| Определение типа сети
Определить, к какому типу относится используемая вами сеть (т.е. к сетям с множественным
доступом или же к сетям с коммутацией пакетов), очень просто. Используя простейшую
программу перехвата пакетов, например tcpdump (для NT или UNIX), вы получите все
данные, необходимые для того, чтобы сделать однозначное заключение.
В коммутируемых
сетях вы сможете увидеть только трафик широковещательных сообщений (broadcast
traffic), трафик групповых сообщений (пакеты, передаваемые группе узлов; multicast
traffic), а также потоки данных, отправляемые и получаемые вашим компьютером.
В показанном ниже примере сеанса работы утилиты tcpdump, запущенной в коммутируемой
сети, видно, что утилита перехватила только циркулярную рассылку по протоколу
SAP (Service Advertisement Protocol) и пакеты, отправляемые по протоколу разрешения
адресов (ARP — Address Resolution Protocol).
20:20:22.530205
0:80:24:53:ae:bd >
1:80:c2:0:0:0 sap 42 ui/C len=43
0000 0000 0080
0000 8024 53ae dlOO 0000
0080 0000 8024 53ae d!80 OdOO 0014 0002
OOOf
0000 0000 0000 0000 00
20:20:24.610205 0:80:24:53:ae:bd >
1:80:c2:0:0:0
sap 42 ui/C len=43
0000 0000 0080 0000 8024 53ae dlOO 0000
0080 0000 8024
53ae d!80 OdOO 0014 0002
OOOf 0000 0000 0000 0000 00
20:20:25.660205 arp
who-has 172.29.11.100 tell 172.29.11.207
20:20:26.710205 0:80:24:53:ae:bd
> 1:80:c2:0:0:0 sap 42 ui/C len=43
0000 0000 0080 0000 8024 53ae dlOO 0000
0080 0000 8024 53ae d!80 OdOO 0014 0002
OOOf 0000 0000 0000 0000 00
20:20:28.810205
0:80:24:53:ae:bd >
1:80:c2:0:0:0 sap 42 ui/C len=43
0000 0000 0080
0000 8024 53ae dlOO 0000
0080 0000 8024 53ae d!80 OdOO 0014 0002
OOOf
0000 0000 0000 0000 00
20:20:30.660205 arp who-has
172.29.11.100 tell
172.29.11.207
В то
же время в сетях с множественным доступом к передающей среде вы увидите все типы
данных, пересылаемых по сети разными узлами. Например, в показанном ниже фрагменте
сеанса работы утилиты tcpdump, легко обнаружить потоки данных, предназначенные
другим компьютерам (естественно, такого рода информация гораздо интереснее для
злоумышленников, чем приведенная выше).
20:25:37.640205
192.168.40.66.23 >
172.29.11.207.1581: Р 31:52(21)
ack 4С win 8760
(DF) (ttl 241, id 21327)
20:25:37.640205 172.29.11.207.1581 >
192.168.40.66.23:
Р 40:126(86)
ack 52 win 32120 (DF")
[tos 0x10] (ttl 64, id 4221)
20:25:37.780205 192.168.40.66.23 >
172.29.11.207.1581: P 52:73(21)
ack 126 win 8760 (DF) (ttl 241,id 21328)
20:25:37.800205 172.29.11.207.1581
>
192.168.40.66.23: . ack 73
win 32120 (DF) [tos 0x10] (ttl 64,id 4222)
20:25:37.960205 192.168.40.66.23 >
172.29.11.207.1581: P 73:86(13)
ack 126 win 8760 (DF) (ttl 241,id 21329)
20:25:37.960205 172.29.11.207.1581
>
192.168.40.66.23: P 126:132(6)
ack 86 win 32120 (DF)
[tos 0x10]
(ttl 64, id 4223)
20:25:38.100205 192.168.40.66.23 >
172.29.11.207.1581:
P 86:89(3)
ack 132 win 8760 (DF) (ttl 241, id 21330)
20:25:38.120205 172.29.11.207.1581
>
192.168.40.66.23: . ack 89
win 32120 (DF) [tos 0x10]
(tti 64,id
4224)
| 
