Траблшутинг за 5 минут: “Удаленная IP-камера”

Опубликовано 05.05.202028.06.2022 От Vladimir Gerasimov

Некоторое время назад получили IP-камеру от одного из наших партнеров с комментарием – “а можете посмотреть, что с камерой – что-то не то”. Уже с самого начала по настолько подробному описанию мы поняли, что будет непросто. Ну да ладно, посмотрим.

Запросили IP-адрес камеры, но получили в ответ – “я не знаю”. Да, часто бывает и так. К счастью, производитель разработал механизм поиска камеры в броадкаст-сегменте, такая функциональность встроена в их VMS (video management system). Построено на протоколе MDNS – при помощи отправки мультикаст запросов и ответов.

Читать далее →

PMTUD: а был ли он? Ответы на вопросы.

Опубликовано 16.02.201813.05.2020 От Vladimir Gerasimov

Некоторое время назад я публиковал статью PMTUD: а был ли он? Кейс из практики. Возможно, вы помните несколько вопросов в конце статьи, которые я задавал для тренировки. Итак, я готов дать свои ответы.

Сразу хочу сказать, что это мое мнение, у вас могут быть свои варианты, которые я с удовольствием выслушаю (кстати, с английской версией статьи так и случилось, и один из моих хорошо знакомых аналитиков Christian Reusch поправил меня по поводу одного из вопросов. Спасибо!)

Итак, в путь. Сразу оговорюсь, что статья не самого начального уровня, потому, если вы видите, что остались непонятные моменты, задавайте вопросы в комментариях, будем обсуждать.

Общий вопрос 1. Почему первое, что я сделал – это захватил второй дамп на стороне сервера (накопителя)?

Ответ: было две причины.

Первая: я хотел проверить, доходят ли мои как клиента пакеты до NAS неизменными. Много разных устройств на пути теоретически могут манипулировать полями пролетающих пакетов (например, менять поле MSS на лету). Такой фактор влияния необходимо было сразу исключить.

На рисунке отображена не вся сеть из задачи, только основной смысл.

Читать далее “PMTUD: а был ли он? Ответы на вопросы.” →

Руководство по захвату сетевого трафика. Часть 3 – Сетевые карты (Перевод)

Опубликовано 20.08.201728.06.2022 От Vladimir Gerasimov

Во время моих выступлений и после них на конференциях я получаю много вопросов от слушателей. И один из самых частых ответов, который приходит в голову – «когда как…» На первый взгляд, это может показаться разочаровывающим, но суровая правда в том, что, когда речь заходит о захвате и анализе сетевого трафика, нужно учитывать очень много факторов. И поэтому, когда мы обсуждаем, а подходит ли обычная сетевая карта (например, встроенная в ноутбук или материнскую плату настольного ПК) для захвата трафика, ответ на это (как вы уже, наверное, догадались) – «когда как…»

Захват сетевого трафика – это одна из тех дисциплин, в которых «легко освоить базу, тяжело достичь высот» (“easy to learn, hard to master”). Достаточно легко захватить трафик на ПК, используя встроенную сетевую карту, но получить результат, который вы хотели, может стать задачей потяжелее или вообще обернуться настоящим испытанием. Давайте посмотрим, на что нужно обратить внимание при захвате Ethernet-трафика (WiFi будем рассматривать позже):

Права пользователя в системе
Фильтр MAC-адреса получателя и неразборчивый режим (“Promiscuous Mode”)
Пассивность
Возможности и функции сетевой карты
Тип трафика и эффективность захвата

Читать далее “Руководство по захвату сетевого трафика. Часть 3 – Сетевые карты (Перевод)” →

Руководство по захвату сетевого трафика. Часть 2 – Скорость, дуплекс и дропы (Перевод)

Опубликовано 31.07.201728.12.2020 От Vladimir Gerasimov

В первой части серии мы прошлись взглядом по типичным схемам сетей Ethernet и различным ситуациям при захвате трафика. Поэтому в текущей статье (и во всех последующих!) я буду считать, что вы ознакомились с предыдущими частями. Сегодня давайте обсудим, в каком случае скорость интерфейса и режим дуплекса становятся очень важны, и что такое эти «дропы».

Скорость и дуплекс

Есть 2 режима дуплекса, которые можно встретить при работе с сетью Ethernet:

Полудуплекс, также известный как «HDX», «Half Duplex». Он означает, что только один передатчик может отправлять данные в определенный момент времени, иначе возникнут проблемы (они же «коллизии»).
Полный дуплекс («Full duplex», «FDX»). В этом режиме возможна двусторонняя коммуникация, то есть и передача, и прием возможны одновременно.

Ну так и что же случится, если одна сторона работает в режиме FDX, а вторая всего лишь в HDX? Ничего хорошего. Узел, который использует FDX, будет думать, что он спокойно может передавать данные когда только пожелает, не понимая, что это вызовет коллизию, если вдруг случится так, что HDX-сосед как раз в этот момент отправляет что-то свое. Называется такая ситуация «duplex mismatch». Что в результате? Скорость передачи упадет до совсем печального уровня (уточним: это считанные килобайты в секунду вместо мегабайтов в секунду на линке в 100 Мбит/с).

Читать больше…

Руководство по захвату сетевого трафика. Часть 1 – Основы Ethernet (Перевод)

Опубликовано 26.07.201728.06.2022 От Vladimir Gerasimov

Это – первая статья из серии статей-переводов автора Jasper Bongertz о сетевом анализе. Постепенно мы перейдем от базовых знаний к более глубоким, рассмотрим методы, тонкости и многие другие интересные моменты. Итак…

Собственно захват сетевого трафика – это первый шаг при любом анализе трафика на предмет как производительности, так и безопасности. Не так много специалистов полностью осознают, насколько критичен этот шаг и на какие неожиданные грабли (вплоть до безнадежно испорченного дампа) можно наступить, если не подойти к данному процессу с полным осознанием. На SharkFest 2016 я говорил о том, насколько важен сам процесс захвата и подготовки к нему, и теперь я решил создать серию статей, описывающих оптимальный подход к захвату. Итак, начнем с начала – с самых основ по захвату трафика в проводной (wired) инфраструктуре.

Обо всем по порядку

Захват сетевого трафика может быть полезен для:

Исследования на предмет активности ПО (что именно софт делает в сети, какой трафик генерирует).
Траблшутинга проблем со связностью (не хочет подниматься TCP-соединение; или хочет, но потом внезапно обрывается).
Диагностики плохой производительности как интерактивных «болтливых» соединений, так и при передаче объемных данных.
Сетевой безопасности, восстановления порядка событий, которые произошли в сети.
Deep Packet Inspection, поиска известных индикаторов компрометации (Indicators of Compromise, IOCs).
Изучения потоков в сети и построения графиков (Metadata, NetFlow).
Реверс-инжиниринга сетевых протоколов.
Пересборки и извлечения файлов, “пролетающих” по сети.
Хищения паролей, учетных данных, токенов и т.д.

Ну, то есть, полезен для многих вещей. Главная мысль здесь следующая. Перед самим захватом задайте себе важный вопрос:

Всем привет!

Опубликовано 25.07.201727.07.2017 От Vladimir Gerasimov

Меня зовут Владимир, анализом сетевых протоколов занимаюсь примерно 5 лет (а может, уже и больше – время летит быстро). Сейчас имею статус WCNA и CCNA, по мере свободного времени осваиваю CCNP R&S.

Здесь на сайте хотелось бы поделиться случаями из практики, техниками и прочими интересными вещами, связанными с анализом сетевых протоколов, Wireshark’ом. Будут и переводные статьи (по мере получения разрешений от их авторов).

По любым вопросам стучите мне в Линкедин или на почту vlad [at] packettrain.net, ну или просто оставляйте ваши комментарии.

PacketTrain.NET

Анализ сетевого трафика

Рубрика: Общее