Помощь в написании студенческих работ
Антистрессовый сервис

Возможности современных сетевых мониторов

Реферат: Возможности современных сетевых мониторов
РефератПомощь в написанииУзнать стоимостьмоей работы

Статистика по коллизиям. Указывает на количество и виды коллизий на сегменте сети и позволяет определить наличие проблемы и ее местонахождение. Коллизии бывают локальные (в одном сегменте) и удаленные (в другом сегменте по отношению к монитору). Обычно все коллизии в сетях типа Ethernet являются удаленными. Интенсивность коллизий не должна превышать 5%, а пики выше 20% говорят о серьезных… Читать ещё >

Возможности современных сетевых мониторов (реферат, курсовая, диплом, контрольная)

Современные мониторы поддерживают множество других функций помимо своих основных по определению (которые рассматривались мной для IP Alert-1). Например, сканирование кабеля.

Сетевая статистика (коэффициент использования сегмента, уровень коллизий, уровень ошибок и уровень широковещательного трафика, определение скорости распространения сигнала); роль всех этих показателей состоит в том, что при превышении определенных пороговых значений можно говорить о проблемах на сегменте. Сюда же в литературе относят проверку легитимности сетевых адаптеров, если вдруг появляется «подозрительный» (проверка по МАС-адресу и т. п.).

Статистика ошибочных кадров. Укороченные кадры (short frames) — это кадры, имеющие длину меньше допустимой, то есть меньше 64 байт. Этот тип кадров делится на два подкласса — короткие кадры с корректной контрольной суммой и коротышки (runts), не имеющие корректной контрольной суммы. Наиболее вероятной причиной появления таких вот «мутантов» является неисправность сетевых адаптеров. Удлиненные кадры, которые являются следствием затяжной передачи и говорят о проблемах в адаптерах. Кадры-призраки, которые являются следствием наводок на кабель. Нормальный процент ошибочных кадров в сети не должен быть выше 0,01%. Если он выше, то либо в сети есть технические неисправности, либо произведено несанкционированное вторжение.

Статистика по коллизиям. Указывает на количество и виды коллизий на сегменте сети и позволяет определить наличие проблемы и ее местонахождение. Коллизии бывают локальные (в одном сегменте) и удаленные (в другом сегменте по отношению к монитору). Обычно все коллизии в сетях типа Ethernet являются удаленными. Интенсивность коллизий не должна превышать 5%, а пики выше 20% говорят о серьезных проблемах.

Существует еще очень много возможных функций, все их перечислить просто нет возможности.

Хочу отметить, что мониторы бывают как программные, так и аппаратные. Однако они, как правило, играют больше статистическую функцию. Например, сетевой монитор LANtern. Он представляет собой легко монтируемое аппаратное устройство, помогающее супервизорам и обслуживающим организациям централизованно обслуживать и поддерживать сети, состоящие из аппаратуры различных производителей. Оно собирает статистические данные и выявляет тенденции, что позволяет оптимизировать производительность сети и ее расширение. Информация о сети выводится на центральной управляющей консоли сети. Таким образом, аппаратные мониторы не обеспечивают достойной защиты информации.

Интерфейс программы сложноват для освоения «на лету» .

Существует некий обязательный набор «умений», которым мониторы обязательно должны обладать, согласно тенденциям сегодняшнего дня:

  • 1. Как минимум:
    • · задание шаблонов фильтрации трафика;
    • · централизованное управление модулями слежения;
    • · фильтрация и анализ большого числа сетевых протоколов, в т. ч. TCP, UDP и ICMP;
    • · фильтрация сетевого трафика по протоколу, портам и IP-адресам отправителя и получателя;
    • · аварийное завершение соединения с атакующим узлом;
    • · управление межсетевыми экранами и маршрутизаторами;
    • · задание сценариев по обработке атак;
    • · запись атаки для дальнейшего воспроизведения и анализа;
    • · поддержка сетевых интерфейсов Ethernet, Fast Ethernet и Token Ring;
    • · отсутствие требования использования специального аппаратного обеспечения;
    • · установление защищенного соединения между компонентами системы, а также другими устройствами;
    • · наличие всеобъемлющей базы данных по всем обнаруживаемым атакам;
    • · минимальное снижение производительности сети;
    • · работа с одним модулем слежения с нескольких консолей управления;
    • · мощная система генерация отчетов;
    • · простота использования и интуитивно понятный графический интерфейс;
    • · невысокие системные требования к программному и аппаратному обеспечению.
  • 2. Уметь создавать отчеты:
    • · Распределение трафика по пользователям;
    • · Распределение трафика по IP адресам;
    • · Распределение трафика по сервисам;
    • · Распределение трафика по протоколам;
    • · Распределение трафика по типу данных (картинки, видео, тексты, музыка);
    • · Распределение трафика по программам, используемыми пользователями;
    • · Распределение трафика по времени суток;
    • · Распределение трафика по дням недели;
    • · Распределение трафика по датам и месяцам;
    • · Распределение трафика по сайтам, по которым ходил пользователь;
    • · Ошибки авторизации в системе;
    • · Входы и выходы из системы.

Примеры конкретных атак, которые могут распознавать сетевые мониторы:

" Отказ в обслуживании" (Denial of service). Любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т. д. Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т. п.

" Неавторизованный доступ" (Unauthorized access attempt). Любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т. п.

" Предварительные действия перед атакой" (Pre-attack probe)

Любое действие или последовательность действий по получению информации ИЗ или О сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа. Примером может служить сканирование портов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т. п.

" Подозрительная активность" (Suspicious activity)

Сетевой трафик, выходящий за рамки определения «стандартного» трафика. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т. п.

" Анализ протокола" (Protocol decode. Сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т. п.

Показать весь текст
Заполнить форму текущей работой

Сессия? Спокойно!