1.1.2 Некоторые приемы работы со снифферами: фильтры, удаленные сегменты, адресная книга

Снифферы (анализаторы протоколов), фильтр на захват (capture filter), фильтр на отображение (display filter), адресная книга (address book)

В любой реальной сети поток данных в течение рабочего дня достаточно большой. Если ловить весь трафик (а именно так по умолчанию обычно настроены снифферы), то найти нужную информацию в тысячах кадров, которые ловятся в минуту, практически невозможно. Поэтому обычно для сниффера настраивается фильтр на те пакеты, которые ему нужно ловить (capture filter).

В Network Monitor фильтр настраивается из меню Capture -> Filter. В окне Capture Filter настраиваются:

·        сетевой протокол, пакеты которого мы будем перехватывать (строка SAP/ETYPE). К сожалению, список протоколов здесь очень ограничен, а про прикладные протоколы система фильтров Network Monitor вообще ничего не знает;

·        адресные пары - то есть информация о том, трафик каких компьютеров необходимо перехватывать. В качестве возможных адресов можно использовать ANY - то есть трафик с любого компьютера и определять направление трафика - например, выбирать только входящий на этот компьютер трафик или только исходящий;

·        совпадение по шаблону (Pattern Matches). Будут перехватываться только те пакеты, в которых часть двоичного кода совпадает с указанным вами шаблоном. Это - наиболее мощная возможность, однако она требует определенного опыта работы с пакетами. При помощи этого параметра можно настраивать перехват определенных прикладных протоколов.

В Observer возможностей настройки фильтров намного больше. Для настройки фильтра необходимо в левой части экрана выбрать модуль перехватчика (Probe) - для локального перехватчика это будет Advanced Probes -> Local Observer -> Network 1 (Ethernet), затем в меню Actions выбрать Filter Setup for Selected Probe. Откроется окно Active Filter. В нем необходимо нажать на кнопку Select Filter. В окне Select Filter в вашем распоряжении - списки заранее предопределенных фильтров, в том числе фильтр по умолчанию Empty Filter (то есть ловить все). Скорее всего, вам придется нажать на кнопку New Filter, ввести имя нового фильтра и настроить необходимые параметры в окне Active Filter. В вашем распоряжении условия AND, OR и BRANCH (настроить по ветке условий, нижележащие фильтры будут проверяться только тогда, когда верно верхнее условие по ветке) и множество параметров - протокол, порт, адреса, шаблоны и т.п.

В Iris фильтры настраиваются еще проще и интуитивно понятнее: нужно щелкнуть по иконке Filters в панели Iris (она слева) или в меню Filters выбрать Edit Filter. В вашем распоряжении - те же самые возможности настройки фильтров по адресам (MAC и IP), протоколам, портам и шаблонам. В вашем распоряжении также - возможность воспользоваться одним из готовых фильтров (перехват электронной почты, HTTP, всех открытых протоколов (text_protocols) и т.п.

Часто бывает необходимо отфильтровать данные после того, как они захвачены - чтобы выбрать только нужные (так называемый display filter). В Network Monitor его можно настроить в окне просмотра пакетов через меню Display -> Filters, в Observer - в том окне, в котором вы просматриваете пакеты, в Iris такой возможности не предусмотрено (но ее с успехом заменяет режим Decode и Find).

В больших сетях обычно необходимо производить мониторинг трафика одновременно в нескольких сегментах сети, отделенных маршрутизаторами. Корпоративные снифферы (Network Monitor, Observer) имеют возможность подключаться к удаленным драйверам (программным модулям без графического интерфейса, выполняющим перехват) и принимать от него перехваченный трафик (естественно, в таких ситуациях следует очень тщательно продумать систему фильтров). В Network Monitor подключение к удаленному драйверу Network Monitor производится при помощи меню Capture -> Networks, далее выбрать Remote и ввести имя или IP-адрес удаленного компьютера, в Observer работа выполняется в списке перехватчиков (probe) при помощи контекстного меню, в IRIS такая возможность не предусмотрена.

Еще одна очень удобная возможность, которая имеется в большинстве снифферов - это адресная книга. Большинство снифферов показывают компьютеры в не самом удобном для восприятия формате: например, Network Monitor показывает только MAC-адреса компьютеров, IRIS - MAC-адреса и IP-адреса и т.п. Если вы производите мониторинг сети не на разовой основе, а регулярно, есть смысл занести адреса наиболее интересных с точки зрения мониторинга компьютеров (серверов, некоторых рабочих станций) в адресную книгу. И Network Monitor, и Observer, и IRIS позволяют пополнять адресную книгу как вручную, так и в автоматическом режиме (в IRIS - включить AutoUpdate в окне адресной книги).

Получить учебные материалы по этому курсу