اخبار پر بازدیدارزیابی امنیتی شبکهفن آوری های امنیت

ساخت و انتشار sniffer شبکه توسط مایکروسافت و نحوه استفاده از آن

امنیت سایبری ، خبر سایبری ، اخبار سایبری ، امنیت سایبری ، سایت خبری ، سایت اخبار سایبری

شرکت مایکروسافت در به روز رسانی های 10 اکتبر یک پکیج sniffer شبکه را بدون اعلام قبلی منتشر کرد . پکت sniffer یا sniffer  شبکه (packet sniffer or network sniffer) برنامه ای است که بر روی فعالیت های شبکه و بسته های ارسالی و دریافتی نظارت می کند. این فرآیند می تواند توسط مدیران شبکه جهت تشخیص مسائل و برنامه های مورد استفاده در شبکه و یا حتی گوش دادن به مکالمات ارسالی و دریافتی (از طریق clear text) مورد استفاده قرار گیرد.

کاربران لینوکس برای sniff شبکه همیشه از ابزار tcpdump استفاده می کردند و کاربران ویندوز مجبور بودند برنامه های شخص ثالثی مانند Microsoft Network Monitor و Wireshark را نصب کنند. وقتی مایکروسافت نسخه جدید خود را از اکتبر 2018 منتشر کرد، این مسئله تغییر کرد و اکنون ویندوز 10 با برنامه جدید “Packet Monitor” به نام pktmon.exe همراه است.

با انتشار به روزرسانی ویندوز در 10 اکتبر 2018، شرکت مایکروسافت بدون بیانیه رسمی برنامه جدیدی برای تشخیص و کنترل شبکه را تحت عنوان C: \ Windows \ system32 \ pktmon.exe به سیستم های ویندوزی اضافه کرد. وظیفه  این برنامه  “نظارت بر انتشار بسته های داخلی و گزارش drop شدن پکت ها” می باشد، که همین امر نشان می دهد برای تشخیص مشکلات داخلی شبکه طراحی شده است.

برای تجزیه و تحلیل کامل داده های ارسال شده از طریق رایانه از دستوری شبیه ‘netsh trace’ استفاده می کنیم

اخبار سایبری

با تایپ کردن دستور ‘pktmon [command] help’ میتوانیم نحوه استفاده آن را مشاهده کنیم

به عنوان مثال با کمک دستور pktmon filter help میتوانیم راهنمای فیلتر ها را مشاهده کنیم

خبر سایبری

استفاده از Pktmon برای نظارت بر ترافیک شبکه

از Pktmon می توانیم برای نظارت بر ترافیک FTP در رایانه اجرا شده استفاده کنیم.

برای انجام این کار ابتدا باید دستور فرمانرا با امتیاز ادمین اجرا کنیم زیرا Pktmon به سطح دسترسی بالایی نیاز دارد.

سپس باید دو packet filter ایجاد کنیم که به Pktmon بگوید چه ترافیکی برای نظارت وجود دارد که در مثال ما ترافیک پورت های TCP 20 و 21 خواهد بود.

این فیلترها را می توان با استفاده از دستور [pktmon filter add -p[port برای هر پورت مورد نظر ایجاد کرد

pktmon filter add -p 20
pktmon filter add -p 21

سپس برای مشاهده packet filter ها می توانیم از دستور pktmon filter list استفاده کنیم

اخبار سایبری

برای شروع نظارت بر بسته های ارتباطی با پورت های TCP 20 و 21 ، باید از دستور start –etw pktmon استفاده کنیم.

 pktmon پس از اتمام تمام بسته های موجود در رابط های شبکه را در یک پرونده به نام PktMon.etl وارد کرده و فقط 128 بایت اول یک بسته را رکورد می کند.

برای اینکه بتوانید کل بسته را وارد کنید و فقط از یک دستگاه اترنت خاص استفاده کنید می توانید از آرگومان های زیر استفاده کنید

p 0- (رکورد کردن تمام بسته)

c 13- ( فقط رکورد از adapter  با  ID 13)

برای تعیین نوع adapterها می توانید از دستور pktmon comp list استفاده کنید

وقتی همه استدلال ها را با هم جمع می کنیم، دستور نهایی به شرح زیر است:

pktmon start --etw -p 0 -c 13

اخبار سایبری

برای متوقف کردن رکورد بسته ها از دستور pktmon stop استفاده میکنیم. یک پرونده log به نام PktMon.etl در همان پوشه ای که شامل داده های خام دریافتی است ، ایجاد می شود.

این داده ها در این پرونده به طور مستقیم قابل استفاده نیستند ، بنابراین باید با دستور زیر آن را به قالب متنی قابل خواندن  تبدیل کنید:

pktmon format PktMon.etl -o ftp.txt

خبر سایبری

تمام فیلترهای ایجاد شده را با استفاده از دستور زیر حذف کنید:

pktmon filter remove

دیدگاهتان را بنویسید