ردگیری ترافیک شبکه

اگر آموزش “چه کسانی، چه زمانی از کجا به کدام فایل های شما کنجکاو بوده اند؟ ” را خوانده باشید، می دانید که با فعال سازی یک Policy محرمانه در Local Group Policy در ویندوز، می توانید کامپیوتر مهاجمی را که تلاش می کند به فایل های شما دسترسی داشته باشد شناسایی کنید و اطلاعات ارزشمندی در مورد زمان، نام فایل، سطح دسترسی، موفقیت آموز بودن یا نبودن دسترسی، اطلاعات بگیرید. در این آموزش که به نوعی می تواند مکمل آموزش بالا باشد می خواهیم ردگیری ترافیک شبکه به کمک Windows Firewall را به شما دوستان معرفی کنیم که به کمک آن می توانید ترافیک ارسالی و دریافتی از شبکه به کامپیوترتان را ردگیری کنید.

ردگیری ترافیک شبکه را بخوانید و بیاموزید

چگونه فرایند Log شدن ترافیک شبکه را برای یک یا چند کارت شبکه فعال کنید.

Log شدن ترافیک را برای شبکه های Private، Public و Domain فعال کنید.

چه نوع ترافیک هایی را Log کنید و چه نوع ترافیک هایی را Log نکنید.

و این اطلاعات را برای هر بسته خواهید داشت:

تاریخ، زمان، نوع بسته، پذیرفته شدن یا رد شدن، نوع پروتکل بسته، IP فرستنده، IP گیرنده، شماره پورت فرستنده، شماره پورت گیرنده، اندازه بسته ، TCPFlag، TCPSyn، TCPAck، TCPWin، ICMPType، ICMPCode، ارسالی یا دریافتی بودن

اما پیش از شروع بهتر است تعریفی از فایروال داشته باشیم:

فایروال چیست؟

فایروال یک سیستم امنیتی شبکه است که ترافیک ورودی و خروجی را بر اساس مجموعه ای از Rule های تعریف شده کنترل می کند. فایروال می تواند نرم افزاری و یا سخت افزاری باشد. از جمله فایروال های سخت افزاری قدرتمند می توان به فایرال های شرکت های Juniper و Ciscoاشاره کرد.

بسیاری از ما برای راحتی بیشتر در کار با شبکه، در همان ابتدای کار، فایروال ویندوز را خاموش می کنیم. بدیهی است که با خاموش کردن فایروال ویندوز که یک سیستم امنیتی به شمار می رود، راحتی ما بیشتر می شود و البته راحتی افراد و برنامه های مهاجم و خرابکار. همچنین با خاموش کردن فایروال ویندوز بسیاری از امکانات جالب ویندوز را از دست می دهیم از جمله :

امکان Block کردن دسترسی برنامه ها به اینترنت و شبکه

Block کردن Port های خاص و همچنین Log شدن Packet های رد و بدل شده

پس برای به کارگیری این آموزش باید از روشن بودن فایروال ویندوزتان مطمئن شوید.

روشن کردن فایروال ویندوز:

برای این کار در منوی Start عبارت Firewall را Search کنید و در صورت خاموش بودن فایروال، از منوی سمت چپ، گزینه “Turn Windows Firewall On or Off” را انتخاب کنید و سپس فایروال را روشن نمایید.

فعال سازی Logging ترافیک شبکه برای شبکه Public

دکمه +R را بزنید.

عبارت wf.MSC را تایپ و Enter کنید تا Windows Firewall with Advance Security باز شود.

در Windows Firewall with Advance Security در بخش سمت راست بر روی Properties کلیک کنید.

پنجره ای مانند تصویر زیر باز می شود که شامل ۴ بخش IPsec Setting، Public Profile، Private Profile، Domain Profile است.

وارد تب Public Profile شوید.

در بخش State در قسمت Protected network connections بر روی Customize کلیک کنید.

در این بخش Connection ها و کارت شبکه هایی که می خواهید ترافیک آن ها را Log کنید مشخص کنید و OK کنید.

در قسمت Logging بر روی Customize کلیک کنید.

در پنجره باز شده در قسمت Name می توانید مسیر ذخیره سازی Log های مربوط به Public Profile را مشخص کنید.

در بخش Size limit می توانید بیشترین اندازه Log File را مشخص کنید.

اگر می خواهید Packet هایی را که توسط فایروال Block می شوند ببینید Log dropped Packet را بر روی Yes قرار دهید.

اگر می خواهید ارتباط هایی که با موفقیت با کامپیوترتان برقرار شده ثبت شوند، Log successful Connection را بر روی Yes قرار دهید. البته با فعال سازی این بخش Log File به سرعت پر خواهد شد!

ما برای ردگیری و ردیابی تمامی ترافیک های ورودی و خروجی، هر دو بخش را Yes قرار دادیم.

در نهایت بر روی OK کلیک کنید.

بررسی Log File ها

برای بررسی و آنالیز Log های ثبت شده وارد مسیری که Log File را در آن ذخیره کردید بشوید.

در صورتی که بخواهید Log File را باز کنید با پیغام Access is Denied روبرو می شوید.

Windows-Firewall-Logs-06

برای اینکه بتوانید Log File را ببینید باید یک کپی از این فایل بگیرید و آن را مورد بررسی قرار دهید.

محتوای فایل مورد به صورت زیر خواهد بود:

می توانید همین مراحل را برای Profile های Private و Domain نیز انجام دهید. Domain Profile زمانی کاربرد خواهد داشت که کامپیوتر شماJoin به Domain باشد.

در جدول زیر می توانید اطلاعاتی در مورد هر یک از فیلد ها که در تصویر بالا به صورت رنگی تفکیک شده اند ببینید.

NAME DESCRIPTION
Date Date of occurrence, in year-month-dateformat
Time Time of occurrence, in hour:minute:secondformat
Action The operation that was logged by the firewall, such asDROPfor dropping a connection,OPEN for opening a connection, and CLOSE for closing a connection
Protocol The protocol used, such as TCP, UDP, or ICMP
Source IP (src-ip) The IP address of the computer that started the connection
Destination IP (dst-ip) The IP address of the computer to which the connection was attempted
Source Port (src-port) The port number on the sending computer from which the connection was attempted
Destination Port (dst-port) The port to which the sending computer was trying to make a connection
size The packet size
tcpflags Information about TCP control flags in TCP headers
tcpsyn The TCP sequence of a packet
tcpack The TCP acknowledgment number in the packet
tcpwin The TCP window size of the packet
icmtype Information about the ICMP messages
icmcode Information about the ICMP messages
info Information about an entry in the log

منبع: هیوا شبکه-گروه خبری فناوری مشهد آی تی

ارسال پاسخ