SIP – протокол, ориентированный на транзакции: взаимодействие между элементами сети происходит путем периодического обмена сообщениями. Транзакция состоит из запроса и любого количества ответов на него. Имеет клиентскую сторону и серверную сторону, соответственно, они носят название клиентской транзакции и серверной транзакции.

Клиентская транзакция занимается отправкой запросов, а серверная транзакция – отправкой ответов.

Для организации взаимодействия с существующими приложениями IP-сетей и для обеспечения мобильности пользователей протокол SIP использует адрес, подобный адресу электронной почты. В качестве адресов рабочих станций используются универсальные идентификаторы ресурсов – так называемые SIP URI.

SIP-адреса бывают четырех типов:

    ­имя@домен­ имя@хост­ имя@IР-адрес­ номер_телефона@шлюз

Таким образом, адрес состоит из двух частей. Первая часть – это имя пользователя, зарегистрированного в домене или на рабочей станции. Во второй части адреса указывается имя домена, рабочей станции или шлюза. Если вторая часть адреса идентифицирует какой-либо шлюз, то в первой указывается телефонный номер абонента. В начале SIP-адреса ставится слово «sip:», указывающее, что используется схема адресации SIP, так как бывают и другие схемы адресации.

2. ОПИСАНИЕ СЕТЕВЫХ АНАЛИЗАТОРОВ


2.1 Понятие «сниффер»


Сниффер – он же сетевой анализатор, является очень хорошим помощником для сетевого администратора, предоставляя возможность увидеть все то, что на самом деле передается через компьютерную сеть. Что облегчает диагностику различных проблем или даже изучение принципов работы протоколов и связанных с ними технологий.

НЕ нашли? Не то? Что вы ищете?

Информация, которую несут кадры Ethernet на компьютер, перехватывается сниффером с последующей записью на диск, что в дальнейшем позволит проанализировать на предмет информационной безопасности, измерить трафик, который осуществляет передачу без участия пользователя, скорость и т. п.

При обмене сообщениями компьютеры используют обычно в роли среды обмена информации один кабель с выходом в сеть. И во избежание коллизий, компьютер постоянно «прослушивает» канал связи. Точнее это делает сетевая карта NIC (NetworkInterfaceCard), которая считываязаголовок IP-пакета, сверяет адрес назначения и подсчитывает контрольную суммудля корректного приема. Если сетевой адрес принадлежит ей, то пакет обрабатывается дальше. В случае если при подсчете контрольной суммы будет обнаружен дефект или адреса назначения не будут совпадать, то пакет отбрасывается.

Таким образом, компьютер должен находиться всегда в состоянии активной «прослушки» сетевого трафика, обеспечивая тем самым бесперебойный обмен данными в сети. Но если сетевую карту перевести в режим promiscuousmode, а одним из вариантов его активации является установка сниффера, то адаптер будет считывать весь трафик. Что в свою очередь требует создания дополнительных алгоритмов доступа к сети с реализацией приема и анализа трафика, адресованного одному компьютеру и без доступа к «чужим» сообщениям.

Рассмотрим на примере концентратора (хаба). Принимая трафик данных от одного узла сети, хаботправляет пакеты на все собственные порты (см. Рисунок 12). Тем самым подвергая конфиденциальность данных риску прочтения их третьими лицами. Если бы те в свою очередь установили пакетный сниффер на одном из узлов сети.

Рисунок 12 – Использование концентратора в системе обмена данными между компьютерами

Со временем концентраторы стализаменяться на коммутаторы (switch), которые знают адреса устройств к нему подсоединенных и передают данные нужному порту. Тем самым разгружая другие порты (см. Рисунок 13).

Рисунок13 – Использование коммутатора в системе обмена данными
между компьютерами

Если к сети с коммутатором через один из портов, будет подключен компьютер с установленным сетевым анализатором, то захваченные пакеты  будут нести информацию лишь ту, которой обменивается данный компьютер с узлом сети.

И для того, чтобы перехватить пакеты, которые заинтересуют злоумышленника, необходимо установить анализатор на самом сервере.

2.2 Основной принцип функционирования анализатора


Существуют следующие функции анализаторов протоколов:

    Функции мониторинга; Функции декодирования и анализа сообщений тестируемого протокола, захваченных из сети; Функции генерации большого потока вызовов; Функции симуляции оборудования, поддерживающего тестируемый протокол; Возможность создания тестовых сценариев; Возможность создания ошибочных ситуаций.

В сети, к которой подключена станция (компьютер, терминал), передается большой объем информации как служебной (до и после обработки которой, процессор не выведет результат на активную рабочую область устройства), так и пользовательской (например: изображение, текст, видео). И для комфортной работы с данными и уменьшения загрузки системы, существует два режима захвата трафика (см. Таблицу № 4).

Таблица 4 – Режимы захвата трафика

Термин

Пояснение

Селективный

С фильтрацией (реализуя алгоритм выборки захвата протоколов)

Неселективный

Без фильтрации (перехватывает весь трафик сети)

Сам же анализатор располагаясь на станции хоста, использует неразборчивый режим прослушивания, т. е. драйвер сетевого адаптера начинает перехватывать весь трафик с канала. Так как каждая ОС ведет обработку трафика по-своему, существует общая библиотека Libpcap (для Linux) и WinPcap (для Windows), чтобы предоставить общую ссылку для программистов. Далее перехваченный трафик передается декодеру пакетов анализатора, который распознает и разделяет пакеты по соответствующим уровням иерархии. ПО анализатора изучает пакеты и отображает информацию о них на экране хоста в окне отслеживания пакетов. В зависимости от того какими функциями обладает продукт, представленная информация впоследствии может дополнительно анализироваться и отфильтровываться.

Стандартно в окне отслеживания пакетов отображается минимум полей, туда входит: дата, время (когда пакеты были перехвачены – в миллисекундах), IP-адреса исходные и целевые, адреса портов исходные и целевые, тип протокола (сетевой, транспортный или прикладной) и небольшая общая информация о перехваченных пакетах. В средней области показаны расшифровки полей пакета, выбранных пользователем (в данном случае поля протокола RTP, в соответствии с Рисунком 12). И в нижней области пакет представлен в шестнадцатеричном виде или в символьной форме — ASCII.

Основной задачей анализатора является – анализ декодированных пакетов, организуя перехваченные пакеты по уровням и протоколам. Анализатор же помощнее может распознать протокол по его более характерному уровню (верхнему) и отобразить результат перехвата данных.[6]

Рисунок 14 – Демонстративный пример окна отслеживания данных анализатора Wireshark, с фильтрацией протокола RTP

2.3 Обзор сетевых анализаторов


Рассмотрим несколько бесплатных сетевых анализаторов, которые ориентированы на использование с платформами Windows.

Существует две категории анализаторов: с поддержкой запуска с помощью командной строки и располагающие графическим интерфейсом. Но есть и такие, которые объединяют в себе две эти категории.

Также, снифферы отличаются друг от друга тем, что каждый из них поддерживает определенные протоколы; глубиной анализа перехваченных пакетов; возможностями по настройке фильтров и возможностью совместимости с другими программами.

2.3.1 Анализатор WinPcap

Сетевой анализатор WinPcap – это инструмент, работающий в среде ОС Windows, позволяющий приложениям захватывать и передавать сетевые пакеты в обход стека протоколов. Имеет такие дополнительные функции, как фильтрацию пакетов на уровне ядра, движок статистики сети и поддержку удаленного захвата пакетов. WinPcap предоставляет возможность программному обеспечению сетевого мониторинга захватывать пакеты, путешествующие по сети, и (в более новых версиях) для передачи пакетов в сети. WinPcap также поддерживает сохранение захваченных пакетов в файл и чтение этих файлов.

WinPcap состоит из драйвера, который расширяет операционную систему, обеспечивая ей поддержку низкоуровнего доступа к сети, и библиотеки, которая непосредственно используется для низкоуровнего доступа.

Благодаря своему набору функций, WinPcap является движком для захвата и фильтрации пакетов, на котором основываются многие коммерческие, а также бесплатные сетевые инструменты, включая анализаторы протоколов (например, WireShark), сетевые мониторы, системы обнаружения сетевого вторжения, генераторы трафика и утилиты тестирования сети. Инструмент содержит в себе всю необходимую документацию, а также различные руководства.

Рисунок 15 – Обработка данных сети анализатором WinPcap

2.3.2 SmartSniff

Программа SmartSniff - это утилита, предназначенная для перехвата и просмотра TCP/IP-пакетов, передаваемых через сетевые адаптеры между клиентскими и серверными машинами. Вы можете просматривать TCP/IP обмен в режиме ASCII (для текстовых протоколов, типа HTTP, SMTP, POP3 и FTP) или HEX (для протоколов типа DNS). SmartSniff предоставляет три метода захвата пакетов: RawSocket (только для Windows 2000/XP и выше без установки специального драйвера); WinPcapCaptureDriver работает на всех операционных системах; MicrosoftNetworkMonitorDriver (только для Windows 2000/XP/2003).

Рисунок 16 – Главное окно программы-анализатора SmartSniff

2.3.3 Wi-FiGuard

Это сетевой сканер, позволяющий мониторить домашнюю сеть Wi-Fi и находить нелегально подключившихся злоумышленников. Эта небольшая, но крайне необходимая утилита для любого пользователя Wi-Fi сети, при условии, что он желает сохранить ее в безопасности.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7