صفحه اول > ابزارها

 

 

WinDump، بخش دوم

 

    در بخش پیش، مقدمه‌یی درباره‌ی Snifferها، که ابزارهایی برای تحلیل ترافیک شبکه هستند، بیان شد. در آن بخش، پس از تعریف این دسته از نرم‌افزارها، فواید استفاده از این ابزارها، برای تحلیل ترافیک شبکه مورد بررسی قرار گرفت. در ادامه، همچنین به روش‌هایی که با استفاده از آن‌ها نفوذگران دست به حمله به سیستم‌ها و شبکه‌های رایانه‌یی می‌زنند پرداخته شد و در انتها برخی از روش‌های مقابله با این قبیل نفوذها را ذکر کردیم.

 

    در قسمت دوم و پایانی از این بررسی، به نرم‌افزار WinDump، که نمونه‌یی مرسوم از این ابزارها است می‌پردازیم. این نرم‌افزار عملاً نسخه‌ی تحت سیستم‌های‌عامل سری  Windows ابزار tcpdump است. tcpdump که نرم‌افزاری قدیمی و متداول تحت سیستم‌عامل خانواده‌ی Unix می‌باشد، جزو اولین و ساده‌ترین Snifferها است.

 

دریافت و نصب نرم‌افزار

    برای دسترسی به این نرم‌افزار و دریافت آن می‌توانید به آدرس http://windump.polito.it مراجعه کنید. این نرم‌افزار از کتابخانه‌یی سازگار با libpcab استفاده می‌کند که نگارش تحت Windows آن به WinPcap موسوم است. این نرم‌افزار را می‌توانید از همان سایت دریافت کنید. پس از نصب آخرین نگارش WinPcap، نرم افزار WinDump عملیاتی می شود. نکته‌یی که باید به‌خاطر داشته باشید این است که برای آنکه این نرم‌افزار تمامی و یا اغلب بسته‌های در حال انتقال بر روی شبکه را شناسایی و دریافت کند، باید از آخرین نگارش آن استفاده کنید، هرچند که این نرم‌افزار مدت‌ها‌ست که به روز نشده، با این وجود اگر به‌طریقی نگارشی دیگر و قدیمی از این نرم‌افزار را به دست آوردید، برای کارایی بهتر، نسخه‌ی جدیدتر را دریافت کنید.

 

قابلیت‌های WinDump

    محیط استفاده از این نرم‌افزار، محیطی ساده و متنی است. در واقع وجود این محیط به‌منظور سادگی بیشتر و تشابه هرچه بیش‌تر آن با نرم افزار tcpdump است. با وجود این سادگی، WinDump دارای قابلیت‌های متنوعی است.

    پس از اجرای این نرم‌افزار، با تعیین رابط شبکه‌یی که WinDump می‌باید به‌دریافت بسته‌های رد و بدل شده بر روی شبکه‌ی مرتبط با رابط مورد نظر بپردازد، این نرم‌افزار، Header تمامی بسته‌های دریافت شده را بر روی صفحه‌ی نمایش داده و زمان و تاریخ هریک را نیز نشان می‌دهد.

 

          شناسایی و تعیین پروتکل‌ها

    WinDump، بسیاری از پروتکل‌ها را شناسایی می‌کند و در این صورت نام پروتکل مورد نظر را بر روی صفحه نشان می‌دهد. با این وجود این امکان وجود دارد که تنها پروتکلی خاص برای تحلیل و شناسایی مورد نظر قرار گیرد و WinDump تنها بسته‌های پروتکل تعیین شده را در گزارش نشان دهد.

    از سوی دیگر، این نرم‌افزار امکان شناسایی بسته‌هایی با انواع خاص،  مانند بسته‌هایی متعلق به VLANهای تعریف شده بر روی شبکه، یا بسته‌های متعلق به ارتباطات VPN را دارد. در مورد بسته‌های متعلق به VPN، امکان رمزگشایی آنها با تعیین الگوریتم رمزنگاری و تعیین کلید مربوطه نیز وجود دارد.

 

-        تعیین مبدأ و مقصد خاص

    در صورت نیاز، با استفاده از کلید‌هایی، می‌توان بسته‌هایی را مشاهده کرد که از مبدأ(هایی) به مقصد(هایی) خاص در حال گذر هستند.

 

          خروجی‌های مختلف

    این نرم‌افزار، بر اساس پروتکل‌های مختلف خروجی‌های مختلفی را نشان می‌دهد. به‌عبارت دیگر، برای هر بسته، بر اساس اینکه متعلق به چه نوع پروتکلی است، نوع خروجی، یا خط گزارش مورد نظر، مستقل از زمان و تاریخ دریافت بسته، متفاوت است. هرچند که برای اکثر آنها، نام یا آدرس و شماره‌ی پورت مورد نظر بسته، نمایش داده می‌شود.

 

    در صورت نیاز و به منظور بالاتر رفتن سرعت پردازش WinDump، می‌توان قابلیت استخراج اسامی سیستم‌ها در قالب مبدأ و مقصد را، حذف نمود و تنها به مشاهده‌ی آدرس اکتفا کرد. در این صورت، تأخیری که صرف به دست آوردن نام سیستم مبدأ یا مقصد می‌شود از بین می‌رود.

 

          فیلترهای متنوع خروجی

    یکی از قابلیت‌های خاص این نرم‌افزار، امکان استفاده از فیلترهای مختلف برای تعیین خروجی و بررسی بسته‌های ویژه است. برای تعیین نوع گزارش، می‌توان پارامترهای مختلفی را تعیین نمود که بر اساس آنها، WinDump گزارش بسته‌های خاصی را نمایش می‌دهد و بسته‌های دیگر را نادیده می گیرد.

 

    نمونه‌یی از این فیلترها، فیلتر اندازه‌ی بسته و یا نوع بسته در قالب یک پروتکل واحد است. به عبارت دیگر، توسط این فیلترها، می‌توان بسته‌هایی با اندازه‌هایی خاص را مورد نظر قرار داد و یا برای مثال می‌توان بسته‌های خاصی از پروتکل TCP را بررسی کرد و دیگر بسته‌ها را نادیده گرفت.

 

    برای تعیین فیلترها، علاوه بر عباراتی که به‌صورت پیش‌فرض در این نرم‌افزار قابل دسترسی هستند، عباراتی جدید را نیز با ترکیب عبارات ساده می‌توان به‌دست آورد. عبارات پایه، برای تعیین پارامترهای ابتدایی مانند مبدأ، مقصد، پورت، پروتکل و دیگر پارامترها هستند.

 

          ذخیره‌ی گزارش

    این نرم‌افزار قابیلت ذخیره‌ی گزارش مورد نظر به صورت یک پرونده را نیز دارد. پرونده  به‌صورت خام و پردازش نشده ذخیره می‌شود و برای پردازش بر روی آن، می‌توان از همین نرم‌افزار، با تعیین از پارامتری خاص، استفاده نمود که در آن صورت عملاً گزارش اولیه تولید می‌شود.

 

    با توجه به قابلیت‌هایی که در مورد این نرم‌افزار، به‌اختصار، مورد اشاره قرار گرفت، این ابزار را می‌توان ابزاری قوی برای کاربرانی که به ابزار متداول و قدیمی tcpdump عادت داشته‌اند دانست. با این وجود از آنجاکه روش کار با آن برای کاربران عادی، به دلیل نبود رابط کاربری گرافیکی مناسب، کمی خسته کننده است، می‌توان از Snifferهای دیگری همچون نرم‌افزار Ethereal استفاده کرد، که با استفاده از رابط کاربری آنها، تحلیل و تعیین روش کار به‌راحتی صورت گرفته، و خروجی تولید شده خوانایی بیش‌تری دارد.

   

    نکته‌یی که علاوه بر ذکر در بخش اول در این‌جا نیز مجدداً بر روی آن تأکید می‌کنیم این است که تقریباً در تمامی موارد، Snifferها تنها در شرایطی کاربرد دارند که در شبکه‌ی مورد نظر از سوییچ استفاده نشده باشد یا در صورت استفاده از سوییچ، درگاهی خاص برای تحلیل تمامی ترافیک در حال پردازش توسط سوییچ بر روی درگاه‌های دیگر، قابل تعریف باشد.