Paketanalysator
En paketanalysator (även känt som nätverksanalysator, protokollanalysator eller sniffare, eller för specifika typer av nätverk, såsom en ethernetsniffare eller trådlössniffare)[1][2][3][4][5][6][7][8] är ett datorprogram eller en maskinvara som avlyssnar och loggar trafik som passerar över digitala nätverk eller delar av ett nätverk.[9] Paketfångning är processen för att fånga upp och logga trafik. När dataströmmar flödar genom nätverket, infångar sniffaren varje paket och, om det behövs, avkodar paketets rådata, samt visar värdena i olika fält från paketet, och analyserar dess innehåll enligt passande, RFC eller annan specifikation.
En paketanalysator som används för att avlyssna trafik på trådlösa nätverk är känd som en trådlös analysator - de som utformats specifikt för Wi-Fi- nätverk är Wi-Fi-analysatorer. Termen Wi-Fi-analysator används också för att beskriva instrumenten/mjukvaran för trådlösa platsundersökningar. Även om en paketanalysator också kan betraktas som en nätverksanalysator eller protokollanalysator kan dessa termer också ha andra betydelser. Protokollanalysator kan tekniskt sett vara en bredare, mer allmän klass som omfattar paketanalysatorer/sniffers.[10] Termerna används dock ofta omväxlande.[11]
Kapaciteter
[redigera | redigera wikitext]På trådbundna delade-medium-nätverk som Ethernet, Token Ring och FDDI, beroende på nätverksstrukturen (hubb eller switch), [12] kan det vara möjligt att fånga all trafik på nätverket från en enda maskin. Vissa metoder undviker att trafiken begränsas av switchar för att få tillgång till trafik från andra system i nätverket (till exempel ARP-spoofing). I moderna nätverk kan trafik fångas upp med en nätverksswitch som använder portspegling, som speglar alla paket som passerar genom angivna portar på switchen till en annan port, om switchen stöder portspegling. En nätverkskran är en ännu mer pålitlig lösning än att använda en övervakningsport eftersom kranar är mindre benägna att tappa paket under hög trafikbelastning.
På trådlöst LAN kan trafik fångas på en kanal i taget, eller genom att använda flera adaptrar, på flera kanaler samtidigt.
På trådbundna sändningar och trådlösa LAN, för att fånga unicast-trafik mellan andra maskiner, måste nätverksadaptern som fångar trafiken vara i promiskuöst läge. På trådlösa LAN, även om adaptern är i promiskuöst läge, ignoreras vanligtvis paket som inte är för tjänsten som adaptern är konfigurerad för. För att se dessa paket måste adaptern vara i monitorläge. Inga särskilda bestämmelser krävs för att fånga multicast-trafik till en multicast-grupp som paketanalysatorn redan övervakar, eller sänder trafik.
När trafik fångas registreras antingen hela innehållet i paketen eller bara rubrikerna. Att bara spela in rubriker minskar lagringskraven och undviker vissa juridiska frågor om integritet, men ger ofta tillräcklig information för att diagnostisera problem.
Infångad information avkodas från rå digital form till ett läsbart format som tillåter ingenjörer att granska utbytt information. Protokollanalysatorer varierar i deras förmåga att visa och analysera data.
Vissa protokollanalysatorer kan också generera trafik. Dessa kan fungera som protokolltestare. Sådana testare genererar protokollkorrekt trafik för funktionstestning och kan även ha förmågan att medvetet införa fel för att testa enhetens förmåga att hantera fel.[13][14]
Protokollanalysatorer kan också vara hårdvarubaserade, antingen i sondformat eller, vilket blir allt vanligare, kombinerat med en diskarray. Dessa enheter registrerar paket eller pakethuvuden till en diskarray.
Användning
[redigera | redigera wikitext]Paketanalysatorer kan:
- Analysera nätverksproblem
- Upptäcka försök till nätverksintrång
- Upptäcka nätverksmissbruk av interna och externa användare
- Dokumentera regelefterlevnad genom att logga all perimeter- och slutpunktstrafik
- Få information för att utföra ett nätverksintrång
- Identifiera datainsamling och delning av programvara som operativsystem (för att stärka integritet, kontroll och säkerhet)
- Hjälp till att samla information för att isolera utnyttjade system
- Övervaka WAN-bandbreddsanvändningen
- Övervaka nätverksanvändning (såväl interna som externa användare och system)
- Övervaka data under överföring
- Övervaka WAN- och slutpunktssäkerhetsstatus
- Samla in och rapportera nätverksstatistik
- Identifiera misstänkt innehåll i nätverkstrafik
- Felsöka prestandaproblem genom att övervaka nätverksdata från en applikation
- Fungera som den primära datakällan för daglig nätverksövervakning och hantering
- Spionera på andra nätverksanvändare och samla in känslig information som inloggningsuppgifter eller användarcookies (beroende på eventuella innehållskrypteringsmetoder som kan användas)
- Reverse engineering proprietära protokoll som används över nätverket
- Felsöka klient/serverkommunikation
- Felsöka implementeringar av nätverksprotokoll
- Verifiera tillägg, flyttningar och ändringar
- Verifiera det interna kontrollsystemets effektivitet (brandväggar, åtkomstkontroll, webbfilter, spamfilter, proxy)
Paketfångning kan användas för att uppfylla ett beslut från en brottsbekämpande myndighet att avlyssna all nätverkstrafik som genereras av en individ. Internetleverantörer och VoIP-leverantörer i USA måste följa bestämmelserna i Communications Assistance for Law Enforcement Act. Genom att använda paketfångning och lagring kan telekommunikationsoperatörer tillhandahålla den lagstadgade säkra och separata åtkomsten till riktad nätverkstrafik och kan använda samma enhet för interna säkerhetsändamål. Att samla in data från ett operatörssystem utan en garanti är olagligt på grund av lagar om avlyssning. Genom att använda end-to-end-kryptering kan kommunikation hållas konfidentiell från teleoperatörer och juridiska myndigheter.
Speciella paketanlysatorer
[redigera | redigera wikitext]- Allegro Network Multimeter
- Capsa Network Analyzer
- Charles Web Debugging Proxy
- Carnivore (software)
- CommView
- dSniff
- EndaceProbe Packet Capture Platform
- ettercap
- Fiddler
- Kismet
- Lanmeter
- Microsoft Network Monitor
- NarusInsight
- NetScout Systems nGenius Infinistream
- ngrep, Network Grep
- OmniPeek, Omnipliance by Savvius
- SkyGrabber
- The Sniffer
- snoop
- tcpdump
- Observer Analyzer
- Wireshark (formerly known as Ethereal)
- Xplico Open source Network Forensic Analysis Tool
Se även
[redigera | redigera wikitext]Referenser
[redigera | redigera wikitext]- Den här artikeln är helt eller delvis baserad på material från engelskspråkiga Wikipedia, Packet analyzer, 3 januari 2025.
Noter
[redigera | redigera wikitext]- ^ Chapple, Mike; Stewart, James Michael; Gibson, Darril (2018) (på engelska). (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide. John Wiley & Sons. ISBN 978-1-119-47587-3. https://books.google.com/books?id=psJVDwAAQBAJ&pg=PA647. Läst 23 mars 2023. ”A sniffer (also called a packet analyzer or protocol analyzer) is a software application that captures traffic traveling over the network.”
- ^ Rakibul, Hoque, Md; Edward, Bashaw, R. (2020). Cross-Border E-Commerce Marketing and Management. IGI Global. Sid. 186. ISBN 978-1-7998-5824-9. https://books.google.com/books?id=xrkIEAAAQBAJ&pg=PA186. Läst 23 mars 2023. ”Packet Sniffing: It is also known as packet analyzer, protocol analyzer”
- ^ Trost, Ryan (2009). Practical Intrusion Analysis: Prevention and Detection for the Twenty-First Century: Prevention and Detection for the Twenty-First Century. Pearson Education. ISBN 978-0-321-59188-3. https://books.google.com/books?id=3y2fhCaJJA0C&pg=PT59. Läst 23 mars 2023. ”A packet sniffer (also known as a packet analyzer, protocol analyzer, or networkanalyzer) monitors network traffic”
- ^ Cyber Law, Privacy, and Security: Concepts, Methodologies, Tools, and Applications. IGI Global. 2019. Sid. 58. ISBN 978-1-5225-8898-6. https://books.google.com/books?id=OpGbDwAAQBAJ&pg=PA58. Läst 23 mars 2023. ”Packet Sniffing: A packet analyzer, also called as a network analyzer, protocol analyzer or packet sniffer”
- ^ Asrodia, Pallavi; Patel, Hemlata (2012). ”Analysis of Various Packet Sniffing Tools for Network Monitoring and Analysis”. International Journal of Electrical, Electronics and Computer Engineering: sid. 55. ISSN 2277-2626. ”Packet Sniffing... also known as Network or Protocol Analyzer or Ethernet Sniffer”.
- ^ ”What is a Packet Sniffer?”. www.kaspersky.com. 2018. https://www.kaspersky.com/resource-center/definitions/what-is-a-packet-sniffer.
- ^ ”What is Network Packet Capture?”. www.endace.com. 2023. https://www.endace.com/learn/what-is-network-packet-capture.
- ^ ”Definition of network analyzer”. PCMAG. https://www.pcmag.com/encyclopedia/term/network-analyzer.
- ^ Kevin J. Connolly (2003). Law of Internet Security and Privacy. Aspen Publishers. sid. 131. ISBN 978-0735542730
- ^ Sikos, Leslie F. (2020). ”Packet analysis for network forensics: A comprehensive survey”. Forensic Science International: Digital Investigation 32: sid. 200892. doi:. ISSN 2666-2817. ”Those protocol analyzers that are designed for packet analysis are called packet analyzers (packet sniffers, sometimes network analyzers).”.
- ^ Poulton, Don (2012). MCTS 70-642 Cert Guide: Windows Server 2008 Network Infrastructure, Configuring. Pearson Education. ISBN 978-0-13-280216-1. https://books.google.com/books?id=VQuWAAAAQBAJ&pg=PT1267. Läst 23 mars 2023. ”protocol analyzer. Also known as a network analyzer or packet analyzer, a protocol analyzer is a hardware device or software program that enables you to capture, store, and analyze each packet that crosses your network”
- ^ ”Network Segment Definition”. www.linfo.org. http://www.linfo.org/network_segment.html.
- ^ ”Lab Protocol Analyzers”. www.amilabs.com. https://www.amilabs.com/labanalyzers.htm.
- ^ shivakumar (2020-12-18). ”Where is Protocol analyzer used?” (på amerikansk engelska). Prodigy Technovations. https://prodigytechno.com/where-protocol-analyzer-is-used/.
Externa länkar
[redigera | redigera wikitext]
Wikimedia Commons har media som rör Paketanalysator.
|