5. Analýza síťového provozu
Co se po vás bude chtít?
Metody zachytávání síťového provozu
- Port mirroring (SPAN)
- Network tapping (pasivní, aktivní)
- Promiskuitní režim síťové karty
tcpdump
-
Základní použití:
- Zachytávání paketů
- Výběr síťového rozhraní
-
Filtry:
- Filtrace podle IP adresy
- Filtrace podle protokolu
- Filtrace podle portu
- Kombinace filtrů
-
Práce se soubory:
- Ukládání do pcap formátu
- Čtení ze souboru
- Exportování dat
-
Pokročilé funkce:
- Interpretace binárních dat
- Exportování objektů
Wireshark
-
Základy práce:
- Výběr síťového rozhraní
- Navigace v rozhraní
-
Capture filters:
- Syntaxe BPF
- Filtrace při zachytávání
-
Display filters:
- Wireshark filter syntax
- Filtrace zachycených dat
-
Analýza komunikace:
- Follow stream (TCP, UDP, HTTP)
- Rekonstrukce přenesených dat
-
Pokročilé funkce:
- Statistiky protokolů
- Statistiky endpointů
- Exportování objektů
- Analýza časování (RTT, latence)
-
Analýza protokolů:
- HTTP/HTTPS
- DNS
- DHCP
- ARP
- TCP handshake
Praktická analýza
-
Identifikace problémů:
- Ztráta paketů
- Retransmise
- Latence
- Pomalé připojení
-
Bezpečnostní analýza:
- Detekce podezřelého provozu
- Identifikace síťových útoků
- Analýza malware komunikace
-
Optimalizace sítě:
- Analýza využití bandwidth
- Identifikace bottlenecků
Odkazy na zdroje informací
Základy a teorie
- Practical Packet Analysis - Kniha popisující metody monitorování sítě: port mirroring, tapping, tcpdump, wireshark
tcpdump
man tcpdump- Manuálová stránka- tcpdump dokumentace a příklady použití
Wireshark
- Wireshark dokumentace - Oficiální dokumentace
- Wireshark Wiki - Návody a tipy
- Wireshark Display Filter Reference
Připrav se na HAXAGONu
Analýza síťového provozu:
- Analýza síťového provozu - úvod
- Analýza síťového provozu - pokročilý
- Diagnostika a oprava sítě
Bezpečnost sítí:
- ARP Spoofing (analýza ARP komunikace)