WinDump، بخش دوم

    در بخش پيش، مقدمه اي درباره ي Snifferها، که ابزارهايي براي تحليل ترافيک شبکه هستند، بيان شد. در آن بخش، پس از تعريف اين دسته از نرم افزارها، فوايد استفاده از اين ابزارها، براي تحليل ترافيک شبکه مورد بررسي قرار گرفت. در ادامه، همچنين به روش هايي که با استفاده از آن ها نفوذگران دست به حمله به سيستم ها و شبکه هاي رايانه اي مي زنند پرداخته شد و در انتها برخي از روش هاي مقابله با اين قبيل نفوذها را ذکر کرديم.

    در قسمت دوم و پاياني از اين بررسي، به نرم افزار WinDump، که نمونه اي مرسوم از اين ابزارها است مي پردازيم. اين نرم افزار عملاً نسخه ي تحت سيستم هاي عامل سري  Windows ابزار tcpdump است. tcpdump که نرم افزاري قديمي و متداول تحت سيستم عامل خانواده ي Unix مي باشد، جزو اولين و ساده ترين Snifferها است.

دريافت و نصب نرم افزار

    براي دسترسي به اين نرم افزار و دريافت آن مي توانيد به آدرس http://windump.polito.it مراجعه کنيد. اين نرم افزار از کتابخانه اي سازگار با libpcab استفاده مي کند که نگارش تحت Windows آن به WinPcap موسوم است. اين نرم افزار را مي توانيد از همان سايت دريافت کنيد. پس از نصب آخرين نگارش WinPcap، نرم افزار WinDump عملياتي مي شود. نکته اي که بايد به خاطر داشته باشيد اين است که براي آنکه اين نرم افزار تمامي و يا اغلب بسته هاي در حال انتقال بر روي شبکه را شناسايي و دريافت کند، بايد از آخرين نگارش آن استفاده کنيد، هرچند که اين نرم افزار مدت ها است که به روز نشده، با اين وجود اگر به طريقي نگارشي ديگر و قديمي از اين نرم افزار را به دست آورديد، براي کارايي بهتر، نسخه ي جديدتر را دريافت کنيد.

قابليت هاي WinDump

    محيط استفاده از اين نرم افزار، محيطي ساده و متني است. در واقع وجود اين محيط به منظور سادگي بيشتر و تشابه هرچه بيشتر آن با نرم افزار tcpdump است. با وجود اين سادگي، WinDump داراي قابليت هاي متنوعي است.

    پس از اجراي اين نرم افزار، با تعيين رابط شبکه يي که WinDump مي بايد به دريافت بسته هاي رد و بدل شده بر روي شبکه ي مرتبط با رابط مورد نظر بپردازد، اين نرم افزار، Header تمامي بسته هاي دريافت شده را بر روي صفحه نمايش داده و زمان و تاريخ هريک را نيز نشان مي دهد.

             شناسايي و تعيين پروتکل ها

    WinDump، بسياري از پروتکل ها را شناسايي مي کند و در اين صورت نام پروتکل مورد نظر را بر روي صفحه نشان مي دهد. با اين وجود اين امکان وجود دارد که تنها پروتکلي خاص براي تحليل و شناسايي مورد نظر قرار گيرد و WinDump تنها بسته هاي پروتکل تعيين شده را در گزارش نشان دهد.

    از سوي ديگر، اين نرم افزار امکان شناسايي بسته هايي با انواع خاص،  مانند بسته هايي متعلق به VLANهاي تعريف شده بر روي شبکه، يا بسته هاي متعلق به ارتباطات VPN را دارد. در مورد بسته هاي متعلق به VPN، امکان رمزگشايي آنها با تعيين الگوريتم رمزنگاري و تعيين کليد مربوطه نيز وجود دارد.

-                      تعيين مبدأ و مقصد خاص

    در صورت نياز، با استفاده از کليد هايي، مي توان بسته هايي را مشاهده کرد که از مبدأ(هايي) به مقصد(هايي) خاص در حال گذر هستند.

             خروجي هاي مختلف

    اين نرم افزار، بر اساس پروتکل هاي مختلف خروجي هاي مختلفي را نشان مي دهد. به عبارت ديگر، براي هر بسته، بر اساس اينکه متعلق به چه نوع پروتکلي است، نوع خروجي، يا خط گزارش مورد نظر، مستقل از زمان و تاريخ دريافت بسته، متفاوت است. هرچند که براي اکثر آنها، نام يا آدرس و شماره ي پورت مورد نظر بسته، نمايش داده مي شود.

    در صورت نياز و به منظور بالاتر رفتن سرعت پردازش WinDump، مي توان قابليت استخراج اسامي سيستم ها در قالب مبدأ و مقصد را، حذف نمود و تنها به مشاهده ي آدرس اکتفا کرد. در اين صورت، تأخيري که صرف به دست آوردن نام سيستم مبدأ يا مقصد مي شود از بين مي رود.

             فيلترهاي متنوع خروجي

    يکي از قابليت هاي خاص اين نرم افزار، امکان استفاده از فيلترهاي مختلف براي تعيين خروجي و بررسي بسته هاي ويژه است. براي تعيين نوع گزارش، مي توان پارامترهاي مختلفي را تعيين نمود که بر اساس آنها، WinDump گزارش بسته هاي خاصي را نمايش مي دهد و بسته هاي ديگر را ناديده مي گيرد.

    نمونه اي از اين فيلترها، فيلتر اندازه ي بسته و يا نوع بسته در قالب يک پروتکل واحد است. به عبارت ديگر، توسط اين فيلترها، مي توان بسته هايي با اندازه هايي خاص را مورد نظر قرار داد و يا براي مثال مي توان بسته هاي خاصي از پروتکل TCP را بررسي کرد و ديگر بسته ها را ناديده گرفت.

    براي تعيين فيلترها، علاوه بر عباراتي که به صورت پيش فرض در اين نرم افزار قابل دسترسي هستند، عباراتي جديد را نيز با ترکيب عبارات ساده مي توان به دست آورد. عبارات پايه، براي تعيين پارامترهاي ابتدايي مانند مبدأ، مقصد، پورت، پروتکل و ديگر پارامترها هستند.

             ذخيره ي گزارش

    اين نرم افزار قابيلت ذخيره ي گزارش مورد نظر به صورت يک پرونده را نيز دارد. پرونده  به صورت خام و پردازش نشده ذخيره مي شود و براي پردازش بر روي آن، مي توان از همين نرم افزار، با تعيين از پارامتري خاص، استفاده نمود که در آن صورت عملاً گزارش اوليه توليد مي شود.

    با توجه به قابليت هايي که در مورد اين نرم افزار، به اختصار، مورد اشاره قرار گرفت، اين ابزار را مي توان ابزاري قوي براي کاربراني که به ابزار متداول و قديمي tcpdump عادت داشته اند دانست. با اين وجود از آنجاکه روش کار با آن براي کاربران عادي، به دليل نبود رابط کاربري گرافيکي مناسب، کمي خسته کننده است، مي توان از Snifferهاي ديگري همچون نرم افزار Ethereal استفاده کرد، که با استفاده از رابط کاربري آنها، تحليل و تعيين روش کار به راحتي صورت گرفته، و خروجي توليد شده خوانايي بيش تري دارد.

    نکته اي که علاوه بر ذکر در بخش اول در اين جا نيز مجدداً بر روي آن تأکيد مي کنيم اين است که تقريباً در تمامي موارد، Snifferها تنها در شرايطي کاربرد دارند که در شبکه ي مورد نظر از سوييچ استفاده نشده باشد يا در صورت استفاده از سوييچ، درگاهي خاص براي تحليل تمامي ترافيک در حال پردازش توسط سوييچ بر روي درگاه هاي ديگر، قابل تعريف باشد.