Градация методов перехвата


Скачать 212.81 Kb.
Название Градация методов перехвата
страница 1/2
Тип Документы
rykovodstvo.ru > Руководство эксплуатация > Документы
  1   2
Возможности, предоставляемые при перехвате пакетов
На сегодняшний день TCP/IP является стандартным сетевым протоколом. IP (Internet Protocol) обеспечивает функциональность сетевого уровня (адресация и маршрутизация), тогда как TCP (Transmission Control Protocol) контролирует соединение на уровне точка-точка. Стек TCP/IP включает в себя множество других полезных протоколов. В наши дни практически все приложения включают в себя некую сетевую функциональность. Следовательно, для каждого программиста становится необходимым наличие хотя бы базовых знаний о TCP/IP.

TCPDump — утилита, которая позволяет перехватывать и записывать пакеты, проходящие через сетевой интерфейс. Это очень удобная утилита, которая может помочь программисту при поиске ошибок в сетевых приложениях, например, используя петлевой интерфейс (loopback, осуществляется полная обработка данных на транспортном и сетевом уровнях, после чего IP датаграмма направляется по петле назад, когда выходит вниз из сетевого уровня). Однако, в связи с тем, что утилита может перехватывать все пакеты, полученные интерфейсом, она также может быть использована в неблаговидных целях.

Обычно, верхним уровням стека TCP/IP передаются только те пакеты, которые адресованы конкретному сетевому интерфейсу. Все прочие пакеты попросту игнорируются. Если же интерфейс находится в режиме Promiscuous, то верхним уровням передаются абсолютно все пакеты. TCPDump для своей работы переводит интерфейс именно в такой режим.

Итак: TcpDump позволяет делать дамп трафика в сети. TcpDump может использоваться для отображения заголовка пакетов на сетевом интерфейсе, которые соответствуют данному критерию. Также вы можете использовать TcpDump для обнаружения сетевых проблем, некоторых типов нападений и контроля сетевых действий.


Градация методов перехвата



2.1. BPF.
В современных реализациях ядра BSD существует пакетный фильтр BSD (BPF -BSD Packet Filter), именно его использует TCPDump, чтобы отлавливать и фильтровать пакеты из сетевой платы (которая помещена в смешанный режим). BPF также работает с каналами точка-точка, такими как SLIP и с интерфейсом loopback.

Фильтр, указанный пользователем, сообщает BPF, какие фреймы необходимо обрабатывать. Эти инструкции интерпретируются фильтром BPF в ядре. Фильтрация в ядре, а не в пользовательском процессе, уменьшает количество данных, которые должны быть переданы от ядра пользовательскому процессу.

2.2. Библиотека Рсар.
Библиотека рсар предоставляет удобный для программиста интерфейс с BPF и позволяет, не опускаясь на уровень сетевых устройств, установить фильтрацию пакетов, при помощи набора системных и специализированных функций.

С помощью вызова pcap_compile() библиотеки libpcap можно откомпилировать особый BPF-псевдокод из текстовой строчки, которая может быть, к примеру, сохранена в текстовом файле. В tcpdump это выражение вводится в командной строке ("host 192.168.0.1 proto 6 port 23/xOO").

Структура программ, написанных с помощью этой библиотеки, следующая:

Определившись с тем, какое из сетевых устройств собираемся
прослушивать (char *dev = pcap_lookupdev()), мы обращаемся к функции
библиотеки рсар (pcap_t *pcap_open_live(...)), возвращающей указатель на
устройство, который можно будет использовать для переключения между
сессиями в случае, когда одновременно идет работа с несколькими точками
коммуникации.

В случае если нас интересует определенный трафик (только TCP пакеты или
только пакеты, приходящие на порт 23) мы должны создать набор правил
(rule set), откомпилировать (compile) их и принять (apply).

В завершении мы даем команду рсар войти в основной цикл выполнения,
т.е. дождаться получения указанного количества пакетов, при получении
очередного вызывать заранее определенную функцию обработки (возможно,
разбивающую пакет на части и выводящую его на экран пользователю, или
сохраняющую его в файл ...).

После получения достаточной для итогов информации мы закрываем
сессию и на этом работа заканчивается.
2.3. TCPDump.
TCPDump — это программа, позволяющая выводить в файл или на экран информацию о пакетах, приходящих на сетевой интерфейс и удовлетворяющих заданному условию. Она может обрабатывать как сохраненные в файл пакеты, так и непосредственно поступающие от устройства, а так же отброшенные ядром из за недостатка места в буфере. Обычно сетевые платы для сред передачи захватывают только фреймы канального уровня, адресованные конкретному интерфейсу или отправленные на широковещательный адрес. Программа tcpdump разработана таким образом, чтобы переводить сетевую плату в смешанный режим (promiscuous mode), при этом, каждый пакет, проходящий по кабелю, фиксируется

TCPdump использует библиотеку libpcap (библиотека захвата пакетов — packet capture library), которая свободно доступна. Библиотека libpcap универсальна и работает с пакетным фильтром BSD, SVR4 Data-link Provider Interface (DLPI) и интерфейсом Linux SOCK_PACKET.

Помимо многочисленных опций, позволяющих определять многие параметры обработки пакетов, синтаксис вызова этой функции включает выражение для выбора пакетов.

tcpdump [-options] [expression]

Выражение может содержать следующие ограничения:

Tun(type) ограничение, определяющее тип следующего за ним имени или числа.
Может принимать значение host, net и port. Например, 'host foo', 'net 128.3',
'port 20'. По умолчанию host.

Направление(dir) ограничение, определяющее направление. Может принимать
значение src, dst, src or dst и src and dst соответственно от англ, source и
destination. Например, 'src foo', 'dst net 128.3', 'src or dst port ftp-data'.

Протокол(proto) ограничение, определяющее конкретный протокол.

Может принимать значение ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp, udp.
Нарпимер, 'ether src foo', 'arp net 128.3', 'tcp port 21’.

Существуют ограничения, не соответствующие шаблону. Это ключевые слова
gateway, broadcast, less, greater и набор арифметических операций.

Выражение может принимать следующие формы:

  • dst host host - истина, если поле назначения пакета в формате IPv4/v6 имеет
    значение host которое может быть именем или адресом.

  • src host host - то же, но поле источника.

  • host host - истина, если и адрес источника и адрес назначения host.

  • ether dst ehost - истина, если Ethernet-адрес получателя ehost.

  • ether dst ehost — истина, если Ethernet-адрес отправителя ehost.

  • ether host host - истина, если и Ethernet-адрес получателя, и Ethernet-адрес
    отправителя ehost.

  • gateway host - истина, если пакет использовал host в качестве шлюза, т.е.
    если Ethernet-адрес отправителя или получателя был host, но ни IP-адрес
    отправителя, ни IP-адрес получателя не был host.

  • dst net net - истина, если IPv4/v6 адрес получателя с номером сети net.

  • src net net - истина, если IPv4/v6 адрес отправителя с номером сети net.

  • net net - истина, если IPv4/v6 адрес получателя или адрес отправителя с
    номером сети net.

  • net net mask netmask - истина, если маска сети IP-адреса netmask.

  • net net/len — истина, если IPv4/v6 адрес указывает на сеть с длиной сетевой
    маски в len бит.

  • dst port port - истина, если пакет ip/tcp, ip/udp, ip6/tcp or ip6/udp и порт
    получателя port.

  • src port port - истина, если пакет ip/tcp, ip/udp, ip6/tcp or ip6/udp и порт
    отправителя port

  • less length - истина, если длина пакета меньше length.

  • greater length — истина, если длина пакета больше length.

  • ip proto protocol - истина, если ip пакет содержит в себе пакет протокола
    protocol, protocol м.б. icmp, icmp6, igmp, igrp, pim, ah, esp, vrrp, udp or tcp.

  • ip6 proto protocol — то же, но для ip6.

  • ip broadcast - истина, если пакет имеет широковещательный IP-адрес
    (последовательность нулей или единиц).

  • ip multicast — истина, если ip пакет отправлен на несколько машин в разных
    сетях одновременно.

  • ether proto protocol выражения, принимающие значение истина,
    fddi protocol protocol если пакет стандартов Ethernet, FDDI иB

tr protocol protocol TokenRing или OSI соответственно.

iso proto protocol

  • tcp, udp, icmp — сокращения от ip proto p or ip6 proto p , где р – это протокол вышележащего уровня.

В выражениях можно также использовать следующие арифметические операции: >, <, >= , <=, =, !=; а так же бинарные: +,-,*, /, &, |.

  1   2

Похожие:

Градация методов перехвата icon Инструкция пользователя стандартные функции системы: Трехкнопочный...
Усовершенствованный динамический код Keeloq с защитой от сканирования и перехвата
Градация методов перехвата icon Инструкция пользователя стандартные функции системы: Трехкнопочный...
Усовершенствованный динамический код Keeloq с защитой от сканирования и перехвата
Градация методов перехвата icon Руководство по валидации скрининговых методов обнаружения остатков...
Етодов. В руководстве описаны два различных этапа процесса валидации: первоначальная валидация скрининговых методов в исходной лаборатории...
Градация методов перехвата icon Sirolaser Advance
При использовании в ежедневной практике диодного лазера Вы удовлетворите потребности пациента в использовании альтернативных методов...
Градация методов перехвата icon 5 Решение задачи на ЭВМ 59
Для этого был произведен обзор и анализ различных методов выбора критериев, а также методов оценки. На основе проанализорованной...
Градация методов перехвата icon Использование методов арт – терапии для сохранения психологического здоровья учащихся
Экономические условия нашего общества и изменения в социальной политике явились важным фактором, заметно повлиявшим на эволюцию арт...
Градация методов перехвата icon Применение методов активного обучения в образовательном процессе вуза
В данной статье рассматривается применение активных методов обучения, опыт использования которого дает возможность решать ряд труднодостижимых...
Градация методов перехвата icon Практическая работа №1 «Изучение методов конфигурирования сетей доступа»
Практическая работа №2 «Изучение методов отбора, подготовки и контроля линии под технологию adsl»
Градация методов перехвата icon Отчет об итогах работы по оказанию медицинской помощи ветеранам войн...
Севершенствование методов диагностики и лечения путем приобретения новейшего оборудования и применения новых методов лечения
Градация методов перехвата icon Accf/asnc/acr/aha/ase/scct/scmr/snm 2009
Это сообщение посвящено соответствующему использованию сердечного рни. Усовершенствование технологии сердечно-сосудистого отображения...
Градация методов перехвата icon Лаак Я. тер Л01 Психодиагностика: проблемы содержания и методов
Л01 Психодиагностика: проблемы содержания и методов.— М.: Издательство «Институт практической психоло­гии», Воронеж: нпо «модэк»,...
Градация методов перехвата icon Закон РФ «О трансплантации органов и (или) тканей человека»
Медицина не стоит на месте. К XX веку произошли глобальные изменения, способствовавшие более успешному лечению путем применения эффективных...
Градация методов перехвата icon Методические указания по выполнению лабораторная работы «Изучение...
Целью настоящей работы является изучение методов и приобретение навыков правильного выполнения сердечно-легочно-мозговой реанимации...
Градация методов перехвата icon Лабораторная работа №1 Изучение методов контроля параметров врл "Корень-ас"
Изучение методов контроля параметров врл "Корень-ас" встроенными средствами контроля
Градация методов перехвата icon Клинические рекомендации по вопросам планирования семьи и подбора...
По вопросам планирования семьи и подбора методов контрацепции для врачей общей практики
Градация методов перехвата icon 1. Цели и задачи дисциплины: изучение патогенных и условно-патогенных...
Цели и задачи дисциплины: изучение патогенных и условно-патогенных для человека микроорганизмов, их систематики, биологических признаков,...

Руководство, инструкция по применению




При копировании материала укажите ссылку © 2024
контакты
rykovodstvo.ru
Поиск