Analyzátor paketů

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

Analyzátor paketů, také známý jako síťový analyzátor, analyzátor protokolu nebo paketový sniffer, je počítačový program nebo kus počítačového hardwaru, pomocí kterého je možné zachytávat a zaznamenávat komunikaci v počítačové síti nebo v její části. V okamžiku, kdy datové proudy tečou přes síť, tak analyzátor paketů zachycuje každý paket. Ten je poté v případě potřeby dekódován na surová data paketu, která ukazují hodnoty různých polí v paketu. Dále pak je analyzován jeho obsah podle na příslušné RFC nebo jiných specifikací.

Zachycení paketů je proces zachycování a protokolování provozu v síti.

Schopnosti[editovat | editovat zdroj]

Na kabelové síti LAN, v závislosti na struktuře sítě (hub nebo switch), může být pomocí analyzátoru paketů zachycen provoz celé sítě anebo jen komunikace z jediného stroje v síti. Pro účely monitorování sítě může být žádoucí sledovat všechny datové pakety v síti LAN na switchi v síti s tzv. sledováním portu (monitoring port). Cílem sledování portu je zrcadlit všechny pakety procházející přes všechny porty přepínače, kdy systémy (počítače) jsou připojeny k portu přepínače.

V bezdrátových sítích, je možné zachytit provoz na určitém kanálu, nebo na několika kanálech při použití více adaptérů.

U komunikace v kabelových i bezdrátových sítích je k zachycení jednosměrného (unicast) provozu třeba posílat data ke stroji na kterém běží analyzátor paketů. U vícesměrného (multicast) provozu posílá stroj do zkoumané skupiny informaci, že poslouchá provoz v ní. Síťový adaptér používaný k zachycení provozu musí být uveden do promiskuitního režimu, což ne všechny čipy podporují. V bezdrátových sítí, a to i v případě, že adaptér je v promiskuitním režimu, jsou pakety pro které není adaptér nakonfigurován obvykle ignorovány. Chcete-li tyto pakety vidět musí být adaptér v režimu monitoru.

Provoz může být buď zachycován jako celý obsah paketů a nebo mohou být zaznamenány jen záhlaví paketů bez jejich zbylého obsahu. Druhá z obou metod snižuje požadavky na úložiště jakož i riziko právních problémů, ale přesto takto zachycené data mají dostatek informací k odhalení základních informací potřebných pro diagnostiku problému sítě.

Zachycené informace se dekódují ze syrové digitální podoby do pro uživatele čitelného formátu, který umožňuje uživatelům analyzátoru protokolu snadno zkontrolovat vyměňované informace. Analyzátory protokolů se liší v jejich schopnostech zobrazení dat ve více pohledech, v automatické detekci chyb, v určování příčiny chyb, ve vytváření časových diagramů, v rekonstrukci TCP a UDP datových toků atd.

Některé analyzátory protokolu mohou také generovat provoz a tak působit jako referenční zařízení, čímž mohou působit jako protokol tester. Tyto testery generují správné protokoly provozu pro funkční testování a též mohou mít schopnost záměrně vytvářet chyby k testování schopnosti vypořádání se prvků s chybovými stavy.

Analyzátory protokolů mohou být na hardware bázi. To buď ve formě sondy nebo, což je stále častější, v kombinaci s diskovým polem. Tyto přístroje zaznamenávají pakety do diskového pole. To umožňuje historickou forenzní analýzu paketů, aniž by bylo nutné uživateli znovu vytvářet chybu.

Užití[editovat | editovat zdroj]

Všestrannost Analyzátoru paketů znamená, že mohou být použity pro:

  • Analýzu problémů v síti
  • Odhalování pokusů o vniknutí do sítě
  • Detekce síťového zneužití interními a externími uživateli
  • Dokumentace dodržování předpisů pomocí protokolování všech obvodových a koncových bodů provozů
  • Získání informací pro provedení síťového narušení
  • Izolace využívaných systémů
  • Monitor WAN využití šířky pásma
  • Monitor využití sítě ( včetně interních a externích uživatelů a systémů )
  • Monitor dat v pohybu
  • Monitor WAN a stav zabezpečení koncových bodů
  • Shromažďování a vykazování statistik sítě
  • Filtrování podezřelého obsahu ze síťového provozu
  • Využití jako primární zdroj dat pro každodenní monitorování a správu sítě
  • Špehování ostatních uživatelů sítě a shromažďování citlivých informací, například přihlašovacích údajů uživatelů ( v závislosti na případných šifrovacích metodách obsahu)
  • Debug klient / server komunikaci
  • Implementace protokolu ladění sítě
  • Zjištění pohybů a změn
  • Zkontrolujte, zda vnitřní účinnost
  • Kontrola systému (firewally, řízení přístupu, webový filtr, filtr nevyžádané pošty, proxy server)

Významné paketové analyzátory[editovat | editovat zdroj]