صفحه اول > ابزارها

 

 

WinDumpبخش اول : Snifferها

 

   این ابزارWinDump که نسخه‌ی تحت Windows نرم‌افزار قدیمی و مشهور tcpdump تحت سیستم‌های عامل خانواده‌ی Unix می‌باشد، عملاً یک تحلیل‌گر ترافیک شبکه است. از آن‌جاکه اغلب استفاده کننده‌گان سیستم‌های کامپیوتری خانه‌گی در کشورمان را کاربران سیستم‌های عامل خانواده‌یWindows تشکیل می‌دهند، معرفی WinDump را به بررسی tcpdump ترجیح داده‌ایم.

 

    یک تحلیل‌گر ترافیک شبکه، که عموماً با نام Sniffer از آن یاد می‌گردد، وظیفه‌ی بررسی بسته‌های رد و بدل شده بر روی شبکه را برعهده دارد که نرم‌افزار Ethereal که به‌زودی در همین پای‌گاه به معرفی آن خواهیم پرداخت نمونه‌ی متداول و پرطرفداری از یک Sniffer است. از آن‌جاکه در معرفی نرم‌افزار پیشین بصورت اجمالی به این دسته از ابزارها پرداخته بودیم، در معرفی WinDump نیاز به ذکر مقدمات بیش‌تری از Snifferها داریم.

 

    با استفاده از یک Sniffer، با تعیین یک رابط شبکه‌ی خاص، می‌توان به پایش و تحلیل بسته‌های اطلاعاتی رد و بدل شده بر روی شبکه‌یی که رابط شبکه‌ی مورد نظر به آن متصل است پرداخت. به عبارت دیگر یک Sniffer را می‌توان به یک سیستم پایش تشبیه کرد که تمامی اطلاعات منتقل شده بر روی بستر فیزیکی را بررسی و ذخیره می‌کند. در نهایت با به دست آوردن این اطلاعات دو عمل می‌توان بر روی محتوای بسته‌های بررسی شده انجام داد :

 

-         تحلیل کلی ترافیک شبکه

    این عمل توسط تحلیل‌گر انجام می‌گردد و از آن‌جاکه حجم اطلاعات رد و بدل شده بر روی شبکه بسیار زیاد است، تحلیل‌گر باید توانایی تمیز دادن اطلاعات مربوط به پروتکل‌های مختلف با مبدأ‌ و مقصدهای مختلف را داشته باشد.

 

-         فیلتر کردن بسته‌هایی با محتوایی خاص

   با فیلترکردن بسته‌هایی خاص و نمایش اختصاصی آن‌ها توسط Sniffer، می‌توان تمیزدادن بسته‌های مربوط به یک پروتکل خاص، از/به مبدأ/مقصد خاص، با محتوایی از رشته‌یی تعیین شده و دیگر ویژه‌گی‌ها را به نرم‌افزار Sniffer سپرد. پس از به دست آوردن خروجی دل‌خواه تحلیل آن بسیار آسان‌تر است.

 

     قابلیت پایش بسته‌های رد و بدل شده بر روی شبکه، قابلیتی مختص سخت‌افزار است. به عبارت دیگر رابط شبکه در حالتی خاص قرار می‌گیرد که تمامی بسته‌هایی که مقصد آدرس فیزیکی آن‌ها رابط مورد نظر نیست نیز مانند بسته‌های مربوط دریافت شده و محتوای آنها را می‌توان ذخیره کرد. در حالت عادی، سخت‌افزار و لایه‌ی Datalink بسته‌هایی که به رابط مورد نظر با آدرس فیزیکی خاص، ارتباطی ندارند را از روی شبکه بر نمی‌دارد.

 

   با این وجود، از آن‌جاکه هدف از استفاده از Snifferها بررسی تمامی ترافیک شبکه، با استفاده از پایش تمامی بسته‌هایی که از مبدآهای مختلف به مقاصد دیگر ارسال می‌شوند می‌باشد، لذا پیش‌نیاز استفاده از این دسته از ابزارها اساساً وجود نسخه‌یی از تمامی ترافیک شبکه بر روی بستر متصل به رابط شبکه‌ی مورد نظر است.

 

    این پیش‌نیاز، پیش‌نیازی سخت‌افزاری را به استفاده کننده از Sniffer تحمیل می‌کند، زیرا با استفاده از سوییچ‌ها، که در حال حاضر تقریباً در تمامی موارد جای Hub‌ها را گرفته‌اند، ترافیکی که بر روی هریک از درگاه‌های سوییچ به سمت سیستم مورد نظر فرستاده می‌شود، تنها مختص آن سیستم است و ترافیک دیگر گره‌های شبکه بر روی آن قرار ندارد. لذا در شبکه‌یی که بر اساس سوییچ عمل‌ می‌کند، عملاً امکان استفاده از Sniffer در شرایط معمول وجود ندارد.  

 

    با این‌وجود بسیاری از سوپپچ‌ها با هدف در اختیار گذاردن درگاهی خاص، امکان قرار دادن تمامی ترافیک شبکه بر روی یک کانال را فراهم می‌کنند و سیستمی که به این درگاه متصل باشد می‌تواند به پایش ترافیک شبکه بپردازد. امکان استفاده از این قبیل درگاه‌ها بر روی سوییچ‌ها، در صورت وجود، محدود بوده و تنها مختص مدیران شبکه می‌باشد. این امکان تنها برای جامه‌ی عمل پوشانیدن به یکی از اهدف استفاده از Snifferها، یعنی استفاده توسط مدیران شبکه برای تحلیل ترافیک فعال، در برخی از سوییچ‌ها وجود دارد.

 

    در استفاده از این دسته از Snifferها دو کاربرد خاص مد نظر بوده است :

 

-         استفاده توسط مدیران و تحلیل‌گران شبکه برای عیب‌یابی و رفع کاستی‌های شبکه

-         استفاده توسط نفوذگران به شبکه‌ها و سیستم‌ها

-         شناسایی تلاش‌ها برای نفوذ

 

   هدف اول، عمل‌کردی است که در مورد آن صحبت شد. کاربرد بعدی، استفاده از قابلیت این دسته از نرم‌افزارها توسط نفوذگران به شبکه‌ها است. نفوذگران با پایش داده‌ها، به تلاش برای تحلیل داده‌های شبکه و به‌دست‌آوردن اطلاعاتی هرچه بیشتر در مورد شبکه می‌پردازند. دسته‌ی مهمی از این اطلاعات کدهای کاربری و کلمات عبور نرم‌افزارهای مختلفی است که به‌صورت رمزنشده بر روی شبکه در حال انتقال هستند. یک نفوذگر، با تحلیل ترافیک، ابتدا به نوع نرم‌افزارهای فعال بر روی شبکه پی‌برده و سپس در پی شناخت بیش‌تر یک نرم‌افزار نمونه و تشخیص حفره‌های امنیتی موجود در آن، به فیلترکردن بسته‌های مختص آن نرم‌افزار پرداخته و سعی در گردآوری اطلاعات بیش‌تر در مورد آن می‌کند. با به دست آوردن اطلاعات مورد نظر، اقدامات بعدی برای حمله، توسط اطلاعات حیاتی به دست آمده، انجام می‌گیرد.

 

    استفاده از سوییچ‌ها، علاوه بر بالابردن کارایی استفاده از سخت‌افزار و بستر شبکه، به بالابردن امنیت موجود نیز کمک شایانی کرده و احتمال پایش ترافیک توسط نفوذگران، بر روی سیستم‌های متفرقه‌ی موجود بر روی شبکه را پایین می‌آورد. هرچند که باید به خاطر داشت که روش‌هایی نیز وجود دارد که می‌توان این امکان سوییچ‌ها را غیرفعال کرد و یا سوییچ را مجبور ساخت که کلیه‌ی ترافیک را به یک درگاه خاص بفرستد. لذا استفاده از سوییچ تضمین قطعی جلوگیری از پایش ناخواسته‌ی ترافیک نیست.

 

    هدف دیگری که می‌توان برای استفاده از Snifferها متصور بود امکان تشخیص تلاش‌های در حال انجام برای نفوذ است. تلاش‌هایی از قبیل حمله به آدرس یا درگاه خاص بر روی یک پروتکل خاص، و یا حمله به یک نرم‌افزار خاص، توسط یک تحلیل‌گر شبکه‌ی ماهر و با استفاده از یک Sniffer، قابل تشخیص است. با در نظر گرفتن این هدف، از Snifferها می‌توان بر روی یک سیستم منفرد، به منظور پایش ارتباطات انجام گرفته با سیستم، و تشخیص حملات احتمالی در حال انجام، استفاده کرد، هرچند که در این قبیل موارد استفاده از دیوارهای آتش، حتی انواع شخصی آن، کمک شایانی به کاربر می‌کنند.

 

    با توجه به آن‌چه به‌صورت پراکنده در خلال متن گفته شد، راه‌های مقابله با Snifferها را می‌توان به سه دسته تقسیم نمود :

 

-         استفاده از ابزارهای رمزنگاری داده‌ها

-         استفاده از سوییچ در شبکه به جای Hub

-         استفاده از ابزارهای ضد Sniff که امکان تشخیص رابط‌های شبکه‌یی که در حال Sniff قرار دارند را به وجود می‌آورد.

 

   با مقدمه‌یی که در مورد Snifferها ذکر شد، معرفی نرم‌افزار WinDump و قابلیت‌های آن را به بخش بعدی موکول می‌کنیم.