Trafik analizatori
Trafik analizatori yoki sniffer (ingliz tilidan sniff) - bu tarmoq trafik analizatori,
dastur yoki apparat va dasturiy ta'minot qurilmasi bo'lib, uni ushlab, keyin tahlil
qilish yoki faqat boshqa tugunlar uchun mo'ljallangan tarmoq trafigini tahlil qilish
uchun mo'ljallangan.
Sniffer faqat tarmoq kartasidan o'tgan narsalarni tahlil qilishi mumkin. Ethernet
tarmog'ining bir segmentida barcha paketlar barcha mashinalarga yuboriladi, buning
natijasida boshqa birovning ma'lumotlarini ushlash mumkin. Kalitlardan foydalanish
95
(switch, switch-hub) va ularning vakolatli konfiguratsiyasi allaqachon eshitishdan
himoya qilishdir. Ma'lumot segmentlar o'rtasida kalitlar orqali uzatiladi. Paketli
kommutatsiya - bu alohida paketlarga bo'lingan ma'lumotlar turli yo'llar bilan
manbadan belgilangan joyga yuborilishi mumkin bo'lgan uzatish shaklidir. Shunday
qilib, agar boshqa segmentdagi kimdir uning ichidagi har qanday paketlarni yuborsa,
u holda kalit bu ma'lumotlarni segmentingizga yubormaydi.
Trafikni ushlab qolish mumkin:
•
tarmoq interfeysini odatda "yashirin tinglash" orqali;
•
snifferni kanal uzilishiga ulash;
•
tarmoq (dasturiy ta'minot yoki apparat) trafigini ajratish va uning nusxasini
snifferga yuborish;
•
yon elektromagnit nurlanishni tahlil qilish va shu bilan tinglangan trafikni
tiklash orqali;
•
kanal (2) (MAC-spoofing) yoki tarmoq (3) qatlamidagi (IP-spoofing) hujum
orqali jabrlanuvchining trafigini yoki segmentning barcha trafigini snifferga
yo'naltirishga olib keladi, so'ngra trafikni tegishli manzilga qaytaradi.
1990-yillarning boshlarida xakerlar tomonidan bir qator tarmoq protokollarida
shifrlanmagan yoki zaif shifrlangan shaklda uzatiladigan foydalanuvchi loginlari va
parollarini olish uchun keng qo'llanilgan. Hublarning keng tarqalishi tarmoqning
katta segmentlarida katta kuch sarflamasdan trafikni deyarli hech qanday xavf
tug'dirmasdan tortib olishga imkon berdi.
Sniffers ham yaxshi, ham halokatli maqsadlarda ishlatiladi. Sniffer orqali o'tgan
trafikni tahlil qilish quyidagilarga imkon beradi:
•
Parazit, virusli va halqali trafikni aniqlang, ularning mavjudligi tarmoq
uskunalari va aloqa kanallarining yuklanishini oshiradi (snifferlar bu erda
samarasiz; qoida tariqasida, ushbu maqsadlar uchun serverlar va faol tarmoq
uskunalari tomonidan turli xil statistik ma'lumotlarni to'plash va keyinchalik
tahlil qilish qo'llaniladi).
•
Tarmoqdagi zararli va ruxsatsiz dasturiy ta'minotni aniqlang, masalan, tarmoq
skanerlari, flooderlar, troyanlar, peer-to-peer tarmoq mijozlari va boshqalar (bu
odatda maxsus snifferlar - tarmoq faolligi monitorlari yordamida amalga
oshiriladi).
•
Parollar va boshqa ma'lumotlarni olish uchun har qanday shifrlanmagan (va
ba'zan shifrlangan) foydalanuvchi trafikini to'xtating.
•
Tarmoq xatosi yoki tarmoq agenti konfiguratsiyasi xatosini toping (snifferlar
ko'pincha bu maqsadda tizim ma'murlari tomonidan qo'llaniladi)
ARP protokoli bir xil quyi tarmoq ichida joylashgan xostlar uchun IP va
Ethernet manzillari o'rtasida birma-bir yozishmalarni olish imkonini beradi. Bunga
quyidagicha erishiladi: tarmoq resurslariga birinchi marta kirishda xost
FFFFFFFFFFFFh chekilgan manziliga ARP eshittirish so‘rovini yuboradi, unda u
routerning IP-manzilini belgilaydi va uning chekilgan manzilini (internet IP-manzili)
so‘raydi. router - bu Internetdagi har qanday tarmoq operatsion tizimini sozlashda har
96
doim qo'lda o'rnatiladigan majburiy parametr). Ushbu eshittirish so'rovi ushbu tarmoq
segmentidagi barcha stantsiyalar, jumladan, marshrutizator tomonidan qabul qilinadi.
Ushbu so'rovni olgandan so'ng, marshrutizator o'zining ARP jadvaliga so'ragan xost
haqidagi yozuvni kiritadi va so'ragan xostga ARP javobini yuboradi, unda u o'zining
Ethernet manzili haqida xabar beradi. ARP javobida olingan Ethernet manzili ARP
jadvaliga kiritiladi, u so'ralayotgan xostdagi operatsion tizim xotirasida joylashgan va
bir xil quyi tarmoq ichidagi xostlar uchun IP va Ethernet manzillarini moslashtirish
uchun yozuvlarni o'z ichiga oladi
Agar masofaviy qidiruv algoritmlari tarmoq operatsion tizimida ishlatilsa,
bunday tarmoqda odatiy masofaviy hujumni amalga oshirish mumkin, bu - soxta
serverdir. ARP protokolini tahlil qilishdan ko'rinib turibdiki, tarmoqning ushbu
segmentidagi hujum qiluvchi xostda ARP eshittirish so'rovini ushlab, yolg'on ARP
javobini yuborish mumkin, unda siz o'zingizni kerakli xost (masalan, yo'riqnoma)
deb e'lon qilishingiz va kelajakda "aldangan" xostning barcha tarmoq trafigini faol
ravishda kuzatib borishingiz mumkin.
Soxta ARP serverining umumiy funktsional diagrammasini ko'rib chiqing:
•
ARP so'rovini kutish;
•
ARP so'rovini qabul qilganda, tarmoq orqali so'ralgan yolg'on ARP javob
xostiga uzatish, unda siz hujum stantsiyasining tarmoq adapteri manzilini
(soxta ARP server) yoki paketlarni qabul qiladigan Ethernet manzilini
ko'rsatishingiz kerak. yolg'on ARP server (soxta ARP javobida haqiqiy
Ethernet manzilingizni ko'rsatish shart emas, chunki to'g'ridan-to'g'ri tarmoq
adapteri bilan ishlashda uni har qanday Ethernet manziliga paketlarni qabul
qilish uchun dasturlash mumkin);
•
o'zaro ta'sir qiluvchi xostlar o'rtasida almashinuv paketlarini qabul qilish, tahlil
qilish, ta'sir qilish va uzatish.
Soxta DNS server.
32-bitli IP-manzillar Internetdagi xostlarga murojaat qilish uchun ishlatiladi,
ular ushbu WAN-dagi har bir tarmoqqa ulangan kompyuterni noyob tarzda aniqlaydi.
Biroq, foydalanuvchilar uchun xostlarga kirish uchun IP-manzillardan foydalanish
juda qulay emas va eng ingl. Shu sababli, Internet paydo bo'lishining eng boshida,
foydalanuvchilarga qulaylik yaratish uchun tarmoqdagi barcha kompyuterlarga nom
berishga qaror qilindi. Ushbu qaror nomlarni IP manzillarga aylantirish muammosini
keltirib chiqardi. Bunday o'zgartirish zarur, chunki tarmoq darajasida paketlar nomlar
bo'yicha emas, balki IP-manzillar bilan murojaat qilinadi. Internetning dastlabki
rivojlanish bosqichida, tarmoqqa oz sonli kompyuterlar ulanganda, NIC (Tarmoq
ma'lumot markazi) nomlarni manzillarga aylantirish muammosini hal qilish uchun
maxsus faylni (xost fayli) yaratdi. tarmoqdagi barcha xostlarning nomlari va tegishli
IP manzillari kiritildi. . Ushbu fayl muntazam ravishda yangilanadi va butun tarmoq
bo'ylab tarqatiladi. Ammo Internet rivojlanishi bilan tarmoqqa ulangan xostlar soni
ortib bordi va bu sxema kamroq va kamroq ishlay boshladi. Shuning uchun nomlarni
aniqlashning yangi tizimi yaratildi, u Domen nomlari tizimi (DNS) deb ataladi.
DNS tizimini amalga oshirish uchun maxsus DNS tarmoq protokoli yaratildi
va Internetda maxsus ajratilgan DNS-serverlar yaratildi.
Keling, DNS xizmati tomonidan hal qilingan asosiy muammoni tushuntiraylik.
Zamonaviy Internet tarmog'ida, uzoq xostga murojaat qilganda, xost faqat uning
97
nomi haqida ma'lumotga ega bo'lishi va to'g'ridan-to'g'ri manzil uchun zarur bo'lgan
IP-manzilini bilmasligi mumkin. Shunday qilib, xostdan oldin masofadan qidirish
muammosi paydo bo'ladi: masofaviy xost nomi bilan uning IP-manzilini toping.
Ushbu muammoni hal qilish DNS protokoliga asoslangan DNS xizmati tomonidan
amalga oshiriladi.
Internetda IP manzilni nom bo'yicha qidirish uchun DNS algoritmini ko'rib
chiqing:
- xost eng yaqin DNS-serverning IP-manziliga yuboradi (u tarmoq OS-ni
o'rnatishda o'rnatiladi) DNS so'rovi, unda IP-manzili topilishi kerak bo'lgan server
nomi ko'rsatilgan;
- DNS-server DNS-so'rovni qabul qilib, uning xost faylini so'rovda ko'rsatilgan
nom uchun tekshiradi. Agar ism topilsa va shuning uchun unga mos keladigan IP-
manzil topilsa, u holda DNS-server so'ralgan xostga DNS-javob yuboradi, unda
kerakli IP-manzil ko'rsatiladi. Agar so'rovda ko'rsatilgan DNS-server o'z nomlari
bazasida (host file) aniqlay olmagan bo'lsa, u holda DNS-so'rov DNS-server
tomonidan unga eng yaqin bo'lgan keyingi DNS-serverga yuboriladi va ushbu bandda
tasvirlangan protsedura nom topilmaguncha takrorlanadi (yoki topilmadi).
Soxta DNS-serverning umumiy ishlash sxemasini ko'rib chiqamiz:
- DNS so'rovini kutish;
- DNS so'rovini qabul qilib, soxta DNS-serverning IP-manzilini ko'rsatadigan
noto'g'ri DNS-javobni tarmoq orqali so'rovchiga uzatish;
- hostdan paket qabul qilinganda, paketning IP sarlavhasidagi uning IP-
manzilini soxta DNS-serverning IP-manziliga o'zgartirish va paketni serverga
yuborish (ya'ni, soxta DNS-server server bilan ishlaydi) o'z nomidan);
- serverdan paket qabul qilinganda, paketning IP sarlavhasidagi uning IP-
manzilini soxta DNS-serverning IP-manziliga o'zgartirish va paketni xostga yuborish
(xost uchun soxta DNS-server haqiqiy hisoblanadi. server).
Nazorat savollari:
1. Tarmoqda qanday zaifliklar mavjud?
2. Tarmoq tahdidlari necha turga bo’linadi?
3. Razvedka hujumlarlarga misol keltiring.
4. Zararli hujumlar turlarini aytib bering.
5. Tarmoq trafigi qanday tahlil qilinadi?
6. Qalbaki ARP-server va DNS-serverlar ishlash tizimi qanday?
98
|