تحليل حركة مرور الشبكة بدون أدوات تجارية

تحليل حركة مرور الشبكة دون الاعتماد على أدوات تجارية باهظة الثمن الأمر أسهل بكثير مما يبدو للوهلة الأولى. اليوم، يوجد نظام بيئي ضخم من الأدوات المجانية والمفتوحة المصدر التي تتيح لك التقاط وفحص وفهم ما ينتقل عبر كابلاتك أو شبكة الواي فاي الخاصة بك بتفاصيل مذهلة، بدءًا من اختبار اتصال بسيط وصولاً إلى تحليل كامل لكل حزمة بيانات.

إذا كنت تشعر بأنك تفتقر إلى "المعرفة" بهذه الأمور وترغب في تجاوز مجرد النظر إلى أربعة رسوم بيانية جميلة على لوحة من نوع PRTG، يمكنك إعداد بيئة قوية للغاية باستخدام الأدوات والأوامر المجانية المضمنة بالفعل في نظام التشغيل.ستتعرف في هذه المقالة على كيفية استخدامها، وما هي القيود المفروضة عليها، وكيفية استخدامها بسرعة ودون التسبب في مشكلة ضخمة في البنية التحتية، بالإضافة إلى الاحتياطات القانونية والتقنية التي يجب عليك مراعاتها دائمًا.

ما هو تحليل حركة مرور الشبكة ولماذا يجب أن تهتم به؟

يتضمن تحليل حركة مرور الشبكة مراقبة الحزم التي تدور بين الأجهزة والتقاطها ودراستها. لفهم من يتواصل مع من، ومقدار النطاق الترددي الذي يستخدمه كل شخص، والبروتوكولات المستخدمة، وما إذا كان هناك أي سلوك غير معتاد أو خبيث. ينطبق هذا على الشبكات المنزلية والشركات والشبكات الصناعية على حد سواء.

في شركة، يساعد تحليل حركة البيانات الجيد في تحديد الاختناقات، وانقطاعات الخدمة، وتسريبات البيانات، والهجمات.في بيئة العمليات الصناعية (OT)، حيث تتعايش عشرات البروتوكولات غير المألوفة، من الضروري التمييز بين حركة مرور التحكم المشروعة والمخاطر المحتملة. ومن منظور التدريب، يُعدّ التلاعب بعمليات التقاط الشبكة أحد أفضل الطرق لتعلم كيفية عمل بروتوكولات TCP/IP وDNS وHTTP وSSH وغيرها من التقنيات في الواقع..

يمكن أن يكون التحليل نشطًا أو سلبيًا.يتضمن ذلك مراقبة ما يحدث دون التدخل في أي شيء، أو إدخال بيانات لاختبار سلوك المعدات والبروتوكولات (على سبيل المثال، باستخدام اختبار التشويش). في شبكات الإنتاج، يُعد التحليل السلبي هو القاعدة عادةً، إلا في حالة وجودك في فترة صيانة أو بيئة اختبار.

أنواع محللات الشبكة: البرامج المجانية مقابل الأجهزة المتخصصة

تنقسم أدوات تحليل الشبكات إلى مجموعتين رئيسيتين: البرامج والأجهزةكل منها يناسب سياقات مختلفة بشكل أفضل.

محللات البرمجيات هذه تطبيقات تقوم بتثبيتها على جهاز كمبيوتر أو خادم، وتقوم بالتقاط البيانات عبر واجهة الشبكة. وهي عادةً ما تكون مجانية أو مفتوحة المصدر وتدعم بروتوكولات واسعة الانتشار وموثقة جيداً (IP، TCP، UDP، HTTP، DNS، TLS، إلخ). تُعدّ برامج Wireshark وtcpdump وMicrosoft Network Monitor أمثلة نموذجية على ذلك.

من جانبها، تم تصميم أجهزة تحليل الأجهزة لبيئات محددة وبروتوكولات خاصة للغاية. (على سبيل المثال، Modbus وDNP3 وغيرها من البروتوكولات الشائعة في أنظمة التحكم الصناعية). عادةً ما تكون هذه أجهزة مخصصة مدفوعة الأجر، وتزداد تكلفتها كلما دعمت المزيد من البروتوكولات والوظائف الإضافية مثل اختبار البروتوكولات، أو استخدام راسم الإشارة، أو تحليل الإشارات، أو القياسات الكهربائية.

في شبكات الشركات ذات الأغراض العامة، من الشائع استخدام البرامج المجانية.في الأنظمة الصناعية، حيث تكثر البروتوكولات الاحتكارية أو غير الموثقة بشكل جيد، غالباً ما يكون من الضروري استخدام معدات أجهزة متخصصة الذين يعرفون هذه البروتوكولات وقادرون على تفسيرها وحقن حركة المرور للتحقق من صحة تنفيذها.

كيفية التقاط حركة مرور الشبكة بدون حلول تجارية

عند استخدامك لأدوات البرمجيات المجانية، عليك بطريقة ما "وضعهم في منتصف" حركة المرور التي تهمك.إن مجرد فتح برنامج Wireshark على جهاز الكمبيوتر المحمول الخاص بك لا يكفي إذا كان المحول يعزل المنافذ بشكل صحيح.

هناك عدة طرق تقليدية للقيام بذلك دون شراء معدات مدفوعة:

• باستخدام جهاز تركيز (موزع)تقوم بتوصيل موزع أساسي بالشبكة و قم بتوصيل جهاز التحليل الخاص بك بأحد المنافذ الفارغةيقوم الموزع بتكرار حركة البيانات إلى جميع المنافذ، مما يتيح لك رؤية ما يحدث بين الأجهزة الأخرى. المشكلة هي أن من السهل تحميلها فوق طاقتها، وهي عملية فقط مع أحجام حركة مرور متواضعة..
• نسخ المنافذ (نسخ المنافذ أو SPAN): تقوم بتكوين منفذ على محول مُدار كمرآة لواجهة واحدة أو أكثر. يتم نسخ جميع البيانات التي تمر عبر الواجهات المراقبة إلى منفذ النسخ المتطابقحيث يكون لديك جهاز كمبيوتر مزود ببرنامج Wireshark أو tcpdump. هذا هو الحل المعتاد في شبكات الأعمال؛ عليك مراقبة منفذ النسخ المتطابق للتأكد من عدم ازدحامه في حال وجود حركة مرور كثيفة.
• نقطة اتصال الشبكة (أجهزة مخصصة)على الرغم من أنه ليس برنامجًا مجانيًا تمامًا، جهاز TAP السلبي هو جهاز بسيط نسبياً يقوم بتكرار حركة البيانات على الرابط. ويرسلها إلى مخرج مراقبة واحد أو أكثر، عادةً إلى جهاز كمبيوتر عبر الإيثرنت أو منفذ USB. وتُستخدم هذه الأجهزة على نطاق واسع في البيئات الصناعية أو عندما لا ترغب في تعديل إعدادات المحول.

تتضمن أجهزة تحليل الأجهزة المتقدمة قدرات خاصة بها لالتقاط حركة البيانات، وفي كثير من الأحيان، قدرات حقن البيانات.دون الاعتماد على أجهزة كمبيوتر خارجية. ومع ذلك، من النادر أن تتمكن هذه الأجهزة من تحميل ملفات الالتقاط الخارجية بسهولة بصيغة pcap لتحليلها دون اتصال بالإنترنت، وهو أمر سهل للغاية في البرامج.

وايرشارك: "السكين السويسري" لتحليل حركة المرور

برنامج Wireshark هو برنامج تحليل الحزم المجاني والمفتوح المصدر الأكثر استخدامًا في العالمظهر هذا البرنامج لأول مرة باسم Ethereal في أواخر التسعينيات، ويُعتبر الآن المعيار الفعلي لتحليل البروتوكولات في جميع أنواع الشبكات. وهو متوفر لأنظمة ويندوز ولينكس وماك أو إس، كما يأتي مثبتًا مسبقًا على العديد من توزيعات البرامج الموجهة للأمن السيبراني.

تكمن قوتها الأكبر في قدرتها على التقاط وتحليل مئات البروتوكولات بالتفصيل. في جميع طبقات نموذج OSI: من الإيثرنت أو الواي فاي إلى TCP/UDP وTLS وHTTP وDNS وVoIP وغير ذلك الكثير. يمكنك التقط الصور في الوقت الفعلي ثم قم بتحليلها لاحقًا في وقت فراغك.، على نفس الكمبيوتر أو كمبيوتر آخر، لأنه يحفظ الآثار بتنسيقات قياسية مثل pcap و pcapng.

أهم الميزات التقنية لبرنامج Wireshark

يدعم برنامج Wireshark مجموعة كبيرة ومتنوعة من مصادر وتنسيقات التقاط البياناتيمكنه قراءة وكتابة الملفات التي تم إنشاؤها بواسطة أدوات مثل tcpdump وMicrosoft Network Monitor وNetScreen snoop وغيرها الكثير. يمكنك ضغط وفك ضغط اللقطات أثناء التشغيل باستخدام GZIP لتوفير مساحة.

وهو يعمل مع العديد من تقنيات الشبكاتيدعم هذا الجهاز تقنيات إيثرنت، وواي فاي (IEEE 802.11)، وPPP/HDLC، وFrame Relay، وFDDI، وATM، وUSB، وبلوتوث، وToken Ring، وغيرها. أما بالنسبة لوضع الالتقاط المختلط أو وضع المراقبة (عندما يسمح الجهاز بذلك)، فيعتمد على برامج تشغيل مثل... برنامج Npcap على نظام التشغيل ويندوز، والذي يتم تثبيته مع البرنامج و يتيح لك ذلك رؤية جميع حركة البيانات الداخلة والخارجة من واجهتك..

في السياق الحالي، حيث يتم نقل جزء كبير من البيانات بشكل مشفر.يستطيع برنامج Wireshark، باستخدام المفاتيح الصحيحة، فك تشفير جلسات بروتوكولات مثل TLS/SSL و IPsec و Kerberos و SNMPv3 و WEP أو WPA/WPA2ومع ذلك، عليك أن تزوده بالمفاتيح الخاصة أو الأسرار الأخرى مسبقًا؛ فهو لا يكسر التشفير من تلقاء نفسه.

ميزة أخرى مهمة هي ذلك يتضمن إصدارًا يعمل عبر سطر الأوامر يسمى TShark، مفيد جدًا للعمل عبر SSH على الخوادم، وأتمتة عمليات الالتقاط أو دمجها في البرامج النصية.

المزايا العملية لبرنامج Wireshark

وبغض النظر عن المواصفات الفنية، يُعد برنامج Wireshark متعدد الاستخدامات بشكل لا يصدق في العمل اليومي للمسؤول أو المحلل:

• وهو يدعم مئات البروتوكولات ويسمح لك احفظ لقطات الشاشة لمراجعتها لاحقاً أو مشاركتها مع خبراء آخرين.
• يستخدم تنسيق pcap القياسي.يتوافق مع العديد من الأدوات. يمكنك، على سبيل المثال، التقاط البيانات باستخدام جهاز توجيه أو جدار حماية، ثم فتح هذا الملف في برنامج Wireshark لتحليله بشكل معمق.
• إنها فعالة للغاية في حل مشاكل الأداءانظر إلى حالات ازدحام حركة البيانات، وعواصف البث، وإعادة إرسال بروتوكول TCP، وانقطاع الجلسات، وما إلى ذلك.
• في بيئات التطوير يُستخدم لتصحيح أخطاء تطبيقات البروتوكول والتأكد من أن الحزم تتوافق مع RFC أو المواصفات.
• من وجهة نظر تعليمية، إنه كنز ثمين. لإظهار كيفية انتقال المستخدمين وكلمات المرور (عندما لا يكون هناك تشفير) والرسائل والعناوين والمصافحات وجميع أنواع البيانات بين الأجهزة.
• إنه متعدد المنصاتيتم تحديثه بشكل متكرر ويتلقى باستمرار تصحيحات أمنية ووصفات بروتوكول جديدة.

عيوب وقيود برنامج Wireshark

على الرغم من أنه أمر رائع، برنامج Wireshark له عيوبه أيضاًخاصة إذا كنت في بداية الطريق:

قد يكون منحنى التعلم الأولي صعبًاستجد آلاف الأسطر من الحزم ذات الحقول التي تبدو في البداية كأنها كلام غير مفهوم. يتطلب الأمر وقتًا وممارسة لفهم كل شيء هناك دون أن تفقد صوابك.

وبالإضافة إلى ذلك، يتطلب جذب حركة المرور عادةً امتيازات إضافية (المستخدم الجذر في لينكس، والمسؤول في ويندوز). من وجهة نظر أمنية، هذا أمر جيد، لأنه لا يمكن لأي شخص التجسس على الشبكة، ولكن على مستوى المستخدم، قد يكون الأمر مزعجاً. إذا لم يكن لديك إذن.

لا يعكس التقاط حركة المرور محليًا دائمًا جميع حركة مرور الشبكة الفعلية.على سبيل المثال، إذا كنت متصلاً بمنفذ محوّل غير مُكرّر، فلن ترى سوى بياناتك الخاصة وربما البث المباشر، ولكن ليس المحادثات بين الأجهزة الأخرى. هذا ليس خطأ برنامج Wireshark، بل هو نتيجة لبنية الشبكة.

وأخيرا، قد يؤدي التعامل مع كميات كبيرة من الصيد إلى استهلاك الموارد.إذا كنت تحلل كميات هائلة من البيانات على جهاز كمبيوتر عادي، فستلاحظ أن برنامج Wireshark يصبح بطيئًا ويتأثر أداء الجهاز. في هذه الحالة، يُنصح بتصفية البيانات جيدًا، وتقسيم عمليات الالتقاط، واستخدام أدوات أخف وزنًا مثل tcpdump للتصفية المسبقة عند الضرورة.

إعدادات التخصيص وسير العمل في Wireshark

من نقاط قوة البرنامج أن يمكنك تعديل الواجهة والفلاتر لتناسب طريقة عملك للتحرك بسرعة أكبر بكثير.

تتيح الواجهة الرسومية أعد ترتيب الألواح، وغيّر أحجامها، وطبّق أنماط ألوان مختلفة.يمكنك تمييز الحزم التي تحتوي على أخطاء، أو عمليات إعادة إرسال TCP، أو حركة مرور TLS بألوان محددة لاكتشافها بنظرة سريعة.

تُعدّ المرشحات عالماً آخر تماماً.توجد عشرات المرشحات الجاهزة، ولكن يمكنك إنشاء مرشحاتك الخاصة: حسب عنوان IP، والبروتوكول، والمنفذ، والعلامات، والحجم، وحقول التطبيق، وما إلى ذلك. مرشح جيد، مثل هذا... ip.addr == 192.168.1.10 && tcp.port == 443إنه يُحدث الفرق بين الغرق في الضوضاء أو رؤية ما تحتاجه بالضبط.

وبالإضافة إلى ذلك، يمكنك حفظ ملفات تعريف التكوين لسيناريوهات مختلفة. (على سبيل المثال: "تشخيصات نظام أسماء النطاقات"، "حوادث SSH"، "أداء HTTP")، مع فلاترها وألوانها وأعمدتها المخصصة. ويمكن التبديل بين الملفات الشخصية بنقرة واحدة فقط.

يمكن للأعمدة في عرض الحزمة إضافة وإزالة وإعادة ترتيبقد تكون مهتمًا أيضًا بعرض TTL أو حجم نافذة TCP أو TLS SNI مباشرة كعمود؛ يتيح لك Wireshark القيام بذلك.

وإذا أردت أن تذهب بالأمر إلى أبعد من ذلك، يدعم البرنامج البرامج النصية والمكونات الإضافية في لغتي Lua و Python. لأتمتة المهام، أو إضافة محللات بروتوكولات جديدة، أو إجراء تحليلات محددة مصممة خصيصًا لبيئتك.

كيفية إجراء عملية التقاط "سريعة وغير دقيقة" باستخدام برنامج Wireshark (بدون إعداد برنامج PRTG)؟

إذا كنت تريد فقط ألقِ نظرة سريعة على المواقع التي تتواصل بكثرة وما يحدث على جهازكيمكنك القيام بذلك دون إنشاء بنية تحتية معقدة:

1. قم بتثبيت برنامج Wireshark من موقعه الرسمي أو من مدير حزم توزيعة لينكس الخاصة بك (على سبيل المثال، sudo apt install wireshark).
2. تأكد من ذلك تم تثبيت برنامج Npcap أو برنامج تشغيل التقاط آخر بشكل صحيحفي نظام التشغيل ويندوز، يتولى برنامج تثبيت Wireshark هذه المهمة؛ أما في نظام التشغيل لينكس، فعادةً ما يأتي بشكل قياسي مع libpcap.
3. افتح برنامج Wireshark و اختر الواجهة التي تشهد حركة مرور حقيقية. (بطاقة الإيثرنت الخاصة بك، أو شبكة الواي فاي، أو واجهة افتراضية، إلخ).
4. أغلق أي تطبيقات لا تريدها أن تتداخل مع عملية الالتقاط (التحديثات، والتنزيلات، والبث المباشر...) وإذا لزم الأمر، اضبط جدار الحماية بحيث لا يحظر حركة المرور التي تهمك.
5. أعطي ل بالبداية انتظر ثانية أو ثانيتين على الواجهة المختارة و قم بتشغيل التطبيق أو الاختبار الذي يثير اهتمامك (على سبيل المثال، فتح موقع ويب معين، أو تشغيل أمر ping، أو nslookup، أو الاتصال عبر SSH ...).
6. أغلق تطبيق الاختبار، وانتظر ثانية أخرى، اضغط على زر الإيقاف لإيقاف عملية الاعتقال.

مع ظهور ذلك على الشاشة، يمكنك الآن الفرز حسب المصدر، والوجهة، والبروتوكول، وما إلى ذلك. وتحقق من مع من يتحدث فريقك، وما إذا كانت هناك العديد من المحاولات الفاشلة، وما هي المنافذ المستخدمة، وما إذا كان نظام أسماء النطاقات (DNS) يستجيب بشكل صحيح، أو ما إذا كانت حركة مرور HTTP الخاصة بك تمر بالفعل عبر بروتوكول TLS.

إذا كنت بحاجة إلى إعادة توجيه لقطة الشاشة إلى شخص ما، احفظه بصيغة pcap/pcapng وتذكر أنه ما لم يتم تشفير جميع البيانات المنقولة، فقد تحتوي على معلومات حساسة. لذا، قم بتشفير الملف أو شاركه فقط مع الأشخاص الموثوق بهم.

أدوات ومحللات أخرى مجانية لحركة مرور الشبكة

على الرغم من أن برنامج Wireshark هو الأفضل، إنها ليست القطعة الوحيدة من اللغز عندما نتحدث عن تحليل حركة المرور بدون أدوات تجاريةهناك العديد من البدائل والأدوات المساعدة التكميلية.

أدوات سطر الأوامر المدمجة في النظام

قبل اللجوء إلى الأسلحة الثقيلة، من الأفضل دائمًا البدء بـ أوامر أساسية والتي يتم تضمينها بالفعل في نظام التشغيل وتوفر الكثير من المعلومات بأقل تكلفة:

• بينغيرسل طلبات ICMP إلى المضيف ويخبرك ما إذا كان يستجيب، وزمن الاستجابة، وما إذا كانت هناك أي حزم مفقودة. مثالي لتشخيص الاتصال الأولي.
• traceroute / tracert: يوضح القفزات (أجهزة التوجيه) التي تمر بها الحزم للوصول إلى وجهتها. يساعدك ذلك على معرفة أين "يتعطل" الاتصال.سواء كان ذلك على شبكتك الداخلية، أو مزود خدمة الإنترنت الخاص بك، أو خارج ذلك.
• الأمر PathPing (ويندوز): دمج الأمرَين ping و traceroute، و يقيس هذا الجهاز الفقدان والتأخير في كل قفزةمثالي لتحديد أجهزة التوجيه التي بها مشاكل على مسار معين.
• ipconfig / ifconfigتعرض هذه الأجهزة عناوين IP، والأقنعة، والبوابات، وبشكل عام، تكوين بروتوكول الإنترنت للمعداتتُستخدم هذه الأدوات لتحديد أخطاء العنونة الأساسية.
• الأداة Nslookupالاستعلام عن خوادم نظام أسماء النطاقات (DNS) و يساعد في تشخيص مشاكل حل أسماء النطاقات، تحقق من السجلات والخوادم المعتمدة.
• نتستت: قائمة الاتصالات النشطة، ومنافذ الاستماع، وإحصائيات الشبكةمفيد جدًا لمعرفة العمليات التي تحافظ على الاتصالات المفتوحة ومع أي منها.
• الطريق: يُعلّم ويُعدّل جدول التوجيهإذا كانت هناك مسارات سيئة التخطيط، فستجدها هنا.

هذه الأوامر، بالإضافة إلى التقاط نقطة محددة في برنامج Wireshark، إنهم يحلون نسبة كبيرة من الحوادث دون الحاجة إلى برامج تجارية..

tcpdump وأدوات التقاط وحدة التحكم الأخرى

tcpdump هو المكافئ الخفيف لـ Wireshark في سطر الأوامريعمل هذا البرنامج على جميع أنظمة يونكس/لينكس تقريبًا، وكذلك على نظام ويندوز في بعض الإصدارات. ويقوم بالتقاط البيانات على واجهة محددة. يتيح لك ذلك تصفيتها باستخدام تعبيرات قوية للغاية (عن طريق عنوان IP، المنفذ، البروتوكول، إلخ)، وعرض المعلومات مباشرة في نص.

يكمن سر النجاح في استخدامه على النحو التالي: عمليات الالتقاط باستخدام tcpdump على خادم (حتى لو كان خادمًا بعيدًا) وحفظ النتيجة في ملف pcap. ثم قم بنقله إلى جهاز الكمبيوتر الخاص بك وافتحه باستخدام برنامج Wireshark لتحليلها بهدوء وباستخدام الواجهة الرسومية.

في بيئة ويندوز، ميكروسوفت نيتورك مونيتور شنومك وهو خيار مجاني آخر. يسمح لك بالتقاط حركة البيانات على المحولات المحلية، وتطبيق المرشحات النموذجية (حسب عنوان IP، ومنفذ TCP/UDP، وICMP، وARP، وإعادة إرسال TCP، وعلامات SYN، وما إلى ذلك) افتح حتى ملفات ETL التي تم إنشاؤها بواسطة أوامر netsh في نظام التشغيل Windowsإنه أقدم من برنامج Wireshark، ولكنه لا يزال مفيدًا في بعض سيناريوهات الشركات.

أدوات بصرية وبدائل لبرنامج Wireshark

بالإضافة إلى الكلاسيكيات، توجد مشاريع مجانية ومفتوحة المصدر توفر طرقًا أخرى لعرض حركة المرور:

• اثيرابيعرض الشبكة بصريًا، كخريطة للعقد والروابط التي يشير سمكها ولونها إلى حجم ونوع حركة المرور. مثالي لتحديد من يقوم بتوليد أكبر قدر من البيانات بسرعة بدون الغوص حزمة تلو الأخرى.
• نمبعلى الرغم من أنها تُعرف في الغالب باسم ماسح المنافذ واكتشاف المضيفكما أنه عنصر أساسي لفهم نطاق الهجوم على شبكتك والخدمات التي يمكن الوصول إليها. وهو يُكمّل تحليل حركة البيانات بشكل ممتاز.
• كلاودشاركخدمة عبر الإنترنت تسمح قم بتحميل ملفات التقاط الصور (pcap) وتحليلها عبر المتصفح.يحتوي على نسخة مجانية محدودة، ولكنه قد يكون مفيدًا لمشاركة لقطات الشاشة مع الآخرين دون تبادل ملفات كبيرة عبر البريد الإلكتروني.
• كولاسوفت كابسا فريمحلل حركة مرور لأنظمة ويندوز بواجهة سهلة الاستخدام، وإمكانيات مراقبة مجانية لعدد محدود من عناوين IP، و موجه للمستخدمين الذين لا يرغبون في الخوض في تفاصيل كثيرة كما هو الحال في برنامج Wireshark.

تحليل ومراقبة الشبكات اللاسلكية والمتنقلة

لن يتوفر برنامج Wireshark بشكله الحالي على الأجهزة المحمولة، ولكن نعم، يمكنك التقاط حركة البيانات لتحليلها لاحقًا على جهاز الكمبيوتر الخاص بك.:

• التقاط حزم البيانات (أندرويد): استخدم شبكة VPN محلية لـ التقاط حركة المرور بدون صلاحيات الجذر واحفظه في ملف pcap.
• التقاط الحزمة (أندرويد): على غرار التطبيق السابق، يعتمد أيضًا على واجهة برمجة تطبيقات VPN لاعتراض حركة مرور HTTPS/HTTP.
• سمكة قرش من أجل الجذر (أندرويد): يتطلب صلاحيات الجذر، ولكنه يسمح التقط الصور بحرية أكبر ثم قم بتحليلها في برنامج Wireshark.
• في نظام iOS، يكون النظام أكثر انغلاقًا، ولكن لديك أدوات مثل iNetTools أو محلل الشبكة أو أداة التقاط HTTP والتي تسمح بكل شيء بدءًا من مسح الشبكات وحتى اعتراض ومراجعة حركة مرور HTTP(S) على مستوى أساسي.

ومع ذلك، لإجراء تحليل جاد، يظل الخيار الأفضل هو جهاز كمبيوتر مزود ببطاقة شبكة جيدة وهوائيات لائقة.الهواتف المحمولة مناسبة للاختبارات العرضية، ولكن من حيث قوة التقاط الصور وسهولة الاستخدام، فلا مجال للمقارنة.

تحليل حركة مرور SSH، وحشو بيانات الاعتماد، والوصول عن بُعد المشبوه

بروتوكول SSH قوي، لكن كما أنها نقطة دخول بالغة الأهمية في حال سوء إدارتها.باستخدام برنامج Wireshark والفلاتر المناسبة، يمكنك إجراء تحليلات مثيرة للاهتمام للغاية تتعلق بحركة المرور الخاصة بك.

ومن الأمثلة النموذجية على ذلك ما يلي: الكشف عن هجمات حشو بيانات الاعتماد عبر SSHمحاولات مصادقة مكثفة باستخدام مجموعات من أسماء المستخدمين وكلمات المرور المسربة أو الضعيفة. حتى لو كان المحتوى مشفرًا، توجد مؤشرات تكشف ما إذا كانت عمليات تسجيل الدخول ناجحة أم لا.:

• مدة الجلسة وطول التدفقعادةً ما تستمر الجلسة الناجحة لفترة أطول، مع تبادل المزيد من الحزم.
• حجم حزمة استجابة الخادم: لا تتطابق أنماط حجم الاستجابات لعمليات تسجيل الدخول الناجحة والفاشلة تمامًا.
• الوقت بين الحزم: تؤدي تدخلات المستخدم الفعلية إلى توليد أنماط معينة؛ أما البرامج النصية الآلية الفاشلة فتميل إلى أن تكون أكثر انتظامًا وأقصر.

إذا رأيت في لقطة الشاشة الخاصة بك محاولات متتالية عديدة من نفس عنوان IP، إلى العديد من المستخدمين، بجلسات قصيرة جدًاهذا مؤشر واضح على وقوع هجوم. يمكنك استخلاص استنتاجات قوية باستخدام برنامج Wireshark وسجلات الخادم فقط.

من الأهمية بمكان أيضاً السيطرة على الوصول عن بعد من خارج الشبكةتأتي العديد من أجهزة إنترنت الأشياء، وأجهزة التوجيه، والكاميرات، والأنظمة المدمجة مزودةً بخاصية SSH وبيانات اعتماد افتراضية. تصفية حركة مرور SSH في Wireshark بحسب المنشأ/الوجهة (عناوين IP الداخلية مقابل الخارجية) يمكنك تحديد الاتصالات التي لا تتناسب مع النمط الطبيعي: جهاز داخلي يتصل بأجهزة أخرى لا يتصل بها أبدًا، أو عنوان IP خارجي يحافظ على تدفق مستمر مشبوه، وما إلى ذلك.

تحديد الأنماط النموذجية واكتشاف الانحرافات (حركة المرور الشديدة من مضيف واحد، والاتصالات بأنظمة غير عادية، والزيادات الليلية ...) هي واحدة من أكثر استخدامات تحليل حركة المرور إثارة للاهتمام في مجال الأمن.

الجوانب القانونية والمخاطر وأفضل الممارسات عند جمع بيانات حركة المرور

كل هذا يبدو رائعاً، لكن لا يمكنك أن تنسى أن التقاط حركة مرور الشبكة له آثار قانونية وأخلاقية خطيرة.إن استخدام أدوات مثل Wireshark قانوني تمامًا؛ أما ما يمكن اعتباره جريمة فهو ما تفعله بالبيانات التي تحصل عليها.

في العديد من البلدان، بما في ذلك إسبانيا، الكشف عن المعلومات الخاصة أو نشرها دون موافقة (بيانات الاعتماد، ومحتوى الرسائل، والبيانات الشخصية...) تندرج ضمن جرائم اكتشاف الأسرار وإفشائها. حتى لو فعلت ذلك "بدافع الفضول"، فإن اعتراض حركة البيانات من شبكة شخص آخر أو من مستخدمين دون إذن، قد تتعرض للمشاكل.

لذلك، فإن بعض الاحتياطات الأساسية الضرورية هي:

• لا تقم بالتسجيل إلا على شبكاتك الخاصة أو تلك التي لديك إذن صريح بها (على سبيل المثال، عمليات التدقيق المتعاقد عليها، وبيئات المختبرات، وما إلى ذلك).
• تقسيم الشبكة عندما يكون ذلك ممكنا، للحد من نطاق الالتقاط وتجنب رؤية حركة المرور من المستخدمين أو الأنظمة التي لا تحتاج إلى تحليلها.
• احترام الخصوصية ولوائح حماية البيانات (مثل اللائحة العامة لحماية البيانات). تجنب جمع معلومات حساسة أكثر من اللازم.
• استخدم مرشحات تقييدية في عمليات الالتقاط، ليس فقط لزيادة السرعة، ولكن أيضًا لتقليل التعرض للمعلومات غير ذات الصلة.
• حماية اللقطات المخزنة: تشفيرها، والتحكم في من يمكنه الوصول إليها، ووضع سياسات حذف عندما لا تعود هناك حاجة إليها.

يجدر أيضاً توضيح بعض الخرافات: برنامج Wireshark نفسه ليس برنامجًا ضارًا أو "برنامج قرصنة" غير قانوني.كان هناك برنامج مزيف يُدعى "Wireshark Antivirus" وكان في الواقع حصان طروادة، لكنه لم يكن له أي صلة بالمشروع الرسمي. المشكلة ليست في البرنامج نفسه، بل في طريقة استخدامه.

مراقبة حركة البيانات وتشخيص الشبكة دون إنفاق أي مبلغ

إذا نظرت إلى كل ما سبق معًا، فسترى أن لست بحاجة إلى حزم برامج تجارية للتحكم بشكل جيد للغاية في حركة مرور الشبكة وأدائهابمزيج معقول من:

• الأوامر الأساسية (ping, traceroute/tracert, pathping, ipconfig/ifconfig, nslookup, netstat, route…)
• أدوات مجانية لالتقاط البيانات وتحليلها (Wireshark، tcpdump، Network Monitor، EtherApe، Nmap…)
• الحد الأدنى من المنهجية (حدد المشكلة، وأعد إنتاجها، والتقطها عند النقطة الصحيحة، وقم بتصفيتها جيدًا، ووثق ما تجده)

علبة اكتشف أخطاء التكوين، وحدد مواقع فقدان الحزم، وحل مشكلات نظام أسماء النطاقات (DNS)، واعثر على حالات تشبع النطاق الترددي، وادرس السلوك المشبوه دون دفع أي مقابل..

عندما تسترخي، سترى ذلك إن إتقان هذه الأدوات المجانية أهم من شراء منصة تجارية.تساعد لوحات المعلومات الجذابة، ولكن في نهاية المطاف، عندما تكون هناك مشكلة خطيرة أو حادثة أمنية، تكمن الحقيقة في حزم البيانات، وهنا يأتي دور Wireshark وtcpdump والأدوات المشابهة. إن استثمار الوقت في فهم هذه الأدوات جيدًا هو أحد أفضل القرارات التي يمكنك اتخاذها إذا كنت ترغب في تحكم حقيقي بما يحدث على شبكتك. شارك هذا الدليل وسيتعرف المزيد من المستخدمين على الموضوع.