Packet sniffer یا اسنیفر چیست؟
تحلیل گر بسته های شبکه Packet sniffer یا آنچه که به طور معمول با نامهایی چون تحلیل گر شبکه (Network Analyzer)، تحلیلگر پروتکل (Protocol Analyzer) یا Packet sniffer، یا آنچه در شرایطی برای شبکه های خاص با نامهایی چون Ethernet sniffer یا wireless sniffer شناخته می شود، در حقیقت یک برنامه نرم افزاری یا قسمتی از سخت افزار کامپیوتر است که میتواند ترافیک شبکه یا بخشی از شبکه را رهگیری و فایل های گزارش بر این اساس تهیه نماید.
هنگامی که جریان داده ها در یک شبکه از مسیری در جریان است ، Sniffer بسته های اطلاعاتی در طی این مسیر را گرفته و اگر نیاز باشد ، داده های خام آن بسته را Decode نموده و فیلد های مختلف به همراه داده های آن را از داخل بسته اطلاعاتی استخراج و نمایش میدهد و سپس تحلیل های لازم را بر اساس مشخصات و یا متدهای RFC (request for comments) بر روی این اطلاعات انجام میدهد.
قابلیت های Packet Sniffing
در شبکه های LAN بسته به نوع ساختار آن (Hub یا Switch)، فرد میتواند جریان داده ها بر روی بخشی از این شبکه یا Client خاص بر روی این شبکه را مانیتور نماید. هر چند متود های وجود دارد که از دسترسی دیگر سیستم های شبکه و احاطه آنها بر روی جریان داده فوق الذکر جلوگیری می نماید. برای مثال میتوان روش ARP Spoofing را مثال زد که در واقع تکنیکی است که حمله کننده در آن ARP (Address Resolution Protocol) های جعلی را در سطح شبکه LAN ارسال نموده و قصد دارد تا MAC Address خود را به IPAddress میزبانی دیگر نسبت دهد تا ارسال داده ها برای IP آدرس مذکور برای سیستم حمله کننده ارسال شود.
جهت مانیتور کردن یک شبکه حتی میتوان کلیه بسته های اطلاعاتی شبکه LAN را توسط یک سوییچ به همراه یک پورت جهت مانیتورینگ (Monitoring Port) استفاده کرد که می تواند تمام بسته های ارسالی از طریق port های دیگر را هنگام اتصال یک سیستم به یکی از port های سوییچ مورد نظر کپی برداری نماید.
در شبکه های بیسیم Wireless LAN ، میتوان ترافیک شبکه مورد نظر را بر روی یک و یا چندین کانال مختلف مانیتور نمود .Packet sniffer
برخی برنامه های Sniffer هنگامی که ترافیک به صورت Multicast ارسال می شود با قرار گرفتن در مد promiscuous mode یا بی قاعده میتوانند همه ترافیک مورد نظر را دریافت نمایند. (لازم به ذکر است همه ی پکت اسنیفرها از این مد پشتیبانی به عمل نمی آورند.)
نحوه عملکرد sniffer ها و نمایش اطلاعات در آن Packet sniffer
در پکت اسنیفرها اطلاعات دریافتی از داده های خام دیجیتال ، رمز گشایی شده و به زبان قابل خواندن توسط انسان یا در اصطلاح زبان human-readable تبدیل می شوند که به کاربر این اجازه را می دهند که به راحتی اطلاعات رد و بدل شده را تحلیل نمایند. Sniffer ها در نمایش اطلاعات داده ها امکانات مختلفی را برای نمایش اطلاعات به کاربر عرضه میدارند مانند :Packet sniffer
نمایش ریشه خطاهای بوجود آمده
نمایش نمودار زمانی
بازسازی داده های TCP و UDP
برخی Sniffer ها خود میتوانند ترافیک ایجاد نموده و خود نقش دستگاه منبع را ایفا نمایند و در تست و تحلیل پروتکل های سیستم کارآمد باشند. این تست کننده ها در برخی مواقع این امکان را به کاربر میدهند تا عمدا برخی خطاها مربوط به DUT را ایجاد نمایند تا کارایی و قابلیت های سیستم در شرایط مشابه بررسی شود.
برخی از تحلیلگر ها نیز ممکن است سخت افزاری باشند ، این سخت افزار ها بسته های اطلاعاتی و یا قسمتی از آن را کپی برداری و بر روی دیسک سخت خود ذخیره می نمایند.
موارد استفاده از Packet Sniffing
موارد استفاده از Packet Sniffer ها میتواند متغییر باشد که در زیر میتوان به آنها اشاره نمود:
تحلیل مشکلات شبکه ای
تشخیص حمله های نفوذی
تشخیص سوء استفاده از شبکه توسط کاربران داخلی و خارجی
بدست آوردن اطلاعات مربوط به یک شبکه برای نفوذ به آن
مانیتور کردن پهنای باند شبکه های WAN
مانیتور کردن استفاده های کاربران خارجی و داخلی شبکه
مانیتور کردن داده های موجود در جریان داده یک شبکه
مانیتور کردن وضعیت های امنیتی شبکه WAN
جمع آوری و گزارش آمار های مربوط به شبکه
فیلتر سازی اطلاعات مشکوک از ترافیک شبکه Packet sniffer
جاسوسی بر روی شبکه های دیگر برای جمع آوری اطلاعات حساس مانند رمز های عبور (بسته به نوع رمز نگاری این داده ها)
مهندسی معکوس داده های بر روی شبکه
اشکال زدایی مربوط به ارتباط Client/Server بر روی شبکه
اشکال زدایی طراحی پروتکل های شبکه
کنترل و تایید سیستم های داخلی از نظر صحت کارکرد مانند Firewall ها
دیدگاهتان را بنویسید