ما هو التقاط حزم البيانات
تعريف التقاط حزم البيانات
تشير التقاط حزم البيانات أو Packet Capture إلى إجراء التقاط حزم بروتوكول الإنترنت (IP) للمراجعة أو التحليل، ويمكن أيضًا استخدام المصطلح لوصف الملفات التي تُخرجها أدوات التقاط الحزمة والتي غالبًا ما يتم حفظها بتنسيق .pcap، ويعد التقاط الحزم أسلوبًا شائعًا لاستكشاف الأخطاء وإصلاحها لمسؤولي الشبكة، ويستخدم أيضًا لفحص حركة مرور الشبكة بحثًا عن تهديدات
الأمان
، بعد خرق البيانات أو أي حادث آخر.
توفر عمليات التقاط الحزم أدلة جنائية حيوية تساعد في التحقيقات، ومن وجهة نظر الفاعل في التهديد يمكن استخدام التقاط الحزم لسرقة كلمات
المرور
والبيانات الحساسة الأخرى، على عكس تقنيات الاستطلاع النشطة مثل مسح المنافذ يمكن تحقيق التقاط الحزم دون ترك أي أثر للمحققين.
كيف يعمل التقاط حزم البيانات
هناك أكثر من طريقة لالتقاط حزمة، ويمكن أن يتم التقاط الحزم من قطعة من معدات الشبكات مثل جهاز التوجيه أو المحول ومن قطعة مخصصة من الأجهزة تسمى الصنبور ومن
الكمبيوتر
المحمول أو سطح المكتب للمحلل وحتى من الأجهزة المحمولة.
النهج المستخدم يعتمد على الهدف النهائي، بغض
النظر
عن الطريقة المستخدمة يعمل التقاط الحزم عن طريق إنشاء نسخ من بعض أو كل الحزم التي تمر عبر نقطة معينة في الشبكة.
يعد التقاط الحزم من جهازك أسهل طريقة للبدء ولكن هناك بعض المحاذير، بشكل افتراضي لا تهتم واجهات الشبكة إلا بحركة المرور الموجهة لها، للحصول على عرض أكثر اكتمالاً لحركة مرور الشبكة وستحتاج إلى وضع الواجهة في الوضع المختلط أو وضع الشاشة.
ضع في اعتبارك أن هذا النهج سوف يلتقط أيضًا رؤية محدودة للشبكة، على شبكة سلكية، على سبيل المثال سترى فقط حركة المرور على منفذ التبديل المحلي الذي يتصل به جهازك.
على جهاز التوجيه أو المحول تسمح الميزات المعروفة باسم انعكاس المنفذ ومراقبة المنفذ ومحلل المنفذ المحول (SPAN) لمسؤولي الشبكة بتكرار حركة مرور الشبكة وإرسالها إلى منفذ محدد ، عادةً لتصدير الحزم إلى حل مراقبة مخصص.
وتحتوي العديد من المحولات وأجهزة التوجيه على مستوى المؤسسات الآن على وظيفة التقاط الحزمة المضمنة التي يمكن استخدامها لاستكشاف الأخطاء وإصلاحها بسرعة مباشرة من واجهة سطر الأوامر (CLI) الخاصة بالجهاز أو واجهة الويب، وتشتمل الأنواع الأخرى من معدات الشبكات مثل جدران الحماية ونقاط الوصول اللاسلكية عادةً على وظيفة التقاط الحزم.
إذا كنت تقوم بالتقاط حزمة على شبكة كبيرة أو مشغولة بشكل خاص فقد يكون النقر على الشبكة المخصص هو الخيار الأفضل.
أدوات التقاط حزم البيانات
يتوفر عدد كبير من الأدوات المختلفة لالتقاط وتحليل الحزم التي تعبر شبكتك، وتُعرف هذه أحيانًا باسم Sniffing، وفيما يلي بعض من أشهرها:
-
وايرشارك
أداة الحزم المثالية ، Wireshark هي أداة الانتقال إلى الحزم للعديد من مسؤولي الشبكات ومحللي الأمان وهواة الهواة، من خلال واجهة المستخدم الرسومية المباشرة والعديد من الميزات لفرز وتحليل وإدراك حركة المرور، يجمع Wireshark بين سهولة الاستخدام والإمكانيات القوية، وتتضمن حزمة Wireshark أيضًا أداة مساعدة لسطر الأوامر تسمى tshark.
-
tcpdump
هي أداة
خفيفة
الوزن
ومتعدد الاستخدامات ومثبت مسبقًا على العديد من أنظمة التشغيل الشبيهة بـ UNIX يعد tcpdump بمثابة حلم مدمن CLI يتحقق عندما يتعلق الأمر بالتقاط الحزم.
ويمكن لأداة المصدر المفتوح هذه أن تلتقط الحزم بسرعة لتحليلها لاحقًا في أدوات مثل Wireshark ولكن لديها الكثير من الأوامر والمفاتيح الخاصة بها لفهم كميات هائلة من بيانات الشبكة.
-
مراقب أداء شبكة SolarWinds
لطالما كانت هذه الأداة التجارية مفضلة لسهولة استخدامها وتصوراتها وقدرتها على تصنيف حركة المرور حسب التطبيق. على الرغم من أن الأداة لا يتم تثبيتها إلا على أنظمة تشغيل Windows إلا أنها تستطيع التعرف على حركة المرور وتحليلها من أي نوع من الأجهزة.
-
ColaSoft
ColaSoft يجعل الحزمة تهدف إلى عملاء المؤسسة، ولكن أيضا يوفر قلصت إلى أسفل طبعة تستهدف الطلاب وتلك مجرد الدخول في الشبكات، وتتميز الأداة بمجموعة متنوعة من ميزات المراقبة للمساعدة في استكشاف الأخطاء وإصلاحها والتحليل في
الوقت
الفعلي.
-
Kismet
Kismet هي أداة مكرسة لالتقاط حركة المرور اللاسلكية واكتشاف الشبكات والأجهزة اللاسلكية، وتتوفر هذه الأداة لأنظمة Linux و Mac و Windows وتدعم مجموعة واسعة من مصادر الالتقاط بما في ذلك أجهزة راديو Bluetooth و Zigbee من خلال الإعداد الصحيح، ويمكنك التقاط الحزم من جميع الأجهزة الموجودة على الشبكة.
مميزات التقاط حزم البيانات
-
نظرة كاملة على حركة مرور الشبكة
التقاط الحزمة هو بحكم التعريف نسخة مكررة من الحزم الفعلية التي تعبر ارتباط الشبكة، وبالتالي فهي أكثر نظرة شاملة ممكنة لحركة مرور الشبكة، وتحتوي التقاطات الحزم على مستوى كبير من التفاصيل غير متوفر في حلول المراقبة الأخرى، بما في ذلك الحمولة الكاملة وجميع حقول رأس IP، وفي كثير من الحالات حتى المعلومات حول واجهة الالتقاط، وهذا يمكن أن يجعل التقاط الحل الوحيد القابل للتطبيق في الحالات التي تتطلب الكثير من التفاصيل.
-
يمكن حفظها لمزيد من التحليل
يمكن حفظ التقاطات الحزمة لمزيد من التحليل أو الفحص في تنسيقات .pcap و .pcapng المتوافقة مع معايير الصناعة، ويسمح هذا مثلاً بحفظ حركة المرور المشبوهة بواسطة مهندس شبكة ثم مراجعتها لاحقًا بواسطة محلل أمني
تدعم مجموعة متنوعة من الأدوات هذا التنسيق بما في ذلك أدوات تحليل الأمان، من الممكن أيضًا حفظ التقاط حزمة تتكون من عدة
ساعات
من البيانات ومراجعتها في وقت لاحق.
-
حيادي الأجهزة
يتطلب كل من SNMP و NetFlow الدعم على مستوى أجهزة الشبكة، بينما تتمتع كلتا التقنيتين بدعم واسع إلا أنهما غير متاحين عالميًا، وقد تكون هناك أيضًا اختلافات في كيفية قيام كل بائع بتنفيذها.
من ناحية أخرى لا يتطلب التقاط الحزم دعمًا متخصصًا للأجهزة ويمكن أن يحدث من أي جهاز لديه وصول إلى الشبكة.
-
أحجام الملفات الكبيرة
يمكن أن يشغل الالتقاط الكامل للحزم مساحات كبيرة على القرص تصل في بعض الحالات إلى 20 ضعف مساحة الخيارات الأخرى، حتى عند تطبيق التصفية قد يستهلك ملف الالتقاط الفردي عدة غيغابايت من مساحة التخزين، وهذا يمكن أن يجعل التقاط الحزم غير مناسب للتخزين طويل المدى، يمكن أن تؤدي أحجام الملفات الكبيرة هذه أيضًا إلى فترات انتظار طويلة عند فتح ملف .pcap في أداة تحليل الشبكة.
-
الكثير من المعلومات
بينما تلتقط الحزمة لتوفير نظرة كاملة جدًا على حركة مرور الشبكة، فإنها غالبًا ما تكون شاملة للغاية، غالبًا ما تضيع المعلومات ذات الصلة في كميات هائلة من البيانات، وتحتوي أدوات التحليل على ميزات ترتيب ملفات الالتقاط وفرزها وتصفيتها، ولكن قد يتم تقديم العديد من حالات الاستخدام بشكل أفضل من خلال خيارات أخرى، وغالبًا ما يكون من الممكن استكشاف أخطاء الشبكة أو اكتشاف علامات هجوم باستخدام الإصدارات الموجزة فقط من حركة مرور الشبكة المتوفرة في حلول المراقبة الأخرى، وأحد الأساليب الشائعة هو استخدام تقنية مثل NetFlow لمراقبة كل حركة المرور والتحول إلى التقاط حزمة كاملة حسب الحاجة.
-
الحقول الثابتة
تسمح أحدث إصدارات NetFlow بسجلات قابلة للتخصيص، مما يعني أنه يمكن لمسؤولي الشبكة اختيار المعلومات المطلوب التقاطها، نظرًا لأن التقاط الحزمة يعتمد على البنية الحالية لحزمة IP فلا يوجد مجال للتخصيص، قد لا تكون هذه مشكلة ولكن مرة أخرى اعتمادًا على حالة الاستخدام قد لا تكون هناك حاجة لالتقاط جميع حقول حزمة IP.[1]