گام 1 - تحلیل گر بسته های شبکه

قابلیت های Packet Sniffing

در شبکه های LAN بسته به نوع ساختار آن (Hub  یا Switch) ، فرد میتواند جریان داده ها بر روی بخشی از این شبکه یا Client  خاص بر روی این شبکه را مانیتور نماید ، هر چند متود های وجود دارد که از دسترسی دیگر سیستم های شبکه و احاطه آنها بر روی جریان داده فوق الذکر جلوگیری می نماید. برای مثال میتوان روش ARP Spoofing را مثال زد که در واقع تکنیکی است که حمله کننده در آن ARP (Address Resolution Protocol) های جعلی را در سطح شبکه LAN ارسال نموده و قصد دارد تا MAC Address خود را به IPAddress میزبانی دیگر نسبت دهد تا ارسال داده ها برای IP آدرس مذکور برای سیستم حمله کننده ارسال شود.

 

pak1

جهت مانیتور کردن یک شبکه حتی میتوان کلیه بسته های اطلاعاتی شبکه LAN را توسط یک سوییچ به همراه یک پورت جهت مانیتورینگ (Monitoring Port) استفاده کرد که می تواند تمام بسته های ارسالی از طریق port های دیگر را هنگام اتصال یک سیستم به یکی از port های سوییچ مورد نظر کپی برداری نماید.

در شبکه های بیسیم Wireless LAN ، میتوان ترافیک شبکه مورد نظر را بر روی یک و یا چندین کانال مختلف مانیتور نمود .

برخی برنامه های Sniffer هنگامی که ترافیک به صورت Multicast ارسال می شود با قرار گرفتن در مد promiscuous mode یا بی قاعده میتوانند همه ترافیک مورد نظر را دریافت نمایند (لازم به ذکر است همه ی Sniffer ها از این مد پشتیبانی به عمل نمی آورند.)

در Sniffer ها اطلاعات دریافتی از داده های خام دیجیتال ، رمز گشایی شده و به زبان قابل خواندن توسط انسان یا در اصطلاح زبان human-readable تبدیل می شوند که به کاربر این اجازه را می دهند که به راحتی اطلاعات رد و بدل شده را تحلیل نمایند. Sniffer ها در نمایش اطلاعات داده ها امکانات مختلفی را برای نمایش اطلاعات به کاربر عرضه میدارند مانند :

    نمایش ریشه خطاهای بوجود آمده
    نمایش نمودار زمانی
    بازسازی داده های TCP و UDP

برخی Sniffer ها خود میتوانند ترافیک ایجاد نموده و خود نقش دستگاه منبع را ایفا نمایند و در تست و تحلیل پروتکل های سیستم کارآمد باشند. این تست کننده ها در برخی مواقع این امکان را به کاربر میدهند تا عمدا برخی خطاها مربوط به DUT را ایجاد نمایند تا کارایی و قابلیت های سیستم در شرایط مشابه بررسی شود.

برخی از تحلیلگر ها نیز ممکن است سخت افزاری باشند ، این سخت افزار ها بسته های اطلاعاتی  و یا قسمتی از آن را کپی برداری و بر روی دیسک سخت خود ذخیره می نمایند.

موارد استفاده از Packet Sniffing

موارد استفاده از Packet Sniffer ها میتواند متغییر باشد که در زیر میتوان به آنها اشاره نمود:

    تحلیل مشکلات شبکه ای
    تشخیص حمله های نفوذی
    تشخیص سوء استفاده از شبکه توسط کاربران داخلی و خارجی
    بدست آوردن اطلاعات مربوط به یک شبکه برای نفوذ به آن
    مانیتور کردن پهنای باند شبکه های WAN
    مانیتور کردن استفاده های کاربران خارجی و داخلی شبکه
    مانیتور کردن داده های موجود در  جریان داده یک شبکه
    مانیتور کردن وضعیت های امنیتی شبکه WAN
    جمع آوری و گزارش آمار های مربوط به شبکه
    فیلتر سازی اطلاعات مشکوک از ترافیک شبکه
    جاسوسی بر روی شبکه های دیگر برای جمع آوری اطلاعات حساس مانند رمز های عبور (بسته به نوع رمز نگاری این داده ها)
    مهندسی معکوس داده های بر روی شبکه
    اشکال زدایی مربوط به ارتباط Client/Server بر روی شبکه
    اشکال زدایی طراحی پروتکل های شبکه
    کنترل و تایید سیستم های داخلی از نظر صحت کارکرد مانند Firewall ها

 

packet_sniffing_bcode-ir

 

برخی از Sniffer های معروف (Packet Analyzers)

    ·         Capsa Network Analyzer
    ·         Cain and Abel
    ·         Carnivore (FBI)
    ·         dSniff
    ·         ettercap
    ·         Fiddler
    ·         Lanmeter
    ·         Microsoft Network Monitor
    ·         NarusInsight
    ·         ngrep Network Grep
    ·         SkyGrabber
    ·         snoop
    ·         tcpdump
    ·         Wireshark

معرفی نرم افزار Ngrep تحت ویندوز:

یکی از Sniffer ها یا Packet Analyzer های تحت ویندوز بوده که در زیر میتوانید محیط این برنامه را تحت خط فرمان ویندوز مشاهده نمایید :

 

pak2

طرز کار آن هم به این صورت است که ابتدا فایل مربوطه را دریافت و با دستور Ngrep در خط فرمان برنامه را اجرا نمایید و پس از زدن دکمه Enter برنامه به صورت خودکار تمام بسته های داده های در حال جریان بر روی شبکه را Capture خواهد کرد.

و سپس میتوان برای ذخیره اطلاعات آنها را در فایلی متنی مطابق دستور زیر ذخیره نمایید.

ngrep >> output.txt

pak3

معرفی نرم افزار TCP Packet Sniffer تحت ویندوز:

یکی از نرم افزار های کاربردی برای مدیران شبکه بوده و در نرم افزار Net Tools موجود می باشد و مدیران شبکه میتوانند با آن بیشتر بسته های شبکه را بررسی نمایند.

 

pak4

راه های مقابله با Packet Sniffing و Sniffer ها

    یکی از کاربردی ترین راه های مقابله با Sniffing ، استفاده از رمز نگاری در داده های رد و بدل شده در شبکه است و در واقع میتوانید داده های خود را با الگوریتم های معروف Hash نمایید
    استفاده از نرم افزار های AntiSniff که در واقع حضور هر گونه مانیتور بر روی شبکه شما را شناسایی مینماییند مانند برنامه های زیر:

    sniffdet
    Sniffer.Detectors
    ntop

    و در آخر میتوان با استفاده از یک Switch در شبکه هایی مانند Ethernet بسته های موجود در جریان داده های شبکه را به مقصد درست آنها راهنمایی کرد و این کار را نیز میتوان با یک پورت نظارتی و ایجاد یک Mirror انجام داد.