Анализатор сетевых потоков IRIS

Лабораторная работа 

Анализатор сетевых потоков IRIS

Анализатор сетевых потоков IRIS предназначен для анализа сетевого трафика, просмотра содержимого захваченных пакетов, обнаружения попыток установления сетевых соединений.

Запуск процедуры захвата сетевого трафика

При запуске программы IRIS открывается окно следующего вида:

Запуск нового сеанса захвата трафика – кнопка . Останов – кнопка , которая появляется на месте предыдущей (зеленого треугольника).

Настройка сетевого анализатора IRIS

Настройка IRIS производится командой Tools/Settings. Откроется окно следующего вида:

В левой панели окна указаны пять разделов, которые можно настроить по отдельности:

Capture                     - настройка опций захвата пакетов

Decode                       - настройка опций декодирования захваченных пакетов

Adapters                    - выбор сетевого адаптера, через который идет захват

Guard                        - в данной версии этот раздел отключен

Miscellaneous           - настройка взаимодействия IRIS с операционной системой

Настройка фильтров захвата пакетов

Настройка фильтров производится командой Filters/Edit filter. Открывающееся окно в своей левой части содержит панель с 7 разделами, которые настраивают различные виды фильтров. В правой части окна находится панель настроек конкретного раздела, выбранного в данный момент.

Настройка аппаратного фильтра

Раздел Hardware filter содержит настройки фильтров, выполняемые на уровне сетевого адаптера. Раздел содержит следующие настройки:

·  Promiscuous – захват всего сетевого трафика (опция по умолчанию).

·  Directed – захват только входящих пакетов только на указанный хост (исходящие пакеты не будут захвачены)

·  Multicast – захват широковещательных пакетов

·  All multicast - захват широковещательных пакетов, указанных в адресной книге

·  Broadcast - захват широковещательных пакетов с МАС адресом FF:FF:FF:FF:FF:FF

·  Functional -

·  Mac Frame

·  Source Routing – захватвсех пакетов с маршрутизацией от источника

·  Group – захват всех пакетов, посланных на текущий групповой адрес

Настройка фильтра 2 и 3-его уровней сетевой архитектуры

Раздел Layer 2, 3 содержит настройки фильтра на уровне сетевых протоколов. Нужно отметить те протоколы, пакеты которых будет захватывать программа. По умолчанию захватывается весь сетевой трафик. Окно выглядит так:

Настройка фильтра IP-адресов

Раздел IP Address содержит настройки фильтра на уровне IP-адресов. Можно указать конкретный IP-адрес и направление трафика (входящий или исходящий), широковещательный адрес или адрес из адресной книги (если эта книга не пуста).

Настройка фильтра портов

Раздел Ports позволяет настроить фильтр по каждому порту в отдельности. В окне справа приведен список популярных портов, а в окне слева список портов, пакеты которых будут захвачены программой. При этом безразлично, указан ли в пакете данный порт как порт источника или как порт назначения. Если нужно вставить в фильтр порт, которого нет в списке, просто укажите его номер в поле Custom port, и нажмите кнопку Insert для вставки порта в фильтр. Окно настройки выглядит так:

Просмотр и анализ захваченных пакетов

Результаты захвата пакетов выводятся в окне Capture, которое состоит из трех частей:

·  справа вверху расположено окно, в котором выводится общий список захваченных пакетов

·  слева расположено окно, выводящее результаты декодирования пакета в виде, соответствующем сетевому протоколу (Packet Decoder)

·  справа внизу расположено окно, в котором выводится содержимое пакета (Packet Editor)

Для того, чтобы в окнах Packet Decoder и Packet Editor появились данные, нужно мышью выделить конкретный пакет в списке пакетов. Тогда окна Packet Decoder и Packet Editor отразят содержимое этого пакета:

Редактор пакетов Packet Editor выделяет красным цветом ту часть содержимого пакета, которая в данный момент отмечена в Packet Decoder. Редактор пакетов выводит содержимое пакетов в двух кодировках сразу: в 16-ричном виде (слева) и в коде ASCII (справа).

Ведение протоколов

Программа может создавать два вида протоколов: протоколы захвата и протоколы декодирования. Чтобы настроить ведение протоколов, выберите команду Tools/Logs. Для настройки протоколов захвата выберите команду Tools/Logs/Capture Logs, для настройки протоколов декодирования - команду Tools/ Logs/ Decode Logs. При выборе протоколов захвата откроется окно следующего вида:

Чтобы включить протоколирование, нужно установить флажок в поле Enable Capture logging. В поле Storage folder нужно указать каталог, в котором будут храниться протоколы и отчеты. Затем нужно сделать выбор типа протокола. Выбор опции Create report files означает формирование текстового протокола в формате .csv, не включающего содержимое захваченных пакетов (в этой опции можно указать поля, которые будут выведены в отчет).

            Установка флажка в поле Make daily folders позволяет программе создавать новый каталог для отчетов за каждый день.

Опция Decode Logs настраивает вывод протоколов декодирования (содержимое левой части окна Capture при выборе конкретного пакета.

Вывод статистики сетевого трафика

Статистические отчеты, генерируемые программой IRIS, могут регистрировать следующие параметры сетевого трафика:

·  количество входящих байт

·  количество исходящих байт

·  общее количество байт

·  количество входящих пакетов

·  количество исходящих пакетов

Вывод статистики производится командой View > [Protocol Distribution, Top Hosts, Size Distribution]. В открывшемся окне можно настроить вид и состав выводимых данных конкретной статистики. Вид диаграммы (линейчатая, круговая и др.) можно выбрать кнопкой  в панели инструментов, остальные параметры – другими кнопками.

            Например, при выборе команды View /Protocol Distribution открывается окно следующего вида:

Выбор команды [Protocol Distribution, Top Hosts, Size Distribution] определяет, какую именно статистику мы будет выводить. Команда Protocol Distribution настраивает вывод статистики по конкретным сетевым протоколам, команда Top Hosts – по отдельным компьютерам (узлам в сети), команда Size Distribution – настраивает вывод статистики по пакетам с определенными размерами.

            Команда View / Bandwidth выводит график общей загрузки сети в каждый момент времени. В соответствующем окне можно настроить параметры графика.

            Для того, чтобы можно было просмотреть статистику трафика, нужно сделать захват трафика. Статистики можно смотреть и во время захвата, и после того, как он прекращен, но в буфере есть захваченные пакеты.

Задание к лабораторной работе

1. Посмотрите в сетевых настройках адрес шлюза по умолчанию на вашем компьютере. Настройте фильтры программы IRIS таким образом, чтобы перехватить все пакеты, которые будут проходить по команде ping с вашего компьютера. Проверьте связь со шлюзом командой ping <адрес шлюза>, и выполните перехват всех сетевых пакетов, относящихся к этой команде. Сохраните все пакеты, относящиеся к этой команде,  в файле отчета.
2. Запустите на соседнем компьютере программу сканирования сети, и перехватите все пакеты, относящиеся к этому процессу. Сохраните все пакеты, относящиеся к сканированию вашего компьютера,  в файле отчета.
3. Перезагрузите соседний компьютер, и сделайте перехват пакетов, относящихся к регистрации пользователя в сети. Выясните, в каком виде передается по сети пароль и логин – в открытом или зашифрованном. Сохраните все пакеты, относящиеся к регистрации пользователя,  в файле отчета.
4. Настройте фильтры программы IRIS на перехват всего доступного сетевого трафика. Выведите диаграмму статистики захваченного трафика по протоколу IP и по распределению трафика по отдельным хостам. Сохраните диаграммы в отчете.
5. Покажите преподавателю отчет со всеми сохраненными пакетами и диаграммами.