Софт-Портал

сетевой анализатор трафика

Рейтинг: 4.7/5.0 (391 проголосовавших)

Категория: Windows

Описание

10 лучших бесплатных анализаторов и коллекторов Netflow для Windows

10 лучших бесплатных анализаторов и коллекторов Netflow для Windows

Многие администраторы сетей часто сталкиваются с проблемами, разобраться с которыми поможет анализ сетевого трафика. И здесь мы сталкиваемся с таким понятием, как анализатор трафика. Так что же это такое?

Анализаторы и коллекторы NetFlow - это инструменты, которые помогают отслеживать и анализировать данные сетевого трафика. Анализаторы сетевых процессов позволяют точно определить устройства, из-за которых снижается пропускная способность канала. Они умеют находить проблемные места в вашей системе, и повышать общую эффективность сети.

Термин " NetFlow " относится к протоколу Cisco. предназначенному для сбора информации о трафике по IP и мониторинга сетевого трафика. NetFlow был принят в качестве стандартного протокола для потоковых технологий.

Программное обеспечение NetFlow собирает и анализирует данные потоков, генерируемых маршрутизаторами, и представляет их в удобном для пользователей формате.

Несколько других поставщиков сетевого оборудования имеют свои собственные протоколы для мониторинга и сбора данных. Например, Juniper. другой весьма уважаемый поставщик сетевых устройств, называет свой протокол " J-Flow ". HP и Fortinet используют термин " s-Flow ". Несмотря на то, что протоколы называются по-разному, все они работают аналогичным образом. В этой статье мы рассмотрим 10 бесплатных анализаторов сетевого трафика и коллекторов NetFlow для Windows .

SolarWinds Real-Time NetFlow Traffic Analyzer

Free NetFlow Traffic Analyzer является одним из наиболее популярных инструментов, доступных для бесплатного скачивания. Он дает возможность сортировать, помечать и отображать данные различными способами. Это позволяет удобно визуализировать и анализировать сетевой трафик. Инструмент отлично подходит для мониторинга сетевого трафика по типам и периодам времени. А также выполнение тестов для определения того, сколько трафика потребляют различные приложения.

Этот бесплатный инструмент ограничен одним интерфейсом мониторинга NetFlow и сохраняет только 60 минут данных. Данный Netflow анализатор является мощным инструментом, который стоит того, чтобы его применить.

Colasoft Capsa Free

Этот бесплатный анализатор трафика локальной сети позволяет идентифицировать и отслеживать более 300 сетевых протоколов, и позволяет создавать настраиваемые отчеты. Он включает в себя мониторинг электронной почты и диаграммы последовательности TCP-синхронизации. все это собрано в одной настраиваемой панели.

Другие функции включают в себя анализ безопасности сети. Например, отслеживание DoS/DDoS-атак. активности червей и обнаружение ARP-атак. А также декодирование пакетов и отображение информации, статистические данные о каждом хосте в сети, контроль обмена пакетами и реконструкция потока. Capsa Free поддерживает все 32-битные и 64-битные версии Windows XP .

Минимальные системные требования для установки: 2 Гб оперативной памяти и процессор 2,8 ГГц. У вас также должно быть соединение с интернет по сети Ethernet (совместимой с NDIS 3 или выше ), Fast Ethernet или Gigabit с драйвером со смешанным режимом. Он позволяет пассивно фиксировать все пакеты, передаваемые по Ethernet-кабелю .

Angry IP Scanner

Это анализатор трафика Windows с открытым исходным кодом, быстрый и простой в применении. Он не требует установки и может быть использован на Linux. Windows и Mac OSX. Данный инструмент работает через простое пингование каждого IP-адреса и может определять MAC-адреса. сканировать порты, предоставлять NetBIOS-информацию. определять авторизованного пользователя в системах Windows. обнаруживать веб-серверы и многое другое. Его возможности расширяются с помощью Java-плагинов. Данные сканирования могут быть сохранены в файлы форматов CSV, TXT, XML .

ManageEngine NetFlow Analyzer Professional

Полнофункциональная версия программного обеспечения NetFlow от ManageEngines. Это мощное программное обеспечение с полным набором функций для анализа и сбора данных: мониторинг пропускной способности канала в режиме реального времени и оповещения о достижении пороговых значений, что позволяет оперативно администрировать процессы. Кроме этого предусмотрен вывод сводных данных по использованию ресурсов, мониторинг приложений и протоколов и многое другое.

Бесплатная версия анализатора трафика Linux позволяет неограниченно использовать продукт на протяжении 30 дней, после чего можно производить мониторинг только двух интерфейсов. Системные требования для NetFlow Analyzer ManageEngine зависят от скорости потока. Рекомендуемые требования для минимальной скорости потока от 0 до 3000 потоков в секунду: двухъядерный процессор 2,4 ГГц, 2 Гб оперативной памяти и 250 Гб свободного пространства на жестком диске. По мере увеличения скорости потока, который нужно отслеживать, требования также возрастают.

Это приложение представляет собой популярный сетевой монитор, разработанный MikroTik. Он автоматически сканирует все устройства и воссоздает карту сети. The Dude контролирует серверы, работающие на различных устройствах, и предупреждает в случае возникновения проблем. Другие функции включают в себя автоматическое обнаружение и отображение новых устройств, возможность создавать собственные карты, доступ к инструментам для удаленного управления устройствами и многое другое. Он работает на Windows. Linux Wine и MacOS Darwine .

JDSU Network Analyzer Fast Ethernet

Эта программа анализатор трафика позволяет быстро собирать и просматривать данные по сети. Инструмент предоставляет возможность просматривать зарегистрированных пользователей, определять уровень использования пропускной способности сети отдельными устройствами, быстро находить и устранять ошибки. А также захватывать данные в режиме реального времени и анализировать их.

Приложение поддерживает создание графиков и таблиц с высокой детализацией, которые позволяют администраторам отслеживать аномалии трафика, фильтровать данные, чтобы просеивать большие объемы данных, и многое другое. Этот инструмент для специалистов начального уровня, а также для опытных администраторов, позволяет полностью взять сеть под контроль.

Этот анализатор сетевого трафика позволяет собрать и всесторонне проанализировать сетевой трафик, а также быстро найти и исправить ошибки. С помощью Scrutinizer можно отсортировать данные различными способами, в том числе по временным интервалам, хостам, приложениям, протоколам и т.д. Бесплатная версия позволяет контролировать неограниченное количество интерфейсов и хранить данные по 24 часам активности.

Wireshark - это мощный сетевой анализатор может работать на Linux. Windows. MacOS X. Solaris и других платформах. Wireshark позволяет просматривать захваченные данные с помощью графического интерфейса, или использовать утилиты TTY-mode TShark. Его функции включают в себя сбор и анализ трафика VoIP, отображение в режиме реального времени данных Ethernet. IEEE 802.11. Bluetooth. USB. Frame Relay. вывод данных в XML. PostScript. CSV. поддержку дешифрования и многое другое.

Системные требования: Windows XP и выше, любой современный 64/32-битный процессор, 400 Mb оперативной памяти и 300 Mb свободного дискового пространства. Wireshark NetFlow Analyzer - это мощный инструмент, который может существенно упростить работу любому администратору сети.

Этот анализатор трафика предоставляет пользователям множество полезных функций: поддержку мониторинга LAN. WAN. VPN. приложений, виртуального сервера, QoS и среды. Также поддерживается мониторинг нескольких сайтов. PRTG использует SNMP. WMI. NetFlow. SFlow. JFlow и анализ пакетов, а также мониторинг времени бесперебойной работы/простоя и поддержку IPv6 .

Бесплатная версия дает возможность использовать неограниченное количество датчиков в течение 30 дней, после чего можно бесплатно использовать только до 100 штук.

Это полнофункциональное приложение с открытым исходным кодом для отслеживания и анализа NetFlow .

nProbe поддерживает IPv4 и IPv6. Cisco NetFlow v9 / IPFIX. NetFlow-Lite. содержит функции анализа VoIP трафика, выборки потоков и пакетов, генерации логов, MySQL/Oracle и DNS-активности. а также многое другое. Приложение является бесплатным, если вы анализатор трафика скачиваете и компилируете на Linux или Windows. Исполняемый файл установки ограничивает объем захвата до 2000 пакетов. nProbe является полностью бесплатным для образовательных учреждений, а также некоммерческих и научных организаций. Данный инструмент будет работать на 64-битных версиях операционных систем Linux и Windows .

Этот список из 10 бесплатных анализаторов трафика и коллекторов NetFlow поможет вам приступить к мониторингу и устранению неисправностей в небольшой офисной сети или обширной, охватывающей несколько сайтов, корпоративной WAN-сети .

Каждое представленное в этой статье приложение дает возможность контролировать и анализировать трафик в сети, обнаруживать незначительные сбои, определять аномалии пропускного канала, которые могут свидетельствовать об угрозах безопасности. А также визуализировать информацию о сети, трафике и многое другое. Администраторы сетей обязательно должны иметь в своем арсенале подобные инструменты.

Перевод статьи « Top 10 Best Free Netflow Analyzers and Collectors for Windows » был подготовлен дружной командой проекта Сайтостроение от А до Я .

23 мая 2016 в 10:34

сетевой анализатор трафика:

  • скачать
  • скачать
  • Другие статьи, обзоры программ, новости

    Анализаторы сетевого трафика IRIS, ETHERSCAN ANALYZER, WIRESHARK (ETHEREAL)

    Анализаторы сетевого трафика.
    Анализатор сетевого трафика IRIS.


        Сайт программы - www.eeye.com
        Пожалуй, это самый удобный сниффер/анализатор сетевого трафика под Windows. Незаменим при изучении сетевых протоколов, работы сетевых приложений, разрешении различных проблем в сети и т.п.

    Основные возможности:
  •     Перехват сетевого трафика (Capture)
  •     Декодирование перехваченного трафика и реконструкция перехваченных сессий (Decode).
  •     Фиксирование попыток подключения к компьютеру (Guard).
  •     Ведение журналов перехваченных (Capture) и декодированных (Decode) сессий.
  •     Возможность создания различных фильтров для сессий перехвата (Filter). позволяющих осуществлять выборочный перехват по множеству критериев (MAC-адрес, тип протокола, номер порта, направление обмена, ключевые слова и т.п.).
  •     Отображение сетевой статистики по протоколам, хостам, размерам пакетов и т.п.
  •     Возможность использования встроенного планировщика для перехвата пакетов в выбранные интервалы времени.
  •     Имеется редактор пакетов, позволяющий просматривать их структуру и данные, изменять содержимое, создавать свои пакеты и выполнять их отправку как поодиночке, так и группами, однократно, циклически или заданное количество раз.
  •     Удобное отображение структуры пакета (заголовки MAC, IP, ICMP, TCP, UDP, данные отображаются в виде дерева с декодированными значениями)
  •     Возможность ведения внутренней адресной книги, позволяющей делать более удобным вид сессий за счет замены физических адресов и элементов соединений символическими именами.
  •     Возможность отображения декодированных сессий в виде пакетов, текста, или HTML, что позволяет в удобном виде просматривать сессии обмена клиента с сервером.
  •     Поддержка печати с предпросмотром, буфера обмена, возможность сохранения пакетов на диск, сохранение перехваченных сессий и их загрузка для последующего анализа.
  •     Удобный интерфейс. При огромных возможностях, IRIS - одна из самых простых и удобных в использовании программ - анализаторов.

        IRIS относится к классу программам-снифферов, позволяющих выполнять перехват "чужого" сетевого трафика. В обычном режиме работы сетевая плата (и ее программное обеспечение) принимают кадры, которые адресуются ее MAC- адресом или являются широковещательными (Broadcast) посылками, имеющими в поле MAC-адреса шестнадцатиричное значение FFFFFFFFFFFF. Снифферы же переводят ее в так называемый "неразборчивый режим" (Promiscuous mode), когда принимается все кадры, независимо от того, куда они адресованы. Таким образом, можно собирать и анализировать весь сетевой трафик на выбранном сетевом адаптере (или контроллере удаленного доступа). Если сеть построена с использованием (редко, но бывает) "хабов" (Hub), то компьютер с IRIS может перехватить весь трафик коллизионного сегмента сети. После инсталляции, IRIS готова к работе, но я рекомендую сделать некоторые настройки, выбрав "Tools -- Settings -- Miscellaneous" для увеличения размера буфера для перехвата пакетов (по умолчанию - 2000). Иногда этого маловато, и в некоторых случаях вызывает зависание системы (по крайней мере, на комбинации IRIS 2.0 в режиме непрерывного перехвата и Win2k с сетевым адаптером на базе RTL8139)

    Рис.1 Настройка размера буфера для перехваченных пакетов.
        После этого нужно выбрать сетевой адаптер (если их несколько), на котором будет осуществляться перехват "Tools -- Settings-- Adapters". Теперь при выборе "Capture -- Start". нажатии CTRL-A. или на кнопку старт/стоп перехвата (см. Рис.2) начнет выполняться перехват пакетов. Краткая информация о пакетах отображается в области "Перехваченные пакеты" в виде таблицы. Колонки в отображаемой области можно выбрать самому (правая кнопка мыши на заголовке таблицы). Если подсветить мышью какой-либо пакет, то слева в области структуры пакета можно просматривать его содержимое в виде дерева элементов. Нажатие кнопки "Toogle packet hexa editor" в группе кнопок управления отображением, открывает или закрывает окно шестнадцатеричного редактора данных пакета. Выбор элемента структуры пакета вызывает подсветку его шестнадцатеричного эквивалента красным цветом. Это удобно, если вам нужно посмотреть или изменить какой-либо элемент структуры пакета с помощью редактора. Учтите, что изменение данных пакета приводит к необходимости изменения контрольной суммы, вычисленной для данного поля. Когда выменяете данные в шестнадцатиричном редакторе, то в области просмотра структуры пакета напротив поля контрольной суммы появляется строка: "Incorrect. Should be 0xxxx". где xxxx - правильно вычисленная контрольная сумма. Вам остается только подсветить элемент контрольной суммы в структуре пакета и занести правильно вычисленное значение с помощью шестнадцатеричного редактора пакета.

    Рис.2 Основное окно программы.
        Для освоения IRIS могу порекомендовать решить следующую задачу - создать "Magic Packet" для дистанционного включения чужого компьютера в локальной сети. Попробуйте создать правильный пакет и отправьте его на выбранный выключенный компьютер. Если вы все сделаете верно, то компьютер должен включиться. Конечно, есть определенные условия, которые должны быть соблюдены. Некоторые подсказки можете найти в короткой статье "Технология Wake On Lan", ссылку на которую найдете на главной странице.


    Анализатор сетевого трафика ETHERSCAN ANALYZER.


        Сайт программы - http://www.etherscan.com/
        Анализатор сетевого трафика ETHERSCAN является почти полным близнецом IRIS, те же окна и кнопки, основные функции и возможности. Отсутствует (очевидно, пока) полноценный редактор пакетов и Packet sender (посылка пакетов ). Может быть, чуть более современный интерфейс:


    Анализатор сетевого трафика WIRESHARK (бывший ETHEREAL).


        Сайт программы Wireshark - www.wireshark.org
        В отличие от предыдущих продуктов, Wireshark является кросс-платформенным продуктом с открытым кодом и распространяется абсолютно бесплатно, как под Linux, так и под Windows. Кроме того, в отличие от рассмотренных ранее анализаторов трафика, Wireshark прекрасно работает и в среде Windows Vista / Windows 7. Позволяет перехватывать и декодировать трафик с использованием гибких правил фильтрации, в том числе не только на сетевых интерфейсах реальных карт, но и PPP/WAN - интерфейсах. В последних версиях в пакет входит консольная утилита (в том числе и для Windows) tshark.exe. очень похожая на классику из мира Unix/Linux - tcpdump. До 2007 года анализатор трафика WIRESHARK имел название ETHEREAL. Команда разработчиков, поддерживаемые платформы, основные возможности Wireshark остались прежними и после смены названия. В некоторой степени изменились параметры командной строки, частично - внешний вид графического интерфейса пользователя и дополнительно появился модуль для работы с беспроводными сетями (Wireless).

        Wireshark умеет импортировать данные из файлов сессий, созданных другими анализаторами, и может сохранять свои данные в различных форматах, доступных для импорта другими программами. Очень удобно использовать WIRESHARK для просмотра файлов, созданных линуксовым tcpdump-ом. Нужно только не забывать задать размер пакета, поскольку по умолчанию tcpdump записывает только первые 68 байт. Например:
    tcpdump -i -s 1500 -w
        К недостаткам можно отнести некоторую "тормознутость" и относительную сложность в использовании. Нет также возможности редактирования и посылки пакетов, как у IRIS.

        Параметры перехвата легко настраиваются через меню "Capture" - "Capture Options". где можно выбрать сетевой интерфейс, задать фильтр для перехвачиваемых пакетов, параметры сохранения перехваченных данных, условия прерывания сессии и некоторые опции отображения.

        Примеры синтаксиса фильтров можно посмотреть в "Capture" - "Capture filters"

    Утилиты командной строки tethereal и tshark практически ничем не различаются. Краткую справку по использованию и параметрам командной строки можно получить при задании ключа -h :

    Wireshark.exe -h
    tshark.exe -h

    В ответ вы получите:

    TShark 0.99.5 (SVN Rev 20677)
    Dump and analyze network traffic.
    See http://www.wireshark.org for more information.

    Copyright 1998-2007 Gerald Combs and contributors.
    This is free software; see the source for copying conditions. There is NO
    warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

    Usage: tshark [options].
    Capture interface:
    -i name or idx of interface (def: first non-loopback)
    -f packet filter in libpcap filter syntax
    -s packet snapshot length (def: 65535)
    -p don't capture in promiscuous mode
    -B size of kernel buffer (def: 1MB)
    -y
  • link layer type (def: first appropriate)
    -D print list of interfaces and exit
    -L print list of link-layer types of iface and exit

    Capture stop conditions:
    -c

    stop after n packets (def: infinite)
    -a . duration:NUM - stop after NUM seconds
    filesize:NUM - stop this file after NUM KB
    files:NUM - stop after NUM files
    Capture output:
    -b. duration:NUM - switch to next file after NUM secs
    filesize:NUM - switch to next file after NUM KB
    files:NUM - ringbuffer: replace after NUM files

    Input file:
    -r set the filename to read from (no pipes or stdin!)

    Processing:
    -R packet filter in Wireshark display filter syntax
    -n disable all name resolutions (def: all enabled)
    -N enable specific name resolution(s): "mntC"
    -d ==.
    "Decode As", see the man page for details
    Example: tcp.port==8888,http

    Output:
    -w set the output filename (or '-' for stdout)
    -F set the output file type, default is libpcap
    an empty "-F" option will list the file types
    -V add output of packet tree (Packet Details)
    -S display packets even when writing to a file
    -x add output of hex and ASCII dump (Packet Bytes)
    -T pdml|ps|psml|text output format of text output (def: text)
    -t ad|a|r|d|e output format of time stamps (def: r: rel. to first)
    -l flush output after each packet
    -q be more quiet on stdout (e.g. when using statistics)
    -X. eXtension options, see the man page for details
    -z various statistics, see the man page for details

    Miscellaneous:
    -h display this help and exit
    -v display version info and exit
    -o. override preference setting

        Строчные и заглавные буквы различаются. Количество опций впечатляет. Но, на самом деле все не так сложно. Основная опция - это сетевой интерфейс, с него все и начинается. Посмотрим список интерфейсов:

    tshark -D
    В ответ получим список:
    1. \Device\NPF_<6BD6EE74-B38D-460E-ADE0-BBDF3F8B98EC> (HP DeskDirect LAN Adapter.)
    2. \Device\NPF_ (Marvell Gigabit Ethernet Controller)
    3. \Device\NPF_<2745F7CF-8142-4E8E-9862-BBDA4C5A2254> (Realtek RTL8139/810x Family Fast Ethernet NIC )

    Здесь для примера - список из 3-х сетевых интерфейсов. В начале строки выдается номер интерфейса - именно он и используется с ключом -i. Для запуска анализатора на 3-м интерфейсе (Realtek RTL8139/810x Family Fast Ethernet NIC ) команда будет выглядеть так:
    tshark -i 3
    Перехват будет выполняться с опциями по умолчанию. Для выхода из программы нажимаем CTRL-C. Если номер интерфейса не указан, перехват будет выполняться на первом обнаруженном непетлевом интерфейсе.

    tshark -i 3 -f icmp - только ICMP-трафик.
    tshark -i 3 -f "not broadcast and not multicast" - Без broadcast и multicast.
    tshark -i 3 -f "port 80" - UDP и TCP трафик на порт 80.
    tshark -i 3 -f "tcp port 80" - Только HTTP-трафик.
    tshark.exe -i 3 -f "tcp port 110 or tcp port 25" - Только почтовый трафик.
    tshark -i 3 -f "tcp port 3389 and not host 80.22.52.11" -w D:\tshark.3389 - перехват RDP-подключений, исключая подключения с IP 80.22.52.11 с записью результатов в файл.
    tshark -i 3 -f "host yandex.ru" - перехват трафика по узлу "yandex.ru".
    tshark -i 3 -f "host 212.245.4.23" - Только трафик по IP 212.245.4.23.
    tshark -i 3 -f "not host 212.245.4.23" - Исключая трафик по IP.
    tshark -i 3 -f "not host 192.168.0.100 and not icmp"" - Исключая IP 192.168.0.100 и icmp-трафик.
    tshark -i 3 -f "host 212.345.4.23" -w C:\log.txt - Трафик по IP-адресу с записью в файл C:\log.txt.
    tshark -i 3 -f "host 212.345.4.23" -w C:\log.txt -S - Трафик по IP-адресу с записью в файл C:\log.txt и одновременной выдачей на экран.
    tshark -r C:\log.txt -w C:\visnet.txt -F visual - Преобразовать файл C:\log.txt в формат Wisual Network Traffic Capture.
    tshark -r C:\log.txt - Обработать ранее записанный файл C:\log.txt.
    tshark -r C:\log.txt -V | more - То же, что и в предыдущем примере, но с выдачей подробной информации и в постраничном режиме.
    tshark -r C:\log.txt -V > C:\output.txt - То же, что и в предыдущем примере, но с выдачей результатов в файл C:\output.txt.


        Файл с записанной сессией удобнее анализировать с использованием графической оболочки WIRESHARK, загрузив его через меню "File" -- "Open".


    Вы можете поделиться ссылкой на данный сайт в своей социальной сети, воспользовавшись кнопкой:


    Или порекомендовать сайт пользователям Google+ кнопкой

  • Сетевой анализатор трафика сниффер

    Сетевой анализатор трафика сниффер. Что такое сниффер: описание

    Многим пользователям компьютерных сетей, в общем-то, незнакомо такое понятие как «сниффер». Что такое сниффер, попытаемся и определить, говоря простым языком неподготовленного пользователя. Но для начала все равно придется углубиться в предопределение самого термина.

    Сниффер: что такое sniffer с точки зрения английского языка и компьютерной техники?

    На самом деле определить сущность такого программного или программно-аппаратного комплекса вовсе несложно, если просто перевести термин.

    Это название происходит от английского слова sniff (нюхать). Отсюда и значение русскоязычного термина «сниффер». Что такое sniffer в нашем понимании? «Нюхач», способный отслеживать использование сетевого трафика, а, проще говоря, шпион, который может вмешиваться в работу локальных или интернет-ориентированных сетей, извлекая нужную ему информацию на основе доступа через протоколы передачи данных TCP/IP.

    Анализатор трафика: как это работает?

    Оговоримся сразу: сниффер, будь он программным или условно-программным компонентом, способен анализировать и перехватывать трафик (передаваемые и принимаемые данные) исключительно через сетевые карты (Ethernet). Что получается?

    Сетевой интерфейс не всегда оказывается защищенным файрволлом (опять же – программным или «железным»), а потому перехват передаваемых или принимаемых данных становится всего лишь делом техники.

    Внутри сети информация передается по сегментам. Внутри одного сегмента предполагается рассылка пакетов данных абсолютно всем устройствам, подключенным к сети. Сегментарная информация переадресуется на маршрутизаторы (роутеры), а затем на коммутаторы (свитчи) и концентраторы (хабы). Отправка информации производится путем разбиения пакетов, так что конечный пользователь получает все части соединенного вместе пакета совершенно из разных маршрутов. Таким образом «прослушивание» всех потенциально возможных маршрутов от одного абонента к другому или взаимодействие интернет-ресурса с пользователем может дать не только доступ к незашифрованной информации, но и к некоторым секретным ключам, которые тоже могут пересылаться в таком процессе взаимодействия. И тут сетевой интерфейс оказывается совершенно незащищенным, ибо происходит вмешательство третьего лица.

    Благие намерения и злоумышленные цели?

    Снифферы можно использовать и во вред, и во благо. Не говоря о негативном влиянии, стоит отметить, что такие программно-аппаратные комплексы достаточно часто используются системными администраторами, которые пытаются отследить действия пользователей не только в сети, но и их поведение в интернете в плане посещаемых ресурсов, активированных загрузок на компьютеры или отправки с них.

    Методика, по которой работает сетевой анализатор, достаточно проста. Сниффер определяет исходящий и входящий траффик машины. При этом речь не идет о внутреннем или внешнем IP. Самым главным критерием является так называемый MAC-address, уникальный для любого устройства, подключенного к глобальной паутине. Именно по нему происходит идентификация каждой машины в сети.

    Виды снифферов

    Но и по видам их можно разделить на несколько основных:

    • аппаратные;
    • программные;
    • аппаратно-программные;
    • онлайн-апплеты.
    Поведенческое определение присутствия сниффера в сети

    Обнаружить тот же сниффер WiFi можно по нагрузке на сеть. Если видно, что передача данных или соединение находится не на том уровне, какой заявляется провайдером (или позволяет роутер), следует обратить на это внимание сразу.

    С другой стороны, провайдер тоже может запустить программный сниффер для отслеживания трафика без ведома пользователя. Но, как правило, юзер об этом даже не догадывается. Зато организация, предоставляющая услуги связи и подключения к Интернету, таким образом гарантирует пользователю полную безопасность в плане перехвата флуда, самоустанавливающихся клиентов разнородных пиринговых сетей, троянов, шпионов и т.д. Но такие средства являются скорее программными и особого влияния на сеть или пользовательские терминалы не оказывают.

    Онлайн-ресурсы

    А вот особо опасным может быть анализатор трафика онлайн-типа. На использовании снифферов построена примитивная система взлома компьютеров. Технология в ее самом простейшем варианте сводится к тому, что изначально взломщик регистрируется на определенном ресурсе, затем загружает на сайт картинку. После подтверждения загрузки выдается ссылка на онлайн-сниффер, которая пересылается потенциальной жертве, например, в виде электронного письма или того же SMS-сообщения с текстом вроде «Вам пришло поздравление от того-то. Чтобы открыть картинку (открытку), нажмите на ссылку».

    Наивные пользователи кликают по указанной гиперссылке, в результате чего активируется опознавание и передача внешнего IP-адреса злоумышленнику. При наличии соответствующего приложения он сможет не только просмотреть все данные, хранимые на компьютере, но и с легкостью поменять настройки системы извне, о чем локальный пользователь даже не догадается, приняв такое изменение за воздействие вируса. Да вот только сканер при проверке выдаст ноль угроз.

    Как защититься от перехвата данных?

    Будь то сниффер WiFi или любой другой анализатор, системы защиты от несанкционированного сканирования трафика все же есть. Условие одно: их нужно устанавливать только при условии полной уверенности в «прослушке».

    Такие программные средства чаще всего называют «антиснифферами». Но если задуматься, это те же самые снифферы, анализирующие трафик, но блокирующие другие программы, пытающиеся получить несанкционированный доступ.

    Отсюда законный вопрос: а стоит и устанавливать такое ПО? Быть может, его взлом со стороны хакеров нанесет еще больший вред, или оно само заблокирует то, что должно работать?

    В самом простом случае с Windows-системами в качестве защиты лучше использовать встроенный брэндмауэр (файрволл). Иногда могут наблюдаться конфликты с установленным антивирусом, но это чаще касается только бесплатных пакетов. Профессиональные покупные или ежемесячно активируемые версии таких недостатков лишены.

    Вместо послесловия

    Вот и все, что касается понятия «сниффер». Что такое sniffer, думается, уже многие сообразили. Напоследок вопрос остается в другом: насколько правильно такие вещи будет использовать рядовой пользователь? А то ведь среди юных юзеров иногда можно заметить склонность к компьютерному хулиганству. Они-то думают, что взломать чужой «комп» - это что-то вроде интересного соревнования или самоутверждения. К сожалению, никто из них даже не задумывается о последствиях, а ведь определить злоумышленника, использующего тот же онлайн-сниффер, очень просто по его внешнему IP, например, на сайте WhoIs. В качестве местоположения, правда, будет указана локация провайдера, тем не менее, страна и город определятся точно. Ну а потом дело за малым: либо звонок провайдеру с целью блокировки терминала, с которого производился несанкционированный доступ, либо подсудное дело. Выводы делайте сами.

    При установленной программе определения дислокации терминала, с которого идет попытка доступа, дело обстоит и того проще. Но вот последствия могут оказаться катастрофическими, ведь далеко не все юзеры используют те хе анонимайзеры или виртуальные прокси-серверы и даже не имеют понятия, как скрыть свой IP в Интернете. А стоило бы поучиться…

    Анализатор трафика - это

    Анализатор трафика это:

    Анализатор трафика. или сниффер (от англ.   to sniff — нюхать ) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.

    Сниффер может анализировать только то, что проходит через его сетевую карту. Внутри одного сегмента сети Ethernet все пакеты рассылаются всем машинам, из-за этого возможно перехватывать чужую информацию. Использование коммутаторов (switch, switch-hub) и их грамотная конфигурация уже является защитой от прослушивания. Между сегментами информация передаётся через коммутаторы. Коммутация пакетов — форма передачи, при которой данные, разбитые на отдельные пакеты, могут пересылаться из исходного пункта в пункт назначения разными маршрутами. Так что если кто-то в другом сегменте посылает внутри его какие-либо пакеты, то в ваш сегмент коммутатор эти данные не отправит.

    Перехват трафика может осуществляться:

    • обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей). в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);
    • подключением сниффера в разрыв канала;
    • ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер;
    • через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;
    • через атаку на канальном (2) (MAC-spoofing ) или сетевом (3) уровне (IP-spoofing ), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.

    В начале 1990-х широко применялся хакерами для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном или слабозашифрованном виде. Широкое распространение хабов позволяло захватывать трафик без больших усилий в больших сегментах сети практически без риска быть обнаруженным.

    Снифферы применяются как в благих, так и в деструктивных целях. Анализ прошедшего через сниффер трафика позволяет:

    • Обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи (снифферы здесь малоэффективны; как правило, для этих целей используют сбор разнообразной статистики серверами и активным сетевым оборудованием и её последующий анализ).
    • Выявить в сети вредоносное и несанкционированное ПО. например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие (это обычно делают при помощи специализированных снифферов — мониторов сетевой активности).
    • Перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации.
    • Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели снифферы часто применяются системными администраторами )

    Поскольку в «классическом» сниффере анализ трафика происходит вручную, с применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока), то он подходит для анализа лишь небольших его объёмов.

    Снизить угрозу сниффинга пакетов можно с помощью таких средств как:

    См. также Смотреть что такое "Анализатор трафика" в других словарях:

    Анализатор — (др. греч. ????????  analysis  разложение, расчленение) Анализатор в биологии  то же, что сенсорная система. Анализатор спектра  прибор для наблюдения и измерения относительного распределения энергии электрических… … Википедия

    сетевой анализатор — 3.27 сетевой анализатор (network analyzer): Устройство, используемое для перехвата и анализа сетевого трафика. Источник … Словарь-справочник терминов нормативно-технической документации

    сетевой анализатор — Диагностическое средство широкого назначения, позволяющее измерять основные характеристики сигналов, оценивать качество каналов связи (в виде процента ошибочных кадров и т.п.), осуществлять функции мониторинга сети и проводить статистический… … Справочник технического переводчика

    sniffer — анализатор трафика, применяемых злонамеренными хакерами для извлечения данных из атакуемых систем … Hacker's dictionary

    Sniffer — Снифер Анализатор трафика, или сниффер (от англ. to sniff нюхать) сетевой анализатор трафика, программа или программно аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика,… … Википедия

    Aircrack-ng — Airodump ng 0.5 Тип Анализатор трафика (сниффер), прове … Википедия

    — Эта страница была удалена. Для справки ниже показаны соответствующие записи из журналов удалений и переименований. 05:31, 9 июля 2009 Levg (обсуждение | вклад) удалил «Анализатор траффика» ? (П3: перенаправление с грубой ошибкой: <

    Nload — Тип анализатор трафика Разработчик Roland Riegel Написана на C++ ОС Кроссплатформенный Версия 0.7.2 28 июня 2008 года Лицензия … Википедия

    Iris (программа) — У этого термина существуют и другие значения, см. Ирис. Iris Тип Анализатор трафика Разработчик eEye Digital Security Операционная система … Википедия

    Книги
    • Анализатор трафика. Джесси Рассел. High Quality Content by WIKIPEDIA articles!Анализатор трафика, или сниффер (от англ. to sniff — нюхать) — сетевой анализатор трафика, программа или программно-аппаратное устройство,… Подробнее Купить за 1125 руб

    Анализатор трафика

    Анализатор трафика

    Анализатор трафика. или сниффер (от англ.   to sniff — нюхать ) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.

    Сниффер может анализировать только то, что проходит через его сетевую карту. Внутри одного сегмента сети Ethernet все пакеты рассылаются всем машинам, из-за этого возможно перехватывать чужую информацию. Использование коммутаторов (switch, switch-hub) и их грамотная конфигурация уже является защитой от прослушивания. Между сегментами информация передаётся через коммутаторы. Коммутация пакетов — форма передачи, при которой данные, разбитые на отдельные пакеты, могут пересылаться из исходного пункта в пункт назначения разными маршрутами. Так что если кто-то в другом сегменте посылает внутри него какие-либо пакеты, то в ваш сегмент коммутатор эти данные не отправит.

    Перехват трафика может осуществляться:

    • обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей). в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);
    • подключением сниффера в разрыв канала;
    • ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер (Network tap );
    • через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;
    • через атаку на канальном (2) (MAC-spoofing ) или сетевом (3) уровне (IP-spoofing ), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.

    В начале 1990-х широко применялся хакерами для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном или слабозашифрованном виде. Широкое распространение хабов позволяло захватывать трафик без больших усилий в больших сегментах сети практически без риска быть обнаруженным.

    Снифферы применяются как в благих, так и в деструктивных целях. Анализ прошедшего через сниффер трафика позволяет:

    • Обнаружить паразитный. вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи (снифферы здесь малоэффективны; как правило, для этих целей используют сбор разнообразной статистики серверами и активным сетевым оборудованием и её последующий анализ).
    • Выявить в сети вредоносное и несанкционированное ПО. например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие (это обычно делают при помощи специализированных снифферов — мониторов сетевой активности).
    • Перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации.
    • Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели снифферы часто применяются системными администраторами )

    Поскольку в «классическом» сниффере анализ трафика происходит вручную, с применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока), то он подходит для анализа лишь небольших его объёмов.

    Снизить угрозу сниффинга пакетов можно с помощью таких средств, как:

    См. также