การวิเคราะห์แพ็กเก็ตเครือข่าย เครื่องวิเคราะห์ปริมาณการใช้เครือข่าย: ภาพรวมของโซลูชันแบบเสียเงินและฟรี คุณสมบัติที่สำคัญของ CommView
ต้นฉบับ: 8 สุดยอดนักดมกลิ่นและตัววิเคราะห์เครือข่าย
ผู้เขียน: จอน วัตสัน
วันที่ตีพิมพ์: 22 พฤศจิกายน 2017
แปล: A. Krivoshey
วันที่โอน: ธันวาคม 2017
การดมกลิ่นแพ็กเก็ตเป็นคำศัพท์ที่อ้างถึงศิลปะของการดมกลิ่นการรับส่งข้อมูลเครือข่าย ตรงกันข้ามกับความเชื่อที่นิยม สิ่งต่างๆ เช่น อีเมลและหน้าเว็บไม่ได้เชื่อมต่อผ่านอินเทอร์เน็ตเป็นชิ้นเดียว พวกมันถูกแบ่งออกเป็นแพ็กเก็ตข้อมูลขนาดเล็กนับพัน และส่งผ่านอินเทอร์เน็ต ในบทความนี้ เราจะมาดูตัววิเคราะห์เครือข่ายและดมกลิ่นแพ็กเก็ตฟรีที่ดีที่สุด
มียูทิลิตี้มากมายที่รวบรวมทราฟฟิกเครือข่าย และส่วนใหญ่ใช้ pcap (บนระบบที่เหมือน Unix) หรือ libcap (บน Windows) เป็นเคอร์เนล ยูทิลิตีอีกประเภทหนึ่งช่วยวิเคราะห์ข้อมูลนี้ เนื่องจากแม้ปริมาณการใช้ข้อมูลเพียงเล็กน้อยก็สามารถสร้างแพ็กเก็ตหลายพันรายการที่นำทางได้ยาก ยูทิลิตี้เหล่านี้เกือบทั้งหมดแตกต่างกันเล็กน้อยในการรวบรวมข้อมูล ความแตกต่างที่สำคัญคือวิธีวิเคราะห์ข้อมูล
การวิเคราะห์ทราฟฟิกเครือข่ายต้องเข้าใจวิธีการทำงานของเครือข่าย ไม่มีเครื่องมือใดมาแทนที่ความรู้ของนักวิเคราะห์เกี่ยวกับระบบเครือข่ายขั้นพื้นฐานอย่างน่าอัศจรรย์ เช่น TCP "3-way handshake" ที่ใช้ในการเริ่มต้นการเชื่อมต่อระหว่างอุปกรณ์สองเครื่อง นักวิเคราะห์ยังต้องเข้าใจประเภทของการรับส่งข้อมูลเครือข่ายบนเครือข่ายที่ใช้งานได้ตามปกติ เช่น ARP และ DHCP ความรู้นี้มีความสำคัญเนื่องจากเครื่องมือวิเคราะห์จะแสดงสิ่งที่คุณขอให้ทำ ขึ้นอยู่กับคุณว่าจะขออะไร หากคุณไม่ทราบว่าเครือข่ายของคุณมีลักษณะอย่างไร อาจเป็นเรื่องยากที่จะรู้ว่าคุณพบสิ่งที่คุณกำลังมองหาในแพ็กเกจจำนวนมากที่คุณได้รวบรวมไว้
ตัวดมกลิ่นแพ็กเก็ตและตัววิเคราะห์เครือข่ายที่ดีที่สุด
เครื่องมืออุตสาหกรรม
เริ่มกันที่ด้านบนแล้วลงไปที่พื้นฐาน หากคุณกำลังติดต่อกับเครือข่ายระดับองค์กร คุณจะต้องมีปืนใหญ่ ในขณะที่เกือบทุกอย่างใช้ tcpdump เป็นแกนหลัก (เพิ่มเติมในภายหลัง) เครื่องมือระดับองค์กรสามารถแก้ปัญหาที่ยุ่งยากบางอย่างได้ เช่น การเชื่อมโยงการรับส่งข้อมูลจากเซิร์ฟเวอร์หลายเครื่อง ให้การสืบค้นอัจฉริยะเพื่อระบุปัญหา แจ้งเตือนคุณถึงข้อยกเว้น และสร้างกราฟที่ดี ที่เจ้านายมักเรียกร้อง . .
เครื่องมือระดับองค์กรมักจะเน้นที่การสตรีมการรับส่งข้อมูลเครือข่ายมากกว่าการประเมินเนื้อหาของแพ็กเก็ต ฉันหมายความว่าจุดสนใจหลักของผู้ดูแลระบบส่วนใหญ่ในองค์กรคือการทำให้แน่ใจว่าเครือข่ายไม่มีคอขวดด้านประสิทธิภาพ เมื่อเกิดปัญหาคอขวดดังกล่าว เป้าหมายมักจะกำหนดว่าปัญหาเกิดจากเครือข่ายหรือแอปพลิเคชันในเครือข่าย ในทางกลับกัน เครื่องมือเหล่านี้มักจะสามารถรองรับการรับส่งข้อมูลได้มาก ซึ่งสามารถช่วยคาดการณ์ได้เมื่อส่วนเครือข่ายจะถูกโหลดอย่างสมบูรณ์ ซึ่งเป็นจุดสำคัญในการจัดการแบนด์วิดท์เครือข่าย
นี่เป็นชุดเครื่องมือการจัดการไอทีขนาดใหญ่มาก ในบทความนี้ โปรแกรมอรรถประโยชน์การตรวจสอบและวิเคราะห์ Deep Packet ซึ่งเป็นส่วนประกอบที่สำคัญ มีความเหมาะสมกว่า การรวบรวมทราฟฟิกเครือข่ายค่อนข้างง่าย ด้วยเครื่องมืออย่าง WireShark การวิเคราะห์พื้นฐานก็ไม่เป็นปัญหาเช่นกัน แต่สถานการณ์ไม่ชัดเจนเสมอไป ในเครือข่ายที่มีงานยุ่งมาก อาจเป็นเรื่องยากที่จะระบุถึงสิ่งง่ายๆ เช่น:
แอปพลิเคชันใดบนเครือข่ายที่สร้างการรับส่งข้อมูลนี้
- หากรู้จักแอปพลิเคชัน (เช่น เว็บเบราว์เซอร์) ผู้ใช้ใช้เวลาส่วนใหญ่ไปที่ใด
- การเชื่อมต่อใดที่ยาวที่สุดและโอเวอร์โหลดเครือข่าย?
อุปกรณ์เครือข่ายส่วนใหญ่ใช้ข้อมูลเมตาของแต่ละแพ็กเก็ตเพื่อให้แน่ใจว่าแพ็กเก็ตจะไปในที่ที่ต้องการ อุปกรณ์เครือข่ายไม่รู้จักเนื้อหาของแพ็กเก็ต อีกสิ่งหนึ่งคือการตรวจสอบแพ็คเก็ตลึก ซึ่งหมายความว่ามีการตรวจสอบเนื้อหาจริงของแพ็คเกจ ด้วยวิธีนี้ ข้อมูลเครือข่ายที่สำคัญที่ไม่สามารถรวบรวมจากข้อมูลเมตาสามารถค้นพบได้ เครื่องมือเช่นเดียวกับที่ SolarWinds จัดหาให้สามารถให้ข้อมูลที่มีความหมายมากกว่าแค่กระแสการรับส่งข้อมูล
เทคโนโลยีการจัดการเครือข่ายที่เน้นข้อมูลอื่น ๆ ได้แก่ NetFlow และ sFlow แต่ละคนมีจุดแข็งและจุดอ่อนของตัวเอง
คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ NetFlow และ sFlow
การวิเคราะห์เครือข่ายโดยทั่วไปเป็นหัวข้อขั้นสูงที่ดึงทั้งบนพื้นฐานของความรู้ที่ได้รับและบนพื้นฐานของประสบการณ์จริง เป็นไปได้ที่จะฝึกอบรมบุคคลให้มีความรู้โดยละเอียดเกี่ยวกับแพ็กเก็ตเครือข่าย แต่ถ้าบุคคลนี้ไม่มีความรู้เกี่ยวกับเครือข่ายเอง และไม่มีประสบการณ์ในการตรวจจับความผิดปกติ เขาจะทำได้ดีมาก เครื่องมือในบทความนี้ควรใช้โดยผู้ดูแลระบบเครือข่ายที่มีประสบการณ์ซึ่งรู้ว่าต้องการอะไรแต่ไม่แน่ใจว่าเครื่องมือใดดีที่สุด นอกจากนี้ยังสามารถใช้โดยผู้ดูแลระบบที่มีประสบการณ์น้อยเพื่อรับประสบการณ์เครือข่ายแบบวันต่อวัน
พื้นฐาน
เครื่องมือหลักในการรวบรวมทราฟฟิกเครือข่ายคือ
เป็นแอปพลิเคชั่นโอเพ่นซอร์สที่ติดตั้งบนระบบปฏิบัติการที่เหมือน Unix เกือบทั้งหมด Tcpdump เป็นยูทิลิตี้การรวบรวมข้อมูลที่ยอดเยี่ยมซึ่งมีภาษาการกรองที่ซับซ้อนมาก สิ่งสำคัญคือต้องรู้วิธีกรองข้อมูลในขณะที่คุณรวบรวม เพื่อให้คุณได้ชุดข้อมูลปกติสำหรับการวิเคราะห์ การเก็บข้อมูลทั้งหมดจากอุปกรณ์เครือข่าย แม้ในเครือข่ายที่มีงานยุ่งปานกลาง สามารถสร้างข้อมูลมากเกินไปซึ่งจะวิเคราะห์ได้ยาก
ในบางกรณีซึ่งเกิดขึ้นไม่บ่อยนัก การพิมพ์ข้อมูลที่บันทึกโดย tcpdump ไปยังหน้าจอโดยตรงก็เพียงพอแล้วเพื่อค้นหาสิ่งที่คุณต้องการ ตัวอย่างเช่น ขณะเขียนบทความนี้ ฉันรวบรวมทราฟฟิกและสังเกตว่าเครื่องของฉันกำลังส่งทราฟฟิกไปยังที่อยู่ IP ที่ฉันไม่รู้ ปรากฎว่าเครื่องของฉันกำลังส่งข้อมูลไปยังที่อยู่ IP ของ Google 172.217.11.142 เนื่องจากฉันไม่มีผลิตภัณฑ์ใดๆ ของ Google และไม่มี Gmail เปิดอยู่ ฉันจึงไม่รู้ว่าทำไมสิ่งนี้จึงเกิดขึ้น ฉันตรวจสอบระบบของฉันแล้วและพบสิ่งต่อไปนี้:
[ ~ ]$ ps -ef | grep ผู้ใช้ Google 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service
ปรากฎว่าแม้ว่า Chrome จะไม่ทำงาน ก็ยังคงทำงานเป็นบริการ ฉันจะไม่สังเกตเห็นสิ่งนี้หากไม่มีการดมกลิ่นแพ็คเก็ต ฉันจับแพ็กเก็ตข้อมูลเพิ่มอีกสองสามตัว แต่คราวนี้ฉันมี tcpdump เขียนข้อมูลลงในไฟล์ ซึ่งจากนั้นฉันก็เปิดใน Wireshark (เพิ่มเติมในภายหลัง) นี่คือรายการ:
Tcpdump เป็นเครื่องมือโปรดของผู้ดูแลระบบเพราะเป็นยูทิลิตี้บรรทัดคำสั่ง tcpdump ไม่ต้องการ GUI เพื่อทำงาน สำหรับเซิร์ฟเวอร์ที่ใช้งานจริง อินเทอร์เฟซแบบกราฟิกค่อนข้างเป็นอันตราย เนื่องจากใช้ทรัพยากรระบบ ดังนั้นจึงแนะนำให้ใช้โปรแกรมบรรทัดคำสั่ง เช่นเดียวกับยูทิลิตี้ที่ทันสมัยมากมาย tcpdump มีภาษาที่สมบูรณ์และซับซ้อนซึ่งต้องใช้เวลาพอสมควร คำสั่งพื้นฐานบางส่วน ได้แก่ การเลือกอินเทอร์เฟซเครือข่ายเพื่อรวบรวมข้อมูลและเขียนข้อมูลดังกล่าวไปยังไฟล์ เพื่อให้สามารถส่งออกไปวิเคราะห์ที่อื่นได้ สวิตช์ -i และ -w ใช้สำหรับสิ่งนี้
# tcpdump -i eth0 -w tcpdump_packets tcpdump: ฟังบน eth0, ประเภทลิงก์ EN10MB (Ethernet) ขนาดการจับภาพ 262144 ไบต์ ^C51 แพ็กเก็ตที่บันทึก
คำสั่งนี้สร้างไฟล์ที่มีข้อมูลที่จับได้:
ไฟล์ tcpdump_packets tcpdump_packets: ไฟล์ดักจับ tcpdump ( endian น้อย) - เวอร์ชัน 2.4 (Ethernet ความยาวของการดักจับ 262144)
มาตรฐานสำหรับไฟล์ดังกล่าวคือรูปแบบ pcap ไม่ใช่ข้อความ ดังนั้นจึงสามารถแยกวิเคราะห์โดยโปรแกรมที่เข้าใจรูปแบบนี้เท่านั้น
3. วินดัม
ยูทิลิตีโอเพนซอร์ซที่มีประโยชน์ส่วนใหญ่จบลงด้วยการโคลนในระบบปฏิบัติการอื่น เมื่อเกิดเหตุการณ์นี้ขึ้น แสดงว่าแอปพลิเคชันได้รับการโยกย้ายแล้ว Windump เป็นพอร์ตของ tcpdump และทำงานในลักษณะที่คล้ายกันมาก
ความแตกต่างที่สำคัญที่สุดระหว่าง Windump และ tcpdump คือ Windump ต้องการไลบรารี Winpcap ที่ติดตั้งก่อนที่จะเรียกใช้ Windump แม้ว่า Windump และ Winpcap จะมีให้โดยผู้ดูแลคนเดียวกัน แต่จำเป็นต้องดาวน์โหลดแยกต่างหาก
Winpcap เป็นไลบรารี่ที่ต้องติดตั้งไว้ล่วงหน้า แต่ Windump เป็นไฟล์ exe ที่ไม่จำเป็นต้องติดตั้ง คุณจึงสามารถเรียกใช้ได้ นี่คือสิ่งที่ควรคำนึงถึงหากคุณใช้เครือข่าย Windows คุณไม่จำเป็นต้องติดตั้ง Windump ในทุกเครื่อง เพราะคุณสามารถคัดลอกได้ตามต้องการ แต่คุณจะต้องใช้ Winpcap เพื่อรองรับ Windup
เช่นเดียวกับ tcpdump Windump สามารถแสดงข้อมูลเครือข่ายเพื่อการวิเคราะห์ กรองในลักษณะเดียวกัน และเขียนข้อมูลไปยังไฟล์ pcap เพื่อการวิเคราะห์ในภายหลัง
4 Wireshark
Wireshark เป็นเครื่องมือที่รู้จักกันดีที่สุดในชุดดูแลระบบ ไม่เพียงแต่ช่วยให้คุณบันทึกข้อมูลเท่านั้น แต่ยังมีเครื่องมือวิเคราะห์ขั้นสูงอีกด้วย นอกจากนี้ Wireshark ยังเป็นโอเพ่นซอร์สและถูกย้ายไปยังระบบปฏิบัติการเซิร์ฟเวอร์ที่มีอยู่เกือบทุกระบบ Wireshark เรียกว่า Etheral ใช้งานได้ทุกที่ รวมถึงเป็นแอปพลิเคชันพกพาแบบสแตนด์อโลน
หากคุณกำลังวิเคราะห์ทราฟฟิกบนเซิร์ฟเวอร์ GUI Wireshark สามารถทำทุกอย่างให้คุณได้ เขาสามารถรวบรวมข้อมูลแล้ววิเคราะห์ได้ทั้งหมดที่นั่น อย่างไรก็ตาม GUI นั้นหายากบนเซิร์ฟเวอร์ ดังนั้นคุณสามารถรวบรวมข้อมูลเครือข่ายจากระยะไกล จากนั้นตรวจสอบไฟล์ pcap ที่เป็นผลลัพธ์ใน Wireshark บนคอมพิวเตอร์ของคุณ
เมื่อเปิดตัวครั้งแรก Wireshark อนุญาตให้คุณโหลดไฟล์ pcap ที่มีอยู่หรือเรียกใช้การดักจับการรับส่งข้อมูล ในกรณีหลัง คุณสามารถตั้งค่าตัวกรองเพิ่มเติมเพื่อลดปริมาณข้อมูลที่รวบรวมได้ หากคุณไม่ระบุตัวกรอง Wireshark จะรวบรวมข้อมูลเครือข่ายทั้งหมดจากอินเทอร์เฟซที่เลือก
หนึ่งในคุณสมบัติที่มีประโยชน์ที่สุดของ Wireshark คือความสามารถในการติดตามสตรีม เป็นการดีที่สุดที่จะคิดว่าด้ายเป็นโซ่ ในภาพหน้าจอด้านล่าง เราสามารถเห็นข้อมูลที่จับได้จำนวนมาก แต่ฉันสนใจที่อยู่ IP ของ Google มากที่สุด ฉันสามารถคลิกขวาและติดตามสตรีม TCP เพื่อดูห่วงโซ่ทั้งหมดได้
หากการรับส่งข้อมูลถูกบันทึกบนคอมพิวเตอร์เครื่องอื่น คุณสามารถนำเข้าไฟล์ PCAP โดยใช้ไฟล์ Wireshark -> เปิดกล่องโต้ตอบ ไฟล์ที่นำเข้ามีตัวกรองและเครื่องมือเดียวกันเช่นเดียวกับข้อมูลเครือข่ายที่บันทึกไว้
5.ปลาฉลาม
Tshark เป็นลิงค์ที่มีประโยชน์มากระหว่าง tcpdump และ Wireshark Tcpdump เชี่ยวชาญในการรวบรวมข้อมูลและสามารถดึงข้อมูลที่ต้องการได้ทางศัลยกรรมเท่านั้น อย่างไรก็ตาม ความสามารถในการวิเคราะห์ข้อมูลของข้อมูลนั้นมีจำกัด Wireshark ทำงานได้ดีทั้งในการบันทึกและวิเคราะห์ แต่มีอินเทอร์เฟซผู้ใช้ที่หนักหน่วงและไม่สามารถใช้บนเซิร์ฟเวอร์ที่ไม่ใช่ GUI ได้ ลอง tshark มันทำงานบนบรรทัดคำสั่ง
Tshark ใช้กฎการกรองแบบเดียวกับ Wireshark ซึ่งไม่น่าแปลกใจเลยเพราะเป็นผลิตภัณฑ์เดียวกัน คำสั่งด้านล่างบอกให้ tshark จับที่อยู่ IP ปลายทางและฟิลด์อื่นๆ ที่น่าสนใจจากส่วน HTTP ของแพ็กเก็ต
# tshark -i eth0 -Y http.request -T ฟิลด์ -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico
หากคุณต้องการเขียนทราฟฟิกไปยังไฟล์ ให้ใช้ตัวเลือก -W จากนั้นกดสวิตช์ -r (read) เพื่ออ่าน
จับภาพก่อน:
# tshark -i eth0 -w tshark_packets จับที่ "eth0" 102 ^C
อ่านที่นี่หรือย้ายไปที่อื่นเพื่อวิเคราะห์
# tshark -r tshark_packets -Y http.request -T ฟิลด์ -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /ติดต่อ 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reservations/ 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100100 57.0 / bookings/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack. js 172.20 .0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/ 57.0 /res/images/title.png
นี่เป็นเครื่องมือที่น่าสนใจมากที่จัดอยู่ในหมวดหมู่ของเครื่องมือวิเคราะห์ทางนิติวิทยาศาสตร์ของเครือข่าย มากกว่าที่จะเป็นแค่การดมกลิ่น สาขาวิชานิติวิทยาศาสตร์มักจะเป็นการสืบสวนและรวบรวมหลักฐาน และ Network Miner ก็ทำงานได้ดี เช่นเดียวกับที่ wireshark สามารถติดตามสตรีม TCP เพื่อกู้คืนห่วงโซ่การถ่ายโอนแพ็กเก็ตทั้งหมด Network Miner สามารถติดตามสตรีมเพื่อกู้คืนไฟล์ที่โอนผ่านเครือข่าย
Network Miner สามารถวางกลยุทธ์บนเครือข่ายเพื่อให้สามารถสังเกตและรวบรวมทราฟฟิกที่คุณสนใจในแบบเรียลไทม์ มันจะไม่สร้างทราฟฟิกของตัวเองบนเครือข่าย ดังนั้นมันจะทำงานเป็นความลับ
Network Miner ยังสามารถทำงานแบบออฟไลน์ได้ คุณสามารถใช้ tcpdump เพื่อรวบรวมแพ็กเก็ตจากจุดสนใจของเครือข่าย จากนั้นนำเข้าไฟล์ PCAP ไปยัง Network Miner ถัดไป คุณสามารถลองกู้คืนไฟล์หรือใบรับรองที่พบในไฟล์ที่บันทึกไว้
Network Miner สร้างขึ้นสำหรับ Windows แต่สำหรับ Mono สามารถทำงานบน OS ใดๆ ที่รองรับแพลตฟอร์ม Mono เช่น Linux และ MacOS
มีเวอร์ชันฟรี ระดับเริ่มต้น แต่มีคุณสมบัติที่เหมาะสม หากคุณต้องการคุณสมบัติเพิ่มเติม เช่น ตำแหน่งทางภูมิศาสตร์และสถานการณ์ที่กำหนดเอง คุณจะต้องซื้อใบอนุญาตแบบมืออาชีพ
7Fiddler (HTTP)
ในทางเทคนิคแล้วไม่ใช่ยูทิลิตี้ดักจับแพ็กเก็ตเครือข่าย แต่มีประโยชน์มากจนอยู่ในรายการนี้ ไม่เหมือนกับเครื่องมืออื่นๆ ที่แสดงไว้ที่นี่ ซึ่งออกแบบมาเพื่อดักจับการรับส่งข้อมูลเครือข่ายจากแหล่งใดก็ตาม Fiddler เป็นเครื่องมือแก้ไขจุดบกพร่องมากกว่า มันจับการรับส่งข้อมูล HTTP แม้ว่าเบราว์เซอร์หลายๆ ตัวจะมีความสามารถนี้อยู่แล้วในเครื่องมือสำหรับนักพัฒนาก็ตาม Fiddler ไม่ได้จำกัดอยู่ที่ปริมาณการใช้งานเบราว์เซอร์ Fiddler สามารถจับภาพทราฟฟิก HTTP บนคอมพิวเตอร์ของคุณ รวมถึงแอปพลิเคชันที่ไม่ใช่เว็บ
แอปพลิเคชันเดสก์ท็อปจำนวนมากใช้ HTTP เพื่อเชื่อมต่อกับบริการเว็บ และนอกเหนือจาก Fiddler วิธีเดียวที่จะบันทึกการรับส่งข้อมูลดังกล่าวสำหรับการวิเคราะห์คือการใช้เครื่องมือเช่น tcpdump หรือ Wireshark อย่างไรก็ตาม พวกมันทำงานที่ระดับของแพ็กเก็ต ดังนั้นสำหรับการวิเคราะห์ จำเป็นต้องวิศวกรรมย้อนกลับแพ็กเก็ตเหล่านี้ให้เป็นสตรีม HTTP การวิจัยง่ายๆ อาจเป็นงานจำนวนมาก และนี่คือที่มาของ Fiddler Fiddler สามารถช่วยตรวจจับคุกกี้ ใบรับรอง และข้อมูลที่เป็นประโยชน์อื่นๆ ที่ส่งมาจากแอปพลิเคชัน
Fiddler นั้นฟรีและเหมือนกับ Network Miner มันสามารถทำงานใน Mono บนระบบปฏิบัติการเกือบทุกชนิด
8 แคปซ่า
Capsa Network Analyzer มีหลายรุ่น แต่ละรุ่นมีความสามารถต่างกัน ในระดับแรก Capsa นั้นฟรี และโดยพื้นฐานแล้วคุณสามารถจับแพ็กเก็ตและทำการวิเคราะห์กราฟิกขั้นพื้นฐานของแพ็กเก็ตได้ แดชบอร์ดมีเอกลักษณ์เฉพาะตัวและสามารถช่วยให้ผู้ดูแลระบบที่ไม่มีประสบการณ์ระบุปัญหาเครือข่ายได้อย่างรวดเร็ว ระดับฟรีมีไว้สำหรับผู้ที่ต้องการเรียนรู้เพิ่มเติมเกี่ยวกับแพ็คเกจและสร้างทักษะการวิเคราะห์
เวอร์ชันฟรีช่วยให้คุณควบคุมโปรโตคอลได้มากกว่า 300 รายการ เหมาะสำหรับการตรวจสอบอีเมลและบันทึกเนื้อหาอีเมล นอกจากนี้ยังรองรับทริกเกอร์ที่สามารถใช้ทริกเกอร์การแจ้งเตือนเมื่อเกิดสถานการณ์บางอย่างขึ้น ในเรื่องนี้ Capsa สามารถใช้เป็นเครื่องมือสนับสนุนได้ในระดับหนึ่ง
Capsa ใช้ได้กับ Windows 2008/Vista/7/8 และ 10 เท่านั้น
บทสรุป
ง่ายต่อการดูว่าผู้ดูแลระบบสามารถสร้างโครงสร้างพื้นฐานการตรวจสอบเครือข่ายโดยใช้เครื่องมือที่เราอธิบายได้อย่างไร Tcpdump หรือ Windump สามารถติดตั้งได้บนเซิร์ฟเวอร์ทั้งหมด ตัวจัดกำหนดการ เช่น cron หรือตัวกำหนดตารางเวลาของ Windows จะเริ่มเซสชันการรวบรวมแพ็กเก็ตในเวลาที่เหมาะสม และเขียนข้อมูลที่รวบรวมไปยังไฟล์ pcap ผู้ดูแลระบบสามารถส่งแพ็กเก็ตเหล่านี้ไปยังเครื่องส่วนกลางและวิเคราะห์โดยใช้ wireshark หากเครือข่ายมีขนาดใหญ่เกินไปสำหรับสิ่งนี้ มีเครื่องมือระดับองค์กร เช่น SolarWinds เพื่อเปลี่ยนแพ็กเก็ตเครือข่ายทั้งหมดให้เป็นชุดข้อมูลที่สามารถจัดการได้
อ่านบทความอื่นๆ เกี่ยวกับการสกัดกั้นและการวิเคราะห์ปริมาณการใช้ข้อมูลเครือข่าย :
- Dan Nanni โปรแกรมอรรถประโยชน์บรรทัดคำสั่งสำหรับตรวจสอบการรับส่งข้อมูลเครือข่ายใน Linux
- Paul Cobbaut การดูแลระบบ Linux การสกัดกั้นการรับส่งข้อมูลเครือข่าย
- Paul Ferrill, 5 เครื่องมือตรวจสอบเครือข่าย Linux
- Pankaj Tanwar การจับแพ็คเก็ตด้วย libpcap Library
- Riccardo Capecchi ใช้ตัวกรอง Wireshark
- Nathan Willis การวิเคราะห์เครือข่ายกับ Wireshark
- ประชัน ผตาก
การดมกลิ่นแพ็กเก็ตเป็นคำศัพท์ที่อ้างถึงศิลปะของการดมกลิ่นการรับส่งข้อมูลเครือข่าย ตรงกันข้ามกับความเชื่อที่นิยม สิ่งต่างๆ เช่น อีเมลและหน้าเว็บไม่ได้เชื่อมต่อผ่านอินเทอร์เน็ตเป็นชิ้นเดียว พวกมันถูกแบ่งออกเป็นแพ็กเก็ตข้อมูลขนาดเล็กนับพัน และส่งผ่านอินเทอร์เน็ต ในบทความนี้ เราจะมาดูตัววิเคราะห์เครือข่ายและดมกลิ่นแพ็กเก็ตฟรีที่ดีที่สุด
มียูทิลิตี้มากมายที่รวบรวมทราฟฟิกเครือข่าย และส่วนใหญ่ใช้ pcap (บนระบบที่เหมือน Unix) หรือ libcap (บน Windows) เป็นเคอร์เนล ยูทิลิตีอีกประเภทหนึ่งช่วยวิเคราะห์ข้อมูลนี้ เนื่องจากแม้ปริมาณการใช้ข้อมูลเพียงเล็กน้อยก็สามารถสร้างแพ็กเก็ตหลายพันรายการที่นำทางได้ยาก ยูทิลิตี้เหล่านี้เกือบทั้งหมดแตกต่างกันเล็กน้อยในการรวบรวมข้อมูล ความแตกต่างที่สำคัญคือวิธีวิเคราะห์ข้อมูล
การวิเคราะห์ทราฟฟิกเครือข่ายต้องเข้าใจวิธีการทำงานของเครือข่าย ไม่มีเครื่องมือใดมาแทนที่ความรู้ของนักวิเคราะห์เกี่ยวกับระบบเครือข่ายขั้นพื้นฐานอย่างน่าอัศจรรย์ เช่น TCP "3-way handshake" ที่ใช้ในการเริ่มต้นการเชื่อมต่อระหว่างอุปกรณ์สองเครื่อง นักวิเคราะห์ยังต้องเข้าใจประเภทของการรับส่งข้อมูลเครือข่ายบนเครือข่ายที่ใช้งานได้ตามปกติ เช่น ARP และ DHCP ความรู้นี้มีความสำคัญเนื่องจากเครื่องมือวิเคราะห์จะแสดงสิ่งที่คุณขอให้ทำ ขึ้นอยู่กับคุณว่าจะขออะไร หากคุณไม่ทราบว่าเครือข่ายของคุณมีลักษณะอย่างไร อาจเป็นเรื่องยากที่จะรู้ว่าคุณพบสิ่งที่คุณกำลังมองหาในแพ็กเกจจำนวนมากที่คุณได้รวบรวมไว้
ตัวดมกลิ่นแพ็กเก็ตและตัววิเคราะห์เครือข่ายที่ดีที่สุด
เครื่องมืออุตสาหกรรม
เริ่มกันที่ด้านบนแล้วลงไปที่พื้นฐาน หากคุณกำลังติดต่อกับเครือข่ายระดับองค์กร คุณจะต้องมีปืนใหญ่ ในขณะที่เกือบทุกอย่างใช้ tcpdump เป็นแกนหลัก (เพิ่มเติมในภายหลัง) เครื่องมือระดับองค์กรสามารถแก้ปัญหาที่ยุ่งยากบางอย่างได้ เช่น การเชื่อมโยงการรับส่งข้อมูลจากเซิร์ฟเวอร์หลายเครื่อง ให้การสืบค้นอัจฉริยะเพื่อระบุปัญหา แจ้งเตือนคุณถึงข้อยกเว้น และสร้างกราฟที่ดี ที่เจ้านายมักเรียกร้อง . .
เครื่องมือระดับองค์กรมักจะเน้นที่การสตรีมการรับส่งข้อมูลเครือข่ายมากกว่าการประเมินเนื้อหาของแพ็กเก็ต ฉันหมายความว่าจุดสนใจหลักของผู้ดูแลระบบส่วนใหญ่ในองค์กรคือการทำให้แน่ใจว่าเครือข่ายไม่มีคอขวดด้านประสิทธิภาพ เมื่อเกิดปัญหาคอขวดดังกล่าว เป้าหมายมักจะกำหนดว่าปัญหาเกิดจากเครือข่ายหรือแอปพลิเคชันในเครือข่าย ในทางกลับกัน เครื่องมือเหล่านี้มักจะสามารถรองรับการรับส่งข้อมูลได้มาก ซึ่งสามารถช่วยคาดการณ์ได้เมื่อส่วนเครือข่ายจะถูกโหลดอย่างสมบูรณ์ ซึ่งเป็นจุดสำคัญในการจัดการแบนด์วิดท์เครือข่าย
นี่เป็นชุดเครื่องมือการจัดการไอทีขนาดใหญ่มาก ในบทความนี้ โปรแกรมอรรถประโยชน์การตรวจสอบและวิเคราะห์ Deep Packet ซึ่งเป็นส่วนประกอบที่สำคัญ มีความเหมาะสมกว่า การรวบรวมทราฟฟิกเครือข่ายค่อนข้างง่าย ด้วยเครื่องมืออย่าง WireShark การวิเคราะห์พื้นฐานก็ไม่เป็นปัญหาเช่นกัน แต่สถานการณ์ไม่ชัดเจนเสมอไป ในเครือข่ายที่มีงานยุ่งมาก อาจเป็นเรื่องยากที่จะระบุถึงสิ่งง่ายๆ เช่น:
แอปพลิเคชันใดบนเครือข่ายที่สร้างการรับส่งข้อมูลนี้
- หากรู้จักแอปพลิเคชัน (เช่น เว็บเบราว์เซอร์) ผู้ใช้ใช้เวลาส่วนใหญ่ไปที่ใด
- การเชื่อมต่อใดที่ยาวที่สุดและโอเวอร์โหลดเครือข่าย?
อุปกรณ์เครือข่ายส่วนใหญ่ใช้ข้อมูลเมตาของแต่ละแพ็กเก็ตเพื่อให้แน่ใจว่าแพ็กเก็ตจะไปในที่ที่ต้องการ อุปกรณ์เครือข่ายไม่รู้จักเนื้อหาของแพ็กเก็ต อีกสิ่งหนึ่งคือการตรวจสอบแพ็คเก็ตลึก ซึ่งหมายความว่ามีการตรวจสอบเนื้อหาจริงของแพ็คเกจ ด้วยวิธีนี้ ข้อมูลเครือข่ายที่สำคัญที่ไม่สามารถรวบรวมจากข้อมูลเมตาสามารถค้นพบได้ เครื่องมือเช่นเดียวกับที่ SolarWinds จัดหาให้สามารถให้ข้อมูลที่มีความหมายมากกว่าแค่กระแสการรับส่งข้อมูล
เทคโนโลยีการจัดการเครือข่ายที่เน้นข้อมูลอื่น ๆ ได้แก่ NetFlow และ sFlow แต่ละคนมีจุดแข็งและจุดอ่อนของตัวเอง
คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ NetFlow และ sFlow
การวิเคราะห์เครือข่ายโดยทั่วไปเป็นหัวข้อขั้นสูงที่ดึงทั้งบนพื้นฐานของความรู้ที่ได้รับและบนพื้นฐานของประสบการณ์จริง เป็นไปได้ที่จะฝึกอบรมบุคคลให้มีความรู้โดยละเอียดเกี่ยวกับแพ็กเก็ตเครือข่าย แต่ถ้าบุคคลนี้ไม่มีความรู้เกี่ยวกับเครือข่ายเอง และไม่มีประสบการณ์ในการตรวจจับความผิดปกติ เขาจะทำได้ดีมาก เครื่องมือในบทความนี้ควรใช้โดยผู้ดูแลระบบเครือข่ายที่มีประสบการณ์ซึ่งรู้ว่าต้องการอะไรแต่ไม่แน่ใจว่าเครื่องมือใดดีที่สุด นอกจากนี้ยังสามารถใช้โดยผู้ดูแลระบบที่มีประสบการณ์น้อยเพื่อรับประสบการณ์เครือข่ายแบบวันต่อวัน
พื้นฐาน
เครื่องมือหลักในการรวบรวมทราฟฟิกเครือข่ายคือ
เป็นแอปพลิเคชั่นโอเพ่นซอร์สที่ติดตั้งบนระบบปฏิบัติการที่เหมือน Unix เกือบทั้งหมด Tcpdump เป็นยูทิลิตี้การรวบรวมข้อมูลที่ยอดเยี่ยมซึ่งมีภาษาการกรองที่ซับซ้อนมาก สิ่งสำคัญคือต้องรู้วิธีกรองข้อมูลในขณะที่คุณรวบรวม เพื่อให้คุณได้ชุดข้อมูลปกติสำหรับการวิเคราะห์ การเก็บข้อมูลทั้งหมดจากอุปกรณ์เครือข่าย แม้ในเครือข่ายที่มีงานยุ่งปานกลาง สามารถสร้างข้อมูลมากเกินไปซึ่งจะวิเคราะห์ได้ยาก
ในบางกรณีซึ่งเกิดขึ้นไม่บ่อยนัก การพิมพ์ข้อมูลที่บันทึกโดย tcpdump ไปยังหน้าจอโดยตรงก็เพียงพอแล้วเพื่อค้นหาสิ่งที่คุณต้องการ ตัวอย่างเช่น ขณะเขียนบทความนี้ ฉันรวบรวมทราฟฟิกและสังเกตว่าเครื่องของฉันกำลังส่งทราฟฟิกไปยังที่อยู่ IP ที่ฉันไม่รู้ ปรากฎว่าเครื่องของฉันกำลังส่งข้อมูลไปยังที่อยู่ IP ของ Google 172.217.11.142 เนื่องจากฉันไม่มีผลิตภัณฑ์ใดๆ ของ Google และไม่มี Gmail เปิดอยู่ ฉันจึงไม่รู้ว่าทำไมสิ่งนี้จึงเกิดขึ้น ฉันตรวจสอบระบบของฉันแล้วและพบสิ่งต่อไปนี้:
[ ~ ]$ ps -ef | grep ผู้ใช้ Google 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service
ปรากฎว่าแม้ว่า Chrome จะไม่ทำงาน ก็ยังคงทำงานเป็นบริการ ฉันจะไม่สังเกตเห็นสิ่งนี้หากไม่มีการดมกลิ่นแพ็คเก็ต ฉันจับแพ็กเก็ตข้อมูลเพิ่มอีกสองสามตัว แต่คราวนี้ฉันมี tcpdump เขียนข้อมูลลงในไฟล์ ซึ่งจากนั้นฉันก็เปิดใน Wireshark (เพิ่มเติมในภายหลัง) นี่คือรายการ:
Tcpdump เป็นเครื่องมือโปรดของผู้ดูแลระบบเพราะเป็นยูทิลิตี้บรรทัดคำสั่ง tcpdump ไม่ต้องการ GUI เพื่อทำงาน สำหรับเซิร์ฟเวอร์ที่ใช้งานจริง อินเทอร์เฟซแบบกราฟิกค่อนข้างเป็นอันตราย เนื่องจากใช้ทรัพยากรระบบ ดังนั้นจึงแนะนำให้ใช้โปรแกรมบรรทัดคำสั่ง เช่นเดียวกับยูทิลิตี้ที่ทันสมัยมากมาย tcpdump มีภาษาที่สมบูรณ์และซับซ้อนซึ่งต้องใช้เวลาพอสมควร คำสั่งพื้นฐานบางส่วน ได้แก่ การเลือกอินเทอร์เฟซเครือข่ายเพื่อรวบรวมข้อมูลและเขียนข้อมูลดังกล่าวไปยังไฟล์ เพื่อให้สามารถส่งออกไปวิเคราะห์ที่อื่นได้ สวิตช์ -i และ -w ใช้สำหรับสิ่งนี้
# tcpdump -i eth0 -w tcpdump_packets tcpdump: ฟังบน eth0, ประเภทลิงก์ EN10MB (Ethernet) ขนาดการจับภาพ 262144 ไบต์ ^C51 แพ็กเก็ตที่บันทึก
คำสั่งนี้สร้างไฟล์ที่มีข้อมูลที่จับได้:
ไฟล์ tcpdump_packets tcpdump_packets: ไฟล์ดักจับ tcpdump ( endian น้อย) - เวอร์ชัน 2.4 (Ethernet ความยาวของการดักจับ 262144)
มาตรฐานสำหรับไฟล์ดังกล่าวคือรูปแบบ pcap ไม่ใช่ข้อความ ดังนั้นจึงสามารถแยกวิเคราะห์โดยโปรแกรมที่เข้าใจรูปแบบนี้เท่านั้น
3. วินดัม
ยูทิลิตีโอเพนซอร์ซที่มีประโยชน์ส่วนใหญ่จบลงด้วยการโคลนในระบบปฏิบัติการอื่น เมื่อเกิดเหตุการณ์นี้ขึ้น แสดงว่าแอปพลิเคชันได้รับการโยกย้ายแล้ว Windump เป็นพอร์ตของ tcpdump และทำงานในลักษณะที่คล้ายกันมาก
ความแตกต่างที่สำคัญที่สุดระหว่าง Windump และ tcpdump คือ Windump ต้องการไลบรารี Winpcap ที่ติดตั้งก่อนที่จะเรียกใช้ Windump แม้ว่า Windump และ Winpcap จะมีให้โดยผู้ดูแลคนเดียวกัน แต่จำเป็นต้องดาวน์โหลดแยกต่างหาก
Winpcap เป็นไลบรารี่ที่ต้องติดตั้งไว้ล่วงหน้า แต่ Windump เป็นไฟล์ exe ที่ไม่จำเป็นต้องติดตั้ง คุณจึงสามารถเรียกใช้ได้ นี่คือสิ่งที่ควรคำนึงถึงหากคุณใช้เครือข่าย Windows คุณไม่จำเป็นต้องติดตั้ง Windump ในทุกเครื่อง เพราะคุณสามารถคัดลอกได้ตามต้องการ แต่คุณจะต้องใช้ Winpcap เพื่อรองรับ Windup
เช่นเดียวกับ tcpdump Windump สามารถแสดงข้อมูลเครือข่ายเพื่อการวิเคราะห์ กรองในลักษณะเดียวกัน และเขียนข้อมูลไปยังไฟล์ pcap เพื่อการวิเคราะห์ในภายหลัง
4 Wireshark
Wireshark เป็นเครื่องมือที่รู้จักกันดีที่สุดในชุดดูแลระบบ ไม่เพียงแต่ช่วยให้คุณบันทึกข้อมูลเท่านั้น แต่ยังมีเครื่องมือวิเคราะห์ขั้นสูงอีกด้วย นอกจากนี้ Wireshark ยังเป็นโอเพ่นซอร์สและถูกย้ายไปยังระบบปฏิบัติการเซิร์ฟเวอร์ที่มีอยู่เกือบทุกระบบ Wireshark เรียกว่า Etheral ใช้งานได้ทุกที่ รวมถึงเป็นแอปพลิเคชันพกพาแบบสแตนด์อโลน
หากคุณกำลังวิเคราะห์ทราฟฟิกบนเซิร์ฟเวอร์ GUI Wireshark สามารถทำทุกอย่างให้คุณได้ เขาสามารถรวบรวมข้อมูลแล้ววิเคราะห์ได้ทั้งหมดที่นั่น อย่างไรก็ตาม GUI นั้นหายากบนเซิร์ฟเวอร์ ดังนั้นคุณสามารถรวบรวมข้อมูลเครือข่ายจากระยะไกล จากนั้นตรวจสอบไฟล์ pcap ที่เป็นผลลัพธ์ใน Wireshark บนคอมพิวเตอร์ของคุณ
เมื่อเปิดตัวครั้งแรก Wireshark อนุญาตให้คุณโหลดไฟล์ pcap ที่มีอยู่หรือเรียกใช้การดักจับการรับส่งข้อมูล ในกรณีหลัง คุณสามารถตั้งค่าตัวกรองเพิ่มเติมเพื่อลดปริมาณข้อมูลที่รวบรวมได้ หากคุณไม่ระบุตัวกรอง Wireshark จะรวบรวมข้อมูลเครือข่ายทั้งหมดจากอินเทอร์เฟซที่เลือก
หนึ่งในคุณสมบัติที่มีประโยชน์ที่สุดของ Wireshark คือความสามารถในการติดตามสตรีม เป็นการดีที่สุดที่จะคิดว่าด้ายเป็นโซ่ ในภาพหน้าจอด้านล่าง เราสามารถเห็นข้อมูลที่จับได้จำนวนมาก แต่ฉันสนใจที่อยู่ IP ของ Google มากที่สุด ฉันสามารถคลิกขวาและติดตามสตรีม TCP เพื่อดูห่วงโซ่ทั้งหมดได้
หากการรับส่งข้อมูลถูกบันทึกบนคอมพิวเตอร์เครื่องอื่น คุณสามารถนำเข้าไฟล์ PCAP โดยใช้ไฟล์ Wireshark -> เปิดกล่องโต้ตอบ ไฟล์ที่นำเข้ามีตัวกรองและเครื่องมือเดียวกันเช่นเดียวกับข้อมูลเครือข่ายที่บันทึกไว้
5.ปลาฉลาม
Tshark เป็นลิงค์ที่มีประโยชน์มากระหว่าง tcpdump และ Wireshark Tcpdump เชี่ยวชาญในการรวบรวมข้อมูลและสามารถดึงข้อมูลที่ต้องการได้ทางศัลยกรรมเท่านั้น อย่างไรก็ตาม ความสามารถในการวิเคราะห์ข้อมูลของข้อมูลนั้นมีจำกัด Wireshark ทำงานได้ดีทั้งในการบันทึกและวิเคราะห์ แต่มีอินเทอร์เฟซผู้ใช้ที่หนักหน่วงและไม่สามารถใช้บนเซิร์ฟเวอร์ที่ไม่ใช่ GUI ได้ ลอง tshark มันทำงานบนบรรทัดคำสั่ง
Tshark ใช้กฎการกรองแบบเดียวกับ Wireshark ซึ่งไม่น่าแปลกใจเลยเพราะเป็นผลิตภัณฑ์เดียวกัน คำสั่งด้านล่างบอกให้ tshark จับที่อยู่ IP ปลายทางและฟิลด์อื่นๆ ที่น่าสนใจจากส่วน HTTP ของแพ็กเก็ต
# tshark -i eth0 -Y http.request -T ฟิลด์ -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico
หากคุณต้องการเขียนทราฟฟิกไปยังไฟล์ ให้ใช้ตัวเลือก -W จากนั้นกดสวิตช์ -r (read) เพื่ออ่าน
จับภาพก่อน:
# tshark -i eth0 -w tshark_packets จับที่ "eth0" 102 ^C
อ่านที่นี่หรือย้ายไปที่อื่นเพื่อวิเคราะห์
# tshark -r tshark_packets -Y http.request -T ฟิลด์ -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /ติดต่อ 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reservations/ 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100100 57.0 / bookings/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack. js 172.20 .0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/ 57.0 /res/images/title.png
นี่เป็นเครื่องมือที่น่าสนใจมากที่จัดอยู่ในหมวดหมู่ของเครื่องมือวิเคราะห์ทางนิติวิทยาศาสตร์ของเครือข่าย มากกว่าที่จะเป็นแค่การดมกลิ่น สาขาวิชานิติวิทยาศาสตร์มักจะเป็นการสืบสวนและรวบรวมหลักฐาน และ Network Miner ก็ทำงานได้ดี เช่นเดียวกับที่ wireshark สามารถติดตามสตรีม TCP เพื่อกู้คืนห่วงโซ่การถ่ายโอนแพ็กเก็ตทั้งหมด Network Miner สามารถติดตามสตรีมเพื่อกู้คืนไฟล์ที่โอนผ่านเครือข่าย
Network Miner สามารถวางกลยุทธ์บนเครือข่ายเพื่อให้สามารถสังเกตและรวบรวมทราฟฟิกที่คุณสนใจในแบบเรียลไทม์ มันจะไม่สร้างทราฟฟิกของตัวเองบนเครือข่าย ดังนั้นมันจะทำงานเป็นความลับ
Network Miner ยังสามารถทำงานแบบออฟไลน์ได้ คุณสามารถใช้ tcpdump เพื่อรวบรวมแพ็กเก็ตจากจุดสนใจของเครือข่าย จากนั้นนำเข้าไฟล์ PCAP ไปยัง Network Miner ถัดไป คุณสามารถลองกู้คืนไฟล์หรือใบรับรองที่พบในไฟล์ที่บันทึกไว้
Network Miner สร้างขึ้นสำหรับ Windows แต่สำหรับ Mono สามารถทำงานบน OS ใดๆ ที่รองรับแพลตฟอร์ม Mono เช่น Linux และ MacOS
มีเวอร์ชันฟรี ระดับเริ่มต้น แต่มีคุณสมบัติที่เหมาะสม หากคุณต้องการคุณสมบัติเพิ่มเติม เช่น ตำแหน่งทางภูมิศาสตร์และสถานการณ์ที่กำหนดเอง คุณจะต้องซื้อใบอนุญาตแบบมืออาชีพ
7Fiddler (HTTP)
ในทางเทคนิคแล้วไม่ใช่ยูทิลิตี้ดักจับแพ็กเก็ตเครือข่าย แต่มีประโยชน์มากจนอยู่ในรายการนี้ ไม่เหมือนกับเครื่องมืออื่นๆ ที่แสดงไว้ที่นี่ ซึ่งออกแบบมาเพื่อดักจับการรับส่งข้อมูลเครือข่ายจากแหล่งใดก็ตาม Fiddler เป็นเครื่องมือแก้ไขจุดบกพร่องมากกว่า มันจับการรับส่งข้อมูล HTTP แม้ว่าเบราว์เซอร์หลายๆ ตัวจะมีความสามารถนี้อยู่แล้วในเครื่องมือสำหรับนักพัฒนาก็ตาม Fiddler ไม่ได้จำกัดอยู่ที่ปริมาณการใช้งานเบราว์เซอร์ Fiddler สามารถจับภาพทราฟฟิก HTTP บนคอมพิวเตอร์ของคุณ รวมถึงแอปพลิเคชันที่ไม่ใช่เว็บ
แอปพลิเคชันเดสก์ท็อปจำนวนมากใช้ HTTP เพื่อเชื่อมต่อกับบริการเว็บ และนอกเหนือจาก Fiddler วิธีเดียวที่จะบันทึกการรับส่งข้อมูลดังกล่าวสำหรับการวิเคราะห์คือการใช้เครื่องมือเช่น tcpdump หรือ Wireshark อย่างไรก็ตาม พวกมันทำงานที่ระดับของแพ็กเก็ต ดังนั้นสำหรับการวิเคราะห์ จำเป็นต้องวิศวกรรมย้อนกลับแพ็กเก็ตเหล่านี้ให้เป็นสตรีม HTTP การวิจัยง่ายๆ อาจเป็นงานจำนวนมาก และนี่คือที่มาของ Fiddler Fiddler สามารถช่วยตรวจจับคุกกี้ ใบรับรอง และข้อมูลที่เป็นประโยชน์อื่นๆ ที่ส่งมาจากแอปพลิเคชัน
Fiddler นั้นฟรีและเหมือนกับ Network Miner มันสามารถทำงานใน Mono บนระบบปฏิบัติการเกือบทุกชนิด
8 แคปซ่า
Capsa Network Analyzer มีหลายรุ่น แต่ละรุ่นมีความสามารถต่างกัน ในระดับแรก Capsa นั้นฟรี และโดยพื้นฐานแล้วคุณสามารถจับแพ็กเก็ตและทำการวิเคราะห์กราฟิกขั้นพื้นฐานของแพ็กเก็ตได้ แดชบอร์ดมีเอกลักษณ์เฉพาะตัวและสามารถช่วยให้ผู้ดูแลระบบที่ไม่มีประสบการณ์ระบุปัญหาเครือข่ายได้อย่างรวดเร็ว ระดับฟรีมีไว้สำหรับผู้ที่ต้องการเรียนรู้เพิ่มเติมเกี่ยวกับแพ็คเกจและสร้างทักษะการวิเคราะห์
เวอร์ชันฟรีช่วยให้คุณควบคุมโปรโตคอลได้มากกว่า 300 รายการ เหมาะสำหรับการตรวจสอบอีเมลและบันทึกเนื้อหาอีเมล นอกจากนี้ยังรองรับทริกเกอร์ที่สามารถใช้ทริกเกอร์การแจ้งเตือนเมื่อเกิดสถานการณ์บางอย่างขึ้น ในเรื่องนี้ Capsa สามารถใช้เป็นเครื่องมือสนับสนุนได้ในระดับหนึ่ง
Capsa ใช้ได้กับ Windows 2008/Vista/7/8 และ 10 เท่านั้น
บทสรุป
ง่ายต่อการดูว่าผู้ดูแลระบบสามารถสร้างโครงสร้างพื้นฐานการตรวจสอบเครือข่ายโดยใช้เครื่องมือที่เราอธิบายได้อย่างไร Tcpdump หรือ Windump สามารถติดตั้งได้บนเซิร์ฟเวอร์ทั้งหมด ตัวจัดกำหนดการ เช่น cron หรือตัวกำหนดตารางเวลาของ Windows จะเริ่มเซสชันการรวบรวมแพ็กเก็ตในเวลาที่เหมาะสม และเขียนข้อมูลที่รวบรวมไปยังไฟล์ pcap ผู้ดูแลระบบสามารถส่งแพ็กเก็ตเหล่านี้ไปยังเครื่องส่วนกลางและวิเคราะห์โดยใช้ wireshark หากเครือข่ายมีขนาดใหญ่เกินไปสำหรับสิ่งนี้ มีเครื่องมือระดับองค์กร เช่น SolarWinds เพื่อเปลี่ยนแพ็กเก็ตเครือข่ายทั้งหมดให้เป็นชุดข้อมูลที่สามารถจัดการได้
ตัววิเคราะห์แพ็กเก็ตเครือข่ายหรือตัวดมกลิ่นได้รับการพัฒนาขึ้นเพื่อแก้ปัญหาเครือข่าย พวกเขาสามารถสกัดกั้น ตีความ และบันทึกแพ็กเก็ตที่ส่งผ่านเครือข่ายเพื่อการวิเคราะห์ต่อไป ในแง่หนึ่ง วิธีนี้ช่วยให้ผู้ดูแลระบบและวิศวกรสนับสนุนด้านเทคนิคสามารถตรวจสอบวิธีการถ่ายโอนข้อมูลผ่านเครือข่าย วินิจฉัยและแก้ไขปัญหาที่เกิดขึ้น ในแง่นี้ ตัวดักจับแพ็กเก็ตเป็นเครื่องมือที่มีประสิทธิภาพสำหรับการวินิจฉัยปัญหาเครือข่าย ในทางกลับกัน เช่นเดียวกับเครื่องมืออันทรงพลังอื่น ๆ ที่เดิมมีไว้สำหรับการบริหาร เมื่อเวลาผ่านไป ดมกลิ่นถูกใช้เพื่อจุดประสงค์ที่แตกต่างไปจากเดิมอย่างสิ้นเชิง อันที่จริง ผู้ดมกลิ่นที่อยู่ในมือของผู้โจมตีเป็นเครื่องมือที่ค่อนข้างอันตรายและสามารถใช้เพื่อเข้าควบคุมรหัสผ่านและข้อมูลลับอื่นๆ อย่างไรก็ตาม อย่าคิดว่านักดมกลิ่นเป็นเครื่องมือวิเศษที่แฮ็กเกอร์คนใดจะสามารถดูข้อมูลลับที่ส่งผ่านเครือข่ายได้อย่างง่ายดาย และก่อนที่เราจะพิสูจน์ว่าอันตรายที่เกิดจากนักดมกลิ่นนั้นไม่ใหญ่เท่าที่ควร เรามาดูหลักการทำงานของพวกมันให้ละเอียดยิ่งขึ้น
แพ็กเก็ตดมกลิ่นทำงานอย่างไร
เพิ่มเติมในบทความนี้ เราจะพิจารณาเฉพาะซอฟต์แวร์ดมกลิ่นที่ออกแบบมาสำหรับเครือข่ายอีเทอร์เน็ต ดมกลิ่นเป็นโปรแกรมที่ทำงานในระดับของอะแดปเตอร์เครือข่าย NIC (การ์ดเชื่อมต่อเครือข่าย) (เลเยอร์ลิงก์) และสกัดกั้นการรับส่งข้อมูลทั้งหมดอย่างลับๆ เนื่องจากนักดมกลิ่นทำงานที่ชั้นดาต้าลิงค์ของโมเดล OSI พวกเขาจึงไม่ต้องเล่นตามกฎของโปรโตคอลระดับสูง ดมกลิ่นข้ามกลไกการกรอง (ที่อยู่ พอร์ต ฯลฯ) ที่ไดรเวอร์อีเทอร์เน็ตและสแต็ก TCP/IP ใช้ในการตีความข้อมูล Packet sniffers ดักจับทุกอย่างที่ผ่านเข้ามาจากลวด นักดมกลิ่นสามารถบันทึกเฟรมในรูปแบบไบนารีและถอดรหัสได้ในภายหลังเพื่อเปิดเผยข้อมูลระดับสูงที่ซ่อนอยู่ภายใน (ภาพที่ 1)
เพื่อให้ผู้ดมกลิ่นสามารถดักจับแพ็กเก็ตทั้งหมดที่ส่งผ่านอะแดปเตอร์เครือข่าย ไดรเวอร์อะแดปเตอร์เครือข่ายต้องสนับสนุนโหมดการทำงานที่หลากหลาย (โหมดสำส่อน) ในโหมดนี้ของการทำงานของอะแดปเตอร์เครือข่ายที่ผู้ดมกลิ่นสามารถดักจับแพ็กเก็ตทั้งหมดได้ โหมดการทำงานของอะแดปเตอร์เครือข่ายนี้จะเปิดใช้งานโดยอัตโนมัติเมื่อผู้ดมกลิ่นเริ่มต้นหรือตั้งค่าด้วยตนเองโดยการตั้งค่าที่เกี่ยวข้องของผู้ดมกลิ่น
ทราฟฟิกที่ถูกดักจับทั้งหมดจะถูกส่งไปยังตัวถอดรหัสแพ็กเก็ต ซึ่งระบุและแยกแพ็กเก็ตออกเป็นระดับที่เหมาะสมของลำดับชั้น ข้อมูลที่นำเสนอเกี่ยวกับแพ็กเก็ตสามารถวิเคราะห์และกรองเพิ่มเติมได้ในภายหลัง ทั้งนี้ขึ้นอยู่กับความสามารถของผู้ดมกลิ่นเฉพาะ
ข้อจำกัดในการดมกลิ่น
นักดมกลิ่นก่อให้เกิดอันตรายครั้งใหญ่ที่สุดในเวลาที่ข้อมูลถูกส่งผ่านเครือข่ายในรูปแบบข้อความที่ชัดเจน (ไม่มีการเข้ารหัส) และเครือข่ายท้องถิ่นถูกสร้างขึ้นบนพื้นฐานของคอนเดนเซอร์ (ฮับ) อย่างไรก็ตาม เวลาเหล่านั้นได้หายไปตลอดกาล และทุกวันนี้ การใช้นักดมกลิ่นเพื่อเข้าถึงข้อมูลที่เป็นความลับนั้นไม่ใช่เรื่องง่ายเลย
ความจริงก็คือเมื่อสร้างเครือข่ายท้องถิ่นโดยใช้ฮับมีสื่อกลางในการรับส่งข้อมูลทั่วไป (สายเคเบิลเครือข่าย) และแพ็กเก็ตแลกเปลี่ยนโหนดเครือข่ายทั้งหมดแข่งขันกันเพื่อเข้าถึงสื่อนี้ (รูปที่ 2) และแพ็กเก็ตที่ส่งโดยเครือข่ายเดียว โหนดจะถูกส่งไปยังพอร์ตทั้งหมดของฮับและแพ็กเก็ตนี้ได้รับการรับฟังโดยโหนดอื่น ๆ ทั้งหมดในเครือข่าย แต่มีเพียงโหนดที่ได้รับการแก้ไขเท่านั้นที่จะได้รับ ยิ่งไปกว่านั้น หากติดตั้งตัวดักจับแพ็กเก็ตบนโหนดเครือข่ายใดโหนดหนึ่ง โหนดเครือข่ายก็สามารถดักจับแพ็กเก็ตเครือข่ายทั้งหมดที่เกี่ยวข้องกับเซ็กเมนต์เครือข่ายนี้ (เครือข่ายที่สร้างโดยฮับ)
สวิตช์มีความชาญฉลาดมากกว่าศูนย์กลางการออกอากาศและแยกการรับส่งข้อมูลเครือข่าย สวิตช์รู้ที่อยู่ของอุปกรณ์ที่เชื่อมต่อกับแต่ละพอร์ตและส่งต่อแพ็กเก็ตระหว่างพอร์ตที่จำเป็นเท่านั้น สิ่งนี้ทำให้คุณสามารถถ่ายพอร์ตอื่นๆ โดยไม่ต้องส่งทุกแพ็กเก็ตไปยังพอร์ตเหล่านั้น เหมือนที่ฮับทำ ดังนั้น แพ็กเก็ตที่ส่งโดยโหนดเครือข่ายบางตัวจะถูกส่งไปยังพอร์ตสวิตช์ที่ผู้รับของแพ็กเก็ตเชื่อมต่ออยู่เท่านั้น และโหนดเครือข่ายอื่นๆ ทั้งหมดจะไม่สามารถตรวจพบแพ็กเก็ตนี้ (รูปที่ 3)
ดังนั้น หากเครือข่ายถูกสร้างขึ้นบนพื้นฐานของสวิตช์ sniffer ที่ติดตั้งบนคอมพิวเตอร์เครือข่ายเครื่องใดเครื่องหนึ่งจะสามารถสกัดกั้นเฉพาะแพ็กเก็ตที่คอมพิวเตอร์เครื่องนี้แลกเปลี่ยนกับโหนดเครือข่ายอื่น ด้วยเหตุนี้ เพื่อที่จะสามารถดักจับแพ็กเก็ตที่คอมพิวเตอร์หรือเซิร์ฟเวอร์ที่สนใจให้กับผู้โจมตีแลกเปลี่ยนกับโหนดเครือข่ายอื่น จำเป็นต้องติดตั้งเครื่องดมกลิ่นบนคอมพิวเตอร์เครื่องนี้ (เซิร์ฟเวอร์) ซึ่งจริงๆ แล้วไม่ใช่เรื่องง่าย อย่างไรก็ตาม คุณควรจำไว้ว่าการดมกลิ่นแพ็กเก็ตบางตัวเรียกใช้จากบรรทัดคำสั่งและอาจไม่มีอินเทอร์เฟซแบบกราฟิก โดยหลักการแล้วผู้ดมกลิ่นดังกล่าวสามารถติดตั้งและเรียกใช้จากระยะไกลและมองไม่เห็นแก่ผู้ใช้
นอกจากนี้ คุณต้องจำไว้เสมอว่าในขณะที่สวิตช์แยกการรับส่งข้อมูลเครือข่าย สวิตช์ที่มีการจัดการทั้งหมดมีคุณสมบัติการส่งต่อพอร์ตหรือการมิเรอร์พอร์ต กล่าวคือ สามารถกำหนดค่าพอร์ตสวิตช์ได้ในลักษณะที่แพ็กเก็ตทั้งหมดที่มาถึงพอร์ตอื่นของสวิตช์จะถูกทำซ้ำ หากในกรณีนี้ คอมพิวเตอร์ที่มีการดมกลิ่นแพ็กเก็ตเชื่อมต่อกับพอร์ตดังกล่าว ก็จะสามารถสกัดกั้นแพ็กเก็ตทั้งหมดที่แลกเปลี่ยนระหว่างคอมพิวเตอร์ในส่วนเครือข่ายนี้ได้ อย่างไรก็ตาม ตามกฎแล้ว ความสามารถในการกำหนดค่าสวิตช์จะใช้ได้เฉพาะกับผู้ดูแลระบบเครือข่ายเท่านั้น แน่นอนว่านี่ไม่ได้หมายความว่าเขาจะเป็นผู้บุกรุกไม่ได้ แต่ผู้ดูแลระบบเครือข่ายมีวิธีอื่นๆ มากมายในการควบคุมผู้ใช้ทั้งหมดในเครือข่ายท้องถิ่น และเขาไม่น่าจะตรวจสอบคุณในลักษณะที่ซับซ้อนเช่นนี้
อีกเหตุผลหนึ่งที่ผู้ดมกลิ่นไม่เป็นอันตรายอย่างที่เคยเป็นมา ก็คือทุกวันนี้ข้อมูลที่สำคัญที่สุดถูกส่งในรูปแบบที่เข้ารหัส บริการเปิดที่ไม่ได้เข้ารหัสจะหายไปอย่างรวดเร็วจากอินเทอร์เน็ต ตัวอย่างเช่น เมื่อเยี่ยมชมเว็บไซต์ โปรโตคอล SSL (Secure Sockets Layer) ถูกใช้เพิ่มมากขึ้น SFTP (Secure FTP) ถูกใช้แทน open FTP และบริการอื่นๆ ที่ไม่ใช้การเข้ารหัสโดยค่าเริ่มต้นมีการใช้เครือข่ายส่วนตัวเสมือน (VPN) เพิ่มมากขึ้น
ดังนั้น บรรดาผู้ที่กังวลเกี่ยวกับความเป็นไปได้ของการใช้ Packet sniffers อย่างมุ่งร้าย ควรคำนึงถึงสิ่งต่อไปนี้ ประการแรก ในการสร้างภัยคุกคามร้ายแรงต่อเครือข่ายของคุณ ผู้ดมกลิ่นต้องอยู่ภายในเครือข่ายเอง ประการที่สอง มาตรฐานการเข้ารหัสในปัจจุบันทำให้การสกัดกั้นข้อมูลที่เป็นความลับทำได้ยากมาก ดังนั้น ในปัจจุบัน packet sniffers จึงค่อยๆ สูญเสียความเกี่ยวข้องเป็นเครื่องมือสำหรับแฮกเกอร์ แต่ในขณะเดียวกัน ก็ยังคงเป็นเครื่องมือที่มีประสิทธิภาพและทรงพลังสำหรับการวินิจฉัยเครือข่าย ยิ่งไปกว่านั้น สามารถใช้ sniffers ได้สำเร็จ ไม่เพียงแต่เพื่อวินิจฉัยและระบุปัญหาเครือข่ายเท่านั้น แต่ยังสามารถใช้เพื่อตรวจสอบความปลอดภัยของเครือข่ายได้อีกด้วย โดยเฉพาะอย่างยิ่ง การใช้ตัววิเคราะห์แพ็กเก็ตช่วยให้คุณสามารถตรวจจับการรับส่งข้อมูลที่ไม่ได้รับอนุญาต ตรวจจับและระบุซอฟต์แวร์ที่ไม่ได้รับอนุญาต ระบุโปรโตคอลที่ไม่ได้ใช้เพื่อลบออกจากเครือข่าย สร้างการรับส่งข้อมูลสำหรับการทดสอบการเจาะเพื่อทดสอบระบบป้องกัน ทำงานร่วมกับระบบตรวจจับการบุกรุก (การตรวจจับการบุกรุก ระบบไอดีเอส).
ภาพรวมของ Software Packet Sniffers
ซอฟต์แวร์ดมกลิ่นทั้งหมดสามารถแบ่งออกเป็นสองประเภทคร่าวๆ: ดมกลิ่นที่สนับสนุนการเรียกใช้จากบรรทัดคำสั่ง และผู้ดมกลิ่นที่มีอินเทอร์เฟซแบบกราฟิก ในเวลาเดียวกัน เราสังเกตว่ามีผู้ดมกลิ่นที่รวมคุณสมบัติทั้งสองนี้ไว้ด้วยกัน นอกจากนี้ ตัวดมกลิ่นยังแตกต่างกันในโปรโตคอลที่รองรับ ความลึกของการวิเคราะห์แพ็กเก็ตที่ถูกดักจับ ความสามารถในการกำหนดค่าตัวกรอง และความเป็นไปได้ของความเข้ากันได้กับโปรแกรมอื่นๆ
โดยปกติ หน้าต่างของผู้ดมกลิ่นใดๆ ที่มีอินเทอร์เฟซแบบกราฟิกประกอบด้วยสามส่วน อันแรกแสดงข้อมูลสรุปของแพ็กเก็ตที่ดักจับ โดยทั่วไป พื้นที่นี้จะแสดงฟิลด์ขั้นต่ำ กล่าวคือ: เวลาในการดักจับแพ็กเก็ต ที่อยู่ IP ของผู้ส่งและผู้รับแพ็กเก็ต ที่อยู่ MAC ต้นทางและปลายทางของแพ็กเก็ต ที่อยู่พอร์ตต้นทางและปลายทาง ประเภทโปรโตคอล (เครือข่าย การขนส่ง หรือชั้นแอปพลิเคชัน) ข้อมูลสรุปเกี่ยวกับข้อมูลที่สกัดกั้น พื้นที่ที่สองแสดงข้อมูลทางสถิติเกี่ยวกับแพ็คเกจที่เลือกแต่ละรายการ และสุดท้าย พื้นที่ที่สามแสดงแพ็คเกจในรูปแบบเลขฐานสิบหกหรืออักขระ - ASCII
ดมกลิ่นแพ็กเก็ตเกือบทั้งหมดอนุญาตให้วิเคราะห์แพ็กเก็ตที่ถอดรหัสได้ (ซึ่งเป็นสาเหตุที่ผู้ดมกลิ่นแพ็กเก็ตเรียกอีกอย่างว่าตัววิเคราะห์แพ็กเก็ตหรือตัววิเคราะห์โปรโตคอล) ผู้ดมกลิ่นจะแจกจ่ายแพ็กเก็ตที่ถูกดักจับโดยเลเยอร์และโปรโตคอล ตัววิเคราะห์แพ็กเก็ตบางตัวสามารถรับรู้โปรโตคอลและแสดงข้อมูลที่จับได้ ข้อมูลประเภทนี้มักจะแสดงในพื้นที่ที่สองของหน้าต่างดมกลิ่น ตัวอย่างเช่น ผู้ดมกลิ่นใด ๆ สามารถรับรู้โปรโตคอล TCP และผู้ดมกลิ่นขั้นสูงสามารถกำหนดได้ว่าแอปพลิเคชันใดสร้างการรับส่งข้อมูลนี้ ตัววิเคราะห์โปรโตคอลส่วนใหญ่รู้จักโปรโตคอลต่างๆ มากกว่า 500 โปรโตคอล และสามารถอธิบายและถอดรหัสตามชื่อได้ ยิ่งนักดมกลิ่นสามารถถอดรหัสและแสดงข้อมูลบนหน้าจอได้มากเท่าใด คุณก็ยิ่งต้องถอดรหัสด้วยตนเองน้อยลงเท่านั้น
ปัญหาหนึ่งที่นักดมกลิ่นแพ็กเก็ตสามารถพบเจอได้คือไม่สามารถระบุโปรโตคอลได้อย่างถูกต้องโดยใช้พอร์ตอื่นที่ไม่ใช่พอร์ตเริ่มต้น ตัวอย่างเช่น เพื่อเพิ่มความปลอดภัย แอพพลิเคชั่นที่รู้จักกันดีบางตัวอาจได้รับการกำหนดค่าให้ใช้พอร์ตอื่นที่ไม่ใช่พอร์ตเริ่มต้น ดังนั้น แทนที่จะเป็นพอร์ต 80 ดั้งเดิมที่สงวนไว้สำหรับเว็บเซิร์ฟเวอร์ เซิร์ฟเวอร์นี้สามารถบังคับให้กำหนดค่าใหม่เป็นพอร์ต 8088 หรืออื่นๆ ตัววิเคราะห์แพ็กเก็ตบางตัวในสถานการณ์นี้ไม่สามารถระบุโปรโตคอลได้อย่างถูกต้อง และแสดงเฉพาะข้อมูลเกี่ยวกับโปรโตคอลระดับล่าง (TCP หรือ UDP)
มีซอฟต์แวร์ดมกลิ่นที่มาพร้อมกับโมดูลการวิเคราะห์ซอฟต์แวร์เป็นปลั๊กอินหรือโมดูลในตัวที่ช่วยให้คุณสร้างรายงานพร้อมข้อมูลการวิเคราะห์ที่เป็นประโยชน์เกี่ยวกับทราฟฟิกที่ถูกดักจับ
คุณลักษณะเฉพาะของซอฟต์แวร์วิเคราะห์แพ็กเก็ตส่วนใหญ่ก็คือความสามารถในการกำหนดค่าตัวกรองก่อนและหลังการรับส่งข้อมูล ตัวกรองจะเลือกแพ็กเก็ตบางตัวจากการรับส่งข้อมูลทั่วไปตามเกณฑ์ที่กำหนด ซึ่งช่วยให้คุณกำจัดข้อมูลที่ไม่จำเป็นเมื่อวิเคราะห์ปริมาณการใช้งาน
ความจำเป็นในการวิเคราะห์ปริมาณการใช้เครือข่ายอาจเกิดขึ้นได้จากหลายสาเหตุ การตรวจสอบความปลอดภัยของคอมพิวเตอร์ การดีบักเครือข่ายท้องถิ่น การตรวจสอบการรับส่งข้อมูลขาออกเพื่อเพิ่มประสิทธิภาพการทำงานของการเชื่อมต่ออินเทอร์เน็ตที่ใช้ร่วมกัน - งานทั้งหมดเหล่านี้มักเป็นวาระของผู้ดูแลระบบและผู้ใช้ทั่วไป เพื่อแก้ปัญหาเหล่านี้ มีเครื่องมือหลายอย่างที่เรียกว่า sniffers ซึ่งทั้งสองแบบเฉพาะทาง มุ่งเป้าไปที่การแก้ปัญหาในส่วนที่แคบของงาน และ "ชุดค่าผสม" แบบมัลติฟังก์ชั่นที่ให้ผู้ใช้มีเครื่องมือให้เลือกมากมาย บทความนี้จะแนะนำหนึ่งในตัวแทนของกลุ่มหลัง นั่นคือยูทิลิตี้ CommView ที่ผลิตโดยบริษัท โปรแกรมนี้ช่วยให้คุณเห็นภาพทั้งหมดของการรับส่งข้อมูลผ่านคอมพิวเตอร์หรือส่วนของเครือข่ายท้องถิ่น ระบบเตือนภัยที่ปรับแต่งได้ช่วยให้คุณเตือนเกี่ยวกับการมีอยู่ของแพ็กเก็ตที่น่าสงสัยในทราฟฟิก การปรากฏตัวของโหนดที่มีที่อยู่ผิดปกติบนเครือข่าย หรือการเพิ่มขึ้นของภาระในเครือข่าย
CommView ให้ความสามารถในการเก็บสถิติเกี่ยวกับการเชื่อมต่อ IP ทั้งหมด ถอดรหัสแพ็กเก็ต IP ให้อยู่ในระดับต่ำ และวิเคราะห์ได้ ระบบการกรองในตัวด้วยพารามิเตอร์หลายตัวช่วยให้คุณกำหนดค่าการติดตามเฉพาะแพ็กเก็ตที่จำเป็นเท่านั้น ซึ่งทำให้การวิเคราะห์มีประสิทธิภาพมากขึ้น โปรแกรมสามารถจดจำแพ็กเก็ตจากโปรโตคอลทั่วไปมากกว่าเจ็ดโหล (รวมถึง DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP ฯลฯ) และบันทึกลงในไฟล์เพื่อการวิเคราะห์ในภายหลัง เครื่องมืออื่นๆ มากมาย เช่น การตรวจหาผู้ผลิตอะแดปเตอร์เครือข่ายตามที่อยู่ MAC การสร้าง HTML ใหม่ และการดักจับแพ็กเก็ตระยะไกลด้วยยูทิลิตี้ CommView Remote Agent ที่เป็นตัวเลือก อาจมีประโยชน์ในบางกรณีเช่นกัน
การทำงานกับโปรแกรม
ก่อนอื่นคุณต้องเลือกอินเทอร์เฟซเครือข่ายที่จะตรวจสอบการรับส่งข้อมูล 
CommView รองรับอแดปเตอร์อีเทอร์เน็ตเกือบทุกประเภท - 10, 100 และ 1,000 Mbps เช่นเดียวกับโมเด็มแอนะล็อก, xDSL, Wi-Fi เป็นต้น โดยการวิเคราะห์ทราฟฟิกอะแด็ปเตอร์อีเทอร์เน็ต CommView สามารถสกัดกั้นไม่เพียงแค่ขาเข้าและขาออกเท่านั้น แต่ยังรวมถึงแพ็กเก็ตการรับส่งข้อมูลด้วย ไปยังคอมพิวเตอร์เครื่องใดก็ได้ในส่วนเครือข่ายท้องถิ่น เป็นที่น่าสังเกตว่าหากงานคือการตรวจสอบการรับส่งข้อมูลทั้งหมดในส่วนเครือข่ายท้องถิ่น คอมพิวเตอร์ในนั้นจะต้องเชื่อมต่อผ่านฮับ ไม่ใช่ผ่านสวิตช์ สวิตช์รุ่นใหม่บางรุ่นมีคุณสมบัติการทำมิเรอร์พอร์ต ซึ่งช่วยให้สามารถกำหนดค่าสำหรับการตรวจสอบเครือข่ายโดยใช้ CommView คุณสามารถอ่านเพิ่มเติมเกี่ยวกับเรื่องนี้ หลังจากเลือกการเชื่อมต่อที่ต้องการแล้ว คุณสามารถเริ่มจับแพ็กเก็ตได้ ปุ่มเริ่มต้นและหยุดการจับภาพอยู่ใกล้กับเส้นการเลือกอินเทอร์เฟซ เมื่อต้องการทำงานกับตัวควบคุมการเข้าถึงระยะไกล VPN และ PPPoE เมื่อติดตั้งโปรแกรม คุณต้องติดตั้งไดรเวอร์ที่เหมาะสม
หน้าต่างหลักของโปรแกรมแบ่งออกเป็นหลายแท็บที่รับผิดชอบงานเฉพาะด้าน คนแรก, "การเชื่อมต่อ IP ปัจจุบัน"จะแสดงข้อมูลโดยละเอียดเกี่ยวกับการเชื่อมต่อ IP ที่ถูกต้องของคอมพิวเตอร์ ที่นี่คุณสามารถดูที่อยู่ IP ในเครื่องและระยะไกล จำนวนแพ็คเก็ตที่ส่งและรับ ทิศทางของการส่ง จำนวนเซสชัน IP ที่กำหนด พอร์ต ชื่อโฮสต์ (หากฟังก์ชันการแก้ปัญหา DNS ไม่ถูกปิดใช้งานในการตั้งค่าโปรแกรม) และชื่อของกระบวนการที่รับหรือส่งแพ็กเก็ตของเซสชันนี้ ไม่มีข้อมูลล่าสุดสำหรับทรานสิทแพ็กเก็ตหรือบนคอมพิวเตอร์ที่ใช้ Windows 9x/ME 
แท็บการเชื่อมต่อ IP ปัจจุบัน
การคลิกขวาที่การเชื่อมต่อจะเปิดเมนูบริบทซึ่งคุณจะพบเครื่องมือที่จะช่วยคุณวิเคราะห์การเชื่อมต่อ คุณสามารถดูจำนวนข้อมูลที่ถ่ายโอนภายในการเชื่อมต่อ รายการพอร์ตทั้งหมดที่ใช้ ข้อมูลโดยละเอียดเกี่ยวกับกระบวนการที่รับหรือส่งแพ็กเก็ตของเซสชันนี้ CommView ให้คุณสร้างนามแฝงสำหรับที่อยู่ MAC และ IP ตัวอย่างเช่น โดยการระบุนามแฝงแทนที่อยู่ดิจิทัลที่ยุ่งยากของเครื่องเครือข่ายท้องถิ่น คุณจะได้รับชื่อคอมพิวเตอร์ที่อ่านง่ายและน่าจดจำ และช่วยให้วิเคราะห์การเชื่อมต่อได้ง่ายขึ้น 
ในการสร้างนามแฝงสำหรับที่อยู่ IP คุณต้องเลือก "สร้างนามแฝง" และ "ใช้ IP ในเครื่อง" หรือ "ใช้ IP ระยะไกล" จากเมนูบริบท ในหน้าต่างที่ปรากฏขึ้น ฟิลด์ที่อยู่ IP จะถูกกรอกไว้แล้ว และที่เหลือก็แค่ป้อนชื่อที่เหมาะสม หากรายการชื่อ IP ใหม่ถูกสร้างขึ้นโดยการคลิกขวาที่แพ็กเก็ต ฟิลด์ชื่อจะถูกเติมโดยอัตโนมัติด้วยชื่อโฮสต์ (ถ้ามี) และสามารถแก้ไขได้ เช่นเดียวกับชื่อแทน MAC
จากเมนูเดียวกัน โดยการเลือก SmartWhois คุณสามารถส่งที่อยู่ IP ต้นทางหรือปลายทางที่เลือกไปยัง SmartWhois ซึ่งเป็นแอปพลิเคชันแบบสแตนด์อโลนจาก Tamosoft ที่รวบรวมข้อมูลเกี่ยวกับที่อยู่ IP หรือชื่อโฮสต์ใดๆ เช่น ชื่อเครือข่าย โดเมน ประเทศ รัฐ หรือจังหวัด เมือง และมอบให้กับผู้ใช้
แท็บที่สอง "แพ็คเกจ"แสดงแพ็กเก็ตทั้งหมดที่จับบนอินเทอร์เฟซเครือข่ายที่เลือกและข้อมูลโดยละเอียดเกี่ยวกับแพ็กเก็ตเหล่านั้น 
แท็บแพ็คเกจ
หน้าต่างแบ่งออกเป็นสามส่วน อันแรกแสดงรายการแพ็กเก็ตที่ดักจับทั้งหมด หากคุณเลือกแพ็คเกจใดแพ็คเกจหนึ่งโดยคลิกด้วยตัวชี้เมาส์ หน้าต่างที่เหลือจะแสดงข้อมูลเกี่ยวกับแพ็คเกจนั้น โดยจะแสดงหมายเลขแพ็กเก็ต โปรโตคอล Mac และที่อยู่ IP ของโฮสต์รับส่ง พอร์ตที่ใช้ และเวลาที่แพ็กเก็ตปรากฏขึ้น
พื้นที่ตรงกลางแสดงเนื้อหาของแพ็คเกจ - ในรูปแบบเลขฐานสิบหกหรือข้อความ ในกรณีหลัง อักขระที่ไม่สามารถพิมพ์ได้จะถูกแทนที่ด้วยจุด หากเลือกหลายแพ็คเกจพร้อมกันในพื้นที่ด้านบน จำนวนรวมของแพ็คเกจที่เลือก ขนาดรวม และช่วงเวลาระหว่างแพ็คเกจแรกและแพ็คเกจสุดท้ายจะแสดงในหน้าต่างตรงกลาง
หน้าต่างด้านล่างจะแสดงข้อมูลโดยละเอียดที่ถอดรหัสเกี่ยวกับแพ็กเก็ตที่เลือก
โดยคลิกที่ปุ่มใดปุ่มหนึ่งจากสามปุ่มที่ด้านล่างขวาของหน้าต่าง คุณสามารถเลือกตำแหน่งของหน้าต่างถอดรหัส: ในส่วนล่าง หรือจัดชิดซ้ายหรือขวา อีกสองปุ่มช่วยให้คุณข้ามไปยังแพ็กเก็ตที่ได้รับล่าสุดโดยอัตโนมัติ และบันทึกแพ็กเก็ตที่เลือกไว้ในพื้นที่รายการที่มองเห็นได้
เมนูบริบทช่วยให้คุณคัดลอกที่อยู่ MAC, ที่อยู่ IP และแพ็กเก็ตทั้งหมดไปยังคลิปบอร์ด กำหนดนามแฝง ใช้ตัวกรองด่วนเพื่อเลือกแพ็กเก็ตที่ต้องการ ตลอดจนใช้เครื่องมือ "การสร้างเซสชัน TCP ใหม่" และ "เครื่องมือสร้างแพ็คเก็ต"
เครื่องมือสร้างเซสชัน TCP ใหม่ช่วยให้คุณดูกระบวนการแลกเปลี่ยนระหว่างสองโฮสต์ผ่าน TCP ในการทำให้เนื้อหาของเซสชันดูเข้าใจง่ายขึ้น คุณต้องเลือก "ตรรกะการแสดงผล" ที่เหมาะสม คุณลักษณะนี้มีประโยชน์มากที่สุดสำหรับการกู้คืนข้อมูลที่เป็นข้อความ เช่น HTML หรือ ASCII 
ข้อมูลผลลัพธ์สามารถส่งออกเป็นข้อความ, RTF หรือไฟล์ไบนารี
ไฟล์บันทึก tab. ที่นี่ คุณสามารถกำหนดการตั้งค่าสำหรับการบันทึกแพ็กเก็ตที่ดักจับไปยังไฟล์ CommView บันทึกไฟล์บันทึกในรูปแบบ NCF ดั้งเดิม ในการดูจะใช้ยูทิลิตี้ในตัวซึ่งสามารถเปิดใช้งานได้จากเมนูไฟล์ 
เป็นไปได้ที่จะเปิดใช้งานการบันทึกอัตโนมัติของแพ็กเก็ตที่ดักจับเมื่อมาถึง เก็บบันทึกเซสชัน HTTP ในรูปแบบ TXT และ HTML บันทึก ลบ รวมและแยกไฟล์บันทึก โปรดทราบว่าแพ็คเกจจะไม่ถูกบันทึกทันทีที่มาถึง ดังนั้นเมื่อคุณดูบันทึกการใช้งานจริง แพ็คเกจนั้นมักจะไม่มีแพ็คเกจล่าสุด เพื่อให้โปรแกรมส่งบัฟเฟอร์ไปยังไฟล์ทันที คุณต้องคลิกปุ่ม "เสร็จสิ้นการจับภาพ"
ในแท็บ "กฎ"คุณสามารถกำหนดเงื่อนไขสำหรับการสกัดกั้นหรือละเว้นแพ็กเก็ตได้ 
เพื่ออำนวยความสะดวกในการเลือกและวิเคราะห์แพ็คเกจที่ต้องการ สามารถใช้กฎการกรองได้ สิ่งนี้จะลดจำนวนทรัพยากรระบบที่ใช้โดย CommView ลงอย่างมาก
ในการเปิดใช้งานกฎใดๆ คุณต้องเลือกส่วนที่เหมาะสมทางด้านซ้ายของหน้าต่าง มีกฎทั้งหมดเจ็ดประเภท: กฎธรรมดา - "โปรโตคอลและทิศทาง", "ที่อยู่ Mac", "ที่อยู่ IP", "พอร์ต", "ข้อความ", "ธง TCP", "กระบวนการ" เช่นเดียวกับ กฎสากล "สูตร" สำหรับกฎง่ายๆ แต่ละกฎ คุณสามารถเลือกพารามิเตอร์แต่ละรายการได้ เช่น การเลือกทิศทางหรือโปรโตคอล กฎสากลของสูตรเป็นกลไกที่ทรงพลังและยืดหยุ่นสำหรับการสร้างตัวกรองโดยใช้ตรรกะบูลีน สามารถดูข้อมูลอ้างอิงโดยละเอียดเกี่ยวกับไวยากรณ์ได้
แท็บ "คำเตือน"จะช่วยคุณกำหนดการตั้งค่าสำหรับการแจ้งเตือนเกี่ยวกับเหตุการณ์ต่างๆ ที่เกิดขึ้นในส่วนเครือข่ายที่อยู่ระหว่างการศึกษา 
แท็บการแจ้งเตือนช่วยให้คุณสร้าง แก้ไข ลบกฎการแจ้งเตือน และดูเหตุการณ์ปัจจุบันที่ตรงกับกฎเหล่านั้นได้
ในการตั้งค่ากฎคำเตือน โดยการคลิกปุ่ม "เพิ่ม..." ในหน้าต่างที่เปิดขึ้น ให้เลือกเงื่อนไขที่จำเป็น ซึ่งจะมีการแจ้งเตือนเกิดขึ้น ตลอดจนวิธีการแจ้งผู้ใช้เกี่ยวกับ มัน. 
CommView อนุญาตให้คุณตั้งค่าประเภทเหตุการณ์ต่อไปนี้เพื่อตรวจสอบ:
- "การตรวจจับพัสดุภัณฑ์" ที่ตรงกับสูตรที่กำหนด ไวยากรณ์สูตรได้อธิบายไว้โดยละเอียดในคู่มือผู้ใช้
- "ไบต์ต่อวินาที" คำเตือนนี้จะถูกทริกเกอร์เมื่อเกินระดับโหลดของเครือข่ายที่ระบุ
- แพ็กเก็ตต่อวินาที ทริกเกอร์เมื่อเกินระดับอัตราแพ็กเก็ตที่ระบุ
- ออกอากาศต่อวินาที เช่นเดียวกันสำหรับแพ็กเก็ตออกอากาศเท่านั้น
- "มัลติคาสต์ต่อวินาที" - เหมือนกันสำหรับแพ็กเก็ตมัลติคาสต์
- "ที่อยู่ MAC ที่ไม่รู้จัก" คำเตือนนี้สามารถใช้เพื่อตรวจจับการเชื่อมต่อของอุปกรณ์ใหม่หรืออุปกรณ์ที่ไม่ได้รับอนุญาตกับเครือข่ายโดยการตั้งค่ารายการของที่อยู่ที่ทราบล่วงหน้าโดยใช้ตัวเลือก "กำหนดค่า"
- คำเตือน "ที่อยู่ IP ที่ไม่รู้จัก" จะทำงานเมื่อมีการดักจับแพ็กเก็ตที่มีที่อยู่ IP ต้นทางหรือปลายทางที่ไม่รู้จัก หากคุณตั้งค่ารายการของที่อยู่ที่ทราบไว้ล่วงหน้า คุณสามารถใช้คำเตือนนี้เพื่อตรวจหาการเชื่อมต่อที่ไม่ได้รับอนุญาตผ่านไฟร์วอลล์ขององค์กร
CommView มีเครื่องมือที่มีประสิทธิภาพสำหรับการแสดงภาพสถิติของการเข้าชมที่ศึกษา ในการเปิดหน้าต่างสถิติ คุณต้องเลือกรายการที่มีชื่อเดียวกันจากเมนู "มุมมอง" 
หน้าต่างสถิติในโหมดทั่วไป
ในหน้าต่างนี้ คุณสามารถดูสถิติการรับส่งข้อมูลเครือข่าย: ที่นี่คุณสามารถดูจำนวนแพ็คเก็ตต่อวินาที ไบต์ต่อวินาที การกระจายของอีเทอร์เน็ต IP และโปรโตคอลย่อย แผนภูมิสามารถคัดลอกไปยังคลิปบอร์ดเพื่อช่วยเมื่อจำเป็นต้องรายงาน 
ความพร้อมใช้งาน ต้นทุน ความต้องการของระบบ
เวอร์ชันปัจจุบันของโปรแกรมคือ CommView 5.1 จากเว็บไซต์ Tamosoft คุณสามารถใช้งานได้ 30 วัน
นักพัฒนาซอฟต์แวร์เสนอตัวเลือกใบอนุญาตให้ผู้ซื้อสองแบบ:
- Home License (ใบอนุญาตใช้ในบ้าน) มูลค่า 2,000 rubles ให้สิทธิ์ในการใช้โปรแกรมที่บ้านโดยไม่ใช้ในเชิงพาณิชย์ ในขณะที่จำนวนโฮสต์สำหรับการตรวจสอบในเครือข่ายในบ้านของคุณถูกจำกัดไว้ที่ห้าเครื่อง ใบอนุญาตประเภทนี้ไม่อนุญาตให้คุณทำงานจากระยะไกลโดยใช้ตัวแทนระยะไกล
- Enterprise License (องค์กรราคา - 10,000 rubles) ให้สิทธิ์ในการใช้งานโปรแกรมในเชิงพาณิชย์และไม่ใช่เชิงพาณิชย์โดยบุคคลหนึ่งรายที่ใช้โปรแกรมเป็นการส่วนตัวในเครื่องหนึ่งเครื่องขึ้นไป โปรแกรมนี้ยังสามารถติดตั้งได้บนเวิร์กสเตชันเครื่องเดียวและใช้งานโดยหลายคนได้ แต่ไม่พร้อมกัน
แอปพลิเคชันทำงานบนระบบปฏิบัติการ Windows 98/Me/NT/2000/XP/2003 ต้องใช้อีเทอร์เน็ต อีเทอร์เน็ตไร้สาย อะแดปเตอร์เครือข่าย Token Ring ที่รองรับ NDIS 3.0 หรือตัวควบคุมการเข้าถึงระยะไกลมาตรฐาน
ข้อดี:
- อินเทอร์เฟซที่แปลเป็นภาษาท้องถิ่น
- ระบบช่วยเหลือที่ดีเยี่ยม
- รองรับอะแดปเตอร์เครือข่ายประเภทต่างๆ
- เครื่องมือวิเคราะห์แพ็กเก็ตขั้นสูงและการกำหนดโปรโตคอล
- การสร้างภาพสถิติ
- ระบบเตือนการทำงาน
ข้อเสีย:
- ต้นทุนสูงเกินไป
- ไม่มีการตั้งค่าล่วงหน้าสำหรับกฎและคำเตือนการสกัดกั้น
- กลไกการเลือกแพ็คเกจไม่สะดวกมากในแท็บ "แพ็คเกจ"
บทสรุป
ด้วยฟังก์ชันการทำงานที่ยอดเยี่ยมและอินเทอร์เฟซที่เป็นมิตรต่อผู้ใช้ CommView สามารถเป็นเครื่องมือที่จำเป็นสำหรับผู้ดูแลระบบเครือข่ายท้องถิ่น ผู้ให้บริการอินเทอร์เน็ต และผู้ใช้ตามบ้าน ฉันพอใจกับแนวทางอย่างละเอียดของนักพัฒนาในการโลคัลไลซ์เซชั่นแพ็คเกจภาษารัสเซีย: ทั้งอินเทอร์เฟซและคู่มืออ้างอิงถูกสร้างขึ้นในระดับที่สูงมาก ค่าใช้จ่ายสูงของโปรแกรมทำให้ภาพมืดลงบ้าง อย่างไรก็ตาม เวอร์ชันทดลองใช้งาน 30 วันจะช่วยให้ผู้ซื้อที่มีศักยภาพตัดสินใจเลือกซื้อยูทิลิตี้นี้
โดยทั่วไปผู้ใช้เครือข่ายคอมพิวเตอร์หลายคนไม่คุ้นเคยกับแนวคิดเช่น "ดมกลิ่น" มาลองนิยามกันว่านักดมกลิ่นคืออะไร ในแง่ง่ายๆ สำหรับผู้ใช้ที่ไม่ได้เตรียมตัวไว้ แต่เพื่อเริ่มต้น คุณยังต้องเจาะลึกคำจำกัดความของคำศัพท์นั้นเอง
ดมกลิ่น: อะไรคือสิ่งที่ดมกลิ่นในแง่ของภาษาอังกฤษและเทคโนโลยีคอมพิวเตอร์?
อันที่จริง การระบุสาระสำคัญของซอฟต์แวร์หรือฮาร์ดแวร์-ซอฟต์แวร์ที่ซับซ้อนนั้นไม่ใช่เรื่องยากเลย หากคุณเพียงแค่แปลคำศัพท์นั้น
ชื่อนี้มาจากคำภาษาอังกฤษ sniff (sniff) ดังนั้นความหมายของคำว่า "ดมกลิ่น" ของรัสเซีย อะไรคือผู้ดมกลิ่นในความเข้าใจของเรา? “นักดมกลิ่น” ที่สามารถตรวจสอบการใช้ทราฟฟิกเครือข่าย หรือเรียกง่ายๆ ว่าสายลับที่สามารถรบกวนการทำงานของเครือข่ายท้องถิ่นหรือเครือข่ายทางอินเทอร์เน็ต ดึงข้อมูลที่เขาต้องการโดยอิงจากการเข้าถึงผ่านโปรโตคอลการถ่ายโอนข้อมูล TCP / IP
เครื่องมือวิเคราะห์การเข้าชม: มันทำงานอย่างไร
มาทำการจองกันทันที: นักดมกลิ่น ไม่ว่าจะเป็นซอฟต์แวร์หรือส่วนประกอบซอฟต์แวร์ตามเงื่อนไข สามารถวิเคราะห์และสกัดกั้นการรับส่งข้อมูล (ข้อมูลที่ส่งและรับ) ผ่านการ์ดเครือข่าย (Ethernet) เท่านั้น เกิดอะไรขึ้น?
อินเทอร์เฟซเครือข่ายไม่ได้รับการปกป้องด้วยไฟร์วอลล์เสมอไป (อีกครั้ง - ซอฟต์แวร์หรือฮาร์ดแวร์) ดังนั้นการสกัดกั้นข้อมูลที่ส่งหรือรับจึงกลายเป็นเพียงเรื่องของเทคโนโลยี
ภายในเครือข่าย ข้อมูลจะถูกส่งเป็นเซ็กเมนต์ ภายในหนึ่งเซ็กเมนต์ แพ็กเก็ตข้อมูลควรจะถูกส่งไปยังอุปกรณ์ทั้งหมดที่เชื่อมต่อกับเครือข่ายอย่างแน่นอน ข้อมูลเซ็กเมนต์จะถูกส่งต่อไปยังเราเตอร์ (เราเตอร์) จากนั้นไปยังสวิตช์ (สวิตช์) และฮับ (ฮับ) การส่งข้อมูลทำได้โดยแยกแพ็กเก็ต เพื่อให้ผู้ใช้ได้รับชิ้นส่วนทั้งหมดของแพ็กเก็ตที่รวมกลุ่มเข้าด้วยกันจากเส้นทางที่ต่างกันโดยสิ้นเชิง ดังนั้น "การฟัง" เส้นทางที่เป็นไปได้ทั้งหมดจากสมาชิกรายหนึ่งไปยังอีกรายหนึ่งหรือการโต้ตอบของทรัพยากรอินเทอร์เน็ตกับผู้ใช้ไม่เพียง แต่ให้การเข้าถึงข้อมูลที่ไม่ได้เข้ารหัสเท่านั้น แต่ยังรวมถึงคีย์ลับบางอย่างที่สามารถส่งในกระบวนการโต้ตอบดังกล่าวได้ และที่นี่อินเทอร์เฟซเครือข่ายไม่มีการป้องกันอย่างสมบูรณ์ เนื่องจากมีบุคคลที่สามเข้ามาแทรกแซง
เจตนาดีและประสงค์ร้าย?
ดมกลิ่นสามารถใช้ได้ทั้งอันตรายและดี ไม่ต้องพูดถึงผลกระทบเชิงลบเป็นที่น่าสังเกตว่าระบบซอฟต์แวร์และฮาร์ดแวร์ดังกล่าวมักใช้โดยผู้ดูแลระบบที่พยายามติดตามการกระทำของผู้ใช้ไม่เพียง แต่ในเครือข่าย แต่ยังรวมถึงพฤติกรรมของพวกเขาบนอินเทอร์เน็ตในแง่ของทรัพยากรที่เข้าชม , เปิดใช้งานการดาวน์โหลดไปยังคอมพิวเตอร์หรือส่งจากพวกเขา .
เทคนิคที่ตัววิเคราะห์เครือข่ายทำงานนั้นค่อนข้างง่าย ดมกลิ่นจะกำหนดปริมาณการใช้ข้อมูลขาออกและขาเข้าของเครื่อง ในกรณีนี้ เราไม่ได้พูดถึง IP ภายในหรือภายนอก เกณฑ์ที่สำคัญที่สุดคือสิ่งที่เรียกว่าที่อยู่ MAC ซึ่งไม่ซ้ำกันสำหรับอุปกรณ์ใดๆ ที่เชื่อมต่อกับเว็บทั่วโลก มันอยู่ที่การระบุแต่ละเครื่องในเครือข่าย
ประเภทของดมกลิ่น
แต่ตามประเภทพวกเขาสามารถแบ่งออกเป็นหลายส่วนหลัก:
- ฮาร์ดแวร์;
- ซอฟต์แวร์;
- ฮาร์ดแวร์และซอฟต์แวร์;
- แอปเพล็ตออนไลน์
การตรวจจับพฤติกรรมของผู้ดมกลิ่นในเครือข่าย
คุณสามารถตรวจจับการดมกลิ่น WiFi เดียวกันได้จากการโหลดบนเครือข่าย หากเป็นที่ชัดเจนว่าการถ่ายโอนข้อมูลหรือการเชื่อมต่อไม่ได้อยู่ในระดับที่ผู้ให้บริการประกาศ (หรือเราเตอร์อนุญาต) คุณควรให้ความสนใจทันที
ในทางกลับกัน ผู้ให้บริการยังสามารถเปิดซอฟต์แวร์ดมกลิ่นเพื่อตรวจสอบการรับส่งข้อมูลโดยที่ผู้ใช้ไม่ทราบ แต่ตามกฎแล้วผู้ใช้ไม่รู้ด้วยซ้ำ ในทางกลับกัน องค์กรที่ให้บริการการสื่อสารและการเชื่อมต่ออินเทอร์เน็ตจึงรับประกันความปลอดภัยให้กับผู้ใช้อย่างสมบูรณ์ในแง่ของการสกัดกั้นน้ำท่วม ไคลเอนต์ที่ติดตั้งตัวเองของโทรจัน สายลับ ฯลฯ แต่เครื่องมือดังกล่าวค่อนข้างเป็นซอฟต์แวร์และไม่มีผลพิเศษกับเครือข่ายหรือเทอร์มินัลผู้ใช้
แหล่งข้อมูลออนไลน์
แต่เครื่องมือวิเคราะห์การเข้าชมประเภทออนไลน์อาจเป็นอันตรายอย่างยิ่ง ระบบแฮ็คคอมพิวเตอร์ดั้งเดิมสร้างขึ้นจากการใช้นักดมกลิ่น เทคโนโลยีในเวอร์ชันที่ง่ายที่สุดนั้นเกิดจากการที่ผู้โจมตีลงทะเบียนในทรัพยากรบางอย่างในขั้นต้น จากนั้นจึงอัปโหลดรูปภาพไปยังไซต์ หลังจากยืนยันการดาวน์โหลดแล้ว ระบบจะออกลิงก์ไปยังผู้ดมกลิ่นออนไลน์ซึ่งส่งไปยังผู้ที่อาจเป็นเหยื่อ เช่น ในรูปแบบอีเมลหรือข้อความ SMS เดียวกันกับข้อความเช่น "คุณได้รับคำแสดงความยินดีจากใครบางคน หากต้องการเปิดรูปภาพ (ไปรษณียบัตร) ให้คลิกที่ลิงก์
ผู้ใช้ที่ไร้เดียงสาคลิกที่ไฮเปอร์ลิงก์ที่ระบุซึ่งเป็นผลมาจากการเปิดใช้งานการจดจำและที่อยู่ IP ภายนอกจะถูกส่งไปยังผู้โจมตี ด้วยแอพพลิเคชั่นที่เหมาะสม เขาไม่เพียงแต่สามารถดูข้อมูลทั้งหมดที่จัดเก็บไว้ในคอมพิวเตอร์ได้เท่านั้น แต่ยังเปลี่ยนการตั้งค่าระบบจากภายนอกได้อย่างง่ายดาย ซึ่งผู้ใช้ในพื้นที่จะไม่คาดเดาด้วยซ้ำ เข้าใจผิดว่าการเปลี่ยนแปลงดังกล่าวเกิดจากผลกระทบของไวรัส ใช่นั่นเป็นเพียงเครื่องสแกนเมื่อตรวจสอบจะไม่มีภัยคุกคาม
จะป้องกันตัวเองจากการดักฟังข้อมูลได้อย่างไร?
ไม่ว่าจะเป็นเครื่องดมกลิ่น WiFi หรือเครื่องวิเคราะห์อื่น ๆ ก็ยังมีระบบป้องกันการสแกนการรับส่งข้อมูลโดยไม่ได้รับอนุญาต มีเงื่อนไขเดียวเท่านั้น: จำเป็นต้องติดตั้งก็ต่อเมื่อคุณมั่นใจใน "การดักฟังโทรศัพท์" อย่างสมบูรณ์
เครื่องมือซอฟต์แวร์ดังกล่าวมักถูกเรียกว่า "การต่อต้านการดมกลิ่น" แต่ถ้าคุณลองคิดดู พวกนี้ก็เหมือนกับพวกดมกลิ่นที่วิเคราะห์ทราฟฟิก แต่บล็อกโปรแกรมอื่นที่พยายามจะรับ
ดังนั้นคำถามที่ถูกกฎหมาย: มันคุ้มค่าที่จะติดตั้งซอฟต์แวร์ดังกล่าวหรือไม่? จะถูกแฮ็กโดยแฮกเกอร์เพื่อสร้างความเสียหายมากขึ้นหรือจะบล็อกสิ่งที่ควรทำงาน?
ในกรณีที่ง่ายที่สุดกับระบบ Windows จะดีกว่าถ้าใช้ไฟร์วอลล์ในตัว (ไฟร์วอลล์) เป็นการป้องกัน บางครั้งอาจมีข้อขัดแย้งกับโปรแกรมป้องกันไวรัสที่ติดตั้ง แต่บ่อยครั้งสิ่งนี้ใช้ได้กับแพ็คเกจฟรีเท่านั้น รุ่นที่ซื้อหรือเปิดใช้งานรายเดือนแบบมืออาชีพไม่มีข้อเสียดังกล่าว
แทนที่จะเป็นคำต่อท้าย
นั่นคือทั้งหมดที่เกี่ยวข้องกับแนวคิดของ "ดมกลิ่น" ฉันคิดว่านักดมกลิ่นคืออะไรหลายคนคิดออกแล้ว ในที่สุดคำถามยังคงอยู่ในคำถามอื่น: ผู้ใช้ทั่วไปจะใช้สิ่งเหล่านี้ได้ถูกต้องเพียงใด? และท้ายที่สุดแล้ว ในหมู่ผู้ใช้อายุน้อย บางครั้งคุณอาจสังเกตเห็นแนวโน้มที่คอมพิวเตอร์หัวไม้หัวไม้ พวกเขาคิดว่าการแฮ็ค "คอมพิวเตอร์" ของคนอื่นเป็นเหมือนการแข่งขันที่น่าสนใจหรือการยืนยันตนเอง น่าเสียดายที่ไม่มีใครคิดเกี่ยวกับผลที่จะตามมา และเป็นการง่ายมากที่จะระบุผู้โจมตีโดยใช้เครื่องดมกลิ่นออนไลน์เดียวกันโดย IP ภายนอกของเขา เช่น บนเว็บไซต์ WhoIs จริงอยู่ตำแหน่งของผู้ให้บริการจะถูกระบุเป็นที่ตั้งอย่างไรก็ตามประเทศและเมืองจะถูกกำหนดอย่างแน่นอน ถ้าอย่างนั้นเรื่องเล็ก: การโทรไปยังผู้ให้บริการเพื่อบล็อกเทอร์มินัลที่มีการเข้าถึงโดยไม่ได้รับอนุญาต หรือกรณีภายใต้เขตอำนาจศาล วาดข้อสรุปของคุณเอง
ด้วยโปรแกรมที่ติดตั้งเพื่อกำหนดตำแหน่งของเทอร์มินัลที่พยายามเข้าถึง สถานการณ์จึงง่ายยิ่งขึ้น แต่ผลที่ตามมาอาจเป็นหายนะได้ เพราะไม่ใช่ว่าผู้ใช้ทั้งหมดจะใช้ผู้ไม่ระบุชื่อหรือพร็อกซีเซิร์ฟเวอร์เสมือน และไม่มีแม้แต่เงื่อนงำบนอินเทอร์เน็ต และน่าเรียนรู้...
กำลังโหลด...