Packet sniffer چیست؛ بررسی عملکرد تحلیل گر بسته های شبکه

تحلیل گر بسته های شبکه که بطور معمول با نام های متفاوتی معرفی می شود، در این مقاله مورد بررسی قرار خواهد گرفت. ابتدا به این موضوع می پردازیم که Packet sniffer چیست و سپس به بررسی عملکرد آن خواهیم پرداخت.

sniffer چیست؟

اسنیفر یا Packet sniffer چیست ؟ تحلیل گر بسته های شبکه یا آنچه که به طور معمول با نامهایی چون تحلیل گر شبکه (Network Analyzer)، تحلیلگر پروتکل (Protocol Analyzer) یا Packet sniffer، یا آنچه در شرایطی برای شبکه های خاص با نامهایی چون Ethernet sniffer یا wireless sniffer شناخته می شود، در حقیقت یک برنامه نرم افزاری یا قسمتی از سخت افزار کامپیوتر است که میتواند ترافیک شبکه یا بخشی از شبکه را رهگیری و فایل های گزارش بر این اساس تهیه نماید.

هنگامی که جریان داده ها در یک شبکه از مسیری در جریان است ، Sniffer بسته های اطلاعاتی در طی این مسیر را گرفته و اگر نیاز باشد ، داده های خام آن بسته را Decode نموده و فیلد های مختلف به همراه داده های آن را از داخل بسته اطلاعاتی استخراج و نمایش میدهد و سپس تحلیل های لازم را بر اساس مشخصات و یا متود های RFC (request for comments) بر روی این اطلاعات انجام میدهد.

قابلیت های Packet Sniffing 

در شبکه های LAN بسته به نوع ساختار آن (Hub یا Switch)، فرد میتواند جریان داده ها بر روی بخشی از این شبکه یا Client خاص بر روی این شبکه را مانیتور نماید. هر چند متود های وجود دارد که از دسترسی دیگر سیستم های شبکه و احاطه آنها بر روی جریان داده فوق الذکر جلوگیری می نماید. برای مثال میتوان روش ARP Spoofing را مثال زد که در واقع تکنیکی است که حمله کننده در آن ARP (Address Resolution Protocol) های جعلی را در سطح شبکه LAN ارسال نموده و قصد دارد تا MAC Address خود را به IPAddress میزبانی دیگر نسبت دهد تا ارسال داده ها برای IP آدرس مذکور برای سیستم حمله کننده ارسال شود.

پیشنهاد می شود مقاله mac address چیست را بخوانید.

جهت مانیتور کردن یک شبکه حتی میتوان کلیه بسته های اطلاعاتی شبکه LAN را توسط یک سوییچ به همراه یک پورت جهت مانیتورینگ (Monitoring Port) استفاده کرد که می تواند تمام بسته های ارسالی از طریق port های دیگر را هنگام اتصال یک سیستم به یکی از port های سوییچ مورد نظر کپی برداری نماید.

در شبکه های بیسیم Wireless LAN ، میتوان ترافیک شبکه مورد نظر را بر روی یک و یا چندین کانال مختلف مانیتور نمود .

برخی برنامه های Sniffer هنگامی که ترافیک به صورت Multicast ارسال می شود با قرار گرفتن در مد promiscuous mode یا بی قاعده میتوانند همه ترافیک مورد نظر را دریافت نمایند. (لازم به ذکر است همه ی پکت اسنیفرها از این مد پشتیبانی به عمل نمی آورند.)

نحوه عملکرد sniffer ها و نمایش اطلاعات در آن

در پکت اسنیفرها اطلاعات دریافتی از داده های خام دیجیتال ، رمز گشایی شده و به زبان قابل خواندن توسط انسان یا در اصطلاح زبان human-readable تبدیل می شوند که به کاربر این اجازه را می دهند که به راحتی اطلاعات رد و بدل شده را تحلیل نمایند. Sniffer ها در نمایش اطلاعات داده ها امکانات مختلفی را برای نمایش اطلاعات به کاربر عرضه میدارند مانند :

• نمایش ریشه خطاهای بوجود آمده
• نمایش نمودار زمانی
• بازسازی داده های TCP و UDP

برخی Sniffer ها خود میتوانند ترافیک ایجاد نموده و خود نقش دستگاه منبع را ایفا نمایند و در تست و تحلیل پروتکل های سیستم کارآمد باشند. این تست کننده ها در برخی مواقع این امکان را به کاربر میدهند تا عمدا برخی خطاها مربوط به DUT را ایجاد نمایند تا کارایی و قابلیت های سیستم در شرایط مشابه بررسی شود.

برخی از تحلیلگر ها نیز ممکن است سخت افزاری باشند ، این سخت افزار ها بسته های اطلاعاتی  و یا قسمتی از آن را کپی برداری و بر روی دیسک سخت خود ذخیره می نمایند.

موارد استفاده از Packet Sniffing

موارد استفاده از Packet Sniffer ها میتواند متغییر باشد که در زیر میتوان به آنها اشاره نمود:

• تحلیل مشکلات شبکه ای
• تشخیص حمله های نفوذی
• تشخیص سوء استفاده از شبکه توسط کاربران داخلی و خارجی
• بدست آوردن اطلاعات مربوط به یک شبکه برای نفوذ به آن
• مانیتور کردن پهنای باند شبکه های WAN
• مانیتور کردن استفاده های کاربران خارجی و داخلی شبکه
• مانیتور کردن داده های موجود در  جریان داده یک شبکه
• مانیتور کردن وضعیت های امنیتی شبکه WAN
• جمع آوری و گزارش آمار های مربوط به شبکه
• فیلتر سازی اطلاعات مشکوک از ترافیک شبکه
• جاسوسی بر روی شبکه های دیگر برای جمع آوری اطلاعات حساس مانند رمز های عبور (بسته به نوع رمز نگاری این داده ها)
• مهندسی معکوس داده های بر روی شبکه
• اشکال زدایی مربوط به ارتباط Client/Server بر روی شبکه
• اشکال زدایی طراحی پروتکل های شبکه
• کنترل و تایید سیستم های داخلی از نظر صحت کارکرد مانند Firewall ها

برخی از Sniffer های معروف (Packet Analyzers)

• ·         Capsa Network Analyzer
•          Cain and Abel
•          Carnivore (FBI)
•          dSniff
•          ettercap
•          Fiddler
•          Lanmeter
•          Microsoft Network Monitor
•          NarusInsight
•          ngrep Network Grep
•          SkyGrabber
•          snoop
•          tcpdump
•         Wireshark

معرفی نرم افزار Ngrep تحت ویندوز:

یکی از Sniffer ها یا Packet Analyzer های تحت ویندوز بوده که در زیر میتوانید محیط این برنامه را تحت خط فرمان ویندوز مشاهده نمایید

طرز کار آن هم به این صورت است که ابتدا فایل مربوطه را دریافت و با دستور Ngrep در خط فرمان برنامه را اجرا نمایید و پس از زدن دکمه Enter برنامه به صورت خودکار تمام بسته های داده های در حال جریان بر روی شبکه را Capture خواهد کرد.

و سپس میتوان برای ذخیره اطلاعات آنها را در فایلی متنی مطابق دستور زیر ذخیره نمایید.

ngrep >> output.txt

معرفی نرم افزار TCP Packet Sniffer تحت ویندوز:

یکی از نرم افزار های کاربردی برای مدیران شبکه بوده و در نرم افزار Net Tools موجود می باشد و مدیران شبکه میتوانند با آن بیشتر بسته های شبکه را بررسی نمایند.

راه های مقابله با Packet Sniffing و Sniffer ها

• یکی از کاربردی ترین راه های مقابله با Sniffing، استفاده از رمز نگاری در داده های رد و بدل شده در شبکه است و در واقع میتوانید داده های خود را با الگوریتم های معروف Hash نمایید
• استفاده از نرم افزار های AntiSniff که در واقع حضور هر گونه مانیتور بر روی شبکه شما را شناسایی مینماییند مانند برنامه های زیر:

1. sniffdet
2. Sniffer.Detectors
3. ntop

• و در آخر میتوان با استفاده از یک Switch در شبکه هایی مانند Ethernet بسته های موجود در جریان داده های شبکه را به مقصد درست آنها راهنمایی کرد و این کار را نیز میتوان با یک پورت نظارتی و ایجاد یک Mirror انجام داد.