ความปลอดภัยของเครือข่ายเป็นหนึ่งในประเด็นหลักเมื่อสร้างหรือตรวจสอบเครือข่าย ผู้ดูแลระบบเครือข่ายดำเนินการสุ่มตรวจสอบการรับส่งข้อมูลเครือข่ายโดยรวบรวมข้อมูลเครือข่ายและวิเคราะห์แพ็กเก็ตที่ส่งจากโฮสต์หนึ่งไปยังอีกโฮสต์หนึ่ง ในบทความนี้ เราจะพูดถึงวิธีการบันทึกและวิเคราะห์ปริมาณการใช้งานเครือข่ายโดยใช้เครื่องมือ NetworkMiner แต่จะไม่ดำเนินต่อไปจนกว่าจะได้บทเรียนสั้นๆ เกี่ยวกับการดมกลิ่นแพ็กเก็ต
ความแตกต่างระหว่างการดมกลิ่นแบบแอคทีฟและพาสซีฟ
การดมกลิ่นเป็นเทคนิคในการรวบรวมข้อมูลเครือข่ายผ่านการจับแพ็กเก็ตเครือข่าย การดมกลิ่นมีสองประเภท - การดมกลิ่นแบบแอคทีฟและการดมกลิ่นแบบพาสซีฟ ในการดมกลิ่นที่ใช้งานอยู่ ซอฟต์แวร์การดมกลิ่นแพ็กเก็ตจะส่งคำขอผ่านเครือข่าย จากนั้นในการตอบสนองจะคำนวณแพ็กเก็ตที่ส่งผ่านเครือข่าย
การดมกลิ่นแบบพาสซีฟไม่ได้ขึ้นอยู่กับการส่งคำขอ เทคนิคนี้จะสแกนการรับส่งข้อมูลเครือข่ายโดยไม่ถูกตรวจพบบนเครือข่าย อาจมีประโยชน์ในสถานที่ที่เครือข่ายใช้ระบบที่สำคัญ เช่น การควบคุมกระบวนการ ระบบเรดาร์ อุปกรณ์ทางการแพทย์ หรือโทรคมนาคม เป็นต้น
โปรดทราบว่าการดมกลิ่นแพ็กเก็ตสามารถทำงานได้บนโดเมนการชนกันทั่วไปเท่านั้น นั่นหมายความว่า คุณสามารถใช้ได้เฉพาะแพ็กเก็ตดมกลิ่นบนเครือข่ายที่คุณเป็นส่วนหนึ่งเท่านั้น นี่หมายความว่าระบบดักจับแพ็กเก็ตไม่สามารถใช้กับความพยายามในการแฮ็คจากภายนอกเครือข่ายได้
กำลังเตรียมรัน NetworkMiner
NetworkMiner เป็นเครื่องมือวิเคราะห์เครือข่ายที่เน้นโฮสต์พร้อมความสามารถในการดมกลิ่นแบบพาสซีฟ Host centric หมายความว่าจะจัดเรียงข้อมูลตามโฮสต์มากกว่าแพ็กเก็ต (ทำได้โดยเครื่องมือดมกลิ่นที่แอ็คทีฟส่วนใหญ่)
ส่วนต่อประสานผู้ใช้ NetworkMiner แบ่งออกเป็นแท็บ แต่ละแท็บจะแสดงมุมข้อมูลที่แตกต่างกันของข้อมูลที่บันทึกไว้ ต่อไปนี้เป็นขั้นตอนในการเรียกใช้ NetworkMiner เพื่อวิเคราะห์ปริมาณการใช้เครือข่าย:
1. หากคุณใช้ Windows 7 หรือ Windows 8 คุณจะต้องเรียกใช้ NetworkMiner.exe ด้วยสิทธิ์ของผู้ดูแลระบบ
2. เลือกอินเทอร์เฟซเครือข่ายที่ต้องการบันทึกข้อมูล
3. ตามค่าเริ่มต้น แท็บโฮสต์จะถูกเลือก คุณสามารถจัดเรียงโฮสต์ตามที่อยู่ IP, ที่อยู่ MAC, ชื่อโฮสต์, ระบบปฏิบัติการ ฯลฯ
กดปุ่มเริ่มเพื่อเริ่มกระบวนการดมกลิ่น
การวิเคราะห์ข้อมูลใน NetworkMiner
บนแท็บโฮสต์ คุณจะเห็นรายการโฮสต์ที่เชื่อมต่อกับเครือข่าย คุณสามารถขยายโฮสต์เพื่อดูข้อมูลโดยละเอียด เช่น ที่อยู่ MAC, ชื่อโฮสต์, ระบบปฏิบัติการ, TTL, พอร์ตที่เปิดอยู่, แพ็กเก็ตที่ส่ง, ได้รับ ฯลฯ ผู้ดูแลระบบเครือข่ายที่ดีมักจะมีภาพรวมของข้อมูลที่จะส่งเข้าและออกจากเครือข่ายของเขา รายชื่อโฮสต์จะช่วยให้คุณมีความคิดที่ดีขึ้นว่าคุณกำลังใช้การรับส่งข้อมูลเครือข่ายประเภทใด
หากคุณพบโฮสต์ที่น่าสงสัย คุณสามารถบล็อกโฮสต์ผ่านไฟร์วอลล์ของคุณได้ตลอดเวลา ไฟร์วอลล์ควรเป็นที่ที่การรับส่งข้อมูลเครือข่ายทั้งหมดผ่านก่อนที่จะถึงปลายทาง หากคุณบล็อกโฮสต์บนไฟร์วอลล์ระบบ โฮสต์นั้นจะถูกบล็อกในระบบของคุณเท่านั้น
หากคุณกำลังใช้ดมกลิ่นเครือข่ายอื่นที่สามารถบันทึกไฟล์ PCAP ได้ NetworkMiner ยังสามารถวิเคราะห์ไฟล์ PCAP และให้คุณดูข้อมูลแบบออฟไลน์ได้
คุณลักษณะที่ชาญฉลาดอย่างหนึ่งของ NetworkMiner คือสามารถประกอบไฟล์ที่ส่งผ่านเครือข่ายได้อีกครั้งแล้วดาวน์โหลดในรูปแบบที่สมบูรณ์ ซึ่งสามารถทำได้จากแท็บไฟล์ คุณยังจับภาพและดาวน์โหลดรูปภาพจากการรับส่งข้อมูลเครือข่ายได้จากแท็บรูปภาพ
การส่งรหัสผ่านอย่างชัดเจนอาจเป็นอันตรายต่อเครือข่ายโดยรวม หากคุณต้องการตรวจสอบว่ามีโฮสต์ใดส่งรหัสผ่านเป็นข้อความธรรมดาหรือไม่ คุณสามารถดูได้ในแท็บข้อมูลรับรอง
บทสรุป
NetworkMiner สามารถเป็นประโยชน์อย่างมากสำหรับเครือข่าย Wifi ที่เปิดกว้างต่อภัยคุกคามใหม่ๆ สามารถตรวจสอบและวิเคราะห์ปริมาณการใช้เครือข่ายอย่างสม่ำเสมอเพื่อบล็อกจุดอ่อนและจุดอ่อน
หากคุณกำลังใช้งานเครือข่าย คุณใช้เครื่องมือดมกลิ่นแพ็คเก็ตใดเพื่อตรวจสอบความปลอดภัยของคุณ มันวิเคราะห์และตรวจสอบ? ฉันเคยใช้ Wireshark แต่ตกหลุมรัก NetworkMiner เนื่องจากความเรียบง่ายและใช้งานง่าย
เครดิตรูปภาพ:ความครอบคลุมของ Crawdad Network-Reuters
