اسکنرها چه قابلیت‌هایی دارند؟

روی شبکه‌های برودکست سیمی، وابسته به ساختار شبکه (سوییچ) یک نفر می‌تواند ترافیک روی همه یا فقط قسمت‌هایی از شبکه را از طریق یک ماشین در شبکه دریافت کند. اگرچه روش‌هایی وجود دارد که سوییچ‌ها از دستیابی به ترافیک شبکه از طریق سیستم‌های دیگر جلوگیری می‌کنند. برای مانیتور کردن شبکه (network monitoring) ممکن است مانیتور کردن همه بسته‌های داده در یک LAN با استفاده از یک سوییچ شبکه که مانیتور کردن پورت (monitoring port) نامیده می‌شود مناسب باشد. هدف از مانیتور کردن پورت انعکاس همه بسته‌های در حال عبور از همه پورت‌های سوییچ در مواقعی است که سیستم‌ها (کامپیوترها) به یک پورت سوییچ متصل هستند. برای این منظور یک network tap نسبت به استفاده از مانیتور کردن پورت مناسب تر است. چون tapها احتمالاً کم تر بسته‌ها را در طول ترافیک بالا drop می‌کنند. روی شبکه‌های محلی بی سیم یک فرد می‌تواند ترافیک روی یک کانال خاص یا چند کانال را با استفاده از چند آداپتور بگیرد(capture). روی شبکه‌های محلی برودکست سیمی و شبکه‌های محلی بی سیم برای ضبط ترافیک، ترافیک تک پخشی(unicast) به ماشینی که در حال اجرای نرم‌افزار اسنیفر است فرستاده می‌شود. ترافیک چندپخشی (multicast) به یک گروه چندپخشی که ماشینی از آن در حال شنود است فرستاده می‌شود. و برای ترافیک پخشی (broadcast) از آداپتور شبکه استفاده می‌شود که برای ضبط ترافیک باید در مد promiscuous گذاشته شود که بعضی از اسنیفرها آن را پشتیبانی می‌کنند و بعضی‌ها هم پشتیبانی نمی‌کنند. روی شبکه‌های محلی بی سیم حتی اگر آداپتور در مد promiscuous هست، بسته‌ها نه برای مجموعه سرویس بلکه برای این که این آداپتور پیکربندی شود معمولاً نادیده گرفته خواهند شد. برای دیدن بسته‌های آن‌ها آداپتور باید در حات نظارت باشد. اطلاعات ضبط شده از نوع دیجیتال خام به فرمتی که برای انسان قابل خواندن باشد رمزگشایی می‌شوند تا کاربران آنالیزور پروتکل به آسانی اطلاعات مبادله شده را تجدید نظر کنند. آنالیزورهای پروتکل قابلیت‌های خود را تغییر می‌دهند تا داده را در چندین نما نشان دهند، به‌طور خودکار خطاها را تشخیص دهد، ریشه خطاها را تعیین کند، دیاگرام‌های زمانی را تولید کند جریان‌های داده TCP و UDP را دوباره ایجاد کند و غیره بعضی از آنالیزورهای پروتکل همچنین می‌توانند ترافیک را تولید کنند و به عنوان وسیله مرجع عمل کنند. این‌ها می‌توانند به عنوان آزمایش‌کننده پروتکل عمل کنند. آزمایش‌کننده‌ها ترافیک صحیح پروتکل را برای آزمایش تولید می‌کنند و ممکن است همچنین این توانایی را داشته باشند که خطاهای آزمون را نشان دهند. آنالیزورهای پروتکل همچنین می‌توانند براساس سخت افزار باشند یا در فرمت probe یا به‌طور معمولی تر با یک آرایه دیسک ترکیب می‌شوند. این وسیله‌ها بسته‌ها را روی آرایه دیسک ضبط می‌کنند. این کار اجازه تحلیل بسته‌ها را می‌دهد بدون این که کاربران مجبور باشند هر خطایی را دوباره ایجاد کنند.

اسکنرها به چه منظورهایی استفاده می‌شوند؟

اسکنرها برای کاربردهای مختلفی استفاده می‌شوند که از آن جمله باید به تحلیل مسائل شبکه، تشخیص تصادم شبکه، تشخیص سوء استفاده شبکه به وسیله کاربران داخلی و خارجی، مستندسازی حوادثی که در زمان‌های متوالی اتفاق می‌افتد(log) و ترافیک نقطه پایانی(endpoint)، به‌دست آوردن اطلاعاتی درباره تأثیر یک تصادم شبکه، مجزا کردن سیستم‌های راه‌اندازی شده، نشان دادن میزان استفاده از پهنای باند WAN، نشان دادن میزان استفاده شبکه، نشان دادن داده در حال حرکت، نشان دادن وضعیت WAN و امنیت نقطه پایانی، جمع آوری کردن و گزارش دادن آمار شبکه، فیلتر کردن محتوی مشکوک از ترافیک شبکه، بکار رفتن به عنوان مبدأ داده اصلی برای مانیتور کردن روزانه شبکه و مدیریت شبکه، رصد فعالیت کاربران شبکه‌های، از کار انداختن پروتکل‌های اختصاصی استفاده شده روی شبکه، اشکال‌زدایی کردن ارتباطات کلاینت سرور، اشکال زدایی پیاده سازی‌های پروتکل شبکه، بازبینی کردن حرکت‌ها و تغییرات و بازبینی کارایی سیستم کنترل داخلی اشاره کرد. از پویشگرهای مهمی که این روزها استفاده می‌شود باید به تی‌سی‌پی دامپ و اشاره کرد.

پویشگرها چه خدمتی به کارشناسان شبکه می‌کنند؟

با توجه به این‌که پویشگرها با هدف ضبط بسته‌ها استفاده می‌شوند اطلاعات دقیقی در اختیار کارشناسان شبکه قرار می‌دهند. از جمله این خدمات مهمی که پویشگرها ارائه می‌کنند به موارد زیر باید اشاره کرد:

شناسایی شکاف‌های امنیتی

تحلیل داده‌های تاریخی که به وسیله ضبط عمیق بسته (DPC) ضبط شده‌اند در تعیین کردن منابع ورود غیر مجاز کمک می‌کند. DPC می‌تواند ترافیکی را که به سرورهای مشخص دسترسی دارند و دیگر سیستم‌ها را ضبط کنند تا بتواند تاید کند که جریان ترافیک متعلق به کارکنان مجاز است. با این وجود این تکنیک نمی‌تواند مثل سیستم جلوگیری نفوذ عمل کند.

شناخت نشتی داده

آنالیز داده‌های تاریخی به وسیله DPC به بازبینی محتوا و شناخت نشت داده و تعیین کردن منبع آن نیز کمک می‌کند. آنالیز داده‌های DPC همچنین می‌تواند آشکار سازد که چه فایل‌هایی از شبکه به خارج فرستاده شده‌اند.

رفع عیب شبکه

اگر اتفاق ناگواری بر روی شبکه تشخیص داده شود، دلیل یا منبع آن به صورت مطمئن تری می‌تواند شناخته شود اگر که مدیر شبکه دسترسی به داده‌های کامل تاریخی داشته باشد. DPC می‌تواند تمام بسته‌ها را بر روی پیوندهای مهم شبکه به‌طور مستمر ضبط کند. وقتی رویدادی رخ می‌دهد مدیر شبکه می‌تواند دسترسی دقیق به شرایطی که پیرامون وقوع آن است داشته باشد، اقدام اصلاحی را انجام داده و مطمئن شود که مشکل دیگر روی نخواهد داد. این به کاهش میانگین مدت زمان تعمیر کمک می‌کند.

جلوگیری قانونی

ضبط بسته می‌تواند برای عملی کردن تعهد صادره از آژانس اجرای قانون LEA مورد استفاده قرار گیرد تا تمام ترافیک شبکه تولید شده توسط فرد را ارائه دهد. ارائه دهندگان خدمات اینترنت (ISPs) و ارائه دهندگان صدا روی پروتکل اینترنت در برخی کشورها باید خود را با قوانین هماهنگ کنند. DPC رکوردی از تمام فعالیت‌های شبکه تهیه می‌کند. با استفاده از ضبط و ذخیره بسته‌ها، عامل‌های ارتباط از راه دور می‌توانند امنیت مورد نیاز قانونی را برقرار سازند و دسترسی به ترافیک شبکه هدف را تفکیک کنند و می‌توانند از یک دستگاه مشترک برای اهداف امنیت داخلی شبکه استفاده کنند. کاوشگران DPC می‌توانند ضبط بدون تلفاتی از ترافیک مورد نظر داشته باشند بدون آنکه بر کارایی شبکه تأثیرگذار باشند. با این وجود وسایل DPC ممکن است در تهیه زنجیره بازبینی مدارک، یا امنیت رضایت بخش برای استفاده در این کاربرد ناتوان باشند. جمع‌آوری داده از سیستم حامل بدون مجوز، به استناد قوانین مربوط به جلوگیری از دسترسی، غیرقانونی است.

تشخیص گمشدگی داده

در رخدادی که ورود بدون مجوز باعث دزدیده شدن اطلاعات (مثل شماره کارت‌های اعتباری، شماره‌های امنیت اجتماعی، اطلاعات پزشکی و…) می‌شود، مدیر شبکه می‌تواند دقیقاً مشخص کند چه اطلاعاتی دزدیده شده‌اند و چه اطلاعاتی هنوز ایمن هستند. این امر می‌تواند برای ادعای قضایی هنگامی که شرکت کارت اعتباری درخواستی فریب‌آمیز از خرید غیر مجاز از کارت دریافت می‌کند، مفید واقع شود.

بررسی راه حل‌های امنیتی

هنگامی که استخراج یا ورود غیر مجاز توسط DPC مشخص می‌شود مدیر سیستم ممکن است به حملهٔ انجام شده علیه سیستم برای جلوگیری از آن جواب دهد. این به مدیر کمک می‌کند تا بداند راه حل او نتیجه داده یا خیر.

مباحث قانونی

ضبط بسته برای تحقیقات قانونی نیز می‌تواند با استفاده از ابزارها و سیستم‌های منبع باز به راحتی انجام شود. نمونه‌ای از این ابزارها Free BSD و dumpcap هستند.

کارایی مقایسه‌ای

اگر کارایی ناگهان افت کند، داده‌های تاریخی می‌تواند به مدیر این اجازه را بدهد تا پنجره زمانی مشخص را مشاهده و دلیل مشکلات کارآیی را شناسایی کند.

منبع : شبکه