Сигурността на мрежата е една от основните области при създаването или наблюдението на дадена мрежа. Мрежовите администратори извършват произволни одити на мрежовия трафик чрез заснемане на мрежови данни и анализиране на предадените пакети от един хост до друг. В тази статия ще обсъдим как да улавяте и анализирате мрежовия трафик с помощта на инструмента NetworkMiner, но не и след бърз урок по пасажа на пакети.

Разлика между активното и пасивното подуване

Sniffing е техника за събиране на мрежова информация чрез заснемане на мрежови пакети. Има два вида вдишвания - активно подуване и пасивно подуване. При активно вдухване, софтуерът за вдухване на пакети изпраща заявки по мрежата и след това в отговор изчислява пакетите, преминаващи през мрежата.

Пасивното подуване не разчита на изпращането на заявки. Тази техника сканира мрежовия трафик, без да бъде открит в мрежата. То може да бъде полезно на места, където мрежи работят в критични системи като контрол на процесите, радарни системи, медицинско оборудване или телекомуникации и др.

Моля, обърнете внимание, че пакетиращият апарат може да работи само в общ домейн за сблъсък. Това означава, че можете да използвате само устройство за пакетиране на пакети в мрежа, от която сте част. Това означава, че пакетиращият код не може да бъде използван за опит за хакерство извън мрежата.

Подготовка за стартиране на NetworkMiner

NetworkMiner е инструмент за централизиран мрежов анализ на приемници с пасивни способности за вентилация. Гост центърът означава, че сортира данните по отношение на хостовете, а не на пакетите (това се извършва от най-активните инструменти за подуване).

Потребителският интерфейс на NetworkMiner е разделен на раздели. Всеки раздел осигурява различен ъгъл на информация за записаните данни. По-долу са стъпките за стартиране на NetworkMiner, за да анализира трафика в мрежата:

1. Ако използвате Windows 7 или Windows 8, ще трябва да стартирате NetworkMiner.exe с администраторски права.

2. Изберете мрежовия интерфейс, за който трябва да бъдат записани данните.

3. По подразбиране е избран раздел "Хостове". Можете да сортирате хостове по IP адрес, MAC адрес, име на хост, операционна система и др.

Натиснете бутона за стартиране, за да започнете процеса на вдухване.

Анализиране на данните в

В раздела "Хостове" ще видите списък с хостове, свързани към мрежата. Можете да разширите всеки хост, за да видите подробна информация като неговия MAC адрес, име на хост, операционна система, TTL, отворени портове, изпратени, получени пакети и т.н. Един добър администратор на мрежа винаги има общ преглед на това, какви данни се предават към и от неговата мрежа. Списъкът с хостове ще ви даде по-добра представа за типа на мрежовия трафик, който използвате.

Ако откриете подозрителен хост, винаги можете да го блокирате през защитната стена. Защитната стена трябва да е тази, от която минава целия мрежов трафик, преди да стигне до дестинацията. Ако блокирате хост на защитната стена на системата си, той ще бъде блокиран само на вашата система.

Ако използвате друг мрежов инструмент, който може да записва PCAP файла, NetworkMiner може също да анализира PCAP файла и да ви позволи да преминете през офлайн данните.

Една умна характеристика на NetworkMiner е, че тя може да сглоби файловете, предавани чрез мрежата, и да ги изтегли в пълна форма. Това може да стане от раздела Файлове. Можете също да заснемате и изтегляте изображения от мрежовия трафик от раздела Изображения.

Изпращането на пароли ясно може да бъде много опасно за мрежата като цяло. Ако искате да проверите дали някой хост предава пароли в ясен текст, можете да го видите в раздела "Акредитиви".

заключение

NetworkMiner може да бъде много полезна за мрежите Wifi, които са постоянно отворени за нови заплахи. Той може редовно да извършва одит и анализ на мрежовия трафик, за да блокира уязвимостите и слабите места.

Ако работите с мрежа, кой инструмент за пакетиране на пакети използва за проверка на вашата сигурност? Дали тя анализира и одитира? Използвах Wireshark, но се влюбих в NetworkMiner заради неговата простота и лекота на използване.

Кредит на изображението: покритие за Crawdad Network-Reuters