WinDumpبخش اول :
Snifferها
این ابزارWinDump
که نسخهی تحت
Windows نرمافزار
قدیمی و مشهور
tcpdump
تحت سیستمهای عامل
خانوادهی
Unix
میباشد، عملاً یک تحلیلگر ترافیک شبکه است. از آنجاکه اغلب استفاده کنندهگان
سیستمهای
کامپیوتری خانهگی در کشورمان را کاربران سیستمهای عامل خانوادهیWindows تشکیل
میدهند،
معرفی
WinDump را به
بررسی
tcpdump ترجیح
دادهایم.
یک
تحلیلگر
ترافیک شبکه،
که عموماً با
نام
Sniffer از آن یاد
میگردد،
وظیفهی
بررسی بستههای
رد و بدل شده
بر
روی شبکه را برعهده دارد که نرمافزار
Ethereal که بهزودی در همین
پایگاه به
معرفی آن
خواهیم
پرداخت نمونهی
متداول و
پرطرفداری از
یک
Sniffer است. از
آنجاکه در معرفی نرمافزار پیشین بصورت اجمالی به این دسته
از ابزارها پرداخته
بودیم، در
معرفی
WinDump نیاز به
ذکر مقدمات
بیشتری از
Snifferها داریم.
با
استفاده از یک
Sniffer،
با تعیین یک
رابط شبکهی
خاص، میتوان
به پایش و
تحلیل بستههای
اطلاعاتی رد و
بدل شده بر
روی شبکهیی
که رابط شبکهی
مورد نظر به
آن متصل است
پرداخت. به
عبارت دیگر یک
Sniffer
را میتوان به
یک سیستم پایش
تشبیه کرد که
تمامی اطلاعات
منتقل شده بر
روی بستر
فیزیکی را
بررسی و ذخیره
میکند. در
نهایت با به
دست آوردن این
اطلاعات دو عمل
میتوان بر
روی محتوای
بستههای
بررسی شده
انجام داد :
-
تحلیل
کلی ترافیک
شبکه
این عمل
توسط تحلیلگر
انجام میگردد
و از آنجاکه
حجم اطلاعات
رد و بدل شده
بر روی شبکه
بسیار زیاد
است، تحلیلگر
باید توانایی
تمیز دادن
اطلاعات
مربوط به پروتکلهای
مختلف با مبدأ
و مقصدهای
مختلف را
داشته باشد.
-
فیلتر
کردن بستههایی
با محتوایی
خاص
با
فیلترکردن بستههایی خاص و نمایش اختصاصی آنها توسط
Sniffer، میتوان
تمیزدادن
بستههای
مربوط
به یک
پروتکل خاص،
از/به
مبدأ/مقصد خاص،
با محتوایی
از رشتهیی
تعیین شده و
دیگر ویژهگیها
را به نرمافزار
Sniffer
سپرد. پس از به
دست آوردن
خروجی دلخواه
تحلیل آن
بسیار آسانتر
است.
قابلیت
پایش بستههای
رد و بدل شده
بر روی شبکه،
قابلیتی مختص
سختافزار
است. به عبارت
دیگر رابط
شبکه در حالتی
خاص قرار میگیرد
که تمامی بستههایی
که مقصد آدرس
فیزیکی آنها
رابط مورد نظر
نیست نیز
مانند بستههای مربوط دریافت شده و محتوای آنها را
میتوان ذخیره کرد. در حالت عادی، سختافزار و لایهی
Datalink
بستههایی
که به رابط
مورد نظر با
آدرس فیزیکی
خاص، ارتباطی
ندارند را از
روی شبکه بر
نمیدارد.
با این
وجود، از
آنجاکه هدف از
استفاده از Snifferها بررسی
تمامی ترافیک
شبکه، با
استفاده از پایش
تمامی بستههایی
که از مبدآهای
مختلف به
مقاصد دیگر
ارسال میشوند
میباشد، لذا
پیشنیاز
استفاده از
این دسته از
ابزارها
اساساً وجود
نسخهیی از
تمامی ترافیک
شبکه بر روی
بستر متصل به رابط
شبکهی مورد
نظر است.
این پیشنیاز،
پیشنیازی
سختافزاری
را به استفاده
کننده از
Sniffer تحمیل میکند،
زیرا با
استفاده از
سوییچها، که
در حال حاضر
تقریباً در
تمامی موارد
جای Hubها را
گرفتهاند،
ترافیکی که بر
روی هریک از
درگاههای
سوییچ به سمت
سیستم مورد
نظر فرستاده
میشود، تنها
مختص آن سیستم
است و ترافیک
دیگر گرههای
شبکه بر روی
آن قرار
ندارد. لذا در
شبکهیی که بر
اساس سوییچ
عمل میکند،
عملاً امکان
استفاده از
Sniffer
در شرایط
معمول وجود
ندارد.
با اینوجود
بسیاری از
سوپپچها با
هدف در اختیار
گذاردن
درگاهی خاص،
امکان قرار
دادن تمامی
ترافیک شبکه
بر روی یک
کانال را
فراهم میکنند
و سیستمی که
به این درگاه
متصل باشد میتواند
به پایش
ترافیک شبکه
بپردازد. امکان
استفاده از این
قبیل درگاهها
بر روی سوییچها،
در صورت وجود،
محدود بوده و
تنها مختص مدیران
شبکه میباشد.
این امکان
تنها برای
جامهی عمل
پوشانیدن به
یکی از اهدف
استفاده از
Snifferها، یعنی
استفاده توسط
مدیران شبکه
برای تحلیل
ترافیک فعال،
در برخی از
سوییچها وجود
دارد.
در
استفاده از
این دسته از Snifferها دو
کاربرد خاص مد
نظر بوده است :
-
استفاده
توسط مدیران و تحلیلگران شبکه برای عیبیابی و رفع کاستیهای
شبکه
-
استفاده
توسط
نفوذگران به
شبکهها و
سیستمها
-
شناسایی
تلاشها برای
نفوذ
هدف
اول، عملکردی
است که در مورد
آن صحبت شد.
کاربرد بعدی،
استفاده از
قابلیت این
دسته از نرمافزارها
توسط
نفوذگران به
شبکهها است.
نفوذگران با
پایش دادهها،
به تلاش برای
تحلیل دادههای
شبکه و بهدستآوردن
اطلاعاتی
هرچه بیشتر در
مورد شبکه میپردازند.
دستهی مهمی
از این
اطلاعات
کدهای کاربری
و کلمات عبور
نرمافزارهای
مختلفی است که
بهصورت
رمزنشده بر روی
شبکه در حال
انتقال هستند.
یک نفوذگر، با
تحلیل ترافیک،
ابتدا به نوع
نرمافزارهای
فعال بر روی
شبکه پیبرده
و سپس در پی
شناخت بیشتر
یک نرمافزار
نمونه و تشخیص
حفرههای
امنیتی موجود
در آن، به
فیلترکردن
بستههای
مختص آن نرمافزار
پرداخته و سعی
در گردآوری
اطلاعات بیشتر
در مورد آن میکند.
با به دست
آوردن
اطلاعات مورد
نظر، اقدامات
بعدی برای
حمله، توسط
اطلاعات
حیاتی به دست
آمده، انجام
میگیرد.
استفاده از
سوییچها،
علاوه بر
بالابردن
کارایی
استفاده از سختافزار
و بستر شبکه،
به بالابردن
امنیت موجود نیز
کمک شایانی
کرده و احتمال
پایش ترافیک
توسط
نفوذگران، بر
روی سیستمهای
متفرقهی
موجود بر روی
شبکه را پایین
میآورد. هرچند
که باید به
خاطر داشت که
روشهایی نیز
وجود دارد که
میتوان این
امکان سوییچها
را غیرفعال
کرد و یا
سوییچ را
مجبور ساخت که
کلیهی
ترافیک را به
یک درگاه خاص
بفرستد. لذا
استفاده از
سوییچ تضمین
قطعی جلوگیری
از پایش
ناخواستهی
ترافیک نیست.
هدف
دیگری که میتوان
برای استفاده
از
Snifferها
متصور بود
امکان تشخیص
تلاشهای در
حال انجام
برای نفوذ است.
تلاشهایی از
قبیل حمله به
آدرس یا درگاه
خاص بر روی یک
پروتکل خاص، و
یا حمله به یک
نرمافزار
خاص، توسط یک تحلیلگر شبکهی ماهر
و با استفاده از یک
Sniffer،
قابل تشخیص است. با در نظر
گرفتن این
هدف، از
Snifferها
میتوان بر
روی یک سیستم
منفرد، به
منظور پایش ارتباطات
انجام گرفته
با سیستم، و
تشخیص حملات
احتمالی در
حال انجام،
استفاده کرد،
هرچند که در
این قبیل
موارد
استفاده از
دیوارهای آتش،
حتی انواع
شخصی آن، کمک
شایانی به
کاربر میکنند.
با توجه
به آنچه بهصورت پراکنده
در خلال متن
گفته شد، راههای
مقابله با
Snifferها را میتوان
به سه دسته
تقسیم نمود :
-
استفاده
از ابزارهای
رمزنگاری
دادهها
-
استفاده
از سوییچ در
شبکه به جای
Hub
-
استفاده
از ابزارهای
ضد
Sniff
که امکان
تشخیص رابطهای
شبکهیی که در
حال
Sniff
قرار دارند را
به وجود میآورد.
با
مقدمهیی که
در مورد
Snifferها
ذکر شد، معرفی
نرمافزار
WinDump
و قابلیتهای
آن را به بخش
بعدی موکول میکنیم.
|