فرآیند ضبط بسته چیست؟
ضبط بسته (Packet Capture) به فرآیند ضبط و جمعآوری بستههای داده که توسط گرهها روی یک شبکه کامپیوتری مبادله میشود اشاره دارد. اصطلاح دیگری که در این زمینه وجود دارد ضبط عمیق بسته (Deep Packet Capture) است که بیشتر در ارتباط با شبکههای با نرخ ترافیک بالا انجام شده و بیشتر با هدف جمعآوری سریع اطلاعات در ارتباط با سرآیند و بدنه بستهها انجام میشود. هنگامی که بستهها توسط نرمافزارهای امنیتی ضبط و ذخیره میشوند، در ادامه ابزارهای تحلیلی، عملیات بازرسی عمیق بسته را جهت بازبینی دادههای بسته، انجام تحلیلهای قانونی برای کشف علت بروز مشکلات شبکه، شناخت تهدیدات امنیتی و اطمینان از مطابقت ارتباطات بستهها و استفاده از شبکه با خطمشیهای مشخص شده انجام میدهند. برخی از عملیات ضبط عمیق بسته میتوانند با عملیات بازرسی عمیق آن همراه شوند و در نتیجه میتوانند به مدیریت، بازبینی و آنالیز تمامی ترافیک شبکه به صورت زمان واقعی و همزمان نگهداری آرشیوی تاریخی از کل ترافیک شبکه برای آنالیزهای آینده بپردازند.
گاهی اوقات در ارتباط با شبکههای نه چندان حساس از رویکرد ضبط جزئی بستهها استفاده میشود. در این حالت تنها سرآیند بستهها بدون بخش دادهای ضبط میشوند. اینکار بیشتر زمانی انجام میشود که کارشناسان امنیتی به دنبال عدم اشغال فضای ذخیرهسازی هستند. با این حال، به دلیل نبود دادههای کافی جهت آشکارسازی موارد مشکوک این راهکار کمتر مورد استفاده قرار میگیرد.
فیلتر کردن
ضبط بسته میتواند تمام دادههای بسته یا بخش فیلتر شدهای از جریان ترافیک دادهای را ضبط کند.
ضبط کامل بستهها
ضبط کامل بستهها امکان ضبط بسته داده را از لایه پیوند داده تا لایههای بالاتر از آن که شامل لایههای ۲ تا )در مدل OSI میشوند را شامل میشود. در این حالت هر دو بخش سرآیند و بدنه بستهها جمعآوری میشوند. سرآیند شامل اطلاعاتی درباره موارد موجود در بسته است که شبیه به آدرس و اطلاعات حک شده روی پاکت نامه است. بخش بدنه شامل محتوای واقعی بسته را شامل میشود که همان محتوای درون پاکت نامه است. ضبط کامل در بر گیرنده تمامی بستههایی است که از بخشی از شبکه عبور میکنند، صرف نظر از مبدا، پروتکل و دیگر بیتهای مشخصکننده داده در بسته. در فرآیند ضبط کامل کارشناسان بدون محدودیت و بدون هیچگونه فیلتری تمامی بستههای شبکه را جمعآوری میکنند. البته اینکار بیشتر توسط ابزارهای ضبط بسته انجام شده و زمانی انجام میشود که فعالیت مشکوک یا حملهای اتفاق افتاده باشد.
فرآیند ضبط فیلتر
وسایل ضبط بسته میتوانند ضبط بستهها را بر اساس پروتکل، آدرس آیپی، مک آدرس و... محدود کنند. با بهکارگیری فیلترها، فقط بستههای کاملی که معیارهای فیلتر را (چه در قسمت سرایند و چه در قسمت بدنه) داشته باشند، ضبط شده، مورد توجه قرار گرفته یا ذخیره میشوند.
نقاط ضبط چندگانه
یک چالش در شبکههای پیادهسازی شده در مرکز داده این است که ممکن است چند نقطه وجود داشته باشد که باید بستههای آنها برای تجزیه و تحلیل جمعآوری شود. این نقاط شامل رابطهای مسیریابها، سوئیچها، دیوارههای آتش، سرورها و دیگر تجهیزات شبکه است. از رایجترین تکنیکهای مورد استفاده در این زمینه میتوان به تعریف اتصالات شبکه بر خط بوسیله رسانههای رابط (interface connection media) یا گسترش ترافیک سوئیچهای شبکه به یک پورت آیینهای آزاد اشاره کرد. هرکدام از روشهای یاد شده باعث دو برابر شدن بستههای شبکه بر روی رابطهای آن میشوند که آمادهاند تا ورودی ابزار بازبینی شبکه باشند. یک چالش در این زمینه این است که تحلیلهای چند گانه مجزا برای ابزارهای بازبینی مورد نیاز است در نتیجه شاید به تعداد کافی اتصال یا گسترش وجود نداشته باشد تا جوابگوی تمام نیازهای ما باشد. یک راه حل برای این مشکل این است که یک سوئیچ مشخص را تعریف کنیم که منابع چند گانه را در یافت میکند سپس آنها را به صورت داخلی دو برابر کرده، فیلترها را اعمال وخروجی را به سمت ابزارهای بازبینی مورد نظر مسیر دهی میکند. نمونههایی از این سوئیچها مانند سوئیچ آشکار شبکه (Network Visibility Fabric) از Gigamon و ابزار بهینه ساز شبکه (Net tool optimizer) از Ixia است.
ضبط وآنالیز بر مبنای بازه زمانی
هنگامی که دادهها ضبط شدند میتوانند در همان لحظه آنالیز شوند یا ذخیره شده و بعداً آنالیز شوند. بسیاری از ابزارهای بازرسی عمیق بسته متکی بر بازرسی زمان واقعی دادهها هنگام عبور از شبکه هستند و از ضوابط شناخته شده برای آنالیز استفاده میکنند. ابزارهای بازرسی عمیق بسته (DPI) تصمیمات زمان واقعی درباره کارهای مورد انجام بر روی بسته داده اتخاذ کرده، آنالیزهای تعیین شده را به اجراء گذاشته و بر روی نتایج کار میکنند. اگر بستهها بعد از ضبط شدن ذخیره نشوند، دور ریخته خواهند شد و محتویات واقعی بستهها دیگر در دسترس نیستند. ابزارهای ضبط و آنالیز کوتاه مدت، فقط وقتی که نشانههای تهدیدات از قبل شناخته شده باشند، نوعاً میتوانند تهدیدات را شناسایی کنند. با این وجود این ابزارها میتوانند به صورت زمان واقعی عمل کنند. ضبط و آنالیز تاریخی تمام بستههای ضبط شده را بعد از این که داده کاملاً از شبکه رد شد، برای آنالیزهای بعدی نگه میدارد. همانگونه که بازرسی عمیق بسته و ابزارهای آنالیز هشدارها را بیان میکنند، سابقه تاریخی نیز میتواند مورد آنالیز قرار گیرد تا مفاهیم سیستم را برای کشف هشدارها بکار گیرد، و به سوالاتی مانند "چه چیز باعث شد به وضعیت هشدار برسیم؟ " پاسخ دهد.
آنالیز دادههای تاریخی که به وسیله ضبط عمیق بسته (DPC) ضبط شدهاند در تعیین کردن منابع ورود غیر مجاز کمک میکند. DPC میتواند ترافیکی را که به سرورهای مشخص دسترسی دارند و دیگر سیستمها را ضبط کنند تا بتواند تاید کند که جریان ترافیک متعلق به کارکنان مجاز میباشد. با این وجود این تکنیک نمیتواند مثل سیستم جلوگیری نفوذ عمل کند.
شناخت نشتی داده
تحلیل دادههای تاریخی به وسیله DPC به بازبینی محتوا و شناخت نشت داده و تعیین کردن منبع آن نیز کمک میکند. تحلیل دادههای DPC همچنین میتواند آشکار سازد که چه فایلهایی از شبکه به خارج فرستاده شدهاند.
شناسایی و رفع مشکلات شبکه
اگر مشکل جدی روی شبکه تشخیص داده شود، دلیل یا منبع آن به صورت مطمئن تری میتواند شناخته شود اگر که مدیر شبکه دسترسی به دادههای کامل تاریخی داشته باشد. DPC میتواند تمام بستهها را بر روی پیوندهای مهم شبکه بهطور مستمر ضبط کند. وقتی رویدادی رخ میدهد مدیر شبکه میتواند دسترسی دقیق به شرایطی که پیرامون وقوع آن است داشته باشد، اقدام اصلاحی را انجام داده و مطمئن شود که مشکل دیگر روی نخواهد داد. این به کاهش میانگین مدت زمان تعمیر کمک میکند.
ضبط بسته بدون اطلاع مدیر شبکه با پیامدهای قانونی همراه است، زیرا یک فرد میتواند تمام ترافیک شبکه تولید شده توسط شبکه را جمعآوری کند. بهطور مثال، ارائهدهندگان خدمات اینترنت (ISPs) و ارائه دهندگان صدا روی پروتکل اینترنت در ایالات متحده امریکا باید خود را با قانون CALEA (کمکهای ارتباطی برای اجرای قانون) انطباق دهند. DPC رکوردی از تمام فعالیتهای شبکه تهیه میکند. با استفاده از ضبط و ذخیره بستهها، عاملهای ارتباط از راه دور میتوانند امنیت مورد نیاز قانونی را برقرار سازند ودسترسی به ترافیک شبکه هدف را تفکیک کنند و میتوانند از یک دستگاه مشترک برای اهداف امنیت داخلی شبکه استفاده کنند. کاوشگران DPC میتوانند ضبط بدون تلفاتی از ترافیک مورد نظر داشته باشند بدون آنکه بر کارایی شبکه تأثیرگذار باشند. با این وجود وسایل DPC ممکن است در تهیه زنجیره بازبینی مدارک، یا امنیت رضایت بخش برای استفاده در این کاربرد ناتوان باشند. جمعآوری داده از سیستم حامل بدون مجوز، به استناد قوانین مربوط به جلوگیری از دسترسی، غیرقانونی است.
تشخیص از دست رفتن دادهها
در رخدادی که ورود بدون مجوز باعث دزدیده شدن اطلاعات (مثل شماره کارتهای اعتباری، شمارههای امنیت اجتماعی، اطلاعات پزشکی و...) میشود، مدیر شبکه میتواند دقیقاً مشخص کند چه اطلاعاتی دزدیده شدهاند و چه اطلاعاتی هنوز ایمن هستند. این امر میتواند برای ادعای قضایی هنگامی که شرکت کارت اعتباری درخواستی فریبآمیز از خرید غیر مجاز از کارت دریافت میکند، مفید واقع شود.
بررسی راهحلهای امنیتی
هنگامی که استخراج یا ورود غیر مجاز توسط DPC مشخص میشود مدیر سیستم ممکن است به حمله انجام شده علیه سیستم برای جلوگیری از آن جواب دهد. این به مدیر کمک میکند تا بداند راه حل او نتیجه داده یا خیر.
الزامات قانونی
ضبط بسته برای تحقیقات قانونی نیز میتواند با استفاده از ابزارها و سیستمهای منبع باز به راحتی انجام شود. نمونهای از این ابزارها Free BSD و dumpcap هستند. نکتهای که در این زمینه باید به آن دقت کنید کارایی مقایسهای است. اگر کارایی ناگهان افت کند، دادههای تاریخی میتواند به مدیر این اجازه را بدهد تا پنجره زمانی مشخص را مشاهده و دلیل مشکلات کارآیی را شناسایی کند.
اکنون که اطلاعاتی در ارتباط با جمعآوری دادهها بهدست آورید، زمان آن رسیده تا به معرفی ابزارهای پر کاربرد در این زمینه بپردازیم.
وایرشارک
وایرشارک (Wireshark) یک تحلیل کننده نرمافزار آزاد و متنباز است و برای عیب یابی شبکه، تجزیه و تحلیل نرمافزارها و توسعه پروتکلهای ارتباطی و آموزش استفاده میشود. نام اصلی برنامه Ethereal بود و سال ۲۰۰۶ به دلیل مسائل مربوط به علامت تجاری پروژه به Wireshark تغییر نام داد. وایرشارک چندسکویی است و با استفاده از ابزار ویجت جیتیکی+ واسط کاربر را پیادهسازی کرده است و بستههای شبکه را با استفاده از pcap دریافت میکند. وایرشارک روی انواع سیستمعاملهای شبه یونیکس شامل لینوکس، اواس ده، بیاسدی، سولاریس و مایکروسافت ویندوز اجرا میشود. همچنین یک نسخه تحت ترمینال (بدون محیط گرافیکی) به نام TShark وجود دارد. وایرشارک و دیگر برنامههای که با آن منتشر میشود مانند TShark نرمافزار آزاد است و با پروانه عمومی همگانی گنو منتشر میشود.
Aircrack-ng
Aircrack-ng مجموعه ای از نرمافزارهای قوی در لینوکس یا ویندوز است که با تمرکز بر نقاط آسیبپذیر مودم و شبکه وایرلس میتواند اقدام به هک وای فای و نفوذ به وایرلس نماید. برخی از ابزارهایی که در این بسته نرمافزاری وجود دارند عبارتند از:
aircrack-ng: ابزاری برای کرک رمزهای عبور WEP و WPA با استفاده از دیکشنری.
airdecap-ng: ابزاری برای شکستن بستههای رمز نگاری شده با استفاده از رمز به دست آمده.
airmon-ng: ابزاری برای فعال سازی monitor-mode در کارت شبکههای وایرلس.
airodump-ng: ابزاری برای ذخیره بستهها در قالب فایلهای IVS. و PCAP. برای نمایش اطلاعات مربوط به شبکههای وایرلس.
aireplay-ng: ابزاری برای تزریق بسته یا بستک به درون شبکههای وایرلس.
airtun-ng: ابزاری برای ساخت تونل (tunnel) مجازی.
airbase-ng: ابزاری برای ساخت اکسس پوینتهای جعلی و تقلبی.
از مهمترین ویژگیها ابزار یاد شده باید به موارد زیر اشاره کرد:
قابلیت نظارت و کنترل بستههای ارسالی در شبکه و تبدیل آنها به فایلهای متنی برای پردازش و احیاناً رمزگشایی آنها با ابزارهای دیگر
پاسخ گویی به حملات، دسترسیهای غیرمجاز و نقاط دسترسی جعلی، با استفاده از تکنیک تزریق بسته
توانایی تست کارت شبکه و مودم وای فای و شناسایی قابلیتها و تزریق کد به آنها
دارای ابزار شکست پسوردهای WEP و WPA PSK در شبکه و هک پسورد وای فای
سرعت بالا در زمینه پیدا کردن پسوردهای شبکه
محیط کاربری ساده و آسان
Netcat
نتکت (netcat) برنامهای است که برای خواندن و نوشتن روی اتصالات شبکه استفاده میشود. نتکت در این زمینه قابلیتهای زیادی دارد و تقریباً در تمام سیستمعاملهای لینوکسی به شکل پیشفرض وجود دارد. پیدا کردن پورتهای باز و کسب اطلاعات درباره سرویسهای در حال اجرا اطلاعات زیادی در اختیار کارشناسان شبکه قرار میدهد. به کمک نتکت میتوانید تمامی پورتهای یک کامپیوتر را پویش و پورتهای باز را شناسایی کنید.
netstat
netstat سرنام network statistics یک ابزار خط فرمان است که اتصالات شبکه را (هم به داخل و هم به خارج)، جداول هدایت کردن بستهها و تعدادی از آمار رابطههای شبکهای را نشان میدهد.
Traceroute
تریس روت (Traceroute) و tracert فرامین عیبیابی شبکهها هستند که برای ردیابی مسیر حرکت و سنجش تاخیر انتقال بستههای شبکهای در شبکهای با پروتکل اینترنت (IP) مورد استفاده قرار میگیرند. ابزار تریس روت تقریباً در تمامی سیستمعاملهای لینوکسی وجود دارد. البته نوعهای شبیه با قابلیتهای مشابه هم ارائه شدهاند که از آن جمله میتوان به tracepath در لینوکسهای مدرن و tracert در سیستمعامل مایکروسافت ویندوز اشاره کرد. ابزار تریس روت به وسیله افزایش مقدار تیتیال برای هر خوشه ارسال شده از بستهها کار میکند. سه بسته فرستاده شده نخست تیتیال مقدار یک دارند (بر این دلالت میکند که این بستهها به وسیلهٔ میزبان به جای میزبان بعدی ارجاع نشوند). خوشه بستههای بعدی مقدار تیتیال دو دارند و به همین ترتیب مقدار تیتیال خوشههای بستهها زیاد میشود. وقتی یک بسته به یک میزبان میرسد، بهطور عادی یک عدد از مقدار تیتیال آن کم میشود، و پس از آن بسته به مقصد بعدی ارجاع داده میشود. ولی هنگامی که یک بسته با مقدار تیتیال یک به میزبانی برسد، میزبان بسته را دور می ریزد و پیغام آیسیامپی با محتوای از حد زمانی تجاوز شده(نوع ۱۱) به فرستنده بازپس می فرستد. ابزار تریس روت از این نوع بازگشت بسته(رد کردن بسته) استفاده میکند تا لسیتی از میزبانهایی که بسته با مسیریابی منتقل شده تا به مقصد برسد را تولید کند. در ضمن سه مقدار زمانی (از فاصله تا میزبان) برای هر یک از میزبانهایی که بسته باید طی کند با واحد میلیثانیه بازگردانده میشود.(البته میتوان جداگانه میزبانها را پینگ کرد).
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟