Решение задач на тему: Определение подозрительных пакетов, анализ протоколов сети

Введение

В настоящее время аппаратная архитектура Ethernet завоевала большую часть рынка при создании локальных сетей, хотя существуют и другие аппаратные решения не на IEEE 802.3, такие как FDDI, Token Ring (802.5), ARCNET, WAN, ATM и другие. Относительная недороговизна в сочетании с технической скоростью передачи данных в 10, 100 и 1000 мегабит в секунду способствует ее популярности. Сеть Ethernet работает как магистраль, через которую любой узел может пересылать пакеты на другой узел, подключенный к тому же сегменту сети. Для перенаправления пакетов из одной сети в другую необходимо пользоваться репитером, свитчем или концентратором. Процесс передачи фреймов обеспечивает межсетевой протокол, который не зависит от оборудования и представляет различные сети в одну сеть. Но при использовании этого протокола нет гарантий, что пакет достигнет адресата, но решение этой задачи обеспечивает протокол TCP/IР, занимающийся гарантированной доставкой пакетов. TCP не единственный протокол в стеке протоколов TCP/IР, существует еще протокол UDP, который много быстрее протокола TCP, так как не создает и не закрывает сеанс соединения, а узел с помощью его просто отправляет данные в дейтаграммах другим узлам в сети. Пакет, отправленный в широковещательной сети одним из узлов, принимается всеми находящимися в этом сегменте сети машинами, но только узел назначения, указанный в заголовке пакета, "смотрит" на него и начинает его обработку (относится и к TCP и к UDP протоколам).

Перехватчики сетевых пакетов могут не только использоваться администратором сети для проверки и детального анализа правильности конфигурации сетевого программного обеспечения, но и представляют собой серьезную угрозу, поскольку могут перехватывать и расшифровывать имена и пароли пользователей, конфиденциальную информацию, нарушать работу отдельных компьютеров и сети в целом.

Анализаторы пакетов относятся к классу инструментальных программных средств для мониторинга сетевого трафика и выявления некоторых типов сетевых проблем. По умолчанию сетевой интерфейс видит пакеты, предназначенные только для него. Однако анализаторы устанавливают его в режим приема всех пакетов - promiscuous mode, прослушивают сеть и заставляют сетевой интерфейс принимать все фреймы, вне зависимости от того, кому они адресованы в сети.

Оглавление

- 1. Введение. 2

- Программные средства анализа подозрительных пакетов на примере ОС Linux. 3

- Аппаратные средства анализа пакетов протоколов. Анализаторы. 8

- Критерии выбора анализатора пакетов. 11

- 5. Заключение. 16

- 6. Список использованных источников. 17

Заключение

Для обеспечения защищенности сети, недостаточно только установление аппаратных и программных средств и считать что вы защитились от всего. С каждым днем разрабатываются новые аппаратные и программные средства. Технологии и программы стареют на глазах. Тем более если в вашей сети установлены WWW, FTP, POP, SMTP сервера которые работают с реальными iр адресами и видны с "мира" при трассировке или при отправке "пингов" задача защищенности опять усложняется.

Самым ответственным звеном в обеспечении защиты сети являются администраторы сети или как сейчас часто употребляют администратор по безопасности. Администратор должен всегда следить за событиями в сети, смотреть журналы событий, подключений, ошибок а также следить за трафиком. Самыми распространенными и высоко защищенными ОС считаются Unix/Linux системы. А на этих системах приходиться делать все в ручную. Тут нет кнопки на которую можно нажать, нет панели управления где можно все настроить, только команды и пакеты(RPM).

Облегчают эти кропотливые работы администраторов повышением степени защищенности и удобностью пользования устройства называемые сетевыми анализаторами. Современные анализаторы протоколов WAN/LAN/ATM позволяют обнаружить ошибки в конфигурации маршрутизаторов и мостов; установить тип трафика, пересылаемого по глобальной сети; определить используемый диапазон скоростей, оптимизировать соотношение между пропускной способностью и количеством каналов; локализовать источник неправильного трафика; выполнить тестирование последовательных интерфейсов и полное тестирование АТМ; осуществить полный мониторинг и декодирование основных протоколов по любому каналу; анализировать статистику в реальном времени, включая анализ трафика локальных сетей через глобальные сети.

Список литературы

1. http://i2r.rusfund.ru/static/452/out_15653.shtml (Библиотека I2R).

2. http://www.osp.ru/lan/1999/12/008_print.htm (Игорь Иванцов)

3. Журнал "LAN", #12, 1999 год // Издательство "Открытые Системы"

5. Леонтьев Б.К. "Крэкинг без секретов". М: "Компьютерная литература", 2001 г.