Verhindern, dass Hacks mit Netzwerkanalysatoren
EIN Netzwerkanalysator
ist ein Werkzeug, das Hacks Sie schauen in ein Netzwerk und verhindern, dass durch die Analyse von Daten gehen über den Draht für Netzwerk-Optimierung, Sicherheit und / oder die Fehlersuche ermöglicht. Ein Netzwerk-Analysator ist praktisch für schnüffeln Pakete auf dem Draht. Es funktioniert durch die Netzwerkkarte Platzierung in Promiscuous Mode, die es ermöglicht, die Karte zu sehen, den gesamten Datenverkehr im Netzwerk.Der Netzwerkanalysator führt die folgenden Funktionen:
Erfasst den gesamten Netzwerkverkehr
Interpretiert oder decodiert, was in ein lesbares Format zu finden ist
Zeigt den Inhalt in chronologischer Reihenfolge
Wenn die Sicherheit der Beurteilung und die Reaktion auf Sicherheitsvorfälle kann ein Netzwerk-Analysator Ihnen helfen
Sehen Sie anomalen Netzwerkverkehr und sogar verfolgen einen Eindringling.
Entwickeln Sie eine Basislinie der Netzwerkaktivität und Leistung, wie Protokolle im Einsatz, Nutzungstrends und MAC-Adressen, bevor ein Sicherheitsvorfall auftritt.
Wenn Ihr Netzwerk unberechenbar verhält, kann ein Netzwerk-Analysator Ihnen helfen
Verfolgen und bösartige Netzwerknutzung zu isolieren
Erkennen bösartiger Trojaner-Anwendungen
Überwachen und aufzuspüren DoS-Attacken
Netzwerkanalysator Programme
Sie können zur Netzwerkanalyse eine der folgenden Programme verwenden:
Wildpackets OmniPeekEr tut alles, was Sie brauchen, und mehr und ist sehr einfach zu bedienen. OmniPeek ist für Windows-Betriebssysteme zur Verfügung.
TamoSoft des CommView ist ein Low-Cost-Windows-basierte Alternative.
Kain Abel ARP-Poisoning zur Durchführung multifunktionalen Wiederherstellungskennwort-Tool ist eine kostenlose, Capturing-Pakete, das Knacken von Kennwörtern und vieles mehr.
wireshark, früher als Ethereal bekannt ist, ist eine kostenlose Alternative. Es ist nicht so benutzerfreundlich wie die meisten kommerziellen Produkte, aber es ist sehr mächtig, wenn Sie bereit sind, ihre Ins und Outs zu lernen. Wireshark ist verfügbar für Windows und OS X.
ettercap ist ein weiteres leistungsstarkes Dienstprogramm für die Netzwerkanalyse und vieles mehr auf Windows, Linux und andere Betriebssysteme ausführen.
Hier sind ein paar Einschränkungen für ein Netzwerk-Analyzer:
Um den gesamten Datenverkehr zu erfassen, müssen Sie den Analysator an eine der folgenden Verbindung:
Eine Nabe im Netzwerk
Ein Monitor / span / Mirror-Port auf einem Switch
Ein Schalter, der eine ARP-Poisoning-Attacke durchgeführt haben auf
Wenn Sie den Verkehr auf ähnliche sehen wollen, was eine netzwerkbasierte IPS sieht, sollten Sie den Netzwerk-Analysator mit einem Hub anschließen oder Monitor-Port an der Außenseite der Firewall wechseln. Auf diese Weise Ihre Tests können Sie anzeigen,
Was ist in Ihr Netzwerk einzudringen Vor die Firewall-Filter eliminieren die Junk-Verkehr.
Was ist Ihr Netzwerk verlassen nach der Verkehr läuft durch die Firewall.
Es kann eine überwältigende Menge an Informationen, aber Sie können zunächst für diese Probleme aussehen:
Odd Verkehr, sowie:
Eine ungewöhnliche Menge von ICMP-Paketen
Übermäßige Mengen von Multicast oder Broadcast-Verkehr
Protokolle, die nicht durch die Politik erlaubt sind oder nicht existieren sollten Ihre aktuelle Netzwerkkonfiguration gegeben
Internet Nutzungsgewohnheiten, die dazu beitragen, bösartiges Verhalten eines Schurken Insider oder System kann darauf hinweisen, dass manipuliert wurde, wie zum Beispiel:
Surfen im Web und Social Media
Instant-Messaging und andere P2P-Software
Fragwürdige Nutzung, sowie:
Viele verlorene oder übergroße Pakete, was anzeigt, Hacking-Tools oder Malware vorhanden sind
Hohe Bandbreitenverbrauch, die zu einer Web- oder FTP-Server verweisen könnte, die nicht gehört
Reconnaissance Sonden und System Profilierung von Port-Scanner und Vulnerability Assessment Tools, wie zum Beispiel eine erhebliche Menge an eingehenden Datenverkehr von unbekannten Hosts - vor allem über die Ports, die sehr viel, wie FTP oder Telnet nicht verwendet werden.
Hacking im Gange, wie Tonnen von eingehenden UDP oder ICMP-Echo-Requests, SYN-Floods oder übermäßige Sendungen.
Nonstandard Host-Namen in Ihrem Netzwerk. Zum Beispiel, wenn Ihre Systeme genannt Computer1, Computer2, und so weiter, ein Computer mit dem Namen GEEKz4evUR sollte eine rote Fahne heben.
versteckte Server das könnte Netzwerk-Bandbreite zu essen, illegale Software dient, oder unser Netzwerk-Hosts zugreifen.
Angriffe auf spezifische Anwendungen die zeigen, solche Befehle wie / Bin / rm, / Bin / ls, Echo, und cmd.exe sowie SQL-Abfragen und javascript-Injektion.
Wenn Ihr Netzwerkanalysator es erlaubt, so konfigurieren, dass eine First-in zu verwenden, first-out-Puffer.
Wenn Ihr Netzwerk-Analysator es erlaubt, notieren Sie den gesamten Datenverkehr in eine Capture-Datei und auf der Festplatte zu speichern. Dies ist das ideale Szenario - vor allem, wenn Sie eine große Festplatte, wie 500 GB oder mehr haben.
Wenn Netzwerkverkehr in einem Netzwerk-Analysator nicht richtig angezeigt werden, ist es wahrscheinlich nicht. Es ist besser, sicher zu sein als traurig.
Sie können prüfen, das ist Top Talker auf dem Netzwerk. Wenn jemand etwas bösartiges auf dem Netzwerk zu tun, wie ein FTP-Server-Hosting oder Internet File-Sharing-Software ausgeführt wird, unter Verwendung eines Netzwerkanalysators ist oft der einzige Weg, um es finden heraus. Ein Netzwerk-Analysator ist auch ein gutes Werkzeug für Systeme mit Malware infiziert, wie ein Virus oder Trojaner-Erkennung.
Ein Blick auf Ihre Netzwerk-Statistiken, wie Bytes pro Sekunde, Netzauslastung und Inbound / Outbound-Paket zählt, ist auch eine gute Möglichkeit, um zu bestimmen, ob etwas faul vor sich geht.
TamoSoft - der Hersteller von CommView - hat ein anderes Produkt mit dem Namen NetResident dass die Verwendung von verfolgen bekannten Protokolle wie HTTP, E-Mail, FTP und VoIP. Sie können NetResident verwenden, um Web-Sessions zu überwachen und sie wiedergeben.
NetResident hat auch die Fähigkeit ARP-Poisoning auszuführen, die NetResident alles auf dem lokalen Netzwerksegment zu sehen erlaubt.
Netzwerkanalysator Erkennung
Sie können eine netz- oder hostbasierte Dienstprogramm verwenden, um festzustellen, ob jemand einen nicht autorisierten Netzwerk-Analysator in Ihrem Netzwerk ausgeführt wird:
sniffdet für UNIX-basierte Systeme
PromiscDetect für Windows
Bestimmte IPSs kann auch erkennen, ob ein Netzwerk-Analysator in Ihrem Netzwerk ausgeführt wird. Diese Tools ermöglichen es Ihnen, das Netzwerk für Ethernet-Karten zu überwachen, die in den Promiscuous-Modus ausgeführt werden. Sie laden einfach die Programme auf Ihrem Computer und die Programme, die Sie warnen, wenn sie promiskuitiv Verhalten im Netz (sniffdet) oder lokale System (PromiscDetect) zu sehen.