Practical Packet Analysis

1. تحلیل بسته‌ها حقایق شبکه را آشکار می‌کند

تمام مشکلات شبکه از سطح بسته‌ها ناشی می‌شود، جایی که حتی زیباترین برنامه‌ها می‌توانند پیاده‌سازی‌های وحشتناک خود را فاش کنند و پروتکل‌های به ظاهر قابل اعتماد می‌توانند مخرب باشند.

فراتر از سطح. تحلیل بسته‌ها، یا "نشت‌گیری"، هنر ضبط و تفسیر داده‌های زنده شبکه برای درک آنچه واقعاً در حال وقوع است، می‌باشد. این مانند جعبه‌ابزار یک کارآگاه شبکه است که به شما اجازه می‌دهد تا از رابط‌های گمراه‌کننده عبور کرده و به حقیقت خام جریان داده‌ها دست یابید. این تکنیک برای درک ویژگی‌های شبکه، شناسایی مصرف‌کنندگان پهنای باند، تشخیص فعالیت‌های مخرب و یافتن برنامه‌های حجیم بسیار ارزشمند است.

ضروری برای عیب‌یابی. چه شما یک تکنسین شبکه، مدیر یا تحلیل‌گر امنیتی باشید، تحلیل بسته‌ها به شما قدرت می‌دهد تا مشکلات را با بررسی واحدهای بنیادی ارتباطات شبکه حل کنید. این امکان را به شما می‌دهد تا مشکلات اتصال، مشکلات DNS، سرعت‌های کند و عفونت‌های بدافزاری را شناسایی کنید. با درک زبان بسته‌ها، می‌توانید مشکلاتی را تشخیص و حل کنید که در غیر این صورت پنهان می‌ماند.

انتخاب ابزار مناسب. انتخاب یک نشت‌گیر بسته شامل در نظر گرفتن پروتکل‌های پشتیبانی‌شده، سهولت استفاده، هزینه، پشتیبانی برنامه و سازگاری با سیستم‌عامل است. در حالی که گزینه‌های تجاری گزارش‌های جذابی ارائه می‌دهند، ابزارهای رایگانی مانند Wireshark قابلیت‌های تحلیلی قوی را فراهم می‌کنند و توسط جوامع فعال پشتیبانی می‌شوند. کلید انتخاب ابزاری است که با تخصص شما و نیازهای خاص محیط شبکه‌تان مطابقت داشته باشد.

2. قرارگیری استراتژیک نشت‌گیر کلید است

چالش در قرارگیری نشت‌گیر این است که تنوع زیادی از سخت‌افزارهای شبکه برای اتصال دستگاه‌ها استفاده می‌شود.

دست‌یابی به سیم. تحلیل مؤثر بسته‌ها به قرارگیری استراتژیک نشت‌گیر شما بستگی دارد تا داده‌های مربوطه را ضبط کند. این فرآیند که به "نشت‌گیری شبکه" معروف است، نیاز به درک نحوه عملکرد دستگاه‌های مختلف شبکه—هاب‌ها، سوئیچ‌ها و روترها—در مدیریت ترافیک دارد. به سادگی وصل شدن به یک پورت تصادفی کافی نیست.

ناوبری در شبکه‌های سوئیچ‌شده. در محیط‌های سوئیچ‌شده، جایی که ترافیک فقط به گیرندگان مورد نظر هدایت می‌شود، شما به تکنیک‌هایی مانند آینه‌سازی پورت (کپی کردن ترافیک از یک پورت به پورت دیگر)، هاب کردن (تقسیم‌بندی دستگاه هدف با یک هاب)، استفاده از یک نشت‌گیر شبکه (یک دستگاه سخت‌افزاری برای قطع ترافیک) یا مسمومیت کش ARP (هدایت ترافیک با دستکاری جداول ARP) نیاز دارید. هر روش مزایا و معایب خاص خود را دارد که به دسترسی شما، قابلیت‌های سوئیچ و نیاز به پنهان‌کاری بستگی دارد.

محیط‌های مسیریابی. در محیط‌های مسیریابی، جایی که داده‌ها از چندین شبکه عبور می‌کنند، قرارگیری نشت‌گیر حتی بیشتر حیاتی می‌شود. شما ممکن است نیاز داشته باشید تا ترافیک را در هر دو طرف یک روتر تحلیل کنید تا تصویر کاملی به دست آورید. نقشه‌های شبکه برای تجسم شبکه و تعیین قرارگیری بهینه نشت‌گیر بسیار ارزشمند هستند.

3. Wireshark: ابزار تحلیلی ضروری شما

این پلتفرم تحلیلی بزرگ به خاطر فداکاری جرالد و صدها توسعه‌دهنده دیگر به چنین جایگاهی رسیده است.

قدرت تحلیل بسته‌ها. Wireshark یک تحلیل‌گر بسته رایگان و متن‌باز است که به استاندارد صنعتی تبدیل شده است. مزایای آن شامل پشتیبانی از دامنه وسیعی از پروتکل‌ها (بیش از 850)، رابط کاربری دوستانه و جامعه‌ای پرجنب‌وجوش است که پشتیبانی و به‌روزرسانی‌ها را فراهم می‌کند. Wireshark بر روی تمام سیستم‌عامل‌های اصلی اجرا می‌شود و ابزاری چندمنظوره برای هر حرفه‌ای در زمینه شبکه است.

ویژگی‌های کلیدی. پنجره اصلی Wireshark به سه بخش تقسیم می‌شود: لیست بسته‌ها (نمایش بسته‌های ضبط‌شده)، جزئیات بسته (نمایش اطلاعات سلسله‌مراتبی درباره یک بسته انتخاب‌شده) و بایت‌های بسته (نمایش داده‌های خام و پردازش‌نشده). گزینه‌های سفارشی‌سازی، مانند کدگذاری رنگی و فرمت‌های نمایش زمان، قابلیت استفاده را افزایش می‌دهند.

شروع کار. برای ضبط بسته‌ها، به Capture > Interfaces بروید، رابط مورد نظر را انتخاب کنید و روی Start کلیک کنید. Wireshark شروع به ضبط داده‌ها می‌کند که می‌توانید سپس با استفاده از ویژگی‌های مختلف آن را تحلیل کنید. درک پنجره اصلی و سفارشی‌سازی تنظیمات، مراحل اولیه ضروری برای تسلط بر Wireshark است.

4. فیلترها: ابزارهای دقیق برای انتخاب بسته‌ها

به سادگی بیان شود، یک فیلتر یک عبارت است که معیارهایی برای گنجاندن یا حذف بسته‌ها تعریف می‌کند.

دو نوع فیلتر. فیلترها برای تمرکز بر ترافیک خاص در یک ضبط ضروری هستند. فیلترهای ضبط، که در حین فرآیند ضبط اعمال می‌شوند، از نحو Berkeley Packet Filter (BPF) برای انتخاب فقط بسته‌های مورد نیاز شما استفاده می‌کنند و عملکرد را بهبود می‌بخشند. فیلترهای نمایش، که بر روی ضبط‌های موجود اعمال می‌شوند، به شما اجازه می‌دهند بسته‌های ناخواسته را پنهان کنید یا بسته‌های مورد نظر را بر اساس عبارات مشخص شده نمایش دهید.

نحو BPF. فیلترهای ضبط از نحو BPF استفاده می‌کنند که شامل ترکیب مشخصه‌ها (نوع، جهت، پروتکل) با شناسه‌ها (نام‌ها یا شماره‌ها) برای ایجاد عبارات است. عملگرهای منطقی (AND، OR، NOT) می‌توانند برای فیلتر کردن پیچیده‌تر ترکیب شوند. مثال‌ها شامل:

• host 172.16.16.149 (ترافیک مربوط به یک میزبان خاص را ضبط می‌کند)
• port 8080 (ترافیک روی پورت 8080 را ضبط می‌کند)
• icmp[0] == 3 (پیام‌های ICMP مقصد غیرقابل دسترس را ضبط می‌کند)

نحو فیلتر نمایش. فیلترهای نمایش از نحو متفاوتی استفاده می‌کنند که انعطاف‌پذیری بیشتری برای تحلیل داده‌های ضبط‌شده ارائه می‌دهد. عملگرهای مقایسه (==، !=، >، <، >=، <=) و عملگرهای منطقی (and، or، xor، not) می‌توانند برای ایجاد عبارات قدرتمند ترکیب شوند. مثال‌ها شامل:

• ip.addr==192.168.0.1 (بسته‌های با یک آدرس IP خاص را نمایش می‌دهد)
• frame.len <= 128 (بسته‌های کمتر از 128 بایت را نمایش می‌دهد)
• tcp.flags.syn==1 (بسته‌های TCP با پرچم SYN تنظیم شده را نمایش می‌دهد)

5. ویژگی‌های پیشرفته برای تحلیل عمیق

این فصل Wireshark را معرفی می‌کند.

نقاط انتهایی و مکالمات. پنجره نقاط انتهایی (Statistics > Endpoints) آمار مربوط به هر نقطه انتهایی شبکه، از جمله آدرس‌ها، بسته‌ها و بایت‌های ارسال‌شده/دریافت‌شده را نمایش می‌دهد. پنجره مکالمات (Statistics > Conversations) ارتباطات بین نقاط انتهایی را نشان می‌دهد که بر اساس پروتکل تقسیم‌بندی شده است. این پنجره‌ها برای شناسایی پرحرف‌ترین‌ها و عیب‌یابی مشکلات شبکه بسیار حیاتی هستند.

آمار توزیع پروتکل. پنجره آمار توزیع پروتکل (Statistics > Protocol Hierarchy) تجزیه و تحلیل توزیع پروتکل‌ها در یک فایل ضبط را فراهم می‌کند و به شما اجازه می‌دهد تا فعالیت شبکه را ارزیابی کرده و ناهنجاری‌ها را شناسایی کنید. این یک راه عالی برای به دست آوردن تصویری از نوع فعالیت‌های در حال وقوع در یک شبکه است.

حل نام. حل نام آدرس‌های الفبایی عددی را به نام‌های قابل شناسایی‌تر تبدیل می‌کند و فایل‌های ضبط را خواناتر می‌سازد. Wireshark از حل نام MAC، شبکه و حمل و نقل پشتیبانی می‌کند. با این حال، حل نام ممکن است شکست بخورد، ترافیک اضافی تولید کند و نیاز به پردازش اضافی داشته باشد.

6. پروتکل‌های لایه پایین: بنیاد ارتباطات

برای درک عملکرد IPv4، شما باید بدانید که ترافیک چگونه بین شبکه‌ها جریان می‌یابد.

ARP: حل آدرس‌های فیزیکی. پروتکل حل آدرس (ARP) آدرس‌های IP را به آدرس‌های MAC ترجمه می‌کند و امکان ارتباط در یک بخش شبکه محلی را فراهم می‌آورد. درخواست‌های ARP به صورت پخش برای یافتن آدرس MAC مرتبط با یک IP خاص ارسال می‌شوند، در حالی که پاسخ‌های ARP نقشه‌برداری را ارائه می‌دهند. بسته‌های ARP بی‌فایده کش‌های ARP را زمانی که آدرس‌های IP تغییر می‌کنند، به‌روزرسانی می‌کنند.

IP: مسیریابی داده‌ها بین شبکه‌ها. پروتکل اینترنت (IP) مسئول مسیریابی داده‌ها بین شبکه‌ها است. آدرس‌های IPv4 آدرس‌های 32 بیتی هستند که به صورت نوتیشن نقطه‌ای نوشته می‌شوند. بسته‌های IP شامل یک فیلد زمان برای زندگی (TTL) برای جلوگیری از حلقه‌های مسیریابی و یک چک‌سام هدر برای تشخیص خطا هستند.

TCP: تحویل داده‌های قابل اعتماد. پروتکل کنترل انتقال (TCP) حمل و نقل داده‌های قابل اعتماد و مبتنی بر اتصال را فراهم می‌کند. TCP از یک دست دادن سه‌طرفه (SYN، SYN/ACK، ACK) برای برقراری اتصالات و یک تخلیه چهارطرفه (FIN/ACK، ACK، FIN/ACK، ACK) برای پایان دادن به آن‌ها به‌طور مؤدبانه استفاده می‌کند. TCP همچنین از شماره‌های توالی، شماره‌های تأیید و یک مکانیزم پنجره لغزشی برای کنترل جریان و بازیابی خطا استفاده می‌کند.

7. پروتکل‌های لایه بالا: بینش‌های سطح برنامه

زیبایی کار با یک برنامه متن‌باز این است که اگر در مورد دلیل وقوع چیزی سردرگم هستید، می‌توانید به کد منبع نگاه کنید و دلیل دقیق آن را پیدا کنید.

DHCP: پیکربندی خودکار IP. پروتکل پیکربندی میزبان پویا (DHCP) به‌طور خودکار آدرس‌های IP و سایر پارامترهای شبکه را به مشتریان اختصاص می‌دهد. فرآیند DORA (کشف، پیشنهاد، درخواست، تأیید) برای به‌دست آوردن یک آدرس IP استفاده می‌شود. گزینه‌های DHCP اطلاعات پیکربندی اضافی، مانند آدرس‌های سرور DNS و دروازه پیش‌فرض را فراهم می‌کنند.

DNS: ترجمه نام‌ها به آدرس‌ها. سیستم نام دامنه (DNS) نام‌های دامنه (مانند www.google.com) را به آدرس‌های IP ترجمه می‌کند. درخواست‌های DNS به سرورهای DNS ارسال می‌شوند که با اطلاعات درخواست‌شده پاسخ می‌دهند. بازگشت DNS به سرورها اجازه می‌دهد تا به نمایندگی از مشتریان، سرورهای دیگر را پرس‌وجو کنند. انتقال‌های منطقه‌ای داده‌های DNS را بین سرورها تکثیر می‌کنند.

HTTP: تحویل محتوای وب. پروتکل انتقال ابرمتن (HTTP) برای تحویل محتوای وب استفاده می‌شود. HTTP از روش‌های درخواست (مانند GET، POST) برای تعامل با سرورهای وب استفاده می‌کند. کدهای پاسخ HTTP وضعیت درخواست‌ها را نشان می‌دهند. پیگیری جریان‌های TCP در Wireshark به شما اجازه می‌دهد تا مکالمات HTTP را به صورت خوانا مشاهده کنید.

8. سناریوهای واقعی پایه: عیب‌یابی در عمل

هیچ راهی بهتر از تجسم یک شبکه برای تعیین قرارگیری نشت‌گیر بسته شما وجود ندارد.

شبکه‌های اجتماعی در سطح بسته. تحلیل ترافیک از توییتر و فیسبوک رویکردهای مختلفی را در احراز هویت و پیام‌رسانی نشان می‌دهد. توییتر برای ورود از HTTPS استفاده می‌کند اما پیام‌های مستقیم را به صورت متن ساده ارسال می‌کند. فیسبوک نیز برای ورود از HTTPS و AJAX برای پیام‌رسانی استفاده می‌کند.

ضبط ترافیک ESPN.com. تحلیل ترافیک از ESPN.com نشان می‌دهد که چگونه یک صفحه وب واحد می‌تواند شامل چندین اتصال و پروتکل باشد. پنجره‌های مکالمات و آمار توزیع پروتکل بینش‌هایی در مورد توزیع ترافیک ارائه می‌دهند.

مشکلات واقعی. مشکلات رایج شبکه شامل عدم دسترسی به اینترنت به دلیل مشکلات پیکربندی، هدایت ناخواسته به دلیل ورودی‌های فایل میزبان و مشکلات بالادستی با سرورهای راه دور است. تحلیل بسته‌ها می‌تواند به شناسایی منبع این مشکلات کمک کند.

9. مبارزه با کندی شبکه: نقش TCP

ویژگی‌های بازیابی خطای TCP بهترین ابزارهای ما برای شناسایی، تشخیص و در نهایت تعمیر تأخیر بالا در یک شبکه هستند.

بازیابی خطای TCP. ویژگی‌های بازیابی خطای TCP برای تشخیص تأخیر شبکه ضروری هستند. TCP از بازفرست‌ها برای بازیابی از دست دادن بسته استفاده می‌کند، با زمان‌بندی بازفرست (RTO) که تعیین می‌کند چه زمانی بسته‌ها دوباره ارسال شوند. ACKهای تکراری سیگنال‌دهنده بسته‌های خارج از ترتیب هستند که بازفرست‌های سریع را تحریک می‌کنند.

کنترل جریان TCP. TCP از یک مکانیزم پنجره لغزشی برای جلوگیری از از دست دادن بسته استفاده می‌کند. پنجره دریافت، که توسط گیرنده داده تبلیغ می‌شود، جریان داده را کنترل می‌کند. تنظیم اندازه پنجره و استفاده از اعلان‌های پنجره صفر به مدیریت ازدحام کمک می‌کند.

شناسایی منابع تأخیر. تأخیر بالا می‌تواند ناشی از تأخیر سیم (دستگاه‌های شبکه)، تأخیر مشتری (پردازش مشتری) یا تأخیر سرور (پردازش سرور) باشد. تحلیل دست دادن TCP و بسته‌های داده اولیه می‌تواند به شناسایی منبع کمک کند.

10. تحلیل بسته‌ها امنیت شبکه را تقویت می‌کند

این کتاب به خدا، والدینم و هر کسی که هرگز به من ایمان داشته است، تقدیم می‌شود.

شناسایی. مهاجمان معمولاً با اسکن برای پورت‌های باز و خدمات در حال اجرا شروع می‌کنند. اسکن‌های TCP SYN یک تکنیک رایج برای شناسایی پورت‌های باز هستند. شناسایی سیستم‌عامل، هم به صورت غیرفعال و هم فعال، به مهاجمان کمک می‌کند تا سیستم‌عامل هدف را تعیین کنند.

استفاده. استفاده شامل بهره‌برداری از آسیب‌پذیری‌ها برای دسترسی به یک سیستم است. عملیات آروورا از یک آسیب‌پذیری Internet Explorer برای به‌دست آوردن کنترل از راه دور بر روی ماشین‌های هدف استفاده کرد. مسمومیت کش ARP می‌تواند ترافیک را برای حملات مرد میانی هدایت کند.

تروجان‌های دسترسی از راه دور. تروجان‌های دسترسی از راه دور (RATs) به مهاجمان اجازه می‌دهند تا به‌طور از راه دور بر روی ماشین‌های آسیب‌دیده مدیریت کنند. تحلیل ترافیک از RATها می‌تواند ساختارهای فرمان و تکنیک‌های استخراج داده را فاش کند.

11. شبکه‌های بی‌سیم: یک چشم‌انداز تحلیلی منحصر به فرد

این کتاب به لطف مشارکت‌های مستقیم و غیرمستقیم تعداد زیادی از افراد ممکن شد.

ملاحظات فیزیکی. تحلیل بسته‌های بی‌سیم با تحلیل‌های سیمی به دلیل طیف بی‌سیم مشترک متفاوت است. شما فقط می‌توانید یک کانال را در یک زمان نشت کنید و تداخل سیگنال بی‌سیم می‌تواند بر یکپارچگی داده تأثیر بگذارد. تحلیل‌گرهای طیف، مانند Wi-Spy متاژیک، می‌توانند به شناسایی تداخل کمک کنند.

حالت‌های کارت بی‌سیم. NICهای بی‌سیم در حالت‌های مختلفی عمل می‌کنند: مدیریت‌شده، ad hoc، مستر و مانیتور. حالت مانیتور برای ضبط بسته‌های بی‌سیم ضروری است. ابزارهایی مانند AirPcap محدودیت‌های ویندوز در ضبط بسته‌های بی‌سیم را برطرف می‌کنند.

ساختار بسته‌های 802.11. بسته‌های بی‌سیم شامل یک هدر 802.11 با اطلاعاتی درباره بسته و رسانه انتقال هستند. فیلترهای خاص بی‌سیم، مانند wlan.bssid و radiotap.channel.freq، به جداسازی ترافیک کمک می‌کنند. پروتکل‌های امنیتی بی‌سیم، مانند WEP و WPA، داده‌های منتقل‌شده در هوا را رمزگذاری می‌کنند.

آخرین به‌روزرسانی:: April 6, 2025