Руководство по захвату сетевого трафика. Часть 2 – Скорость, дуплекс и дропы (Перевод)

В первой части серии мы прошлись взглядом по типичным схемам сетей Ethernet и различным ситуациям при захвате трафика. Поэтому в текущей статье (и во всех последующих!) я буду считать, что вы ознакомились с предыдущими частями. Сегодня давайте обсудим, в каком случае скорость интерфейса и режим дуплекса становятся очень важны, и что такое эти «дропы».

 

Скорость и дуплекс

Есть 2 режима дуплекса, которые можно встретить при работе с сетью Ethernet:

  1. Полудуплекс, также известный как «HDX», «Half Duplex». Он означает, что только один передатчик может отправлять данные в определенный момент времени, иначе возникнут проблемы (они же «коллизии»).
  2. Полный дуплекс («Full duplex», «FDX»). В этом режиме возможна двусторонняя коммуникация, то есть и передача, и прием возможны одновременно.

Ну так и что же случится, если одна сторона работает в режиме FDX, а вторая всего лишь в HDX? Ничего хорошего. Узел, который использует FDX, будет думать, что он спокойно может передавать данные когда только пожелает, не понимая, что это вызовет коллизию, если вдруг случится так, что HDX-сосед как раз в этот момент отправляет что-то свое. Называется такая ситуация «duplex mismatch». Что в результате? Скорость передачи упадет до совсем печального уровня (уточним: это считанные килобайты в секунду вместо мегабайтов в секунду на линке в 100 Мбит/с).

Читать больше…

Руководство по захвату сетевого трафика. Часть 1 – Основы Ethernet (Перевод)

Это – первая статья из серии статей-переводов автора Jasper Bongertz о сетевом анализе. Постепенно мы перейдем от базовых знаний к более глубоким, рассмотрим методы, тонкости и многие другие интересные моменты. Итак…

 

Собственно захват сетевого трафика – это первый шаг при любом анализе трафика на предмет как производительности, так и безопасности. Не так много специалистов полностью осознают, насколько критичен этот шаг и на какие неожиданные грабли (вплоть до безнадежно испорченного дампа) можно наступить, если не подойти к данному процессу с полным осознанием. На SharkFest 2016 я говорил о том, насколько важен сам процесс захвата и подготовки к нему, и теперь я решил создать серию статей, описывающих оптимальный  подход к захвату. Итак, начнем с начала – с самых основ по захвату трафика в проводной (wired) инфраструктуре.

Обо всем по порядку

Захват сетевого трафика может быть полезен для:

  • Исследования на предмет активности ПО (что именно софт делает в сети, какой трафик генерирует).
  • Траблшутинга проблем со связностью (не хочет подниматься TCP-соединение; или хочет, но потом внезапно обрывается).
  • Диагностики плохой производительности как интерактивных «болтливых» соединений, так и при передаче объемных данных.
  • Сетевой безопасности, восстановления порядка событий, которые произошли в сети.
  • Deep Packet Inspection, поиска известных индикаторов компрометации (Indicators of Compromise, IOCs).
  • Изучения потоков в сети и построения графиков (Metadata, NetFlow).
  • Реверс-инжиниринга сетевых протоколов.
  • Пересборки и извлечения файлов, “пролетающих” по сети.
  • Хищения паролей, учетных данных, токенов и т.д.

Ну, то есть, полезен для многих вещей. Главная мысль здесь следующая. Перед самим захватом задайте себе важный вопрос:

Читать дальше…

Всем привет!

 

 

Меня зовут Владимир, анализом сетевых протоколов занимаюсь примерно 5 лет (а может, уже и больше – время летит быстро). Сейчас имею статус WCNA и CCNA, по мере свободного времени осваиваю CCNP R&S.

Здесь на сайте хотелось бы поделиться случаями из практики, техниками и прочими интересными вещами, связанными с анализом сетевых протоколов, Wireshark’ом. Будут и переводные статьи (по мере получения разрешений от их авторов).

По любым вопросам стучите мне в Линкедин или на почту       vlad [at] packettrain.net, ну или просто оставляйте ваши комментарии.