ИССЛЕДОВАНИЕ ВОЗМОЖНОСТИ КОНТРОЛЯ ТРАФИКА В СЕТЯХ

 

Тлеубаева Ж.С., Богуспаев А.

 

Лабораторная установка «Глобальные компьютерные сети» представляет собой коммутационный шкаф с установленным на нем оборудованием:

-                  управляемый коммутатор HP V1910-24G - 1 шт;

-                  управляемый коммутатор D-Link DGS-1100 - 2 шт

-                  маршрутизатор D-Link DIR-140 - 3 шт

-                  коммутатор типа DGS-1008 - 3 шт;

-                  коммутационная патч-панель;

и ПЭВМ в количестве 4 шт. в комплекте с монитором и устройствами ввода информации (клавиатура и манипулятор «мышь»), с установленными операционными системами семейства Linux.

 

Исследование возможности контроля трафика в сетях можно проводить на анализаторах сетевого трафика (снифферах).

Слово sniffer (дословно с английского это можно перевести как «нюхач» или «вынюхиватель») в самом общем смысле суть некое прослушивающее устройство, внедренное в сеть для перехвата передаваемых по ней данных. Так оно и есть, сниффер - это программа, которая перехватывает сетевые пакеты. Так вот, сниффер, установленный на промежуточном компьютере, через который будут проходить пакеты - способен захватывать их, пока они еще не достигли цели.

По «месторасположению» (если уместно применение данного термина) сниффер может работать:

-                     на маршрутизаторе (шлюзе) - можно перехватывать трафик, проходящий через интерфейсы этого шлюза. Например, из локальной сети в другую сеть и в обратную сторону. Соответственно, если установить сниффер на маршрутизаторе провайдера Интернет, можно отслеживать трафик его пользователей;

-                     на оконечном узле сети - применительно к Ethernetбудем иметь два основных возможных варианта прослушки. Классический, некоммутируемый Ethernetпредполагает, что каждый сетевой интерфейс в принципе «слышит» весть траффик своего сегмента. Однако в нормальном режиме работы сетевой карты, прочитав первые 48 бит заголовка фрейма, станция сравнивает свой МАС-адрес с адресом получателя, указанном в фрейме. Если адрес чужой, станция перестает читать чужой фрейм. Таким образом, в нормальном режиме можно перехватывать и анализировать только свой траффик. Для перехвата пакетов всех станций сегмента требуется перевести вашу сетевую карту в режим под названием promiscuousmode, чтобы она продолжала читать не предназначенные ей пакеты. Практически все реализации снифферов позволяют переход карты в promiscuousmode.

Использование коммутируемого Ethernet создает ситуацию, когда даже переход карты в promiscuousmode делает прослушивание не предназначенного вашей станции трафика практически невозможным. Однако существует технология организации такого прослушивания путем так называемого ARP-спуфинга. Суть в следующем: коммутатор создает так называемый «broadcastDomain», и хост с установленным сниффером с помощью подделки ARP-сообщений может притвориться, например, пограничным маршрутизатором (рассылая постоянно ARP-сообщения, где сетевому адресу маршрутизатора соответствует MAC-адрес прослушивающей станции).

При выборе сниффера выбирается либо то, что точно соответствует задачам (разовое мероприятие, либо постоянное выполнение одной и той же операции) либо максимально «навороченное» решение, в случае, (для системного администратора).

Традиционно идея сниффинга используется в двух видах: легальное и нелегальное применение. Что характерно, слово «сниффер» чаще применяется в нелегальной сфере, а «сетевой анализатор» - в легальной:

-                    Troubleshooting(обнаружение проблем и узких мест сети).

-                    Обучение. После прочтения документации на неизвестный или плохо понятный протокол, возможно смоделировать взаимодействие, перехватить пакеты и проанализировать их.

-                    Протоколирование сетевого трафика. Важная причина для протоколирования трафика - обнаружение попыток несанкционированного доступа и других зловредностей - например, DoS-атак.

 

Практическая часть.

1.     Соберите сеть в соответствие с приведенной ниже топологией (рисунок1)

 

E:\..\..\Users\836D~1\AppData\Local\Temp\FineReader11.00\media\image7.jpeg

Рисунок 1 Топология сети

1          Произведите первоначальные настройки управляемого коммутатора Switch1 в соответствие с рекомендациями, указанными в брошюре «Примеры настройки оборудования и программного обеспечения стенда».

2           На РМ 1 запустите приложение WareSharpe.

3           На РМ 1 запустите службу FTP.

4           В настройках коммутатора установите порт, к которому подключено РМ1 в режим «зеркалирования» трафика с порта, к которому подключено РМ

2.        (см. брошюру «Примеры настройки оборудования и программного обеспечения стенда»).

5           На всех РМ установите взаимодействие в сети (скачивание файлов по FTP, команда ping).В приложении WaveSharpe пронаблюдайте движение пакетов по сети.

6           Добавьте в пул зеркалирования остальные порты, к которым подключено сетевое оборудование. Пронаблюдайте движение пакетов по сети.

7           Сделайте необходимые выводы.

8           Возвратите в исходное состояние измененные настройки.

 

 

Выполнение работы и практические результаты:

После сборки схемы произвели первоначальные настройки управляемого коммутатора Switch1. На РМ 1 запустили приложение WareSharpe и службу FTP.

 В настройках коммутатора установили порт, к которому подключено РМ1 в режим «зеркалирования» трафика. В приложении WaveSharpe наблюдали движение пакетов по сети.

  Возвратите в исходное состояние измененные настройки.