10 מנתחי מנות רשת למנהלי מערכות ומנתחי אבטחה

הרשת שלך היא עמוד השדרה של הפעילות העסקית שלך. וודא שאתה יודע מה קורה עמוק בתוכה.


במובנים רבים הנוף של עסקים דיגיטליים חווה מהפכה או שתיים. מה שהתחיל פשוט תסריטים של CGI שנכתב בפרל פרח כעת לפריסות מקובצות הפועלות אוטומטיות לחלוטין קונארנטס ומסגרות תזמורת אחרות (סליחה על הז’רגון הכבד – אני לא ממציאה את זה בכלל; זה בדיוק כמו שהדברים הם בימינו!).

אפליקציית אינטרנט מודרנית עם מיכלים, מופץ (מקור: medium.com)

אבל אני לא יכול שלא לחייך מהמחשבה שהיסודות עדיין זהים להיות בשנות השבעים.

כל מה שיש לנו זה הפשטות על הפשטות הנתמכות על ידי כבלים פיזיים וקשים המהווים את הרשת (אוקיי, יש רשתות וירטואליות זה בסדר, אבל אתה מבין את הרעיון). אם אנחנו רוצים להיות מפוארים, נוכל לחלק את הרשת לשכבות לפי הסעיף מודל OSI, אבל כולם אמרו ונעשו, אנחנו תמיד, תמיד מתעסקים פרוטוקולי TCP / IP (אזהרה, קריאה כבדה קדימה!), פינגים, נתבים שלכולם מטרה אחת משותפת – העברת חבילות נתונים.

אז מה זה מנות רשת?

לא משנה מה אנחנו עושים – צ’אטים, הזרמת וידאו, משחקים, גלישה, קניית דברים – זה בעצם חילופי מנות נתונים בין שני מחשבים (רשתות). “מנות” היא יחידת המידע הקטנה ביותר הזורמת ברשת (או בין רשתות), וישנה שיטה מוגדרת היטב לבנות ואימות מנות רשת (מעבר לתחום של מאמר זה, אבל אם אתה מרגיש הרפתקן, הנה יותר).

זרימת מנות ברשת (מקור: training.ukdw.ac.id)

במונחים פשוטים יותר, כל מנה מייצגת קישור בשרשרת והיא מועברת כראוי במקור ותוקפה ביעד. גם אם חבילה יחידה יוצאת או מזמינה, התהליך מושעה עד שהתקבלו כל המנות בסדר הנכון, ורק אז הם מורכבים כדי ליצור את הנתונים שהם ייצגו במקור (תמונה, למשל).

כעת, לאחר שאנו מבינים מהי רשת, נעשה להבין מה מנתח הרשת עושה. זה כלי שמאפשר לך להציץ למנות נפרדות ברשת שלך.

אבל מדוע תרצה לעבור לבעיה ההיא? בוא נדון בזה הבא.

מדוע עלינו לנתח מנות?

נראה שחבילות הן פחות או יותר אבני הבניין הבסיסיות בזרימת נתוני רשת, כמו אטומים הם הבסיס לכל החומר (כן, אני יודע, אלה אינם חלקיקי יסוד אמיתיים, אבל זה אנלוגיה מספיק טובה למטרות שלנו) . וכשמדובר בניתוח חומרים או גזים, אנחנו אף פעם לא טורחים מה עושה אטום אינדיבידואלי; אז למה לדאוג למנה רשת יחידה ברמה האישית? מה אנחנו יכולים לדעת חוץ ממה שאנחנו כבר יודעים?

קשה למכור את החשיבות של ניתוח ברמת מנות כשאתה לא ננשך מאחור לפני כן, אבל אני אנסה.

ניתוח מנות פירושו ללכלך את הידיים ולהושיט יד אל הצנרת כדי להבין משהו. באופן כללי, עליך לנתח מנות רשת כאשר כל השאר נכשל. בדרך כלל, זה כולל תרחישים לכאורה חסרי סיכוי כדלקמן:

  • אובדן בלתי מוסבר של נתונים סודיים למרות שום הפרה ניכרת
  • אבחון יישומים איטיים כאשר נראה כי אין הוכחות כלשהן
  • וודא שהמחשב / הרשת שלך לא נפגעו
  • להוכיח או להפריך כי תוקף אינו פיגי-גב מחוץ ל- WiFi שלך
  • להבין מדוע השרת שלך הוא צוואר הבקבוק למרות תנועה נמוכה

בסך הכל, ניתוח מנות נופל תחת סוגים מסוימים של ראיות. אם אתה יודע לבצע ניתוח מנות ולבצע תמונת מצב, אתה יכול לחסוך מעצמך מלהאשים בטעות פריצה או פשוט להאשים אותך כמפתח חסר יכולת או כמנהל מערכת..

הכל קשור למוח! (מקור: dailydot.com)

לגבי סיפור אמיתי, אני חושב שהתגובה הזו לפוסט בבלוג נמצאה כאן הוא יוצא דופן (משוכפל כאן למקרה):

אפליקציה קריטית לחברה שלי הציגה בעיות ביצועים, נפלה על פניה בפריסת לקוחות. זו הייתה אפליקציית תמחור מניות ששימשה בראש מפעלי טיקר בחברות פיננסיות ברחבי העולם. אם היה לך 401 (k) בסביבות שנת 2000, זה כנראה היה תלוי ביישום זה. ביצעתי ניתוח מהסוג שתיארת, במיוחד התנהגות TCP. הדגשתי את הבעיה כאילו היא ביישום TCP של ספק מערכת ההפעלה. התנהגות המטורפת הייתה שבכל פעם שערימת השולח נכנסה לבקרת גודש היא לא התאוששה מעולם. זה הביא לחלון שליחה קטן בקומיקס, לפעמים רק כמה כפולים של MSS.

זה לקח זמן מאבק עם מנהלי חשבונות ואנשים תומכי מפתחים אצל ספקית מערכת ההפעלה שלא הבינו את הבעיה, את ההסבר שלי, או שהבעיה * לא יכולה הייתה להיות * ביישום מכיוון שהיישום אינו יודע בוודאות מעצמות TCP. זה היה כמו לדבר אל קיר. התחלתי בכיכר אחת עם כל שיחת ועידה. בסופו של דבר ניגשתי לטלפון עם בחור שאצלו יכולתי לנהל דיון טוב. מסתבר שהוא הכניס את הרחבות RFC1323 לערימה! למחרת היה לי תיקון למערכת ההפעלה בידיי והמוצר עבד בצורה מושלמת מאותה נקודה קדימה.

היזם הסביר כי היה באג שגרם לקטגוריות שגויות של ACK * עם עומסי מטען * כ- DUPACK כאשר הערימה הייתה בבקרת גודש..

זה לעולם לא יקרה ביישומים דו-צדדייים למחצה כמו HTTP, אך היישום בו תומכתי שלח נתונים דו כיוונית על השקע בכל עת.

לא היה לי באותה עת המון תמיכה מההנהלה (המנהל שלי אפילו צעק עלי ש”תמיד רציתי להשתמש במריח “כדי לתקן בעיות), ואף אחד חוץ ממני לא הביט ביישום TCP של ספק מערכת ההפעלה כמקור. של הבעיה. ההיאבקות בתיקון מצד ספקית ההפעלה בעצמי הפכה את הניצחון הזה למתוק במיוחד, הרוויחה לי המון הון כדי לעשות את הדבר שלי והובילה לבעיות המעניינות ביותר שהופיעו על שולחני.

משגע!

למקרה שלא מתחשק לך לקרוא את לוח הטקסט הזה, או אם לא היה הגיוני בכך שהג’נטלמן הזה עמד בפני סוגיות ביצועים שנאשמו באפליקציה שלו וההנהלה, כצפוי, הלוותה אפס תמיכה. זה היה רק ​​ניתוח מנות מקיף שהוכיח שהבעיה לא נמצאת ביישום, אלא באופן ההתנהלות של מערכת ההפעלה בפרוטוקול הרשתות.!

התיקון לא היה כוונון ביישום, אלא תיקון של מפתחי מערכות ההפעלה! ��

ילד, אוי, ילד. . . ללא ניתוח ברמת מנות, איפה אתה חושב שהאדם הזה היה נמצא? כנראה שלא התפקיד שלו. אם זה לא ישכנע אתכם בחשיבות של ניתוח מנות (נקרא גם רחרוח מנות), אני לא יודע מה יהיה. ��

עכשיו שאתה יודע שניתוח מנות הוא מעצמת-על, יש לי חדשות טובות: לא הכל קשה לעשות זאת!

בזכות מנתחי מנות חזקים ועם זאת פשוטים לשימוש (מרחרחים), מידע רזה מניתוח ברמת מנות יכול להיות קל כמו לקרוא לוח מחוונים למכירות. עם זאת, תצטרך קצת יותר מאשר ידע ברמת השטח של המתרחש ברשת. אבל שוב, אין כאן שום מדע טילים, אין היגיון מעוות לשליטה – פשוט שכל ישר.

אם תתחיל לקרוא את התיעוד של אחד הכלים האלה כשאתה משתמש בהם ברשת שלך, בקרוב אתה תהיה מומחה. ��

Wireshark

Wireshark הוא פרויקט ישן (זה התחיל עוד בשנת 1998) שהוא פחות או יותר הסטנדרט בתעשייה בכל הקשור לצלילה עמוקה לרשתות. זה מרשים כשאתה מחשיב שמדובר בארגון מנוהל בהתנדבות, המגובה על ידי כמה ספונסרים נדיבים. Wireshark נותר קוד פתוח (לא ב- GitHub אך ניתן למצוא את הקוד כאן) ואפילו יש לו טכנולוגיה ועידה לשמה!

בין היכולות הרבות של Wireshark הם:

  • תמיכה במאות פרוטוקולי רשת.
  • ניתן להפעלה עם פורמטים רבים של קבצים (tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (דחוס ולא דחוס), Sniffer® Pro ו- NetXray® וכן הלאה).
  • הפעל כמעט בכל הפלטפורמות שם בחוץ (Linux, Windows, macOS, Solaris, FreeBSD, ועוד).
  • קריאת נתונים חיה מאתרנט, IEEE 802.11, PPP / HDLC, כספומט, Bluetooth, USB, טבעת אסימון, בין השאר.
  • פירוק gzip בתנועה.
  • המון פרוטוקולי פענוח נתמכים (WPA / WPA2, SNMPv3 וכו ‘)
  • ניתוח VoIP נרחב
  • כללי צביעה לסריקה חזותית מהירה יותר

עיין בקורס המקוון הפנטסטי הזה ל ללמד אותך לשלוט ב Wireshark.

tcpdump

אם יש לך בית ספר ישן (קרא ג’ונקי שורת פקודה הארדקור), tcpdump בשבילך.

זהו אחד מאותם כלי עזר ללינוקסים אייקוניים (כמו תלתל) שנשאר רלוונטי כתמיד, עד כדי כך שכמעט כל שאר כלי ה”הכי מפואר “בונים עליו. כמו שאמרתי קודם, אין סביבה גרפית, אלא הכלי יותר מאשר את זה.

אבל התקנתו יכולה להיות כאב; בעוד tcpdump מגיע עם מרבית ההפצות לינוקס המודרניות, אם זה לא שלך, בסופו של דבר תצטרך לבנות מהמקור.

פקודות tcpdump הן קצרות ופשוטות, שמטרתן לפתור בעיה מסוימת כגון:

  • הצגת כל הממשקים הזמינים
  • לכידת רק אחד מהממשקים
  • שמירת מנות שנתפסו לתיק
  • לכידת חבילות נכשלות בלבד

. . . וכן הלאה.

אם הצרכים שלך פשוטים ואתה צריך לבצע סריקה מהירה, tcpdump יכול להיות אפשרות מצוינת שיש לקחת בחשבון (במיוחד אם אתה מקליד tcpdump ומגלה שהוא כבר מותקן!).

NetworkMiner

קידום עצמו ככלי ניתוח לרשת משפטית (FNAT), NetworkMiner הוא אחד המנתחים הטובים ביותר ברמת המנה שתיתקל בהם. זהו כלי קוד פתוח שיכול לנתח רשת באופן פסיבי ומגיע עם ממשק GUI מרשים לניתוח שיכול להציג תמונות בודדות וקבצים אחרים שהועברו..

אבל זה לא הכל. NetworkMiner מגיע עם תכונות מצוינות אחרות כגון:

  • תמיכה ב- IPv6
  • ניתוח ניתוח קבצי PCAP
  • חלץ תעודות X.509 מתנועה מוצפנת SSL
  • Pcap-over-IP
  • עובד עם מספר סוגים של תנועה, כגון FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 וכו ‘..
  • טביעת אצבעות מערכת הפעלה
  • לוקליזציה IP של גיאוגרפי
  • תמיכה בסקריפטים של שורת הפקודה

שימו לב שחלק מהתכונות הללו זמינות בגרסה המסחרית.

כנר

בניגוד לרחרחים פסיביים אחרים ברשת, כנר זה משהו שיושב בין המכשיר שלך לעולם החיצון ומכאן דורש התקנה מסוימת (בגלל זה הם כינו אותו “כנר”? ��).

זהו כלי חינמי הניתן להתאמה אישית (באמצעות FiddlerScript) שיש לו היסטוריה ארוכה ומובחנת, כך שאם המטרה שלך היא לרחרח תנועת HTTP / HTTPS כמו בוס, כנר הוא הדרך ללכת.

אתה יכול לעשות הרבה עם כנר, במיוחד אם אתה במצב רוח לתור את הקפוצ’ון ההאקר:

  • מניפולציה בפגישה: העתק כותרות HTTP ונתוני הפעלה, ושנה אותם בכל דרך שתרצה.
  • בדיקות אבטחה: מאפשר לך לדמות התקפות של איש באמצע ומפענח את כל תנועת HTTPS עבורך.
  • בדיקת ביצועים: נתח זמני עומס (או תגובת API) של העמודים וראה איזה חלק מהתגובה הוא צוואר הבקבוק.

במקרה שאתה מרגיש אבוד, תיעוד הוא טוב מאוד ומומלץ מאוד.

WinDump

אם אתה מתגעגע לפשטות של tcpdump ורוצה להביא אותו למערכות Windows שלך, אומר שלום ל WinDump. לאחר ההתקנה, זה עובד משורת הפקודה על ידי הקלדת “tcpdump” באותה דרך שבה כלי השירות פועל במערכות לינוקס.

שים לב שאין שום דבר להתקין כשלעצמו; WinDump הוא בינארי שניתן להריץ אותו מייד בתנאי שמותקן בו יישום ספריית Pcap (npcap מומלץ מכיוון ש- winpcap כבר לא בפיתוח).

OmniPeek

עבור רשתות גדולות יותר שיש בהן טונות של מגה-בייט של נתונים הזורמים דרכן בכל שנייה, הכלים שכולם משתמשים עשויים להיגמר. אם אתה עומד בפני אותו דבר, OmniPeek יכול להיות שווה להסתכל.

זהו כלי ביצועים, ניתוחים וניתוחים פליליים לניתוח רשתות, במיוחד כאשר אתה זקוק הן ליכולות ברמה נמוכה, כמו גם למרכזי שליטה מקיפים..

מקור: sniffwifi.com

אם אתה ארגון גדול יותר שמחפש הצעה רצינית, ניתן לקבל ניסיון למשך 30 יום כאן.

קפסה

אם כל מה שאתה מודאג לגבי זה פלטפורמת Windows, קפסה הוא גם מתמודד רציני. הוא מגיע בשלוש גרסאות: בחינם, סטנדרטית וארגונית, לכל אחת יכולות שונות.

עם זאת, אפילו הגרסה החינמית תומכת בלמעלה מ- 300 פרוטוקולים ויש לה תכונות מעניינות כמו התראות (מופעלות כאשר מתקיימים תנאים מסוימים). ההצעה הסטנדרטית היא חריץ למעלה, תומכת בפרוטוקולים של 1000+ ומאפשרת לך לנתח שיחות ולשחזר זרמי מנות.

בסך הכל, אופציה סולידית למשתמשי Windows.

EtherApe

אם הדמיות חזקות וקוד פתוח הם הדברים שאחריה, EtherApe זו אפשרות נהדרת. אמנם בינארות שנבנו מראש זמינות עבור קומץ מחוזות לינוקס בלבד, אך המקור זמין (בשני SourceForge וגם ב- GitHub), כך שבנייתו לבד היא אופציה..

הנה מה שעושה את EtherApe לדעתי:

  • ניטור רב-צומת, עם קידוד צבע.
  • תמיכה בטון של פורמטים של מנות כגון ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN וכו ‘(למעשה, רבים, רבים, ועוד).
  • קרא נתונים בשידור חי מה”חוט “או מקובץ tcpdump.
  • תומך ברזולוציית שמות רגילה
  • החל מהגרסאות האחרונות, ה- GUI הועבר ל- GTK3, והתוצאה הייתה חוויה נעימה יותר.

CommView

אם אתה חנות בלעדית של Windows ותעריך את הנוחות של תמיכה בעדיפות, CommView מומלץ. זהו מנתח תנועה ברשת חזק עם תכונות מתקדמות כמו ניתוח VoIP, מעקב מרחוק וכו ‘, מובנה.

מה שהרשים אותי במיוחד הוא היכולת שלה לייצא נתונים לפורמטים המשמשים מספר פורמטים פתוחים וקנייניים, כמו Sniffer®, EtherPeek ™, AiroPeek ™, Observer®, NetMon, Wireshark / Tcpdump ו- Wireshark / pcapng, ואפילו dumpיות hex רגילות..

סייר Wifi

אחרון ברשימה הוא סייר Wifi, עם גרסה חינמית לחלונות וגירסת סטנדרט עבור חלונות ו- macOS. אם ניתוח רשת WiFi הוא כל מה שצריך (שזה פחות או יותר התקן בימינו), אז Wifi Explorer יקל על החיים.

זהו כלי מעוצב להפליא ועשיר בתכונות לחיתוך היישר ללב הרשת.

אזכור מכובד: זה יהיה שירות שונה לסגור את הפוסט הזה מבלי להזכיר מנתח רשת בלעדי macOS עליו מעדתי – סניץ ‘הקטן. יש בו חומת אש מובנית, כך שמגיע עם היתרון הנוסף של מאפשרת לך לשלוט באופן מיידי על כל התנועה בצורה מושלמת (מה שיכול להראות כאב, אך הוא רווח מסיבי בטווח הרחוק).

אם אתה מחפש לבנות קריירה בתחום הרשת והביטחון, בדוק כמה מהם הקורסים המקוונים הטובים ביותר כאן.

שום דבר בחיים אינו מושלם או שלם, וכך גם הרשימה הזו.

אני בטוח שיש המון מנתחי מנות חינמיים / מסחריים / בפיתוח מתחת לפיתוח שפספסתי. אם כן, אנא עזור לי לשפר את המאמר הזה עם התשומות שלך. ?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map