Файл: Обзор методов и средств анализа сетевого трафика и поиска аномалий трафика..pdf

ВВЕДЕНИЕ

Сегодня компьютерные сети используются во всех сферах деятельности человека, и в особенности в бизнесе.

Компьютерные сети используются для обмена информации между филиалами компании.

Сегодня защита компьютерных сетей – вопрос, которому уделяется достаточно большое внимание. Так как все больше атак имеет место в компьютерных сетях.

Но, в то же время, злоумышленники пытаются различными способами исказить обрабатываемую в этих сетях информацию. Цели, преследуемые данными людьми различны (от банального доказательства собственного превосходства до хищения информации с целью получения выгоды). Злоумышленники осуществляют свои планы с помощью всевозможных вторжений в компьютерные сети. Поэтому понимание того, что есть вторжение в компьютерную сеть, что такое аномалии, вызываемые этими вторжениями, является на сегодняшний день актуальной задачей. Решение данной задачи позволяет нам не "разбирать" последствия вторжения, а "отсекать" его ещё на подходах к системе, что существенно экономит экономические, технологические и психологические затраты.

Целью курсовой работы является изучение методов и средств анализа сетевого трафика.

Для достижения данной цели необходимо решение следующих задач:

• Определить понятия трафик, мобильный интернет-трафик;
• Описать методы мониторинга основанные на маршрутизаторе;
• Описать технологии не основанные на маршрутизаторах;
• Раскрыть суть комбинированного мониторинга;
• Раскрыть суть аномалии сетевого трафика.

Предметом является информационная безопасность.

Работа состоит из введения, двух глав («Основные понятия и определения», «Обзор методов анализа и мониторинга сетевого трафика»), заключения и списка использованной литературы.

1 ГЛАВА. ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ

1.1Основные понятия и определения

Рассмотрим основные понятия и определения по данной теме.

Дадим определение понятия сетевой трафик или просто интернет-трафик.

На сайте https://ru.wikipedia.org дается следующее определение данного понятия: «Сетевой трафик или интернет-трафик (англ. Traffic — «движение», «грузооборот») — объём информации, передаваемой через компьютерную сеть за определённый период времени»^[1].

В просмотренных интернет источниках приведено аналогичное определение. Например, Под интернет-трафиком понимается объём данных, переданных через интернет-соединение за определённый момент времени^[2].

Следует отметить, что и в литературе предлагается аналогичное определение данного понятия. А именно: трафик – это тот объем информации, который отправляет и получает пользователь во время работы в интернете^[3].

Или в другом учебнике: интернет-трафик это количество информации, которую пользователь получает из Интернета или передаете в Сеть^[4].

В интернете есть несколько понятий трафика. Одно из них – входящий и исходящий интернет трафик, который принимается и отправляется на всех персональных компьютерах, ноутбуках, планшетах, смартфонах и на различных телефонах. Такой интернет трафик как услугу предоставляют интернет провайдеры, включая операторов сотовой связи.

Другое понятие – это трафик сайта. В этом случае речь идет о посещаемости интернет ресурса. К примеру, какое количество пользователей посетили тот или иной сайт за определенный период времени.

И еще одно из понятий коммерческого направления – арбитраж трафика. Это когда, выступая посредником, можно получить финансовую выгоду. К примеру, в одном месте покупаешь дешевый трафик, в другом продаешь его дороже^[5].

Трафик подразделяется на:

• исходящий (информация, поступающая во внешнюю сеть);
• входящий (информация, поступающая из внешней сети);
• внутренний (в пределах определённой сети, чаще всего локальной);
• внешний (за пределами определённой сети, чаще всего — интернет-трафик).

Входящий трафик — это информация, которую пользователь получили из интернета.

В них входят страницы, сохраняющиеся в кэше видео, аудиофайлы, любые загрузки с торрент-трекеров и файлообменников.

Исходящий трафик — это информация, которую пользователь отправил.

Трафик измеряется в Килобайтах (Кб), Мегабайтах (Мб), и Гигабайтах (Гб).

Сюда входят ваши сообщения в чатах и социальных сетях, музыка и видео, которые вы загружаете на свой профиль, и все файлы, которые вы передаете друзьям и собеседникам.

При этом, находясь в сети, информация постоянно принимается и передается компьютером – поэтому одновременно расходуется как исходящий, так и входящий интернет.

Особенно это заметно в онлайн-играх и чатах, где ПК принимает множество пакетов других пользователей, и сам отправляет данные на сервера.

Кроме того, раньше существовало еще два деления: внутренний и внешний трафик.

Внутренним называлась информация, которая циркулирует внутри локальной или городской сети.

Внешний трафик – это та информация, которая находится внутри всей остальной сети Интернет – зарубежные сайты, чаты в других городах, онлайн-игры.

Стоит отметить, что с эволюцией подключения и скорости, граница между внутренним и внешним Интернетом сильно стерлась.

Следующее понятия, с которым сегодня сталкиваются довольно часто – это мобильный трафик.

Мобильным называют интернет-трафик, организуемый с помощью беспроводных сетей мобильной (сотовой) связи. Поскольку он зависит от пропускной способности дорогостоящего сотового оборудования, возможности мобильного интернета, как правило, ограничены по сравнению с кабельным.

Мобильный трафик используют смартфоны, планшеты, ноутбуки, коммуникаторы и другие компьютерные устройства, которые удобно носить с собой^[6].

В чем разница между обычным и мобильным интернет-трафиком?

На самом деле, практически ни в чем. Разница именно в подходах к пользованию им.

Сейчас, даже если абонент подключает безлимитный интернет – на месяц ему выдается определенное количество бесплатного трафика, который можно израсходовать.

Провайдеры же стационарного интернета ограничивают только скорость, но не объем.

Кроме того, ощутима разница и в скоростях – даже на самых дорогих тарифах видео в хорошем качестве будут грузиться дольше на телефоне, чем на ПК^[7].

ГЛАВА 2. ОБЗОР МЕТОДОВ АНАЛИЗА И МОНИТОРИНГА СЕТЕВОГО ТРАФИКА

2.1. Методы мониторинга основанные на маршрутизаторе

Методы мониторинга основанные на маршрутизаторе – это методы, которые жёстко заданы в маршрутизаторах и, поэтому имеют низкую гибкость.

Рассмотрим далее самые часто используемые методы мониторинга основанного на маршрутизаторе.

Следует отметить, что каждый метод прошел развитие в много лет, до того, что бы стать стандартизованным способом мониторинга.

Протокол простого сетевого мониторинга (SNMP), RFC 1157

SNMP – представляет собой протокол прикладного уровня. Данный протокол является частью протокола TCP/IP. Протокол позволяет администраторам управлять производительностью сети, находить и устранять сетевые проблемы, планировать рост сети. Он собирает статистику по трафику до конечного хоста через пассивные датчики, которые выполняются вместе с маршрутизатором. Разработаны две версии (SNMPv1 и SNMPv2), данный раздел описывает только SNMPv1. SNMPv2 создана на основе SNMPv1 и содержит ряд усовершенствований, таких как добавление операций с протоколами. Стандартизируется еще один вариант версии SNMP. Версия 3 (SNMPv3) который находится на стадии рассмотрения.

SNMP: возможности

Рассматриваемый протокол позволяет администратору сетей выполнять настройку тех или иных устройств при помощи главного сервера без необходимости использования специальных программ, функционал которых рассчитан только на мониторинг различных сетевых процессов. При помощи протокола, о котором идет речь в данной статье, можно в ходе администрирования процессов в сети осуществлять не только управление теми или иными процедурами, но также и наблюдать за производительностью инфраструктуры, своевременно выявлять возникающие в ней проблемы, осуществлять мониторинг использования сетевых ресурсов. В этом смысле протокол SNMP является уникальным инструментом. Давайте рассмотрим, ключевые компоненты, которые формируют инфраструктуру сетей, работающих на основе SMTP.

SNMP: основные компоненты

SNMP представляет собой протокол, который предполагает использование нескольких сетевых компонентов. К таким компонентам можно отнести:

• управляемый объект – приложение или компьютер, на которые администратор сети задает те или иные команды с использованием протокола;
• база данных MIB;
• программа-менеджер;
• приложение-агент;
• система обеспечения сетевого взаимодействия.

Управляемый объект может не только получать команды от администратора, но также и направлять их в соответствии с заданными параметрами. Данные с объекта будут передаваться на программу-менеджер, которая будет интерпретировать их по установленным алгоритмам. На управляемом девайсе в свою очередь функционирует приложение-агент. Оно предназначено для сбора информации по соответствующему устройству. При необходимости оно может транслировать ее в формате, который адаптирован к специфике протокола SNMP. Сама по себе система обеспечения сетевого взаимодействия дает администратору возможность работать одновременно с несколькими программами-менеджерами с целью осуществления контроля над функционированием инфраструктуры. Также в сетях может быть инсталлировано несколько разновидностей программного обеспечения соответствующего типа. Ключевым, и возможно важнейшим элементом протокола SNMP является MIB или по-другому база управляющих сведений. Предназначение данного элемента состоит в описании структуры данных, обмен которыми производится в процессе управления устройствами. Соответствующая база данных фактически позволяет разместить информацию о том, что задействуется для управления устройством непосредственно на нем, будь то сервер, модем или сетевая плата. SNMP представляет собой универсальный протокол. Его функциональность во многом можно реализовать благодаря возможностям базы данных MIB. В устройствах, которые совместимы с данной технологией, могут содержаться как стандартные переменные, так и те переменные, которые характеризуют особенности отдельного устройства. Основным элементом данной базы являются идентификаторы типа OID.Они дают возможность устанавливать переменные, которые определяются и считываются при помощи протокола SMNP. Приложение-агент, которое является компонентом сетевой инфраструктуры SMNP, обычно получает запросы с использованием порта 161. Программа-менеджер в свою очередь может задействовать любые доступные в сети порты. Обычно данный тип программного обеспечения получает уведомления на порт 162^[8].

Удалённый мониторинг (RMON), RFS 1757

RMON позволяет видеть всю картину трафика в сети не сходя с рабочего места.

RMON, или база управляющей информации для удаленного мониторинга (Remote MONitoring MIB), был создан IETF для поддержки мониторинга и анализа протоколов в локальных сетях Ethernet и Token Ring. Эта стандартная спецификация обеспечивает во многом те же функциональные возможности, что и нестандартные сетевые и протокольные анализаторы.

Начало работ над RMON-1 MIB было положено созданием IETF рабочей группы RMON в 1990 году. Предложение по стандарту было опубликовано в RFC 1271 в ноябре 1991 года, причем оно касалось исключительно Ethernet (см. Таблицу 1). Дополнительная группа для Token Ring была предложена в RFC 1513 в 1993 году. С появлением совместимых реализаций RMON-1 MIB был присвоен статус проекта по стандарту в RFC 1757 в 1994 году. Летом того же года рабочая группа RMON-2 занялась подготовкой стандарта для расширения RMON-1. Ее усилия нашли впоследствии свое отражение в RFC 2021 и 2074.

Есть 3 ключевых компонента мониторинговой среды RMON, но на рисунке 1 показаны только два.

Рисунок 1. Компоненты RMON

Два компонента RMON это датчик, которые известен как агент или монитор, и клиент, также известный как управляющая станция (станция управления). Основное отличие SNMP и агента RMON, в том что он собирает и хранит сетевую информацию. Датчик – представляет собой встроенное в сетевое устройство (например маршрутизатор или переключатель) программное обеспечение. Датчик может запускаться также и на персональном компьютере. Датчик должен помещаться для каждого различного сегмента локальной или глобальной сети, потому что они способны видеть трафик, который проходит только через их каналы, но они не знают о трафике за их приделами. Клиент – представляет собой управляющую станцию, которая связана с датчиком, который использует SNMP для получения и затем коррекции RMON-данных.

RMON использует 9 разных групп мониторинга для получения информации о сети, а именно:

• Statistics - позволяет вести статистику измеренная датчиком для каждого интерфейса мониторинга для данного устройства.

• History – позволяет вести учёт периодических статистических выборок из сети и их дальнейшего хранение для осуществления поиска.

• Alarm – позволяет использовать статистические образцы и сравнивать их с набором пороговых значений для генерации события.

• Host - содержит статистическую информацию, которая связана с каждым хостом, обнаруженным в сети.