Képzeljük el a következő szituációt: az egyik alkalmazás a hálózaton a megszokottnál lényegesen lassabban fut. Megvizsgáltunk minden lehetőséget, mégsem találjuk a probléma forrását. Mindezek után eszünkbe jut, hogy lehetőségünk van megvizsgálni az adott alkalmazás által forgalmazott adatokat, mégpedig azáltal, hogy hozzáférünk a hálózati csomagokhoz.
Mi az a hálózati csomag?
A hálózati csomagok az adat átlátható egységei, melyekkel információt küldhetünk az interneten és a hálózaton keresztül. Ezek a csomagok két szekcióra bonthatók: fejlécre (header), azaz kontrol információra, valamint payloadra, azaz felhasználói adatra.
A fejléc a payloadban található adat szállításával kapcsolatos információkat tartalmaz, mint például az Ethernet II szegmens, ahol a DMAC és az SMAC címek vannak meghatározva, vagy hogy van-e VLAN, vagy nincs.
Vagy például az IPv4 vagy IPv6 protokollok, ahol a forrás és a cél IP-címek vannak definiálva.
Ezek már az OSI modell 2-3. rétegeinek adatai.
A payload az az adat, ami a tényleges információt tartalmazza, például végfelhasználói videók, a telefon hangja, képek és egyéb információk – például egy weboldal, amelyet éppen olvasunk. Ez a 4. rétegű adat tartalmazhat felhasználói adatprotokollokat (UDP).
A szolgáltatástól függően, legyen az TV, számítógép vagy mobileszköz, több millió csomag kerül forgalmazásra, melyeknek szigorú sorrendben kell megérkezniük.
Sorrenden kívüli csomagok fogadása, illetve az eldobott csomagok hálózati késést jelentenek.
Azonban adatot küldeni a hálózaton keresztül olyan, mint feladni egy csomagot a postán.
Bizonyos szabályokat be kell tartani ahhoz, hogy a csomagunkat kézbesítsék.
Tekinthetünk rájuk úgy, mint import/export szabályokra, csak éppen az internetre vetítve.
Ezeket a szabályokat úgy ismerhetjük, mint Transmission Control Protocol/Internet Protocol (TCP/IP), mely négy rétegből áll:
1. Application protocol: az első TCP/IP réteg. Ez határozza meg és egységesíti, hogyan kerül továbbküldésre az adat a hálózaton.
2. Transmission Control Protocol (TCP): ahol az adatcsomagot porthoz és szekvencia számhoz rendelik, annak érdekében, hogy az a megfelelő alkalmazáshoz érkezzen a megfelelő sorrendben.
3. Internet Protocol (IP): forrás és cél IP-címeket rendel hozzá az adatcsomagokhoz. Meghatározza a legjobb útvonalat is, amelyen keresztül az adatok a hálózaton keresztül közlekedhetnek, hogy hatékonyan érhessék el a célállomást.
4. Hardware: az az eszköz, amely minden információt megkap és az adatcsomagokat a megfelelő sorrendben újra összeállítja.
Mi a Packet Analyzer?
A packet analyzerek hálózati megfigyelő eszközök, melyek figyelik a hálózat kimenő és bejövő adatforgalmát.
Elemzik a hálózati problémákat, amelyek szűk keresztmetszetekhez, hálózati leállásokhoz és más általános teljesítménycsökkenéshez vezethetnek.
Ezek végső soron befolyásolják a végfelhasználói élményt és a vállalatok termelékenységét.
A szállítmányozási analógiát folytatva, tekinthetünk úgy a packet analyzerre, mint kapuőrre és biztonsági szkennerre az adatátviteli folyamatban.
Ezek az eszközök a háttérben dolgoznak, hogy minden zökkenőmentesen működjön a hálózaton.
A packet sniffer-ek mindent elárulnak, a hálózati forgalom megfelelő irányításának biztosításától kezdve, egészen addig, hogy az alkalmazottak ne használják a vállalat internet idejét nem megfelelő weboldalak böngészésére.
A packet analyzer-ek is segítenek felderíteni a potenciális hálózati behatolást, a szokásos használattól eltérő hálózati hozzáférési minták keresésével.
A packet capture (PCAP) néven ismert folyamat során az elemzők elkapják az adatcsomagokat, amikor azok a hálózaton mozognak. Ezeknek az adatoknak a másolatát fájlként elmentik a felügyeleti eszközön.
Lehetőség van elemezni ezen csomagok másolatait, hogy észleljük a kiugró használatot, a gyanús adatátviteleket, és a következetlen hálózati teljesítményt.
Milyen előnyökkel jár a packet sniffing?
Amellett, hogy teljes láthatóságot biztosít a hálózaton, rengeteg más hasznot is eredményezhet a packet sniffing.
Keressük meg a különféle problémák kiváltó okát a hálózat biztonságának érdekében!
Amikor hozzáférésünk van az adatcsomagokhoz, akár a hálózati problémák gyökeréig is leáshatunk.
Akárcsak egy jó fenyegetésvadász (threat hunter), megismerhetjük a tipikus hálózatforgalmi mintákat, és a meglévő tudással felismerhetjük a nem odaillő mintázatokat.
Miután megismerjük a normális hálózati teljesítményünket, a packet analyzerrel lehetőségünk van a hálózati sérülékenységek megismerésére is. Ha tudjuk, mit érdemes javítani, lehetőségünk van megerősíteni a hálózatot az esetleges problémák vagy támadások megelőzésének érdekében.
A hálózati sebesség jobb megértése
A PCAP analízissel felvértezve megtudhatjuk, átlagosan mennyi idő szükséges egy csomag hálózaton való átvitelére. Ezekkel a számokkal még gyorsabban és könnyebben fel tudjuk ismerni a hálózat lassulását okozó tényezőket. Amint megismerjük a hiba forrását, megtudjuk, melyik alkalmazás az okozója, és közbeavatkozhatunk.
Azonosítsuk a nem megfelelő hálózati kihasználtságot!
A packet analyzer segítségével kategorizálhatjuk a hálózati forgalmat. Ezzel az adattal képesek lehetünk elkülöníteni a hálózati forgalom nem üzleti célú felhasználását, mint például a közösségi oldalak böngészése, melyek csökkenthetik a hálózat teljesítményét.
Hogyan férnek hozzá a Packet Snifferek a csomagokhoz?
Kétféle metódus révén van lehetőség hozzáférni a csomagban lévő adatokhoz. Az egyik a hálózati TAP (Test Access Points) és port tükrözés, valamint a switch port analizálás (SPAN).
Hálózati TAPek