Sieć pod lupą

Każdy administrator, nawet najmniejszej sieci, powinien się orientować, jakie pakiety krążą pomiędzy “jego” maszynami. Podobnie jest zresztą w przypadku połączenia modemowego – zawsze lepiej dmuchać na zimne i kontrolować od czasu do czasu zarówno dane wydostające się z naszej maszyny, jak i trafiające do niej z Sieci. Użytkownicy systemów uniksowych mają tu do wyboru sporo narzędzi systemowych. Osoby korzystające z Windows nie muszą jednak pozostawać w tyle – mogą skorzystać na przykład z opisywanego programu.
archiwum
14.06.2003|Przeczytasz w 2 minuty

CommView to zaawansowany sniffer, badający ruch przechodzący przez wskazany interfejs sieciowy – kartę sieciową lub modem analogowy/ISDN. Ta ostatnia funkcja wymaga zainstalowania dodatkowego sterownika, można to jednak z łatwością zrobić za pomocą odpowiedniego polecenia menu programu.

CommView 4.0
Wymagania: Windows 9x/Me/NT 4.0/2000/XP, ok. 4 MB na dysku
+ zaawansowane reguły filtrowania
+ różnorodne statystyki ruchu
+ obsługa łączy modemowych
Cena: od 129 USD
www.tamos.com | www.sniff-tech.com

Zanim rozpoczniemy korzystanie z aplikacji, powinniśmy ustawić zakres jej działania. Służy do tego karta Zasady, gdzie niezwykle szczegółowo wskazujemy rodzaj pakietów, które będą przechwytywane przez CommView. Wybieramy nie tylko rodzaj protokołu, ale i adresy MAC kart sieciowych, adresy IP zdalnych hostów i porty używane do połączeń itd. Możemy nawet określić takie parametry pakietu, jak flagi TCP, wpisać fragment zawartości pakietu lub ustalić własną regułę filtrowania. W tym ostatnim przypadku korzystamy z prostego języka opisu pakietów, udostępnianego przez narzędzie (karta Zasady | Zaawansowane).

Po ustawieniu reguł filtrowania pakietów wystarczy kliknąć przycisk Rozpocznij przechwytywanie. Oprócz szczegółowych informacji o każdym pakiecie (włącznie z nagłówkami wszystkich warstw sieciowych), pasującym do zadanych reguł, możemy uzyskać różnorodne statystyki ruchu dla danego interfejsu. Przydatny w praktyce okazuje się moduł alarmów, pozwalający odpowiednio zareagować (np. poprzez wysłanie maila do administratora czy uruchomienie określonej aplikacji) na pojawienie się w sieci podejrzanego pakietu.

Program wyposażono w wiele dodatkowych narzędzi, takich jak generator listy otwartych portów lokalnej maszyny, narzędzie do rekonstrukcji sesji TCP na podstawie przechwyconych pakietów, generator pakietów itp. Wszystkie informacje są logowane, a zestawy regułek filtrowania możemy zapisać w pliku. CommView wyposażono w tryb pracy zdalnej, w którym właściwą część zadań wykonuje agent umieszczony na zdalnej maszynie (funkcję tę spełnia sprzedawany osobno program o nazwie CommView Remote Agent), a lokalnie zainstalowana aplikacja (CommView) pełni jedynie funkcję interfejsu użytkownika.

Opisywany program to prawdziwy wielofunkcyjny “kombajn”, który można z czystym sumieniem polecić każdemu administratorowi sieci opartej na serwerach i/lub stacjach roboczych z systemem Windows. Chociaż CommView jest zasadniczo przeznaczony do badania ruchu przechodzącego przez router sieciowy bądź wykrywania “podejrzanych” pakietów krążących w sieci lokalnej, z powodzeniem możemy go też użyć do śledzenia połączenia modemowego, np. w roli prostego systemu kontroli włamań (IDS).

Więcej:bezcatnews
UdostępnijTwitter