ما هو التقاط حزم البيانات، تحديد التقاط الحزمة، يشير Packet Capture إلى إجراء التقاط حزم بروتوكول الإنترنت (IP) للمراجعة أو التحليل، ويمكن أيضًا استخدام المصطلح لوصف الملفات التي تُخرج أدوات التقاط الحزم، وغالبًا ما يتم حفظها بتنسيق .pcap، ويعتبر التقاط الحزمة أسلوبًا شائعًا لاستكشاف الأخطاء وإصلاحها بالنسبة لمسؤولي الشبكة، يتم استخدامه أيضًا لفحص حركة مرور الشبكة بحثًا عن التهديدات الأمنية، بعد خرق البيانات أو أي حادث آخر.
كيف يعمل التقاط حزم البيانات
توفر عمليات التقاط الحزم أدلة جنائية حيوية تساعد في التحقيقات ، ومن وجهة نظر الجهات الفاعلة في التهديد ، يمكن استخدام التقاط الحزمة لسرقة كلمات المرور والبيانات الحساسة الأخرى ، على عكس تقنيات الاستطلاع النشطة مثل فحص المنافذ ، يمكن تحقيق التقاط الحزمة دون مغادرة تتبع للمحققين.
هناك أكثر من طريقة لالتقاط حزمة ، ويمكن التقاط الحزم من قطعة من معدات الشبكات مثل جهاز التوجيه أو المحول ، ومن قطعة مخصصة من الأجهزة تسمى صنبور ، ومن الكمبيوتر المحمول أو سطح المكتب للمحلل ، وحتى من الهاتف المحمول الأجهزة.
النهج المستخدم يعتمد على الهدف النهائي ، بغض النظر عن الطريقة المستخدمة. يعمل التقاط الحزم عن طريق إنشاء نسخ من بعض أو كل الحزم التي تمر عبر نقطة معينة في الشبكة.
يعد التقاط الحزم من جهازك هو أسهل طريقة للبدء ولكن هناك بعض التحذيرات ، حيث لا تهتم واجهات الشبكة الافتراضية إلا بحركة المرور المخصصة لها ، للحصول على عرض أكثر اكتمالاً لحركة مرور الشبكة ، ستحتاج إلى وضع الواجهة في الوضع المختلط أو نمط الشاشة.
ضع في اعتبارك أن هذا النهج سيحصل أيضًا على رؤية محدودة للشبكة ، على شبكة سلكية ، على سبيل المثال ، سترى حركة المرور فقط على منفذ التبديل المحلي الذي يتصل به جهازك.
على جهاز التوجيه أو المحول ، تسمح الميزات المعروفة باسم انعكاس المنفذ ومراقبة المنفذ ومحلل المنفذ المحول (SPAN) لمسؤولي الشبكة بتكرار حركة مرور الشبكة وإرسالها إلى منفذ معين ، عادةً لتصدير الحزم إلى حل مراقبة مخصص.
تحتوي العديد من المحولات والموجهات على مستوى المؤسسات الآن على وظيفة التقاط الحزمة المضمنة التي يمكن استخدامها لاستكشاف الأخطاء وإصلاحها بسرعة مباشرة من واجهة سطر الأوامر (CLI) للجهاز أو واجهة الويب ، وتشمل الأنواع الأخرى من معدات الشبكات مثل جدران الحماية ونقاط الوصول اللاسلكية عادةً وظيفة التقاط الحزمة .
إذا كنت تلتقط حزمة على شبكة كبيرة أو مشغولة بشكل خاص ، فقد يكون النقر على الشبكة المخصص هو الخيار الأفضل.
أدوات التقاط حزم البيانات
يوجد عدد كبير من الأدوات المختلفة المتاحة لالتقاط الحزم التي تمر عبر شبكتك وتحليلها ، وتُعرف أحيانًا باسم Sniffing ، وإليك بعضًا من أكثرها شيوعًا:
- وايرشارك
أداة الحزم النهائية ، Wireshark هي أداة حزمة الانتقال للعديد من مسؤولي الشبكات ومحللي الأمان والهواة ، مع واجهة مستخدم رسومية مباشرة والعديد من الميزات لفرز وتحليل وإدراك حركة المرور ، يجمع Wireshark بين سهولة الاستخدام والإمكانيات القوية ، حزمة Wireshark يتضمن أيضًا أداة مساعدة لسطر الأوامر تسمى tshark.
- tcpdump
tcpdump هي أداة خفيفة الوزن ومتعددة الاستخدامات تأتي مثبتة مسبقًا على العديد من أنظمة التشغيل المشابهة لـ UNIX. tcpdump هو حلم مدمن CLI يتحقق عندما يتعلق الأمر بالتقاط الحزم.
يمكن لهذه الأداة مفتوحة المصدر أن تلتقط الحزم بسرعة لتحليلها لاحقًا في أدوات مثل Wireshark ولكن لديها الكثير من الأوامر والمفاتيح الخاصة بها لفهم كميات هائلة من بيانات الشبكة.
- مراقب أداء شبكة SolarWinds
لطالما تم تفضيل هذه الأداة التجارية لسهولة استخدامها ، وتصوراتها ، وقدرتها على تصنيف حركة المرور حسب التطبيق. على الرغم من أن الأداة مثبتة فقط على أنظمة تشغيل Windows ، إلا أنها تستطيع التعرف على حركة المرور وتحليلها من أي نوع من الأجهزة.
- كولا سوفت
تصنع ColaSoft الحزمة التي تستهدف عملاء المؤسسات ، ولكنها توفر أيضًا إصدارًا مختزلًا يستهدف الطلاب وأولئك الذين يدخلون للتو في الشبكات ، تتميز الأداة بمجموعة متنوعة من ميزات المراقبة للمساعدة في استكشاف الأخطاء وإصلاحها والتحليل في الوقت الفعلي.
- كيسمت
Kismet هي أداة مخصصة لالتقاط حركة المرور اللاسلكية واكتشاف الشبكات والأجهزة اللاسلكية ، هذه الأداة متاحة لأنظمة Linux و Mac و Windows وتدعم مجموعة واسعة من مصادر الالتقاط بما في ذلك أجهزة راديو Bluetooth و Zigbee مع الإعداد الصحيح ، يمكنك التقاط الحزم من جميع الأجهزة الموجودة على الشبكة.
ميزات التقاط حزم البيانات
- نظرة كاملة على حركة مرور الشبكة
يُعد التقاط الحزمة بحكم التعريف نسخة مكررة من الحزم الفعلية التي تعبر ارتباط الشبكة ، وبالتالي فهي العرض الأكثر شمولاً لحركة مرور الشبكة ، وتحتوي لقطات الحزمة على مستوى كبير من التفاصيل غير المتوفرة في حلول المراقبة الأخرى ، بما في ذلك الحمولة الكاملة وجميع حقول رأس IP ، وفي كثير من الحالات ، حتى المعلومات حول واجهة الالتقاط ، يمكن أن يؤدي ذلك إلى التقاط الحل الوحيد القابل للتطبيق في المواقف التي تتطلب الكثير من التفاصيل.
- يمكن حفظها لمزيد من التحليل
يمكن حفظ التقاطات الحزم لمزيد من التحليل أو الفحص في تنسيقات .pcap و .pcapng المتوافقة مع معايير الصناعة ، على سبيل المثال ، يسمح ذلك بحفظ حركة المرور المشبوهة بواسطة مهندس الشبكة ومراجعتها لاحقًا بواسطة محلل أمني
تدعم مجموعة متنوعة من الأدوات هذا التنسيق ، بما في ذلك أدوات تحليل الأمان. من الممكن أيضًا حفظ التقاط حزمة تتكون من عدة ساعات من البيانات ومراجعتها في وقت لاحق.
- جهاز محايد
يتطلب كل من SNMP و NetFlow دعمًا على مستوى أجهزة الشبكة ، بينما تتمتع كلا التقنيتين بدعم واسع ولكنهما غير متاحين عالميًا ، فقد تكون هناك أيضًا اختلافات في كيفية تنفيذ كل بائع لهما.
من ناحية أخرى ، لا يتطلب التقاط الحزمة دعمًا متخصصًا للأجهزة ويمكن أن يحدث من أي جهاز لديه وصول إلى الشبكة.
- أحجام الملفات الكبيرة
يمكن أن يشغل الالتقاط الكامل للحزم مساحة كبيرة على القرص كما هو الحال في بعض الحالات بما يصل إلى 20 ضعفًا من مساحة الخيارات الأخرى ، حتى عند تطبيق التصفية. تخزين طويل المدى. تؤدي أحجام الملفات الكبيرة هذه أيضًا إلى فترات انتظار طويلة عند فتح ملف .pcap في أداة تحليل الشبكة.
- معلومات كثيرة
في حين أن التقاط الحزم لتوفير عرض كامل جدًا لحركة مرور الشبكة ، فإنه غالبًا ما يكون شاملاً للغاية ، وغالبًا ما تُفقد المعلومات ذات الصلة بكميات هائلة من البيانات ، وتحتوي أدوات التحليل على ميزات الترتيب والفرز والتصفية لملفات الالتقاط ، ولكن العديد من حالات الاستخدام قد يتم تقديمه غالبًا ما يكون من الممكن استكشاف أخطاء الشبكة وإصلاحها أو اكتشاف علامات هجوم باستخدام الإصدارات الموجزة لحركة مرور الشبكة المتوفرة في حلول المراقبة الأخرى ، وتتمثل إحدى الطرق الشائعة في استخدام تقنية مثل NetFlow لمراقبة كل حركة المرور والتبديل إلى الحزمة الكاملة التقاط حسب الحاجة.
- الحقول الثابتة
تسمح أحدث إصدارات NetFlow بسجلات قابلة للتخصيص ، مما يعني أنه يمكن لمسؤولي الشبكة اختيار المعلومات المطلوب التقاطها ، نظرًا لأن التقاط الحزمة يعتمد على بنية حزمة IP الحالية ، فلا يوجد مجال للتخصيص ، وقد لا تكون هذه مشكلة ولكن مرة أخرى اعتمادًا على حالة الاستخدام قد لا تكون هناك حاجة لالتقاط جميع حقول حزم IP.
في ختام مقالنا اليوم تكلمنا عن تعريف التقاط حزم البيانات، كيف يعمل التقاط حزم البيانات، أدوات التقاط حزم البيانات، ميزات التقاط حزم البيانات.