Paketanalysator

En paketanalysator (även känt som nätverksanalysator, protokollanalysator eller sniffare, eller för specifika typer av nätverk, såsom en ethernetsniffare eller trådlössniffare)^{[1][2][3][4][5][6][7][8]} är ett datorprogram eller en maskinvara som avlyssnar och loggar trafik som passerar över digitala nätverk eller delar av ett nätverk.^[9] Paketfångning är processen för att fånga upp och logga trafik. När dataströmmar flödar genom nätverket, infångar sniffaren varje paket och, om det behövs, avkodar paketets rådata, samt visar värdena i olika fält från paketet, och analyserar dess innehåll enligt passande, RFC eller annan specifikation.

Ethereal ett analysprogram för nätverkspaket

Screenshot of Wireshark network protocol analyzer

En paketanalysator som används för att avlyssna trafik på trådlösa nätverk är känd som en trådlös analysator - de som utformats specifikt för Wi-Fi- nätverk är Wi-Fi-analysatorer. Termen Wi-Fi-analysator används också för att beskriva instrumenten/mjukvaran för trådlösa platsundersökningar. Även om en paketanalysator också kan betraktas som en nätverksanalysator eller protokollanalysator kan dessa termer också ha andra betydelser. Protokollanalysator kan tekniskt sett vara en bredare, mer allmän klass som omfattar paketanalysatorer/sniffers.^[10] Termerna används dock ofta omväxlande.^[11]

Kapaciteter

På trådbundna delade-medium-nätverk som Ethernet, Token Ring och FDDI, beroende på nätverksstrukturen (hubb eller switch), ^[12] kan det vara möjligt att fånga all trafik på nätverket från en enda maskin. Vissa metoder undviker att trafiken begränsas av switchar för att få tillgång till trafik från andra system i nätverket (till exempel ARP-spoofing). I moderna nätverk kan trafik fångas upp med en nätverksswitch som använder portspegling, som speglar alla paket som passerar genom angivna portar på switchen till en annan port, om switchen stöder portspegling. En nätverkskran är en ännu mer pålitlig lösning än att använda en övervakningsport eftersom kranar är mindre benägna att tappa paket under hög trafikbelastning.

På trådlöst LAN kan trafik fångas på en kanal i taget, eller genom att använda flera adaptrar, på flera kanaler samtidigt.

På trådbundna sändningar och trådlösa LAN, för att fånga unicast-trafik mellan andra maskiner, måste nätverksadaptern som fångar trafiken vara i promiskuöst läge. På trådlösa LAN, även om adaptern är i promiskuöst läge, ignoreras vanligtvis paket som inte är för tjänsten som adaptern är konfigurerad för. För att se dessa paket måste adaptern vara i monitorläge. Inga särskilda bestämmelser krävs för att fånga multicast-trafik till en multicast-grupp som paketanalysatorn redan övervakar, eller sänder trafik.

När trafik fångas registreras antingen hela innehållet i paketen eller bara rubrikerna. Att bara spela in rubriker minskar lagringskraven och undviker vissa juridiska frågor om integritet, men ger ofta tillräcklig information för att diagnostisera problem.

Infångad information avkodas från rå digital form till ett läsbart format som tillåter ingenjörer att granska utbytt information. Protokollanalysatorer varierar i deras förmåga att visa och analysera data.

Vissa protokollanalysatorer kan också generera trafik. Dessa kan fungera som protokolltestare. Sådana testare genererar protokollkorrekt trafik för funktionstestning och kan även ha förmågan att medvetet införa fel för att testa enhetens förmåga att hantera fel.^[13][14]

Protokollanalysatorer kan också vara hårdvarubaserade, antingen i sondformat eller, vilket blir allt vanligare, kombinerat med en diskarray. Dessa enheter registrerar paket eller pakethuvuden till en diskarray.

Användning

Paketanalysatorer kan:

• Analysera nätverksproblem
• Upptäcka försök till nätverksintrång
• Upptäcka nätverksmissbruk av interna och externa användare
• Dokumentera regelefterlevnad genom att logga all perimeter- och slutpunktstrafik
• Få information för att utföra ett nätverksintrång
• Identifiera datainsamling och delning av programvara som operativsystem (för att stärka integritet, kontroll och säkerhet)
• Hjälp till att samla information för att isolera utnyttjade system
• Övervaka WAN-bandbreddsanvändningen
• Övervaka nätverksanvändning (såväl interna som externa användare och system)
• Övervaka data under överföring
• Övervaka WAN- och slutpunktssäkerhetsstatus
• Samla in och rapportera nätverksstatistik
• Identifiera misstänkt innehåll i nätverkstrafik
• Felsöka prestandaproblem genom att övervaka nätverksdata från en applikation
• Fungera som den primära datakällan för daglig nätverksövervakning och hantering
• Spionera på andra nätverksanvändare och samla in känslig information som inloggningsuppgifter eller användarcookies (beroende på eventuella innehållskrypteringsmetoder som kan användas)
• Reverse engineering proprietära protokoll som används över nätverket
• Felsöka klient/serverkommunikation
• Felsöka implementeringar av nätverksprotokoll
• Verifiera tillägg, flyttningar och ändringar
• Verifiera det interna kontrollsystemets effektivitet (brandväggar, åtkomstkontroll, webbfilter, spamfilter, proxy)

Paketfångning kan användas för att uppfylla ett beslut från en brottsbekämpande myndighet att avlyssna all nätverkstrafik som genereras av en individ. Internetleverantörer och VoIP-leverantörer i USA måste följa bestämmelserna i Communications Assistance for Law Enforcement Act. Genom att använda paketfångning och lagring kan telekommunikationsoperatörer tillhandahålla den lagstadgade säkra och separata åtkomsten till riktad nätverkstrafik och kan använda samma enhet för interna säkerhetsändamål. Att samla in data från ett operatörssystem utan en garanti är olagligt på grund av lagar om avlyssning. Genom att använda end-to-end-kryptering kan kommunikation hållas konfidentiell från teleoperatörer och juridiska myndigheter.

Speciella paketanlysatorer

• Allegro Network Multimeter
• Capsa Network Analyzer
• Charles Web Debugging Proxy
• Carnivore (software)
• CommView
• dSniff
• EndaceProbe Packet Capture Platform
• ettercap
• Fiddler
• Kismet
• Lanmeter
• Microsoft Network Monitor
• NarusInsight
• NetScout Systems nGenius Infinistream
• ngrep, Network Grep
• OmniPeek, Omnipliance by Savvius
• SkyGrabber
• The Sniffer
• snoop
• tcpdump
• Observer Analyzer
• Wireshark (formerly known as Ethereal)
• Xplico Open source Network Forensic Analysis Tool

Se även

• Nätverkspaket
• Bussanalysator
• Logikanalysator
• Signalspaning