ضبط بسته

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو

ضبط بسته (به انگلیسی: Packet Capture) عمل ضبط و تسخیر بسته‌های داده بر روی یک شبکه کامپیوتری می‌باشد. ضبط عمیق بسته (Deep Packet Capture) عملیات ضبط بسته در سرعت بالای شبکه، و ضبط بسته های آن شبکه به صورت کامل (سرآیند و بدنه) در شبکه‌ای با نرخ ترافیک بالا است.

هنگامی که بسته ضبط و ذخیره شد، چه در حافظه کوتاه مدت و یا حافظه بلند مدت، آنگاه ابزارهای نرم‌افزاری، عملیات بازرسی عمیق بسته را جهت بازبینی داده‌های بسته، انجام آنالیزهای قانونی برای کشف علت ریشه‌ای مشکلات شبکه، شناخت تهدیدات امنیتی و اطمینان از مطابقت ارتباطات بسته‌ها و استفاده از شبکه با سیاستهای مشخص شده را به اجرا می‌گذارند.

برخی از عملیات ضبط عمیق بسته می‌توانند با عملیات بازرسی عمیق آن همراه شوند و در نتیجه می‌توانند به مدیریت، بازبینی و آنالیز تمامی ترافیک شبکه به صورت زمان واقعی و همزمان نگهداری آرشیوی تاریخی از کل ترافیک شبکه برای آنالیزهای آینده بپردازند.[۱]

ضبط بسته جزئی می‌تواند سرآیند بسته‌ها را بدون قسمت داده‌های آن ضبط کند. این امر باعث کاهش فضای ذخیره سازی مورد نیاز می‌شود و از مشکلات قانونی جلو گیری می‌کند با این وجود باز هم دارای مقدار داده کافی جهت آشکار سازی اطلاعات ضروری مورد نیاز برای تشخیص مشکل می‌باشد.

فیلتر کردن[ویرایش]

ضبط بسته می‌تواند تمام داده‌های بسته یا قسمت فیلتر شده‌ای از جریان را ضبط کند.

ضبط کامل[ویرایش]

ضبط بسته امکان ضبط بسته داده را از لایه پیوند داده تا لایه‌های بالاتر (لایه‌های ۲ تا ۷)در مدل OSI را دارد. این ضبط شامل سرآیند و بدنه می‌باشد. سرآیند شامل اطلاعاتی درباره موارد موجود در بسته می‌باشد که به مانند آدرس و دیگر اطلاعات چاپ شده بر روی پاکت نامه است. قسمت بدنه شامل محتوای واقعی بسته است که در نتیجه مانند محتوای پاکت نامه می‌باشد. ضبط کامل در بر گیرنده تماتی بسته‌هایی است که از قسمتی از شبکه می‌گذرند، صرف نظر از مبدا، پروتکل ودیگر بیت‌های مشخص کننده داده در بسته.

ضبط کامل ضبطی بدون محدودیت، بدون فیلتر و خام از کل بسته‌های شبکه است و غالباً بوسیله ابزار ضبط بسته اجرا می‌شود.

ضبط فیلتر شده[ویرایش]

وسایل ضبط بسته این توانایی را دارند که ضبط بسته‌ها را بر اساس پروتکل، آدرس IP، آدرس MAC و... محدود کنند. با بکارگیری فیلترها، فقط بسته‌های کاملی که معیارهای فیلتر را (چه در قسمت سرایند و چه در قسمت بدنه) داشته باشند، ضبط شده، مورد توجه قرار گرفته و یا ذخیره می‌شوند.

نقاط ضبط چندگانه[ویرایش]

یک چالش در محیط مرکز داده این است که چند نقطه وجود داشته باشد که مورد توجه برای ضبط بسته‌ها جهت اهداف آنالیز می‌باشد. این نقاط شامل رابط‌های مسیر یاب‌ها، سوئیچ‌ها، دیواره‌های آتش، سرورها و دیگر تجهیزات شبکه می‌باشند. دو تکنیک معمول در این روش بصورت زیر هستند:

الف) تعریف اتصالات شبکه بر خط بوسیله رسانه‌های رابط (interface connection media) و یا
ب) گسترش ترافیک سوئیچ‌های شبکه به یک پورت آیینه‌ای آزاد.

هرکدام از این دو روش باعث دو برابر شدن بسته‌های شبکه بر روی رابط‌های آن می‌شوند که آماده‌اند تا ورودی ابزار بازبینی شبکه باشند. یک چالش در این جا این است که آنالیزهای چند گانه مجزا برای ابزارهای بازبینی مورد نیاز است در نتیجه شاید به تعداد کافی اتصال یا گسترش وجود نداشته باشد تا جوابگوی تمام نیازهای ما باشد. یک راه حل برای این مشکل این است که یک سوئیچ مشخص را تعریف کنیم که منابع چند گانه را در یافت می‌کند سپس آن‌ها را بصورت داخلی دو برابر کرده، فیلترها را اعمال وخروجی را به سمت ابزارهای بازبینی مورد نظر مسیر دهی می‌کند. نمونه‌هایی از این سوئیچ‌ها مانند سوئیچ آشکار شبکه (Network Visibility Fabric) از Gigamon و ابزار بهینه ساز شبکه (Net tool optimizer) از Ixia است.

ضبط وآنالیز تاریخی[ویرایش]

هنگامی که داده‌ها ضبط شدند می‌توانند در همان لحظه آنالیز شوند و یا ذخیره شده و بعداً آنالیز شوند. بسیاری از ابزارهای بازرسی عمیق بسته متکی بر بازرسی زمان واقعی داده‌ها هنگام عبور از شبکه هستند و از ضوابط شناخته شده برای آنالیز استفاده می‌کنند.

ابزارهای بازرسی عمیق بسته (DPI) تصمیمات زمان واقعی در بارهٔ کارهای مورد انجام بر روی بسته داده اتخاذ کرده، آنالیزهای تعیین شده را به اجراء گذاشته و بر روی نتایج کار می‌کنند. اگر بسته‌ها بعد از ضبط شدن ذخیره نشوند، دور ریخته خواهند شد و محتویات واقعی بسته‌ها دیگر در دسترس نیستند. ابزارهای ضبط و آنالیز کوتاه مدت، فقط وقتی که نشانه‌های تهدیدات از قبل شناخته شده باشند، نوعاً می‌توانند تهدیدات را شناسایی کنند. با این وجود این ابزارها می‌توانند به صورت زمان واقعی عمل کنند.

ضبط و آنالیز تاریخی تمام بسته‌های ضبط شده را بعد از این که داده کاملاً از شبکه رد شد، برای آنالیزهای بعدی نگه می‌دارد. همانگونه که بازرسی عمیق بسته و ابزارهای آنالیز هشدارها را بیان می‌کنند، سابقه تاریخی نیز می‌تواند مورد آنالیز قرار گیرد تا مفاهیم سیستم را برای کشف هشدارها بکار گیرد، و به سوالاتی مانند "چه چیز باعث شد به وضعیت هشدار برسیم؟ " پاسخ دهد.[۲]

موارد استفاده[ویرایش]

شناخت شکاف‌های امنیتی[ویرایش]

آنالیز داده‌های تاریخی که بوسیله ضبط عمیق بسته(DPC) ضبط شده‌اند در تعیین کردن منابع ورود غیر مجاز کمک می‌کند.[۳] DPC می‌تواند ترافیکی را که به سرورهای مشخص دسترسی دارند و دیگر سیستم‌ها را ضبط کنند تا بتواند تاید کند که جریان ترافیک متعلق به کارکنان مجاز می‌باشد.[۴] با این وجود این تکنیک نمی‌تواند مثل سیستم جلوگیری نفوذ عمل کند.

شناخت نشتی داده[ویرایش]

آنالیز داده‌های تاریخی بوسیله DPC به بازبینی محتوا و شناخت نشت داده و تعیین کردن منبع آن نیز کمک می‌کند.[۵][۶] آنالیز داده‌های DPC همچنین می‌تواند آشکار سازد که چه فایل‌هایی از شبکه به خارج فرستاده شده‌اند.[۷]

رفع عیب شبکه[ویرایش]

اگر اتفاق ناگواری بر روی شبکه تشخیص داده شود، دلیل یا منبع آن بصورت مطمئن تری می‌تواند شناخته شود اگر که مدیر شبکه دسترسی به داده‌های کامل تاریخی داشته باشد. DPC می‌تواند تمام بسته‌ها را بر روی پیوندهای مهم شبکه به طور مستمر ضبط کند. وقتی رویدادی رخ می‌دهد مدیر شبکه می‌تواند دسترسی دقیق به شرایطی که پیرامون وقوع آن است داشته باشد، اقدام اصلاحی را انجام داده و مطمئن شود که مشکل دیگر روی نخواهد داد.[۸]این به کاهش میانگین مدت زمان تعمیر کمک می‌کند.

جلوگیری قانونی[ویرایش]

ضبط بسته می‌تواند برای عملی کردن تعهد صادره از آژانس اجرای قانون LEA مورد استفاده قرار گیرد تا تمام ترافیک شبکه تولید شده توسط فرد را ارائه دهد. ارائه دهندگان خدمات اینترنت (ISPs) و ارائه دهندگان صدا روی پروتکل اینترنت در ایالات متحده امریکا باید خود را با قانون CALEA (کمک‌های ارتباطی برای اجرای قانون) انطباق دهند. DPC رکوردی از تمام فعالیت‌های شبکه تهیه می‌کند. با استفاده از ضبط و ذخیره بسته‌ها، عامل‌های ارتباط از راه دور می‌توانند امنیت مورد نیاز قانونی را برقرار سازند ودسترسی به ترافیک شبکه هدف را تفکیک کنند و می‌توانند از یک دستگاه مشترک برای اهداف امنیت داخلی شبکه استفاده کنند. کاوشگران DPC می‌توانند ضبط بدون تلفاتی از ترافیک مورد نظر داشته باشند بدون آنکه بر کارایی شبکه تاثیر گذار باشند.[۹] با این وجود وسایل DPC ممکن است در تهیه زنجیره بازبینی مدارک، یا امنیت رضایت بخش برای استفاده در این کاربرد ناتوان باشند. جمع آوری داده از سیستم حامل بدون مجوز، به استناد قوانین مربوط به جلوگیری از دسترسی، غیر قانونی است.

تشخیص گمشدگی داده[ویرایش]

در رخدادی که ورود بدون مجوز باعث دزدیده شدن اطلاعات (مثل شماره کارت‌های اعتباری، شماره‌های امنیت اجتماعی، اطلاعات پزشکی و...) می‌شود، مدیر شبکه می‌تواند دقیقاً مشخص کند چه اطلاعاتی دزدیده شده‌اند و چه اطلاعاتی هنوز ایمن هستند. این امر می‌تواند برای ادعای قضایی هنگامی که شرکت کارت اعتباری درخواستی فریب آمیز از خرید غیر مجاز از کارت دریافت می‌کند، مفید واقع شود.

بررسی راه حل‌های امنیتی[ویرایش]

هنگامی که استخراج و یا ورود غیر مجاز توسط DPC مشخص می‌شود مدیر سیستم ممکن است به حملهٔ انجام شده علیه سیستم برای جلوگیری از آن جواب دهد. این به مدیر کمک می‌کند تا بداند راه حل او نتیجه داده یا خیر.

مباحث قانونی[ویرایش]

ضبط بسته برای تحقیقات قانونی نیز می‌تواند با استفاده از ابزارها و سیستم‌های منبع باز براحتی انجام شود. نمونه‌ای از این ابزارها Free BSD و dumpcap هستند.[۱۰][۱۱]

کارایی مقایسه‌ای[ویرایش]

اگر کارایی ناگهان افت کند، داده‌های تاریخی می‌تواند به مدیر این اجازه را بدهد تا پنجره زمانی مشخص را مشاهده و دلیل مشکلات کارآیی را شناسایی کند.[۳]

جستارهای وابسته[ویرایش]

منابع[ویرایش]