ضبط بسته چیست؟
پویشگرها با هدف ضبط بستههای اطلاعاتی در شبکهها استفاده میشوند، اما ضبط بسته چیست؟ ضبط بسته (Packet Capture) عمل ضبط بستههای داده روی یک شبکه کامپیوتری است. ضبط عمیق بسته (Deep Packet Capture) عملیات ضبط بسته در سرعت بالای شبکه، و ضبط بستههای آن شبکه به صورت کامل (سرآیند و بدنه) در شبکهای با نرخ ترافیک بالا است. هنگامی که بسته ضبط و ذخیره شد، چه در حافظه کوتاه مدت یا حافظه بلند مدت، آنگاه ابزارهای نرمافزاری، عملیات بازرسی عمیق بسته را جهت بازبینی دادههای بسته، انجام آنالیزهای قانونی برای کشف علت ریشهای مشکلات شبکه، شناخت تهدیدات امنیتی و اطمینان از مطابقت ارتباطات بستهها و استفاده از شبکه با سیاستهای مشخص شده را به اجرا میگذارند. برخی از عملیات ضبط عمیق بسته میتوانند با عملیات بازرسی عمیق آن همراه شوند و در نتیجه میتوانند به مدیریت، بازبینی و آنالیز تمامی ترافیک شبکه به صورت زمان واقعی و همزمان نگهداری آرشیوی تاریخی از کل ترافیک شبکه برای آنالیزهای آینده بپردازند. ضبط بسته جزئی میتواند سرآیند بستهها را بدون قسمت دادههای آن ضبط کند. این امر باعث کاهش فضای ذخیرهسازی مورد نیاز میشود و از مشکلات قانونی جلوگیری میکند با این وجود باز هم دارای مقدار داده کافی جهت آشکارسازی اطلاعات ضروری مورد نیاز برای تشخیص مشکل میباشد.
اسکنرها چه قابلیتهایی دارند؟
روی شبکههای برودکست سیمی، وابسته به ساختار شبکه (سوییچ) یک نفر میتواند ترافیک روی همه یا فقط قسمتهایی از شبکه را از طریق یک ماشین در شبکه دریافت کند. اگرچه روشهایی وجود دارد که سوییچها از دستیابی به ترافیک شبکه از طریق سیستمهای دیگر جلوگیری میکنند. برای مانیتور کردن شبکه (network monitoring) ممکن است مانیتور کردن همه بستههای داده در یک LAN با استفاده از یک سوییچ شبکه که مانیتور کردن پورت (monitoring port) نامیده میشود مناسب باشد. هدف از مانیتور کردن پورت انعکاس همه بستههای در حال عبور از همه پورتهای سوییچ در مواقعی است که سیستمها (کامپیوترها) به یک پورت سوییچ متصل هستند. برای این منظور یک network tap نسبت به استفاده از مانیتور کردن پورت مناسب تر است. چون tapها احتمالاً کم تر بستهها را در طول ترافیک بالا drop میکنند. روی شبکههای محلی بی سیم یک فرد میتواند ترافیک روی یک کانال خاص یا چند کانال را با استفاده از چند آداپتور بگیرد(capture). روی شبکههای محلی برودکست سیمی و شبکههای محلی بی سیم برای ضبط ترافیک، ترافیک تک پخشی(unicast) به ماشینی که در حال اجرای نرمافزار اسنیفر است فرستاده میشود. ترافیک چندپخشی (multicast) به یک گروه چندپخشی که ماشینی از آن در حال شنود است فرستاده میشود. و برای ترافیک پخشی (broadcast) از آداپتور شبکه استفاده میشود که برای ضبط ترافیک باید در مد promiscuous گذاشته شود که بعضی از اسنیفرها آن را پشتیبانی میکنند و بعضیها هم پشتیبانی نمیکنند. روی شبکههای محلی بی سیم حتی اگر آداپتور در مد promiscuous هست، بستهها نه برای مجموعه سرویس بلکه برای این که این آداپتور پیکربندی شود معمولاً نادیده گرفته خواهند شد. برای دیدن بستههای آنها آداپتور باید در حات نظارت باشد. اطلاعات ضبط شده از نوع دیجیتال خام به فرمتی که برای انسان قابل خواندن باشد رمزگشایی میشوند تا کاربران آنالیزور پروتکل به آسانی اطلاعات مبادله شده را تجدید نظر کنند. آنالیزورهای پروتکل قابلیتهای خود را تغییر میدهند تا داده را در چندین نما نشان دهند، بهطور خودکار خطاها را تشخیص دهد، ریشه خطاها را تعیین کند، دیاگرامهای زمانی را تولید کند جریانهای داده TCP و UDP را دوباره ایجاد کند و غیره بعضی از آنالیزورهای پروتکل همچنین میتوانند ترافیک را تولید کنند و به عنوان وسیله مرجع عمل کنند. اینها میتوانند به عنوان آزمایشکننده پروتکل عمل کنند. آزمایشکنندهها ترافیک صحیح پروتکل را برای آزمایش تولید میکنند و ممکن است همچنین این توانایی را داشته باشند که خطاهای آزمون را نشان دهند. آنالیزورهای پروتکل همچنین میتوانند براساس سخت افزار باشند یا در فرمت probe یا بهطور معمولی تر با یک آرایه دیسک ترکیب میشوند. این وسیلهها بستهها را روی آرایه دیسک ضبط میکنند. این کار اجازه تحلیل بستهها را میدهد بدون این که کاربران مجبور باشند هر خطایی را دوباره ایجاد کنند.
اسکنرها به چه منظورهایی استفاده میشوند؟
اسکنرها برای کاربردهای مختلفی استفاده میشوند که از آن جمله باید به تحلیل مسائل شبکه، تشخیص تصادم شبکه، تشخیص سوء استفاده شبکه به وسیله کاربران داخلی و خارجی، مستندسازی حوادثی که در زمانهای متوالی اتفاق میافتد(log) و ترافیک نقطه پایانی(endpoint)، بهدست آوردن اطلاعاتی درباره تأثیر یک تصادم شبکه، مجزا کردن سیستمهای راهاندازی شده، نشان دادن میزان استفاده از پهنای باند WAN، نشان دادن میزان استفاده شبکه، نشان دادن داده در حال حرکت، نشان دادن وضعیت WAN و امنیت نقطه پایانی، جمع آوری کردن و گزارش دادن آمار شبکه، فیلتر کردن محتوی مشکوک از ترافیک شبکه، بکار رفتن به عنوان مبدأ داده اصلی برای مانیتور کردن روزانه شبکه و مدیریت شبکه، رصد فعالیت کاربران شبکههای، از کار انداختن پروتکلهای اختصاصی استفاده شده روی شبکه، اشکالزدایی کردن ارتباطات کلاینت سرور، اشکال زدایی پیاده سازیهای پروتکل شبکه، بازبینی کردن حرکتها و تغییرات و بازبینی کارایی سیستم کنترل داخلی اشاره کرد. از پویشگرهای مهمی که این روزها استفاده میشود باید به تیسیپی دامپ و اشاره کرد.
پویشگرها چه خدمتی به کارشناسان شبکه میکنند؟
با توجه به اینکه پویشگرها با هدف ضبط بستهها استفاده میشوند اطلاعات دقیقی در اختیار کارشناسان شبکه قرار میدهند. از جمله این خدمات مهمی که پویشگرها ارائه میکنند به موارد زیر باید اشاره کرد:
شناسایی شکافهای امنیتی
تحلیل دادههای تاریخی که به وسیله ضبط عمیق بسته (DPC) ضبط شدهاند در تعیین کردن منابع ورود غیر مجاز کمک میکند. DPC میتواند ترافیکی را که به سرورهای مشخص دسترسی دارند و دیگر سیستمها را ضبط کنند تا بتواند تاید کند که جریان ترافیک متعلق به کارکنان مجاز است. با این وجود این تکنیک نمیتواند مثل سیستم جلوگیری نفوذ عمل کند.
شناخت نشتی داده
آنالیز دادههای تاریخی به وسیله DPC به بازبینی محتوا و شناخت نشت داده و تعیین کردن منبع آن نیز کمک میکند. آنالیز دادههای DPC همچنین میتواند آشکار سازد که چه فایلهایی از شبکه به خارج فرستاده شدهاند.
رفع عیب شبکه
اگر اتفاق ناگواری بر روی شبکه تشخیص داده شود، دلیل یا منبع آن به صورت مطمئن تری میتواند شناخته شود اگر که مدیر شبکه دسترسی به دادههای کامل تاریخی داشته باشد. DPC میتواند تمام بستهها را بر روی پیوندهای مهم شبکه بهطور مستمر ضبط کند. وقتی رویدادی رخ میدهد مدیر شبکه میتواند دسترسی دقیق به شرایطی که پیرامون وقوع آن است داشته باشد، اقدام اصلاحی را انجام داده و مطمئن شود که مشکل دیگر روی نخواهد داد. این به کاهش میانگین مدت زمان تعمیر کمک میکند.
جلوگیری قانونی
ضبط بسته میتواند برای عملی کردن تعهد صادره از آژانس اجرای قانون LEA مورد استفاده قرار گیرد تا تمام ترافیک شبکه تولید شده توسط فرد را ارائه دهد. ارائه دهندگان خدمات اینترنت (ISPs) و ارائه دهندگان صدا روی پروتکل اینترنت در برخی کشورها باید خود را با قوانین هماهنگ کنند. DPC رکوردی از تمام فعالیتهای شبکه تهیه میکند. با استفاده از ضبط و ذخیره بستهها، عاملهای ارتباط از راه دور میتوانند امنیت مورد نیاز قانونی را برقرار سازند و دسترسی به ترافیک شبکه هدف را تفکیک کنند و میتوانند از یک دستگاه مشترک برای اهداف امنیت داخلی شبکه استفاده کنند. کاوشگران DPC میتوانند ضبط بدون تلفاتی از ترافیک مورد نظر داشته باشند بدون آنکه بر کارایی شبکه تأثیرگذار باشند. با این وجود وسایل DPC ممکن است در تهیه زنجیره بازبینی مدارک، یا امنیت رضایت بخش برای استفاده در این کاربرد ناتوان باشند. جمعآوری داده از سیستم حامل بدون مجوز، به استناد قوانین مربوط به جلوگیری از دسترسی، غیرقانونی است.
تشخیص گمشدگی داده
در رخدادی که ورود بدون مجوز باعث دزدیده شدن اطلاعات (مثل شماره کارتهای اعتباری، شمارههای امنیت اجتماعی، اطلاعات پزشکی و...) میشود، مدیر شبکه میتواند دقیقاً مشخص کند چه اطلاعاتی دزدیده شدهاند و چه اطلاعاتی هنوز ایمن هستند. این امر میتواند برای ادعای قضایی هنگامی که شرکت کارت اعتباری درخواستی فریبآمیز از خرید غیر مجاز از کارت دریافت میکند، مفید واقع شود.
بررسی راه حلهای امنیتی
هنگامی که استخراج یا ورود غیر مجاز توسط DPC مشخص میشود مدیر سیستم ممکن است به حملهٔ انجام شده علیه سیستم برای جلوگیری از آن جواب دهد. این به مدیر کمک میکند تا بداند راه حل او نتیجه داده یا خیر.
مباحث قانونی
ضبط بسته برای تحقیقات قانونی نیز میتواند با استفاده از ابزارها و سیستمهای منبع باز به راحتی انجام شود. نمونهای از این ابزارها Free BSD و dumpcap هستند.
کارایی مقایسهای
اگر کارایی ناگهان افت کند، دادههای تاریخی میتواند به مدیر این اجازه را بدهد تا پنجره زمانی مشخص را مشاهده و دلیل مشکلات کارآیی را شناسایی کند.
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟