ما هي الأداة الأكثر شعبية المستخدمة لعملية ال Sniffing

بواسطةفوري

ما هي عملية ال Sniffing

عملية ال Sniffing هي عملية لمراقبة والتقاط جميع حزم البيانات التي تمر عبر الشبكة، ويتم استعمال أجهزة مراقبة الشبكة من  قبل مسؤول الشبكة أو النظام من أجل مراقبة حركة مرور الشبكة واستكشاف الأخطاء وإصلاحها، يستعمل المهاجمون أجهزة ال المراقبة من أجل الحصول على حزم البيانات التي تتضمن معلومات حساسة، مثل كلمات

المرور

، معلومات حول الحساب وما إلى ذلك.

يمكن أن يتم مراقبة الشبكة عن طريق أجهزة أو برامج مثبتة في النظام، من خلال وضع مراقب الحزمة على شبكة في الوضع المختلط، بحيث يستطيع المتطفل التقاط أو تحليل كل حركة من حركات مرور الشبكة. [1]

كيفية عمل أدوات التقاط الحزمة

يعمل ملتقطوا الحزم عن طريق اعتراض حركة مرور الويب عندما تمر على الشبكة السلكية أو اللاسلكية ونسخها إلى ملف، تُعرف هذه العملية باسم التقاط الحزمة، وبينما تكون أجهزة

الكمبيوتر

مصممة بشكل عام لتجاهل ازدحام حركات نشاط المرور من أجهزة الكمبيوتر الأخرى ، فإن متشمم الحزم يحدث بالعكس، عند تثبيت برنامج التقاط الحزمة ، يجب تعيين

بطاقة

واجهة الشبكة (NIC) – الواجهة بين الكمبيوتر والشبكة – على الوضع المختلط. هذه العملية تأمر جهاز الحاسوب بالتقاط ومعالجة كل ما يدخل الشبكة ، عبر عملية  Sniffing للحزمة.

الأمور التي يتم التقاطها تعتمد على نوع الشبكة، من أجل الشبكات السلكية، يتم

تحديد

محولات الشبكة، المسؤولة عن مركزية الاتصالات من عدة أجهزة متصلة أخرى، وهذا الأمر يحدد فيما إذا كان ملتقط الشبكة يستطيع رؤية حركة مرور الويب على الشبكة بأكملها أو فقط جزء بسيط منها، أما من أجل الشبكات اللاسلكية، أدوات التقاط الحزمة يمكنها فقط التقاط قناة واحدة في كل مرة إلا إذا كان جهاز الحاسوب المضيف لديه واجهات لاسلكية متعددة.

كيف يستعمل المخترقون أدوات التقاط الحزم

بينما تعد أدوات التقاط الحزم وسيلة مهمة جدًا من أجل أي فريق تكنولوجي عندما يتم تطبيقها بالشكل الصحيح، إلا أنه من الممكن أن يتم استعمال هذه الأدوات من قبل المخترقين من أجل الحصول على كلمات المرور، التجسس على البيانات في الحزم أو سرقة البيانات، يستخدم المخترقون أيضًا أدوات التقاط الحزم من أجل تنفيذ الهجمات، حيث يتم تغيير البيانات وتحويلها أثناء النقل من أجل الاحتيال على المستخدم، ويمكن أن يؤدي هذا الاستعمال إلى خروقات أمنية وتجسس صناعي وما إلى ذلك.

من أجل حماية عملك من الاختراق الضار، يجب دائمًا استعمال HTTPS

(طبقة المقابس الآمنة


SSL)

عند إدخال بيانات النموذج أو إرسالها، لا يجب الاعتماد فقط على HTTP، لأنه غير آمن ويمكن أن يؤدي لوضع المعلومات الشخصية والحساسة، مثل بيانات تسجيل الدخول في خطر.

في حال كان الشخص أو أي شخص في العمل يستخدم

موقع

ويب مع HTTP ، يجب التأكد  مما إذا كان سيقبل اتصال HTTPS بكتابة “https: //” في شريط المتصفح قبل عنوان الموقع. في كثير من الأحيان ، يحتوي موقع الويب على شهادة SSL سارية ولكنه لا يتطلب من الزائرين استخدامها.

أفضل أدوات عملية ال Sniffing

سولار ويندز

بينما هناك العديد من الخيارات المتاحة، لكن لا يوفر أي واحد منها خيارات واسعة وسهولة في الاستعمال كما يحدث في سولار ويندز، وما يصاحبها من حزم ال Sniffing. هذه الأداة متعددة الطبقات توفر رؤية مفهومة للشبكة، ويمكن بسهولة الكشف، تشخيص أداء الشبكة ومشكلاتها وتجنب فترات التوقف، بالإضافة إلى ذلك، هذا النظام يستعمل الحد الأدنى من النطاق الترددي ، مما يتطلب حملًا منخفضًا على خوادم وعقد Orion® Platform.

مع تثبيت

المجسات

على أجهزة الشبكة ، يمكن لـ SolarWinds NPM عرض وجمع البيانات الوصفية لجميع حركة المرور عبر الشبكة، يقوم بعد ذلك بتسجيل المعلومات وعرضها مثل أوقات الاستجابة وحجم البيانات والمعاملات لتحديد حالات التباطؤ والإبلاغ عن أي مشكلة في الشبكة. هذه الرؤى ترشد الشخص إلى تحديد ما إذا كان التطبيق أو الشبكة هو سبب سوء تجربة المستخدم وإنشاء

خريطة

مسار حزمة خطوة بخطوة.

بالإضافة إلى ذلك ، من خلال ميزة محلل النطاق الترددي للأداة ، يمكن للشخص الحصول على فهم لكيفية استخدام النطاق الترددي للشبكة، من خلال الروافع NPM التي تتضمن:

  • NetFlow
  • JFlow
  • sFlow
  • NetStream
  • IPFIX

سولار ويندز يمد الشخص بالمعلومات التي يحتاجها لإغلاق تطبيقات ومستخدمي النطاق الترددي قبل وضع المزيد من الإنفاق وراء المزيد من النطاق الترددي. يمكن أيضًا استخدام NPM كشخص لاسلكي ، والاستفادة من إمكانات التقاط حزمة Wi-Fi التي تتميز بالأداء وحركة المرور وتفاصيل التكوين للأجهزة والتطبيقات في أماكن العمل أو عبر البيئات المختلطة.


فوائد سولار ويندز

  • توفر تنبيهات ذكية وقابلة للتخصيص حول حالة أجهزة الشبكة
  • توفر معلومات حول مشاكل الأداء والارتفاعات المشبوهة في نشاط حركة المرور
  • توفر تنبيهات للشخص المسؤول من أجل التحرك بسرعة في حال كان هناك خلل ما، مما يساعد في الوقاية من حدوث أي خرق أمني.

برنامج PRTG Network Monitor

هذا البرنامج يتضمن مجموعة من إمكانيات التقاط الحزم الرائعة، وهو يعتمد على أربعة أجهزة استشعار أساسية في الشبكة من أجل التعرف على حزم IP، يتمتع كل جهاز استشعار بقدرة فريدة، وهو مصمم من أجل مساعدة المسؤولين عن العمل في مراقبة حركات المرور، بما في ذلك نقل الملفات والبنية التحتية وحركة مرور التحكم عن بعد، يقوم أيضًا بخفض البيانات وعرض النطاق الترددي ويقلل من الضغط على النظام ويوفر حماية للبيانات الحساسة.

تقوم

المستشعرات

بتحليل كل حزمة، وهو يراقب فيما لو كانت مناسبة للشبكة، بنفس الوقت، تقوم المستشعرات بمراقبة حركة البيانات والحزمة من أجهزة Cisco وأجهزة Juniper

يمكن أن يحوي ما يصل إلى 100 مستشعر، لأن كل جهاز يتطلب تقريبًا 5 إلى 10 مستشعرات، وتحتاج الشركات الكبرى إلى زيادة الإنفاق وراء هذه المنصة القوية.

أداة ال Sniffing الأقدم


Tcpdump

العديد من مسؤولي النظام يجدون أن tcpdump هي أداة Sniffing الأصلية، في حين تم تطوير هذه الأداة منذ إطلاقها عام 1987، إلا أنه لم يحدث تغييرات كبيرة إلى حد الآن.

هذه الأداة تعد وسيلة سهلة من أجل التقاط الحزم أثناء التنقل، لأنها لا تتطلب سطح مكتب شديد التحمل من أجل تشغيلها، لذلك تعتبر المفضلة بين العديد من المبرمجين ومسؤولي النظام.

تقوم بالتقاط جميع البيانات على شبكة محددة ثم تقوم بإظهارها بشكل مباشر على شاشة الحاسوب لدى مسؤولة النظام، يمكن بعدها الاستفادة من لغة التصفية المعقدة للأداة لتحليل ووتفسير الكم الهائل من البيانات التي تم جمعها في أجزاء يمكن إدارتها. يمكن تطبيق عدد لا يحصى من المرشحات، ومن أجل تحقيق ذلك، يحتاج الشخص فقط إلى معرفة الأوامر الصحيحة وكيفية تطبيقها، يستخدم معظم مسؤولي النظام الأوامر لتقسيم البيانات ، ثم نسخها إلى ملف يتم تصديره إلى أداة جهة خارجية لتحليلها. هذا الأمر يحدث لأن tcpdump لا يمكنه قراءة ملفات pcap التي يلتقطها.

تعد tcpdump أداة قوية لمعرفة سبب مشكلات الشبكة بمجرد إتقان هذه الآلية، يجب كتابة tcpdump في شريط البحث في الجهاز الخاص بك لمعرفة في حال انت هذه الأداة مثبتة على جهازك. [2]