أهلا، هذه المقالة الأولى من سلسلة مقالات Packet Analysis (تحليل حزم البيانات المارة بالشبكات)

عناصر المقالة

• المقدمة.

• آليات التقاط حزم البيانات.

• طبقات tcp/ip.

• التحديات الي تواجه Packet Analysis.

المقدمة

عملية تحليل الشبكات يمكن تقسيمها على مرحلتين، المرحلة الأولى مرحلة التقاط الحزم والبيانات والمرحلة الثانيه مرحلة التحليل ويمكن تعريف المرحلة الثانية بأنها التمكن من قراءة Packet Traffic (حزم البيانات المارة بالشبكات)، ومعرفة تفاصيلها لأسباب أمنية بالنسبة لمختصين أمن المعلومات أو إختبار وضع الشبكة وأدائها ب النسبة لمختصين الشبكات.
من خلال قراءة وتحليل حزم البيانات من الممكن التعرف على الآتي:

1. أداء الشبكة.

2. إكتشاف الهجمات التي قد تحدث ب الشبكة.

3. إكتشاف البرمجيات الضارة.

4. معرفة ما الذي يحدث ب التحديد.

5. حل المشاكل.

.... وغيره الكثير، مهارة تحليل الشبكات من المهارات الأساسية والمهمة لدى كل محلل، في مقالنا اليوم سوف نتطرق لأهم النقاط التي يجب معرفتها حتى تصبح عملية التحليل عملية سهلة و واضحة.

آليات التقاط حزم البيانات

عملية التقاط حزم البيانات أو ما يسمى ب Packet Capture هي المرحلة الأولى في العملية، والتي من خلالها نقوم بتسجيل وحفظ هذه الحزم المارة ب الشبكة حتى نقوم بقرائتها وتحليلها لاحقاً، يمكننا القيام بهذه الخطوة بعدة آليات TAP أو SPAN

SPAN / Switched Port Analyzer

ويسمى أيضاً Port Mirroring ويمكن التعبير عنها بأنها آلية او Method يتم تفعليها ب Switch لنسخ البيانات وإرسالها ل الجهاز اخر لتحليلها.

الإيجابيات:

1. سهولة تفعليها في Switch ولا يتطلب إستخدام أي جهاز أخر.

2. التحكم في العملية كاملة عن بعد (Remotely)

3. .تكلفة منخفضة

السلبيات:

1. لن يتم نسخ وتسجيل كافة البيانات المرسلة ب الشبكة فقد تضيع بعض هذه الحزم اثناء الإرسال.

TAP / Terminal Access Point

جهاز Hardware يقوم بنسخ البيانات والحزم كاملةً التي تتناقل من جهاز لأخر.

الإيجابيات:

1. نسخ كافة البيانات المرسلة من وإلى الشبكة حسب المكان التي تم وضع TAP فيه.

2. لن يكون هناك ضياع للحزم المرسلة.

السلبيات:

1. تكلفة أعلى حيث يتطلب وجود جهاز TAP.

طبقات tcp/ip

 كما هو معلوم عملية تبادل ونقل البيانات ب الشبكات تتم عن طريق مجموعة من البروتوكلات والتي بدورها تقوم بترجمة الرسائل والبيانات حتى يتم نقلها من جهاز لأخر بالشكل المطلوب لكل برتوكول من هذه البروتوكلات هدف وآليه عمل مختلفة عن الأخر، تجتمع هذه البروتوكلات فيما يسمى TCP/IP Model وكما هو موضح بالصورة أعلاة ال tcp/ip تحتوي على أربع طبقات كل طبقة تحتوي على مجموعة من هذه البروتوكلات، وأود التنبيه هنا بأن هذه المقالة ليست مخصصة لشرح الشبكات لذا من الجيد جدا ان يكون لدى القاريء معرفة جيدة بها ولكن في هذا القسم سوف نتحدث قليلاً عن هذه الطبقات وكيف نراها في أدوات التحليل وماهي المعلومات التي نبحث عنها في كل طبقة, وخصوصا أن بعض أدوات التحليل مثل Wireshark و netsniff-ng تقوم بإستعراض النتائج بطريقة مرتبه حسب هذه الطبقات، فمثلا:

• الطبقة الأولى Network Access/Link Layer عند التحليل نجد معلومات عنوان Hardware أو ما يسمى ب MAC Address

• الطبقة الثانية Internet Layer عادة ما نبحث عن عنوان برتوكول الإنترنت للمرسل والمستقبل IP Address او معلومات برتوكول ICMP أؤ ARP حسب طبيعة الإرسال.

• الطبقة الثالثة Transport Layer نجد معلومات تخص البرتوكول المستخدم في الإرسال هل هو TCP أو UDP ورقم port،

• اما بالنسبة للطبقة الأخيرة Application Layer وهي الطبقة الأقرب للمستخدم وهنا نجد نوع التطبيق المستخدم في الإرسال هل تم الارسال عن طريق استخدام HTTP مثلاً أو SNMP .. وغيرها.

التحديات

عملية Packet Capture قد تكون من أهم الآليات التي تساعد على رؤية كل ما يحدث بالشبكة ب التفصيل والمساعدة على تحليل واكتشاف او اصطياد الهجمات بالشبكة الى انه ورغم ذلك فأن هناك تحديات قد تواجه هذه العملية وهي كالآتي:

1. الخصوصية Privacy
لا يسمح بعملية Packet Capture في بعض الدول والمؤوسسات فبعضها تمنع ذلك تماما بالتالي قد يواجه مختصوا تحليل الشبكات مشكلة في التحليل.

2. التخزين Storage

عند البدء ب Packet Capture سوف يتم تخزين آلاف الحزم والبيانات في الدقيقة الواحدة مما يجعل عمليه التخزين عملية صعبة لذلك لن تقوم المؤسسات بالقيام بهذه العملية طيلة الوقت، بل في فترات محدودة ومعينه، مثلاً عند حدوث حادثة ما او مشكلة معينه.

3. تعقيد بناء الشبكة Complexity
قلة الوعي لدى بعض الموسسات في بناء الشبكة الخاصة أو حتى تعقيد بناء الشبكة ب إختلاف أحجامها وطريقة تقسيمها مشكلة قد يعاني منها المحلل فإذا كان تركيب الشبكة خاطئ او عشوائي وغير منظم أو معقد فستكون العملية صعبة أيضاً على المحلل فعند الحاجة لقيام بعملية Packet Capture من أين يبدأ وأين المكان المناسب لوضع sensors هل سيتم تغطية كل الحزم بكافة الأجهزة ب الشبكة ؟ وهكذا.

ختاماً

في الختام يجب التنويه على ان القيام بعملية التقاط الحزم بالشبكة لابد أن يتم بشكل قانوني اذ انه لا يحق لأحد القيام بهذا العمليه بدون اذن صاحب الشبكة او الشركة او المؤسسة المسؤوله عن هذه الشبكة، وقد يحق لهم القيام ب المسألة القانونية اذ تم ذلك بغير إذن منهم.