wp - grudzien 2016

Analiza ruchu sieciowego

Analiza ruchu sieciowego

Brief.pl / Wiedza

Monitorowanie danych przychodzących i wychodzących to zagadnienie budzące kontrowersje etyczne. Pozornie naruszająca swobodę i poszanowanie dla prywatności funkcjonalność może okazać się jednak użyteczna. Analiza informacji pomaga w wykryciu ataków, infekcji komputera, udowadnianiu przestępstw, jak i nadzorowaniu pracowników w celu zwiększenia efektywności pracy.

-
SPONSOROWANE

 

Przy monitorowaniu sieci brane pod uwagę są dwa aspekty analizy. Pierwsza z nich odbywa się pod kątem wydajności. W tym aspekcie ważnym jest określenie funkcjonowania sieci lokalnej, jak np. komunikacji i dostępu do Internetu. Możliwym jest badanie usług w konkretnych segmentach, czy choćby analiza ich przepustowości. W drugim przypadku monitorowanie dotyczy dostępu i bezpieczeństwa. Mowa tutaj o powiązaniu komponentów z konkretnymi usługami, w tym serwerami i łączem internetowym. Określanie ruchu w sieci, będące analizą treści, skierowane w stronę computer forensic jest jednak zgoła innym zagadnieniem. Jak wygląda ono w praktyce?

 

Monitorowanie ruchu polega na podłączeniu się do urządzenia TAP, które klonuje sygnał sieciowy adresowany do klienta, bądź sam węzeł kabla internetowego. Użytkownik nie jest w stanie zauważyć różnicy podczas codziennego korzystania z komputera. Jeśli mamy do czynienia np. z laptopem, urządzenie zewnętrzne nie jest nam potrzebne. Pracując w systemie Linux możemy uruchomić kartę Wi-Fi w trybie monitorowania (Windows nie posiada takiej funkcji, niezbędna w tym przypadku jest modyfikacja sterowników) – zaznaczają specjaliści informatyki śledczej z MiP Data Recovery.

 

Dla przykładu, National Security Agency analizuje ruch sieciowy sieci Internet, monitorując miliony użytkowników w czasie rzeczywistym. Informacje przechodzą przez serwery, które wyodrębniają treści na podstawie filtrów, jakimi są np. słowa kluczowe. Chcąc dotrzeć do konkretnego użytkownika, należy dostać się do podsieci, do której należy. Pierwszym krokiem, jest jednak identyfikacja operatora.

 

Polskie służby policyjne zaopatrzone były do niedawna w system Moniuszko, izraelski program mający początkowo spełniać rolę narzędzia monitorującego ruch sieciowy. W rezultacie stał się on systemem podsłuchowym ograniczającym się jedynie do rozmów telefonicznych. W tym momencie jednostki sięgają po rodzimy program Harnaś.

 

Funkcje programów monitorujących można sprowadzić do zapisu ruchu sieciowego, monitorowania aktywności na portach switch i stanu usług systemu, analizy przepływających pakietów, obsługiwania wiadomości syslog, czy pułapek SNMP. Kontrolują one sieć IP poprzez badanie pakietów przepływających informacji, zarówno tych wychodzących, jak i przychodzących. Przechowują i eksportują pliki i certyfikaty pojawiające się w sieci, dzięki czemu mają możliwość wygenerowania różnego rodzaju dokumentów.

 

Firmy wykupujące tego typu programy, konfigurują system w taki sposób, aby po skopiowaniu danych, bądź wejściu na wyznaczone strony, administrator sieci otrzymywał alert. Zapobiegają tym samym przechwytywaniu niekodowanych treści. MiP Data Recovery zauważa, że dwa wiodące portale informacyjne w Polsce (Wirtualna Polska i Onet) swojego czasu nie szyfrowały wiadomości e-mail. Przejęcie tych treści nie stanowiło problemu. Zapobiec temu można było wyłącznie dzięki wybraniu konkretnych opcji w ustawieniach. Co ciekawe, nadal szyfrowane jest jedynie hasło. Login ma charakter otwarty.

 

Znanym i powszechnie używanym reprezentantem programu monitorującego jest Wireshark. Jest on narzędziem mniej zautomatyzowanym niż rozwiązania komercyjne. Dekodowanie informacji pojawiających się w panelu wymaga wiedzy i profesjonalizmu. Nie oznacza to, że nie jest pomocny. W sieci roi się od poradników z zakresu jego obsługi.

 

Przykładowe funkcje programu:

1. Filtr "http" zebranych pakietów.

 

2. Filtr pakietu po porcie 80 protokołu tcp (działającym w trybie klient-serwer) 

 

3. Dostępne sieci wlan. Czynność poprzedzającą monitorowanie. Niezbędna do wykrycia słabych zabezpieczeń. Uwidacznia m.in. parametr BSSID.

 

4. Moment zapisu ruchu sieci (Monster) 

 

5. Przykład filtrowania ruchu na podstawie przechwyconych zdjęć. 

 


 

 

 

© lculig - Zobacz portfolio

 

Zobacz inne polecane artykuły

Nie tylko Allegro i H&M. Zobaczcie nasz subiektywny wybór najlepszych reklam na święta 2016

Brief.pl / Inspiracje

Nie tylko Allegro i H&M. Zobaczcie nasz subiektywny wybór najlepszych reklam na święta 2016
Nie tylko Allegro i H&M. Zobaczcie nasz subiektywny wybór najlepszych reklam na święta 2016

Wzruszają, bawią i wprowadzają nas w świąteczną atmosferę. Marki, przygotowując swoje przedświąteczne kampanie, prześcigają się w pomysłach na oryginalne, ale utrzymane w grudniowym klimacie kampanie. Postanowiliśmy sprawdzić, które z nich w tym roku najlepiej poradziły sobie z tym zadaniem.

Wielcy nieznani: Martin Cooper, twórca telefonu komórkowego

Magazyn / Ludzie

Wielcy nieznani: Martin Cooper, twórca telefonu komórkowego
Wielcy nieznani: Martin Cooper, twórca telefonu komórkowego

Zgodnie z najnowszym raportem „Mobile Economy 2015”, stworzonym przez organizację GSMA, pod koniec 2014 r. ponad 3,6 mld ludzi na świecie miało wykupioną minimum jedną subskrypcję mobilną. To oznacza, że więcej niż połowa populacji ziemskiej właściwie w każdej chwili, niezależnie od miejsca, w którym się znajduje, i bez żadnego wysiłku może skontaktować się z drugą osobą. Wykonując telefon czy wysyłając wiadomość tekstową za pomocą urządzenia mobilnego, rzadko kiedy zastanawiamy się jednak nad tym, kto sprawił, że czynności te są dziś nie tylko możliwe, ale również tak powszechne, że tracą na swojej wyjątkowości. Martin Cooper, wynalazca telefonu komórkowego, jest dla wielu kolejnym „wielkim nieznanym”.