ضبط بسته
ضبط بسته (به انگلیسی: Packet Capture) عمل ضبط و تسخیر بستههای داده بر روی یک شبکه کامپیوتری میباشد. ضبط عمیق بسته (Deep Packet Capture) عملیات ضبط بسته در سرعت بالای شبکه، و ضبط بستههای آن شبکه به صورت کامل (سرآیند و بدنه) در شبکهای با نرخ ترافیک بالا است.
هنگامی که بسته ضبط و ذخیره شد، چه در حافظه کوتاه مدت یا حافظه بلند مدت، آنگاه ابزارهای نرمافزاری، عملیات بازرسی عمیق بسته را جهت بازبینی دادههای بسته، انجام آنالیزهای قانونی برای کشف علت ریشهای مشکلات شبکه، شناخت تهدیدات امنیتی و اطمینان از مطابقت ارتباطات بستهها و استفاده از شبکه با سیاستهای مشخص شده را به اجرا میگذارند.
برخی از عملیات ضبط عمیق بسته میتوانند با عملیات بازرسی عمیق آن همراه شوند و در نتیجه میتوانند به مدیریت، بازبینی و آنالیز تمامی ترافیک شبکه به صورت زمان واقعی و همزمان نگهداری آرشیوی تاریخی از کل ترافیک شبکه برای آنالیزهای آینده بپردازند.[1]
ضبط بسته جزئی میتواند سرآیند بستهها را بدون قسمت دادههای آن ضبط کند. این امر باعث کاهش فضای ذخیرهسازی مورد نیاز میشود و از مشکلات قانونی جلوگیری میکند با این وجود باز هم دارای مقدار داده کافی جهت آشکارسازی اطلاعات ضروری مورد نیاز برای تشخیص مشکل میباشد.
فیلتر کردن
ضبط بسته میتواند تمام دادههای بسته یا قسمت فیلتر شدهای از جریان را ضبط کند.
ضبط کامل
ضبط بسته امکان ضبط بسته داده را از لایه پیوند داده تا لایههای بالاتر (لایههای ۲ تا ۷)در مدل OSI را دارد. این ضبط شامل سرآیند و بدنه میباشد. سرآیند شامل اطلاعاتی دربارهٔ موارد موجود در بسته میباشد که به مانند آدرس و دیگر اطلاعات چاپ شده بر روی پاکت نامه است. قسمت بدنه شامل محتوای واقعی بسته است که در نتیجه مانند محتوای پاکت نامه میباشد. ضبط کامل در بر گیرنده تماتی بستههایی است که از قسمتی از شبکه میگذرند، صرف نظر از مبدا، پروتکل و دیگر بیتهای مشخصکننده داده در بسته.
ضبط کامل ضبطی بدون محدودیت، بدون فیلتر و خام از کل بستههای شبکه است و غالباً به وسیلهٔ ابزار ضبط بسته اجرا میشود.
ضبط فیلتر شده
وسایل ضبط بسته این توانایی را دارند که ضبط بستهها را بر اساس پروتکل، آدرس IP، آدرس MAC و... محدود کنند. با بکارگیری فیلترها، فقط بستههای کاملی که معیارهای فیلتر را (چه در قسمت سرایند و چه در قسمت بدنه) داشته باشند، ضبط شده، مورد توجه قرار گرفته یا ذخیره میشوند.
نقاط ضبط چندگانه
یک چالش در محیط مرکز داده این است که چند نقطه وجود داشته باشد که مورد توجه برای ضبط بستهها جهت اهداف آنالیز میباشد. این نقاط شامل رابطهای مسیر یابها، سوئیچها، دیوارههای آتش، سرورها و دیگر تجهیزات شبکه میباشند. دو تکنیک معمول در این روش به صورت زیر هستند:
- الف) تعریف اتصالات شبکه بر خط بوسیله رسانههای رابط (interface connection media) و یا
- ب) گسترش ترافیک سوئیچهای شبکه به یک پورت آیینهای آزاد.
هرکدام از این دو روش باعث دو برابر شدن بستههای شبکه بر روی رابطهای آن میشوند که آمادهاند تا ورودی ابزار بازبینی شبکه باشند. یک چالش در این جا این است که آنالیزهای چند گانه مجزا برای ابزارهای بازبینی مورد نیاز است در نتیجه شاید به تعداد کافی اتصال یا گسترش وجود نداشته باشد تا جوابگوی تمام نیازهای ما باشد. یک راه حل برای این مشکل این است که یک سوئیچ مشخص را تعریف کنیم که منابع چند گانه را در یافت میکند سپس آنها را به صورت داخلی دو برابر کرده، فیلترها را اعمال وخروجی را به سمت ابزارهای بازبینی مورد نظر مسیر دهی میکند. نمونههایی از این سوئیچها مانند سوئیچ آشکار شبکه (Network Visibility Fabric) از Gigamon و ابزار بهینه ساز شبکه (Net tool optimizer) از Ixia است.
ضبط وآنالیز تاریخی
هنگامی که دادهها ضبط شدند میتوانند در همان لحظه آنالیز شوند یا ذخیره شده و بعداً آنالیز شوند. بسیاری از ابزارهای بازرسی عمیق بسته متکی بر بازرسی زمان واقعی دادهها هنگام عبور از شبکه هستند و از ضوابط شناخته شده برای آنالیز استفاده میکنند.
ابزارهای بازرسی عمیق بسته (DPI) تصمیمات زمان واقعی در بارهٔ کارهای مورد انجام بر روی بسته داده اتخاذ کرده، آنالیزهای تعیین شده را به اجراء گذاشته و بر روی نتایج کار میکنند. اگر بستهها بعد از ضبط شدن ذخیره نشوند، دور ریخته خواهند شد و محتویات واقعی بستهها دیگر در دسترس نیستند. ابزارهای ضبط و آنالیز کوتاه مدت، فقط وقتی که نشانههای تهدیدات از قبل شناخته شده باشند، نوعاً میتوانند تهدیدات را شناسایی کنند. با این وجود این ابزارها میتوانند به صورت زمان واقعی عمل کنند.
ضبط و آنالیز تاریخی تمام بستههای ضبط شده را بعد از این که داده کاملاً از شبکه رد شد، برای آنالیزهای بعدی نگه میدارد. همانگونه که بازرسی عمیق بسته و ابزارهای آنالیز هشدارها را بیان میکنند، سابقه تاریخی نیز میتواند مورد آنالیز قرار گیرد تا مفاهیم سیستم را برای کشف هشدارها بکار گیرد، و به سوالاتی مانند "چه چیز باعث شد به وضعیت هشدار برسیم؟ " پاسخ دهد.[2]
موارد استفاده
شناخت شکافهای امنیتی
آنالیز دادههای تاریخی که به وسیلهٔ ضبط عمیق بسته(DPC) ضبط شدهاند در تعیین کردن منابع ورود غیر مجاز کمک میکند.[3] DPC میتواند ترافیکی را که به سرورهای مشخص دسترسی دارند و دیگر سیستمها را ضبط کنند تا بتواند تاید کند که جریان ترافیک متعلق به کارکنان مجاز میباشد.[4] با این وجود این تکنیک نمیتواند مثل سیستم جلوگیری نفوذ عمل کند.
شناخت نشتی داده
آنالیز دادههای تاریخی به وسیلهٔ DPC به بازبینی محتوا و شناخت نشت داده و تعیین کردن منبع آن نیز کمک میکند.[5][6] آنالیز دادههای DPC همچنین میتواند آشکار سازد که چه فایلهایی از شبکه به خارج فرستاده شدهاند.[7]
رفع عیب شبکه
اگر اتفاق ناگواری بر روی شبکه تشخیص داده شود، دلیل یا منبع آن به صورت مطمئن تری میتواند شناخته شود اگر که مدیر شبکه دسترسی به دادههای کامل تاریخی داشته باشد. DPC میتواند تمام بستهها را بر روی پیوندهای مهم شبکه بهطور مستمر ضبط کند. وقتی رویدادی رخ میدهد مدیر شبکه میتواند دسترسی دقیق به شرایطی که پیرامون وقوع آن است داشته باشد، اقدام اصلاحی را انجام داده و مطمئن شود که مشکل دیگر روی نخواهد داد.[8] این به کاهش میانگین مدت زمان تعمیر کمک میکند.
جلوگیری قانونی
ضبط بسته میتواند برای عملی کردن تعهد صادره از آژانس اجرای قانون LEA مورد استفاده قرار گیرد تا تمام ترافیک شبکه تولید شده توسط فرد را ارائه دهد. ارائه دهندگان خدمات اینترنت (ISPs) و ارائه دهندگان صدا روی پروتکل اینترنت در ایالات متحده امریکا باید خود را با قانون CALEA (کمکهای ارتباطی برای اجرای قانون) انطباق دهند. DPC رکوردی از تمام فعالیتهای شبکه تهیه میکند. با استفاده از ضبط و ذخیره بستهها، عاملهای ارتباط از راه دور میتوانند امنیت مورد نیاز قانونی را برقرار سازند ودسترسی به ترافیک شبکه هدف را تفکیک کنند و میتوانند از یک دستگاه مشترک برای اهداف امنیت داخلی شبکه استفاده کنند. کاوشگران DPC میتوانند ضبط بدون تلفاتی از ترافیک مورد نظر داشته باشند بدون آنکه بر کارایی شبکه تأثیرگذار باشند.[9] با این وجود وسایل DPC ممکن است در تهیه زنجیره بازبینی مدارک، یا امنیت رضایت بخش برای استفاده در این کاربرد ناتوان باشند. جمعآوری داده از سیستم حامل بدون مجوز، به استناد قوانین مربوط به جلوگیری از دسترسی، غیرقانونی است.
تشخیص گمشدگی داده
در رخدادی که ورود بدون مجوز باعث دزدیده شدن اطلاعات (مثل شماره کارتهای اعتباری، شمارههای امنیت اجتماعی، اطلاعات پزشکی و...) میشود، مدیر شبکه میتواند دقیقاً مشخص کند چه اطلاعاتی دزدیده شدهاند و چه اطلاعاتی هنوز ایمن هستند. این امر میتواند برای ادعای قضایی هنگامی که شرکت کارت اعتباری درخواستی فریبآمیز از خرید غیر مجاز از کارت دریافت میکند، مفید واقع شود.
بررسی راه حلهای امنیتی
هنگامی که استخراج یا ورود غیر مجاز توسط DPC مشخص میشود مدیر سیستم ممکن است به حملهٔ انجام شده علیه سیستم برای جلوگیری از آن جواب دهد. این به مدیر کمک میکند تا بداند راه حل او نتیجه داده یا خیر.
مباحث قانونی
ضبط بسته برای تحقیقات قانونی نیز میتواند با استفاده از ابزارها و سیستمهای منبع باز به راحتی انجام شود. نمونهای از این ابزارها Free BSD و dumpcap هستند.[10][11]
کارایی مقایسهای
اگر کارایی ناگهان افت کند، دادههای تاریخی میتواند به مدیر این اجازه را بدهد تا پنجره زمانی مشخص را مشاهده و دلیل مشکلات کارآیی را شناسایی کند.[3]
جستارهای وابسته
- شبکه سیستمهای تشخیص نفوذ
- استراق سمع بسته
- آنالایزور منطق
- اتصالات شبکه
- Netwitness
- آشکار ساز شبکه
- pcap
- اسنورت
- مقایسه آنالیزورهای بسته
منابع
- «Press Release - Solera Networks and Bivio Networks announce product interoperability». Bivio Networks. ۲۰۰۷-۱۰-۰۷. بایگانیشده از اصلی در ۱ مه ۲۰۰۸. دریافتشده در ۲۰۰۸-۰۳-۱۵.
- (Business Wire) (۲۰۰۷-۱۲-۰۶). «Solera Networks Announces Advanced Deep Packet Inspection and Capture Solution for Full 10Gbps Speeds». رویترز. بایگانیشده از اصلی در ۱۲ نوامبر ۲۰۰۹. دریافتشده در ۲۰۰۷-۰۳-۱۳.
- Linda Musthaler (۲۰۰۷-۰۷-۱۶). «Rewind and replay what happens on your network». Network World. بایگانیشده از اصلی در ۲۱ فوریه ۲۰۱۲. دریافتشده در ۲۰۰۸-۰۳-۱۳.
- «Capture Appliances». Solera Networks. ۲۰۰۸. بایگانیشده از اصلی در ۸ دسامبر ۲۰۰۸. دریافتشده در ۲۰۰۸-۰۳-۱۵.
- Tom Bowers (۲۰۰۷-۰۲-۰۵). «Getting started with content monitoring». Network World. بایگانیشده از اصلی در ۱۵ اکتبر ۲۰۱۲. دریافتشده در ۲۰۰۸-۰۴-۰۱.
- Andrew Conry-Murray (۲۰۰۸-۱۲-۱۵). «Startup Of The Week: NetWitness Is Like TiVo For IT». Information Week. دریافتشده در ۲۰۰۸-۰۴-۰۱.
- Erik Hjelmvik (۲۰۰۸). «Passive Network Security Analysis with NetworkMiner». Forensic Focus. بایگانیشده از اصلی در ۲۳ فوریه ۲۰۱۲. دریافتشده در ۲۰۰۹-۰۸-۲۸.
- «Network Troubleshooting». Net Scout Systems, Inc. ۲۰۰۸. بایگانیشده از اصلی در ۱۹ ژوئن ۲۰۱۰. دریافتشده در ۲۰۰۸-۰۳-۱۵.
- «Application overview». Endace. ۲۰۰۷. بایگانیشده از اصلی در ۴ مارس ۲۰۰۸. دریافتشده در ۲۰۰۸-۰۳-۱۵.
- Paul Venezia (۲۰۰۳-۰۷-۱۱). «NetDetector captures intrusions». Infoworld. بایگانیشده از اصلی در ۵ اوت ۲۰۰۷. دریافتشده در ۲۰۰۸-۰۳-۱۵.
- «"Sniffing Tutorial part 2 - Dumping Network Traffic to Disk", NETRESEC Network Security Blog, 2011». بایگانیشده از اصلی در ۲۹ سپتامبر ۲۰۱۳. دریافتشده در ۲۶ نوامبر ۲۰۱۲.