تحليل حزم الشبكة. محللو حركة مرور الشبكة: نظرة عامة على الحلول المدفوعة والمجانية. الميزات الرئيسية لتطبيق CommView

الأصل: 8 من أفضل أجهزة شمع الحزم ومحللي الشبكات
المؤلف: جون واتسون
تاريخ النشر: 22 نوفمبر 2017
ترجمة: A. Krivoshey
تاريخ الترجمة: ديسمبر 2017

استنشاق الحزم هو مصطلح عام يشير إلى فن تحليل حركة مرور الشبكة. خلافًا للاعتقاد الشائع ، لا تنتقل أشياء مثل رسائل البريد الإلكتروني وصفحات الويب عبر الإنترنت في قطعة واحدة. يتم تقسيمها إلى آلاف حزم البيانات الصغيرة ويتم إرسالها عبر الإنترنت بهذه الطريقة. في هذه المقالة ، سنلقي نظرة على أفضل أدوات تحليل الشبكات المجانية ومتشمم الحزم.

هناك العديد من الأدوات المساعدة التي تجمع حركة مرور الشبكة ، ومعظمها يستخدم pcap (على أنظمة شبيهة بـ Unix) أو libcap (على Windows) كنواة خاصة بهم. هناك نوع آخر من الأدوات المساعدة يساعد في تحليل هذه البيانات ، لأنه حتى كمية صغيرة من حركة المرور يمكن أن تولد آلاف الحزم التي يصعب التنقل فيها. تختلف جميع هذه الأدوات تقريبًا قليلاً عن بعضها البعض في جمع البيانات ، وتكمن الاختلافات الرئيسية في كيفية تحليلها للبيانات.

يتطلب تحليل حركة مرور الشبكة فهمًا لكيفية عمل الشبكة. لا توجد أداة تحل بطريقة سحرية محل معرفة المحلل بأساسيات الشبكات ، مثل مصافحة TCP ثلاثية الاتجاهات ، والتي تُستخدم لبدء اتصال بين جهازين. يحتاج المحللون أيضًا إلى بعض الفهم لأنواع حركة مرور الشبكة على شبكة تعمل بشكل جيد ، مثل ARP و DHCP. هذه المعرفة مهمة لأن الأدوات التحليلية ستوضح لك ببساطة ما تطلب منهم القيام به. الأمر متروك لك فيما تطلبه. إذا كنت لا تعرف كيف تبدو شبكتك عادةً ، فقد يكون من الصعب معرفة أنك قد وجدت ما تحتاجه في مجموعة الحزم التي جمعتها.

أفضل متشممي الحزم ومحللي الشبكة

أدوات صناعية

لنبدأ من الأعلى ونعمل في طريقنا إلى الأساسيات. إذا كنت تتعامل مع شبكات على مستوى المؤسسة ، فأنت بحاجة إلى سلاح كبير. بينما يعتمد كل شيء تقريبًا على tcpdump في جوهره (المزيد حول ذلك لاحقًا) ، يمكن للأدوات على مستوى المؤسسة معالجة بعض المشكلات الصعبة مثل ربط حركة المرور من خوادم متعددة ، وتقديم استعلامات ذكية لتحديد المشكلات ، وتنبيه الاستثناءات ، وإنشاء رسوم بيانية جيدة دائمًا ما تكون الرؤساء الطلب ...

يتم توجيه أدوات المؤسسة عمومًا نحو تدفق حركة مرور الشبكة بدلاً من تقييم محتوى الحزمة. أعني بهذا أن الشاغل الرئيسي لمعظم مسؤولي النظام في المؤسسة هو التأكد من أن الشبكة لا تعاني من اختناقات في الأداء. عند حدوث مثل هذه الاختناقات ، يكون الهدف عادةً هو تحديد ما إذا كانت المشكلة ناتجة عن شبكة أو تطبيق على الشبكة. من ناحية أخرى ، يمكن لهذه الأدوات عادةً التعامل مع الكثير من حركة المرور بحيث يمكنها المساعدة في التنبؤ بالوقت الذي سيتم فيه تحميل جزء من الشبكة بالكامل ، وهي نقطة مهمة في إدارة النطاق الترددي للشبكة.

إنها مجموعة كبيرة جدًا من أدوات إدارة تكنولوجيا المعلومات. في هذه المقالة ، تعد الأداة المساعدة Deep Packet Inspection and Analysis أكثر ملاءمة ، وهي جزء لا يتجزأ منها. يعد جمع حركة مرور الشبكة أمرًا بسيطًا جدًا. باستخدام أدوات مثل WireShark ، لا يمثل التحليل الأساسي مشكلة أيضًا. لكن الوضع ليس دائمًا واضحًا تمامًا. في شبكة مزدحمة للغاية ، قد يكون من الصعب تحديد أشياء بسيطة جدًا مثل:

ما هو التطبيق الموجود على الشبكة الذي يولد هذه الحركة؟
- إذا كان التطبيق معروفًا (مثل متصفح الويب) حيث يقضي مستخدموه معظم وقتهم؟
- ما هي الاتصالات الأطول وتزيد من الحمل على الشبكة؟

تستخدم معظم أجهزة الشبكة البيانات الوصفية لكل حزمة للتأكد من انتقال الحزمة إلى حيث تريد. محتويات الحزمة غير معروفة لجهاز الشبكة. الفحص العميق للحزم مسألة أخرى ؛ هذا يعني أنه يتم فحص المحتويات الفعلية للعبوة. بهذه الطريقة ، يمكنك اكتشاف معلومات الشبكة الهامة التي لا يمكن الحصول عليها من البيانات الوصفية. يمكن لأدوات مثل تلك التي توفرها SolarWinds أن توفر بيانات ذات مغزى أكثر من مجرد تدفق حركة المرور.

تشمل التقنيات الأخرى لإدارة الشبكات كثيفة البيانات NetFlow و sFlow. ولكل منها نقاط القوة والضعف الخاصة بها،

يمكنك قراءة المزيد عن NetFlow و sFlow.

يعد تحليل الشبكة بشكل عام موضوعًا متقدمًا يعتمد على المعرفة المكتسبة وعلى أساس الخبرة العملية. من الممكن تدريب شخص لديه معرفة تفصيلية بحزم الشبكة ، ولكن إذا لم يكن هذا الشخص لديه معرفة بالشبكة نفسها ، وليس لديه خبرة في اكتشاف الحالات الشاذة ، فلن يقوم بعمل جيد. يجب استخدام الأدوات الموضحة في هذه المقالة من قبل مسؤولي الشبكة ذوي الخبرة الذين يعرفون ما يريدون ولكنهم غير متأكدين من الأداة الأفضل. يمكن أيضًا استخدامها من قبل مسؤولي النظام الأقل خبرة لاكتساب خبرة الشبكات اليومية.

أساسيات

الأداة الرئيسية لتجميع حركة مرور الشبكة هي

إنه تطبيق مفتوح المصدر يتم تثبيته على جميع أنظمة التشغيل الشبيهة بـ Unix تقريبًا. Tcpdump هي أداة مساعدة ممتازة لجمع البيانات تحتوي على لغة ترشيح معقدة للغاية. من المهم معرفة كيفية تصفية البيانات عند جمعها حتى ينتهي الأمر بمجموعة بيانات عادية للتحليل. يمكن أن يؤدي التقاط جميع البيانات من جهاز الشبكة ، حتى على شبكة مشغولة بشكل معتدل ، إلى توليد الكثير من البيانات التي سيكون من الصعب للغاية تحليلها.

في بعض الحالات النادرة ، يكفي طباعة بيانات tcpdump الملتقطة مباشرة على الشاشة للعثور على ما تحتاجه. على سبيل المثال ، أثناء كتابة هذا المقال ، جمعت حركة المرور ولاحظت أن جهازي يرسل حركة المرور إلى عنوان IP لا أعرفه. اتضح أن جهازي كان يرسل البيانات إلى عنوان IP الخاص بـ google 172.217.11.142. نظرًا لأنه لم يكن لدي أي من منتجات Google ، ولم يكن لدي Gmail مفتوحًا ، لم أكن أعرف سبب حدوث ذلك. لقد راجعت نظامي ووجدت ما يلي:

[~] $ ps -ef | grep google user 1985 1881 0 10:16؟ 00:00:00 / opt / google / chrome / chrome --type = service

اتضح أنه حتى في حالة تعطل Chrome ، فإنه يظل يعمل كخدمة. لم أكن لألاحظ هذا بدون تحليل الحزمة. اعترضت بضع حزم بيانات أخرى ، لكن هذه المرة أعطيت tcpdump مهمة لكتابة البيانات إلى ملف ، ثم فتحته في Wireshark (المزيد حول هذا لاحقًا). هذه الإدخالات هي:

Tcpdump هي أداة مفضلة لمسؤولي النظام لأنها أداة مساعدة لسطر الأوامر. لا يلزم وجود واجهة رسومية لتشغيل tcpdump. بالنسبة لخوادم الإنتاج ، تعتبر الواجهة الرسومية ضارة إلى حد ما لأنها تستهلك موارد النظام ، لذلك يفضل استخدام برامج سطر الأوامر. مثل العديد من المرافق الحديثة ، يحتوي tcpdump على لغة غنية ومعقدة للغاية تستغرق بعض الوقت لإتقانها. تتضمن بعض الأوامر الأساسية تحديد واجهة شبكة لجمع البيانات وكتابة تلك البيانات في ملف بحيث يمكن تصديرها للتحليل في مكان آخر. يتم استخدام المفاتيح -i و -w لهذا الغرض.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: الاستماع على eth0 ، نوع الارتباط EN10 ميجابايت (إيثرنت) ، حجم الالتقاط 262144 بايت ^ تم التقاط حزم C51

يقوم هذا الأمر بإنشاء ملف بالبيانات الملتقطة:

ملف tcpdump_packets tcpdump_packets: ملف التقاط tcpdump (القليل من Endian) - الإصدار 2.4 (Ethernet ، طول الالتقاط 262144)

المعيار لهذه الملفات هو تنسيق pcap. إنه ليس نصًا ، لذلك لا يمكن تحليله إلا من خلال البرامج التي تفهم هذا التنسيق.

3. Windump

ينتهي الأمر بمعظم الأدوات المساعدة مفتوحة المصدر المفيدة إلى استنساخها في أنظمة تشغيل أخرى. عندما يحدث هذا ، يُقال إن التطبيق قد تم ترحيله. Windump هو منفذ tcpdump ويتصرف بطريقة مشابهة جدًا.

يتمثل الاختلاف الأكثر أهمية بين Windump و tcpdump في أن Windump يحتاج إلى تثبيت مكتبة Winpcap قبل تشغيل Windump. على الرغم من أن كل من Windump و Winpcap يتم توفيرهما بواسطة نفس المشرف ، إلا أنه يجب تنزيلهما بشكل منفصل.

Winpcap هي مكتبة يجب تثبيتها مسبقًا. لكن Windump هو ملف exe لا يحتاج إلى التثبيت ، لذا يمكنك تشغيله فقط. يجب أن يؤخذ هذا في الاعتبار إذا كنت تستخدم شبكة Windows. لا تحتاج إلى تثبيت Windump على كل جهاز حيث يمكنك فقط نسخه حسب الحاجة ، ولكنك ستحتاج إلى Winpcap لدعم Windup.

كما هو الحال مع tcpdump ، يمكن لـ Windump عرض بيانات الشبكة لتحليلها ، وتصفيتها بنفس الطريقة ، وكتابة البيانات إلى ملف pcap لتحليلها لاحقًا.

4. Wireshark

Wireshark هي الأداة التالية الأكثر شهرة في مجموعة sysadmin. لا يسمح لك فقط بالتقاط البيانات ، ولكنه يوفر أيضًا بعض أدوات التحليل المتقدمة. بالإضافة إلى ذلك ، يعد Wireshark مفتوح المصدر ويتم نقله إلى جميع أنظمة تشغيل الخوادم الموجودة تقريبًا. يعمل Wireshark ، الذي يُطلق عليه اسم Etheral ، في كل مكان ، بما في ذلك كتطبيق محمول مستقل.

إذا كنت تقوم بتحليل حركة المرور على خادم واجهة المستخدم الرسومية ، فيمكن لـ Wireshark القيام بكل ذلك من أجلك. يمكنه جمع البيانات ثم تحليلها كلها هنا. ومع ذلك ، فإن واجهة المستخدم الرسومية نادرة على الخوادم ، لذلك يمكنك جمع بيانات الشبكة عن بعد ثم فحص ملف pcap الناتج في Wireshark على جهاز الكمبيوتر الخاص بك.

عند التشغيل الأول ، يتيح لك Wireshark إما تحميل ملف pcap موجود أو البدء في التقاط حركة المرور. في الحالة الأخيرة ، يمكنك أيضًا تعيين عوامل التصفية لتقليل كمية البيانات التي يتم جمعها. إذا لم تحدد عامل تصفية ، فسيقوم Wireshark ببساطة بجمع جميع بيانات الشبكة من الواجهة المحددة.

واحدة من أكثر الميزات المفيدة في Wireshark هي القدرة على متابعة التدفق. من الأفضل التفكير في التدفق كسلسلة. في لقطة الشاشة أدناه ، يمكننا رؤية الكثير من البيانات الملتقطة ، لكنني كنت مهتمًا جدًا بعنوان IP الخاص بـ Google. يمكنني النقر بزر الماوس الأيمن واتباع دفق TCP لرؤية السلسلة بأكملها.

إذا تم التقاط حركة المرور على جهاز كمبيوتر آخر ، فيمكنك استيراد ملف PCAP باستخدام ملف Wireshark -> فتح مربع الحوار. تتوفر نفس عوامل التصفية والأدوات للملفات المستوردة وبيانات الشبكة الملتقطة.

5. شارك

Tshark هو رابط مفيد جدًا بين tcpdump و Wireshark. تتفوق Tcpdump في جمع البيانات ويمكنها استخراج البيانات التي تحتاجها جراحيًا فقط ، ولكن قدرات تحليل البيانات الخاصة بها محدودة للغاية. يقوم Wireshark بعمل رائع في كل من الالتقاط والتحليل ، ولكنه يحتوي على واجهة مستخدم ثقيلة ولا يمكن استخدامه على الخوادم بدون واجهة المستخدم الرسومية. جرب tshark ، فهو يعمل في سطر الأوامر.

يستخدم Tshark نفس قواعد التصفية مثل Wireshark ، والتي لا ينبغي أن تكون مفاجئة لأنها في الأساس نفس المنتج. يخبر الأمر أدناه tshark فقط بالحصول على عنوان IP الوجهة بالإضافة إلى بعض الحقول الأخرى المهمة من جزء HTTP من الحزمة.

# tshark -i eth0 -Y http.request -T field -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox /57.0 /images/title.png 172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css 172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox /57.0 /images/styles/index.css 172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png 172.20.0.122 Mozilla / 5.0 (X11 ؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico 172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico

إذا كنت تريد كتابة حركة المرور إلى ملف ، فاستخدم الخيار -W متبوعًا بالمفتاح -r (قراءة) لقراءته.

الالتقاط أولاً:

# tshark -i eth0 -w tshark_packets الالتقاط على "eth0" 102 ^ C

اقرأها هنا ، أو انقلها إلى مكان آخر لتحليلها.

# tshark -r tshark_packets -Y http.request -T الحقول -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox /57.0 / contact 172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 / reservations / 172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /reservations/styles/styles.css 172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack. js 172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css 172.20.0.122 Mozilla / 5.0 (X11؛ Linux x86_64؛ rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/images/title.png

هذه أداة مثيرة للاهتمام للغاية تندرج في فئة أدوات تحليل الطب الشرعي للشبكة بدلاً من المتشممون فقط. يتعامل مجال الطب الشرعي عمومًا مع التحقيقات وجمع الأدلة ، ويقوم Network Miner بهذه المهمة على ما يرام. تمامًا كما يمكن لـ wireshark تتبع تدفق TCP لاستعادة سلسلة الحزم بأكملها ، يمكن لـ Network Miner اتباع دفق TCP لاستعادة الملفات التي تم نقلها عبر الشبكة.

يمكن وضع Network Miner بشكل استراتيجي على الشبكة لتتمكن من مراقبة وجمع حركة المرور التي تهمك في الوقت الفعلي. لن تولد حركة المرور الخاصة بها على الشبكة ، لذلك ستعمل خلسة.

يمكن أن يعمل Network Miner أيضًا في وضع عدم الاتصال. يمكنك استخدام tcpdump لتجميع الحزم في نقطة ما على الشبكة المهمة ، ثم استيراد ملفات PCAP إلى Network Miner. ثم يمكنك محاولة استعادة أي ملفات أو شهادات موجودة في الملف المسجل.

تم تصميم Network Miner لنظام Windows ، ولكن مع Mono يمكن تشغيله على أي نظام تشغيل يدعم النظام الأساسي Mono ، مثل Linux و MacOS.

هناك نسخة مجانية ، للمبتدئين ، ولكن مع مجموعة مناسبة من الميزات. إذا كنت بحاجة إلى ميزات إضافية مثل تحديد الموقع الجغرافي والبرمجة النصية المخصصة ، فستحتاج إلى شراء ترخيص احترافي.

7. Fiddler (HTTP)

ليست أداة مساعدة لالتقاط حزم الشبكة من الناحية الفنية ، ولكنها مفيدة للغاية لدرجة أنها جعلتها مدرجة في هذه القائمة. على عكس الأدوات الأخرى المدرجة هنا ، والتي تم تصميمها لالتقاط حركة مرور الشبكة من أي مصدر ، فإن Fiddler هو أكثر من أداة تصحيح الأخطاء. يلتقط حركة مرور HTTP. في حين أن العديد من المتصفحات لديها بالفعل هذه الإمكانية في أدوات المطور الخاصة بهم ، فإن Fiddler لا يقتصر على حركة مرور المتصفح. يمكن لـ Fiddler التقاط أي حركة مرور HTTP على جهاز الكمبيوتر الخاص بك ، بما في ذلك التطبيقات بخلاف تطبيقات الويب.

تستخدم العديد من تطبيقات سطح المكتب HTTP للاتصال بخدمات الويب ، وإلى جانب Fiddler ، فإن الطريقة الوحيدة لالتقاط حركة المرور هذه للتحليل هي باستخدام أدوات مثل tcpdump أو Wireshark. ومع ذلك ، فهي تعمل على مستوى الحزم ، لذلك من الضروري إجراء هندسة عكسية لهذه الحزم في تدفقات HTTP لإجراء التحليل. قد يستغرق الأمر الكثير من العمل لإجراء بحث بسيط وهنا يأتي دور Fiddler. يمكن أن يساعد Fiddler في اكتشاف ملفات تعريف الارتباط والشهادات والبيانات المفيدة الأخرى التي ترسلها التطبيقات.

Fiddler مجاني ، تمامًا مثل Network Miner ، يمكن تشغيله في Mono على أي نظام تشغيل تقريبًا.

8. Capsa

يتوفر Capsa Network Analyzer في عدة إصدارات ، ولكل منها قدرات مختلفة. في المستوى الأول ، يعد Capsa مجانيًا ، ويتيح لك بشكل أساسي الحصول على الحزم وإجراء بعض التحليلات الرسومية الأساسية. لوحة القيادة فريدة ويمكن أن تساعد مسؤول النظام عديم الخبرة في التعرف بسرعة على مشاكل الشبكة. المستوى المجاني مخصص للأشخاص الذين يرغبون في معرفة المزيد عن الحزم وبناء مهارات التحليل الخاصة بهم.

يسمح لك الإصدار المجاني بالتحكم في أكثر من 300 بروتوكول ، وهو مناسب لمراقبة البريد الإلكتروني بالإضافة إلى حفظ محتوى البريد الإلكتروني ، كما أنه يدعم المشغلات التي يمكن استخدامها لتشغيل التنبيهات عند حدوث مواقف معينة. في هذا الصدد ، يمكن استخدام Capsa إلى حد ما كأداة دعم.

Capsa متاح فقط لنظام التشغيل Windows 2008 / Vista / 7/8 و 10.

استنتاج

ليس من الصعب رؤية كيف يمكن لمسؤول النظام استخدام الأدوات التي وصفناها لإنشاء بنية تحتية لمراقبة الشبكة. يمكن تثبيت Tcpdump أو Windump على كافة الخوادم. يبدأ المجدول ، مثل cron أو مجدول Windows ، جلسة تجميع الحزم في الوقت المناسب ويكتب البيانات التي تم جمعها في ملف pcap. يمكن لمسؤول النظام بعد ذلك نقل هذه الحزم إلى الجهاز المركزي وتحليلها باستخدام wireshark. إذا كانت الشبكة كبيرة جدًا لذلك ، تتوفر أدوات على مستوى المؤسسات مثل SolarWinds لتحويل جميع حزم الشبكة إلى مجموعة بيانات يمكن إدارتها.

اقرأ مقالات أخرى حول اعتراض حركة مرور الشبكة وتحليلها :

Dan Nanni ، أدوات سطر الأوامر لمراقبة حركة مرور الشبكة على Linux
بول كوبو ، إدارة أنظمة Linux. اعتراض حركة مرور الشبكة
بول فيريل ، 5 أدوات مراقبة شبكة Linux
بانكاج تانوار ، التقاط الحزم بمكتبة libpcap
ريكاردو كابيتشي ، استخدام المرشحات في Wireshark
ناثان ويليس ، تحليل الشبكة مع Wireshark
براشانت فاتاك

أفضل متشممي الحزم ومحللي الشبكة

أدوات صناعية

ما هو التطبيق الموجود على الشبكة الذي يولد هذه الحركة؟
- إذا كان التطبيق معروفًا (مثل متصفح الويب) حيث يقضي مستخدموه معظم وقتهم؟
- ما هي الاتصالات الأطول وتزيد من تحميل الشبكة؟

تشمل التقنيات الأخرى لإدارة الشبكات كثيفة البيانات NetFlow و sFlow. ولكل منها نقاط القوة والضعف الخاصة بها،

يمكنك قراءة المزيد عن NetFlow و sFlow.

أساسيات

الأداة الرئيسية لتجميع حركة مرور الشبكة هي

[~] $ ps -ef | grep google user 1985 1881 0 10:16؟ 00:00:00 / opt / google / chrome / chrome --type = service

يقوم هذا الأمر بإنشاء ملف بالبيانات الملتقطة:

ملف tcpdump_packets tcpdump_packets: ملف التقاط tcpdump (القليل من Endian) - الإصدار 2.4 (Ethernet ، طول الالتقاط 262144)

المعيار لهذه الملفات هو تنسيق pcap. إنه ليس نصًا ، لذلك لا يمكن تحليله إلا من خلال البرامج التي تفهم هذا التنسيق.

3. Windump

4. Wireshark

5. شارك

إذا كنت تريد كتابة حركة المرور إلى ملف ، فاستخدم الخيار -W متبوعًا بالمفتاح -r (قراءة) لقراءته.

الالتقاط أولاً:

# tshark -i eth0 -w tshark_packets الالتقاط على "eth0" 102 ^ C

اقرأها هنا ، أو انقلها إلى مكان آخر لتحليلها.

تم تصميم Network Miner لنظام Windows ، ولكن مع Mono يمكن تشغيله على أي نظام تشغيل يدعم النظام الأساسي Mono ، مثل Linux و MacOS.

7. Fiddler (HTTP)

Fiddler مجاني ، تمامًا مثل Network Miner ، يمكن تشغيله في Mono على أي نظام تشغيل تقريبًا.

8. Capsa

Capsa متاح فقط لنظام التشغيل Windows 2008 / Vista / 7/8 و 10.

استنتاج

تم تطوير أجهزة شم حزم الشبكة ، أو المتشممون ، في الأصل كوسيلة لحل مشاكل الشبكة. إنهم يعرفون كيفية اعتراض الحزم المرسلة عبر الشبكة وتفسيرها وحفظها لتحليلها لاحقًا. من ناحية ، يسمح لمسؤولي النظام ومهندسي الدعم الفني بمراقبة كيفية نقل البيانات عبر الشبكة وتشخيص المشكلات التي تظهر وإصلاحها. بهذا المعنى ، تعتبر أداة شم الحزم أداة قوية لتشخيص مشاكل الشبكة. من ناحية أخرى ، مثل العديد من الأدوات القوية الأخرى المخصصة أصلاً للإدارة ، مع مرور الوقت ، بدأ استخدام المتشممون لأغراض مختلفة تمامًا. في الواقع ، يعتبر الشم في يد المهاجم أداة خطيرة إلى حد ما ويمكن استخدامه لسرقة كلمات المرور وغيرها من المعلومات السرية. ومع ذلك ، لا تعتقد أن المتشممون هم نوع من الأدوات السحرية التي يمكن لأي متسلل من خلالها عرض المعلومات السرية التي يتم إرسالها عبر الشبكة بسهولة. وقبل أن نثبت أن الخطر الذي يشكله المتشممون ليس كبيرًا كما هو مقدم في كثير من الأحيان ، دعونا نفكر بمزيد من التفصيل في مبادئ عملهم.

كيف يعمل شم الحزم

علاوة على ذلك ، في إطار هذه المقالة ، سننظر فقط في متشمم البرامج المصمم لشبكات Ethernet. المتشمم هو برنامج يعمل في طبقة بطاقة واجهة الشبكة (NIC) (طبقة الارتباط) ويقوم باعتراض جميع حركات المرور خلسة. نظرًا لأن المتشممون يعملون في طبقة ارتباط البيانات لنموذج OSI ، فلا يجب عليهم اللعب وفقًا لقواعد بروتوكولات الطبقة العليا. تتجاوز أجهزة الاستنشاق آليات التصفية (العناوين والمنافذ وما إلى ذلك) التي تستخدمها برامج تشغيل Ethernet ومكدس TCP / IP لتفسير البيانات. يلتقط متشمموا الحزم كل ما يأتي على طولها من السلك. يستطيع المتشممون حفظ الإطارات في شكل ثنائي ثم فك تشفيرها لاحقًا للكشف عن معلومات ذات مستوى أعلى مخبأة بالداخل (الشكل 1).

لكي يتمكن المتشمم من اعتراض جميع الحزم التي تمر عبر محول الشبكة ، يجب أن يدعم برنامج تشغيل محول الشبكة الوضع المختلط. في هذا الوضع من تشغيل محول الشبكة يكون المتشمم قادرًا على اعتراض جميع الحزم. يتم تنشيط وضع تشغيل محول الشبكة هذا تلقائيًا عندما يبدأ المتشمم أو يتم ضبطه يدويًا بواسطة إعدادات الشم المناسبة.

يتم إرسال كل حركة المرور التي تم اعتراضها إلى مفكك تشفير الحزم ، الذي يحدد الحزم ويقسمها إلى مستويات التسلسل الهرمي المناسبة. اعتمادًا على قدرات المتشمم المعين ، يمكن تحليل المعلومات المتوفرة حول الحزم وتصفيتها لاحقًا.

حدود استخدام المتشممون

شكل المتشممون الخطر الأكبر في تلك الأيام عندما تم نقل المعلومات عبر الشبكة بشكل واضح (بدون تشفير) ، وتم بناء الشبكات المحلية على أساس المكثفات (المحاور). ومع ذلك ، فقد ولت هذه الأيام بشكل لا رجعة فيه ، والآن استخدام المتشممون للوصول إلى المعلومات السرية ليس بالمهمة السهلة.

الحقيقة هي أنه عند بناء شبكات محلية قائمة على المحاور ، هناك وسيط مشترك معين لنقل البيانات (كبل الشبكة) وجميع عقد الشبكة تتبادل الحزم ، وتتنافس للوصول إلى هذه الوسيلة (الشكل 2) ، وحزمة مرسلة من شبكة واحدة يتم إرسال العقدة على جميع منافذ الموزع ويتم الاستماع إلى هذه الحزمة من قبل جميع المضيفين الآخرين على الشبكة ، ولكن يتم قبول المضيف الذي يتم توجيهها إليه فقط. علاوة على ذلك ، إذا تم تثبيت متلصص الحزمة على إحدى عقد الشبكة ، فيمكنه حينئذٍ اعتراض جميع حزم الشبكة المتعلقة بجزء الشبكة هذا (الشبكة التي شكلها المحور).

تعد المحولات أجهزة أكثر ذكاءً من محاور البث وتعزل حركة مرور الشبكة. يعرف المحول عناوين الأجهزة المتصلة بكل منفذ ويقوم فقط بنقل الحزم بين المنافذ الصحيحة. يتيح لك ذلك إلغاء تحميل المنافذ الأخرى دون إعادة توجيه كل حزمة إليها ، كما يفعل المحور. وبالتالي ، يتم إرسال الحزمة المرسلة عن طريق عقدة شبكة معينة فقط إلى منفذ التبديل الذي يتصل به مستلم الحزمة ، ولا تتمكن جميع عقد الشبكة الأخرى من اكتشاف هذه الحزمة (الشكل 3).

لذلك ، إذا تم إنشاء الشبكة على أساس محول ، فإن المتشمم المثبت على أحد أجهزة كمبيوتر الشبكة قادر فقط على اعتراض تلك الحزم المتبادلة بين هذا الكمبيوتر وعقد الشبكة الأخرى. نتيجة لذلك ، لكي تتمكن من اعتراض الحزم التي يتبادلها الكمبيوتر أو الخادم الذي يهم المهاجم مع بقية عقد الشبكة ، من الضروري تثبيت برنامج الشم على هذا الكمبيوتر (الخادم) ، وهو في الواقع ليس كذلك بسيط. ومع ذلك ، يجب ألا يغيب عن البال أن بعض أجهزة الاستنشاق الدفعية يتم تشغيلها من سطر الأوامر وقد لا تحتوي على واجهة رسومية. يمكن ، من حيث المبدأ ، تثبيت أجهزة الشم هذه وإطلاقها عن بعد وغير مرئية للمستخدم.

بالإضافة إلى ذلك ، يجب أن تضع في اعتبارك أيضًا أنه على الرغم من أن المحولات تعزل حركة مرور الشبكة ، فإن جميع المحولات المدارة لها وظيفة إعادة توجيه المنفذ أو النسخ المتطابق. بمعنى ، يمكن تكوين منفذ المحول بطريقة يتم فيها تكرار جميع الحزم القادمة إلى منافذ المحول الأخرى. إذا تم في هذه الحالة توصيل جهاز كمبيوتر به متلصص حزم بمثل هذا المنفذ ، فيمكنه حينئذٍ اعتراض جميع الحزم المتبادلة بين أجهزة الكمبيوتر على قطاع الشبكة هذا. ومع ذلك ، عادةً ما يكون مسؤول الشبكة فقط هو القادر على تكوين المحول. هذا بالطبع لا يعني أنه لا يمكن أن يكون دخيلاً ، لكن مدير الشبكة لديه العديد من الطرق الأخرى للتحكم في جميع مستخدمي الشبكة المحلية ، ومن غير المرجح أن يتجسس عليك بهذه الطريقة المعقدة.

السبب الآخر الذي يجعل المتشممون لم يعدوا خطرين كما كانوا في السابق هو أن البيانات الأكثر أهمية أصبحت مشفرة الآن. تختفي الخدمات المفتوحة وغير المشفرة بسرعة من الإنترنت. على سبيل المثال ، عند زيارة مواقع الويب ، يتم استخدام بروتوكول SSL (طبقة مآخذ التوصيل الآمنة) بشكل متزايد ؛ يتم استخدام بروتوكول SFTP (بروتوكول نقل الملفات الآمن) بدلاً من بروتوكول نقل الملفات المفتوح ، كما يتم استخدام الشبكات الخاصة الافتراضية (VPN) بشكل متزايد للخدمات الأخرى التي لا تستخدم التشفير افتراضيًا.

لذلك ، يجب على أولئك الذين يشعرون بالقلق بشأن إمكانية الاستخدام الضار لمتشمم الحزم أن يضعوا ما يلي في الاعتبار. أولاً ، لكي تشكل تهديدًا خطيرًا على شبكتك ، يجب أن يتواجد المتشممون داخل الشبكة نفسها. ثانيًا ، تجعل معايير التشفير الحالية من الصعب للغاية اعتراض المعلومات السرية. لذلك ، في الوقت الحالي ، يفقد متشمموا الحزم أهميتهم كأدوات للمتسللين ، لكن في نفس الوقت يظلون أداة فعالة وقوية لتشخيص الشبكات. علاوة على ذلك ، يمكن استخدام المتشممون بنجاح ليس فقط لتشخيص مشاكل الشبكة وتحديد موقعها ، ولكن أيضًا لمراجعة أمان الشبكة. على وجه الخصوص ، يسمح لك استخدام محللات الحزم باكتشاف حركة المرور غير المصرح بها ، واكتشاف وتحديد البرامج غير المصرح بها ، وتحديد البروتوكولات غير المستخدمة لإزالتها من الشبكة ، وإنشاء حركة مرور لاختبارات الاختراق للتحقق من نظام الأمان ، والعمل مع أنظمة كشف التسلل (كشف التسلل النظام ، IDS).

نظرة عامة على مجموعة برامج المتشمم

يمكن تقسيم جميع برامج المتشممون تقريبًا إلى فئتين: المتشممون الذين يدعمون التشغيل من سطر الأوامر ، والمتشممون الذين لديهم واجهة رسومية. في الوقت نفسه ، نلاحظ أن هناك متشممون يجمعون بين هاتين الإمكانيات. بالإضافة إلى ذلك ، يختلف المتشممون عن بعضهم البعض في البروتوكولات التي يدعمونها ، في عمق تحليل الحزم المعترضة ، في القدرة على تكوين المرشحات ، وكذلك في إمكانية التوافق مع البرامج الأخرى.

عادة ما تتكون نافذة أي متشمم بواجهة رسومية من ثلاث مناطق. يعرض الأول ملخص الحزم الملتقطة. عادة ، تعرض هذه المنطقة الحد الأدنى من الحقول ، وهي: وقت التقاط الحزم ؛ عناوين IP لمرسل الحزمة ومستلمها ؛ مصدر الحزمة وعناوين MAC الوجهة ، وعناوين منفذ المصدر والوجهة ؛ نوع البروتوكول (شبكة ، نقل أو طبقة تطبيق) ؛ بعض المعلومات الموجزة حول البيانات التي تم اعتراضها. تعرض المنطقة الثانية معلومات إحصائية حول الحزمة الفردية المحددة ، وأخيرًا ، تعرض المنطقة الثالثة الحزمة في شكل سداسي عشري أو شكل حرف ASCII.

تسمح لك جميع أجهزة متشمم الحزم تقريبًا بتحليل الحزم التي تم فك تشفيرها (وهذا هو سبب تسمية متشممي الحزم أيضًا بمحللي الرزم أو محللي البروتوكول). يقوم المتشمم بتوزيع الحزم الملتقطة حسب الطبقة والبروتوكول. بعض متشمموا الحزم قادرون على التعرف على البروتوكول وعرض المعلومات التي تم اعتراضها. عادة ما يتم عرض هذا النوع من المعلومات في المنطقة الثانية من نافذة الشم. على سبيل المثال ، أي متشمم قادر على التعرف على بروتوكول TCP ، ويستطيع المتشممون المتقدمون تحديد التطبيق الذي يولد حركة المرور هذه. يتعرف معظم محللي البروتوكولات على أكثر من 500 بروتوكول مختلف ويمكنهم وصفها وفك تشفيرها بالاسم. كلما زادت المعلومات التي يستطيع المتشمم فك تشفيرها وتقديمها على الشاشة ، قل ما يتعين عليه فك التشفير يدويًا.

تتمثل إحدى المشكلات التي يمكن أن يواجهها محللو الحزم في عدم القدرة على تحديد البروتوكول بشكل صحيح باستخدام منفذ آخر غير المنفذ الافتراضي. على سبيل المثال ، لتحسين الأمان ، قد يتم تكوين بعض التطبيقات المعروفة لاستخدام منافذ أخرى غير الافتراضية. لذلك ، بدلاً من المنفذ التقليدي 80 ، المحجوز لخادم الويب ، يمكن إعادة تكوين هذا الخادم قسرًا إلى المنفذ 8088 أو إلى أي منفذ آخر. بعض محللي الحزم في مثل هذه الحالة غير قادرين على تحديد البروتوكول بشكل صحيح وعرض المعلومات فقط حول بروتوكول الطبقة الدنيا (TCP أو UDP).

هناك برامج متلصصة تأتي مع وحدات تحليلية للبرامج كمكونات إضافية أو وحدات مدمجة تسمح لك بإنشاء تقارير بمعلومات تحليلية مفيدة حول حركة المرور التي تم اعتراضها.

خاصية أخرى لمعظم برامج شم الحزم هي القدرة على تكوين المرشحات قبل وبعد التقاط حركة المرور. تختار المرشحات حزمًا معينة من حركة المرور العامة وفقًا لمعيار معين ، مما يسمح لك بالتخلص من المعلومات غير الضرورية عند تحليل حركة المرور.

يمكن أن تنشأ الحاجة إلى تحليل حركة مرور الشبكة لعدة أسباب. التحكم في أمان الكمبيوتر ، وتصحيح أخطاء الشبكة المحلية ، والتحكم في حركة المرور الصادرة لتحسين تشغيل اتصال إنترنت مشترك - غالبًا ما تكون كل هذه المهام على جدول أعمال مسؤولي النظام والمستخدمين العاديين. لحلها ، هناك العديد من الأدوات المساعدة ، تسمى المتشممون ، كلاهما متخصص ، يهدف إلى حل نطاق ضيق من المهام ، و "مجموعات" متعددة الوظائف توفر للمستخدم مجموعة واسعة من الأدوات. يتم تقديم أحد ممثلي المجموعة الأخيرة ، وهي الأداة المساعدة CommView من الشركة ، في هذه المقالة. يتيح لك البرنامج أن ترى بصريًا الصورة الكاملة لحركة المرور التي تمر عبر جهاز كمبيوتر أو جزء من الشبكة المحلية ؛ يسمح لك نظام الإنذار القابل للتكوين بالتحذير من وجود حزم مشبوهة في حركة المرور ، أو ظهور عقد ذات عناوين غير طبيعية في الشبكة ، أو زيادة حمل الشبكة.

يوفر CommView القدرة على الاحتفاظ بالإحصائيات حول جميع اتصالات IP ، وفك تشفير حزم IP إلى مستوى منخفض وتحليلها. يتيح لك نظام المرشحات المدمج بواسطة العديد من المعلمات تكوين التتبع للحزم الضرورية فقط ، مما يجعل تحليلها أكثر كفاءة. يمكن للبرنامج التعرف على حزم أكثر من سبعة عشرات من البروتوكولات الأكثر شيوعًا (بما في ذلك DDNS و DHCP و DIAG و DNS و FTP و HTTP و HTTPS و ICMP و ICQ و IMAP و IPsec و IPv4 و IPv6 و IPX و LDAP و MS SQL ، NCP و NetBIOS و NFS و NLSP و POP3 و PPP و PPPoE و SMB و SMTP و SOCKS و SPX و SSH و TCP و TELNET و UDP و WAP وما إلى ذلك) ، بالإضافة إلى حفظها في الملفات لتحليلها لاحقًا. العديد من الأدوات الأخرى ، مثل تحديد الشركة المصنعة لمحول الشبكة عن طريق عنوان MAC ، وإعادة بناء HTML ، والتقاط الحزمة عن بعد باستخدام الأداة المساعدة الاختيارية CommView Remote Agent ، يمكن أن تكون مفيدة أيضًا في حالات معينة.

العمل مع البرنامج

أولاً ، تحتاج إلى تحديد واجهة الشبكة التي سيتم من خلالها مراقبة حركة المرور.

يدعم CommView تقريبًا أي نوع من محولات Ethernet - 10 و 100 و 1000 ميجابت في الثانية ، بالإضافة إلى أجهزة المودم التناظرية و xDSL و Wi-Fi وما إلى ذلك. من خلال تحليل حركة مرور محول Ethernet ، يمكن لـ CommView اعتراض ليس فقط الوارد والصادر ، ولكن أيضًا عالجت حزم النقل أيًا من أجهزة الكمبيوتر الموجودة في مقطع الشبكة المحلية. تجدر الإشارة إلى أنه إذا كانت المهمة هي مراقبة كل حركة المرور على مقطع شبكة محلية ، فمن الضروري توصيل أجهزة الكمبيوتر الموجودة بها من خلال لوحة وصل ، وليس من خلال محول. تحتوي بعض نماذج المحولات الحديثة على انعكاس المنفذ ، مما يسمح بتكوينها أيضًا لمراقبة الشبكة باستخدام CommView. يمكنك قراءة المزيد عن هذا. بمجرد تحديد الاتصال الذي تريده ، يمكنك البدء في التقاط الحزم. توجد أزرار بدء الالتقاط وإيقافه بالقرب من خط اختيار الواجهة. للعمل مع وحدة التحكم في الوصول عن بعد ، VPN و PPPoE أثناء تثبيت البرنامج ، يجب عليك تثبيت برنامج التشغيل المناسب.

تنقسم النافذة الرئيسية للبرنامج إلى عدة علامات تبويب ، تكون مسؤولة عن مجال أو آخر من مجالات العمل. الاول، "اتصالات IP الحالية"، يعرض معلومات مفصلة حول اتصالات IP الحالية للكمبيوتر. هنا يمكنك رؤية عناوين IP المحلية والبعيدة ، وعدد الحزم المرسلة والمستلمة ، واتجاه الإرسال ، وعدد جلسات IP المحددة ، والمنافذ ، واسم المضيف (إذا لم يتم تعطيل وظيفة التعرف على DNS في إعدادات البرنامج) واسم العملية التي تتلقى حزمة هذه الجلسة أو ترسلها. المعلومات الأخيرة غير متوفرة لحزم النقل ، ولا على أجهزة الكمبيوتر التي تعمل بنظام Windows 9x / ME.

علامة تبويب اتصالات IP الحالية

إذا قمت بالنقر بزر الماوس الأيمن فوق اتصال ، يتم فتح قائمة سياق ، حيث يمكنك العثور على أدوات تسهل تحليل الاتصالات. هنا يمكنك رؤية كمية البيانات المنقولة داخل الاتصال ، وقائمة كاملة بالمنافذ المستخدمة ، ومعلومات مفصلة حول العملية التي تستقبل أو ترسل حزم هذه الجلسة. يسمح لك CommView بإنشاء أسماء مستعارة لعناوين MAC و IP. على سبيل المثال ، من خلال تعيين أسماء مستعارة بدلاً من العناوين الرقمية المرهقة للأجهزة الموجودة على شبكة محلية ، يمكنك الحصول على أسماء أجهزة كمبيوتر يسهل قراءتها وتذكرها وبالتالي تسهيل تحليل الاتصالات.

لإنشاء اسم مستعار لعنوان IP ، حدد عناصر "إنشاء اسم مستعار" و "استخدام IP المحلي" أو "استخدام IP البعيد" في قائمة السياق بالتسلسل. في النافذة التي تظهر ، سيتم بالفعل ملء حقل عنوان IP ، وكل ما تبقى هو إدخال اسم مناسب. إذا تم إنشاء إدخال اسم IP جديد عن طريق النقر بزر الماوس الأيمن على الحزمة ، فسيتم ملء حقل الاسم تلقائيًا باسم المضيف (إذا كان متاحًا) ويمكن تحريره. العمل مع الأسماء المستعارة MAC هو نفسه.

من القائمة نفسها ، عن طريق تحديد SmartWhois ، يمكنك إرسال عنوان IP للمصدر أو الوجهة المحدد إلى SmartWhois ، وهو تطبيق Tamosoft مستقل يجمع معلومات حول أي عنوان IP أو اسم مضيف ، مثل اسم الشبكة أو المجال أو الدولة أو الولاية أو المقاطعة والمدينة ويوفرها للمستخدم.

علامة التبويب الثانية ، "الحزم"، يعرض جميع الحزم التي تم التقاطها على واجهة الشبكة المحددة ومعلومات مفصلة عنها.

علامة تبويب الحزم

النافذة مقسمة إلى ثلاث مناطق. يعرض الأول قائمة بجميع الحزم الملتقطة. إذا حددت إحدى الحزم بداخلها بالنقر عليها بمؤشر الماوس ، فستعرض بقية النوافذ معلومات عنها. يعرض رقم الحزمة والبروتوكول وعناوين Mac وعناوين IP لمضيفي الإرسال والاستقبال والمنافذ المستخدمة ووقت ظهور الحزمة.

تعرض المنطقة الوسطى محتويات الحزمة - بالنص الست عشري أو بالنص. في الحالة الأخيرة ، يتم استبدال الأحرف غير القابلة للطباعة بالنقاط. إذا تم تحديد عدة حزم في وقت واحد في المنطقة العلوية ، فستعرض النافذة الوسطى العدد الإجمالي للحزم المحددة ، وحجمها الإجمالي ، بالإضافة إلى الفاصل الزمني بين الحزم الأولى والأخيرة.

تعرض النافذة السفلية معلومات تفصيلية مفككة حول الحزمة المحددة.

بالنقر فوق أحد الأزرار الثلاثة الموجودة في الجزء الأيمن السفلي من النافذة ، يمكنك تحديد موضع نافذة فك التشفير: في الجزء السفلي ، أو المحاذاة إلى اليسار أو اليمين. يتيح لك الزران الآخران الانتقال تلقائيًا إلى آخر حزمة مستلمة وحفظ الحزمة المحددة في المنطقة المرئية من القائمة.

تسمح لك قائمة السياق بنسخ MAC وعناوين IP والحزم الكاملة إلى الحافظة ، وتعيين الأسماء المستعارة ، وتطبيق مرشح سريع لتحديد الحزم المطلوبة ، وكذلك استخدام أدوات TCP Session Reconstruction ومولد الحزم.

تتيح لك أداة TCP Session Reconstruction (إعادة بناء جلسة TCP) عرض عملية الاتصال بين مضيفين عبر TCP. لجعل محتويات الجلسة تبدو أكثر قابلية للفهم ، تحتاج إلى تحديد "منطق العرض" المناسب. هذه الوظيفة مفيدة للغاية لاستعادة المعلومات النصية مثل HTML أو ASCII.

يمكن تصدير البيانات الناتجة كملف نصي أو RTF أو ملف ثنائي.

علامة التبويب "ملفات السجل"... هنا يمكنك تكوين الإعدادات لحفظ الحزم الملتقطة في ملف. يقوم CommView بحفظ ملفات السجل بتنسيق NCF الخاص به ؛ لعرضها ، يتم استخدام الأداة المساعدة المضمنة ، والتي يمكن تشغيلها من قائمة "ملف".

من الممكن تمكين الحفظ التلقائي للحزم التي تم اعتراضها عند وصولها ، وتسجيل جلسات HTTP بتنسيقات TXT و HTML ، وحفظ ملفات السجل وحذفها ودمجها وتقسيمها. ضع في اعتبارك أن الحزمة لا يتم حفظها فور وصولها ، لذلك إذا قمت بعرض ملف السجل في الوقت الفعلي ، فمن المحتمل ألا يحتوي على أحدث الحزم. لكي يقوم البرنامج بإرسال المخزن المؤقت إلى ملف على الفور ، تحتاج إلى النقر فوق الزر "إنهاء الالتقاط".

في علامة التبويب "قواعد"يمكنك ضبط الشروط لاعتراض أو تجاهل الحزم.

لتسهيل اختيار الحزم المطلوبة وتحليلها ، يمكنك استخدام قواعد التصفية. سيساعد أيضًا بشكل كبير في تقليل كمية موارد النظام المستخدمة بواسطة CommView.

لتمكين أي قاعدة ، تحتاج إلى تحديد القسم المناسب على الجانب الأيسر من النافذة. هناك سبعة أنواع من القواعد المتاحة: بسيطة - "البروتوكولات والاتجاه" ، و "عناوين Mac" ، و "عناوين IP" ، و "المنافذ" ، و "النص" ، و "إشارات TCP" ، و "العملية" ، بالإضافة إلى القاعدة العامة " الصيغ ". لكل من القواعد البسيطة ، يمكنك تحديد معلمات فردية ، مثل اختيار الاتجاه أو البروتوكول. قاعدة الصيغة العامة هي آلية قوية ومرنة لإنشاء المرشحات باستخدام المنطق المنطقي. يمكن العثور على مرجع مفصل حول تركيبه.

فاتورة غير مدفوعة "تحذيرات"سيساعدك على تكوين إعدادات الإخطارات حول الأحداث المختلفة التي تحدث في قطاع الشبكة المدروس.

تتيح لك علامة التبويب "التنبيهات" إنشاء قواعد التنبيه وتعديلها وحذفها وعرض الأحداث الحالية التي تتطابق مع تلك القواعد

لتعيين قاعدة تحذير ، بالنقر فوق الزر "إضافة ..." ، في النافذة التي تفتح ، حدد الشروط اللازمة ، عند ظهور الإشعار ، وكذلك طريقة إخطار المستخدم عن هذا.

يسمح لك CommView بتحديد الأنواع التالية من الأحداث المراقبة:

"البحث عن حزمة" تطابق الصيغة المحددة. يتم وصف بناء جملة الصيغة بالتفصيل في دليل المستخدم ؛
بايت في الثانية. سيتم تشغيل هذا التحذير عند تجاوز حمل الشبكة المحدد ؛
حزم في الثانية. يتم تشغيله عند تجاوز المستوى المحدد لمعدل إرسال الحزم ؛
عمليات البث في الثانية. نفس الشيء ، فقط لحزم البث ؛
الإرسال المتعدد في الثانية هو نفسه لحزم الإرسال المتعدد.
عنوان MAC غير معروف. يمكن استخدام هذا التحذير لاكتشاف اتصالات الأجهزة الجديدة أو غير المصرح بها بالشبكة عن طريق الإعداد المسبق لقائمة العناوين المعروفة باستخدام خيار "تكوين" ؛
سيتم تشغيل تحذير "عنوان IP غير معروف" عند اعتراض الحزم ذات المصدر غير المعروف أو عناوين IP الوجهة. إذا حددت مسبقًا قائمة بالعناوين المعروفة ، فيمكنك استخدام هذا التنبيه لاكتشاف الاتصالات غير المصرح بها من خلال جدار الحماية الخاص بشركتك.

كومفييو لديه أداة تصور قوية لإحصاءات حركة المرور. لفتح نافذة الإحصائيات ، تحتاج إلى تحديد العنصر الذي يحمل نفس الاسم من قائمة "عرض".

نافذة الإحصائيات في الوضع "العام"

في هذه النافذة ، يمكنك عرض إحصائيات حركة مرور الشبكة: هنا يمكنك رؤية عدد الحزم في الثانية ، والبايت في الثانية ، وتوزيع Ethernet و IP والبروتوكولات الفرعية. يمكن نسخ المخططات إلى الحافظة ، مما سيساعدك إذا كنت بحاجة إلى إنشاء تقارير.

التوافر والتكلفة ومتطلبات النظام

الإصدار الحالي من البرنامج هو CommView 5.1. من موقع Tamosoft الإلكتروني ، من الممكن أن يتم تشغيله لمدة 30 يومًا.

يقدم المطور للمشترين خيارين للترخيص:

تمنح رخصة المنزل (رخصة المنزل) ، التي تبلغ قيمتها 2000 روبل ، الحق في استخدام البرنامج في المنزل على أساس غير تجاري ، بينما يقتصر عدد المضيفين المتاحين للمراقبة على شبكتك المنزلية على خمسة. بموجب هذا النوع من الترخيص ، لا يُسمح بالعمل عن بُعد باستخدام العامل البعيد.
توفر رخصة المؤسسة (الشركة ، التكلفة - 10000 روبل) الحق في الاستخدام التجاري وغير التجاري للبرنامج من قبل شخص واحد يستخدم البرنامج شخصيًا على جهاز واحد أو عدة أجهزة. يمكن أيضًا تثبيت البرنامج على محطة عمل واحدة واستخدامه من قبل عدة أشخاص ، ولكن ليس في وقت واحد.

يعمل التطبيق في أنظمة تشغيل Windows 98 / Me / NT / 2000 / XP / 2003. للعمل ، تحتاج إلى محول شبكة Ethernet أو Wireless Ethernet أو Token Ring مع دعم لمعيار NDIS 3.0 أو وحدة تحكم الوصول عن بُعد القياسية.

الايجابيات:

واجهة مترجمة
نظام مساعدة ممتاز
دعم لأنواع مختلفة من محولات الشبكة ؛
أدوات متقدمة لتحليل الحزمة وكشف البروتوكول ؛
تصور الإحصاءات.
نظام تحذير وظيفي.

سلبيات:

تكلفة عالية جدا
عدم وجود إعدادات مسبقة لقواعد وتحذيرات الاعتراض ؛
آلية غير ملائمة لاختيار الحزمة في علامة التبويب "الحزم".

استنتاج

تجعل وظائفه الممتازة وواجهة مستخدم سهلة من CommView أداة لا غنى عنها لمسؤولي LAN ومزودي خدمات الإنترنت والمستخدمين المنزليين. لقد سررت بنهج المطور الشامل في الترجمة الروسية للحزمة: تم تصميم كل من الواجهة والدليل المرجعي على مستوى عالٍ للغاية. الصورة معتمة إلى حد ما بسبب التكلفة العالية للبرنامج ، ولكن الإصدار التجريبي لمدة ثلاثين يومًا سيساعد المشتري المحتمل في اتخاذ قرار بشأن مدى استصواب شراء هذه الأداة.

العديد من مستخدمي شبكات الكمبيوتر ، بشكل عام ، ليسوا على دراية بمفهوم مثل "الشم". سنحاول تعريف ما هو المتشمم ، بعبارات بسيطة لمستخدم غير مستعد. لكن أولاً ، لا يزال عليك الخوض في التحديد المسبق للمصطلح نفسه.

المتشمم: ما هو المتشمم من حيث اللغة الإنجليزية وتكنولوجيا الكمبيوتر؟

في الواقع ، ليس من الصعب على الإطلاق تحديد جوهر مثل هذا البرنامج أو مجمع البرمجيات ، إذا قمت فقط بترجمة المصطلح.

يأتي هذا الاسم من الكلمة الإنجليزية شم (شم). ومن هنا جاء معنى مصطلح "الشم" الناطق باللغة الروسية. ما هو الشم في فهمنا؟ "الشم" القادر على مراقبة استخدام حركة مرور الشبكة ، أو بعبارة أخرى ، جاسوس يمكنه التدخل في تشغيل الشبكات المحلية أو الشبكات الموجهة عبر الإنترنت ، واستخراج المعلومات التي يحتاجها بناءً على الوصول من خلال نقل بيانات TCP / IP البروتوكولات.

محلل حركة المرور: كيف يعمل؟

دعنا نقوم بالحجز على الفور: يستطيع المتشمم ، سواء كان برنامجًا أو مكونًا برنامجًا مشروطًا ، تحليل واعتراض حركة المرور (البيانات المرسلة والمستلمة) حصريًا من خلال بطاقات الشبكة (Ethernet). ماذا يحدث؟

لا تتحول واجهة الشبكة دائمًا إلى الحماية بواسطة جدار حماية (مرة أخرى ، برنامج أو جهاز) ، وبالتالي فإن اعتراض البيانات المرسلة أو المستلمة يصبح مجرد مسألة تقنية.

داخل الشبكة ، يتم نقل المعلومات في أجزاء. ضمن مقطع واحد ، من المفترض أن يتم إرسال حزم البيانات إلى جميع الأجهزة المتصلة بالشبكة تمامًا. يتم إعادة توجيه المعلومات القطاعية إلى أجهزة التوجيه (أجهزة التوجيه) ، ثم إلى المحولات (المحولات) والمحاور (المحاور). يتم إرسال المعلومات عن طريق تقسيم الحزم بحيث يتلقى المستخدم النهائي جميع أجزاء الحزمة المجمعة من مسارات مختلفة تمامًا. وبالتالي ، فإن "الاستماع" إلى جميع المسارات المحتملة المحتملة من مشترك إلى آخر أو تفاعل مورد الإنترنت مع مستخدم يمكن أن يوفر ليس فقط الوصول إلى المعلومات غير المشفرة ، ولكن أيضًا إلى بعض المفاتيح السرية ، والتي يمكن أيضًا إرسالها في مثل هذا التفاعل معالجة. وهنا تبين أن واجهة الشبكة غير محمية تمامًا ، بسبب تدخل طرف ثالث.

النوايا الحسنة والأهداف الخبيثة؟

يمكن استخدام المتشممون للضرر والخير. ناهيك عن التأثير السلبي ، تجدر الإشارة إلى أن هذه الأجهزة وأنظمة البرامج غالبًا ما يستخدمها مسؤولو النظام الذين يحاولون تتبع إجراءات المستخدم ليس فقط على الشبكة ، ولكن أيضًا سلوكهم على الإنترنت من حيث الموارد التي تمت زيارتها والتنزيلات النشطة إلى أجهزة الكمبيوتر أو الإرسال منها ...

إن التقنية التي يعمل بها محلل الشبكة بسيطة للغاية. المتشمم يحدد حركة المرور الصادرة والواردة للسيارة. هذا ليس IP داخليًا أو خارجيًا. المعيار الأكثر أهمية هو ما يسمى بعنوان MAC ، وهو فريد لأي جهاز متصل بالويب العالمي. يتم تحديد كل جهاز على الشبكة عليه.

أنواع المتشممون

ولكن حسب النوع ، يمكن تقسيمها إلى عدة عوامل رئيسية:

المعدات؛
البرمجيات؛
الأجهزة والبرامج.
تطبيقات الإنترنت.

الكشف السلوكي عن وجود شم في الشبكة

يمكنك اكتشاف نفس شبكة WiFi المتشمم عن طريق تحميل الشبكة. إذا كان بإمكانك أن ترى أن نقل البيانات أو الاتصال ليس على المستوى الذي أعلنه الموفر (أو يسمح به الموجه) ، فيجب عليك الانتباه إلى هذا على الفور.

من ناحية أخرى ، يمكن لمزود خدمة الإنترنت أيضًا إطلاق برنامج الشم لمراقبة حركة المرور دون علم المستخدم. ولكن ، كقاعدة عامة ، لا يعرف المستخدم حتى عنها. من ناحية أخرى ، فإن المنظمة التي تقدم خدمات الاتصال واتصالات الإنترنت تضمن للمستخدم السلامة الكاملة فيما يتعلق باعتراض الفيضانات ، والتثبيت الذاتي لعملاء أحصنة طروادة غير المتجانسة ، وبرامج التجسس ، وما إلى ذلك. لكن هذه الأدوات هي بالأحرى برامج وليس لها تأثير خاص على الشبكة أو محطات المستخدم.

الموارد على الانترنت

يمكن أن يكون محلل حركة المرور عبر الإنترنت خطيرًا بشكل خاص. تم بناء نظام بدائي لاختراق الكمبيوتر على أساس استخدام المتشممون. تتلخص التقنية في أبسط أشكالها في حقيقة أن جهاز التكسير يسجل في البداية على مورد معين ، ثم يقوم بتحميل صورة إلى الموقع. بعد تأكيد التنزيل ، يتم إصدار رابط إلى متسلل عبر الإنترنت ، يتم إرساله إلى ضحية محتملة ، على سبيل المثال ، في شكل رسالة بريد إلكتروني أو نفس رسالة نصية قصيرة مع نص مثل "لقد تلقيت تهنئة من شخص ما. لفتح صورة (بطاقة بريدية) ، انقر على الرابط ".

ينقر المستخدمون الساذجون على الارتباط التشعبي المحدد ، ونتيجة لذلك يتم تنشيط تحديد عنوان IP الخارجي ونقله إلى المهاجم. إذا كان هناك تطبيق مناسب ، فلن يتمكن فقط من عرض جميع البيانات المخزنة على الكمبيوتر ، ولكن أيضًا تغيير إعدادات النظام بسهولة من الخارج ، وهو ما لن يخمنه المستخدم المحلي حتى ، مع إجراء مثل هذا التغيير للتأثير من فيروس. لكن الماسح الضوئي فقط هو الذي سيصدر صفرًا من التهديدات أثناء الفحص.

كيف تحمي من اعتراض البيانات؟

سواء أكان ذلك متصلاً لشبكة WiFi أو أي محلل آخر ، فلا تزال هناك أنظمة للحماية من فحص حركة المرور غير المصرح به. هناك شرط واحد فقط: يجب تثبيتها فقط بشرط الثقة الكاملة في "التنصت".

غالبًا ما يشار إلى أدوات البرامج هذه باسم "برامج مكافحة الشم". ولكن إذا فكرت في الأمر ، فهؤلاء هم نفس المتشممون الذين يحللون حركة المرور ، لكنهم يحظرون البرامج الأخرى التي تحاول الوصول إليها

ومن هنا السؤال المشروع: هل يستحق تثبيت مثل هذه البرامج؟ ربما سيؤدي اختراقها من قبل المتسللين إلى المزيد من الضرر ، أم أنها ستمنع بحد ذاتها ما يجب أن ينجح؟

في أبسط الحالات مع أنظمة Windows ، من الأفضل استخدام جدار الحماية المدمج (جدار الحماية) كحماية. في بعض الأحيان قد يكون هناك تعارض مع برنامج مكافحة الفيروسات المثبت ، ولكن في كثير من الأحيان ينطبق هذا فقط على الحزم المجانية. لا تحتوي الإصدارات الاحترافية المشتراة أو التي يتم تنشيطها شهريًا على مثل هذه العيوب.

بدلا من خاتمة

هذا كل ما في مفهوم "الشم". يبدو أن الكثيرين قد اكتشفوا بالفعل ما هو الشم. أخيرًا ، يبقى السؤال مختلفًا: ما مدى صحة استخدام مثل هذه الأشياء من قبل المستخدم العادي؟ ومن ثم في الواقع ، يمكن أن تلاحظ أحيانًا بين المستخدمين الشباب ميلًا إلى شغب الكمبيوتر. إنهم يعتقدون أن اختراق "كمبيوتر" شخص آخر يشبه المنافسة المثيرة أو تأكيد الذات. لسوء الحظ ، لم يفكر أي منهم في العواقب ، ومن السهل جدًا تحديد مهاجم يستخدم نفس أداة التنصت عبر الإنترنت من خلال عنوان IP الخارجي الخاص به ، على سبيل المثال ، على موقع WhoIs على الويب. ومع ذلك ، نظرًا لأن الموقع ، سيتم تحديد موقع المزود ، ومع ذلك ، سيتم تحديد البلد والمدينة بدقة. حسنًا ، فإن الأمر صغير: إما الاتصال بالموفر من أجل حظر الجهاز الذي تم الوصول غير المصرح به من خلاله ، أو دعوى قضائية. ارسم استنتاجاتك الخاصة.

مع البرنامج المثبت لتحديد موقع الجهاز الذي تتم منه محاولة الوصول ، يصبح الموقف أكثر بساطة. ولكن يمكن أن تكون العواقب وخيمة ، لأنه لا يستخدم جميع المستخدمين هؤلاء المجهولين أو الخوادم الوكيلة الافتراضية وليس لديهم أي فكرة على الإنترنت. وسيكون من المفيد التعلم ...