An ninh mạng là một trong những lĩnh vực trọng tâm chính khi tạo hoặc giám sát một mạng. Các quản trị viên mạng thực hiện kiểm tra ngẫu nhiên lưu lượng mạng bằng cách thu thập dữ liệu mạng và phân tích các gói được truyền từ máy chủ này sang máy chủ khác. Trong bài viết này, chúng ta sẽ thảo luận về cách nắm bắt và phân tích lưu lượng mạng bằng công cụ NetworkMiner, nhưng không phải sau bài học nhanh về đánh giá gói tin.
Sự khác biệt giữa đánh hơi chủ động và thụ động
Sniffing là một kỹ thuật thu thập thông tin mạng thông qua việc bắt các gói tin mạng. Có hai kiểu đánh hơi - đánh hơi chủ động và đánh hơi thụ động. Trong tính năng dò tìm tích cực, phần mềm dò tìm gói tin sẽ gửi các yêu cầu qua mạng và sau đó trong phản hồi sẽ tính toán các gói đi qua mạng.
Đánh hơi thụ động không phụ thuộc vào việc gửi yêu cầu. Kỹ thuật này quét lưu lượng mạng mà không bị phát hiện trên mạng. Nó có thể hữu ích ở những nơi mà mạng đang chạy các hệ thống quan trọng như kiểm soát quá trình, hệ thống radar, thiết bị y tế hoặc viễn thông, v.v.
Xin lưu ý rằng trình kiểm tra gói chỉ có thể hoạt động trên một miền xung đột chung. Điều đó có nghĩa là bạn chỉ có thể sử dụng trình kiểm tra gói trên mạng mà bạn tham gia. Điều này ngụ ý rằng không thể sử dụng trình kiểm tra gói cho bất kỳ nỗ lực tấn công nào từ bên ngoài mạng.
Chuẩn bị chạy NetworkMiner
NetworkMiner là một công cụ phân tích mạng tập trung vào máy chủ lưu trữ với khả năng đánh hơi thụ động. Tập trung vào máy chủ có nghĩa là nó sắp xếp dữ liệu theo các máy chủ hơn là các gói (điều này được thực hiện bởi hầu hết các công cụ dò tìm đang hoạt động).
Giao diện người dùng NetworkMiner được chia thành các tab. Mỗi tab cung cấp một góc thông tin khác nhau của dữ liệu được thu thập. Sau đây là các bước để chạy NetworkMiner để nó phân tích lưu lượng mạng:
1. Nếu bạn đang chạy Windows 7 hoặc Windows 8, bạn sẽ cần chạy NetworkMiner.exe với các đặc quyền quản trị.
2. Chọn giao diện mạng mà dữ liệu phải được thu thập.
3. Theo mặc định, tab Máy chủ được chọn. Bạn có thể sắp xếp các máy chủ theo địa chỉ IP, địa chỉ MAC, tên máy chủ, Hệ điều hành, v.v.
Nhấn nút bắt đầu để bắt đầu quá trình đánh hơi.
Phân tích dữ liệu trong NetworkMiner
Trên tab Máy chủ, bạn sẽ thấy danh sách máy chủ được kết nối với mạng. Bạn có thể mở rộng bất kỳ máy chủ nào để xem thông tin chi tiết như địa chỉ MAC, tên máy chủ, Hệ điều hành, TTL, Cổng mở, gói được gửi, nhận, v.v. Một quản trị viên mạng giỏi luôn có cái nhìn tổng quan về dữ liệu nào đang được truyền đến và từ mạng của mình. Danh sách các máy chủ sẽ cung cấp cho bạn ý tưởng tốt hơn về loại lưu lượng mạng bạn đang sử dụng.
Nếu bạn tìm thấy một máy chủ đáng ngờ, bạn luôn có thể chặn nó thông qua tường lửa của mình. Tường lửa phải là tường lửa mà từ đó tất cả lưu lượng mạng đi qua trước khi đến đích. Nếu bạn chặn máy chủ lưu trữ trên tường lửa của hệ thống, máy chủ đó sẽ chỉ bị chặn trên hệ thống của bạn.
Nếu bạn đang sử dụng bất kỳ trình kiểm tra mạng nào khác có thể lưu tệp PCAP, NetworkMiner cũng có thể phân tích tệp PCAP và cho phép bạn xem dữ liệu ngoại tuyến.
Một tính năng thông minh của NetworkMiner là nó có thể tập hợp lại các tệp được truyền qua mạng và sau đó tải chúng xuống ở dạng hoàn chỉnh. Điều này có thể được thực hiện từ tab Tệp. Bạn cũng có thể chụp và tải xuống hình ảnh từ lưu lượng mạng từ tab Hình ảnh.
Gửi mật khẩu rõ ràng có thể rất nguy hiểm cho toàn bộ mạng. Nếu bạn muốn kiểm tra xem có máy chủ nào đang truyền mật khẩu ở dạng văn bản rõ ràng hay không, bạn có thể xem nó trong tab Thông tin đăng nhập.
Kết luận
NetworkMiner có thể rất hữu ích cho các mạng Wifi thường xuyên mở ra các mối đe dọa mới. Nó có thể kiểm tra và phân tích lưu lượng mạng thường xuyên để chặn các lỗ hổng và các khu vực yếu.
Nếu bạn đang chạy một mạng, bạn sử dụng công cụ dò tìm gói nào để kiểm tra tính bảo mật của mình? Nó có phân tích và kiểm toán không? Tôi đã từng sử dụng Wireshark nhưng đã yêu NetworkMiner vì tính đơn giản và dễ sử dụng của nó.
Tín dụng hình ảnh:Crawdad Network-Reuters đưa tin