Netværkssikkerhed er et af hovedfokusområderne ved oprettelse eller overvågning af et netværk. Netværksadministratorer udfører tilfældige revisioner af netværkstrafik ved at opfange netværksdataene og analysere pakkerne, der overføres fra en vært til en anden. I denne artikel vil vi diskutere, hvordan man fanger og analyserer netværkstrafik ved hjælp af NetworkMiner-værktøjet, men ikke før efter en hurtig lektion om pakkesnuffning.

Forskel mellem aktiv og passiv sniffing

Sniffing er en teknik til indsamling af netværksinformation ved at opfange netværkspakker. Der er to typer sniffing - aktiv sniffing og passiv sniffing. Ved aktiv sniffing sender pakke-sniffing-softwaren anmodninger via netværket og beregner derefter som svar de pakker, der passerer gennem netværket.

Passiv sniffing stole ikke på at sende anmodninger. Denne teknik scanner netværkstrafikken uden at blive registreret på netværket. Det kan være nyttigt på steder, hvor netværk kører kritiske systemer som processtyring, radarsystemer, medicinsk udstyr eller telekommunikation mv.

Vær opmærksom på at en pakningssnyder kun kan fungere på et fælles kollisionsdomæne. Det betyder at du kun kan bruge en pakkesniffer på et netværk, som du er en del af. Dette indebærer, at en pakke sniffer ikke kan bruges til ethvert hacking forsøg uden for netværket.

Forbereder at køre NetworkMiner

NetworkMiner er et værtscentrisk netværksanalyseværktøj med passive sniffing-funktioner. Host centric betyder, at det sorterer data i forhold til værterne i stedet for pakkerne (dette gøres ved de fleste aktive sniffing-værktøjer).

NetworkMiner brugergrænsefladen er opdelt i faner. Hver fane giver en anden informationsvinkel af de indfangede data. Nedenstående er trinene til at køre NetworkMiner for at analysere netværkstrafik:

1. Hvis du kører Windows 7 eller Windows 8, skal du køre NetworkMiner.exe med administrative rettigheder.

2. Vælg netværksgrænsefladen, for hvilken dataene skal fanges.

3. Som standard er fanen Værter valgt. Du kan sortere værter efter IP-adresse, MAC-adresse, værtsnavn, operativsystem osv.

Tryk på startknappen for at starte sniffing processen.

Analyserer data i NetworkMiner

På fanen Værter vil du se en liste over værter, der er forbundet med netværket. Du kan udvide enhver vært til at se detaljerede oplysninger som dens MAC-adresse, værtsnavn, operativsystem, TTL, åbne porte, pakker sendt, modtaget osv. En god netværksadministrator har altid et overblik over, hvilke data der overføres til og fra hans netværk. Listen over værter vil give dig en bedre ide om, hvilken type netværkstrafik du bruger.

Hvis du finder en mistænkelig vært, kan du altid blokere den via din firewall. Firewallen skal være den, hvorfra alle netværkstrafik passerer, inden de når destinationerne. Hvis du blokerer værten på din system firewall, vil den kun blive blokeret på dit system.

Hvis du bruger en anden netværkssnuser, der kan gemme PCAP-filen, kan NetworkMiner også analysere PCAP-filen og lade dig gennemgå data offline.

En smart funktion ved NetworkMiner er, at den kan genmontere de filer, der overføres via netværket, og derefter downloade dem i komplet form. Dette kan gøres fra fanen Filer. Du kan også fange og downloade billeder fra netværkstrafikken fra fanen Billeder.

At sende adgangskoder i klart kan være yderst farligt for netværket som helhed. Hvis du vil kontrollere, om en vært overfører adgangskoder i klar tekst, kan du se det på fanen Referencer.

Konklusion

NetworkMiner kan være yderst nyttigt til Wifi-netværk, der hele tiden er åbne for nye trusler. Den kan regelmæssigt revidere og analysere netværkstrafik for at blokere sårbarheder og svage områder.

Hvis du kører et netværk, hvilket pakke sniffing værktøj bruger du til at tjekke din sikkerhed? Analyserer og reviderer den? Jeg havde brugt Wireshark, men er blevet forelsket i NetworkMiner på grund af sin enkelhed og brugervenlighed.

Billedkredit: Crawdad Network-Reuters-dækning