Analyzátor paketů
Author
Albert FloresAnalyzátor paketů, síťový analyzátor, analyzátor protokolu nebo paketový sniffer, je počítačový program nebo zařízení umožňující zachycovat, zaznamenávat a analyzovat komunikaci v počítačové síti.
Síťový analyzátor lze rozdělit dvě základní části: * zachycovač paketů * analyzátor paketů přičemž konkrétní program nebo zařízení může obsahovat jednu nebo obě části. Pokud jsou obě části oddělené, je rozhraním mezi nimi obvykle soubor, do kterého lze síťový provoz zaznamenat a použít pro pozdější zpracování.
Zachycovač paketů
V sítích se sdíleným médiem, jako je tradiční Ethernet, Token ring, FDDI, a v rádiových sítích může analyzátor nainstalovaný na libovolném počítači zachycovat veškerý síťový provoz (resp. provoz v celém segmentu sítě), pokud je síťový adaptér přepnut do promiskuitního režimu, ve kterém zachycuje i pakety určené pro jiné počítače. +more Tento režim nemusí síťová karta nebo její softwarový ovladač podporovat. Přepnutí síťového analyzátoru do promiskuitního režimu může způsobit zahlcení počítače síťovým provozem, případně způsobovat chyby, pokud protokolový zásobník není schopen odfiltrovávat pakety určené pro cizí počítače.
Pokud jsou v síti použity síťové přepínače (switche), směrují jednotlivé rámce pouze na počítače nebo rozhraní, kterým jsou určeny. Pro sledování provozu mezi cizími počítači je pak třeba použít zvláštní funkcionalitu, kterou jsou vybaveny některé síťové přepínače, tzv. +more monitorovací port neboli Port mirroring.
V bezdrátových sítích i adaptér přepnutý do promiskuitního režimu obvykle ignoruje pakety pro jiné SSID, než pro který je zkonfigurovaný. Pro zachycení těchto paketů musí být adaptér v monitorovacím režimu. +more Obtíže také působí, pokud má být zachycován provoz v několika kanálech současně. Pak je potřeba více adaptérů.
Je-li použito šifrování provozu, může být dekódování provozu podmíněno znalostí metody šifrování a šifrovacího klíče.
Zachycovače paketů mohou být na hardwarové bázi, např. ve formě sondy nebo, což je stále častější, v kombinaci s diskovým polem. +more Tyto přístroje zaznamenávají pakety do diskového pole. To umožňuje historickou forenzní analýzu paketů, aniž by bylo nutné, aby uživatel znovu navozoval určitou chybovou situaci.
Již při zachycování paketů lze použít jednoduché filtry, které umožňují zachycovat pouze určitou část provozu (např. provoz zvoleným protokolem, jako je IP nebo TCP, provoz na určitém portu nebo provoz mezi vybranými dvěma počítači).
Při zachycování provozu může být zpracováván nebo ukládán celý obsah paketů nebo mohou být zaznamenávána jen záhlaví paketů bez datového obsahu, případně počáteční část paketů předem stanovené délky. Druhá metoda snižuje požadavky na úložiště i riziko právních problémů, ale přesto takto zachycené data mohou obsahovat dostatek informací k odhalení základních informací potřebných pro diagnostiku síťových problémů. +more Ukládání pouze začátků paketů může být pro některé protokoly nepoužitelné, například protože jeden paket může obsahovat více datových proudů nebo dialogů a při zkrácení paktu na předem definovanou délku se tyto informace ztratí.
Analyzátor paketů
Zachycené informace se dekódují ze syrové digitální podoby do pro uživatele čitelného formátu, který umožňuje uživatelům analyzátoru protokolu snadno zkontrolovat vyměňované informace. Analyzátory protokolů se liší v jejich schopnostech zobrazení dat ve více pohledech, v automatické detekci chyb, v určování příčiny chyb, ve vytváření časových diagramů, v rekonstrukci datových toků TCP a UDP atd.
Vlastní analyzátor paketů provádí dekódování obsahu podle příslušných protokolů. Modul, který analyzuje určitý protokol, se nazývá disektor. +more V sítích se speciálním provozem nebo s proprietárními protokoly nemusí být analyzátor schopen některé protokoly dekódovat. Proto mají některé analyzátory možnost používat zásuvné moduly, které jejich schopnosti rozšiřují (doplňují disektory pro určité protokoly). V některých případech sice analyzátor použitý protokol zná, ale neumí jej správně rozpoznat, případně neumí určit jednotlivé strany dialogu. Pak je důležité, aby existovala možnost, jak analyzátoru tyto informace sdělit.
Některé analyzátory protokolu mohou také generovat provoz a tak působit jako referenční zařízení, čímž mohou působit jako protokolový tester. Tyto testery mohou generovat správnou komunikaci pro funkční testování, případně mohou mít i schopnost záměrně vytvářet chyby pro testování, jak jsou jednotlivé prvky sítě schopné se s těmito chybami vypořádat.
Užití
Analyzátory paketů mohou být použity pro: * Analýzu problémů v síti * Odhalování pokusů o proniknutí do sítě * Detekci zneužívání sítě interními a externími uživateli * Dokumentaci dodržování předpisů pomocí protokolování všech obvodových a koncových bodů provozů * Získání informací pro provedení průniku do sítě * Pomáhat při získávání informací pro izolaci napadených systémů * Monitorování využívání šířky pásma v sítích WAN * Monitorování využití sítě (včetně interních a externích uživatelů a systémů) * Monitorování procházejících dat * Monitorování WAN a stavu zabezpečení koncových bodů * Shromažďování a vykazování síťových statistik * Identifikace podezřelého obsahu v síťového provozu * Odstraňování problémů s výkonností monitorováním síťových dat z příslušné aplikace * Využití jako primární zdroj dat pro každodenní monitorování a správu sítě * Špehování ostatních uživatelů sítě a shromažďování citlivých informací, například přihlašovacích údajů uživatelů (podle použitých metod šifrování obsahu) * Reverzní inženýrství proprietárních protokolů používaných v síti * Ladění komunikace klient/server * Ladění implementací síťových protokolů * Zjišťování změn v síti * Ověřování účinnosti vnitřního řídicího systému (firewally, řízení přístupu, webový filtr, filtr nevyžádané pošty, proxy server)
Významné paketové analyzátory
Capsa Network Analyzer * Cain and Abel * Carnivore (FBI) * CommView * dSniff * ettercap * Fiddler * Lanmeter * Microsoft Network Monitor * NarusInsight * NetScout Systems nGenius Infinistream * ngrep, Network Grep * OmniPeek * SkyGrabber * snoop * tcpdump * Wireshark (dříve nazývaný Ethereal) * HTTP Debugger * Xplico Open source Network Forensic Analysis Tool