Это – первая статья из серии статей-переводов автора Jasper Bongertz о сетевом анализе. Постепенно мы перейдем от базовых знаний к более глубоким, рассмотрим методы, тонкости и многие другие интересные моменты. Итак…
Собственно захват сетевого трафика – это первый шаг при любом анализе трафика на предмет как производительности, так и безопасности. Не так много специалистов полностью осознают, насколько критичен этот шаг и на какие неожиданные грабли (вплоть до безнадежно испорченного дампа) можно наступить, если не подойти к данному процессу с полным осознанием. На SharkFest 2016 я говорил о том, насколько важен сам процесс захвата и подготовки к нему, и теперь я решил создать серию статей, описывающих оптимальный подход к захвату. Итак, начнем с начала – с самых основ по захвату трафика в проводной (wired) инфраструктуре.
Обо всем по порядку
Захват сетевого трафика может быть полезен для:
- Исследования на предмет активности ПО (что именно софт делает в сети, какой трафик генерирует).
- Траблшутинга проблем со связностью (не хочет подниматься TCP-соединение; или хочет, но потом внезапно обрывается).
- Диагностики плохой производительности как интерактивных «болтливых» соединений, так и при передаче объемных данных.
- Сетевой безопасности, восстановления порядка событий, которые произошли в сети.
- Deep Packet Inspection, поиска известных индикаторов компрометации (Indicators of Compromise, IOCs).
- Изучения потоков в сети и построения графиков (Metadata, NetFlow).
- Реверс-инжиниринга сетевых протоколов.
- Пересборки и извлечения файлов, “пролетающих” по сети.
- Хищения паролей, учетных данных, токенов и т.д.
Ну, то есть, полезен для многих вещей. Главная мысль здесь следующая. Перед самим захватом задайте себе важный вопрос:
