🖧 بررسی تحلیل گرهای بسته شبکه برای تحلیلگران امنیتی |

شبکه شما ستون فقرات تجارت شماست

مطمئن شوید که می دانید چه اتفاقی می افتد

از بسیاری جهات ، فضای کسب و کار دیجیتال انقلابی را پشت سر گذاشته است.

آنچه که به عنوان اسکریپت های ساده CGI در پرل نوشته می شد ، اکنون به استقرار خوشه ای تبدیل شده است ، به طور کامل در Kubernetes و دیگر چارچوب های تنظیم خودکار.

اما نمی توانم از این تفکر لبخند بزنم که اصول اساسی همان دهه 1970 است.

آنچه ما داریم انتزاعات انتزاعی است که توسط کابلهای فیزیکی صلب پشتیبانی می شود و یک شبکه را تشکیل می دهد (خوب ، مجازی وجود دارد اگر شما بخواهیم خیال پردازی کنیم ، می توانیم شبکه را طبق مدل OSI به لایه هایی تقسیم کنیم ، اما همه چیز قبلاً گفته و انجام شده است ، و ما همیشه با پروتکل های TCP / IP سروکار داریم ، پینگ ، روتر ، همه اینها یک هدف مشترک دارند – انتقال بسته های داده.

بنابراین بسته شبکه چیست؟

صرف نظر از آنچه که ما انجام می دهیم – چت ، پخش ویدئو ، بازی کردن ، گشت و گذار ، خرید – در واقع این مبادله است بسته های داده ای بین دو رایانه (شبکه).

"بسته" کوچکترین واحد اطلاعاتی است که از طریق یک شبکه (یا بین شبکه ها) منتقل می شود و روش ساخت و بازبینی بسته های شبکه نیز به خوبی تعریف شده است. [بهعبارتساده،هربستهیکپیونددریکزنجیرهاستوبهدرستیازمنبعمنتقلمیشودودرمقصدتأییدمیشود

آنها گرد هم می آیند و داده هایی را که در ابتدا نشان می دهند تشکیل می دهند (مانند یک تصویر).

اکنون

این ابزاری است که به شما امکان می دهد بسته های جداگانه ای را در شبکه خود مشاهده کنید.

اما چرا چنین کاری می کنیم؟ بیایید این مورد را بیشتر بحث کنیم.

چرا تجزیه بسته ها؟

به نظر می رسد بسته ها تقریباً عناصر اصلی ساخت شبکه داده های شبکه هستند ، همانطور که اتمها اساس همه مواد هستند.

و وقتی نوبت به تجزیه مواد می رسد یا گازها ، ما هرگز نگران کاری نیستیم که یک اتم انجام می دهد ؛

پس چرا با یک بسته شبکه در سطح فردی اذیت می شویم؟

علاوه بر آنچه قبلاً می دانیم ، چه چیزی می توانیم بدانیم؟

تجزیه دسته ای به معنای کثیف شدن دست است

به طور معمول ، در صورت خرابی هر چیز دیگری ، باید بسته های شبکه را تجزیه و تحلیل کنید.

این معمولاً شامل حالات ظاهرا ناامیدکننده ای است:

• از دست دادن غیر قابل توضیح داده های حساس علی رغم مشخص نبودن نقض
• در صورت عدم وجود شواهد ، برنامه های کند را تشخیص دهید
• اطمینان حاصل کنید که رایانه / شبکه شما به خطر نیفتاده است [19659029] اثبات یا انکار اینکه مهاجم از Wi-Fi شما استفاده نمی کند

به طور کلی ، تجزیه و تحلیل بسته ها تحت مجموعه ای از شواهد قاطع است

اگر می دانید چگونه بسته ها را استشمام کرده و می ریزید ، می توانید خود را به اشتباه متهم کنید

با تجزیه و تحلیل بسته قدرتمند (در عین حال آسان) ، جمع آوری اطلاعات از تجزیه و تحلیل سطح بسته می تواند به سادگی خواندن داشبورد باشد.

با این حال ، شما کمی بیشتر از یک دانش سطحی نیاز دارید.

اما باز هم ، هیچ دانش موشکی ، هیچ منطق پیچیده ای برای تسلط بر آن وجود ندارد – فقط عقل سلیم.

اگر هنگام استفاده از اسناد یکی از این ابزارها ، آنها را بخوانید شبکه ، خیلی زود شما به یک متخصص تبدیل خواهید شد.

Wireshark

Wireshark یک پروژه قدیمی است (از سال 1998 شروع شد) ، که در هنگامی که صحبت از غواصی در وب می شود تقریباً استاندارد صنعت است.

این امر چشمگیر است اگر شما در نظر بگیرید که این یک سازمان کاملاً داوطلبانه است و توسط حامیان مالی سخاوتمندانه پشتیبانی می شود. را می توانید در اینجا پیدا کنید:

https://code.wireshark.org/review/gitweb؟p=wireshark.git؛a=tree

مقالات مرتبط:

tcpdump

اگر مدرسه قدیمی هستید ( tcpdump همان چیزی است که شما به آن نیاز دارید.

این یکی دیگر از ابزارهای افسانه ای لینوکس (مانند curl) است که هنوز هم مرتبط است ، به طوری که تقریباً همه ابزارهای "فانتزی" دیگر به آن اعتماد می کنند.

19659006] همانطور که قبلاً گفتم ، هیچ محیط گرافیکی وجود ندارد ، اما ابزار بیش از آن است که آن را جبران کند.

Tcpdump با اکثر توزیع های مدرن لینوکس همراه است ، اگر یکی از آنها را ندارید ، مجبورید آن را از منبع بسازید .

]

مقاله های مرتبط:

NetworkMiner

NetworkMiner ، كه خود را به عنوان ابزار تجزیه و تحلیل شبكه قانونی (FNAT) تبلیغ می كند ، یكی از بهترین آنالیز كننده های سطح بسته است كه تاكنون با آن روبرو خواهید شد. [19659006] این یک ابزار منبع باز است که می تواند شبکه را منفعلانه تجزیه و تحلیل کند و دارای یک رابط کاربری گرافیکی چشمگیر است که می تواند تصاویر منفرد و سایر پرونده های منتقل شده را نمایش دهد.

[19659006] اما همه اینها نیست.

NetworkMiner دارای ویژگی های عالی مانند:

• پشتیبانی IPv6
• تجزیه پرونده های PCAP
• استخراج گواهینامه های X.509 از ترافیک SSL رمزگذاری شده
• Pcap over-IP
• ] چندین نوع ترافیک مانند FTP ، TFTP ، HTTP ، SMB ، SMB2 ، SMTP ، POP3 و غیره را کنترل می کند.
• اثر انگشت سیستم عامل
• محلی سازی Geo IP
• پشتیبانی از اسکریپت خط فرمان

لطفاً توجه داشته باشید از این ویژگی ها در نسخه تجاری موجود نیست.

Fiddler

برخلاف سایر دستگاه های خرابکاری شبکه غیرفعال ، Fiddler بین دستگاه شما و دنیای خارج قرار دارد و بنابراین به برخی از موارد شخصی سازی نیاز دارد!

این قابل تنظیم است (با استفاده از FiddlerScript) ابزاری رایگان با سابقه طولانی و برجسته ، بنابراین اگر هدف شما گوش دادن به ترافیک HTTP / HTTPS مانند رئیس است ، Fiddler برای شما مناسب است.

] چیزهای زیادی وجود دارد که می توانید با Fiddler انجام دهید ، به خصوص اگر می خواهید یک hoodie هکی بپوشید:

• Session Control: کپی سرصفحه ها و داده های جلسه HTTP را باز کنید ، آنها را به هر روشی اصلاح کنید.
• امنیت تست: به شما امکان می دهد برای شبیه سازی حملات در وسط و رمزگشایی تمام ترافیک HTTPS برای شما.
• تست عملکرد: زمان بارگذاری صفحه (یا پاسخ API) را تجزیه و تحلیل کنید و ببینید کدام قسمت از پاسخ گلوگاه است
• اسناد و مدارک خوب

کارهای زیادی می توانید با Fiddler انجام دهید ، به خصوص اگر می خواهید یک کلاه هکی بپوشید:

• مدیریت جلسه: سرصفحه ها و داده های جلسه HTTP را کپی کنید ، آنها را به هر روشی اصلاح کنید شما می خواهید.
• Testing Security: به شما امکان می دهد حمله های میانی را شبیه سازی کرده و تمام ترافیک HTTPS را برای شما رمزگشایی کنید.
• Testing Performance: زمان بارگذاری صفحه (یا پاسخ API) را تجزیه و تحلیل کنید و ببینید کدام قسمت از پاسخ گلوگاه است.
• اسناد خوب

WinDump

اگر سادگی tcpdump را از دست نداده اید و می خواهید از آن در سیستم های ویندوز خود استفاده کنید ، WinDump را در نظر بگیرید.

پس از نصب ، از دستور اجرا می شود مطابق دستور "tcpdump" ، دقیقاً مانند این که روی سیستم های لینوکس کار می کند.

توجه داشته باشید که به هیچ عنوان چیزی برای نصب وجود ندارد. WinDump یک باینری است که در صورت نصب Pcap بلافاصله قابل اجرا است (npcap توصیه می شود زیرا winpcap دیگر در دست ساخت نیست)

BruteShark

BruteShark یک ابزار تجزیه و تحلیل قانونی پزشکی کارآمد شبکه (NFAT) است که می تواند مورد استفاده قرار گیرد. برای پردازش و بازرسی ترافیک شبکه مانند پرونده های PCAP و ضبط مستقیم از رابط های شبکه.

مقالات مرتبط:

قبلاً بررسی شد: [19659089] Capsa

اگر فقط نگران پلتفرم ویندوز باشید ، Capsa نیز می تواند گزینه مناسبی باشد.

در سه نسخه موجود است : رایگان ، استاندارد و سازمانی ، هرکدام با قابلیت های مختلف.

با این حال ، حتی نسخه رایگان بیش از 300 پروتکل را پشتیبانی می کند و دارای ویژگی های جالبی از جمله هشدارها است (در صورت تحقق شرایط خاص باعث می شود)

پیشنهاد استاندارد یک درجه به بالا است ، از بیش از 1000 پروتکل پشتیبانی می کند و به شما امکان تجزیه و تحلیل مکالمات و بازیابی جریانهای بسته را می دهد.

به طور کلی ، گزینه خوبی برای کاربران ویندوز است.

EtherApe

اگر به تجسمات قدرتمند و منبع باز نیاز دارید ، EtherApe گزینه خوبی است .

اگرچه باینری های آماده فقط برای چند توزیع لینوکس در دسترس است ، کد منبع در دسترس است (هم در SourceForge و هم در GitHub) ، بنابراین می توانید خودتان آن را بسازید.

CommView

اگر طرفدار ویندوز هستید و از راحتی پشتیبانی اولویت برخوردار هستید ، CommView توصیه می شود. [19659006] این یک ترافیک شبکه تجزیه و تحلیل کننده قدرتمند با ویژگی های پیشرفته مانند تجزیه و تحلیل VoIP ، ردیابی از راه دور و غیره است.