Мониторинг сети с помощью сетевого монитора Network Monitor 3.4 (часть 1)


Введение

В этой статье мы обсудим сетевой монитор 3.4 и его пользу в
диагностике и анализе трафика. Анализ сетевого трафика становится все
более важной частью, поскольку стеки сетевых протоколов включаются в
маршрутизируемые и передаваемые с помощью NAT протоколы в интернет.
Сетевой монитор (Network Monitor) представляет собой анализатор пакетов и
инструмент захвата фреймов, помогающий в определении таких
инкапсуляций, и является крайне важным инструментом для любого сетевого
администратора и администратора безопасности.

Что делать?

Если вы волнуетесь о передаче конфиденциальных данных или нагрузке
инкапсуляции, вам необходимо знать больше о своей сети. Такие
инструменты, как IPS, IDS и межсетевые экраны эффективны настолько,
насколько эффективна их конфигурация. Во многих случаях они не описывают
или не отражают подробности пакетного уровня, которые вам нужно знать.
Есть бесплатные и платные инструменты анализа пакетов, но в этой статье
основной упор будет сделан на бесплатный инструмент, который уже
доступен и с которым я работаю многие годы.

Я впервые узнал об этом инструменте от создателей ISA Microsoft,
когда его мне предоставили для решения комплексной проблемы брандмауэра
более шести лет назад. С того момента этот инструмент эволюционировал в
отличный инструмент диагностики, помогающий администраторам сети и
безопасности понимать приложения, порты и протоколы на машинах.

Что такое анализатор протокола?

Это приложение или часть аппаратного средства, перехватывающая
сетевой трафик и обрабатывающая эти данные, переводящая их и выдающая
результаты в читаемом формате.

Об инструменте

Требования к аппаратному обеспечению: Network Monitor 3.4 требует 1GHz процессор или выше, 1 гигабайт памяти или больше, и 60 МБ места на диске для снимков.

Его можно устанавливать на X86 или 64bit платформы, включая Itainum чипсеты под управлением windows XP и выше.

После загрузки и установки приложения с веб-сайта компании Microsoft, он готов к работе.

Вы выбираете сетевые карты, на которых хотите прослушивать трафик. Я
всегда сначала использую инструмент по минимуму, чтобы не перегружать
себя информацией обо всем трафике, проходящем через машину. Позже можно
изменять этот параметр и добавлять другие интерфейсы, если необходимо.

Одной из лучших функций продукта является возможность отслеживания
трафика и его привязки к работающему процессу, в результате чего админ
может быстро определить приложение, которое разговаривает с машиной, а
также тип передаваемого трафика, без необходимости перелопачивания
больших объемов трафика.

Рисунок 1: Выше приведено взаимодействие по skype.

Рисунок 1:
Выше приведено взаимодействие по skype.

Можно фильтровать трафик по одному взаимодействию за раз. Это
показано на рисунке выше с указанием кода взаимодействия ID (ConvID)
468. После разворота фреймов, содержащихся во взаимодействии, можно
начать осмотр. Я воспринимаю эти фреймы, как предложения, которые произносятся во время разговора.

Можно окрашивать код трафика по фильтрам, чтобы исходный трафик
указывался одним цветом, а трафик ответов указывался другим цветом,
чтобы можно было видеть, кто что сказал.

У вас также есть возможность настраивать NM3.4 на перехват трафика в
туннеле VPN. Это может быть полезно при диагностике VPN подключений.

Хорошим моментом в этом инструменте является то, что данные
отражаются в реальном времени, то есть по мере перехвата данных они
отображаются в консоли. Эти данные можно сохранять в файлы и отправлять
кому-либо еще, если вам нужно поделиться результатами анализа. Вы также
можете выбрать диапазон жизни фреймов. Эти выбранные фреймы можно
сохранять и отправлять другим людям на анализ, вместо отправки всего
снимка. Мне это показалось очень удобным. Вы можете быть уверены в том,
что анализируется именно тот трафик, который вы отправили сторонним
лицам для анализа и им не придется перелопачивать кучу другого трафика.

Данные можно копировать непосредственно в excel, для анализа и
составления таблицы, то же самое применимо и к word, можно быстро
создавать таблицы. Это делает данные более легко управляемыми и более
простыми для представления.

Создание простого цветового фильтра

Создание фильтров может быть простым. Можно быстро создать фильтр, в
котором определённый процесс будет ассоциирован с определенным цветом.
Например, вы можете просматривать весь трафик IE в режиме реального
времени в синем цвете, а трафик с Firefox в красном. Вам лишь нужно
развернуть процесс в окне дерева сетевого взаимодействия слева и перейти
к трафику в обзоре фрейма справа, нажать правой клавишей на фрейме (над
столбцом процесса), выбрать опцию добавить «имя процесса» правило цвета
(add 'process name' as colour rule), указать цвет, и весь трафик будет
отображен в синем цвете для процесса IE.

Рисунок 2: Не забудьте нажать на столбце имени процесса
Рисунок 2: Не забудьте нажать на столбце имени процесса
Рисунок 3: Выберите цвет для назначения процессу IE и дважды нажмите OK
Рисунок 3: Выберите цвет для назначения процессу IE и дважды нажмите OK
Рисунок 4: В режиме просмотра трафика в реальном времени вы увидите поток трафика.

Рисунок 4:
В режиме просмотра трафика в реальном времени вы увидите поток трафика.

Это значительно упрощает определение трафика, когда пакеты со
скоростью влетают и вылетают, и помогает кодировать важный трафик
цветами.

Утилита командной строки

Путь C:\Program Files\Microsoft Network Monitor 3>

Этот инструмент может использоваться в форме утилиты командной строки
и называется NMcap.exe, он устанавливается по пути ОС. Этот режим очень
полезен для захвата высокой производительности и полезен при работе с
командными сценариями.

Простые команды типа nmcap * /capture /file test_capture.cap будут
выполнять захват всего трафика со всех интерфейсов и хранить снимок в
файле под названием test_capture.cap в том каталоге, откуда был запущен
инструмент. К этой команде также можно применять фильтры, с помощью
которых можно выполнять захват только нужного трафика.

Утилиту командной строки можно использовать для различных целей,
например ее можно использовать на сайте клиентов и отправлять команду
для копирования и вставки, чтобы они отправляли вам результаты удаленно
для анализа. Любой фильтр, используемый в графическом интерфейсе, можно
также использовать и в утилите командной строки, только не забывайте
кавычки.

Используя этот инструмент, важно выставлять размер снимка, в первую
очередь для того, чтобы файлами можно было управлять, а также чтобы
предотвратить заполнение всего свободного места на диске этими снимками.

Одним из полезных параметров является команда terminationwhencommand,
которая позволяет администраторам создавать сценарий завершения захвата
после определенного промежутка времени или после нажатия ключевых
клавиш.

Для получения списка параметров введите Nmcap.exe /help

Средства синтаксического анализа

Средства анализа предоставляются для всех протоколов windows и для
самых распространенных публичных протоколов. Существую также
дополнительные средства анализа, а при желании вы можете быстро создать
собственное средство анализа. Эти файлы имеют .npl расширение и их можно
создавать прямо с помощью инструмента.

Зачем нужно знать?

С появлением решений компьютерного облака и служб интернета стеки
протоколов продолжают консолидироваться в такие порты, как 80 и 443, а
эти порты уже открыты на брандмауэрах и не требуется большой работы с
настройками, чтобы заставить эти туннельные решения работать.

Эти порты не столь безопасны, как кажется, поскольку нежелательный
трафик может быть инкапсулирован или скрыт в протоколах, которыми
накладно управлять.

Хорошим примером этого является порт 443. Этот порт открыт для
исходящего трафика на большинстве межсетевых экранов, и если только вы
не используете брандмауэр прикладного уровня или прокси, нет
действительной возможности глубоко осмотра пакетов. Это означает, что
сетевые админы не уверены в том, какими будут последствия пакетов.
Возможность того, что вредоносный объект может воспользоваться этим
фактом, вполне реальна. Мы уже видим больше вредоносных программ,
использующих это знание. Более того, некоторые разработчики приложений и
администраторы знают это и используют порт 443 без инкапсуляции, а это
означает, что это уже не будет действительный https или SSL, а скорее
протокол собственного состояния, что может приводить к передаче данных в
незашифрованном виде и как следствие их перехвату.

Заключение

В этой статье мы сконцентрировали внимание на обзоре и возможностях
сетевого монитора Network Monitor 3.4. Читайте мою следующую статью с
более подробным описанием приложения, в которой я расскажу о некоторых
дополнительных настройках инструмента и о том, как использовать
инструмент для определения проблемных вопросов и потенциальных проблем в
сети.

Для дополнительной информации посетите: http://blogs.technet.com/b/netmon/p/learn.aspx

Автор: Рики Магалхаес (Ricky M. Magalhaes)

Рики Магалхаес (Ricky M. Magalhaes)Рики
Магалхаес (Ricky M. Magalhaes) является специалистом по безопасности,
который работает в качестве консультанта и IT специалиста последние 8
лет. Он был ответственен за разработку и внедрение Безопасности, сетевой
архитектуры, коммуникаций, сетевой инфраструктуры и Security R&D во
многих организациях Южной Африки, с которыми он работал. Он специалист
по продуктам windows 9x и работает с windows-продуктами, начиная с
версии win 3.11. Он также пишет статьи по вопросам безопасности для
www.windowsecurity.com, www.ISAserver.org, www.governmentsecurity.com и
многих других хорошо известных web-сайтов, посвященных вопросам
безопасности и технологий.

Источник: http://www.Redline-Software.com

Возникли вопросы?

Обращайтесь на форум!

Skip to main content