ما هي الأداة الأكثر شعبية المستخدمة لعملية ال Sniffing
ما هي عملية ال Sniffing
عملية الـ Sniffing هي عملية مراقبة واستلام جميع حزم البيانات التي تمر عبر الشبكة، وتستخدم أجهزة مراقبة الشبكة من قبل مسؤول الشبكة أو النظام لمراقبة حركة مرور الشبكة وكشف الأخطاء وإصلاحها، ويستخدم المهاجمون أجهزة المراقبة للحصول على حزم البيانات التي تحتوي على معلومات حساسة مثل كلمات المرور ومعلومات الحساب وما إلى ذلك.
يمكن مراقبة الشبكة عن طريق أجهزة أو برامج مثبتةفي النظام، حيث يتم وضع مراقب الحزمة على شبكة في وضع مختلط ليتمكن المتطفل من التقاط أو تحليل كل حركة من حركات مرور الشبكة.
كيفية عمل أدوات التقاط الحزمة
يتم عمل ملتقطوا الحزم عن طريق اعتراض حركة مرور الويب عندما تمر على الشبكة السلكية أو اللاسلكية ونسخها إلى ملف، تعرف هذه العملية باسم التقاط الحزمة، وفي حين أن أجهزة الكمبيوتر تصمم عموما لتجاهل ازدحام حركة المرور من أجهزة الكمبيوتر الأخرى ، يحدث متشمم الحزمة العكس من ذلك، عند تثبيت برنامج التقاط الحزمة ، يجب تعيين بطاقة واجهة الشبكة (NIC) – الواجهة بين الكمبيوتر والشبكة – على وضع المختلط. هذه العملية تأمر جهاز الكمبيوتر بالتقاط ومعالجة كل ما يدخل الشبكة ، من خلال عملية التجسس على الحزمة.
الأشياء التي يمكن التقاطها تعتمد على نوع الشبكة. في حالة الشبكات السلكية، يتم تحديد محولات الشبكة المسؤولة عن توصيل الاتصال من عدة أجهزة متصلة أخرى، وهذا يحدد ما إذا كان جهاز استقبال الشبكة يمكنه رؤية حركة المرور على الشبكة بأكملها أو جزء صغير فقط منها. أما في حالة الشبكات اللاسلكية، فإن أدوات التقاط الحزمة يمكنها فقط التقاط قناة واحدة في كل مرة، ما لم يكن لدى جهاز الكمبيوتر المستضيف واجهات لاسلكية متعددة.
كيف يستعمل المخترقون أدوات التقاط الحزم
على الرغم من أن أدوات التقاط الحزم تعتبر وسيلة مهمة جدا لأي فريق تكنولوجي عند استخدامها بشكل صحيح، إلا أنه من الممكن أن يتم استغلال هذه الأدوات من قبل المتسللين للحصول على كلمات المرور أو التجسس على البيانات المحمولة في تلك الحزم أو سرقتها. يستخدم المتسللون أيضا أدوات التقاط الحزم لتنفيذ هجمات، حيث يتم تغيير البيانات وتحويلها أثناء النقل لخداع المستخدم. يمكن أن يؤدي هذا الاستخدام إلى حدوث ثغرات أمنية وتجسس صناعي وما إلى ذلك.
لحماية عملك من الاختراق الضار، يجب دائما استخدام HTTPS (طبقة المقابس الآمنة SSL) عند إدخال أو إرسال بيانات النموذج، ولا يجب الاعتماد على HTTP فقط، لأنه غير آمن وقد يؤدي إلى تعريض المعلومات الشخصية والحساسة للخطر، مثل بيانات تسجيل الدخول.
إذا كان الشخص أو أي شخص في العمل يستخدم موقع ويب ببروتوكول HTTP، فيجب التحقق مما إذا كان سيقبل اتصال HTTPS عن طريق كتابة `https://` في شريط المتصفح قبل عنوان الموقع. في كثير من الأحيان، يحتوي موقع الويب على شهادة SSL سارية، ولكنها ليست إلزامية للزوار.
أفضل أدوات عملية ال Sniffing
سولار ويندز
بالرغم من توفر العديد من الخيارات، لا يوجد أي خيار يوفر نطاقا واسعا وسهولة في الاستخدام مثل سولار ويندز ومجموعة Sniffing التي ترافقها. توفر هذه الأداة المتعددة الطبقات رؤية واضحة للشبكة ويمكن اكتشافها وتشخيص أداء الشبكة ومشاكلها وتجنب فترات التوقف بسهولة. بالإضافة إلى ذلك، يستخدم هذا النظام أدنى قدر من عرض النطاق الترددي ويتطلب حملا منخفضا على خوادم ومنصة Orion®.
– بعد تثبيت المجسات على أجهزة الشبكة، يستطيع SolarWinds NPM عرض وجمع البيانات الوصفية لجميع حركة المرور عبر الشبكة، ثم يقوم بتسجيل هذه المعلومات وعرضها، مثل أوقات الاستجابة وحجم البيانات والمعاملات، للكشف عن حالات التباطؤ والإبلاغ عن أي مشكلة في الشبكة. تساعد هذه الرؤى الأفراد على تحديد ما إذا كان التطبيق أو الشبكة هو سبب سوء تجربة المستخدم، وتساعد على إنشاء خريطة تفصيلية للمشكلة.
بالإضافة إلى ذلك، يمكن للشخص الحصول على فهم لكيفية استخدام نطاق التردد في الشبكة من خلال ميزة محلل النطاق الترددي للأداة، وذلك باستخدام روافع NPM
- NetFlow
- JFlow
- sFlow
- NetStream
- IPFIX
سولار ويندز يمد الشخص بالمعلومات التي يحتاجها لإغلاق تطبيقات ومستخدمي النطاق الترددي قبل وضع المزيد من الإنفاق وراء المزيد من النطاق الترددي. يمكن أيضًا استخدام NPM كشخص لاسلكي ، والاستفادة من إمكانات التقاط حزمة Wi-Fi التي تتميز بالأداء وحركة المرور وتفاصيل التكوين للأجهزة والتطبيقات في أماكن العمل أو عبر البيئات المختلطة.
فوائد سولار ويندز
- توفر التنبيهات الذكية والقابلة للتخصيص حول حالة أجهزة الشبكة
- توفر معلومات حول مشاكل الأداء والارتفاعات المشبوهة في حركة المرور
- توفر التنبيهات إشعارًا للشخص المسؤول للتحرك بسرعة في حالة وجود خلل، مما يساعد على الوقاية من حدوث أي انتهاك للأمن.
برنامج PRTG Network Monitor
هذا البرنامج يتضمن مجموعة من إمكانيات التقاط الحزم الرائعة، وهو يعتمد على أربعة أجهزة استشعار أساسية في الشبكة من أجل التعرف على حزم IP، يتمتع كل جهاز استشعار بقدرة فريدة، وهو مصمم من أجل مساعدة المسؤولين عن العمل في مراقبة حركات المرور، بما في ذلك نقل الملفات والبنية التحتية وحركة مرور التحكم عن بعد، يقوم أيضًا بخفض البيانات وعرض النطاق الترددي ويقلل من الضغط على النظام ويوفر حماية للبيانات الحساسة.
تقوم المستشعرات بتحليل كل حزمة وتقييم مدى مناسبتها للشبكة. في نفس الوقت، تقوم المستشعرات بمراقبة حركة البيانات والحزمة من أجهزة سيسكو وجونيبر
يمكن أن يحتوي هذا الجهاز على ما يصل إلى 100 مستشعر، حيث يحتاج كل جهاز تقريبًا إلى 5 إلى 10 مستشعرات، وتحتاج الشركات الكبرى إلى زيادة الإنفاق والاستثمار في هذه المنصة القوية.
أداة ال Sniffing الأقدم
Tcpdump
يعتبر العديد من مسؤولي النظام أن tcpdump هي أداة Sniffing الأصلية، وعلى الرغم من تطوير هذه الأداة منذ إطلاقها عام 1987، إلا أنه لم يطرأ عليها تغييرات كبيرة حتى الآن.
تُعد هذه الأداة وسيلة سهلة لالتقاط الحزم أثناء التنقل، حيث لا تتطلب سطح مكتب شديد التحمل لتشغيلها، ولذلك تُعد الأداة المفضلة بين العديد من المبرمجين ومسؤولي النظام.
تقوم بالتقاط جميع البيانات على شبكة محددة ثم تقوم بإظهارها بشكل مباشر على شاشة الحاسوب لدى مسؤولة النظام، يمكن بعدها الاستفادة من لغة التصفية المعقدة للأداة لتحليل ووتفسير الكم الهائل من البيانات التي تم جمعها في أجزاء يمكن إدارتها. يمكن تطبيق عدد لا يحصى من المرشحات، ومن أجل تحقيق ذلك، يحتاج الشخص فقط إلى معرفة الأوامر الصحيحة وكيفية تطبيقها، يستخدم معظم مسؤولي النظام الأوامر لتقسيم البيانات ، ثم نسخها إلى ملف يتم تصديره إلى أداة جهة خارجية لتحليلها. هذا الأمر يحدث لأن tcpdump لا يمكنه قراءة ملفات pcap التي يلتقطها.
تُعد tcpdump أداة قوية لمعرفة أسباب مشكلات الشبكة بمجرد إتقان هذه الآلية، ويجب كتابة tcpdump في شريط البحث في جهازك لمعرفة ما إذا كانت هذه الأداة مثبتة على جهازك.