يعد التقاط الحزمة وتحليلها مفيدًا للغاية في التحقيق في تفاعلات الشبكة وتحديد عمليات الإرسال غير الفعالة بالإضافة إلى التهديدات الإلكترونية الخطيرة.
يشير Packet Capture إلى اعتراض حزمة البيانات وجمعها أثناء انتقالها عبر اتصال الشبكة. يتم تسجيل حزم البيانات وفحصها لتحديد مشكلات الشبكة وإدارتها مثل زمن الوصول العالي والأخطاء. تُستخدم المعلومات من تحليل الحزمة لمساعدة مسؤول الشبكة في استكشاف أخطاء الشبكة وإصلاحها في وقت أقل.
يستخدم تحليل الحزم لبعض المهام التالية.
من الممكن التقاط حزم بيانات كاملة أو أجزاء معينة من الحزمة. تتكون حزمة البيانات الكاملة من جزأين: حمولة ورأس. يحتوي مقطع الحمولة على المحتويات الفعلية للحزمة ، بينما يحتوي مقطع الرأس على معلومات مثل مصدر الحزمة وعناوين الوجهة.
قمنا بتجميع قائمة ببعض التطبيقات لإجراء التقاط كامل للحزم وتحليلها.
لنبدأ في التدحرج.
كولاسوفت كابسا
Capsa هي أداة محمولة لتحليل الشبكات ومراقبتها وتشخيصها في الوقت الفعلي لكل من الشبكات السلكية واللاسلكية. يمكن جدولة عمليات فحص الحزم للتشغيل في وقت محدد ، مثل بانتظام أو شهريًا. تضمن عمليات الفحص المنتظمة عدم تفويت أي مشكلات في الأداء قد تظهر. إذا فاتتك شيئًا ما ، فستعلمك تنبيهات البريد الإلكتروني والصوت عندما تتطلب جلسة التواصل منك الحضور.
يساعد Capsa المستخدم على البقاء على اطلاع دائم على نقاط الضعف والتهديدات التي قد تؤدي إلى انقطاع الخدمة. يتم تتبع جميع مقاييس VoIP (نقل الصوت عبر بروتوكول الإنترنت) المهمة مثل نوع برنامج ترميز الاتصال وتوزيع الأحداث بشكل جيد باستخدام هذه الأداة. إنها أداة ممتازة للأفراد الذين يرغبون في المشاركة في فحص الحزم وتعلم كيفية اكتشاف مشاكل الشبكة وتحسين أمان الشبكة.
سمات:
توفر Colasoft أدوات أخرى مثل نظام تحليل أداء الشبكة (nChronos) وحل إدارة الأداء الموحد (Colasoft UPM). يوفر إصدارًا تجريبيًا مجانيًا لمدة 30 يومًا للتحقق من الميزات قبل الشراء.
TCPDump
TCPDump عبارة عن أداة تحليل حزم سطر أوامر قوية ومفتوحة المصدر تلتقط بروتوكولات مثل TCP و UDP وبروتوكول رسائل التحكم في الإنترنت (ICMP). هذه الأداة مثبتة مسبقًا على جميع أنظمة التشغيل الشبيهة بـ Unix. تم إصدار TCPDump بموجب ترخيص BSD. يمكنك بسهولة فحص رؤوس حزم TCP / IP باستخدام tcpdump. يقوم بإخراج المعلومات الخاصة بكل عملية نقل بيانات ، ويتم تشغيل البرنامج النصي حتى تقوم بإنهائه باستخدام خيار Ctrl + C.
من السهل جدًا إعداد Tcpdump ، وإذا تعلمت استخدام الأداة والعلامات والحجج ، فيمكنك استخدام هذه الأداة لاستكشاف مشكلات الاتصال وإصلاحها وتأمين الشبكة. سيتم حفظ حزم البيانات المسجلة في ملف لمزيد من التحليل باستخدام tcpdump. يقوم بحفظ الملف بتنسيق ملحق PCAP ، والذي يمكن فحصه بسهولة باستخدام tcpdump أو Wireshark الذي يقرأ الملفات بتنسيق PCAP (اختصار لالتقاط الحزمة).
سمات:
فيما يلي مقال حول كيفية التقاط حركة مرور الشبكة وتحليلها باستخدام tcpdump.
بايسلر PRTG
يعد Paessler PRTG Network Monitor أحد أكثر الأدوات شيوعًا لمراقبة الشبكة وتحليل حركة المرور. توفر هذه الأداة معلومات مهمة حول البنية التحتية لشبكتك وأدائها.
إنه متوافق مع Windows. يتضمن مجموعة متنوعة من خيارات المراقبة ، بما في ذلك مراقبة النطاق الترددي وتحليل حركة المرور. يتوفر إصدار مجاني من Paessler PRTG. للإبلاغ عن إحصائيات أداء الشبكة ، فإنه يستخدم مجموعة من متشمم الحزم و WMI و SNMP.
سمات:
تدعم هذه الأداة مجموعة متنوعة من طرق التنبيه ، بما في ذلك الرسائل القصيرة والبريد الإلكتروني واتصالات الجهات الخارجية بأنظمة أساسية مثل Slack. PRTG متاح في إصدار غير محدود لمدة 30 يومًا. بعد الفترة الحرة ، يعود إلى النموذج الحر.
وايرشارك
Wireshark هو محلل حزم مجاني ومفتوح المصدر يسمح لك بفحص عمليات إرسال بيانات الشبكة في الوقت الفعلي. تمكن هذه الأداة مديري الشبكة من فحص الشبكة على المستوى المجهري لتحديد مصدر مشاكل وأخطاء حركة المرور. إنها أداة جيدة تتطلب فهمًا قويًا لمفاهيم الشبكة.
سمات:
تعد الحزم المفقودة ومشكلات زمن انتقال الشبكة وتبعيات التطبيقات وأحجام النوافذ غير الفعالة من أكثر مشكلات استكشاف الأخطاء وإصلاحها شيوعًا التي يمكن أن يساعدها Wireshark. تتيح لك هذه الأداة مراقبة حركة مرور الشبكة وتوفر آليات للبحث وتحديد مصدر المشكلة.
يمكن أيضًا مراقبة حركة مرور الإرسال الأحادي (غير المتصل) التي لا يتم إرسالها إلى واجهة عنوان MAC للشبكة باستخدام أداة Wireshark.
يرجى زيارة هذه المقالة حول استكشاف أخطاء وقت استجابة الشبكة وإصلاحها باستخدام Wireshark.
أرشيم
تعمل Arkime بالتعاون مع نظام الأمان الحالي لجمع وفهرسة حركة مرور الشبكة ونقل البيانات بتنسيق PCAP القياسي.
يتم تخزين جميع حزم البيانات المسجلة وتصديرها بتنسيق PCAP القياسي ، بحيث يمكنك استخدام أدوات استيعاب PCAP المفضلة لديك مثل Wireshark أو tcpdump في عملية التحليل الخاصة بك.
يتم تحديد احتباس PCAP من خلال مقدار مساحة قرص المستشعر المتوفرة ، بينما يتم تحديد احتفاظ API بحجم مجموعة Elasticsearch. يمكن تغيير كل من هذه المعلمات في أي وقت.
تم تصميم Arkime للعمل عبر أنظمة ومقاييس متعددة لاستيعاب عشرات الجيجابت في الثانية من حركة المرور. جميع ملفات تنسيق PCAP المحفوظة على مستشعرات Arkime قابلة للتثبيت ولا يمكن الوصول إليها إلا من خلال واجهة الويب Arkime أو API. يمكن تشفير ملفات PCAP مع Arkime.
سمات:
يمكن استرداد بيانات PCAP وبيانات المعاملات بتنسيق JSON مباشرة عبر واجهات برمجة التطبيقات. انظر وثائق API الكاملة لـ Arkime هنا.
استنتاج
يتطلب تحليل بيانات التقاط الحزم عادةً مستوى عالٍ من الخبرة الفنية ، والتي يمكن تحقيقها باستخدام هذه الأدوات.
أتمنى أن تكون قد وجدت هذه المقالة مفيدة جدًا في تعلم أدوات التقاط وتحليل الحزم الكاملة للشبكات الصغيرة إلى الكبيرة.
قد تكون مهتمًا أيضًا بالتعرف على أفضل أدوات محلل Wi-Fi.