IRCERT - ابزارها - Sniffers : بخش اول

صفحه اول > ابزارها

WinDump، بخش اول : Snifferها

ابزار WinDump که نسخه‌ي تحت Windows نرم‌افزار قديمي و مشهور tcpdump تحت سيستم‌هاي عامل خانواده‌ي Unix مي‌باشد، عملاً يک تحليل‌گر ترافيک شبکه است. از آنجاکه اغلب استفاده
کنندگان سيستم‌هاي کامپيوتري خانگي در کشورمان را کاربران سيستم‌هاي عامل خانواده‌ي Windows تشکيل مي‌دهند، معرفي WinDump را به بررسي tcpdump ترجيح داده‌ايم.

يک تحليل‌گر ترافيک شبکه، که عموماً با نام Sniffer از آن ياد مي‌گردد، وظيفه‌ي بررسي بسته‌هاي رد و بدل شده بر روي شبکه را برعهده دارد که نرم‌افزار Ethereal که به زودي در همين پايگاه به معرفي آن خواهيم پرداخت نمونه‌ي متداول و پرطرفداري از يک Sniffer است. از آنجاکه در معرفي نرم‌افزار پيشين بصورت اجمالي به اين دسته از ابزارها پرداخته بوديم، در معرفي WinDump نياز به ذکر مقدمات بيش‌تري از Snifferها داريم.

با استفاده از يک Sniffer، با تعيين يک رابط شبکه‌ي خاص، مي‌توان به پايش و تحليل بسته‌هاي اطلاعاتي رد و بدل شده بر روي شبکه‌اي که رابط شبکه‌ي مورد نظر به آن متصل است پرداخت. به عبارت ديگر يک Sniffer را مي‌توان به يک سيستم پايش تشبيه کرد که تمامي اطلاعات منتقل شده بر روي بستر فيزيکي را بررسي و ذخيره مي‌کند. در نهايت با به دست آوردن اين اطلاعات دو عمل مي‌توان بر روي محتواي بسته‌هاي بررسي شده انجام داد :

- تحليل کلي ترافيک شبکه

اين عمل توسط تحليل‌گر انجام مي‌گردد و از آنجاکه حجم اطلاعات رد و بدل شده بر روي شبکه بسيار زياد است، تحليل‌گر بايد توانايي تميز دادن اطلاعات مربوط به پروتکل‌هاي مختلف با مبدا‌ و مقصدهاي مختلف را داشته باشد.

- فيلتر کردن بسته‌هايي با محتوايي خاص

با فيلتر کردن بسته‌هايي خاص و نمايش اختصاصي آنها توسط Sniffer، مي‌توان تميزدادن بسته‌هاي مربوط به يک پروتکل خاص، از/به مبدا/مقصد خاص، با محتوايي از رشته‌اي تعيين شده و ديگر ويژگي‌ها را به نرم‌افزار Sniffer سپرد. پس از به دست آوردن خروجي دلخواه تحليل آن بسيار آسان‌تر است.

قابليت پايش بسته‌هاي رد و بدل شده بر روي شبکه قابليتي مختص سخت‌افزار است. به عبارت ديگر رابط شبکه در حالتي خاص قرار مي‌گيرد که تمامي بسته‌هايي که مقصد آدرس فيزيکي آنها رابط مورد نظر نيست نيز مانند بسته‌هايي مربوط دريافت شده و محتواي آنها را مي‌توان ذخيره کرد. در حالت عادي، سخت‌افزار و لايه‌ي Datalink بسته‌هايي که به رابط مورد نظر با آدرس فيزيکي خاص، ارتباطي ندارند را از روي شبکه بر نمي‌دارد.

با اين وجود، از آنجاکه هدف از استفاده از Snifferها بررسي تمامي ترافيک شبکه، با استفاده از پايش تمامي بسته‌هايي که از مبدآهاي مختلف به مقاصد ديگر ارسال مي‌شوند مي‌باشد، لذا پيش‌نياز استفاده از اين دسته از ابزارها اساساً وجود نسخه‌اي از تمامي ترافيک شبکه بر روي بستر متصل به رابط شبکه‌ي مورد نظر است.

اين پيش‌نياز، پيش‌نيازي سخت‌افزاري را به استفاده کننده از Sniffer تحميل مي‌کند، زيرا با استفاده از سوييچ‌ها، که در حال حاضر تقريباً در تمامي موارد جاي Hub‌ها را گرفته‌اند، ترافيکي که بر روي هريک از درگاه‌هاي سوييچ به سمت سيستم مورد نظر فرستاده مي‌شود، تنها مختص آن سيستم است و ترافيک ديگر گره‌هاي شبکه بر روي آن قرار ندارد. لذا در شبکه‌اي که بر اساس سوييچ عمل‌ مي‌کند، عملاً امکان استفاده از Sniffer در شرايط معمول وجود ندارد.

با اين‌وجود بسياري از سوپپچ‌ها با هدف در اختيار گذاردن درگاهي خاص، امکان قرار دادن تمامي ترافيک شبکه بر روي يک کانال را فراهم مي‌کنند و سيستمي که به اين درگاه متصل باشد مي‌تواند به پايش ترافيک شبکه بپردازد. امکان استفاده اين قبيل درگاه‌ها بر روي سوييچ‌ها، در صورت وجود، محدود بوده و تنها مختص مديران شبکه مي‌باشد. اين امکان تنها براي جامه‌ي عمل پوشانيدن به يکي از اهدف استفاده از Snifferها، يعني استفاده توسط مديران شبکه براي تحليل ترافيک فعال، در برخي از سوييچ‌ها وجود دارد.

در استفاده از اين دسته از Snifferها دو کاربرد خاص مد نظر بوده است :

- استفاده توسط مديران و تحليل‌گران شبکه براي عيب‌يابي و رفع نقوص شبکه

- استفاده توسط نفوذگران به شبکه‌ها و سيستم‌ها

- تشخيص تلاش‌ها براي نفوذ

هدف اول، عملکردي است که در مورد آن صحبت شد. کاربرد بعدي، استفاده از قابليت اين دسته از نرم‌افزارها توسط نفوذگران به شبکه‌ها است. نفوذگران با پايش داده‌ها، به تلاش به تحليل داده‌هاي شبکه و به دست آوردن اطلاعاتي هرچه بيشتر در مورد شبکه مي‌پردازند. دسته‌ي مهمي از اين اطلاعات کدهاي کاربري و کلمات عبور نرم‌افزارهاي مختلفي است که بصورت رمزنشده بر روي شبکه در حال انتقال هستند. يک نفوذگر با تحليل ترافيک ابتدا به نوع نرم‌افزارهاي فعال بر روي شبکه پي‌برده و سپس در پي شناخت بيشتر يک نرم‌افزار نمونه و تشخيص حفره‌هاي امنيتي موجود در آن، به فيلتر کردن بسته‌هاي مختص آن نرم‌افزار پرداخته و سعي در گردآوري اطلاعات بيش‌تر در مورد آن مي‌کند. با به دست آوردن اطلاعات مورد نظر، اقدامات بعدي براي حمله، توسط اطلاعات حياتي به دست آمده، انجام مي‌گيرد.

استفاده از سوييچ‌ها، علاوه بر بالابردن کارايي استفاده از سخت‌افزار و بستر شبکه، به بالابردن امنيت موجود نيز کمک شاياني کرده و احتمال پايش ترافيک توسط نفوذگران، بر روي سيستم‌هاي متفرقه‌ي موجود بر روي شبکه را پايين مي‌آورد. هرچند که بايد به خاطر داشت که روش‌هايي نيز وجود دارد که مي‌توان اين امکان سوييچ‌ها را غيرفعال کرد و يا سوييچ را مجبور ساخت که کليه‌ي ترافيک را به يک درگاه خاص بفرستد. لذا استفاده از سوييچ تضمين قطعي جلوگيري از پايش ناخواسته‌ي ترافيک نيست.

هدف ديگري که مي‌توان براي استفاده از Snifferها متصور بود امکان تشخيص تلاش‌هاي در حال انجام براي نفوذ است. تلاش‌هايي از قبيل حمله به آدرس يا درگاه خاص بر روي يک پروتکل خاص، و يا حمله به يک نرم‌افزار خاص، توسط يک تحليل‌گر شبکه‌ ماهر و با استفاده از يک Sniffer، قابل تشخيص است. با در نظر گرفتن اين هدف، از Snifferها مي‌توان بر روي يک سيستم منفرد، به منظور پايش ارتباطات انجام گرفته با سيستم، و تشخيص حملات احتمالي در حال انجام، استفاده کرد، هرچند که در اين قبيل موارد استفاده از ديوارهاي آتش، حتی انواع شخصي آن، کمک شاياني به کاربر مي‌کنند.

با توجه به آنچه به صورت پراکنده در خلال متن گفته شد، راه‌هاي مقابله با Snifferها را مي‌توان به سه دسته تقسيم نمود :

- استفاده از ابزارهاي رمزنگاري داده‌ها

- استفاده از سوييچ در شبکه به جاي Hub

- استفاده از ابزارهاي ضد Sniff که امکان تشخيص رابط‌هاي شبکه‌اي که در حال Sniff قرار دارند را به وجود مي‌آورد.

با مقدمه‌اي که در مورد Snifferها ذکر شد، معرفي نرم‌افزار WinDump و قابليت‌هاي آن را به بخش بعدي موکول مي‌کنيم.