عندما يتعلق الأمرببروتوكلات الشبكة فإن أحد أفضل و أقدم طرق مراقبة حركة البيانات هو تقنية packet sniffing والتي تعني التقاط حزم البيانات. هذه التقنية الخيار الأفضل لمساعدة مسؤولي الشبكة ومهندسي الحماية للتأكد من حالة البيانات المتبادلة عبر الشبكة وسلامتها. وعلى الرغم من أن هذه التقنية مرتبطة بشكل أكبر بالهجمات الالكترونية إلا أنها شائعة الاستخدام أيضاً من قبل مدراء الشبكات ومزودي الخدمة لمراقبة حركة البيانات عبر الشبكة.
ما هو packet sniffer؟
الـ packet sniffer هو برنامج يعمل على مراقبة وتسجيل حركة البيانات عبر الشبكة. ويمكن استخدام packet sniffer للقيام بعمليات الاختبار والتشخيص واكتشاف المشاكل المحتملة والعمل على إصلاحها. كما يمكن استخدامه لأهداف خبيثة كالإطلاع على حركة البيانات الخاصة بالمستخدم كسجل تصفح الويب والتنزيلات downloads ورسائل البريد الالكتروني والعديد من المعلومات الأخرى التي يتم تبادلها عبر الشبكة.
كيف يتم التقاط حزم البيانات؟
عندما يتم إرسال حزم البيانات فإنها تمر عبر عدة عقد في الشبكة (أجهزة راوتر) وكل راوتر سيعمل على فحص حزمة البيانات والاطلاع على معلومات التوجيه الموجودة في ترويسة هذه الحزمة ليتمكن من توجيها للمكان الصحيح. و يتم عبر packet sniffer مركب في مكان صحيح الإطلاع على كل حزم البيانات بغض النظر عن وجهتها. هذه العملية يمكن أن تستخدم لحالات إيجابية أو سلبية بحسب الشخص الذي يقوم بهذه العملية والهدف منها. فيمكن للمهاجم أن يقوم بسرقة المعلومات الحساسة من الرسائل الغير مشفرة من خلال إلتقاطه لحركة البيانات الخاصة بالهدف.
فوائد القيام بعملية التقاط حزم البيانات
اكتشاف السبب الحقيقي لمشكلة في الشبكة:
يعمل مدراء الشبكة على مراقبة شبكاتهم بشكل مستمر للقيام بعمليات اكتشاف الأخطاء والصيانة الروتينية وهذه العملية تتم من خلال التقاط حركة البيانات وجمع المعلومات من مختلف نقاط الشبكة للعمل على تحديد المشاكل أو الأعطال.
تقييم أداء أجهزة الشبكة اللاسلكية (Access point):
تساعد عملية إلتقاط حزم البيانات على تحليل وقياس أوقات الاستجابة والتأخير ضمن الشبكة اللاسلكية و ذلك من خلال تحديد الوقت الذي تستغرقه حزم البيانات للانتقال بين الجهاز المرسل والمستقبل واكتشاف التطبيقات التي لها حركة بيانات غير عادية واتخاذ الإجراءات المناسبة.
تحليل حركة البيانات:
باستخدام أدوات إلتقاط حركة البيانات المتقدمة يمكن لمدير الشبكة القيام بعملية تصنيف للبيانات بحسب عناوين IP للمصدر أو الوجهة الهدف أو بحسب رقم منفذ معين. كما يمكنه القيام بعملية تحليل لكامل حركة البيانات والتمييز بين حركة البيانات المهمة أو المستعجلة كالبيانات الخاصة ب VOIP وحركة البيانات العادية ويمكن لمدير الشبكة القيام بعملية تصفية او فلترة للمحتوى المثير للشك.
تحسين عرض الحزمة:
يمكن أن تؤثر الشبكات البطيئة أو المتقطعة على إنتاجية الاعمال وتؤدي لخسائر أخرى. ولتجنب مثل هذه المشاكل تعتمد المؤسسات على أدوات المراقبة المتقدمة التي تقوم بالتقاط حركة البيانات وتحليلها لمنع المستخدمين من استخدام الشبكة بشكل سيء. ويسمح ذلك لمدير الشبكة بمراقبة استخدام عرض الحزمة وتقييد الاستخدام الخاص بتطبيقات معينة.
ضمان أمن الشبكة:
تساعد عملية التقاط حزم البيانات على اكتشاف أي زيادة في معدل حركة البيانات عبر الشبكة وهذا يساعد في ضمان حماية النظام من أي تهديدات محتملة. كما يمكن لمدير الشبكة استخدام أدوات إلتقاط حركة البيانات للتأكد من فعالية الجدران النارية وأنظمة الحماية الأخرى IDS/IPS.
كيف يستخدم القراصنة و مجرمو الانترنت الـ Packet sniffer؟
غالباً ما يستخدم المتسللون تقنيات التقاط حزم البيانات لمراقبة شبكة الشركة خلسة. في الشبكات البسيطة يمكن للقراصنة عبر المراقبة السلبية التجسس على كل حركة المرور المتدفقة داخل النظام. و تعتبر هذه الطريقة صعبة الكشف بالنسبة لمسؤولي الشبكة لأن المتجسس صامت (سلبي) ولا يقوم بأي فعل يثير الريبة على الشبكة. و لكن يمكن بمساعدة الـ DLP الانتباه للنشاطات التي يقوم بها المستخدم على جهازه و منها تشغيل برامج التقاط البيانات.
أما في الشبكات الكبرى التي تستخدم العديد من أجهزة الكمبيوتر المتصلة والمبدلات switches لتوجيه حركة المرور فقط إلى أجهزة معينة ، فإن المراقبة السلبية ببساطة لن توفر الوصول إلى كل حركة مرور الشبكة. في مثل هذه الحالة ،سيضطر المتسللون إلى تجاوز القيود التي أنشأتها switches في الشبكة. يضيف هذا النشاط مزيداً من حركة المرور إلى الشبكة ، وبالتالي يجعل تلك الأفعال قابلة للاكتشاف بواسطة أدوات أمان الشبكة.
كيف نحمي أنفسنا ممن يسيء استخدام تقنيات التقاط البيانات؟
يقترp عليكم روبودين فيما يلي مجموعة من الإجراءات للحماية من المتلصصين عبر الشبكة:
- الابتعاد قدر الإمكان عن استخدام الشبكات العامة في المطاعم و الفنادق و المطارات.
- اعتماد خدمة VPN موثوقة
- استخدام مضاد فيروسات فعال
- تجنب تصفح الانترنت باستخدام http و إنما عبر https دائماً
- الانتباه لمحاولات التصيد الاحتيالي Phishing
أفضل الممارسات الخاصة بعملية التقاط حزم البيانات:
فهم متطلبات هذه العملية:
عندما يتعلق الأمر بمراقبة الشبكة فإن الفهم العميق لبرتوكولات الشبكة هو أمر ضروري. أي عملية التقاط حزم البيانات بدون فهم كيفية تحليلها هي مضيعة للوقت.
زيادة الحماية:
تحوي كل حزمة على ترويسة header والذي يحوي بدوره على عناوين IP لمصدرووجهة حزمة البيانات بالإضافة لحمولة البيانات الفعلية. من الضروري تشفير االبيانات أثناء عملية نقلها لمنع أي شخص يحاول التنصت على الشبكة من قراءة هذه المعلومات.
أخذ عينات من حزم البيانات:
يمكن أن تساعد عملية أخذ عينات من حزم البيانات على حل مشكلة تراكم البيانات الكبيرة والتي ستملئ مساحة القرص بسرعة. لذلك، بدلاً من التقاط كامل حركة البيانات فإنه ينصح بأخذ عينات من حركة البيانات عبر الشبكة خلال فترات محددة للحصول على نتائج مرضية.
إن التقاط حزم البيانات عبر الشبكة يمكن أن يساعد لزيادة الحماية بالإضافة لدوره الأساسي باكتشاف المشاكل والأخطاء ومراقبة عرض الحزمة وضمان سلامة البيانات وتحسين تجربة المستخدم النهائي UX.