windump چیست؟

[irsa942]

یک تحلیل‌گر ترافیک شبکه، که عموماً با نام Sniffer از آن یاد می‌گردد، وظیفه‌ی بررسی بسته‌های رد و بدل شده بر روی شبکه را برعهده دارد که نرم‌افزار Ethereal که به‌زودی در همین پای‌گاه به معرفی آن خواهیم پرداخت نمونه‌ی متداول و پرطرفداری از یک Sniffer است. از آن‌جاکه در معرفی نرم‌افزار پیشین بصورت اجمالی به این دسته از ابزارها پرداخته بودیم، در معرفی WinDump نیاز به ذکر مقدمات بیش‌تری از Snifferها داریم.



با استفاده از یک Sniffer، با تعیین یک رابط شبکه‌ی خاص، می‌توان به پایش و تحلیل بسته‌های اطلاعاتی رد و بدل شده بر روی شبکه‌یی که رابط شبکه‌ی مورد نظر به آن متصل است پرداخت. به عبارت دیگر یک Sniffer را می‌توان به یک سیستم پایش تشبیه کرد که تمامی اطلاعات منتقل شده بر روی بستر فیزیکی را بررسی و ذخیره می‌کند. در نهایت با به دست آوردن این اطلاعات دو عمل می‌توان بر روی محتوای بسته‌های بررسی شده انجام داد :



- تحلیل کلی ترافیک شبکه

این عمل توسط تحلیل‌گر انجام می‌گردد و از آن‌جاکه حجم اطلاعات رد و بدل شده بر روی شبکه بسیار زیاد است، تحلیل‌گر باید توانایی تمیز دادن اطلاعات مربوط به پروتکل‌های مختلف با مبدأ‌ و مقصدهای مختلف را داشته باشد.



- فیلتر کردن بسته‌هایی با محتوایی خاص

با فیلترکردن بسته‌هایی خاص و نمایش اختصاصی آن‌ها توسط Sniffer، می‌توان تمیزدادن بسته‌های مربوط به یک پروتکل خاص، از/به مبدأ/مقصد خاص، با محتوایی از رشته‌یی تعیین شده و دیگر ویژه‌گی‌ها را به نرم‌افزار Sniffer سپرد. پس از به دست آوردن خروجی دل‌خواه تحلیل آن بسیار آسان‌تر است.



قابلیت پایش بسته‌های رد و بدل شده بر روی شبکه، قابلیتی مختص سخت‌افزار است. به عبارت دیگر رابط شبکه در حالتی خاص قرار می‌گیرد که تمامی بسته‌هایی که مقصد آدرس فیزیکی آن‌ها رابط مورد نظر نیست نیز مانند بسته‌های مربوط دریافت شده و محتوای آنها را می‌توان ذخیره کرد. در حالت عادی، سخت‌افزار و لایه‌ی Datalink بسته‌هایی که به رابط مورد نظر با آدرس فیزیکی خاص، ارتباطی ندارند را از روی شبکه بر نمی‌دارد.



با این وجود، از آن‌جاکه هدف از استفاده از Snifferها بررسی تمامی ترافیک شبکه، با استفاده از پایش تمامی بسته‌هایی که از مبدآهای مختلف به مقاصد دیگر ارسال می‌شوند می‌باشد، لذا پیش‌نیاز استفاده از این دسته از ابزارها اساساً وجود نسخه‌یی از تمامی ترافیک شبکه بر روی بستر متصل به رابط شبکه‌ی مورد نظر است.



این پیش‌نیاز، پیش‌نیازی سخت‌افزاری را به استفاده کننده از Sniffer تحمیل می‌کند، زیرا با استفاده از سوییچ‌ها، که در حال حاضر تقریباً در تمامی موارد جای Hub‌ها را گرفته‌اند، ترافیکی که بر روی هریک از درگاه‌های سوییچ به سمت سیستم مورد نظر فرستاده می‌شود، تنها مختص آن سیستم است و ترافیک دیگر گره‌های شبکه بر روی آن قرار ندارد. لذا در شبکه‌یی که بر اساس سوییچ عمل‌ می‌کند، عملاً امکان استفاده از Sniffer در شرایط معمول وجود ندارد.



با این‌وجود بسیاری از سوپپچ‌ها با هدف در اختیار گذاردن درگاهی خاص، امکان قرار دادن تمامی ترافیک شبکه بر روی یک کانال را فراهم می‌کنند و سیستمی که به این درگاه متصل باشد می‌تواند به پایش ترافیک شبکه بپردازد. امکان استفاده از این قبیل درگاه‌ها بر روی سوییچ‌ها، در صورت وجود، محدود بوده و تنها مختص مدیران شبکه می‌باشد. این امکان تنها برای جامه‌ی عمل پوشانیدن به یکی از اهدف استفاده از Snifferها، یعنی استفاده توسط مدیران شبکه برای تحلیل ترافیک فعال، در برخی از سوییچ‌ها وجود دارد.



در استفاده از این دسته از Snifferها دو کاربرد خاص مد نظر بوده است :



- استفاده توسط مدیران و تحلیل‌گران شبکه برای عیب‌یابی و رفع کاستی‌های شبکه

- استفاده توسط نفوذگران به شبکه‌ها و سیستم‌ها

- شناسایی تلاش‌ها برای نفوذ



هدف اول، عمل‌کردی است که در مورد آن صحبت شد. کاربرد بعدی، استفاده از قابلیت این دسته از نرم‌افزارها توسط نفوذگران به شبکه‌ها است. نفوذگران با پایش داده‌ها، به تلاش برای تحلیل داده‌های شبکه و به‌دست‌آوردن اطلاعاتی هرچه بیشتر در مورد شبکه می‌پردازند. دسته‌ی مهمی از این اطلاعات کدهای کاربری و کلمات عبور نرم‌افزارهای مختلفی است که به‌صورت رمزنشده بر روی شبکه در حال انتقال هستند. یک نفوذگر، با تحلیل ترافیک، ابتدا به نوع نرم‌افزارهای فعال بر روی شبکه پی‌برده و سپس در پی شناخت بیش‌تر یک نرم‌افزار نمونه و تشخیص حفره‌های امنیتی موجود در آن، به فیلترکردن بسته‌های مختص آن نرم‌افزار پرداخته و سعی در گردآوری اطلاعات بیش‌تر در مورد آن می‌کند. با به دست آوردن اطلاعات مورد نظر، اقدامات بعدی برای حمله، توسط اطلاعات حیاتی به دست آمده، انجام می‌گیرد.



استفاده از سوییچ‌ها، علاوه بر بالابردن کارایی استفاده از سخت‌افزار و بستر شبکه، به بالابردن امنیت موجود نیز کمک شایانی کرده و احتمال پایش ترافیک توسط نفوذگران، بر روی سیستم‌های متفرقه‌ی موجود بر روی شبکه را پایین می‌آورد. هرچند که باید به خاطر داشت که روش‌هایی نیز وجود دارد که می‌توان این امکان سوییچ‌ها را غیرفعال کرد و یا سوییچ را مجبور ساخت که کلیه‌ی ترافیک را به یک درگاه خاص بفرستد. لذا استفاده از سوییچ تضمین قطعی جلوگیری از پایش ناخواسته‌ی ترافیک نیست.



هدف دیگری که می‌توان برای استفاده از Snifferها متصور بود امکان تشخیص تلاش‌های در حال انجام برای نفوذ است. تلاش‌هایی از قبیل حمله به آدرس یا درگاه خاص بر روی یک پروتکل خاص، و یا حمله به یک نرم‌افزار خاص، توسط یک تحلیل‌گر شبکه‌ی ماهر و با استفاده از یک Sniffer، قابل تشخیص است. با در نظر گرفتن این هدف، از Snifferها می‌توان بر روی یک سیستم منفرد، به منظور پایش ارتباطات انجام گرفته با سیستم، و تشخیص حملات احتمالی در حال انجام، استفاده کرد، هرچند که در این قبیل موارد استفاده از دیوارهای آتش، حتی انواع شخصی آن، کمک شایانی به کاربر می‌کنند.



با توجه به آن‌چه به‌صورت پراکنده در خلال متن گفته شد، راه‌های مقابله با Snifferها را می‌توان به سه دسته تقسیم نمود :



- استفاده از ابزارهای رمزنگاری داده‌ها

- استفاده از سوییچ در شبکه به جای Hub

- استفاده از ابزارهای ضد Sniff که امکان تشخیص رابط‌های شبکه‌یی که در حال Sniff قرار دارند را به وجود می‌آورد.

 

[hbigdeli]

[h=2]Shell چیست؟[/h] شاید تا به حال شماکلمه شل (shell) رو زیاد شنیده باشید ولی نمیدونید که اصلا یعنی چی ؟؟؟

ببینید دوستان شما هر کاری توی ویندوز یا توی هر سیستم عاملی (لینوکس , سلاریس و ..) که انجام میدید به صورت زبان دو دویی در میاد یا همون صفر و یک در میاد بعد به هسته سیستم عامل میخوره بعد به حافظه و بعد اجرا میشه مثلا فرض کنید که میرید توی cmd و میزنید dir خوب معلوم هست که این دستور محتویات یک دایرکتوری رو نشون میشه در واقع این دستور ابتدا به صورت صفر و یک در میاد و بعد اجرا میشه .

اون چیزی که دستورات شما رو میگیره و تبدیل به صفر و یک میکنه و اون رو به سمت کرنل سیستم عامل میفرسته همون شل (shell) هست !!!
حالا فرض کنید که اصلا چیزی در سیستم های عامل به اسمه شل وجود نداره اونوقت می فهمید که چه قدر کار با کامپیوتر دردسر ساز و سخت بود . مثلا برای اجرای همین دستور dir باید مقادیر زیادی از صفر و یک رو میزدید یا زبان های سطح پایین مثله اسمبلی و hex رو بلد بودید !!! .
اما یه نکته خیلی مهمی که در شل ها حائز اهمیت هست فرق اون ها هست مثلا شلری که در ویندوز استفاده میشه فرق میکنه با شلره سیستم عامل لینوکس .
اون شلی که در ویندوز استفاده میشه command.com هست (همون cmd رو میگم) و شلی که در سیستم عامل لینوکس به کار گرفته میشه شله bash هست که در پوشه bin ذخیره شده . و البته شل های دیگری هم وجود دارن مثله ksh (freebsd) و csh که در سیستم عامل unix system v استفاده میشه .

یک شل خوب چه ویژگی هایی داره ؟؟؟
اگه نظره منو بخاین من شل لینوکس رو بیشتر خاطرشو میخام تا ویندوز (البته این نظر رو از لحاظ هکری میگم )
چون که شل لینوکس از کامپایلر و دیباگر و … خیلی خوبی بهرمند هست و این چیزی هست که در ویندوز نیست مثلا کامپایلر gcc در لینوکس قابلیت خیلی زیادی داره و در ضمن در عین قدیمی بودن خیلی هم قوی هست !!
کلا یه شل خوب باید برنامه های زیر رو ساپورت کنه ::
Netstat برای دیدن سوکت ها .
Gcc برای کامپایل کردن زبان c
Lynx یکی از browser های خیلی معتبر و عالی
telnet برای ارتباط به پورت ها و ….

dig این یکی رو کمتر شلی داره یا این که پولیه !!!
ftp برای تبادل اطلاعات !
Finger این یکی هم اطلاعات رو از کاربر میگیره .
چگونه میتونیم یه شل لینوکسی در ویندوز داشته باشیم ؟؟؟
شما میتونید برای این کار از برنامه cygwin استفاده کنید . اون رو نصب کنید و بعد دستورات خودتون رو مثلا ls – la رو اجرا کنید !!! خیلی برنامه عجیبی هست و میتونید همه اون برنامه هایی که در لینوکس فقط قابل اجرا هستن رو اجرا کنید مثلا اون برنامه هایی که با پسونده .sh هستن . البته اگه یه نسخه کامل از این برنامه رو گیر اوردین یکی هم برای من بفرسیتید !!
البته بعضی از isp ها خیلی لازج بازی در میارن و یعضی وقت ها اکانت شل رو به مشتری هاشون میدن برای اطلاعات بیشتر به isp خودتون تماس بگیرید بعد ازشونبپرسید .
و بسیاری از راه های دیگه هم هست که این جا , جای توضیح اون ها نیست .
http://www.amir7khat.blogfa.com/
ایا باید زبان شل ها رو بلد باشم ؟؟؟
در جواب باید بگم که یاد گرفتن زبان شل هایی مثله command.com یا bash از نون شب هم واجب تره !

البته شل bash به خاطر امکانات بیشتری که داره کار باهاش هم سخت تره و همچینین دستورات و فرامین بیشتری رو در خود جا داده .
بدیهی هست که دستورات شل ها مختلف هست مثلا در command.com از دستور ver برای دیدن مشخصات سیستم عامل بکار میره ولی همین دستور در لینوکس و در شلر اون که bash هست دستور uname –a استفاده میشه .

ولی در اکثر جا ها خیلی با هم فرق ندارن مثلا دستورات در لینوکس و سلاریس تقریبا یکی هست !! منبع:rmalekghasemi