ضبط بسته

ضبط بسته (به انگلیسی: Packet Capture) عمل ضبط و تسخیر بسته‌های داده بر روی یک شبکه کامپیوتری می‌باشد. ضبط عمیق بسته (Deep Packet Capture) عملیات ضبط بسته در سرعت بالای شبکه، و ضبط بسته‌های آن شبکه به صورت کامل (سرآیند و بدنه) در شبکه‌ای با نرخ ترافیک بالا است.

هنگامی که بسته ضبط و ذخیره شد، چه در حافظه کوتاه مدت یا حافظه بلند مدت، آنگاه ابزارهای نرم‌افزاری، عملیات بازرسی عمیق بسته را جهت بازبینی داده‌های بسته، انجام آنالیزهای قانونی برای کشف علت ریشه‌ای مشکلات شبکه، شناخت تهدیدات امنیتی و اطمینان از مطابقت ارتباطات بسته‌ها و استفاده از شبکه با سیاست‌های مشخص شده را به اجرا می‌گذارند.

برخی از عملیات ضبط عمیق بسته می‌توانند با عملیات بازرسی عمیق آن همراه شوند و در نتیجه می‌توانند به مدیریت، بازبینی و آنالیز تمامی ترافیک شبکه به صورت زمان واقعی و هم‌زمان نگهداری آرشیوی تاریخی از کل ترافیک شبکه برای آنالیزهای آینده بپردازند.^[۱]

ضبط بسته جزئی می‌تواند سرآیند بسته‌ها را بدون قسمت داده‌های آن ضبط کند. این امر باعث کاهش فضای ذخیره‌سازی مورد نیاز می‌شود و از مشکلات قانونی جلوگیری می‌کند با این وجود باز هم دارای مقدار داده کافی جهت آشکارسازی اطلاعات ضروری مورد نیاز برای تشخیص مشکل می‌باشد.

فیلتر کردن ویرایش

ضبط بسته می‌تواند تمام داده‌های بسته یا قسمت فیلتر شده‌ای از جریان را ضبط کند.

ضبط کامل ویرایش

ضبط بسته امکان ضبط بسته داده را از لایه پیوند داده تا لایه‌های بالاتر (لایه‌های ۲ تا ۷)در مدل OSI را دارد. این ضبط شامل سرآیند و بدنه می‌باشد. سرآیند شامل اطلاعاتی دربارهٔ موارد موجود در بسته می‌باشد که به مانند آدرس و دیگر اطلاعات چاپ شده بر روی پاکت نامه است. قسمت بدنه شامل محتوای واقعی بسته است که در نتیجه مانند محتوای پاکت نامه می‌باشد. ضبط کامل در بر گیرنده تمامی بسته‌هایی است که از قسمتی از شبکه می‌گذرند، صرف نظر از مبدأ، پروتکل و دیگر بیت‌های مشخص‌کننده داده در بسته.

ضبط کامل ضبطی بدون محدودیت، بدون فیلتر و خام از کل بسته‌های شبکه است و غالباً به وسیلهٔ ابزار ضبط بسته اجرا می‌شود.

ضبط فیلتر شده ویرایش

وسایل ضبط بسته این توانایی را دارند که ضبط بسته‌ها را بر اساس پروتکل، آدرس IP، آدرس MAC و… محدود کنند. با بکارگیری فیلترها، فقط بسته‌های کاملی که معیارهای فیلتر را (چه در قسمت سرایند و چه در قسمت بدنه) داشته باشند، ضبط شده، مورد توجه قرار گرفته یا ذخیره می‌شوند.

نقاط ضبط چندگانه ویرایش

یک چالش در محیط مرکز داده این است که چند نقطه وجود داشته باشد که مورد توجه برای ضبط بسته‌ها جهت اهداف آنالیز می‌باشد. این نقاط شامل رابط‌های مسیر یاب‌ها، سوئیچ‌ها، دیواره‌های آتش، سرورها و دیگر تجهیزات شبکه می‌باشند. دو تکنیک معمول در این روش به صورت زیر هستند:

الف) تعریف اتصالات شبکه بر خط بوسیله رسانه‌های رابط (interface connection media) و یا

ب) گسترش ترافیک سوئیچ‌های شبکه به یک پورت آیینه‌ای آزاد.

هرکدام از این دو روش باعث دو برابر شدن بسته‌های شبکه بر روی رابط‌های آن می‌شوند که آماده‌اند تا ورودی ابزار بازبینی شبکه باشند. یک چالش در این‌جا این است که آنالیزهای چند گانه مجزا برای ابزارهای بازبینی مورد نیاز است در نتیجه شاید به تعداد کافی اتصال یا گسترش وجود نداشته باشد تا جوابگوی تمام نیازهای ما باشد. یک راه حل برای این مشکل این است که یک سوئیچ مشخص را تعریف کنیم که منابع چند گانه را در یافت می‌کند سپس آن‌ها را به صورت داخلی دو برابر کرده، فیلترها را اعمال وخروجی را به سمت ابزارهای بازبینی مورد نظر مسیر دهی می‌کند. نمونه‌هایی از این سوئیچ‌ها مانند سوئیچ آشکار شبکه (Network Visibility Fabric) از Gigamon و ابزار بهینه‌ساز شبکه (Net tool optimizer) از Ixia است.

ضبط وآنالیز تاریخی ویرایش

هنگامی که داده‌ها ضبط شدند می‌توانند در همان لحظه آنالیز شوند یا ذخیره شده و بعداً آنالیز شوند. بسیاری از ابزارهای بازرسی عمیق بسته متکی بر بازرسی زمان واقعی داده‌ها هنگام عبور از شبکه هستند و از ضوابط شناخته شده برای آنالیز استفاده می‌کنند.

ابزارهای بازرسی عمیق بسته (DPI) تصمیمات زمان واقعی در بارهٔ کارهای مورد انجام بر روی بسته داده اتخاذ کرده، آنالیزهای تعیین شده را به اجراء گذاشته و بر روی نتایج کار می‌کنند. اگر بسته‌ها بعد از ضبط شدن ذخیره نشوند، دور ریخته خواهند شد و محتویات واقعی بسته‌ها دیگر در دسترس نیستند. ابزارهای ضبط و آنالیز کوتاه مدت، فقط وقتی که نشانه‌های تهدیدات از قبل شناخته شده باشند، نوعاً می‌توانند تهدیدات را شناسایی کنند. با این وجود این ابزارها می‌توانند به صورت زمان واقعی عمل کنند.

ضبط و آنالیز تاریخی تمام بسته‌های ضبط شده را بعد از این که داده کاملاً از شبکه رد شد، برای آنالیزهای بعدی نگه می‌دارد. همانگونه که بازرسی عمیق بسته و ابزارهای آنالیز هشدارها را بیان می‌کنند، سابقه تاریخی نیز می‌تواند مورد آنالیز قرار گیرد تا مفاهیم سیستم را برای کشف هشدارها بکار گیرد، و به سوالاتی مانند "چه چیز باعث شد به وضعیت هشدار برسیم؟ " پاسخ دهد.^[۲]

موارد استفاده ویرایش

شناخت شکاف‌های امنیتی ویرایش

آنالیز داده‌های تاریخی که به وسیلهٔ ضبط عمیق بسته(DPC) ضبط شده‌اند در تعیین کردن منابع ورود غیرمجاز کمک می‌کند.^[۳] DPC می‌تواند ترافیکی را که به سرورهای مشخص دسترسی دارند و دیگر سیستم‌ها را ضبط کنند تا بتواند تاید کند که جریان ترافیک متعلق به کارکنان مجاز می‌باشد.^[۴] با این وجود این تکنیک نمی‌تواند مثل سیستم جلوگیری نفوذ عمل کند.

شناخت نشتی داده ویرایش

آنالیز داده‌های تاریخی به وسیلهٔ DPC به بازبینی محتوا و شناخت نشت داده و تعیین کردن منبع آن نیز کمک می‌کند.^[۵]^[۶] آنالیز داده‌های DPC همچنین می‌تواند آشکار سازد که چه فایل‌هایی از شبکه به خارج فرستاده شده‌اند.^[۷]

رفع عیب شبکه ویرایش

اگر اتفاق ناگواری بر روی شبکه تشخیص داده شود، دلیل یا منبع آن به صورت مطمئن تری می‌تواند شناخته شود اگر که مدیر شبکه دسترسی به داده‌های کامل تاریخی داشته باشد. DPC می‌تواند تمام بسته‌ها را بر روی پیوندهای مهم شبکه به‌طور مستمر ضبط کند. وقتی رویدادی رخ می‌دهد مدیر شبکه می‌تواند دسترسی دقیق به شرایطی که پیرامون وقوع آن است داشته باشد، اقدام اصلاحی را انجام داده و مطمئن شود که مشکل دیگر روی نخواهد داد.^[۸] این به کاهش میانگین مدت زمان تعمیر کمک می‌کند.

جلوگیری قانونی ویرایش

ضبط بسته می‌تواند برای عملی کردن تعهد صادره از آژانس اجرای قانون LEA مورد استفاده قرار گیرد تا تمام ترافیک شبکه تولید شده توسط فرد را ارائه دهد. ارائه دهندگان خدمات اینترنت (ISPs) و ارائه دهندگان صدا روی پروتکل اینترنت در ایالات متحده آمریکا باید خود را با قانون CALEA (کمک‌های ارتباطی برای اجرای قانون) انطباق دهند. DPC رکوردی از تمام فعالیت‌های شبکه تهیه می‌کند. با استفاده از ضبط و ذخیره بسته‌ها، عامل‌های ارتباط از راه دور می‌توانند امنیت مورد نیاز قانونی را برقرار سازند ودسترسی به ترافیک شبکه هدف را تفکیک کنند و می‌توانند از یک دستگاه مشترک برای اهداف امنیت داخلی شبکه استفاده کنند. کاوشگران DPC می‌توانند ضبط بدون تلفاتی از ترافیک مورد نظر داشته باشند بدون آنکه بر کارایی شبکه تأثیرگذار باشند.^[۹] با این وجود وسایل DPC ممکن است در تهیه زنجیره بازبینی مدارک، یا امنیت رضایت بخش برای استفاده در این کاربرد ناتوان باشند. جمع‌آوری داده از سیستم حامل بدون مجوز، به استناد قوانین مربوط به جلوگیری از دسترسی، غیرقانونی است.

تشخیص گمشدگی داده ویرایش

در رخدادی که ورود بدون مجوز باعث دزدیده شدن اطلاعات (مثل شماره کارت‌های اعتباری، شماره‌های امنیت اجتماعی، اطلاعات پزشکی و…) می‌شود، مدیر شبکه می‌تواند دقیقاً مشخص کند چه اطلاعاتی دزدیده شده‌اند و چه اطلاعاتی هنوز ایمن هستند. این امر می‌تواند برای ادعای قضایی هنگامی که شرکت کارت اعتباری درخواستی فریب‌آمیز از خرید غیرمجاز از کارت دریافت می‌کند، مفید واقع شود.

بررسی راه حل‌های امنیتی ویرایش

هنگامی که استخراج یا ورود غیرمجاز توسط DPC مشخص می‌شود مدیر سیستم ممکن است به حملهٔ انجام شده علیه سیستم برای جلوگیری از آن جواب دهد. این به مدیر کمک می‌کند تا بداند راه حل او نتیجه داده یا خیر.

مباحث قانونی ویرایش

ضبط بسته برای تحقیقات قانونی نیز می‌تواند با استفاده از ابزارها و سیستم‌های منبع باز به راحتی انجام شود. نمونه‌ای از این ابزارها Free BSD و dumpcap هستند.^[۱۰]^[۱۱]

کارایی مقایسه‌ای ویرایش

اگر کارایی ناگهان افت کند، داده‌های تاریخی می‌تواند به مدیر این اجازه را بدهد تا پنجره زمانی مشخص را مشاهده و دلیل مشکلات کارایی را شناسایی کند.^[۳]

جستارهای وابسته ویرایش

منابع ویرایش

↑ «Press Release - Solera Networks and Bivio Networks announce product interoperability». Bivio Networks. ۲۰۰۷-۱۰-۰۷. بایگانی‌شده از اصلی در ۱ مه ۲۰۰۸. دریافت‌شده در ۲۰۰۸-۰۳-۱۵.
↑ (Business Wire) (۲۰۰۷-۱۲-۰۶). «Solera Networks Announces Advanced Deep Packet Inspection and Capture Solution for Full 10Gbps Speeds». رویترز. بایگانی‌شده از اصلی در ۱۲ نوامبر ۲۰۰۹. دریافت‌شده در ۲۰۰۷-۰۳-۱۳.
↑ ^۳٫۰ ^۳٫۱ Linda Musthaler (۲۰۰۷-۰۷-۱۶). «Rewind and replay what happens on your network». Network World. بایگانی‌شده از اصلی در ۲۱ فوریه ۲۰۱۲. دریافت‌شده در ۲۰۰۸-۰۳-۱۳.
↑ «Capture Appliances». Solera Networks. ۲۰۰۸. بایگانی‌شده از اصلی در ۸ دسامبر ۲۰۰۸. دریافت‌شده در ۲۰۰۸-۰۳-۱۵.
↑ Tom Bowers (۲۰۰۷-۰۲-۰۵). «Getting started with content monitoring». Network World. بایگانی‌شده از اصلی در ۱۵ اکتبر ۲۰۱۲. دریافت‌شده در ۲۰۰۸-۰۴-۰۱.
↑ Andrew Conry-Murray (۲۰۰۸-۱۲-۱۵). «Startup Of The Week: NetWitness Is Like TiVo For IT». Information Week. بایگانی‌شده از اصلی در ۱۹ فوریه ۲۰۰۸. دریافت‌شده در ۲۰۰۸-۰۴-۰۱.
↑ Erik Hjelmvik (۲۰۰۸). «Passive Network Security Analysis with NetworkMiner». Forensic Focus. بایگانی‌شده از اصلی در ۲۳ فوریه ۲۰۱۲. دریافت‌شده در ۲۰۰۹-۰۸-۲۸.
↑ «Network Troubleshooting». Net Scout Systems, Inc. ۲۰۰۸. بایگانی‌شده از اصلی در ۱۹ ژوئن ۲۰۱۰. دریافت‌شده در ۲۰۰۸-۰۳-۱۵.
↑ «Application overview». Endace. ۲۰۰۷. بایگانی‌شده از اصلی در ۴ مارس ۲۰۰۸. دریافت‌شده در ۲۰۰۸-۰۳-۱۵.
↑ Paul Venezia (۲۰۰۳-۰۷-۱۱). «NetDetector captures intrusions». Infoworld. بایگانی‌شده از اصلی در ۵ اوت ۲۰۰۷. دریافت‌شده در ۲۰۰۸-۰۳-۱۵.
↑ «"Sniffing Tutorial part 2 - Dumping Network Traffic to Disk", NETRESEC Network Security Blog, 2011». بایگانی‌شده از اصلی در ۲۹ سپتامبر ۲۰۱۳. دریافت‌شده در ۲۶ نوامبر ۲۰۱۲.

[1] «Press Release - Solera Networks and Bivio Networks announce product interoperability». Bivio Networks. ۲۰۰۷-۱۰-۰۷. بایگانی‌شده از اصلی در ۱ مه ۲۰۰۸. دریافت‌شده در ۲۰۰۸-۰۳-۱۵.

[SoleraPR20071206-2] (Business Wire) (۲۰۰۷-۱۲-۰۶). «Solera Networks Announces Advanced Deep Packet Inspection and Capture Solution for Full 10Gbps Speeds». رویترز. بایگانی‌شده از اصلی در ۱۲ نوامبر ۲۰۰۹. دریافت‌شده در ۲۰۰۷-۰۳-۱۳.

[Musthaler20070716-3] ۳٫۰ ^۳٫۱ Linda Musthaler (۲۰۰۷-۰۷-۱۶). «Rewind and replay what happens on your network». Network World. بایگانی‌شده از اصلی در ۲۱ فوریه ۲۰۱۲. دریافت‌شده در ۲۰۰۸-۰۳-۱۳.

[SoleraCaptureAppliances-4] «Capture Appliances». Solera Networks. ۲۰۰۸. بایگانی‌شده از اصلی در ۸ دسامبر ۲۰۰۸. دریافت‌شده در ۲۰۰۸-۰۳-۱۵.

[5] Tom Bowers (۲۰۰۷-۰۲-۰۵). «Getting started with content monitoring». Network World. بایگانی‌شده از اصلی در ۱۵ اکتبر ۲۰۱۲. دریافت‌شده در ۲۰۰۸-۰۴-۰۱.

[6] Andrew Conry-Murray (۲۰۰۸-۱۲-۱۵). «Startup Of The Week: NetWitness Is Like TiVo For IT». Information Week. بایگانی‌شده از اصلی در ۱۹ فوریه ۲۰۰۸. دریافت‌شده در ۲۰۰۸-۰۴-۰۱.

[7] Erik Hjelmvik (۲۰۰۸). «Passive Network Security Analysis with NetworkMiner». Forensic Focus. بایگانی‌شده از اصلی در ۲۳ فوریه ۲۰۱۲. دریافت‌شده در ۲۰۰۹-۰۸-۲۸.

[8] «Network Troubleshooting». Net Scout Systems, Inc. ۲۰۰۸. بایگانی‌شده از اصلی در ۱۹ ژوئن ۲۰۱۰. دریافت‌شده در ۲۰۰۸-۰۳-۱۵.

[EndaceAppOverview-9] «Application overview». Endace. ۲۰۰۷. بایگانی‌شده از اصلی در ۴ مارس ۲۰۰۸. دریافت‌شده در ۲۰۰۸-۰۳-۱۵.

[10] Paul Venezia (۲۰۰۳-۰۷-۱۱). «NetDetector captures intrusions». Infoworld. بایگانی‌شده از اصلی در ۵ اوت ۲۰۰۷. دریافت‌شده در ۲۰۰۸-۰۳-۱۵.

[11] «"Sniffing Tutorial part 2 - Dumping Network Traffic to Disk", NETRESEC Network Security Blog, 2011». بایگانی‌شده از اصلی در ۲۹ سپتامبر ۲۰۱۳. دریافت‌شده در ۲۶ نوامبر ۲۰۱۲.

[۱]

[۲]

[۳]

[۴]

[۵]

[۶]

[۷]

[۸]

[۹]

[۱۰]

[۱۱]