W sieciach TCP/IP mamy wiele potencjalnych problemów i zagrożeń. Administrator serwera lub sieci powinien być zawsze przygotowany na najgorsze czyli awarie i ataki z zewnątrz i wewnątrz. Zapoznamy się więc z poleceniami które pozwolą nam monitorować oraz diagnozować i badać sieć lokalną. Oto lista poleceń które powinniśmy znać i wiedzieć jakie informacje nam udostępniają.

• ping
• netstat
• nmap
• iptraf
• ethereal
• ettercap

Polecenie ping

Testowanie komputerów i sieci na poziomie IP. Program jest zupełnie podstawowym narzędziem administratora sieci. Możemy za jego pomocą uzyskać wiele informacji. Uwaga, wersje polecenia ping są różne w zależności od systemu operacyjnego. Niektóre opcje mogą być inne lub całkiem niedostępne.

Warto pamiętać że polecenie ping bada sieć na poziomie protokołów warstwy łacza danych oraz IP. Oznacza to że TCP i UDP nie maja żadnego wpływu ponieważ ICMP uzywane przez ping działa bezpośrednio na IP. Jest to też pomocne przy badaniu szybkości łacza i ilości traconych pakietów. W TCP nic nie ginie, w IP pakiet może się zapodziać. Nie ma też narzutu związanego z nawiązywaniem połaczenia.

Zwykłe wykonanie polecenia ping (żądania echa ICMP)

ping ADRES_IP_LUB_DOMENA

Wysłanie rozgłoszeniowego komunikatu ping do całej sieci poprzez podanie adresu broadcast sieci (dla sieci 10.0.0.0 / 16 komunikat wyglądałby następująco).

ping 10.0.255.255

Polecenie wysyła tak dużo komunikatów ping ile to tylko możliwe, zalewa sieć maksymalną ilością poleceń ping. Można w ten sposób łatwo sprawdzić czy okablowanie jest poprawne patrząc czy ilość utraconych pakietów jest zbliżona do oczekiwanej. Nie powinno sie tego używać w normalnych sieciach bo powoduje natychmiastowe przeciążenie.

ping -f IP

Wysłanie określonej ilości komunikatów i pokaz statystyk

ping -c 30 IP

Wysyłanie komunikatów z określoną wartością TTL. Za pomocą tej opcji możemy określić maksymalna ilość routerów jakie chcemy przejść nim pakiet zostanie porzucony lub zwrócony przez router z kodem przekroczenia max ttl.

ping -t 1 IP

Wysłanie komunikatów o określonym rozmiarze. Ta opcja pozwoli nam zdiagnozować żadkie i trudne do wykrycia związane z full duplex lub niepoprawnym MTU.

ping -s 1000 IP

Polecenie netstat

Program pozwala na przeglądanie / monitorowanie lokalnych połączeń i gniazd. Program pozwala na przeglądanie jakie połączenia są obecnie zestawione z naszym komputerem oraz jakie lokalne porty nasłuchują na nadchodzące połączenia. Pozwala to łatwo zlokalizować jakie aplikacje sieciowe działają na naszym komputerze.

Podgląd połączeń maskowanych przez system (jeśli jest używany modół maskarady). Chodzi to o połączenia które przechodzą przez nasz komputer jako router dostępu do internetu.

netatat -M

Gadatliwe wyjście programu. pokazuje nam więcej szczegółów.

netatat -v

Nie rozwiązuje nazw domenowych tylko pokazuje IP. Bardzo przydatne gdyż lookupy nazw DNS są bardzo wolne.

netatat -n

Powtarza wykonanie co sekundę. Jeśli chcemy w sposób w miarę ciągly podglądać status lub oczekujemy na jakieś połaczenia testując nasze aplikacje lub sieć.

netatat -c

Pokazuje nasłuchujące porty.

netatat -l

Pokazuje wszystkie połączenia nie tylko w stanie połączonym.

netatat -a

Pokazuje tylko połączenia z danej rodziny protokołów (w przykładzie IP)

netstat -A inet

Przydatna forma polecenia:

netstat -an

Polecenie nmap

Program nmap pozwala na bardzo zaawansowane testowanie zabezpieczeń, ustawień oraz szczegółów konfiguracji hostów.

Pozwala na skanowanie komputerów w trybie aktywnym oraz pasywnym. Tryb aktywny to wysyłanie spreparowanych pakietów by sprawdzić czy host jest aktywny lub jaki jest jego system operacyjny itd. Tryb pasywny to sniffing nakierowany na tworzenie mapy sieci lokalnej z listą serverów oraz usłóg a nawet wersji oprogramowania.

Program nmap pozwala na wykrywanie jakie usługi sieciowe dostepne są na skanowanym komputerze. W dokumentacji polecenia można przeczytać szczegóły składni oraz dostępne parametry. Polecam przetestowanie jak największej części dostępnych parametrów by zobaczyć jakie możliwości oferuje nam program, a są one imponujące.

Wykonanie prostego aktywnego skanowania TCP jednego adresu IP oraz pokaz wyników.

nmap -sT 10.0.0.23

Wykonanie prostego aktywnego skanowania UDP oraz pokaz wyników.

nmap -sU 10.0.0.23

Wykrycie które komputery w sieci odpowiadają na ping oraz wyświetlenie podstawowych informacji. Pozwala na wykrycie jakie mamy zajęte adresy IP np w sieci z DHCP.

nmap -sP 10.0.0.0/24

Skanowanie zakresu portów

nmap -sT 10.0.0.23 -p 0-3000

Rozpoznawanie systemu operacyjnego

nmap -O 10.0.0.23

Skanowanie z pokazaniem duzej ilosci informacji

nmap -O -sU -sT -v 192.168.192.34 -p 0-5000

iptraf

Polecenie pozwala na łatwy i czytelny podgląd ruchu w sieci. Uruchamiamy polecenia z uprawnieniami administratora. Mamy dostępne następujące opcje:

• ip traffic monitor
• general interface statistics
• detailed interface statistics
• statistics breakdowns
• lan station monitor
• filters
• configure

Najpierw udajemy się na zakładkę konfiguracji i określamy jakie ma być zachowanie programu. DNS lookups pozwala na wyświetlanie nazw domenowych zamiast adresów ip. Warto jednak pozostawić ją wyłączoną by nie zdradzać naszego podsłuchu i nie generować dodatkowego szumu.

Warto włączyć opcję promisciuos kart sieciowych. Ustawienie kart w tym trybie powoduje że analizowane będą wszystkie pakiety przychodzące siecią nawet jeśli nie są zaadresowane do naszej karty sieciowej (inny adres MAC). Pozwala to na niejako nasłuchiwanie całego ruchu w naszym segmencie rozgłoszeniowym. Niestety obecnie większość sieci budowanych jest w oparciu o switche tak więc nie będzie do nas docierało nic poza pakietami skierowanymi do nas oraz rozgłoszeniami ARP. Polecam włączyć tryb promiscious i sprawdzić zachowanie się programu.

Nawet jeśli nie będziemy w stanie widzieć pakietów adresowanych do innych komputerów to nadal jest to doskonałe narzędzie do diagnozowania i monitoringu systemu. Będziemy widzieli dokładnie jakiego typu połączenia są aktywne. Zobaczymy też jak wygląda ruch dodatkowy generowany przez system i aplikacje jak lookupy dns, zapytania ARP itd.

Dobrym dowiadczeniem jest właczenie iptraf na routerze (jeśli mamy możliwość ustawić naszego linuxa jako serwer dostępu do sieci dla jakiegoś windowsa. Zobaczymy wtedy wiele ciekawych rzeczy jak połączenia netbios, dns itd. Możemy też upewnić się że nie mamy zainstalowanych prograów szpiegowskich itd.

Opis poszczególnych opcji programu znajdziesz pod adresem http://iptraf.seul.org