Для аналізу мережевих пакетів і перегляду їх вмісту одним з найпотужніших методів вважають саме захоплення цих пакетів. За допомогою такої операції можна багато чого дізнатися про те, що і як відбувається в мережі. Досить вивчити сирі дані, які передаються таким чином. Потоки даних не просто захоплюються – можна отримати їх інтерпретацію у вигляді, доступному для розуміння людини. В Linux зробити це можна за допомогою утиліти TCPdump.
Що це таке?
Для фахівців з комп’ютерної безпеки утиліта TCPdump може стати головним інструментом. Це важливе додаток, пов’язане з великою кількістю нюансів. Багатьом подобаються інструменти більш високого рівня, але такий підхід часто сприймають як помилковий.
Програму створено для прослуховування і аналізу роботи мережі. Завдяки додатковим налаштувань програма може проводити аналіз для різних пакетів – призначених не тільки для конкретного Mac-адреси. Припустимо широкомовний тип.
Доступна утиліта TCPdump не тільки в Linux, але і Windows. Завантажити оригінальний клон можна з офіційного сайту, але продукт платний.
Обладнання для підключення до мережі визначає набір можливостей, доступних користувачеві. Ось деякі з них:
- «Трюки» з концентраторами. Коммутаторный порт, прослуховування якого необхідна, з’єднують з участю концентратора. Вузол-монітор теж з’єднують з комутатором. Мережеве підключення відрізняється низькою продуктивністю, але результати все одно є.
- Використання спеціальних засобів або відгалужувачів. Вони включаються в розрив мережевих підключень. Передають трафік на окремий порт, в результаті чого стає доступним його прослуховування.
- Копіювання трафіку. Підтримується лише деякими комутаторами.
- Спостереження за комутаторами або свічами, що утворюють мережу. Комутатору доступний не тільки трафік мережі, але і весь широкомовний трафік, зв’язаний із сегментом.
- Робота в мережах на основі концентраторів.