Определение подозрительных пакетов, анализ протоколов

Файл : OpredPodozPak.doc (размер : 187,392 байт)

Министерство Высшего и Среднего Специального

Образования Республики Узбекистан

Ташкентский Государственный Технический Университет

Факультет:«Компьютерные технологии»

Кафедра:«Компьютерные системы и сети»

РЕФЕРАТ

На тему: «Определение подозрительных пакетов, анализ протоколов сети»

Выполнил:

маг. гр. 51М-02ИБ

Д. Бобокулов

Принял:

доц. Каримов М.М.

Ташкент-2002-03

Содержание:

Введение. 2.

Программные средства анализа подозрительных пакетов на примере ОС Linux. 3.

Аппаратные средства анализа пакетов (протоколов). Анализаторы. 8.

Критерии выбора анализатора пакетов. 11.

Заключение. 16.

Список использованных источников. 17.

Введение.

В настоящее время аппаратная архитектура Ethernet завоевала большую часть рынка при создании локальных сетей, хотя существуют и другие аппаратные решения не на IEEE 802.3, такие как FDDI, Token Ring (802.5), ARCNET, WAN, ATM и другие. Относительная недороговизна в сочетании с технической скоростью передачи данных в 10, 100 и 1000 мегабит в секунду способствует ее популярности. Сеть Ethernet работает как магистраль, через которую любой узел может пересылать пакеты на другой узел, подключенный к тому же сегменту сети. Для перенаправления пакетов из одной сети в другую необходимо пользоваться репитером, свитчем или концентратором. Процесс передачи фреймов обеспечивает межсетевой протокол, который не зависит от оборудования и представляет различные сети в одну сеть. Но при использовании этого протокола нет гарантий, что пакет достигнет адресата, но решение этой задачи обеспечивает протокол TCP/IP, занимающийся гарантированной доставкой пакетов. TCP не единственный протокол в стеке протоколов TCP/IP, существует еще протокол UDP, который много быстрее протокола TCP, так как не создает и не закрывает сеанс соединения, а узел с помощью его просто отправляет данные в дейтаграммах другим узлам в сети. Пакет, отправленный в широковещательной сети одним из узлов, принимается всеми находящимися в этом сегменте сети машинами, но только узел назначения, указанный в заголовке пакета, "смотрит" на него и начинает его обработку (относится и к TCP и к UDP протоколам).

Перехватчики сетевых пакетов могут не только использоваться администратором сети для проверки и детального анализа правильности конфигурации сетевого программного обеспечения, но и представляют собой серьезную угрозу, поскольку могут перехватывать и расшифровывать имена и пароли пользователей, конфиденциальную информацию, нарушать работу отдельных компьютеров и сети в целом.

Анализаторы пакетов относятся к классу инструментальных программных средств для мониторинга сетевого трафика и выявления некоторых типов сетевых проблем. По умолчанию сетевой интерфейс видит пакеты, предназначенные только для него. Однако анализаторы устанавливают его в режим приема всех пакетов - promiscuous mode, прослушивают сеть и заставляют сетевой интерфейс принимать все фреймы, вне зависимости от того, кому они адресованы в сети.

Программные средства анализа подозрительных пакетов на примере ОС Linux.

Для установки "вручную" сетевого интерфейса в неразборчивый режим необходимо включить флаг PROMISC: ifconfig eth0 promisc; для отключения promiscuous mode: ifconfig eth0 -promisc .

Ярким примером инструментального программного средства служит программа tcpdump, написанная Вэном Якобсоном и поставляющаяся сейчас со многими дистрибутивами. Пример использования tcpdump:tcpdump -i eth0 -n -vv -w /root/tcpdump.logгде:-I - сетевой интерфейс;-n - делаем числовой вывод адресов и номеров портов;-vv - очень подробный вывод;-w - запись лога в файл.Чтобы прочитать перехваченный трафик из лога (выводим не на консоль, а в файл):tcpdump -r /root/tcpdump.log > /root/tcpdump0.log

Фрагмент работы tcpdump:14:06:28.250082 B 192.168.5.17.1445 > 255.255.255.255.8167: udp 2114:07:24.126187 > midian > 192.168.5.23: icmp: echo request14:07:24.126667