| Protocolanalysators, ook bekend als netwerksniffers of pakketsniffers, vangen alle frames (of pakketten) op een netwerksegment op door gebruik te maken van een techniek die promiscue modus wordt genoemd. .
Hier is hoe het werkt:
1. Netwerkinterfacekaart (NIC)-configuratie: Een normale NIC ontvangt alleen frames die zijn geadresseerd aan zijn eigen MAC-adres. De NIC van een protocolanalysator wordt in de promiscue modus gezet. Dit verandert het gedrag van de NIC.
2. Promiscue modusbediening: In de promiscue modus ontvangt de NIC *alle* frames die op het netwerksegment worden verzonden, ongeacht hun bestemmings-MAC-adres. In wezen kopieert het elk frame dat het op de draad ziet.
3. Opnemen en filteren: De protocolanalysesoftware ontvangt vervolgens deze vastgelegde frames van de NIC. Hoewel het in eerste instantie alles vastlegt, is filteren vaak mogelijk. Met deze filtering kunt u criteria opgeven (bijvoorbeeld specifieke protocollen, IP-adressen, poortnummers) om u te concentreren op het relevante verkeer en te voorkomen dat de analysator wordt overspoeld met onnodige gegevens. De ongefilterde opname wordt vaak opgeslagen in een bestand voor latere analyse.
4. Toegang tot fysieke laag: De methode voor toegang tot de fysieke laag van het netwerk verschilt afhankelijk van het verbindingstype. Voor bekabelde netwerken (Ethernet) gebeurt dit doorgaans via een directe verbinding met de netwerkswitch of hub. Draadloze netwerken gebruiken een draadloze adapter in monitormodus.
Belangrijke overwegingen:
* Ethische en juridische implicaties: Het gebruik van een protocolanalysator vereist een zorgvuldige afweging van ethische en juridische implicaties. Het zonder toestemming vastleggen van netwerkverkeer is in veel rechtsgebieden illegaal.
* Prestatie-impact: Het vastleggen van al het netwerkverkeer kan de netwerkprestaties aanzienlijk beïnvloeden, vooral op langzamere netwerken of netwerken met veel verkeer.
* Netwerktopologie: De effectiviteit van het vastleggen van alle frames is afhankelijk van de netwerktopologie. Om bijvoorbeeld al het verkeer op een geschakeld netwerk vast te leggen, moet de analysator op een locatie worden geplaatst waar deze het verkeer kan "zien". Op een hubgebaseerd netwerk daarentegen zou de analysator al het verkeer ontvangen, terwijl een hub alle frames naar alle aangesloten apparaten uitzendt.
Samenvattend ligt de sleutel tot het vermogen van een protocolanalysator om alle frames vast te leggen in de combinatie van de promiscue modus van de NIC en het vermogen van de software om de vastgelegde gegevens te ontvangen en te verwerken. |
