PortReporter - бесплатный сниффер сети.

Всем привет.

В заметке "PortQry - бесплатный сканер сетевых портов" было описано одно из двух средств Microsoft, которые могут помочь определить, какие программы обращаются к сетевым портам вашего компьютера. Подобные средства важны, если вам требуется наладить работу сетевых служб или обнаружить нежелательные программы. Средство PortQry является ориентированным на Microsoft сканером сетевых портов с функциями наблюдения за локальным узлом. 

Сегодня я хочу рассказать о средстве PortReporter (устанавливается как служба), которое позволяет контролировать сетевую активность на отдельном компьютере в течение длительного времени. В отличие от средства PortQry, обеспечивающего возможность просмотра в реальном времени работающих сетевых приложений и их поиск в сети, служба PortReporter протоколирует активность портов TCP и UDP, собирает хронику сетевой активности и работы соответствующих приложений в течение некоторого периода времени, так что вы можете просмотреть результаты позже. PortReporter также предоставляет возможность многословного протоколирования в случаях, когда основные приложения меняют сетевые соединения, например, когда они принимают новое соединение. Можно вручную просмотреть эту информацию, чтобы установить, например, какие приложения принимают или порождают сетевые соединения. Служба PortReporter также отмечает библиотеки DLL, используемые приложениями, так что вы будете точно знать, какой код обращается к сети.

В зависимости от объема трафика, журналы службы PortReporter часто становятся слишком большими для анализа. Для таких журналов можно использовать другое бесплатное средство Microsoft PortReporterParser - чтобы интерпретировать и анализировать данные и представлять их в удобном формате. Давайте познакомимся с этими двумя средствами.

PortReporter

PortReporter является бесплатным средством от Microsoft, которое устанавливает себя как службу. Вы загружаете файлы средства PortReporter с сайта Microsoft и распаковываете их в любую папку по своему выбору. Запустите программу установки (setup.exe), чтобы разместить приложение на компьютере, который хотите проверять. По умолчанию программа устанавливает PortReporter в папку C:\ProgramFiles\PortReporter. С точки зрения процесса установки, служба PortReporter не так гибка как PortQuery, но как вы сами убедитесь, она предоставляет гораздо больше информации.

В программе Administrative Tools меню Control Panel нужно открыть папку Services. Найдите запись PortReporter и запустите службу. Если оставить эту службу работать под учетной записью LocalSystem, она сможет собирать информацию обо всех процессах, которые могла пропустить при работе под менее привилегированными учетными записями. PortReporter сохраняет журналы данных в папке \LogFiles, также используемой другими приложениями Windows (например, %systemroot%\System32\LogFiles\PortReporter). Можно настроить службу PortReporter таким образом, что она будет чередовать журналы, создавая новый журнал каждый раз при запуске, каждый день или же при превышении заданного размера файла. По умолчанию PortReporter создает новый файл журнала, когда объем текущего файла превышает 5 Мбайт. Вы можете изменить местоположение и максимальный размер файлов журнала с помощью диалогового окна Properties, выбрав панель General и задав собственные стартовые параметры для службы. 

Например, стартовые параметры

-ld 'C:\PRLogFiles' -ls 10000

определяют, что служба PortReporter будет размещать свои журналы в папке C:\PRLogFiles и создавать новый файл журнала, когда объем старого файла превысит 10 000 Кбайт.

При запуске службы PortReporter создает три независимых файла журналов (INITIAL, PORTS и PIDS), имена которых формируются на основе даты создания, например PR-INITIAL-04-08-28-16-7-19.log, PR-PORTS-04-08-28-16-7-19.log и PR-PIDS-04-08-28-16-7-19.log:

• Файл журнала INITIAL содержит информацию о портах, в которых замечена активность на момент запуска службы. Он напоминает выходные данные команды NetStat, иллюстрирующие всю сетевую активность, и отражает при этом идентификатор процесса (PID), порт, локальные и удаленные адреса. Вдобавок этот отчет содержит полную информацию не только об основном приложении, но и о его библиотеках DLL. Эта информация упрощает обнаружение приложений-взломщиков, таких как "троянские кони", так как она заостряет внимание не только на основном приложении, но и на библиотеках, используемых этим приложением.

• Файл журнала PORTS представляет собой простой список всех сетевых соединений, с указанием даты и времени подключения, протокола (TCP или UDP), порта, адресов источника и приемника, имени приложения и имени пользователя, под которым запущено это приложение. Формат данных с разделением запятой (CSV) позволяет легко импортировать информацию в Microsoft Excel для анализа. Или же можно использовать средство PortReporterParser, о котором я расскажу ниже. Поскольку PortReporter работает как служба, он незаметно проводит протоколирование в фоновом режиме, позволяя периодически проверять, какие сетевые приложения действовали в определенный период времени в данной системе.

• Файл журнала PIDS является самым объемным из трех. В отличие от журнала PORTS, записывающего каждое новое соединение как отдельную строку данных, в файле журнала PIDS записывается вся программная и модульная информация о процессе, инициализирующем сетевую активность. Так, например, в результате выполнения программы ftp.exe в отчете появится масса информации не только о службе FTP, но и о модулях, выполняемых совместно с приложением ftp.exe. На Рисунке 3 показана часть данных, содержащихся в журнале PIDS. Эти подробности полезны, если необходимо выяснить, где вредоносная программа внедрила себя в состав IE в качестве модуля, или если червь или вирус пытаются использовать сеть.

PortReporterParser

Служба PortReporter предоставляет массу информации с помощью трех типов файлов журнала. В качестве помощи в организации процесса интерпретации и корреляции этих данных из трех файлов, Microsoft предлагает средство анализа журналов службы PortReporter. Необходимо предварительно установить пакет Windows .NETFramework. Запустите приложение и выберите для анализа журнал PORTS. Служба PortReporterParser открывает файл и представляет его в виде матрицы данных, как показано ниже.

На первый взгляд, представление данных службой PortReporterParser не отличается от формата представления CSV в Excel, но на самом деле PortReporterParser делает гораздо больше. Можно выбрать любую запись журнала и получить по ней подробную информацию из файла PIDS. Вдобавок можно фильтровать или выделять данные, указав свои критерии. Вы можете указать критерий, основанный на имени модуля, IP-адресе, портах, учетных записях пользователя или имени основного узла. Когда вы применяете критерий, служба PortReporterParser выделяет соответствующие критерию записи красным цветом, таким образом, их легко заметить среди остальных. Кроме того, когда вы обращаетесь за подробной информацией по выделенной записи, PortReporterParser предупреждает вас, что данные были помечены, и выводит уведомление, вид которого можно настроить.

Служба PortReporterParser также обеспечивает для протоколированных IP-адресов анализ DNS и может выполнять основные статистические подсчеты в различных формах: использование локального TCP порта (LocalTCPPortUsage), использование процесса (ProcessUsage), перечень svchost.exe (svchost.exeEnumeration), использование удаленного IP-адреса (RemoteIPAddressUsage), применение окружения пользователя (UserContextUsage), почасовое использование порта (PortUsagebyHour) или iexplore.exe (iexplore.exeUsage). Эта статистика открывает массу полезной информации, касающейся сетевой активности компьютера. 

Как и средство PortQry, службы PortReporter и PortReporterParser увеличивают прозрачность сетевой активности в системах Windows и заметно усиливают набор средств обеспечения безопасности. Пакеты PortReporter и PortReporterParser обеспечивают понимание и анализ данных сетевой активности в конкретном узле. Эти средства обрабатывают информацию и представляют ее в уникальной форме, помогая точно определить, какие приложения используют вашу сеть.

Джеф Фелинг (jeff@blackstatic.com) - Глава отдела информационной безопасности компании aQuantive. Автор книги IT Administrator’s Top 10 Introductory Scripts for Windows (Charles River Media).