Определение подозрительных пакетов, анализ протоколов сети

Министерство Высшего и Среднего Специального Образования Республики Узбекистан Ташкентский Государственный Технический Университет Факультет Компьютерные технологии Кафедра Компьютерные системы и сети РЕФЕРАТ На тему Определение подозрительных пакетов, анализ протоколов сети Выполнилмаг. гр. 51М-02ИБ Д. БобокуловПринялдоц.Каримов М.М. Ташкент-2002-03 Содержание 1. Введение. 2. Программные средства анализа подозрительных пакетов на примере ОС Linux. 3. Аппаратные средства анализа пакетов протоколов. Анализаторы. 4. Критерии выбора анализатора пакетов. 5. Заключение. 6. Список использованных источников. 17. Введение. В настоящее время аппаратная архитектура Ethernet завоевала большую часть рынка при создании локальных сетей, хотя существуют и другие аппаратные решения не на IEEE 802.3, такие как FDDI, Token Ring 802.5, ARCNET, WAN, ATM и другие.

Относительная недороговизна в сочетании с технической скоростью передачи данных в 10, 100 и 1000 мегабит в секунду способствует ее популярности. Сеть Ethernet работает как магистраль, через которую любой узел может пересылать пакеты на другой узел, подключенный к тому же сегменту сети. Для перенаправления пакетов из одной сети в другую необходимо пользоваться репитером, свитчем или концентратором.

Процесс передачи фреймов обеспечивает межсетевой протокол, который не зависит от оборудования и представляет различные сети в одну сеть. Но при использовании этого протокола нет гарантий, что пакет достигнет адресата, но решение этой задачи обеспечивает протокол TCPIP, занимающийся гарантированной доставкой пакетов.

TCP не единственный протокол в стеке протоколов TCPIP, существует еще протокол UDP, который много быстрее протокола TCP, так как не создает и не закрывает сеанс соединения, а узел с помощью его просто отправляет данные в дейтаграммах другим узлам в сети. Пакет, отправленный в широковещательной сети одним из узлов, принимается всеми находящимися в этом сегменте сети машинами, но только узел назначения, указанный в заголовке пакета, смотрит на него и начинает его обработку относится и к TCP и к UDP протоколам.

Перехватчики сетевых пакетов могут не только использоваться администратором сети для проверки и детального анализа правильности конфигурации сетевого программного обеспечения, но и представляют собой серьезную угрозу, поскольку могут перехватывать и расшифровывать имена и пароли пользователей, конфиденциальную информацию, нарушать работу отдельных компьютеров и сети в целом.

Анализаторы пакетов относятся к классу инструментальных программных средств для мониторинга сетевого трафика и выявления некоторых типов сетевых проблем. По умолчанию сетевой интерфейс видит пакеты, предназначенные только для него. Однако анализаторы устанавливают его в режим приема всех пакетов - promiscuous mode, прослушивают сеть и заставляют сетевой интерфейс принимать все фреймы, вне зависимости от того, кому они адресованы в сети.

Программные средства анализа подозрительных пакетов на примере ОС Linux

Некоторые приборы способны осуществлять анализ протоколов телефонии. На практике же оказывается, что возможность работы ряда анализаторов с... На сегодняшний день они поддерживают декодирование около 140 сетевых п... Сейчас программное обеспечение RADCOM стало высоконадежным и зрелым пр... Компания RADCOM использует архитектурный подход, в котором функции ана...

Заключение

Заключение Для обеспечения защищенности сети, недостаточно только установление аппаратных и программных средств и считать что вы защитились от всего.

С каждым днем разрабатываются новые аппаратные и программные средства. Технологии и программы стареют на глазах. Тем более если в вашей сети установлены WWW, FTP, POP, SMTP сервера которые работают с реальными ip адресами и видны с мира при трассировке или при отправке пингов задача защищенности опять усложняется.

Самым ответственным звеном в обеспечении защиты сети являются администраторы сети или как сейчас часто употребляют администратор по безопасности. Администратор должен всегда следить за событиями в сети, смотреть журналы событий, подключений, ошибок а также следить за трафиком. Самыми распространенными и высоко защищенными ОС считаются UnixLinux системы. А на этих системах приходиться делать все в ручную. Тут нет кнопки на которую можно нажать, нет панели управления где можно все настроить, только команды и пакетыRPM. Облегчают эти кропотливые работы администраторов повышением степени защищенности и удобностью пользования устройства называемые сетевыми анализаторами.

Современные анализаторы протоколов WANLANATM позволяют обнаружить ошибки в конфигурации маршрутизаторов и мостов установить тип трафика, пересылаемого по глобальной сети определить используемый диапазон скоростей, оптимизировать соотношение между пропускной способностью и количеством каналов локализовать источник неправильного трафика выполнить тестирование последовательных интерфейсов и полное тестирование АТМ осуществить полный мониторинг и декодирование основных протоколов по любому каналу анализировать статистику в реальном времени, включая анализ трафика локальных сетей через глобальные сети. Список источников 1. httpi2r.rusfund.rustatic452out15653.shtm l Библиотека I2R. 2. httpwww.osp.rulan199912008print.htm Игорь Иванцов 3. Журнал LAN, 12, 1999 год Издательство Открытые Системы 4. httpwww.opennet.ru 5. Леонтьев Б.К. Крэкинг без секретов.

М Компьютерная литература, 2001 г.