Birçok bilgisayar koristuvach'ı için bilinmeyen merezh zagalom aynı zamanda bir "koklayıcı" olarak da anlaşılır. Koklayıcı nedir, konuşarak deneyelim ve öğrenelim basit kelimelerle hazırlıksız koristuvach. Ancak koçanın yine de terimin anlamında kaybolması gerekiyor.
İngilizce dili ve bilgisayar teknolojisi açısından sniffer nedir?
Böyle bir yazılımın veya donanım-yazılım kompleksinin özünü, yalnızca terimi çevirerek gerçekten tanımlamak oldukça zordur.
Oyunun adı bu ingilizce kelime koklamak (koklamak). Rusça "Sniffer" teriminin çeşitli anlamları. Rosemate'in nasıl bir koklayıcısı var? Birbirine bağlı trafiğin akışını izlemek için tasarlanmış "Sniffer" ve basitçe söylemek gerekirse, yerel veya İnternet tabanlı ağların çalışmasına dahil edilebilecek, TCP/IP veri aktarım protokolleri aracılığıyla erişime dayalı olarak gerekli bilgileri elde edebilecek bir algılayıcı .
Trafik analizörü: nasıl çalışır?
Bunun hakkında konuşalım: bir yazılım ya da zihinsel yazılım bileşeni olsun, uç kartlar (Ethernet) dahil olmak üzere trafiği analiz eden ve engelleyen (veri aktarma ve alma) bir algılayıcı. Neden dışarı çıkalım?
Sınır arayüzünün her zaman bir güvenlik duvarı tarafından çalındığı ortaya çıkar (yine yazılım veya "sızdıran") ve aşırı veri veya iletilen veriler uygun teknolojiden tamamen yoksun hale gelir.
Ortada bilgiler bölümler halinde iletilir. Bir segmentin ortasında veri paketlerinin limite bağlı tüm cihazlara dağıtımı iletilir. Bölümlere ayrılmış bilgiler yönlendiricilere (yönlendiriciler) ve ardından anahtarlara (anahtarlar) ve yoğunlaştırıcılara (hub'lar) iletilir. Bilgi, paket bölme işlemi yoluyla gönderilir, böylece son işlemci, paketin tüm parçalarını farklı yollardan çıkarır. Bu nedenle, bir aboneden diğerine potansiyel olarak mümkün olan tüm rotaları veya bir İnternet kaynağının bir veri kaynağıyla etkileşimini "dinlemek", şifrelenmemiş bilgilere ve hatta böyle bir karşılıklı etkileşimden de etkilenebilecek gerçek gizli anahtarlara erişimi engellemez. işlem. Ve burada, üçüncü bir tarafın devredilmesi beklendiğinden, kenar arayüzü kesinlikle korumasız görünüyor.
İyi amaçlar ve kötü amaçlar için mi?
Sniffer'lar iyi ya da kötü amaçlarla kullanılabilir. Olumsuz bir etkiden bahsetmiş gibi görünmeden, bu tür yazılım ve donanım sistemlerinin, müşterilerinin faaliyetlerini yalnızca sınırlar içinde değil, aynı zamanda sistem üzerindeki davranışlarını da kontrol etmeye çalışan sistem yöneticileri tarafından sıklıkla galip geldiğini belirtmek önemlidir. İnternet ve kaynaklar açısından, bilgisayarlarda varlık edinimi veya bunların yönetimi.
Kanama analiz cihazının takip ettiği yöntem basittir. Sniffer, makinenin giden ve gelen trafiğini algılar. Dahili veya harici IP ile ilgili hiçbir soru yoktur. En önemli kriter, küresel ağa bağlı her cihaz için benzersiz olan MAC adresidir. Bu süreçte en önemli şey cilt makinesini tanımlamaktır.
Koklayıcı türleri
Tüm türleri birkaç ana gruba ayrılabilir:
- donanım;
- yazılım;
- donanım ve yazılım;
- çevrimiçi uygulamalar.
Sınırda algılayıcının varlığının davranışsal göstergesi
Üzerine tıklayarak aynı WiFi algılayıcısını görüntüleyebilirsiniz. Verilerin veya bağlantıların aktarımının, sağlayıcının belirttiği (veya yönlendiricinin izin verdiği) düzeyde olmadığı açıktır; bu, hatadan kaynaklanmaktadır.
Öte yandan sağlayıcı, müşterinin bilgisi olmadan trafiği kolaylaştırmak için bir yazılım algılayıcı başlatabilir. Ancak kural olarak alıcı fiyatı tahmin etmeyecektir. Bu, İnternet'e bağlanmak ve bağlanmak için hizmetler sağlayan, böylece taşkınlar, kendi kendine yüklenen istemciler, çeşitli Truva atları, dolandırıcılar vb. açısından tam güvenliği garanti eden bir kuruluştur. Aksi takdirde, bu tür özelliklerin programatik olma olasılığı daha yüksektir ve sürece özel bir giriş yapılmaz veya terminallere basılmaz.
Çevrimiçi kaynaklar
Ve eksen, çevrimiçi bir trafik analizörü ise özellikle tehlikeli olabilir. Vikoristan'ın algılayıcılarında ilkel bir kötü bilgisayar sistemi oluşturuldu. Teknoloji, en basit haliyle, saldırganın başlangıçta bir şarkı kaynağına kaydolması, ardından bir resmi siteye aktarması gerçeğine indirgeniyor. Cazibe onaylandıktan sonra, çevrimiçi algılayıcıya, örneğin görünürde potansiyel kurbanı alt eden bir mesaj gönderilir. elektronik sayfa veya kshtalt'a "Bundan bir mesaj aldınız" metnini içeren aynı SMS bildirimi. Resmi (broşür) açmak için mesaja basın.”
Çoğu kullanıcı, harici IP adresinin tanınmasını ve saldırgana aktarılmasını etkinleştiren belirtilen köprülere tıklar. Özel bir programınız varsa, yalnızca bilgisayarınızda kayıtlı tüm verilere bakabilirsiniz, ancak yerel müşteri hizmetlerinin size söylemesine gerek kalmadan çağrı sisteminin ayarlarını kolayca değiştirebilirsiniz. bir virüs için böyle bir değişiklik. Bu eksen yalnızca tarayıcı kontrol edildikten sonra sıfır tehdit gösterecektir.
Kendinizi veri taşmasından nasıl korursunuz?
İster WiFi algılayıcı ister başka bir analizör olsun, sistem yine de trafiğin izinsiz taranmasına karşı koruma sağlar. Tek bir akıl vardır: Dinleyicinin zihnine yerleştirilmeleri gerekir.
Bu tür yazılım cihazlarına çoğunlukla "antisnipher" adı verilir. Dikkatli olmak gerekirse, bunlar trafiği analiz eden ve ele geçirmeye çalışan diğer programları engelleyen algılayıcıların kendisidir.
Zvidsi yasal gıda: neden böyle bir PZ kuruyorsunuz? Belki de hackerların tarafında daha da fazla kötülük var, peki iş yapabilenleri ne engelleyecek?
Windows sistemlerinde en basit durumda bir güvenlik duvarı kurmak en iyisidir. Bazen yüklü antivirüs yazılımıyla çakışmaları önleyebilirsiniz, ancak çoğu zaman elinizde ücretsiz paketler kalmaz. Bu tür küçük öğelerin profesyonel olarak satın alınan veya halihazırda etkinleştirilmiş sürümleri kaldırıldı.
Pislyamov'un değiştirilmesi
Eksen, “koklayıcı” olarak bilinen tek şeydir. Görünüşe göre bu koklayıcının ne olduğu pek çok insan tarafından zaten anlaşılmış durumda. Son olarak, yiyecek başka bir şeyden mahrumdur: Muzaffer sıradan vatandaşın bu tür konuşmaları ne kadar doğrudur? Genç bilgisayar holiganları arasında bilgisayar holiganlığı konusunda bir ustalık geliştirmek mümkündür. Başka birinin "bilgisayarını" bozmanız gerektiğini düşünmek kötü kokuyor - özgüven uğruna buna değer. Ne yazık ki, hiçbiri mirası, hatta aynı çevrimiçi algılayıcıya karşı, örneğin WhoIs web sitesinde kendi IP'sinin hemen arkasında bile galip gelen kötü niyetli kişiyi umursamıyor. Ancak dağıtım yeri olarak sağlayıcının yeri belirtilecek, ülke ve yer tam olarak belirtilecektir. Peki, o zaman biraz sonra sağda: ya izinsiz erişim için terminali engelleme yöntemini kullanarak sağlayıcıya bir çağrı ya da sağda bir mahkeme. Hileleri kendin çöz.
Programı kurarken erişilecek terminalin konumu sağa atanır ve bu daha da basittir. Ancak sonuçları felaket olabilir ve tüm proxy'ler anonimleştiriciler veya sanal proxy sunucuları kullanmaz ve İnternetten hiçbir şey anlamazlar. Ve Varto buna alışırdı...
Kenar paket analizörleri veya algılayıcılar, kenar kenar sorunlarının bir sonucu olarak başlangıçta dağıtılmıştı. Rota boyunca iletilen paketleri inceleyebilir, yorumlayabilir ve daha fazla analiz için kaydedebilirler. Bir yandan sistem yöneticilerinin ve teknik destek mühendislerinin, verilerin yol boyunca nasıl iletildiğini izlemelerine, ortaya çıkan sorunları teşhis etmelerine ve düzeltmelerine olanak tanır. Kimler için paket dinleyicileri sınır problemlerini teşhis etmede önemli bir araçtır. Öte yandan, başlangıçta yönetim için görevlendirilen diğer birçok güçlü işlev gibi, zaman içinde sniffer'lar da tamamen farklı amaçlarla kullanılmaya başlandı. Doğru, kötü niyetli bir kişinin elindeki bir algılayıcı güvenli olmayan bir şekilde kullanılabilir ve şifreleri ve diğer gizli bilgileri ele geçirmek için kullanılabilir. Bununla birlikte, sniffer'ın, herhangi bir bilgisayar korsanının, yol boyunca iletilen gizli bilgileri kolayca görüntüleyebileceği bir tür sihirli araç olduğunu düşünmek kolay değildir. Ve öncelikle şunu belirtmeliyiz ki sniffer kullanmanın tehlikesi çoğu zaman söylendiği kadar büyük değildir, işleyiş prensiplerine daha yakından bakalım.
Paket dinleyicilerin ilkeleri
Aşağıda bu yazı çerçevesinde sadece Ethernet bağlantıları için kullanılan yazılım sniffer'ına bakacağız. Algılayıcı, bir NIC (Ağ Arayüz Kartı) bağdaştırıcısı (kanal ağı) temelinde çalışan ve tüm trafiği kesen bir programdır. Algılayıcı parçaları OSI modelinin kanal düzeyinde çalışır ve protokol kurallarından sorumlu değildir. yüksek seviye. Verileri yorumlamak için Ethernet sürücüleri ve TCP/IP yığınları kullanıldığından, koklayıcılar filtreleme mekanizmalarını (adresler, bağlantı noktaları vb.) atlar. Paket koklayıcılar gelen her şeyi kusar. Koklayıcılar, kareleri çift formatta kaydedebilir ve daha sonra bunların şifresini çözerek ortada depolanan yüksek seviyeli bilgiyi ortaya çıkarabilir (Şekil 1).
Algılayıcının, kenar bağdaştırıcısından geçen tüm paketleri tarayabilmesi için, kenar bağdaştırıcı sürücüsünün karışık modu desteklemesi gerekir. Bu modda, algılama adaptörünün robotları tüm paketleri inceleyecektir. Adaptörün bu çalışma modu, algılayıcı başlatıldığında otomatik olarak etkinleştirilir veya algılayıcının sonraki yapılandırmaları ile manuel olarak ayarlanabilir.
Tüm trafik, paketleri tanımlayan ve hiyerarşinin farklı düzeylerine bölen paket kod çözücüye aktarılır. Belirli bir algılayıcının yeteneklerine bağlı olarak paketler hakkında sağlanan bilgiler daha fazla analiz edilebilir ve filtrelenebilir.
Koklayıcıların değişimi
Koklayıcılar için en büyük tehlike, bilgilerin açık (şifrelemesiz) bir ağ üzerinden iletildiği ve yerel ağların yoğunlaştırıcılara (hub'lara) dayandığı saatlerdi. Ancak zaman geri dönülemez bir şekilde geçti ve şu anda gizli bilgilere erişimi engellemek için algılayıcıların kullanılması kolay değil.
Sağda, hub'lara dayalı günlük yerel ağlarda, gizli bir orta veri iletimi (eskrim kablosu) ve ağ değişim paketlerinin tüm düğümleri, bu ortama erişim için yarışan (Şekil 2) ve bir paket vardır. yalnızca bir vuzlom merezhi tarafından taşınabilir, hub'ın tüm portlarına iletilir ve bu paket ağ düğümleri tarafından dinlenir ve yalnızca adreslendiği düğüm tarafından alınır. Ağ düğümlerinden birine bir paket algılayıcı kurulduğunda, ağın bu bölümüne (hub tarafından oluşturulan ağ) ulaşan tüm ağ paketlerini tarayabilir.
Anahtarlar akıllı cihazlardır, düşük bant genişlikli yoğunlaştırıcılardır ve uç trafiği izole eder. Anahtar, her bir porta bağlı cihazların adreslerini bilir ve paketleri gerekli portlar arasında iletir. Bu, yoğunlaştırıcıya zarar verecek şekilde dış görünümü onlara aktarmadan diğer bağlantı noktalarını devre dışı bırakmanıza olanak tanır. Bu sayede belirli bir ağ düğümü tarafından gönderilen paket, paketi içeren herhangi bir bağlantıdan önce yalnızca o anahtar portuna iletilir ve diğer tüm ağ düğümleri bu paketi algılayamaz (Şekil 3).
Bu nedenle, ağ bir anahtara dayalı olduğundan, ağın bilgisayarlarından birine bir algılayıcı kurulur ve yalnızca bu bilgisayar ile diğer ağ düğümleri arasında alınıp verilen paketleri tarayabilir. Sonuç olarak, Mati scho, çanta paketinin geçişi, denizaltının derlemeleri, beyin omurilik sıvısının beyni, Merezhi'nin mırıltısı, tsomo comp'yuterі (sunucu) üzerindeki tsoma erkeğidir, ve baykuş o kadar basit değil. Ancak bellekten sonra paket dinleyicisi etkinlikleri komut satırından ve muhtemelen grafiksel arayüzden başlatılır. Bu tür algılayıcılar prensip olarak uzaktan ve kullanıcı açısından zorluk yaşamadan kurulabilir ve çalıştırılabilir.
Ayrıca, anahtarların uç trafiği izole etmesini istiyorsanız tüm kablolu anahtarların bağlantı noktası yönlendirme veya yansıtma işlevlerine sahip olduğunu da unutmamak gerekir. Daha sonra anahtar bağlantı noktası, diğer anahtar bağlantı noktalarına ulaşan tüm paketlerin kopyalanacağı şekilde yapılandırılabilir. Bilgisayarınız böyle bir bağlantı noktasına paket algılayıcıyla bağlıysa, ağın bu bölümündeki bilgisayarlar arasında alınıp verilen tüm paketleri tarayabilirsiniz. Ancak kural olarak anahtarı yapılandırma yeteneği yalnızca ağ yöneticisine açıktır. Zvidihi, bu, Merezhynoye Amiral Konuşmacısı Isnobeshi -MARECHIC LOKELLY MORIZHI'NIN INSHICS'inde vin'in bir vızıltı, bira, bira olmadığı anlamına gelmez, benim böyle bir vitonchi yönteminde olmam pek mümkün değil.
Sniffer'ların artık eskisi kadar güvensiz olmamasının bir diğer nedeni de günümüzde önemli verilerin şifrelenmiş biçimde iletilmesidir. Şifrelenmemiş hizmetler internete kolaylıkla erişebilir. Örneğin web siteleri çevrimiçi hale geldikçe SSL (Güvenli Yuva Katmanı) protokolü giderek daha fazla kullanılıyor; Şifrelenmiş FTP yerine SFTP'den (Güvenli FTP) yararlanılıyor ve standart şifrelemeye dayanmayan diğer hizmetler için sanal özel ağlardan (VPN) giderek daha fazla yararlanılıyor.
Bu nedenle, paket algılayıcıların kötü niyetli olarak durması olasılığından endişe duyanların buna saygılı olması gerekir. Öncelikle çitinize ciddi bir tehdit oluşturabilmesi için algılayıcıların çitin tam ortasında bulunması gerekir. Başka bir deyişle günümüzün şifreleme standartları, gizli bilgilerin saklanması sürecini son derece karmaşık hale getirmektedir. Bu nedenle, şu anda paket koklayıcılar, bilgisayar korsanlarının aracı olarak ilgilerini giderek kaybediyor ve aynı zamanda kullanışlılıklarını da kaybediyorlar. çok çaba harcayarakölçümlerin teşhisi için. Ayrıca, algılayıcılar yalnızca sınır problemlerini teşhis etmek ve yerelleştirmek için değil, aynı zamanda sınır güvenliğini denetlemek için de başarıyla test edilebilir. Zocrema, paket analizörlerinin kullanımı yetkisiz trafiği tespit etmenize, yetkisiz olanları tespit etmenize ve tanımlamanıza olanak tanır güvenlik yazılımı, tespit edilmeyen protokolleri tespit etmek, bunları arka plandan kaldırmak, güvenlik sistemini kontrol ederek penetrasyon testi (penetrasyon testi) için trafik oluşturmak, izinsiz giriş tespit sistemleriyle (IDS) ilgilenmek.
Yazılım paketi algılayıcılarının gözden geçirilmesi
Tüm yazılım algılayıcıları akıllıca iki kategoriye ayrılabilir: komut satırından başlatmayı destekleyen algılayıcılar ve grafik arayüzü destekleyen algılayıcılar. Bu durumda onların kırgınlığından ve ihtimalinden faydalanan koklayıcıların olması manidardır. Ek olarak, koklayıcılar destekledikleri bir protokol türü, aşırı yüklenmiş paketlerin analiz derinliği, filtreleri ayarlama yeteneği ve diğer programlarla etkileşim olasılığı açısından farklılık gösterir.
Grafiksel arayüze sahip her sniffer üç alandan oluşur. İlki saklanan paketlerin verilerini görüntüler. Bu galuz için görüntülenen minimum alan sayısını ve paketin aşırı doldurulacağı saati seçin; Paketin göndericisinin ve alıcısının IP adresleri; Paketin göndericisinin ve ana bilgisayarının MAC adresleri, çıkış ve hedef port adresleri; protokol türü (meshleme, taşıma veya uygulama); Veri aktarımına ilişkin bilgilerin bir özeti bulunmaktadır. Başka bir alan, seçilen paket hakkında istatistiksel bilgileri görüntüler ve üçüncü alan, onaltılık formatta veya ASCII karakter formunda bir gösterim paketini görüntüler.
Hemen hemen tüm paket algılayıcılar, kodu çözülmüş paketleri analiz etmenize olanak tanır (paket algılayıcıların kendilerine paket analizörleri veya protokol analizörleri de denir). Sniffer, paketleri farklı seviyelere ve protokollere dağıtır. Bazı paket analizörleri protokolü tanır ve biriken bilgileri görüntüler. Bu tür bilgiler algılama penceresinin başka bir alanında görünebilir. Örneğin, yerleşik bir algılayıcı, TCP protokolünü tanır ve eklenen algılayıcılar, bu trafiğin nasıl oluşturulabileceğini gösterebilir. Çoğu protokol analizörü 500'den fazla farklı protokolü tanır ve bunları adlarına göre tanımlayabilir ve kodunu çözebilir. Algılayıcı ekranında ne kadar çok bilgi çözülebilir ve sunulabilirse, onu manuel olarak çözmek için o kadar az zamanınız olur.
Paket algılayıcıların karşılaşabileceği sorunlardan biri, ana bilgisayar bağlantı noktasının üzerinde çalıştığı protokolü doğru şekilde tanımlayamamaktır. Örneğin güvenliği artırmak için bazı programlar, bağlantı noktalarına bağlı olmayan bağlantı noktalarının sorununu çözebilir. Yani, bir web sunucusu için ayrılan geleneksel 80 numaralı bağlantı noktası yerine, bu sunucu 8088 numaralı bağlantı noktasına veya başka bir şeye yeniden yapılandırılabilir. Böyle bir durumda bazı paket analizörleri protokolü doğru şekilde tanımlayamaz ve alt düzey protokol (TCP veya UDP) hakkındaki bilgileri görüntüleyemez.
Trafik akışlarıyla ilgili analitik bilgiler oluşturmanıza olanak tanıyan eklentilere veya yüklü modüllere yazılım analitik modülleri ekleyen yazılım algılayıcıları vardır.
İnşa pirincin özelliğiÇoğu yazılım paketi analizörü, trafik toplanmadan önce ve sonra filtreleri yapılandırma yeteneğine sahiptir. Filtreler, belirli bir kritere göre trafikteki paketleri görür, bu da trafik analizinin bilgilerinizden bağımsız olmasını sağlar.
Sistem yöneticilerinin ve bilgi güvenliği uzmanlarının terminolojisinde “trafik analizörleri” terimi sıklıkla duyulmaktadır. Trafik analizörü, trafiği yakalayan ve analiz eden bir cihaz veya program anlamına gelir. IB alanında "koklayıcı" terimi popülerdir. Kural olarak, koklayıcılar ağ kartından geçen trafiği "dinler". En yaygın kullanılan koklama programlarından biri Wireshark'tır. Trafik analizörlerinin işlevselliğinin, bilgisayar korsanlığı ve bilgi güvenliği sorunlarını çoktan geride bıraktığını belirtmek isterim. Günümüzün ticari analizörleri hem yazılım çözümleri hem de donanım cihazları olarak üretilmekte ve müşteri aksesuarlarının yanı sıra büyük bilgi sistemlerinin verimliliğinin kapsamlı bir analizine hizmet etmektedir.
Sistem yöneticisi, trafik analizörlerine ek olarak aşağıdaki görevlerden de sorumludur:
Robot ağındaki sorunları (bilgi aktarımındaki tıkanıklıklar) tespit edip hızlı bir şekilde gidermek,
üçüncü taraf faaliyetlerini (kötü niyetli aktörlerin yetkisiz erişimi), kurumsal kaynaklara yönelik saldırıları vb. ortaya çıkarır.
“işitsel ölçü”,
Uygun maliyetli takviyelerin fizibilitesini analiz eder,
istatistik toplar
Trafik analizi için iki ana yöntem vardır:
"Gerçek zamanda";
"Gömülü trafiği" ve tasarruflarını ve ardından değerin dönüştürülmesini ve kaldırılmasını aktaran "geriye dönük analiz".
Teknik çözümler açısından, yönlendirici verilerine dayanarak trafiği analiz etmenin temel bir yöntemi vardır. Tobto. Yönlendirici verilerini toplayan, analiz eden ve sistem mühendisine bilgi sağlayan yazılım kullanılır. Burada IP trafiğini toplayan Netflow'u (Cisco) bulabilirsiniz. Bu, yönlendiricilere dayalı olmayan, ölçümlerden veri toplayan, analiz eden ve sık karşılaşılan sorunlara uzman çözüm sağlayan bir güvenlik programının kurulu olduğu bir tekniktir.
Fluke Networks yazılımını kullanarak trafik analizinin gerçek verilerde nasıl çalıştığına bir göz atalım.
1. Fluke Networks OptiView XG Şebeke Analizörü
Lineer bir şirket olan Fluke Networks, sistem yöneticileri için en güçlü çözümlerden birine sahiptir. Orijinallik, bu preparasyon analizörünün Vikoristan'ınkinden bile daha basit bir tablet görünümüne (10,25 inç ekran) sahip olması gerçeğinde yatmaktadır. Özel eğitim almamış bir BT uzmanı, bu analizörü kullanarak bir robot gönderebilir ve geniş bir yelpazede analiz gerçekleştirebilir. Bu, yalnızca 2,5 kg ağırlığında, taşınabilir bir cihazdır. "Sahadaki zihinler"deki bir fakhivtsy için bu yeri doldurulamaz bir seçenektir. Peki, yardım için ona bakalım şimdilik ekleyeyim Bir sistem yöneticisi büyük bir kuruluştaki trafiği analiz edebilir.
Hazırlık materyali
"Svyazkomplekt" şirketinin teknik temsilcileri.
Sınır trafiğinin analizi
Trafik analizi, İnternet'teki şifreleri ve kullanıcı kimliklerini kurtarmanın yollarından biridir. Yardım için analiz sürüyor özel programlar- ağ segmenti tarafından iletilen tüm paketleri tarayan ve aralarında hesap kimliğinin ve şifrenin iletildiği paketleri gören bir paket analizörü (koklayıcı).
Birçok protokolde veriler özel, şifrelenmemiş bir formatta iletilir. Kenar trafiği analizi, FTP ve TELNET protokolleri (şifreler ve müşteri kimlikleri), HTTP (Köprü Metni Aktarım Protokolü - bir WEB sunucusu ve tarayıcı arasında köprü metni dosyalarının aktarımı dahil olmak üzere veya web'de gerekli formu girmek) aracılığıyla iletilen verileri gözden geçirmenize olanak tanır -data sayfaları), SMTP, POP3, IMAP, NNTP (elektronik posta ve konferanslar) ve IRC - Internet Relay Chat (çevrimiçi rozmovi, sohbet). Yani posta sistemlerine web arayüzünden erişim için şifreler saklanabilir, sayılar kredi kartları Elektronik ticaret sistemleriyle çalışırken kabul edilemez nitelikte özel nitelikte bilgiler vardır.
Günümüzde iletişimin çalınmasını ve trafiğin şifrelenmesini mümkün kılan çeşitli değişim protokolleri geliştirilmiştir. Ne yazık ki eski protokoller henüz değiştirilmemiş ve cilt bakımında standart haline gelmemiştir. Şarkı söyleyen dünya, güçlü kriptografiye sahip varlıkların ihracatı için bölgenin alt bölgelerinde giderek yaygınlaştı. Bu protokollerin uygulanmasıyla ya güvenlik programında uygulandı ya da önemli ölçüde gevşetildi (maksimum anahtar gereksinimi sınırlıydı), bu da pratikte işe yaramazlığa yol açtı, şifrenin parçaları keyifli bir saatte açılabildi.
Kenar trafik analizi şunları sağlar:
- 1. Öncelikle, sistemde mevcut olan karşılıklı olarak net fikir türlerini ve bu fikirlerin ortaya çıktığı anda nesneler tarafından birbirlerine gönderilen komutları tanımlamak için dağıtılmış alt sistemin çalışma mantığını okuyun ( bir bilgisayar korsanının araç seti ile yaptığımız benzetmede olduğu gibi, bu tür için trafik analizinin yerini çapraz giyinen kişi alır). Bu, kanal düzeyinde değişim paketlerinin aranması ve analizi yoluyla gerçekleştirilir. Alt bölümlere ayrılmış bir PS'nin çalışma mantığını bilmek, PS'nin belirli alt bölümleri durumunda uygun noktalarda dikkate alınan tipik uzaktan saldırıların pratik olarak modellenmesine ve uygulanmasına olanak tanır.
- 2. Başka bir şekilde, ara trafiğin analizi, dağıtılmış bir istasyonun nesneleri arasında alınıp verilen veri akışını incelemenize olanak tanır. Dolayısıyla, bu türden bir uzaktan saldırı, uzak bir hedefte iki uç abone arasında alınıp verilen bilgilere yetkisiz erişimin engellenmesini içerir. Bu durumda trafiği değiştirmek mümkündür ve analizin kendisi yalnızca ağın bir bölümünün ortasında mümkündür. Ancak bu tipik uzaktan saldırının arkasında saklanan bilgiler, bir bariyer aracılığıyla şifrelenmemiş biçimde iletilen kullanıcı adı ve parolayı içerebilir.
Girişin doğasına bağlı olarak ağ trafiği ve pasif akışın analizi Ağ geçidi olmayan bu saldırı, OSI kanal düzeyinde bir ağ bölümünün ortasındaki bilgilerin gizliliğinin yok edilmesine yol açar. saldırının hedefi.
Güvenilir bir nesnenin veya ayrı bir PS'nin konusunun değiştirilmesi
Dağıtılmış güvenliğin güvenlik sorunlarından biri, farklı türdeki nesnelerin tanımlanması ve doğrulanmasının eksikliğidir. Asıl zorluk, özneler ve nesneler arasında aktarılan bilgilerin benzersiz bir şekilde tanımlanmasında yatmaktadır. AP'nin bölümleriyle ilgili bu sorunu göz önünde bulundurun: sanal bir kanal oluşturma işlemi sırasında, RVS nesneleri bu kanalı benzersiz şekilde tanımlayan bilgi alışverişinde bulunur. Böyle bir alışverişe "el sıkışma" denir. Ancak iki uzak nesneyi birbirine bağlamak için RVS'de her zaman sanal bir kanalın oluşturulması önemlidir. Uygulama, çoğu zaman, özellikle hizmet bildirimleri için (örneğin, yönlendiricilerden gelen), onay gerektiren tek bildirimlerin iletilmesinin engellendiğini göstermektedir.
Görünüşe göre, alt sistemin alt bölümlerindeki bilgilerin adreslenmesi için, sistemin her nesnesi için benzersiz olan bir adres ölçüsü kullanılıyor (OSI modelinin kanal düzeyinde - kenar adaptörünün donanım adresi, kenar düzeyinde - adresler salona atanır Muzaffer olan sınır seviyesinin protokolünü takip etmek gerekir (örneğin IP adresleri). Adres dizisi aynı zamanda dağıtılmış bir uçağın nesnelerini tanımlamak için de kullanılabilir, adres dizisi Basitçe güncellenip 'ektiv'i tanımlamanın tek yolu olarak kullanılması kabul edilemez.
Bu durumda, bilgisayar sistemi uzaktaki nesneleri tanımlamak için kararsız algoritmalarla dağıtılmışsa, RVS'nin yeterli bir nesnesi veya konusu adına iletişim kanalları aracılığıyla iletimde meydana gelen olası bir tür uzaktan saldırı söz konusudur. Bu tipik uzaktan saldırının iki türü vardır:
- · Kurulu sanal kanal ile saldırı,
- · Kurulu bir sanal kanal olmadan saldırı.
Sanal bir bağlantı kurulduktan sonra saldırı, sistem nesnesine yasal olarak bağlanan ve saldırganın ayrı sistemin nesnesiyle robotik bir oturum yürütmesine olanak tanıyan, karşılıklı iletişimin güvenilir bir öznesinin atanmış haklarına dayanır. güvenilir konunun Bu tür uzaktan saldırıların uygulanması öncelikle, güvenilir bir konu adına değişim paketlerinin saldıran nesneden saldırının hedefine aktarılmasını içerir (bu iletimle birlikte mesajlar sistem tarafından doğru hayır olarak kabul edilecektir). Bu tür bir saldırıyı gerçekleştirmek için, prensip olarak kurulum sırasında dinamik olarak oluşturulan özel bir anahtar kullanılarak hesaplanan bir sağlama toplamı elde etmek için kullanılabilecek tanımlama ve kimlik doğrulama sisteminin güncellenmesi gerekir. -kapasiteli paket şifacılar ve ara istasyon adresleri. Ancak pratikte, örneğin Novell NetWare OS 3.12-4.1'de, değişim paketlerini tanımlamak için iki adet 8 bitlik dedektör kullanılır - kanal numarası ve paket numarası; TCP protokolü, tanımlama amacıyla iki adet 32 bit çözümleyici kullanır.
Yukarıda belirtildiği gibi, AP departmanlarındaki hizmet bildirimleri için, genellikle onay gerektirmeyen tek bildirimler iletilir, böylece sanal bir bağlantı oluşturulmasına gerek kalmaz. Kurulu bir sanal bağlantı olmadan yapılan bir saldırı, servis bildirimlerinin çevresel aygıtlar adına, örneğin yönlendiriciler adına iletilmesini içerir.
Açıkçası, bu durumda paketleri tanımlamak için daha sonraki bir tarihte atanan statik anahtarların kullanılması mümkündür; bu, manuel olmayacak ve esnek bir anahtar yönetim sistemi gerektirecektir. Bununla birlikte, böyle bir sistemi görüntülerken, kurulu bir sanal kanal olmadan paketlerin tanımlanması yalnızca gönderen ağının adresine göre mümkün olacaktır ve bu da iyileştirilmesi kolaydır.
Aşındırıcı seramiklerin kullanılması, alt bölümlere ayrılmış PS'nin çalışmasında ciddi hasara yol açabilir (örneğin, konfigürasyondaki değişiklikler). Fikrin açıklamasına dayanan tipik bir uzaktan saldırı dikkate alınır.
Güvenilir bir RVS nesnesinin ikamesi, saldırıya uğrayan nesneye saldırılması durumunda, ii altında şarkı söyleyerek, bilginin gizliliğini ve bütünlüğünü ihlal ederek gerçekleşen aktif bir enjeksiyondur. Bu uzaktan saldırı, segment içi veya segmentler arası olabilir, yani daraltma gibi, saldırıya uğrayan nesneyle herhangi bir geri dönüş bağlantısı olmaksızın, OSI modelinin kenar ve taşıma seviyelerinde çalışır.
Birkaç uzaktan arama algoritmasının vikoristaniya yoluyla sağım nesnesinin ND'sinin bölünmesine giriş
Dağıtılmış AP'ler genellikle uzaktaki nesnelerinin başlangıçta bildirimi ele almak için gerekli yeterli bilgiye sahip olmadığını fark eder. Bu bilgiyi PBC nesnelerinin donanım (kenar adaptörünün adresleri) ve mantıksal (örneğin IP adresleri) adresleriyle ilişkilendirin. Uçağın dallarında bu tür bilgileri yakalamak için, özel türdeki arama sorguları aracılığıyla iletmek ve arama sorgularına verilen yanıtların tespitinde çeşitli uzaktan arama algoritmaları kullanılır. Güç kaynağının bağlantısı kesildikten sonra, enerji verilen PBC konusu, adresleme için gerekli tüm verileri alır. Aradığı nesneyle ilgili video bilgisini çeken RVS'nin konusu, bunu isteyen, bir sonraki nesneye hitap etmeye başlar. Uzaktan arama algoritmalarının dayandığı benzer sorgulara örnek olarak Novell NetWare OS'deki SAP sorguları, İnternet'teki ARP ve DNS sorguları verilebilir.
Uzaktan arama mekanizmaları dağıtıldıktan sonra, saldıran nesnenin, tehlikeli bir nesne üzerindeki eylemlerin adresine gönderilecek verileri belirten mesajları hedefe aktarıp yeni bir kaynağa göndermesi konusunda net bir yetenek ortaya çıkar. Özne ile etkileşim nesnesi arasındaki bilgi akışının tamamı RVS mobil nesnesinden geçer.
Diğer bir seçenek ise, uzaktan arama algoritmasına, dayak atan nesnenin RVS'sine vikorist kısayolları eklemek ve saldırıya uğrayan nesneye, hazırlanan dayak çizgisinin arkasında ve ses ısırığı almadan periyodik iletim gerçekleştirmektir. Gerçekte, saldırgan, alınan soruyu her zaman kontrol edeceğinden emin olacak bir hybna kanıtı göndermek içindir (ancak prensipte sorunun aşırı yayılmasına izin vermeyebilir). Bu durumda saldırgan, saldırıya uğrayan nesneyi bir ses sinyali göndermeye teşvik edebilir ve ardından tepkisi kesin bir başarı olacaktır. Bu tipik uzaktan saldırı, saldırganın başka bir segmentteki varlığından dolayı bir saldırı başlatmadan önce ses dizisini geçme yeteneğinin olmadığı durumlarda özellikle küresel önlemler için tipiktir.
RVS'nin af nesnesi, bilginin gizliliğini ve bütünlüğünü yok etmek amacıyla gerçekleştirilen, saldırıya uğrayan nesneye virgülden sonra saldırı yapılabileceği gibi deli Noah saldırısı da olabilen aktif bir eylemdir. Bu hem bölümler arası hem de bölümler arası uzaktan bir saldırıdır. Ağ geçidi bağlantısı saldırılan nesneyle birlikte çalışır ve OSI modelinin kanal ve uygulama seviyelerinde çalışır.
Ayrı bir PS'ye uzaktan saldırı düzenlemek için kötü amaçlı bir nesnenin mağdur edilmesi
Nesneler arasındaki bilgi akışı üzerindeki kontrolden feragat eden kötü amaçlı bir RVS nesnesi, bilgi akışına akmak için çeşitli yöntemler kullanabilir. Barışı koruma tesisinin ND bölümüne sızmanın birçok uzun mesafeli saldırının bir yöntemi olduğu ve bir bütün olarak RVS'nin güvenliğine ciddi bir tehdit oluşturduğu gerçeğiyle bağlantılı olarak, sonraki noktalarda bilgi aşılama yöntemleri kullanılacaktır. Detaylı olarak inceleyerek merhamet nesnesinin üzerinden geçeceğim.
Bilgi akışının seçilmesi ve RVS atık tesisinde kaydedilmesi
Bir RVS nesnesine karşı meydana gelebilecek saldırılardan biri, özne ile nesne arasında aktarılan bilgilerin aşırı yüklenmesidir. Bilgi birikimi (örneğin dosyalar) gerçeğinin, bu dosyalar yerine dosyalar üzerinde belirli işlemler (okuma, kopyalama vb.) gerçekleştirilirken bu dosyaların dosya boyunca aktarılmasıyla ortaya çıkabileceğini unutmamak önemlidir. ağ ve bu nedenle yanlış yere gidin. En basit yol Yeniden istiflemenin uygulanması, değişim paketlerinin tüm varlıklarının dosyaya kaydedilmesi anlamına gelir.
Prote, Danimarka yöntemi Bilgi taşması yeterince bilgilendirici görünmüyor. Bunun nedeni, değişim paketlerinde veri alanlarına ek olarak şu anda özel bir ilgi alanı olmayan hizmet alanlarının da bulunmasıdır. Ayrıca, doğrudan aktarılan bir dosyayı almak için, seçimi için hedef nesne üzerindeki bilgi akışının dinamik bir anlamsal analizinin yapılması gerekir.
Bilgilerin değiştirilmesi
Herhangi bir sistemin özelliklerinden biri, yırtıcı bir nesne ilkesinden ve depolanan bilgiyi değiştirmek için tasarlanmış olanlardan esinlenmiştir. Bunun, başka bir nesneden gelen RBC nesneleri arasındaki bilgi akışını programlı olarak değiştirmenize olanak tanıyan yollardan biri olduğunu unutmamak özellikle önemlidir. Bilgi taşmasını gerçekleştirmek için bile AP'nin bölümüne "gizli nesne" şemasını kullanarak saldırmak gerekir. Daha etkili bir saldırı, ölçülen trafiği analiz eden ve bağlantı kanalından geçen tüm paketleri yakalamanıza olanak tanıyan bir saldırı olacaktır, aksi takdirde yöneticiye, "ele geçirilen nesne" şemasını kullanan uzaktan saldırı sonucunda, bu mümkün değil bilgiler değiştirilmeden önce.
- · İletilen verilerin değiştirilmesi;
- · İletilen kodun değiştirilmesi.
Influx sisteminin gerçekleştirebileceği işlevlerden biri de “gizli nesne” prensibine dayalıdır, o da iletilen verinin değiştirilmesidir. Birikmiş bilgi akışının seçilmesi ve analizi sonucunda sistem, aktarılan dosyaların türünü (dönüştürülmüş veya metin) tanıyabilir. Görünüşe göre, bir metin dosyası veya veri dosyası tanımlandıktan sonra ayrıştırma nesnesinden geçen verileri değiştirmek mümkündür. Bu işlev, gizli bilgilerin işlenmesine yönelik özel bir tehdit oluşturur.
Başka bir değişiklik türü, iletilen kodda yapılan bir değişiklik olabilir. İçinden geçen bilgilerin anlamsal bir analizini yapan pardon nesnesi, birleştirmelerin veri akışındaki kodu görebilir. Neumann mimarisi prensibine göre bu komutlar arasında hiçbir fark olmadığı açıktır. Ayrıca, hat kodu veya veri boyunca neyin iletildiğini belirlemek için, ND'nin belirli bölümlerinde ölçülen değişimin uygulanmasının özgüllüğünü, gücünü veya özgüllüğü, belirli olanın gücünü anlamak gerekir. Bu yerel işletim sistemine dosya türleri dahil edilmiştir.
İki farklı kod değişikliği türünü görebilirsiniz:
- · Vikoristannya RPS (Ruynivnyh yazılımı);
- · Oluşturulan dosyanın mantığını değiştirme. İlk aşamada, RPS yayıldığında, dosya viral teknoloji kullanılarak değiştirilir: RPS'nin gövdesi bilinen yollardan biriyle dosyaya eklenir ve bilinen yollardan biriyle giriş noktası değiştirilir, böylece Genogo RPS kodunun yanlış şekilde başlangıcına işaret ediyor. Yöntemin açıklamaları, prensip olarak, virüs bulaşmış bir dosyanın standart bulaşmasından hiçbir şekilde farklı değildir, ancak dosyanın iletim sırasında bir virüs veya RPS bulaşmış olması dışında! Bunun “gizli nesne” ilkesinden esinlenen bir sistemin zihninde gerçekleşmesi daha muhtemel. Bu durumda spesifik RPS türü, amacı ve amacı önemli değildir, ancak örneğin, hemstone solucanı oluşturmak için bir ebegümeci nesnesi seçme seçeneğini düşünebilirsiniz - pratikte en katlanabilir, uzaktan kenarlara akan, veya RPS vikoristovvat merezhevy shpiguny'ye.
Diğer seçenek, kodun değiştirilmesini içerir; bu da, işleminin mantığını değiştirmeyi içerir. Bu enjeksiyon, derlenmekte olan dosyanın ileri düzeyde araştırılmasını gerektirir ve gerçekleştirildikten sonra en beklenmedik sonuçları getirebilir. Örneğin, bir sunucuda çalışırken (örneğin, Novell NetWare işletim sisteminde), program dağıtılmış bir veritabanının kullanıcılarını tanımlar ve yazılım nesnesi bu programların kodunu özelleştirebilir, bu da parola olmadan oturum açmayı mümkün kılar Veritabanının en büyük ayrıcalıklarına sahip.
Bilginin değiştirilmesi
Af nesnesi, kendisine aktarılan bilgilerin yalnızca değiştirilmesine değil, aynı zamanda değiştirilmesine de olanak tanır. Bilginin değiştirilmesi kısmi çatışmaya yol açıyorsa, ikame daha fazla değişikliğe yol açar.
Eğer durum kötü niyetli bir nesne tarafından kontrol edilen hatalı bir durumsa, borsaya katılanlardan birinden dezenformasyon hazırlaması istenir. Bu durumda kontrollü bir yaklaşım varlığında bu tür yanlış bilgiler ya eklenen bir kod ya da veri olarak algılanabilmektedir. Gelin bu tür dezenformasyonun özüne bir göz atalım.
Merhamet nesnesinin sunucuya bağlı istemcide mevcut olan etkinliği kontrol etmesi kabul edilebilir. Bu durumda, örneğin sisteme giriş yapmak için ayrı bir programın başlatıldığını fark edeceksiniz. Bu program sunucuda bulunuyorsa birleştirme işlemine başladığında dosya iş istasyonuna aktarılır. Bunun yerine, oturumu kapatmak için, kötü amaçlı nesne iş istasyonuna önceden özel bir program olan bir parola kaydedici tarafından yazılmış bir kodu iletir. Bu program görsel olarak diğer programla aynı olup sisteme giriş yapmak için kullanılır; örneğin müşterinin kullanıcı adı ve şifresinin sorulması, ardından af nesnesinden kayıtların kaldırılması ve müşteriye af konusunda bilgi verilmesi. Şifreyi yanlış girdiğinizi fark ederseniz (şifre ekranda görüntülenmiyor), sistem bağlantı programını tekrar çalıştırın (size tekrar yardımcı olacağım) ve bir dahaki sefere erişimi reddedin. Böyle bir saldırının sonucu, kullanıcının şifresinin çalınan bir sitede saklanmasıdır.
Vidmova hizmette
Bölünmüş PS'nin dış görünümü üzerinde çalışan orta düzeyde bir işletim sistemine dayalı ana görevlerden biri, güvenilirliğin sağlanması uzaktan erişim Her nesnenin her nesnenin bir sınırı vardır. Genel olarak, AP'nin bölünmesinde, sistemin bireysel konusu, RVS'nin herhangi bir nesnesine bağlanma ve haklarına uygun olarak kaynaklarına uzaktan erişimi iptal etme yeteneğinden sorumludur. Aşağıdaki şekilde uzaktan erişim sağlama olasılığını göz önünde bulundurun: Edge işletim sistemindeki RVS nesnesinde, sunucuya uzaktan erişim sağlayan bir dizi program sunucusu (örneğin, bir FTP sunucusu, bir WWW sunucusu vb.) başlatılır. Bu bilgisayarın kaynakları.'ekta. Bu yazılım sunucuları, uzaktan erişim için telekomünikasyon hizmetlerinin deposuna girer. Sunucunun amacı, PBC nesnesinin işletim sisteminin belleğindeyken, uzak nesneyle bağlantının kesilip kesilmediğini sürekli olarak kontrol etmesini sağlamaktır. Böyle bir istek alındığında sunucu, bağlantıya izin verilip verilmemesine bakılmaksızın isteği alan nesneye iletim yapma yeteneğinden sorumludur (sunucuya bağlantı şematik olarak bile özel olarak açıklanmıştır, çünkü ayrıntılar şu anda önemli değildir) ). Benzer bir şemayı, RVS nesneleri arasındaki karşılıklı etkileşimi belirleyen bir sanal kanal bağlantısının oluşturulması takip eder. Bu durumda orta işletim sistemi çekirdeği, sanal kanaldaki (VC) çağrılardan gelen istekleri toplar ve bunları doğrudan istek tanımlayıcısına (port veya soket) ağ günü sunucusu gibi uygulama sürecine iletir.
Açıkçası, orta düzeyde bir işletim sistemi, kapalı sanal bağlantıların sayısını ve çıktıyı sınırlı sayıda sorguyla sınırlamak için tasarlanmıştır. Tsi obezhenya yatıyor çeşitli parametreler bir bütün olarak sistemler; bunların başlıcaları EOM hız kodu, RAM kullanımı ve iletişim kanalının bant genişliğidir (ki bu daha yüksekse, saat başına olası istek sayısı da artar).
Asıl sorun, RBC'nin statik anahtar bilgisinden dolayı, girişin kimliğinin ancak dizininizin adresinden sonra girilebilmesidir. PS'nin alt bölümleri, gönderen adresinin doğrulanması için yöntemler sağlamadığından, PBC altyapısı, sistemin bir nesnesinden saldırıya uğrayan başka bir nesneye sonsuz sayıda anonim isteğin iletilmesine izin verir. nesneler, o zaman başarıya ulaşacaksınız. Tipik "Vidmova hizmette" saldırısı kaldırıldı. Uzaktan saldırının uygulanmasının sonucu, İnternet hizmetinin saldırıya uğrayan nesneye uzaktan erişim sağlama yeteneğinin yok edilmesi, hizmet verilen odadaki diğer RBC nesnelerinden uzaktan erişimin kaldırılmasını imkansız hale getirmesidir!
Bu tipik uzaktan saldırının bir başka çeşidi, trafiğe izin vermek için saldırıya uğrayan hedefe bir adresten mümkün olduğu kadar çok sayıda isteğin iletilmesini içerir (doğrudan "istek fırtınası"). Sistemin bir saat içinde bir nesneden (adresten) alınan istek sayısını değiştiren bir kural iletmemesi durumunda, bu saldırının sonucu istek sayısının ve görünümün yeniden doldurulması olabilir. Birinin Hem telekomünikasyon hizmetlerinden hem de sistemin başka bir şey yapamaması nedeniyle bilgisayar istekleri işlemekten başka bir şey yapamıyor.
“Vidmov hizmette” saldırısının geri kalan üçüncü türü, saldırıya uğrayan nesneye yanlış, özel olarak seçilmiş bir isteğin iletilmesidir. Uzak sistemdeki hataların varlığı nedeniyle, işleme prosedürünün döngüye girmesi, arabelleğin yeniden doldurulması ve sistemin donması vb. mümkündür.
Tipik saldırı "Vidmova hizmette", saldırı amacıyla sistemin verimliliğini çılgınca bozmak için kullanılan aktif bir eylemdir. Bu UA, OSI modelinin taşıma ve uygulama seviyelerinde çalışan, hem bölümler arası hem de bölüm içi tek yönlü eyleme sahiptir.
trafik şifre güvenlik görevlisi
47.9KÇoğu ağ yöneticisi sıklıkla ağ trafiğini analiz ederek çözülebilecek sorunlarla karşılaşır. Ve burada trafik analizörü gibi kavramları kabul ediyoruz. Peki nedir bu?
NetFlow Analizörleri ve Toplayıcıları, ölçülen trafik verilerini toplamanıza ve analiz etmenize yardımcı olan araçlardır. Edge süreç analizörleri, kanal verimini azaltan cihazları doğru bir şekilde tanımlamanıza olanak tanır. Sisteminizdeki sorunlu alanları tespit edebilir ve sistemin düşük performansını teşvik edebilirler.
Terim " Net akış» IP trafiği hakkında bilgi toplamak ve trafik trafiğini izlemek için tasarlanmış Cisco protokolüne bağlanın. NetFlow, akış teknolojileri için standart bir protokol olarak benimsenmiştir.
NetFlow yazılımı, yönlendiriciler tarafından oluşturulan akış verilerini toplayıp analiz eder ve bunları manuel olarak kullanılabilen bir formatta sunar.
Bir düzine lisansüstü yönetici, izleme ve veri toplama için kendi protokollerini oluşturuyor. Örneğin, bir başka büyük uç cihaz tedarikçisi olan Juniper, protokolünü çağırıyor. J-Akış". HP ve Fortinet " terimini kullanıyor s-Akış". Protokoller farklı isimlendirilse de benzer şekilde yürütülür. Bu yazıda Windows için 10 ücretsiz ağ trafiği analizörüne ve NetFlow toplayıcıya bakıyoruz.
SolarWinds Gerçek Zamanlı NetFlow Trafik Analizörü
Ücretsiz NetFlow Traffic Analizörü, ücretsiz indirilebilecek en popüler araçlardan biridir. Verileri sıralamanıza, etiketlemenize ve görüntülemenize olanak tanır farklı yollarla. Bu, sınır trafiğini manuel olarak görselleştirmenize ve analiz etmenize olanak tanır. Araç, trafik trafiğini türüne ve zaman dilimine göre izlemek için idealdir. Ayrıca farklı programların ne kadar trafik taşıdığını belirlemek için bir dizi test de yapılır.
Bu ücretsiz araç, tek bir arayüzle NetFlow izleme olanağı sağlar ve 60'tan fazla veriyi kaydeder. Danimarka Netflow analizörü takılıp kalmanıza yardımcı olan güçlü bir araçtır.
Colasoft Kapsa Ücretsiz
Bu ücretsiz yerel ağ trafiği analizörü, 300'den fazla ağ protokolünü tanımlamanıza ve tanımlamanıza olanak tanır ve yapılandırılmış aramalar yapmanızı sağlar. VIN, elektronik posta ve sıra diyagramlarının izlenmesini içerir TCP senkronizasyonu, her şey yapılandırılabilen tek bir panelde toplanır.
Diğer işlevler güvenlik analizini içerir. Örneğin DoS/DDoS saldırılarının meydana gelmesi, solucanların etkinliği ve ARP saldırılarının tespiti. Ayrıca paketlerin kodunun çözülmesi ve bilgilerin görüntülenmesi, ağdaki her ana bilgisayar hakkında istatistiksel veriler, paket alışverişinin izlenmesi ve akışın yeniden yapılandırılması. Capsa Free, Windows XP'nin tüm 32 bit ve 64 bit sürümlerini destekler.
Kurulum için minimum sistem gereksinimleri: 2 GB RAM ve 2,8 GHz işlemci. İnternete Ethernet aracılığıyla da bağlanabilirsiniz ( NDIS 3 veya daha yüksek olan toplam), Sürücülü ve karma modlu Hızlı Ethernet veya Gigabit. Ethernet kablosuyla iletilen tüm paketleri pasif olarak yakalamanıza olanak tanır.
Kızgın IP Tarayıcı
Bu, kapalı çıkış koduna sahip, hızlı ve kullanımı kolay bir Windows trafik analizörüdür. Kurulum gerektirmez ve Linux, Windows ve Mac OSX'e indirilebilir. Bu araç, dış görünümün IP adresine basitçe ping atarak çalışır ve MAC adreslerini tanımlayabilir, bağlantı noktalarını tarayabilir, NetBIOS bilgileri sağlayabilir, Windows sistemlerinde yetkili bir hesap sağlayıcıyı belirleyebilir, web sunucularını algılayabilir ve çok daha fazlasını yapabilir. Yetenekleri ek Java eklentilerinin yardımıyla genişletilir. Taranan veriler CSV, TXT, XML formatlarındaki dosyalara kaydedilebilir.
ManageEngine NetFlow Analizörü Profesyonel
ManageEngines'teki NetFlow yazılımının tamamen işlevsel sürümü. Bu, analiz ve veri toplamaya yönelik çok çeşitli işlevlere sahip daha güçlü bir yazılımdır: izleme kapasite oluşturma gerçek zamanlı kanal ve eşik değerlerine ulaşma bildirimleri, süreçleri hızlı bir şekilde yönetmenizi sağlar. Ayrıca veri toplama, kaynakların toplanmasına, eklentilerin ve protokollerin izlenmesine ve çok daha fazlasına aktarılır.
Ücretsiz sürüm Linux trafik analizörü, ürünü 30 gün boyunca sürekli olarak izlemenize olanak tanır, sonrasında yalnızca iki arayüzü izleyebilirsiniz. Sistem avantajları NetFlow Analizörü ManageEngine'in sıvı akışında kalması için. Saniyede 0 ila 3000 iş parçacığı arasındaki minimum akış hızı için önerilen seçenekler: çift çekirdekli 2,4 GHz işlemci, 2 GB RAM ve sabit sürücüde 250 GB boş alan. Dünyanın akıştaki akışkanlığı arttı, bu da büyüyebileceği anlamına geliyor.
Ahbap
Bu program MikroTik tarafından geliştirilen popüler bir kenar monitörüdür. Otomatik olarak tüm cihazları tarar ve bir harita görüntüler. Dude, çeşitli cihazlarda çalışan sunucuları izler ve proaktif olarak sorunların oluşmasını önler. Diğer işlevler arasında yeni cihazların otomatik olarak algılanması ve görüntülenmesi, resmi kartların silinmesi, uzaktan cihaz yönetimi araçlarına erişim ve çok daha fazlası yer alır. Windows, Linux Wine ve MacOS Darwine üzerinde çalışır.
JDSU Ağ Analizörü Hızlı Ethernet
Bu trafik analizörü programı, yol boyunca verileri hızlı bir şekilde toplamanıza ve incelemenize olanak tanır. Araç, kayıtlı müşterilere bakarak yakındaki cihazların üretim kapasitesinin düzeyini belirlemeyi mümkün kılıyor; bu da muhtemelen uzlaşmalara yol açacak. Ayrıca verileri gerçek zamanlı olarak toplayın ve analiz edin.
Program, yöneticilerin trafik anormalliklerini belirlemesine, büyük miktarda veriyi incelemek için verileri filtrelemesine ve çok daha fazlasına olanak tanıyan son derece ayrıntılı grafikleri ve tabloları destekler. Ön hat yöneticilerinin yanı sıra denetleyici yöneticilere yönelik bu araç, her şeyin kontrolünü elinize almanıza olanak tanır.
Plixer İnceleyici
Bu birbirine bağlı trafik analizörü, birbirine bağlı trafiği toplamanıza ve kapsamlı bir şekilde analiz etmenize, ayrıca hataları hızlı bir şekilde tanımlayıp düzeltmenize olanak tanır. Scrutinizer'ın yardımıyla verileri saatlik aralıklara, ana bilgisayarlara, eklentilere, protokollere vb. göre çeşitli şekillerde sıralayabilirsiniz. Ücretsiz sürüm, sınırsız sayıda arayüzü kontrol etmenize ve 24 yıllık etkinlik boyunca verileri kaydetmenize olanak tanır.
Wireshark
Wireshark, Linux, Windows, MacOS X, Solaris ve diğer platformlarda çalıştırılabilen güçlü bir uç analiz aracıdır. Wireshark, ek bir grafik arayüzü veya TTY modu TShark yardımcı programını kullanarak depolanan verileri görüntülemenize olanak tanır. İşlevleri arasında VoIP trafiğinin toplanması ve analizi, Ethernet, IEEE 802.11, Bluetooth, USB, Frame Relay verilerinin gerçek zamanlı görüntülenmesi, XML, PostScript, CSV'den veri çıkışı, şifre çözme desteği ve çok daha fazlası yer alır.
Sistemin faydaları: Windows XP veya hatta modern bir 64/32 bit işlemci, 400 MB RAM ve 300 MB boş disk alanı. Wireshark NetFlow Analizörü herhangi bir ağ yöneticisinin kullanabileceği güçlü bir araçtır.
Paessler PRTG
Bu trafik analizörü kullanıcılara bir dizi temel işlev sağlar: LAN, WAN, VPN, eklentiler, sanal sunucu, QoS ve ortamı izleme desteği. Birden fazla sitenin izlenmesi de gereklidir. PRTG, SNMP, WMI, NetFlow, SFlow, JFlow ve paket analizinin yanı sıra çalışma süresi/kesinti süresi izleme ve IPv6 desteğini destekler.
Ücretsiz sürüm, 30 gün boyunca bir dizi sensörü onarmanıza olanak tanır, ardından 100'e kadar parça ücretsiz olarak çıkarılabilir.
nProb
Bu, NetFlow'u uygulamak ve analiz etmek için kapalı çıkış koduna sahip tam özellikli bir programdır.
nProbe, IPv4 ve IPv6'yı, Cisco NetFlow v9 / IPFIX'i, NetFlow-Lite'ı destekler, VoIP trafik analizi, akış ve paket örnekleme, günlük oluşturma, MySQL/Oracle ve DNS etkinliği ve çok daha fazlasını içerir. Trafik analiz cihazını kullanıp Linux veya Windows'ta derlerseniz eklenti ücretsizdir. İndirilen kurulum dosyası en fazla 2000 paket içerir. nProbe tamamen ücretsizdir aydınlatma tesisatları kar amacı gütmeyen ve bilimsel kuruluşların yanı sıra. Bu araç 64 bit sürümlerde mevcuttur işletim sistemleri Linux ve Windows.
Tsey List Z 10 analizatoriv trafi Ta Kolektoriv Netflow, Büyüklerin değişmezliğinin adaletsizliklerinin izlenmesine, WAN-Birleşmenin avlanmasına,
Bu makalenin görünümü, sınırdaki trafiği izlemenize ve analiz etmenize, küçük arızaları tespit etmenize ve üretim kanalında güvenliğe yönelik tehditleri gösterebilecek anormallikleri belirlemenize olanak tanır. Ayrıca akış, trafik ve çok daha fazlası hakkındaki bilgileri görselleştirin. Yöneticilerin cephaneliğinde benzer araçlar vardır.
Bu yayın makaleden çevrilmiştir " Windows için En İyi 10 Ücretsiz Netflow Analizörü ve Toplayıcı", proje için güler yüzlü bir ekip tarafından hazırlandı
