How to Sniff/Monitor a Switched Network

السلام عليكم ورحمة الله وبركاته

أعتقد ربما خطر في تفكير الكثير منا كيف يمكنني أن أقوم بعملية Sniff على الشبكة … ويوجد ولله الحمد الكثير من المواضيع تشرح هذه المسألة سواءاً بإستخدام مجموعة dsniff وtcpdump وettercap و Wireshark وغيرها من البرامج … لكن أنا متأكد ما لم يخطر في فكر الكثيرين هي الطرق الصحيحة لمراقبة وعمل Sniff بشكل صحيح على الشبكة … ولهذا أحببت أن أكتب هذا الموضوع الذي هو مجرد توضيح وشرح للطرق المتوفرة لمراقبة وعمل Sniff على الشبكات …

قبل ان نقوم بعرض الطرق أود بالبداية أن أوضح الفرق بين الشبكات التي تستعمل Hub وبين تلك التي تستعمل Switch … قبل أكثر من 3 أو 4 سنوات كان بالغالب مستخدمي المنازل والشركات الصغيرة وربما حتى الكبيرة يستعملون في شبكاتهم الـ Hub وذلك للتكلفة العالية للـ Switches في ذلك الوقت … طريقة عمل هذا الجهاز هو رطب جميع الأجهزة المتصلة به في خط سلكي واحد … بحيث أي جهاز يريد يتكلم (يرسل) على البقية أن تسمع فقط (تصمت) ::18  الى أن ينتهي الجهاز المتكلم … طبعاً خلال عملية الكلام جميع الكلام يصل الى جميع الأجهزة الموجودة على السلك (الجهاز Hub) ولهذا كلهم مستمعون فقط … بعد أن ينتهي من الكلام إذا كان الكلام موجه للجهاز A مثلاً سيقوم بالرد عليه، وإذا لم يكن موجه له سيتجاهل الكلام ويبقى صامت … طبعاً من خلال ما شرحنا نعرف بإن الجهاز الـ Hub يستعمل إتصال من نوع Half Duplex … أي شخص واحد يتكلم في نفس الوقت … هذا النوع من الأجهزة عيوبها إنها تبطأ عمل الشبكة وذلك ﻷن الشبكة مستخدمة من شخص في وقت واحد، فتخييل لما يتكلم 10 ماذا سيحدث؟ تصير خبصة ::18 وأيضاً كون الكلام المار فيها يسمع من الجميع تستطيع أن تعمل Sniff ومراقبة عليه بكل سهولة …

أما في الشبكات التي تستعمل Switches أو Hub-Switch والتي اليوم نستعملها في بيوتنا وشركاتنا فطريقة عملها مختلف جداً … حيث يقوم الـ Switch بفصل كل جهازين متصلين على الجهاز عن بعضهم البعض … يعني لو أراد جهاز A على الجهاز أن يكلم جهاز آخر لنفرض إسمه B فإنه الكلام لن يصل سوى الى الجهاز B … ولهذا نقول عنها أجهزة أكثر ذكاءاً من الـ Hubs بسبب هذه الميزة … طبعاً هذه الأجهزة بالتالي تزيد من الحماية، لأن البيانات مارة بين طرفين فقط، ولا أحد يعرف ماذا يقول A الى B ولا العكس … وأيضاً السرعة لن تتأثر وذلك لأن الإتصال بين A و B مفصول عن البقية، وبالتالي هنا نوع الإتصال هو Full-Duplex … وهذا النوع هو المستعمل صراحة أكثر شيء اليوم، خاصة بعد أن أنخفضت سعر الأجهزة هذه كثيراً والحمد لله …

الآن السؤال الذي يأتي الى خاطرنا: طيب لما الـ Switch يفصل الجميع عن الجميع، كيف سنقوم بمراقبة باقي الأجهزة والكلام (البيانات) الذي يقال خلال الشبكاة (البيانات المارة كيف سنعرفها ونراها)؟
الجواب: هناك عدة طرق لمراقبة الأجهزة التي تستعمل Switches من أهم هذه الطرق هي:

أولاً: الطريقة التي ربما يعرفها الجميع من خلال إستعمال arp poison … والتي أعتقد جربها الكثيرون، ولكن هذه الطريقة عيبها بإنه يستطيع من على الشبكة أن يكتشف أمرك، ويعرف بإنك تقوم بمراقبة الشبكة أو عمل Sniff عليها بسبب كثرت الـ arp packets الذي يرسلها جهازك لخداع المتصلون على الشبكة … طريقة غير جيدة بتاتاً وستزيد من صعوبة مراقبة البيانات وذلك لأنه عليك أن تعمل فلترة لهذه الـ arp packets حين تقوم بالمراقبة وهذا كله بالإضافة الى ما ذكرته لك بإنك مكشوف وسهل التعرف عليك إذا كان على الشبكة شخص شاطر ويعرف يقرأ البيانات ويحللها.

ثانياً: من خلال إستعمال جهاز Switch فيه خاصية الـ Port Mirror. حيث يكون هناك منفذ واحد أو اكثر على الـ Switch يعمل بنفس طريقة عمل الـ Hub وبالتالي يستطيع أن يرى جميع البيانات في جميع المنافذ الأخرى … طبعاً هذا النوع العيب الوحيد له بالنسبة لي حالياً إنه مكلف جداً، أي غالي الثمن بشكل لا أستطيع تحمله … لكن بالنسبة للشركات التي تود أن تقوم بتركيب IDS في شركتها مثلاً لمراقبة الشبكة وعمل Sniff عليها، فإنه بدون شك لا مشكلة إن قامت بشراء مثل هذا الجهاز وتركيبه …

طيب يا B!n@ry ألا يوجد حل للغلابة مثلنا ::18 ؟
الجواب: إلا يوجد ::20

ثالثاً: الحل هو إننا نقوم بصناعة Ethernet Tap أو Passive Ethernet Tap … هذا الجهاز لن يكلفك الكثير وتستطيع صراحة عمله بمبلغ بسيط للغاية … الفكرة هي إنك تقوم بعمل منفذين تضعهم في نفس العلبة التي توضع بالحائط، ولكن هذه العلبة تحتوي على منفذين فقط، الأول تربطه في الجهاز الذي يريد عمل المراقبة، والثاني تربطه مثلاً إما بالـ Switch أو بالبوابة Gateway مباشرة … وبالتالي هنا لن يستطيع أن يعرف أحد ولا بأي شكل (سوى إن كان لديه Physical Access على غرفة الشبكة والخوادم) بإنك تقوم بمراقبة الشبكة من خلال مثل هذا المنفذ … لأنك ببساطة لا تقوم بإرسال أي شيء، والجهاز هذا لا يرسل أي إشارة أو أي شيء يدل على إنه يوجد من يراقب الشبكة، كل ما يعمله هو الجلوس وشرب فنجان قهوة (مثلي ::18) ويراقب جميع البيانات المارة من هنا وهناك …

طريقة عمل وإعداد هذا الجهاز موجودة في الكثير من المواقع، أليكم أهمها:

Construction and Use of a Passive Ethernet Tap

Network tap

A passive network tap

How to sniff a network

جربوها وإن شاء الله تعجبكم الطريقة، أو قوموا بشراء جهاز عليه Port Mirror وأستمتع بشكل صحيح، بلا arpspoof ولا بطيخ ::18

دمتم بود…