نمایشگر دسته ای مطالب
نمایشگر دسته ای مطالب

بازگشت به صفحه کامل

WinDump تحلیل‌گر ترافیک شبکه Snifferها

WinDump تحلیل‌گر ترافیک شبکه Snifferها


WinDump تحلیل‌گر ترافیک شبکه Snifferها

WinDump تحلیل‌گر ترافیک شبکه Snifferها

این ابزارWinDump که نسخه‌ی تحت Windows نرم‌افزار قدیمی و مشهور tcpdump تحت سیستم‌های عامل خانواده‌ی Unix می‌باشد، عملاً یک تحلیل‌گر ترافیک شبکه است. از آن‌جاکه اغلب استفاده کننده‌گان سیستم‌های کامپیوتری خانه‌گی در کشورمان را کاربران سیستم‌های عامل خانواده‌یWindows تشکیل می‌دهند، معرفی WinDump را به بررسی tcpdump ترجیح داده‌ایم.

  یک تحلیل‌گر ترافیک شبکه، که عموماً با نام Sniffer از آن یاد می‌گردد، وظیفه‌ی بررسی بسته‌های رد و بدل شده بر روی شبکه را برعهده دارد که نرم‌افزار Ethereal که به‌زودی در همین پای‌گاه به معرفی آن خواهیم پرداخت نمونه‌ی متداول و پرطرفداری از یک Sniffer است. از آن‌جاکه در معرفی نرم‌افزار پیشین بصورت اجمالی به این دسته از ابزارها پرداخته بودیم، در معرفی WinDump نیاز به ذکر مقدمات بیش‌تری از Snifferها داریم.

با استفاده از یک Sniffer، با تعیین یک رابط شبکه‌ی خاص، می‌توان به پایش و تحلیل بسته‌های اطلاعاتی رد و بدل شده بر روی شبکه‌یی که رابط شبکه‌ی مورد نظر به آن متصل است پرداخت. به عبارت دیگر یک Sniffer را می‌توان به یک سیستم پایش تشبیه کرد که تمامی اطلاعات منتقل شده بر روی بستر فیزیکی را بررسی و ذخیره می‌کند. در نهایت با به دست آوردن این اطلاعات دو عمل می‌توان بر روی محتوای بسته‌های بررسی شده انجام داد :

- تحلیل کلی ترافیک شبکه

این عمل توسط تحلیل‌گر انجام می‌گردد و از آن‌جاکه حجم اطلاعات رد و بدل شده بر روی شبکه بسیار زیاد است، تحلیل‌گر باید توانایی تمیز دادن اطلاعات مربوط به پروتکل‌های مختلف با مبدأ‌ و مقصدهای مختلف را داشته باشد.

-         فیلتر کردن بسته‌هایی با محتوایی خاص

با فیلترکردن بسته‌هایی خاص و نمایش اختصاصی آن‌ها توسط Sniffer، می‌توان تمیزدادن بسته‌های مربوط به یک پروتکل خاص، از/به مبدأ/مقصد خاص، با محتوایی از رشته‌یی تعیین شده و دیگر ویژه‌گی‌ها را به نرم‌افزار Sniffer سپرد. پس از به دست آوردن خروجی دل‌خواه تحلیل آن بسیار آسان‌تر است.

قابلیت پایش بسته‌های رد و بدل شده بر روی شبکه، قابلیتی مختص سخت‌افزار است. به عبارت دیگر رابط شبکه در حالتی خاص قرار می‌گیرد که تمامی بسته‌هایی که مقصد آدرس فیزیکی آن‌ها رابط مورد نظر نیست نیز مانند بسته‌های مربوط دریافت شده و محتوای آنها را می‌توان ذخیره کرد. در حالت عادی، سخت‌افزار و لایه‌ی Datalink بسته‌هایی که به رابط مورد نظر با آدرس فیزیکی خاص، ارتباطی ندارند را از روی شبکه بر نمی‌دارد.

با این وجود، از آن‌جاکه هدف از استفاده از Snifferها بررسی تمامی ترافیک شبکه، با استفاده از پایش تمامی بسته‌هایی که از مبدآهای مختلف به مقاصد دیگر ارسال می‌شوند می‌باشد، لذا پیش‌نیاز استفاده از این دسته از ابزارها اساساً وجود نسخه‌یی از تمامی ترافیک شبکه بر روی بستر متصل به رابط شبکه‌ی مورد نظر است.

این پیش‌نیاز، پیش‌نیازی سخت‌افزاری را به استفاده کننده از Sniffer تحمیل می‌کند، زیرا با استفاده از سوییچ‌ها، که در حال حاضر تقریباً در تمامی موارد جای Hub‌ها را گرفته‌اند، ترافیکی که بر روی هریک از درگاه‌های سوییچ به سمت سیستم مورد نظر فرستاده می‌شود، تنها مختص آن سیستم است و ترافیک دیگر گره‌های شبکه بر روی آن قرار ندارد. لذا در شبکه‌یی که بر اساس سوییچ عمل‌ می‌کند، عملاً امکان استفاده از Sniffer در شرایط معمول وجود ندارد.  

با این‌وجود بسیاری از سوپپچ‌ها با هدف در اختیار گذاردن درگاهی خاص، امکان قرار دادن تمامی ترافیک شبکه بر روی یک کانال را فراهم می‌کنند و سیستمی که به این درگاه متصل باشد می‌تواند به پایش ترافیک شبکه بپردازد. امکان استفاده از این قبیل درگاه‌ها بر روی سوییچ‌ها، در صورت وجود، محدود بوده و تنها مختص مدیران شبکه می‌باشد. این امکان تنها برای جامه‌ی عمل پوشانیدن به یکی از اهدف استفاده از Snifferها، یعنی استفاده توسط مدیران شبکه برای تحلیل ترافیک فعال، در برخی از سوییچ‌ها وجود دارد.

در استفاده از این دسته از Snifferها دو کاربرد خاص مد نظر بوده است :

-      استفاده توسط مدیران و تحلیل‌گران شبکه برای عیب‌یابی و رفع کاستی‌های شبکه

استفاده توسط نفوذگران به شبکه‌ها و سیستم‌ها

         شناسایی تلاش‌ها برای نفوذ

هدف اول، عمل‌کردی است که در مورد آن صحبت شد. کاربرد بعدی، استفاده از قابلیت این دسته از نرم‌افزارها توسط نفوذگران به شبکه‌ها است. نفوذگران با پایش داده‌ها، به تلاش برای تحلیل داده‌های شبکه و به‌دست‌آوردن اطلاعاتی هرچه بیشتر در مورد شبکه می‌پردازند. دسته‌ی مهمی از این اطلاعات کدهای کاربری و کلمات عبور نرم‌افزارهای مختلفی است که به‌صورت رمزنشده بر روی شبکه در حال انتقال هستند. یک نفوذگر، با تحلیل ترافیک، ابتدا به نوع نرم‌افزارهای فعال بر روی شبکه پی‌برده و سپس در پی شناخت بیش‌تر یک نرم‌افزار نمونه و تشخیص حفره‌های امنیتی موجود در آن، به فیلترکردن بسته‌های مختص آن نرم‌افزار پرداخته و سعی در گردآوری اطلاعات بیش‌تر در مورد آن می‌کند. با به دست آوردن اطلاعات مورد نظر، اقدامات بعدی برای حمله، توسط اطلاعات حیاتی به دست آمده، انجام می‌گیرد.

استفاده از سوییچ‌ها، علاوه بر بالابردن کارایی استفاده از سخت‌افزار و بستر شبکه، به بالابردن امنیت موجود نیز کمک شایانی کرده و احتمال پایش ترافیک توسط نفوذگران، بر روی سیستم‌های متفرقه‌ی موجود بر روی شبکه را پایین می‌آورد. هرچند که باید به خاطر داشت که روش‌هایی نیز وجود دارد که می‌توان این امکان سوییچ‌ها را غیرفعال کرد و یا سوییچ را مجبور ساخت که کلیه‌ی ترافیک را به یک درگاه خاص بفرستد. لذا استفاده از سوییچ تضمین قطعی جلوگیری از پایش ناخواسته‌ی ترافیک نیست.

هدف دیگری که می‌توان برای استفاده از Snifferها متصور بود امکان تشخیص تلاش‌های در حال انجام برای نفوذ است. تلاش‌هایی از قبیل حمله به آدرس یا درگاه خاص بر روی یک پروتکل خاص، و یا حمله به یک نرم‌افزار خاص، توسط یک تحلیل‌گر شبکه‌ی ماهر و با استفاده از یک Sniffer، قابل تشخیص است. با در نظر گرفتن این هدف، از Snifferها می‌توان بر روی یک سیستم منفرد، به منظور پایش ارتباطات انجام گرفته با سیستم، و تشخیص حملات احتمالی در حال انجام، استفاده کرد، هرچند که در این قبیل موارد استفاده از دیوارهای آتش، حتی انواع شخصی آن، کمک شایانی به کاربر می‌کنند.

با توجه به آن‌چه به‌صورت پراکنده در خلال متن گفته شد، راه‌های مقابله با Snifferها را می‌توان به سه دسته تقسیم نمود :

استفاده از ابزارهای رمزنگاری داده‌ها

-         استفاده از سوییچ در شبکه به جای Hub

-         استفاده از ابزارهای ضد Sniff که امکان تشخیص رابط‌های شبکه‌یی که در حال Sniff قرار دارند را به وجود می‌آورد.

دریافت و نصب نرم‌افزار

برای دسترسی به این نرم‌افزار و دریافت آن می‌توانید به آدرس http://windump.polito.it مراجعه کنید. این نرم‌افزار از کتابخانه‌یی سازگار با libpcab استفاده می‌کند که نگارش تحت Windows آن به WinPcap موسوم است. این نرم‌افزار را می‌توانید از همان سایت دریافت کنید. پس از نصب آخرین نگارش WinPcap، نرم افزار WinDump عملیاتی می شود. نکته‌یی که باید به‌خاطر داشته باشید این است که برای آنکه این نرم‌افزار تمامی و یا اغلب بسته‌های در حال انتقال بر روی شبکه را شناسایی و دریافت کند، باید از آخرین نگارش آن استفاده کنید، هرچند که این نرم‌افزار مدت‌ها‌ست که به روز نشده، با این وجود اگر به‌طریقی نگارشی دیگر و قدیمی از این نرم‌افزار را به دست آوردید، برای کارایی بهتر، نسخه‌ی جدیدتر را دریافت کنید.

قابلیت‌های WinDump

محیط استفاده از این نرم‌افزار، محیطی ساده و متنی است. در واقع وجود این محیط به‌منظور سادگی بیشتر و تشابه هرچه بیش‌تر آن با نرم افزار tcpdump است. با وجود این سادگی، WinDump دارای قابلیت‌های متنوعی است.

پس از اجرای این نرم‌افزار، با تعیین رابط شبکه‌یی که WinDump می‌باید به‌دریافت بسته‌های رد و بدل شده بر روی شبکه‌ی مرتبط با رابط مورد نظر بپردازد، این نرم‌افزار، Header تمامی بسته‌های دریافت شده را بر روی صفحه‌ی نمایش داده و زمان و تاریخ هریک را نیز نشان می‌دهد.

شناسایی و تعیین پروتکل‌ها

WinDump، بسیاری از پروتکل‌ها را شناسایی می‌کند و در این صورت نام پروتکل مورد نظر را بر روی صفحه نشان می‌دهد. با این وجود این امکان وجود دارد که تنها پروتکلی خاص برای تحلیل و شناسایی مورد نظر قرار گیرد و WinDump تنها بسته‌های پروتکل تعیین شده را در گزارش نشان دهد.

از سوی دیگر، این نرم‌افزار امکان شناسایی بسته‌هایی با انواع خاص،  مانند بسته‌هایی متعلق به VLANهای تعریف شده بر روی شبکه، یا بسته‌های متعلق به ارتباطات VPN را دارد. در مورد بسته‌های متعلق به VPN، امکان رمزگشایی آنها با تعیین الگوریتم رمزنگاری و تعیین کلید مربوطه نیز وجود دارد.


-        تعیین مبدأ و مقصد خاص

در صورت نیاز، با استفاده از کلید‌هایی، می‌توان بسته‌هایی را مشاهده کرد که از مبدأ(هایی) به مقصد(هایی) خاص در حال گذر هستند.

خروجی‌های مختلف

این نرم‌افزار، بر اساس پروتکل‌های مختلف خروجی‌های مختلفی را نشان می‌دهد. به‌عبارت دیگر، برای هر بسته، بر اساس اینکه متعلق به چه نوع پروتکلی است، نوع خروجی، یا خط گزارش مورد نظر، مستقل از زمان و تاریخ دریافت بسته، متفاوت است. هرچند که برای اکثر آنها، نام یا آدرس و شماره‌ی پورت مورد نظر بسته، نمایش داده می‌شود.

در صورت نیاز و به منظور بالاتر رفتن سرعت پردازش WinDump، می‌توان قابلیت استخراج اسامی سیستم‌ها در قالب مبدأ و مقصد را، حذف نمود و تنها به مشاهده‌ی آدرس اکتفا کرد. در این صورت، تأخیری که صرف به دست آوردن نام سیستم مبدأ یا مقصد می‌شود از بین می‌رود.

فیلترهای متنوع خروجی

یکی از قابلیت‌های خاص این نرم‌افزار، امکان استفاده از فیلترهای مختلف برای تعیین خروجی و بررسی بسته‌های ویژه است. برای تعیین نوع گزارش، می‌توان پارامترهای مختلفی را تعیین نمود که بر اساس آنها، WinDump گزارش بسته‌های خاصی را نمایش می‌دهد و بسته‌های دیگر را نادیده می گیرد.



نمونه‌یی از این فیلترها، فیلتر اندازه‌ی بسته و یا نوع بسته در قالب یک پروتکل واحد است. به عبارت دیگر، توسط این فیلترها، می‌توان بسته‌هایی با اندازه‌هایی خاص را مورد نظر قرار داد و یا برای مثال می‌توان بسته‌های خاصی از پروتکل TCP را بررسی کرد و دیگر بسته‌ها را نادیده گرفت.


ذخیره‌ی گزارش

این نرم‌افزار قابیلت ذخیره‌ی گزارش مورد نظر به صورت یک پرونده را نیز دارد. پرونده  به‌صورت خام و پردازش نشده ذخیره می‌شود و برای پردازش بر روی آن، می‌توان از همین نرم‌افزار، با تعیین از پارامتری خاص، استفاده نمود که در آن صورت عملاً گزارش اولیه تولید می‌شود.

با توجه به قابلیت‌هایی که در مورد این نرم‌افزار، به‌اختصار، مورد اشاره قرار گرفت، این ابزار را می‌توان ابزاری قوی برای کاربرانی که به ابزار متداول و قدیمی tcpdump عادت داشته‌اند دانست. با این وجود از آنجاکه روش کار با آن برای کاربران عادی، به دلیل نبود رابط کاربری گرافیکی مناسب، کمی خسته کننده است، می‌توان از Snifferهای دیگری همچون نرم‌افزار Ethereal استفاده کرد، که با استفاده از رابط کاربری آنها، تحلیل و تعیین روش کار به‌راحتی صورت گرفته، و خروجی تولید شده خوانایی بیش‌تری دارد.

 

برای تعیین فیلترها، علاوه بر عباراتی که به‌صورت پیش‌فرض در این نرم‌افزار قابل دسترسی هستند، عباراتی جدید را نیز با ترکیب عبارات ساده می‌توان به‌دست آورد. عبارات پایه، برای تعیین پارامترهای ابتدایی مانند مبدأ، مقصد، پورت، پروتکل و دیگر پارامترها هستند.