Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Павел Закляков
Данная статья рассказывает о том, как с помощью компьютера, оборудованного двумя сетевыми картами, организовать полностью пассивный перехват сетевого трафика Fast Ethernet.
Перехват сетевого трафика может использоваться по разным причинам, но цель у него одна – отслеживать всё происходящее на определённом участке в сети. Это может быть как мониторинг сети с целью выявления тех или иных нюансов в штатном режиме работы, так и обнаружение сетевых атак или выявление нежелательного трафика. Я думаю, читатель cталкивался не с одной задачей, где без перехвата трафика не обойтись. Реализация перехвата может быть осуществлена несколькими способами:
1. Программная реализация на одном из штатно используемых узлов. Например, можно запустить tcpdump, windump или подобные программы на исследуемых узлах и далее наблюдать за выводимой ими информацией. Этот способ хорош отсутствием дополнительных затрат, но плох тем, что, во-первых, потребляются ресурсы процессора, во-вторых, прослушивание трафика можно отследить и обойти. В-третьих, он платформо-зависимый, т.е. на разных платформах используются разные программы, порой несовместимые между собой даже по формату. По данной схеме, например, может быть организовано прослушивание трафика на базе шлюза.
Рисунок 1. Перехват трафика на базе шлюза под управлением ОС Linux
2. Использование отдельного компьютера для перехвата трафика совместно с коммутаторами, имеющими порт для мониторинга или концентраторами [4]. В разрыв исследуемого участка сети ставится коммутатор или концентратор, а уже к нему подключается отдельный компьютер, занимающийся анализом прошедшего трафика. Данный способ не зависит от других компьютеров в сети и используемого ими программного обеспечения.
Рисунок 2. Перехват трафика на базе коммутатора с портом мониторинга
3. Использование отдельного компьютера в мостовом включении на исследуемом участке. Этот способ несколько лучше предыдущего тем, что при желании можно организовать не только пассивный просмотр трафика, но и фильтрацию и подмену, т.е. влиять на проходящий трафик. Отличие от первого способа состоит в том, что работа с трафиком ведётся на более низком уровне (на канальном, против сетевого в случае шлюза). Как следствие, стандартными средствами вроде traceroute удалённо обнаружить факт подключения (прослушивания и фильтрации) невозможно.
Рисунок 3. Перехват трафика на базе моста под управлением ОС Linux