Руководство по захвату сетевого трафика. Часть 1 – Основы Ethernet (Перевод)

Это – первая статья из серии статей-переводов автора Jasper Bongertz о сетевом анализе. Постепенно мы перейдем от базовых знаний к более глубоким, рассмотрим методы, тонкости и многие другие интересные моменты. Итак…

 

Собственно захват сетевого трафика – это первый шаг при любом анализе трафика на предмет как производительности, так и безопасности. Не так много специалистов полностью осознают, насколько критичен этот шаг и на какие неожиданные грабли (вплоть до безнадежно испорченного дампа) можно наступить, если не подойти к данному процессу с полным осознанием. На SharkFest 2016 я говорил о том, насколько важен сам процесс захвата и подготовки к нему, и теперь я решил создать серию статей, описывающих оптимальный  подход к захвату. Итак, начнем с начала – с самых основ по захвату трафика в проводной (wired) инфраструктуре.

Обо всем по порядку

Захват сетевого трафика может быть полезен для:

  • Исследования на предмет активности ПО (что именно софт делает в сети, какой трафик генерирует).
  • Траблшутинга проблем со связностью (не хочет подниматься TCP-соединение; или хочет, но потом внезапно обрывается).
  • Диагностики плохой производительности как интерактивных «болтливых» соединений, так и при передаче объемных данных.
  • Сетевой безопасности, восстановления порядка событий, которые произошли в сети.
  • Deep Packet Inspection, поиска известных индикаторов компрометации (Indicators of Compromise, IOCs).
  • Изучения потоков в сети и построения графиков (Metadata, NetFlow).
  • Реверс-инжиниринга сетевых протоколов.
  • Пересборки и извлечения файлов, “пролетающих” по сети.
  • Хищения паролей, учетных данных, токенов и т.д.

Ну, то есть, полезен для многих вещей. Главная мысль здесь следующая. Перед самим захватом задайте себе важный вопрос:

Читать дальше…

Всем привет!

 

 

Меня зовут Владимир, анализом сетевых протоколов занимаюсь примерно 5 лет (а может, уже и больше – время летит быстро). Сейчас имею статус WCNA и CCNA, по мере свободного времени осваиваю CCNP R&S.

Здесь на сайте хотелось бы поделиться случаями из практики, техниками и прочими интересными вещами, связанными с анализом сетевых протоколов, Wireshark’ом. Будут и переводные статьи (по мере получения разрешений от их авторов).

По любым вопросам стучите мне в Линкедин или на почту       vlad [at] packettrain.net, ну или просто оставляйте ваши комментарии.