью. Он является источником информации о функционировании корпоративных приложений, которая учитывается при распределении средств, планировании вычислительных мощностей, определении и локализации отказов, решении вопросов безопасности.

В недалеком прошлом мониторинг трафика был относительно простой задачей. Как правило, компьютеры объединялись в сеть на основе шинной топологии, т. е. имели разделяемую среду передачи. Это позволяло подсоединить к сети единственное устройство, с помощью которого можно было следить за всем трафиком. Однако требования к повышению пропускной способности сети и развитие технологий коммутации пакетов, вызвавшее падение цен на коммутаторы и маршрутизаторы, обусловили быстрый переход от разделяемой среды передачи к высокосегментированным топологиям. Общий трафик уже нельзя увидеть из одной точки. Для получения полной картины требуется выполнять мониторинг каждого порта. Использование соединений типа «точка-точка» делает неудобным подключение приборов, да и понадобилось бы слишком большое их число для прослушивания всех портов, что превращается в чересчур дорогостоящую задачу. Вдобавок сами коммутаторы и маршрутизаторы имеют сложную архитектуру, и скорость обработки и передачи пакетов становится важным фактором, определяющим производительность сети.

Одной из актуальных научных задач в настоящее время является анализ (и дальнейшее прогнозирование) самоподобной структуры трафика в современных мультисервисных сетях. Для решения этой задачи необходим сбор и последующий анализ разнообразной статистики (скорость, объемы переданных данных и т.д.) в действующих сетях. Сбор такой статистики в том или ином виде возможен различными программными средствами. Однако существует набор дополнительных параметров и настроек, которые оказываются весьма важными при практическом использовании различных средств.

Различные исследователи используют самые различные программы для мониторинга сетевого трафика. Например, в , исследователи использовали программу - анализатор (сниффер) сетевого трафика Ethreal (Wireshark ).

Обзору подверглись бесплатные версии программ, которые доступны на , , .

1. Обзор программ мониторинга сетевого трафика

Были рассмотрены около десяти программ-анализаторов трафика (снифферы) и более десятка программ для мониторинга сетевого трафика, из которых мы отобрали по четыре самых интересных, на наш взгляд, и предлагаем вам обзор их основных возможностей.

1) BMExtreme (рис.1).

Это новое название хорошо известной многим программы Bandwidth Monitor. Ранее программа распространялась бесплатно, теперь же она имеет три версии, и бесплатной является только базовая. В этой версии не предусмотрено никаких возможностей, кроме, собственно, мониторинга трафика, поэтому вряд ли можно считать ее конкурентом других программ. По умолчанию BMExtreme следит как за Интернет-трафиком, так и за трафиком в локальной сети, однако мониторинг в LAN при желании можно отключить.

Рис. 1

2) BWMeter (рис.2).

Эта программа имеет не одно, а два окна слежения за трафиком: в одном отображается активность в Интернете, а в другом - в локальной сети.

Рис. 2

Программа имеет гибкие настройки для мониторинга трафика. С ее помощью можно определить, нужно ли следить за приемом и передачей данных в Интернет только с этого компьютера или со всех компьютеров, подключенных к локальной сети, установить диапазон IP-адресов, порты и протоколы, для которых будет или не будет производиться мониторинг. Кроме этого, можно отключить слежение за трафиком в определенные часы или дни. Системные администраторы наверняка оценят возможность распределения трафика между компьютерами в локальной сети. Так, для каждого ПК можно задать максимальную скорость приема и передачи данных, а также одним щелчком мыши запретить сетевую активность.

При весьма миниатюрном размере программа обладает огромным множеством возможностей, часть из которых можно представить так:

Мониторинг любых сетевых интерфейсов и любого сетевого трафика.

Мощная система фильтров, позволяющая оценить объем любой части трафика - вплоть до конкретного сайта в указанном направлении или трафика с каждой машины в локальной сети в указанное время суток.

Неограниченное количество настраиваемых графиков активности сетевых соединений на основе выбранных фильтров.

Управление (ограничение, приостановка) потоком трафика на любом из фильтров.

Удобная система статистики (от часа до года) с функцией экспорта.

Возможность просмотра статистики удаленных компьютеров с BWMeter.

Гибкая система оповещений и уведомлений по достижении определенного события.

Максимальные возможности по настройке, в т.ч. внешнего вида.

Возможность запуска как сервиса.

3) Bandwidth Monitor Pro (рис.3).

Её разработчики очень много внимания уделили настройке окна мониторинга трафика. Во-первых, можно определить, какую именно информацию программа будет постоянно показывать на экране. Это может быть количество полученных и переданных данных (как отдельно, так и в сумме) за сегодня и за любой указанный промежуток времени, среднюю, текущую и максимальную скорость соединения. Если у вас установлено несколько сетевых адаптеров, вы можете следить за статистикой для каждого из них отдельно. При этом, нужная информация для каждой сетевой карты также может отображаться в окне мониторинга.

Рис. 3

Отдельно стоит сказать о системе оповещений, которая реализована тут очень удачно. Можно задавать поведение программы при выполнении заданных условий, которыми могут быть передача определенного количества данных за указанный период времени, достижение максимальной скорости загрузки, изменение скорости соединения и пр. Если на компьютере работает несколько пользователей, и необходимо следить за общим трафиком, программу можно запускать как службу. В этом случае Bandwidth Monitor Pro будет собирать статистику всех пользователей, которые заходят в систему под своими логинами.

4) DUTraffic (рис.4).

От всех программ обзора DUTraffic отличает бесплатный статус.

Рис. 4

Как и коммерческие аналоги, DUTraffic может выполнять разнообразные действия при выполнении тех или иных условий. Так, например, он может проигрывать аудиофайл, показывать сообщение или же разрывать соединение с Интернетом, когда средняя или текущая скорость загрузки меньше заданного значения, когда продолжительность Интернет-сессии превышает указанное число часов, когда передано определенное количество данных. Кроме этого, различные действия могут выполняться циклически, например, каждый раз, когда программа фиксирует передачу заданного объема информации. Статистика в DUTraffic ведется отдельно для каждого пользователя и для каждого соединения с Интернетом. Программа показывает как общую статистику за выбранный промежуток времени, так и информацию о скорости, количестве переданных и принятых данных и финансовых затратах за каждую сессию.

5) Cистема мониторинга Cacti (рис.5).

Cacti это open-source веб-приложение (соответственно отсутствует установочный файл). Cacti собирает статистические данные за определённые временные интервалы и позволяет отобразить их в графическом виде. Система позволяет строить графики при помощи RRDtool. Преимущественно используются стандартные шаблоны для отображения статистики по загрузке процессора, выделению оперативной памяти, количеству запущенных процессов, использованию входящего/исходящего трафика.

Интерфейс отображения статистики, собранной с сетевых устройств, представлен в виде дерева, структура которого задается самим пользователем. Как правило, графики группируют по определенным критериям, причем один и тот же график может присутствовать в разных ветвях дерева (например, трафик через сетевой интерфейс сервера - в той, которая посвящена общей картине интернет-трафика компании, и в ветви с параметрами данного устройства). Есть вариант просмотра заранее составленного набора графиков, и есть режим предпросмотра. Каждый из графиков можно рассмотреть отдельно, при этом он будет представлен за последние день, неделю, месяц и год. Есть возможность самостоятельного выбора временного промежутка, за который будет сгенерирован график, причем сделать это можно, как указав календарные параметры, так и просто выделив мышкой определенный участок на нем.

Таблица 1

Параметры/Программы	BMExtreme	BWMeter	Bandwidth Monitor Pro	DUTraffic	Cacti
Размер установочного файла	473 КБ	1,91 МБ	1,05 МБ	1,4 МБ
Язык интерфейса	русский	русский	английский	русский	английский
График скорости
График трафика
Экспорт/импорт (формат файла экспорта)	–/–	(* . csv)	–/–	–/–	(* . xls)

Min -й временной шаг между отчётам данных	5 мин.	1 сек.	1 мин.	1 сек.	1 сек.
Возможность изменения min

2. Обзор программ-анализаторов (снифферов) сетевого трафика

Анализатор трафика, или сниффер - сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.

Анализ прошедшего через сниффер трафика позволяет:

Перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации.

Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели снифферы часто применяются системными администраторами).

Поскольку в «классическом» сниффере анализ трафика происходит вручную, с применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока), то он подходит для анализа лишь небольших его объёмов.

1) Wireshark (ранее - Ethereal).

Программа-анализатор трафика для компьютерных сетей Ethernet и некоторых других. Имеет графический пользовательский интерфейс. Wireshark - это приложение, которое «знает» структуру самых различных сетевых протоколов, и поэтому позволяет разобрать сетевой пакет, отображая значение каждого поля протокола любого уровня. Поскольку для захвата пакетов используется pcap, существует возможность захвата данных только из тех сетей, которые поддерживаются этой библиотекой. Тем не менее, Wireshark умеет работать с множеством форматов входных данных, соответственно, можно открывать файлы данных, захваченных другими программами, что расширяет возможности захвата.

2) Iris Network Traffic Analyzer .

Помимо стандартных функций сбора, фильтрации и поиска пакетов, а также построения отчетов, программа предлагает уникальные возможности для реконструирования данных. Iris The Network Traffic Analyzer помогает детально воспроизвести сеансы работы пользователей с различными web-ресурсами и даже позволяет имитировать отправку паролей для доступа к защищенным web-серверам с помощью cookies. Уникальная технология реконструирования данных, реализованная в модуле дешифрования (decode module), преобразует сотни собранных двоичных сетевых пакетов в привычные глазу электронные письма, web-страницы, сообщения ICQ и др. eEye Iris позволяет просматривать незашифрованные сообщения web-почты и программ мгновенного обмена сообщениями, расширяя возможности имеющихся средств мониторинга и аудита.

Анализатор пакетов eEye Iris позволяет зафиксировать различные детали атаки, такие как дата и время, IP-адреса и DNS-имена компьютеров хакера и жертвы, а также использованные порты.

3) Ethernet Internet traffic Statistic .

Ethernet Internet traffic Statisticпоказывает количество полученных и принятых данных (в байтах - всего и за последнюю сессию), а также скорость подключения. Для наглядности собираемые данные отображаются в режиме реального времени на графике. Работает без инсталляции, интерфейс - русский и английский.

Утилита для контроля за степенью сетевой активности - показывает количество полученных и принятых данных, ведя статистику за сессию, день, неделю и месяц.

4) CommTraffic .

Это сетевая утилита для сбора, обработки и отображения статистики интернет-трафика через модемное (dial-up) или выделенное соединение. При мониторинге сегмента локальной сети, CommTraffic показывает интернет-трафик для каждого компьютера в сегменте.

CommTraffic включает в себя легко настраиваемый, понятный пользователю интерфейс, показывающий статистику работы сети в виде графиков и цифр.

Таблица 2

Параметры/Программы	Wireshark	Iris The Network Traffic Analyzer	Ethernet Internet traffic Statistic	CommTraffic
Размер установочного файла	17,4 МБ	5,04 МБ	651 КБ	7,2 МБ
Язык интерфейса	английский	русский	английский/русский	русский
График скорости
График трафика
Экспорт/Импорт (формат файла экспорта)	+/– (.txt, .px, .csv, .psml, .pdml, .c)	–/–	–/–	–/–
Запуск мониторинга по требованию
Min -й временной шаг между отчётами данных	0,001 сек.	1 сек.	1 сек .	1 сек.
Возможность изменения min -го шага между отчётами данных

Заключение

В целом можно сказать, что большинству домашних пользователей будет достаточно возможностей, которые предоставляет Bandwidth Monitor Pro. Если же говорить о самой функциональной программе для мониторинга сетевого трафика, это, безусловно, BWMeter.

Из числа рассмотренных программ-анализаторов сетевого трафика хотелось бы выделить Wireshark, которая имеет большее количество функциональных возможностей.

Система мониторинга Cacti максимально отвечает повышенным требованиям, которые предъявляются в случае проведения исследования сетевого трафика в научных целях. В дальнейшем авторы статьи планируют именно эту систему использовать для сбора и предварительного анализа трафика в корпоративной мультисервисной сети кафедры "Сети связи" Харьковского национального университета радиоэлектроники.

Список литературы

Платов В.В., Петров В.В. Исследование самоподобной структуры телетрафика беспроводной сети //Радиотехнические тетради. М.: ОКБ МЭИ. 2004. №3. С. 58-62.

Петров В.В. Структура телетрафика и алгоритм обеспечения качества обслуживания при влиянии эффекта самоподобия. Диссертация на соискание ученой степени кандидата технических наук, 05.12.13, Москва, 2004, 199 с.

Министерство образования и наук Российской Федерации

ГОУ «Санкт-Петербургский государственный политехнический университет»

Чебоксарский институт экономики и менеджмента (филиал)

Кафедра высшей математики и информационных технологий

РЕФЕРАТ

по курсу «Защита информации».

на тему: «Сетевые анализаторы»

Выполнил

студент 4 курса з/о 080502-51М

по специальности «Управление

на предприятии машиностроения»

Павлов К.В.

Проверил

Преподаватель

Чебоксары 2011

ВВЕДЕНИЕ

Сети Ethernet завоевали огромную популярность благодаря хорошей пропускной способности, простоте установки и приемлемой стоимости установки сетевого оборудования.
Однако технология Ethernet не лишена существенных недостатков. Основной из них состоит в незащищенности передаваемой информации. Компьютеры, подключенные к сети Ethernet, в состоянии перехватывать информацию, адресованную своим соседям. Причиной тому является принятый в сетях Ethernet так называемый широковещательный механизм обмена сообщениями.

Объединение компьютеров в сети ломает старые аксиомы защиты информации. Например, о статичности безопасности. В прошлом уязвимость системы могла быть обнаружена и устранена администратором системы путем установки соответствующего обновления, который мог только через несколько недель или месяцев проверить функционирование установленной "заплаты". Однако эта "заплата" могла быть удалена пользователем случайно или в процесс работы, или другим администратором при инсталляции новых компонент. Все меняется, и сейчас информационные технологии меняются настолько быстро, что статичные механизмы безопасности уже не обеспечивают полной защищенности системы.

До недавнего времени основным механизмом защиты корпоративных сетей были межсетевые экраны (firewall). Однако межсетевые экраны, предназначенные для защиты информационных ресурсов организации, часто сами оказываются уязвимыми. Это происходит потому, что системные администраторы создают так много упрощений в системе доступа, что в итоге каменная стена системы защиты становится дырявой, как решето. Защита с помощью межсетевых экранов (МСЭ) может оказаться нецелесообразной для корпоративных сетей с напряженным трафиком, поскольку использование многих МСЭ существенно влияет на производительность сети. В некоторых случаях лучше "оставить двери широко распахнутыми", а основной упор сделать на методы обнаружения вторжения в сеть и реагирования на них.

Для постоянного (24 часа в сутки 7 дней в неделю, 365 дней в год) мониторинга корпоративной сети на предмет обнаружения атак предназначены системы "активной" защиты - системы обнаружения атак. Данные системы выявляют атаки на узлы корпоративной сети и реагируют на них заданным администратором безопасности образом. Например, прерывают соединение с атакующим узлом, сообщают администратору или заносят информацию о нападении в регистрационные журналы.

1. СЕТЕВЫЕ АНАЛИЗАТОРЫ

1.1 IP - ALERT 1 ИЛИ ПЕРВЫЙ СЕТЕВОЙ МОНИТОР

Для начала следует сказать пару слов о локальном широковещании. В сети типа Ethernet подключенные к ней компьютеры, как правило, совместно используют один и тот же кабель, который служит средой для пересылки сообщений между ними.

Желающий передать какое-либо сообщение по общему каналу должен вначале удостовериться, что этот канал в данный момент времени свободен. Начав передачу, компьютер прослушивает несущую частоту сигнала, определяя, не произошло ли искажения сигнала в результате возникновения коллизий с другими компьютерами, которые ведут передачу своих данных одновременно с ним. При наличии коллизии передача прерывается и компьютер "замолкает" на некоторый интервал времени, чтобы попытаться повторить передачу несколько позднее. Если компьютер, подключенный к сети Ethernet, ничего не передает сам, он тем не менее продолжает "слушать" все сообщения, передаваемые по сети соседними компьютерами. Заметив в заголовке поступившей порции данных свой сетевой адрес, компьютер копирует эту порцию в свою локальную память.

Существуют два основных способа объединения компьютеров в сеть Ethernet. В первом случае компьютеры соединяются при помощи коаксиального кабеля. Этот кабель прокладывается от компьютера к компьютеру, соединяясь с сетевыми адаптерами Т-образным разъемом и замыкаясь по концам BNC-терминаторами. Такая топология на языке профессионалов называется сетью Ethernet 10Base2. Однако ее еще можно назвать сетью, в которой "все слышат всех". Любой компьютер, подключенный к сети, способен перехватывать данные, посылаемые по этой сети другим компьютером. Во втором случае каждый компьютер соединен кабелем типа "витая пара" с отдельным портом центрального коммутирующего устройства - концентратором или с коммутатором. В таких сетях, которые называются сетями Ethernet lOBaseT, компьютеры поделены на группы, именуемые доменами коллизий. Домены коллизий определяются портами концентратора или коммутатора, замкнутыми на общую шину. В результате коллизии возникают не между всеми компьютерами сети. а по отдельности - между теми из них, которые входят в один и тот же домен коллизий, что повышает пропускную способность сети в целом.

В последнее время в крупных сетях стали появляться коммутаторы нового типа, которые не используют широковещание и не замыкают группы портов между собой. Вместо этого все передаваемые по сети данные буферизуются в памяти и отправляются по мере возможности. Однако подобных сетей пока довольно мало - не более 5% от общего числа сетей типа Ethernet.

Таким образом, принятый в подавляющем большинстве Ethernet-сетей алгоритм передачи данных требует от каждого компьютера, подключенного к сети, непрерывного "прослушивания" всего без исключения сетевого трафика. Предложенные некоторыми людьми алгоритмы доступа, при использовании которых компьютеры отключались бы от сети на время передачи "чужих" сообщений, так и остались нереализованными из-за своей чрезмерной сложности, дороговизны внедрения и малой эффективности.

Что такое IPAlert-1 и откуда он взялся? Когда-то практические и теоретические изыскания авторов по направлению, связанному с исследованием безопасности сетей, навели на следующую мысль: в сети Internet, как и в других сетях (например, Novell NetWare, Windows NT), ощущалась серьезная нехватка программного средства защиты, осуществляющего комплексный контроль (мониторинг) на канальном уровне за всем потоком передаваемой по сети информации с целью обнаружения всех типов удаленных воздействий, описанных в литературе. Исследование рынка программного обеспечения сетевых средств защиты для Internet выявило тот факт, что подобных комплексных средств обнаружения удаленных воздействий не существовало, а те, что имелись, были предназначены для обнаружения воздействий одного конкретного типа (например, ICMP Redirect или ARP). Поэтому и была начата разработка средства контроля сегмента IP-сети, предназначенного для использования в сети Internet и получившее следующее название: сетевой монитор безопасности IP Alert-1.

Основная задача этого средства, программно анализирующего сетевой трафик в канале передачи, состоит не в отражении осуществляемых по каналу связи удаленных атак, а в их обнаружении, протоколировании (ведении файла аудита с протоколированием в удобной для последующего визуального анализа форме всех событий, связанных с удаленными атаками на данный сегмент сети) и незамедлительным сигнализировании администратору безопасности в случае обнаружения удаленной атаки. Основной задачей сетевого монитора безопасности IP Alert-1 является осуществление контроля за безопасностью соответствующего сегмента сети Internet.

Сетевой монитор безопасности IP Alert-1обладает следующими функциональными возможностями и позволяет путем сетевого анализа обнаружить следующие удаленные атаки на контролируемый им сегмент сети:

1. Контроль за соответствием IP- и Ethernet-адресов в пакетах, передаваемых хостами, находящимися внутри контролируемого сегмента сети.

На хосте IP Alert-1 администратор безопасности создает статическую ARP-таблицу, куда заносит сведения о соответствующих IP- и Ethernet- адресах хостов, находящихся внутри контролируемого сегмента сети.

Данная функция позволяет обнаружить несанкционированное изменение IP-адреса или его подмену (так называемый IP Spoofing, спуфинг, ип-спуфинг (жарг.)).

2. Контроль за корректным использованием механизма удаленного ARP-поиска. Эта функция позволяет, используя статическую ARP-таблицу, определить удаленную атаку "Ложный ARP-сервер".

3. Контроль за корректным использованием механизма удаленного DNS-поиска. Эта функция позволяет определить все возможные виды удаленных атак на службу DNS

4. Контроль за корректностью попыток удаленного подключения путем анализа передаваемых запросов. Эта функция позволяет обнаружить, во-первых, попытку исследования закона изменения начального значения идентификатора TCP-соединения - ISN, во-вторых, удаленную атаку "отказ в обслуживании", осуществляемую путем переполнения очереди запросов на подключение, и, в-третьих, направленный "шторм" ложных запросов на подключение (как TCP, так и UDP), приводящий также к отказу в обслуживании.

Таким образом, сетевой монитор безопасности IP Alert-1 позволяет обнаружить, оповестить и запротоколировать большинство видов удаленных атак. При этом данная программа никоим образом не является конкурентом системам Firewall. IP Alert-1, используя особенности удаленных атак на сеть Internet, служит необходимым дополнением - кстати, несравнимо более дешевым, - к системам Firewall. Без монитора безопасности большинство попыток осуществления удаленных атак на ваш сегмент сети останется скрыто от ваших глаз. Ни один из известных Firewall-ов не занимается подобным интеллектуальным анализом проходящих по сети сообщений на предмет выявления различного рода удаленных атак, ограничиваясь, в лучшем случае, ведением журнала, в который заносятся сведения о попытках подбора паролей, о сканировании портов и о сканировании сети с использованием известных программ удаленного поиска. Поэтому, если администратор IP-сети не желает оставаться безучастным и довольствоваться ролью простого статиста при удаленных атаках на его сеть, то ему желательно использовать сетевой монитор безопасности IP Alert-1.

Анализатор сетей Ethernet METROSCOPE™

Компания Fluke Networks , представляет обновлённый анализатор сетей Ethernet - MetroScope .

Анализатор MetroScope предназначен для тестирования и документирования качества доступа и предоставляемых сервисов по каналам Ethernet.

Прибор используется как для квалификации новых подключений, так и для решения проблем с существующими. Тесты, использующиеся для решения данных задач: определение числа ошибочных битов ошибок BERT,тесты по рекомендации RFC 2544 и новая оригинальная методика тестирования ProVision™ . Совокупность этих тестов и методик позволяют измерять производительность Ethernet каналов провайдеров и корпоративных клиентов, проводить аудит и мониторинг за работой сети, а также контролировать доступность ключевых сервисов – сервера (HTTP, DNS, Mail и т.д.), VoIP, IPTV.

Все результаты тестов могут быть сохранены и распечатаны с логотипом компании, для использования как во внутреннем документообороте компании, так и как приложение к актам сдачи в эксплуатацию новых каналов связи.

Функциональные особеннности:

Набор тестов ProVision™ - улучшенное тестирование каналов Carrier Ethernet
Тесты в соответствии с RFC2544
Интегрированный VoIP SIP телефон с функцией измерения MOS
Базовое тестирование каналов для поддержки IPTV
Многопоточное тестирование с разным приоритетом, для разных виртуальных каналов и в разных направлениях.
Измерение джиттера с точностью до 40наносекунд
Тестер частоты ошибок по битам (BERT тесты)
Декодирование и отображение стекированных VLAN (QinQ) – двойное тегирование
Возможность фильтрации по номеру VLAN
Средства для измерения времени отклика серверов (HTTP, DNS, Mail и т.д.)
Генерация пакетов с ошибками CRC для оценки реакции активного оборудования
Поддержка устройств стандарта 802.3ah
Тестирование беспроводных сетей 802.11a/b/g
Измерение джиттера с точностью до микросекунд
Результат тестирования Прошел/Не прошел для всех тестов
Возможности создания отчетов о тестировании и создания сценариев тестов с настраиваемыми пользователями пределами тестов
Возможность выбора длины кадра любого размера (до 2048байт)
Отчеты содержат комментарии пользователя, логотип компании, настройки прибора, трассировку маршрута
Работа в режиме удаленное устройство/отражение/петля:

Второй MetroScope
Дистанционный тестер LinkReflector
Петля на базе порта активного оборудования
Зонд Visual UpTime Select от компании Fluke Networks
Устройство, поддерживающее стандарт 802.3ah

Встроенные средства управления сетевыми устройствами (telnet, эмуляцию терминала, FTP и интернет-браузер)
Тестирование как проводных (медь и оптика), так и беспроводных сетей стандарта 802.11

Сравнение методов тестирования: RFC 2544 VS ProVision

ProVision тест, разработанный для проверки каналов MetroEthernet в реальных, а не лабораторных условиях имеет ряд преимуществ, по сравнению с используемыми сегодня тестами по методике RFC 2544.

Тесты RFC 2544 выполняются последовательно, т.е. один за другим, при использовании ProVision они выполняются одновременно. Это не только экономит время, но и позволяет не допустить ошибку, которая связана с задержкой в канале во время измерения пропускной способности.
ProVision может быть настроен для проверки асимметричных каналов, используемых в xDSL.
ProVision может тестировать несколько каналов с несколькими потоками одновременно (опция Multistream).
Результаты тестов RFC 2544 обычно отображаются по отдельности, а с помощью тестов ProVision результаты отображаются на одном экране.
Кроме обычного анализа минимумов, максимумов и средних значений полученных данных, с помощью ProVision мы можем строить тренды и анализировать их в реальном времени.

	RFC 2 544	ProVision™
Пропускная способность (без потерь)
Пропускная способность (с потерями)
Пропускная способность асимметричных каналов
Задержка



Задержка
Вариация задержки	Да (обычно доступен)
Одновременная настройка всех тестов
Несколько потоков
Отображение результатов разных параметров
Отображение результатов по нескольким потокам
Одновременные измерения
Результаты в реальном времени
Трендинг

Тестирование каналов для поддержки IPTV

MetroScope имеет возможность генерации multicast трафика с помощью встроенного генератора трафика. Новое приложение «multicast application» позволяет подключиться к группе устройств и контролировать время отклика.

Мониторинг и анализ качества VoIP

В новой версии MetroScope доступна функция тестирования VoIP (опция), позволяющая:

выполнять вызовы с прибора на любой другой IP телефон
воспроизводить предварительно подготовленный файл в формате WAV
генерировать трафик и выполнять звонки с возможностью отображения графика с точностью до 1 секунды , который отображает качество речи (MOS, R-Factor, количество потерянных пакетов, вариацию задержки), продолжительность разговора и количество переданных кадров.

Автоматическое тестирование и инвентаризация сети.

При подключении к локальной сети MetroScope запускает процедуру автоматического обнаружения (до 1000 устройств). На экран прибора выводится информация о диапазоне IP-адресов, масках подсетей, контроллерах доменов и т.д. Все найденные устройства сети группируются в таблице по принадлежности к сетям IP, VLAN, IPX или NetBIOS. Функция поиска позволяет находить устройства по IP-адресу, имени или MAC-адресу.

Измерение времени отклика сервера

Данная функция позволяет измерить время отклика TCP-портов таких приложений, Mail, DNS, FTP или WWW. Тестирование портов приложений осуществляется в режиме клиента, что позволяет избавиться от препятствий для команды PING, таких как сетевые экраны и низкий приоритет протокола ICMP. Ответы портов приложений можно анализировать с помощью встроенной функции Trace Route, которая позволяет определить точное место снижения производительности на протяжении всего маршрута.

Мониторинг сетей VLAN

В анализаторе MetroScope реализовано множество функций, предназначенных для ускорения поисков неполадок в работе сетей. К ним относятся функции обнаружения и мониторинга VLAN, позволяющие отслеживать их загрузку, а также находить ошибки в конфигурации коммутаторов и других сетевых устройств.

Анализ работы беспроводных сетей Wi - Fi (802.11 a / b / g )

В обновлённом анализаторе MetroScope теперь доступна опция тестирования сетей Wi-Fi, с её помощью приборполучает информацию об уровне сигнала, соотношении сигнал/шум, степень загруженности канала и настройках безопасности всех найденных беспроводных устройств.
Прибор определяет количество, местоположение и настройки всех точек доступа и клиентов беспроводной сети.

Тестирование физического уровня ЛВС

Кроме того, анализатор MetroScope позволяет тестировать оптоволоконные и медные кабельные линии на физическом уровне.
При тестировании оптоволоконных линий контролируется входная и выходная мощность оптического сигнала, а также температура, ток смещения лазера и напряжение питания трансивера.
Что касается диагностики медных UTP кабелей, то приборопределяет место повреждения в кабеле (с помощью встроенного рефлектометра), составляет схему его разводки и генерирует тональный сигнал, используемый для трассировки кабеля (с помощью индуктивного щупа IntelliTone Pro или PRO3000)

В набор MTSCOPE-KIT дополнительно входит недорогой сетевой тестер LinkRunner DUO CE , позволяющий осуществлять end-to-end тестирование сетевых трактов на физическом, канальном и сетевом уровнях без использования второго прибора MetroScope.
Для тестирования нескольких сетевых соединений один анализатор MetroScope может взаимодействовать с неограниченным числом устройств LinkRunner DUO CE , которые не только «отражают» трафик, но и сами по себе являются мощными диагностическими приборами.

Сравнение моделей анализатора MetroScope

* Включая Device Discovery, Network Discovery, VLAN Discovery, Nearest Switch, Switch Scan, Key Devices, Problem Detection

** Тестирование может выполняться в режиме петли на физическом уровне или в качестве ответного устройства могут выступать LinkReflector, второй анализатор MetroScope, либо устройство, поддерживающее стандарт 802.3ah

Артикул	Код по Каталогу	Наименование
MTSCOPE-KIT	MTSCOPE-KIT	Комплект MetroScope SPA
MTSCOPE	MTSCOPE	Сетевой анализатор MetroScope SPA
LRPRO-REFLECT	LRPRO-REFLECT	Дистанционный тестер LinkReflector
LRPRO-LION	LRPRO-LION	Комплект литий-ионных аккумуляторов для LinkReflec
ES2-SX	ES2-SX	1000BASE-SX гигабитный волоконно-оптический транси
ES2-ZX	ES2-ZX	1000BASE-ZX гигабитный волоконно-оптический транси
ES2-LX	ES2-LX	1000BASE-LX гигабитный волоконно-оптический транси
MS-SX	MS-SX	MS-SX, волоконно-оптический трансивер SFP, DDM, GI
ES-BATTERY	ES-BATTERY	Запасная батарея
ES-BATT-CHG	ES-BATT-CHG	Внешнее зарядное устройство для батареи
MS-AUTO-CHG	MS-AUTO-CHG	Зарядное устройство с питанием от прикуривателя
OPVS-KB		Мини-клавиатура USB
944806	944806	Нуль-модемный кабель (DB9)
DTX-ACUN	DTX-ACUN	Блок питания, универсальный