СРАВНИТЕЛЬНЫЙ АНАЛИЗ СИСТЕМ АНАЛИЗА ПАКЕТОВ ДАННЫХ

СРАВНИТЕЛЬНЫЙ АНАЛИЗ СИСТЕМ АНАЛИЗА ПАКЕТОВ ДАННЫХ

Нурлыбаев Талгат Абдурахманович

ассистент-профессора кафедры Компьютерной Инженерии и Информационной Безопасности, Международный Университет Информационных Технологий,

Республика Казахстан, г. Алматы

Тайкибаев Бекжан Мейрамбекович

магистрант Международного Университета Информационных Технологий,

Республика Казахстан, г. Алматы

За последнее время все более актуальным становится использование различного рода пакетов данных. В нынешних реалиях существует множество систем, которые могут выполнять анализ пакетов данных, ввиду того что работа по сети становится все более привычным занятием растет и количество потребляемого трафика. Тем самым, многие системы захвата трафика, которые также известны как снифферы, по результатам своей активности выдают пакеты, которые требуют ручного анализа. [1]

Прежде всего, нужно ввести определение пакета и пакета данных. Пакетом данных называют сегменты данных, которые пересылают с одного компьютера или устройства на другое посредством сети. Изначально термин был введен в 1965 году Дональдом Дэвисом. Сам пакет содержит информацию, что позволяет доставлять пакет до места назначения и читать его, а также тип, размер, пункт назначения и источник. [3]

В текущее время анализ сетевого трафика является крайне обширной темой. Под анализом будет представлена обширное название технологий, а также их реализация, что открывает возможности проводить классификацию, накопление, контроль, обработку, модификацию сетевых пакетов в реальном времени учитывая их содержимое. Главным и сложным фактором является двойственность развития средств анализа трафика в сети: во-первых, для эффективного решения этой задачи необходимо развитие аппаратно-программных средств и, во-вторых, подходы к анализу и развитие алгоритмов. Поэтому ранее вышеуказанное приводит к манипулированию цифрами и фактами в маркетинге и к запутанности в терминологии. В этой статье отражено текущее состояние в этой области с прикладной и научной точек зрения и историческое развитие. К тому же создается попытка систематизации сведений о наборе технологий, которые имеются в публикациях. Предполагается выполнения данных шагов для реализации поставленных целей:

1. Провести обзор развития сферы анализа сетевого трафика для понимания истории развития данной технологии.
2. Рассмотрение исторического значения используемых технологий.
3. Исследование и сравнительный анализ программного обеспечения анализа пакетов данных. [4]

История развития технологий анализа пакетов данных берет свое начало еще с 90-х годов прошлого века. Необходимость в их возникновении возникло на фоне широкого и одновременного потребления в различных областях. [3]

Со временем усложнились схем сетей и разнообразие сетевых устройств, что в свою очередь привело к усложнению поддержки и настройки сетей. На фоне этого возникла потребность инструмента, который бы позволял предоставить наиболее исчерпывающую информацию о возникновении проблемы, и к тому же к её локализации. Свойственно сетевой трафик и является основным объектом, который располагает в себе нужную информацию. [7]

Сегодня на рынке представлено бесчисленное множество анализаторов пакетов, как платных, так и бесплатных. И хотя каждый инструмент основан на основных принципах сбора сетевого трафика, они сильно различаются по своей широте и глубине. Многие инструменты с открытым исходным кодом чрезвычайно просты по своему дизайну, и в этом суть: данные инструменты были созданы для обеспечения надежного и чистого сбора данных, оставляя при этом как можно меньше места. Если необходим простой анализ и быстрая диагностика, то в таком случае может подойти бесплатный инструмент с открытым исходным кодом. Многие, хотя и не все, бесплатные версии можно обновить, чтобы предоставить дополнительные аналитические функции, если понадобится более серьезная поддержка. [6]

С таким количеством продуктов на рынке может быть трудно понять, какой анализатор пакетов выбрать. В то время как бесплатных вариантов предостаточно, в платной версии имеется инструмент, который не только собирает данные, но и предлагает интуитивно понятный анализ. Помимо основных анализаторов пакетов, которых существуют десятки, здесь найдется более надежные аналитические инструменты захвата пакетов и анализ сети. Во многих случаях эти инструменты отличаются своей способностью выполнять глубокую проверку пакетов (DPI). [7]

Программное обеспечение DPI использует датчики, установленные на серверах транзакций, и сетевой датчик, подключенный к тестовой точке доступа (TAP) или зеркальному порту. Программное обеспечение собирает данные о времени отклика при взаимодействии между клиентами и серверами для транзакций как на уровне подключения, так и на уровне приложений. Эти метаданные позволяют администраторам регулировать потоки трафика и различать проблемы сети и проблемы приложений, чтобы определить причину узких мест, замедлений и простоев. [7]

Эти крупные инструменты корпоративного уровня часто оборудованы для оповещения об исключительных случаях и создания интуитивно понятных графиков и диаграмм, отображающих подробные показатели.

Самыми распространенными сетевыми снифферами/анализаторами являются: Wireshark,  SolarWinds Network Performance Monitor, Paessler PRTG Network Monitor, ManageEngine NetFlow Analyzer, WinDump и другие. [6]

Wireshark (ранее Ethereal) был создан в 1997 году инженером Джеральдом Комбом. Wireshark существует уже несколько десятилетий и помог установить стандарт анализа сетевых протоколов. Wireshark – это полностью бесплатный инструмент с открытым исходным кодом, который был перенесен практически на все сетевые операционные системы, включая Windows, Linux, macOS, Solaris, FreeBSD и NetBSD. По сей день Wireshark остается организацией, управляемой добровольцами, при поддержке нескольких крупных спонсоров. [2]

Несколько примеров практического использования:

●  Устранение неполадок сетевого подключения.

●  Визуальное отображение потери пакетов.

●  Анализ ретрансляции TCP.

●  График по пакетам с большой задержкой ответа.

●  Исследование сессий прикладного уровня .

●  Полный просмотр HTTP-сессий, включая все заголовки и данные для запросов и ответов.

●  Просмотр сеансов Telnet, просмотр паролей, введённых команд и ответов.

●  Просмотр трафика SMTP и POP3, чтение писем.

●  Устранение неполадок DHCP с данными на уровне пакетов.

●  Изучение трансляций широковещательного DHCP.

●  Извлечение файлов из сессий HTTP.

●  Экспорт объектов из HTTP, таких как JavaScript, изображения или даже исполняемые файлы.

●  Извлечение файлов из сессий SMB.

Аналогично опции экспорта HTTP, но извлечение файлов, передаваемых по SMB, протоколу общего доступа к файлам в Windows:

●  Обнаружение и проверка вредоносных программ.

●  Обнаружение аномального поведения, которое может указывать на вредоносное ПО.

●  Поиск необычных доменов или конечных IP.

●  Графики ввода-вывода для обнаружения постоянных соединений (маячков) с управляющими серверами.

●  Отфильтровка «нормальных» данных и выявление необычных.

●  Извлечение больших DNS-ответов и прочих аномалий, которые могут указывать на вредоносное ПО.

●  Проверка сканирования портов и других типов сканирования на уязвимости.

●  Понимание, какой сетевой трафик поступает от сканеров.

●  Анализ процедур по проверке уязвимостей, чтобы различать ложноположительные и ложноотрицательные срабатывания. [9]

По итогу, инструмент сниффинга пакетов Wireshark известен как своими возможностями сбора данных, так и возможностями анализа. Он позволяет применить фильтры, чтобы ограничить объем данных, которые собирает Wireshark, или просто позволить ему собирать весь трафик, проходящий через выбранную сеть. Важно отметить, что он может собирать данные только на сервере с установленным рабочим столом. Поскольку рабочие столы на серверах встречаются редко, многие системные администраторы предпочитают использовать tcpdump или WinDump для захвата трафика в файл, который затем загружают в Wireshark для углубленного анализа. [8]

Независимо от того, используется ли Wireshark для сбора данных, все равно можно использовать его динамический набор фильтров, чтобы найти точный набор интересующей информации. Одной из функций фильтра, которая отличает Wireshark от пакета, является его способность следить за потоком. данных. В дополнение к своим возможностям фильтрации, Wireshark широко известен за его богатый анализ VoIP, распаковку gzip, считывание данных в реальном времени из прослушивания Ethernet и поддержку дешифрования для различных протоколов, включая IPsec, WPA и WPA2 и SNMPv3. Тем не менее Wireshark не так интуитивно понятна, как другие анализаторы пакетов. [8]

В сравнении с Wireshark, SolarWinds предлагает более широкий спектр функций, масштабируемость и простоту использования, которые можно получить с монитором производительности сети SolarWinds (NPM) и сопутствующим сниффером пакетов. Этот многоуровневый инструмент обеспечивает комплексное представление вашей сети, поэтому возможно быстро обнаруживать, диагностировать и устранять проблемы с производительностью сети и избегать простоев. Кроме того, система использует минимальную полосу пропускания, что требует низкой нагрузки на серверы и узлы платформы Orion. [7]

NPM использует DPI для сбора данных на уровне пакетов в сети, получая доступ к управляемым устройствам Windows и используя установленные датчики. В модуле качества опыта NPM можно использовать пошаговый «мастер» для развертывания датчиков и выбора предварительно настроенных или пользовательских приложений для мониторинга.

С помощью зондов, установленных на сетевых устройствах, SolarWinds NPM может просматривать и собирать метаданные для всего трафика в сети. Затем диагностический инструмент регистрирует и отображает такую ​​информацию, как время отклика, объем данных и транзакции, чтобы обнаруживать замедления и отмечать любые проблемы. Эти аналитические данные о DPI помогут вам определить, что является причиной плохого взаимодействия с пользователем, приложение или сеть, и создать пошаговую карту путей пакетов, чтобы вы могли сразу увидеть места узких мест. [5]

Кроме того, с помощью функции анализа пропускной способности инструмента можно получить представление о том, как и кем используется пропускная способность вашей сети. NPM использует рычаги NetFlow, JFlow, sFlow, NetStream, IPFIX данные, встроенные в большинство маршрутизаторов, для идентификации пользователей, приложений и протоколов, потребляющих пропускную способность сети. Это дает информацию, необходимую для отключения пользователей и приложений, использующих пропускную способность, прежде чем тратить дополнительные средства на увеличение пропускной способности. Также можете использовать NPM в качестве беспроводного сниффера, используя возможности захвата пакетов Wi-Fi с данными о производительности, трафике и конфигурации для устройств и приложений в локальной среде, в облаке или в гибридных средах. [10]

Но это не все. NPM может похвастаться веб-панелью производительности с динамическими диаграммами и графиками, классифицирующими как информацию в реальном времени, так и исторические данные. На этой интуитивно понятной панели управления возможно ускорить идентификацию первопричины, перетаскивая показатели производительности сети на общую временную шкалу для немедленной визуальной корреляции всех используемых сетевых данных. [5]

Инструмент также предлагает настраиваемые интеллектуальные оповещения, позволяющие легко быть в курсе состояния сетевых устройств, проблем с производительностью и подозрительных всплесков активности трафика. Благодаря этому уровню предупреждений можно быстро реагировать, если что-то пойдет не так, помогая предотвратить нарушение безопасности. [10]

Подводя итоги, можно выделить, что базовая Wireshark предлагает более широкий спектр возможностей и мультиплатформенной программой в сравнении с аналогичной версией SolarWinds для анализа пакетов данных.

Список литературы:

1. Sniffer. https://www.opennet.ru/base/sec/arp_snif.txt.html, дата обращения 01.03.2022.  
2. Wireshark. https://www.wireshark.org/, дата обращения 01.03.2022.
3. П. Филимонов, М. Иванов. Современные подходы к классификации трафика физических каналов сети Интернет, Труды 18-ой Международной конференции «Распределенные компьютерные и коммуникационные сети: управление, вычисление, связь» (DCCN-2015), 19 - 22 октября 2015 г.
4. F. Risso, M. Baldi, O. Morandi, A. Baldini, P. Monclus, “Lightweight, payload-based traffic classification: An experimental evaluation” in Proc. IEEE ICC, 2008.
5. Жанатова А.А. Методы мониторинга и обеспечения безопасности для поддержания работоспособности сети. 2021. (https://cyberleninka.ru/article/n/metody-monitoringa-i-obespecheniya-bezopasnosti-dlya-podderzhaniya-rabotosposobnosti-seti/viewer).  
6. Jan L. Harrington Network Security: A Practical Approach. S. Francisco, 2015. 193 p.
7. BejtlichRichard. The Practice of Network Security Monitoring, 2013. 376 p.
8. Мешкова Е.В. Перехват и анализ сетевого трафика с помощью "Wireshark", 2016. (https://cyberleninka.ru/article/n/perehvat-i-analiz-setevogo-trafika-s-pomoschyu-wireshark/viewer).
9. Wireshark Trace Files. Режим доступа: http://www.wiresharkbook.com/ studyguide supplements/9781893939943 traces.zip, дата обращения 01.03.2022.
10. Мехтиев Э.М., Комагоров В.П., Фофанов О.Б., Марчуков А.В. К вопросу о проектировании системы мониторинга корпоративной вычислительной сети, 2012. (https://cyberleninka.ru/article/n/k-voprosu-o-proektirovanii-sistemy-monitoringa-korporativnoy-vychislitelnoy-seti/viewer).