Ngăn chặn Hacks với Network Analyzers - núm vú

Một network analyzer là một công cụ cho phép bạn nhìn vào một mạng lưới và ngăn chặn hacks bằng cách phân tích dữ liệu đi qua dây để tối ưu hóa mạng, bảo mật, và / hoặc mục đích khắc phục sự cố. Một máy phân tích mạng là tiện dụng cho các gói sniffing trên dây. Nó hoạt động bằng cách đặt card mạng ở chế độ promiscuous, cho phép card xem tất cả lưu lượng truy cập trên mạng.

Bộ phân tích mạng thực hiện các chức năng sau:

• Chụp tất cả lưu lượng mạng

• Giải thích hoặc giải mã những gì được tìm thấy vào một định dạng có thể đọc được của con người

• Hiển thị nội dung theo trình tự thời gian > Khi đánh giá an ninh và đáp ứng các sự cố an ninh, một máy phân tích mạng có thể giúp bạn

• Phát triển một đường cơ sở của hoạt động và hiệu suất mạng, như các giao thức sử dụng, xu hướng sử dụng, và địa chỉ MAC, trước khi xảy ra sự cố bảo mật.

• Phát hiện các ứng dụng ngựa Trojan độc hại

Theo dõi và theo dõi các cuộc tấn công DoS

• WildPackets 'OmniPeek

• Nó làm mọi thứ bạn cần và nhiều hơn và rất đơn giản để sử dụng.

  Các chương trình phân tích mạng

OmniPeek có sẵn cho hệ điều hành Windows.

CommView

• của TamoSoft là một giải pháp thay thế dựa trên nền tảng Windows giá rẻ. Cain & Abel

• là công cụ khôi phục mật khẩu miễn phí đa chức năng để thực hiện việc ngộ độc ARP, chụp các gói dữ liệu, crack mật khẩu và hơn thế nữa. Wireshark

• , trước đây gọi là Ethereal, là một sự thay thế miễn phí. Nó không phải là thân thiện với người sử dụng như hầu hết các sản phẩm thương mại, nhưng nó là rất mạnh mẽ nếu bạn sẵn sàng để tìm hiểu các ins and outs của nó. Wireshark có sẵn cho cả Windows và OS X. ettercap

• là một tiện ích mạnh mẽ khác để thực hiện phân tích mạng và nhiều hơn nữa trên Windows, Linux và các hệ điều hành khác. Dưới đây là một số lưu ý khi sử dụng một máy phân tích mạng:

• Để nắm bắt tất cả lưu lượng truy cập, bạn phải kết nối máy phân tích với một trong các cách sau: Một trung tâm trên mạng

Một màn hình / span / gương cổng trên switch

• Một switch mà bạn đã thực hiện một cuộc tấn công ngộ độc ARP

  • Nếu bạn muốn xem lưu lượng truy cập tương tự như IPS dựa trên mạng, bạn nên kết nối máy phân tích mạng tới hub hoặc chuyển màn hình cổng bên ngoài tường lửa. Bằng cách này, thử nghiệm của bạn cho phép bạn xem

  • Điều gì đang vào mạng của bạn

  • trước

• các bộ lọc tường lửa loại bỏ lưu lượng truy cập rác.

  • Điều gì sẽ rời khỏi mạng của bạn sau lưu lượng truy cập đi qua tường lửa.

  • Có thể là một lượng thông tin quá lớn, nhưng bạn có thể tìm kiếm các vấn đề này trước: Odd traffic, như:

    

Một lượng ICMP không bình thường

• Số lượng multicast hoặc lưu lượng phát sóng Các giao thức không được phép theo chính sách hoặc không nên tồn tại cho các cấu hình mạng hiện tại của bạn

  • thói quen sử dụng Internet,

  • có thể giúp chỉ ra hành vi nguy hiểm của một rogue nội gián hoặc hệ thống đã bị xâm nhập, chẳng hạn như:

  • Lướt Web và truyền thông xã hội

• Email Nhắn tin tức thì và các phần mềm P2P khác

  • Cách sử dụng có vấn đề,

  • như:

  • Nhiều gói bị mất hoặc quá khổ, các công cụ hoặc phần mềm độc hại có mặt

• Mức tiêu thụ băng thông cao có thể trỏ đến web hoặc máy chủ FTP không thuộc Đầu dò dò và hệ thống xử lý từ các máy quét cổng và các công cụ đánh giá lỗ hổng,

  • như một lượng đáng kể lưu lượng gửi đến từ các máy không xác định - đặc biệt là qua các cổng không được sử dụng rất nhiều, s uch như FTP hay telnet.

  • Hacking đang tiến hành,

• chẳng hạn như tấn các yêu cầu bắt đầu UDP hoặc ICMP gửi đến, lũ SYN hoặc các chương trình phát sóng quá mức. Tên máy chủ không chuẩn trên mạng của bạn.

• Ví dụ: nếu các hệ thống của bạn có tên Computer1, Computer2, v.v …, một máy tính có tên GEEKz4evUR sẽ tăng cờ đỏ. Máy chủ ẩn

• có thể đang ăn băng thông mạng, phục vụ phần mềm bất hợp pháp hoặc truy cập vào máy chủ mạng của chúng tôi. Tấn công các ứng dụng cụ thể

• hiển thị các lệnh như / bin / rm, / bin / ls, echo, và cmd. exe cũng như truy vấn SQL và JavaScript injection. Nếu bộ phân tích mạng của bạn cho phép, hãy cấu hình nó để sử dụng bộ đệm thứ nhất, lần đầu tiên.

• Nếu bộ phân tích mạng của bạn cho phép, hãy ghi lại tất cả lưu lượng truy cập vào một tệp chụp và lưu nó vào ổ cứng. Đây là tình huống lý tưởng - đặc biệt nếu bạn có một ổ cứng lớn, chẳng hạn như 500GB trở lên.

• Khi lưu lượng mạng không nhìn đúng trong một máy phân tích mạng, có lẽ không.

• Tốt hơn là an toàn hơn là xin lỗi. Bạn có thể kiểm tra là

• người nói chuyện hàng đầu trên mạng. Nếu ai đó đang làm điều gì đó độc hại trên mạng, chẳng hạn như lưu trữ một máy chủ FTP hoặc chạy phần mềm chia sẻ tệp Internet, sử dụng một máy phân tích mạng thường là cách duy nhất bạn sẽ tìm hiểu về nó. Một máy phân tích mạng cũng là một công cụ tốt để phát hiện các hệ thống bị nhiễm phần mềm độc hại, chẳng hạn như một virus hoặc Trojan horse.

Nhìn vào số liệu thống kê mạng của bạn, chẳng hạn như byte trên giây, sử dụng mạng và số lượng gói tin gửi đến / đi ra, cũng là một cách hay để xác định liệu có điều gì đó đáng lo ngại đang xảy ra hay không. TamoSoft - nhà sản xuất CommView - có một sản phẩm có tên là NetResident có thể theo dõi việc sử dụng các giao thức nổi tiếng như HTTP, e-mail, FTP, và VoIP. Bạn có thể sử dụng NetResident để theo dõi các phiên web và phát lại chúng. NetResident cũng có khả năng gây ngộ độc ARP, cho phép NetResident nhìn thấy mọi thứ trên phân đoạn mạng cục bộ.

Phát hiện máy phân tích mạng

Bạn có thể sử dụng tiện ích dựa trên mạng hoặc máy chủ để xác định xem ai đó đang chạy chương trình phân tích mạng trái phép trên mạng của bạn:

Sniffdet

cho các hệ thống dựa trên UNIX

PromiscDetect

• cho Windows Một số IPSs cũng có thể phát hiện xem một máy phân tích mạng đang chạy trên mạng của bạn hay không. Những công cụ này cho phép bạn giám sát mạng cho các card Ethernet đang chạy ở chế độ promiscuous. Bạn chỉ cần tải các chương trình trên máy tính của bạn, và các chương trình cảnh báo bạn nếu họ thấy hành vi lộn xộn trên mạng (Sniffdet) hoặc hệ thống địa phương (PromiscDetect).