Bảo mật mạng là một trong những lĩnh vực trọng tâm chính khi tạo hoặc giám sát mạng. Các quản trị viên mạng thực hiện kiểm tra ngẫu nhiên lưu lượng mạng bằng cách thu thập dữ liệu mạng và phân tích các gói được truyền từ máy chủ này sang máy chủ khác. Trong bài viết này, chúng tôi sẽ thảo luận làm thế nào để nắm bắt và phân tích lưu lượng mạng bằng cách sử dụng công cụ NetworkMiner, nhưng không phải cho đến sau một bài học nhanh về gói sniffing.

Sự khác biệt giữa đánh hơi hoạt động và thụ động

Sniffing là một kỹ thuật thu thập thông tin mạng thông qua việc capture các gói mạng. Có hai loại sniffing - sniffing hoạt động và sniffing thụ động. Trong hoạt động sniffing, gói sniffing phần mềm gửi yêu cầu qua mạng và sau đó trong phản ứng tính toán các gói đi qua mạng.

Sniffing thụ động không phụ thuộc vào việc gửi yêu cầu. Kỹ thuật này quét lưu lượng mạng mà không bị phát hiện trên mạng. Nó có thể hữu ích ở những nơi mạng đang chạy các hệ thống quan trọng như điều khiển quá trình, hệ thống radar, thiết bị y tế hoặc viễn thông, v.v.

Xin lưu ý rằng trình thám thính gói có thể chỉ hoạt động trên miền xung đột phổ biến. Điều đó có nghĩa là bạn chỉ có thể sử dụng gói sniffer trên mạng mà bạn là một phần của. Điều này ngụ ý rằng một gói sniffer không thể được sử dụng cho bất kỳ nỗ lực hack từ bên ngoài mạng.

Chuẩn bị chạy NetworkMiner

NetworkMiner là một công cụ phân tích mạng trung tâm chủ với khả năng đánh hơi thụ động. Host centric có nghĩa là nó sắp xếp dữ liệu đối với các host thay vì các gói (điều này được thực hiện bởi hầu hết các công cụ sniffing hoạt động).

Giao diện người dùng NetworkMiner được chia thành các tab. Mỗi tab cung cấp một góc thông tin khác nhau của dữ liệu đã chụp. Sau đây là các bước để chạy NetworkMiner cho nó để phân tích lưu lượng mạng:

1. Nếu bạn đang chạy Windows 7 hoặc Windows 8, bạn sẽ cần phải chạy NetworkMiner.exe với quyền quản trị.

2. Chọn giao diện mạng mà dữ liệu phải được chụp.

3. Theo mặc định, tab Chủ nhà được chọn. Bạn có thể sắp xếp các máy chủ theo địa chỉ IP, địa chỉ MAC, tên máy chủ, Hệ điều hành, v.v.

Nhấn nút bắt đầu để bắt đầu quá trình đánh hơi.

Phân tích dữ liệu trong NetworkMiner

Trên tab Máy chủ, bạn sẽ thấy danh sách các máy chủ được kết nối với mạng. Bạn có thể mở rộng bất kỳ máy chủ nào để xem thông tin chi tiết như địa chỉ MAC, tên máy chủ, Hệ điều hành, TTL, Cổng mở, các gói đã gửi, đã nhận, v.v. Quản trị mạng tốt luôn có cái nhìn tổng quan về dữ liệu nào đang được truyền đến và đi từ mạng của mình. Danh sách các máy chủ sẽ cung cấp cho bạn ý tưởng tốt hơn về loại lưu lượng truy cập mạng bạn đang sử dụng.

Nếu bạn tìm thấy một máy chủ đáng ngờ, bạn luôn có thể chặn nó thông qua tường lửa của bạn. Tường lửa phải là tường lửa mà từ đó tất cả lưu lượng truy cập mạng đều vượt qua trước khi đến đích. Nếu bạn chặn máy chủ lưu trữ trên tường lửa hệ thống, nó sẽ chỉ bị chặn trên hệ thống của bạn.

Nếu bạn đang sử dụng bất kỳ trình thám thính mạng nào khác có thể lưu tệp PCAP, NetworkMiner cũng có thể phân tích tệp PCAP và cho phép bạn đi qua dữ liệu ngoại tuyến.

Một tính năng thông minh của NetworkMiner là nó có thể tập hợp lại các tập tin được truyền qua mạng và sau đó tải chúng xuống dưới dạng hoàn chỉnh. Điều này có thể được thực hiện từ tab Tệp. Bạn cũng có thể chụp và tải xuống hình ảnh từ lưu lượng mạng từ tab Hình ảnh.

Gửi mật khẩu rõ ràng có thể rất nguy hiểm cho toàn bộ mạng. Nếu bạn muốn kiểm tra xem có bất kỳ máy chủ nào đang truyền mật khẩu bằng văn bản rõ ràng hay không, bạn có thể thấy nó trong tab Thông tin xác thực.

Phần kết luận

NetworkMiner có thể rất hữu ích cho các mạng Wifi liên tục mở ra các mối đe dọa mới. Nó có thể kiểm tra và phân tích lưu lượng mạng thường xuyên để ngăn chặn các lỗ hổng và khu vực yếu.

Nếu bạn đang chạy một mạng, bạn sử dụng công cụ đánh hơi gói nào để kiểm tra bảo mật của mình? Nó có phân tích và kiểm toán không? Tôi đã sử dụng Wireshark nhưng đã yêu NetworkMiner vì tính đơn giản và dễ sử dụng của nó.

Tín dụng hình ảnh: Thu thập thông tin trên Mạng Crawdad-Reuters