Исследование сетевого трафика / Хабр
Специально для будущих студентов курса «Network engineer. Basic» наш эксперт — Александр Колесников подготовил интересный авторский материал.
Также приглашаем принять участие в открытом онлайн-уроке на тему «STP. Что? Зачем? Почему?». Участники урока вместе с экспертом рассмотрят протокол STP, разберут логику его работы, разберут его преимущества и недостатки.
Статья расскажет, как можно работать с сетевым трафиком. На примере нескольких дампов сетевого трафика будет разобрана работа нескольких полезных инструментов, показаны подходы к извлечению и сборке информации из трафика.
Инструментарий и методика исследования
Для разбора трафиков будем использовать следующее программное обеспечение:
wireshark;
tshark;
Все инструменты не нуждаются в особенно развернутом представлении, так как являются единственными в своем роде бесплатными решениями для работы с трафиком. Первые два tshark
и wireshark
вообще предоставляются в составе одного и того же решения. Оба инструмента позволяют выполнять запись и разбор трафика с точки зрения статистики, передаваемых данных и структурах протокола.
Попробуем использовать эти инструменты на записанных сетевых трафиках. Все трафики взяты из различных ресурсов и собраны вот здесь, поэтому читатель при желании может самостоятельно провести их анализ по инструкциям из статьи.
Disclamer: Все файлы трафиков взяты из различных соревнований CTF, все права на задания принадлежат их авторам.
Для исследования трафиков будем придерживаться минимальной стратегии:
Определить количество участников сети;
Определить стек используемых протоколов;
На основании пункта 2 принять решение искать данные по убыванию популярности использования трафика;
Если выясняется, что данные, которые передаются в трафике, не были обработаны дополнительным кодированием, то применять фильтр по тексту.
Примеры разбора трафика
Первое задание для разбора:
1.pcap(9cd84b46fee506dae818ecdca76607d1)
. Задача — найти данные, которые будут содержать информацию видаFLAG-???????????
. Приступим к разбору. Пройдемся по методике, которую описали в прошлом пункте:
Количество участников в сети очень просто определить при помощи WireShark (Всё, что описано для этого инструмента, можно повторить и на tshark
. Автор использует WireShark для наглядности). В опциях WireShrak выбираем «Statistics->Endpoints»:
Итого у нас 8 уникальных IP адресов, которые участвовали во взаимодействии. Определим стек протоколов. Сделать это можно в том же самом меню «Statistics->Protocol Hierarchy»:
Итак, самый популярный протокол взаимодействия — http. Этот протокол внутри файла pcap
хранится в текстовом представлении поэтому можно попробовать показать все данные из body
пересылаемых данных и отфильтровать данные по формату искомой строки.
tshark
. Команда для фильтра будет выглядеть так:tshark -r ./1.pcap -Y http -Tfields -e http.file_data | grep "FLAG"
В результате получаем результат:
Второй файл для исследования — 2.pcap (9a67e1fb9e529b7acfc6e91db6e1b092)
. Проведем этапы исследования. Количество участников взаимодействия:
В этом случае участников 13 — задание усложняется. Какие протоколы используются:
К сожалению, в этот раз всё не так просто с используемыми протоколами для передачи данных. Среди информации пересылаемой через tcp протокол ничего интересного для нашего задания не встретилось. В udp же попалось кое-что интересное:
tshark -r ./2.pcap -Y 'dns'
Однако, если обратить внимание на резолв локальных адресов через dns, то мы можем обнаружить вот такую картину:
Странная часть ip адреса, которая очень похожа на какие-то кодированные шестнадцатеричные символы. Попробуем их провести через кодировку:
tshark -r . /2.pcap -Y '!icmp.code && dns.qry.name contains 192.168' -Tfields -e dns.qry.name | tr '.' ' ' |awk '{print $1}' |xxd -r
Полученная строка очень похожа на base64
кодировку, раскодируем:
base64 -D <<< "VGhpcyBpcyBhIHNlY3JldCB0Y3JldCB0cmFuc21pdHRlZCB0aHJvdWdoaHJvdWdoIGRucyBxdWVyeSA6KSBGTEFHKSBGTEFHLUZUNDdjTVgyNnBXeUZTSTZSeUZTSTZSUFdhU3I1WVJ3"
В итоге:
В качестве целевого сетевого трафика будем использовать 3.pcap(0e66830db52ad51971d40c77fa5b02c0)
. Проанализируем количество участников взаимодействия и статистику используемых протоколов:
Похоже, что в этот раз протоколов меньше, но вариантов куда спрятать данные — больше. Попробуем отфильтровать данные по протоколу http.
tshark -r ./3.pcap -Y http
Самые интересные строки находятся в конце записанного трафика, это запросы http к файлам «flag.zip» и «secret.txt». Сдампим их через Wireshark и попробуем открыть:
Попробуем сдампить файл, который называется flag. zip
через WireShark. Стандартным интерфейсом это сделать не получится, поэтому придется сделать небольшой хак — сохранить данные в Raw формате:
Открываем с уже найденным паролем:
Похоже, что файл поврежден в нем нет части, которая содержит необходимую нам информацию. Спустя время, если отфильтровать по потокам, которые есть в tcp, можно натолкнуться на части фрагменты архивов:
Сохраним дамп этого потока и вырежем с помощью простой программы фрагмент архива:
python data = [] with open('dump') as f: data = f.read() with open('tesst.zip','w') as w: w.write(data[1010788:])
Пробуем распаковать:
7z x ./test.zip
Похоже, что часть данных недоступна, но мы смогли восстановить файл flag.txt
Описанная методика может позволить извлекать информацию из записанных сетевых данных. В качестве закрепления материала, предлагаем читателю найти данные в трафике 4.pcap(604bbac867a6e197972230019fb34b2e)
.
Узнать подробнее о курсе «Network engineer.
Basic». Зарегистрироваться на вебинар по теме «STP. Что? Зачем? Почему?».
Сокеты в ОС Linux
Что такое трафик в интернете простыми словами
Трафик в интернете — данные, передаваемые через компьютерную сеть за любой период времени.
С помощью водящего и исходящего трафика можно сделать определенные выводы об эффективности размещенной информации. Цифры отображают реальный интерес к ресурсу и определяют его поисковую актуальность. Пользователь платит за трафик ежемесячно, он предоставляется ему в определенном объеме.
Интернет трафик что это такое
Взаимообмен информацией в процессе работы в Интернете происходит автоматически. При переходах с ресурса на ресурс входящий и исходящий потоки данных расходуют определенное количество мегабайтов памяти. В подобных единицах измеряется трафик входящей и исходящей информации. Чем мощнее устройство, тем больше оно будет затрачивать памяти для работы во всемирной паутине.
Что входит в Интернет трафик
Для расчета показателя учитывается количество посетителей, обратившихся на ресурс в определенный момент времени. Кроме того, для подсчета может использоваться любой другой временной промежуток – сутки, неделя или месяц. Бизнес проекту и Интернет-магазину важно нарастить количество клиентов и активных покупателей, обратившихся на сайт через сеть. Они стремятся распространить рекламную информацию о товаре и выгодных условиях предстоящей покупки. Растет трафик – а с ними поднимаются продажи, такова современная реальность.
Что означает трафик в интернете
При работе в сети информация перемещается в одну и другую сторону. Поэтому направления действия трафика можно условно разделить на две группы:
- исходящий трафик – отправляемые вами сообщения с использованием социальных сетей – фото, сообщения, письма и документация;
Если появляются разные вирусы на устройстве возможно увеличение потока трафика. В этом случае информация с личного компьютера не защищена и увеличивается поток исходящих данных. Сегодня очень сложно определить реальные показатели объемы движений памяти в Интернете, разделить внешний или внутренний поток. Современные технологии развиваются в таком направлении, что найти их в быстром потоке данных практически невозможно. Гораздо проще определить тип устройства. Скорость мобильного Интернета на телефоне будет медленнее и ограниченней. Стационарные компьютеры работают намного быстрее. Как только уменьшается размер допустимой памяти, скорость работы сети падет. На помощь приходят ночные тарифы и предложения, действующие в определенные часы.
Читайте также:
Что такое органический трафик и зачем он вам
#SEO продвижение #Новичкам #Трафик
Что значит интернет трафик для простого пользователя и аналитика
Для профессионала, работающего веб-аналитиком, эффективность посещаемости сайта определяет его продвижение и популярность. Нужно помнить, что количество привлеченного трафика зависит в том числе и от SEO оптимизации страниц сайта. Существует большое разнообразие посетительских потоков:
- целевая аудитория нацелена на предоставляемую информацию и посещающая ресурс целенаправленно;
- нецелевой поток, попавший на ресурс случайно;
- коммерческий и реферальный трафик, обеспеченный размещаемой рекламой и перекрестными ссылками;
- пользователи из социальных сетей, перешедшие на ресурс благодаря рекламе;
- читатели, попавшие на сайт из поисковых систем.
Предварительные прогнозы
Встроенные функции устройства позволяют вести точный подсчет потребляемого трафика. Андроид и другие системы активно следят за расходованием мегабайтов, и не позволяет потерять соединение. Как посчитать трафик – нужно настроить специальный счетчик на компьютере или установить приложение на портативном устройстве. Статистические параметры предоставляются за счет бесплатных утилит со стандартными функциями.
О чем может сообщить показатель трафика
Посещаемость страниц является относительным показателем популярности ресурса. Параметры могут говорить о следующем:
- число уникальных посетителей за сутки;
- количество прочитанных и ознакомительных страниц;
- типовой путь просматривания ресурса;
- усредненный период нахождения на сайте;
- временной период, когда сайт максимально загружен;
- самые востребованные и непопулярные страницы ресурса.
Анализируя показатели трафика, специалист делает вывод о том, как действовать дальше для улучшения работы сайта. Есть возможность определить эффективность контекстной рекламы и финансовую отдачу от ее применения. В соответствии с этими показателями совершенствуется работа рекламных каналов. Поисковые системы-лидеры предоставляют профессионалам эффективные инструменты для повышения качества работы – Яндекс.Метрика и Google Analytics. С их помощью можно получать подробные отчеты по работе сайта и своевременно улучшать его работу.
Что такое сетевой трафик? | Определение из TechTarget
СетьК
- Александр С. Гиллис, Технический писатель и редактор
Сетевой трафик — это объем данных, которые перемещаются по сети в любое заданное время. Сетевой трафик также может обозначаться как трафик данных, или просто трафик .
При поисковой оптимизации трафик в сеть можно охарактеризовать как прямой, органический или платный. Прямой трафик возникает, когда кто-то вводит URL-адрес веб-сайта в браузере. Органический трафик — это прямой результат того, что кто-то использует поисковую систему для поиска контента. Платный трафик означает, что кто-то нажал на спонсируемую рекламу.
При администрировании центра обработки данных сетевой трафик можно охарактеризовать как направление север-юг или восток-запад. Север-юг описывает трафик между клиентом и сервером, который перемещается между центром обработки данных и местоположением за пределами сети. Трафик с севера на юг обычно изображается вертикально, чтобы проиллюстрировать трафик, входящий и исходящий из центра обработки данных. На заре Интернета большая часть сетевого трафика шла с севера на юг.
Трафик с востока на запад перемещается с сервера на сервер, а трафик с севера на юг перемещается с клиента на сервер.Напротив, сетевой трафик восток-запад характеризует пакеты данных, которые перемещаются с сервера на сервер в центре обработки данных. Термин восток-запад был вдохновлен сетевыми диаграммами, которые отображают трафик локальной сети по горизонтали. Аппаратная виртуализация и Интернет вещей — две концепции, которые привели к росту сетевого трафика между востоком и западом.
Администраторы могут контролировать сетевой трафик, управляя данными или приоритизируя их, и они могут отслеживать сетевой трафик, измеряя объем и типы трафика. Сетевой трафик инкапсулируется в пакеты, представляющие собой блоки данных, обеспечивающие нагрузку в сети. Например, посетив веб-страницу, пользователь получает серию пакетов. Типичный пакет содержит от 1000 до 5000 байт.
Распространенные проблемы с сетевым трафикомОбщие проблемы с сетевым трафиком включают следующее:
- сбои компонентов, таких как сбои сервера, маршрутизатора или брандмауэра; и
- сбои трафика, такие как узкие места и высокая задержка.
Узкие места могут возникать, когда не хватает ресурсов обработки данных для обработки текущего объема трафика. Задержка, или задержка между входом в систему и ее выходом, может быть вызвана тем, что компоненты в центре обработки данных передают информацию друг другу, увеличивая сетевой трафик. Высокая задержка чаще возникает при восточно-западном трафике.
Мониторинг сетевого трафикаЧтобы обеспечить качество сети, сетевые администраторы должны анализировать, отслеживать и защищать сетевой трафик. Мониторинг сети позволяет контролировать компьютерную сеть на предмет сбоев и недостатков, чтобы обеспечить постоянную производительность сети.
Инструменты, созданные для помощи в мониторинге сети, также обычно уведомляют пользователей о любых значительных или проблемных изменениях в производительности сети. Мониторинг сети позволяет администраторам и ИТ-специалистам быстро реагировать на любые сетевые проблемы.
Защита сетевого трафикаЧтобы защитить сетевой трафик, специалисты по сети и безопасности могут использовать инструменты сетевой безопасности, такие как Nagios или Splunk. Другие методы, такие как включение брандмауэров, также повышают безопасность сети.
Для трафика с востока на запад микросегментация может уменьшить поверхность атаки приложения. Благодаря микросегментации центр обработки данных сегментируется на логические единицы, что позволяет администраторам центра обработки данных настраивать уникальные политики безопасности для каждой единицы.
Последнее обновление: декабрь 2022 г.
Продолжить чтение О сетевом трафике- Как контролировать сетевой трафик
- Полное руководство по управлению сетью на предприятии
- Передовой опыт анализа сетевого трафика: оценка и повторение
- Защита сетевого трафика с помощью туннелей SSH
движение восток-запад
Автор: Дженнифер Инглиш
Новый центр обработки данных требует изменить доставку корпоративных приложений
Автор: Эндрю Фрелих
Корешковый лист (архитектура корешкового листа)
Автор: Александр Гиллис
северный интерфейс/южный интерфейс
Автор: Гэвин Райт
Унифицированные коммуникации
- ИТ-специалисты сталкиваются с проблемами, связанными с гибридными рабочими технологиями
Предприятиям необходимо специализированное оборудование для видеоконференций в офисных помещениях, которые обычно пустуют, чтобы вместить как офисные . ..
- Успешная гибридная работа сочетает в себе технологии, политику и культуру
ИТ-руководители в Enterprise Connect обсуждают свои стратегии успешной гибридной работы, от прозрачных командных соглашений до …
- Инструменты для совместной работы помогают или препятствуют доступности рабочего места
Облачные инструменты для совместной работы улучшили доступность рабочего места для людей с ограниченными возможностями. Но ИТ-руководители должны изучить…
Мобильные вычисления
- Как создать политику управления мобильными устройствами для вашей организации
Политика управления мобильными устройствами создает для организации несколько существенных преимуществ, таких как меры безопасности, данные и …
- Как использовать файловый менеджер iPadOS на предприятии
Организации могут использовать приложение «Файлы» в iPadOS для управления файлами локально или в облаке. Узнайте о плюсах и минусах обоих типов хранения…
- Как работает корпоративное управление файлами в iOS?
Важно обеспечить безопасность файлов и удобство работы с ними на корпоративных мобильных устройствах. В iOS приложение «Файлы» — это ключ…
Центр обработки данных
- 4 модуля PowerShell, которые должен знать каждый ИТ-специалист
Узнайте, как использовать четыре самых популярных модуля сообщества PowerShell в галерее PowerShell, чтобы лучше управлять своим …
- Система Nvidia DGX Quantum объединяет процессоры, графические процессоры с CUDA
Nvidia и Quantum Machines предлагают новую архитектуру, сочетающую центральные и графические процессоры с квантовыми технологиями.
- Модернизация приложений, мейнфреймы, микросервисы: обзор событий IBM
На недавнем мероприятии IBM Infrastructure Analyst компания IBM объявила о достижениях в IBM zSystems для ИИ, архитектуры приложений и других областях . ..
ИТ-канал
- Слияния и поглощения в сфере ИТ-услуг замедляются, но могут оживиться через 2 пол.
Слияния и поглощения восстановились после первоначального шока от COVID-19, но темпы замедлились на фоне экономической неопределенности. Сделки совершаются …
- VMware Partner Connect перезагружается с акцентом на SaaS
Партнерская программа VMware приобретает новый вид, поскольку компания инвестирует в модель подписки; Endor Labs, Graphiant и TrueFort …
- Управление затратами на облако выходит на первый план
ИТ-магазина, похоже, готовы сосредоточиться на облачных расходах в условиях инфляции и экономической неопределенности. Поставщики услуг ожидают, что клиенты инвестируют…
Что такое сетевой трафик? Определение и как его контролировать
Сетевой трафик — это объем данных, перемещающихся по компьютерной сети в любой момент времени. Сетевой трафик, также называемый трафиком данных, разбивается на пакеты данных и отправляется по сети перед повторной сборкой принимающим устройством или компьютером.
Сетевой трафик имеет два направления: север-юг и восток-запад. Трафик влияет на качество сети, так как необычно большой объем трафика может означать низкую скорость загрузки или нестабильное соединение с передачей голоса по Интернет-протоколу (VoIP). Трафик также связан с безопасностью, поскольку необычно большой объем трафика может быть признаком атаки.
Пакеты данных
Когда данные передаются по сети или через Интернет, их необходимо сначала разбить на более мелкие пакеты, чтобы можно было эффективно передавать большие файлы. Сеть разбивает, упорядочивает и объединяет данные в пакеты данных , чтобы их можно было надежно отправлять по сети, а затем открывать и читать другим пользователем в сети. Каждый пакет использует наилучший маршрут для равномерного распределения сетевого трафика.
Север-юг трафика
Трафик север-юг относится к трафику между клиентом и сервером, который перемещается между центром обработки данных и остальной частью сети (т. е. расположением за пределами центра обработки данных).
Движение Восток-Запад
Трафик с востока на запад относится к трафику внутри центра обработки данных, также известному как трафик между серверами.
Чтобы лучше управлять пропускной способностью, сетевые администраторы решают, как определенные типы трафика должны обрабатываться сетевыми устройствами, такими как маршрутизаторы и коммутаторы. Существует две основные категории сетевого трафика: в реальном времени и не в реальном времени.
Трафик в реальном времени
Трафик, который считается важным или критическим для бизнес-операций, должен доставляться вовремя и с максимально возможным качеством. Примеры сетевого трафика в реальном времени включают VoIP, видеоконференции и просмотр веб-страниц.
Трафик не в реальном времени
Трафик не в реальном времени, также известный как трафик с максимальной эффективностью, — это трафик, который сетевые администраторы считают менее важным, чем трафик в реальном времени. Примеры включают протокол передачи файлов (FTP) для веб-публикаций и приложений электронной почты.
Анализ сетевого трафика (NTA) — это метод, используемый сетевыми администраторами для изучения сетевой активности, управления доступностью и выявления необычной активности. NTA также позволяет администраторам определить, существуют ли какие-либо проблемы с безопасностью или эксплуатацией — или могут возникнуть в будущем — в текущих условиях. Решение таких проблем по мере их возникновения не только оптимизирует ресурсы организации, но и снижает вероятность атаки. Таким образом, NTA привязан к усиленной безопасности.
- Выявление узких мест : Узкие места могут возникать в результате резкого увеличения числа пользователей в одном географическом местоположении.
- Устранение неполадок с пропускной способностью : Медленное соединение может быть связано с тем, что сеть не рассчитана на увеличение числа пользователей или объема активности.
- Улучшите видимость устройств в вашей сети : Повышение осведомленности о конечных точках может помочь администраторам прогнозировать сетевой трафик и при необходимости вносить коррективы.
- Обнаружение проблем с безопасностью и более быстрое их устранение : NTA работает в режиме реального времени, предупреждая администраторов об аномалиях трафика или возможных нарушениях.
Правильное программное обеспечение для мониторинга сети помогает организациям получить представление обо всех устройствах и приложениях, работающих в сети. Важно знать, какие устройства используют наибольшую пропускную способность, чтобы при необходимости перенастроить сеть или внести изменения в типы фильтруемого контента, чтобы предотвратить доступ к определенным веб-сайтам или службам (например, YouTube и Netflix).
SD WAN
Программно-определяемая глобальная сеть (SD-WAN) использует программное обеспечение для управления подключениями между центрами обработки данных организации и ее удаленными местоположениями. SD-WAN поддерживает несколько типов подключения, таких как многопротокольная коммутация по меткам (MPLS) и долгосрочное развитие (LTE). Он также может автоматически сегментировать трафик на основе определенных критериев.
Решение Fortinet SD-WAN определяет наилучший путь для трафика в глобальной сети (WAN), что оптимизирует производительность и повышает продуктивность всей организации. Решение Fortinet Secure SD-WAN — это лидер в отчете Gartner Magic Quadrant за 2020 год .
Брандмауэр нового поколения (NGFW)
Брандмауэр нового поколения (NGFW) проверяет и фильтрует трафик, прежде чем он сможет попасть в сеть. NGFW выявляют и блокируют потенциальные угрозы, защищая организации от атак.