سيكون برنامج Wireshark مساعدًا ممتازًا لأولئك المستخدمين الذين يحتاجون إلى إجراء تحليل مفصل لحزم الشبكة - حركة مرور شبكة الكمبيوتر. يتفاعل المتشمم بسهولة مع البروتوكولات الشائعة مثل netbios، fddi، nntp، icq، x25، dns، irc، nfs، http، tcp، ipv6واشياء أخرى عديدة. أثناء التحليل، يسمح لك بفصل حزمة الشبكة إلى المكونات المناسبة، وفقًا لبروتوكول محدد، وعرض معلومات قابلة للقراءة في شكل رقمي على الشاشة.
يدعم عددًا كبيرًا من التنسيقات المختلفة للمعلومات المرسلة والمستقبلة، وهو قادر على فتح الملفات التي تستخدمها الأدوات المساعدة الأخرى. مبدأ التشغيل هو أن بطاقة الشبكة تدخل في وضع البث وتبدأ في اعتراض حزم الشبكة الموجودة في منطقة الرؤية الخاصة بها. يمكن أن يعمل كبرنامج لاعتراض حزم wifi.
بعد تشغيل Wireshark، ستظهر لك القائمة الرئيسية للبرنامج على الشاشة، والتي تقع في أعلى النافذة. يتم استخدامه للتحكم في الأداة المساعدة. إذا كنت بحاجة إلى تحميل الملفات التي تخزن بيانات حول الحزم التي تم التقاطها في الجلسات السابقة، بالإضافة إلى حفظ البيانات حول الحزم الأخرى التي تم التقاطها في جلسة جديدة، فستحتاج إلى علامة التبويب "ملف" للقيام بذلك.
لتشغيل وظيفة التقاط حزم الشبكة، يجب على المستخدم النقر على أيقونة "التقاط"، ثم العثور على قسم قائمة خاص يسمى "الواجهات"، والذي يمكنك من خلاله فتح نافذة "Wireshark Capture Interfaces" منفصلة، حيث يجب أن تكون جميع واجهات الشبكة المتاحة سيتم عرضها، والتي سيتم من خلالها التقاط حزم البيانات اللازمة. في حالة تمكن البرنامج (sniffer) من اكتشاف واجهة واحدة مناسبة فقط، فإنه سيعرض جميع المعلومات المهمة عنها على الشاشة.
تعتبر نتائج عمل الأداة دليلاً مباشراً على أنه حتى لو لم يشارك المستخدمون بشكل مستقل (في وقت معين) في نقل أي بيانات، فإن تبادل المعلومات على الشبكة لا يتوقف. بعد كل شيء، مبدأ تشغيل الشبكة المحلية هو أنه من أجل إبقائها في وضع التشغيل، يقوم كل عنصر من عناصرها (الكمبيوتر والمحول والأجهزة الأخرى) بتبادل معلومات الخدمة بشكل مستمر مع بعضها البعض، لذلك تم تصميم أدوات الشبكة هذه للاعتراض مثل هذه الحزم.
هناك أيضًا نسخة لأنظمة Linux.
تجدر الإشارة إلى ذلك يعد برنامج الشم مفيدًا للغاية لمسؤولي الشبكاتوخدمات أمان الكمبيوتر، لأن الأداة المساعدة تسمح لك بتحديد عقد الشبكة التي يحتمل أن تكون غير محمية - وهي المناطق المحتملة التي يمكن أن يتعرض للهجوم من قبل المتسللين.
بالإضافة إلى غرضه المباشر، يمكن استخدام Wireshark كأداة لمراقبة حركة مرور الشبكة وتحليلها بشكل أكبر من أجل تنظيم هجوم على المناطق غير المحمية في الشبكة، لأنه يمكن استخدام حركة المرور التي تم اعتراضها لتحقيق أهداف مختلفة.
المتشمم ليس ضارًا دائمًا. في الواقع، غالبًا ما يستخدم هذا النوع من البرامج لتحليل حركة مرور الشبكة من أجل اكتشاف الحالات الشاذة والقضاء عليها وضمان التشغيل السلس. ومع ذلك، يمكن استخدام المتشمم بقصد خبيث. يقوم المتشممون بتحليل كل ما يمر عبرهم، بما في ذلك كلمات المرور وبيانات الاعتماد غير المشفرة، حتى يتمكن المتسللون الذين لديهم إمكانية الوصول إلى المتشمم من الحصول على المعلومات الشخصية للمستخدمين. بالإضافة إلى ذلك، يمكن تثبيت برنامج الشم على أي جهاز كمبيوتر متصل بالشبكة المحلية، دون الحاجة إلى تثبيته على الجهاز نفسه - بمعنى آخر، لا يمكن اكتشافه خلال وقت الاتصال بأكمله.
يستخدم المتسللون المتسللين لسرقة البيانات القيمة من خلال مراقبة نشاط الشبكة وجمع المعلومات الشخصية عن المستخدمين. عادةً ما يهتم المهاجمون أكثر بكلمات مرور المستخدم وبيانات الاعتماد للوصول إلى الخدمات المصرفية عبر الإنترنت وحسابات المتاجر عبر الإنترنت. في أغلب الأحيان، يقوم المتسللون بتثبيت المتشممين في الأماكن التي يتم فيها توزيع اتصالات Wi-Fi غير الآمنة، على سبيل المثال، في المقاهي والفنادق والمطارات. يمكن للمتشممين أن يتنكروا كجهاز متصل بالشبكة فيما يسمى بهجوم الانتحال لسرقة البيانات القيمة.
من الصعب للغاية التعرف على المتطفلين غير المصرح لهم افتراضيًا، حيث يمكن تثبيتهم في أي مكان تقريبًا، مما يشكل تهديدًا خطيرًا للغاية لأمن الشبكة. غالبًا ما لا يكون لدى المستخدمين العاديين فرصة للتعرف على أن المتسلل يتتبع حركة مرور الشبكة الخاصة بهم. من الممكن نظريًا تثبيت برنامج مكافحة التجسس الخاص بك والذي من شأنه مراقبة كل حركة مرور DNS بحثًا عن وجود متسللين آخرين، ولكن بالنسبة للمستخدم العادي، يكون من الأسهل كثيرًا تثبيت برنامج مكافحة التجسس أو حل مكافحة الفيروسات الذي يتضمن حماية نشاط الشبكة لإيقافه أي تدخل غير مصرح به أو إخفاء أنشطة الشبكة الخاصة بك.
يمكنك استخدام برنامج مكافحة فيروسات فعال للغاية لاكتشاف وإزالة جميع أنواع البرامج الضارة المثبتة على جهاز الكمبيوتر الخاص بك لأغراض التجسس. ومع ذلك، لإزالة برنامج الشم بالكامل من جهاز الكمبيوتر الخاص بك، يجب عليك حذف جميع المجلدات والملفات المتعلقة به تمامًا. يوصى أيضًا بشدة باستخدام برنامج مكافحة فيروسات مع ماسح ضوئي للشبكة، والذي سيفحص الشبكة المحلية بدقة بحثًا عن نقاط الضعف ويرشدك إلى الإجراءات الإضافية إذا تم العثور عليها.
أول شيء يمكن للمستخدم القيام به لحماية نفسه من المتطفلين هو استخدام برنامج مكافحة فيروسات عالي الجودة، مثل برنامج مكافحة الفيروسات Avast المجاني، القادر على فحص الشبكة بالكامل بحثًا عن مشكلات الأمان. هناك طريقة إضافية وفعالة للغاية لحماية المعلومات من التجسس وهي تشفير جميع البيانات المرسلة والمستلمة عبر الإنترنت، بما في ذلك رسائل البريد الإلكتروني. بريد. يتيح لك Avast SecureLine تشفير جميع عمليات تبادل البيانات وتنفيذ الإجراءات عبر الإنترنت بشكل آمن بنسبة 100%.
لنظام التشغيل Win2000 - Windows 10 (2019) (الخادم، x86، x64). احدث اصدار: 4.4.17 بناء 424. 24 أبريل 2019.
ما هو شم المنفذ التسلسليهو برنامج يراقب نقل البيانات بواسطة برنامج آخر، كما لو أنه "يضع نفسه" بين الواجهة التسلسلية والبرنامج قيد الدراسة. يسمح لك جهاز اعتراض بيانات المنفذ التسلسلي بدراسة ميزات التشغيل لبرنامجك أو لبرنامج آخر يعمل في Windows. إذا تم تطوير البرنامج الذي تدرسه بواسطتك، فإن اعتراض بيانات المنفذ التسلسلي يتحول إلى مصحح أخطاء واجهة RS232، مما سيسمح لك بتتبع الأخطاء التي تحدث أثناء تبادل البيانات. يُطلق على وضع مراقبة بيانات المنفذ التسلسلي في برنامجنا اسم "المراقب" ويتم استدعاؤه من قائمة "الوضع" في نافذة البرنامج الرئيسية.
يجب أن يتم التبديل إلى وضع شم بيانات المنفذ التسلسلي قبلإطلاق البرنامج قيد الدراسة. إذا لم تقم بذلك، فلن يتمكن متشمم المنفذ التسلسلي بعد ذلك من الوصول إلى المنفذ التسلسلي، وبالتالي لن يتمكن من أداء وظائفه.
في وضع اعتراض بيانات المنفذ التسلسلي، يقوم البرنامج بمراقبة كل حركة المرور، المرسلة والمستقبلة. يمكن إبراز البيانات المرسلة على شاشة البرنامج. يمكن تمكين هذه الميزة في الخيارات الموجودة في علامة التبويب "أخرى / نوع البيانات".
يسمح لك جهاز اعتراض بيانات المنفذ التسلسلي الخاص بنا بمراقبة نقل البيانات على الشاشة بأي شكل من الأشكال (سداسي عشري أو عشري أو أي شكل آخر). يسمح ذلك، دون مغادرة معترض بيانات المنفذ التسلسلي، بالعثور على تسلسلات متكررة لكتل البيانات وتحديد الأنماط في مرور البيانات.
ميزة أخرى مهمة لمعترض بيانات المنفذ التسلسلي الخاص بنا هي القدرة على حفظ البيانات المرسلة والمستلمة في ملف لتحليلها لاحقًا. تم تكوين وضع إنشاء الملف لمعترض بيانات المنفذ التسلسلي بمرونة، مما يوفر الوقت عند تحليل كمية كبيرة من البيانات المسجلة بواسطة البرنامج.
من السهل جدًا أن يتحول برنامجنا إلى مراقب بيانات قوي وقابل للتخصيص بدرجة كبيرة. للقيام بذلك، فقط قم بتنزيل البرنامج وتثبيته. ثم قم بتشغيل البرنامج. حدد وضع "المراقب" في القائمة الرئيسية "الوضع". ثم حدد منفذًا تسلسليًا من القائمة وانقر فوق الزر "فتح". ولا تنس أنه يجب أن يتم ذلك قبل إطلاق البرنامج قيد الدراسة. وكل شيء بين يديك - أداة عالمية لحل مجموعة واسعة من المشاكل.
بالمقارنة مع برامج مراقبة المنافذ التسلسلية الأخرى، تتمتع شاشة مراقبة المنافذ التسلسلية المتقدمة بالعديد من الميزات الفريدة:
يتم تنفيذ كافة إمكانيات اعتراض بيانات المنفذ التسلسلي في برنامج مراقبة المنفذ التسلسلي المتقدم الخاص بنا. قم بتنزيل الإصدار التجريبي الآن - إنه سريع ومجاني!
تم تطوير محللي حزم الشبكة، أو المتشممون، في الأصل كوسيلة لحل مشكلات الشبكة. إنهم قادرون على اعتراض وتفسير وتخزين الحزم المرسلة عبر الشبكة لتحليلها لاحقًا. فمن ناحية، يسمح ذلك لمسؤولي النظام ومهندسي الدعم الفني بمراقبة كيفية نقل البيانات عبر الشبكة وتشخيص المشكلات التي تنشأ وإصلاحها. وبهذا المعنى، تعد أدوات التعرف على الحزم أداة قوية لتشخيص مشكلات الشبكة. من ناحية أخرى، مثل العديد من الأدوات القوية الأخرى، التي كانت مخصصة أصلا للإدارة، مع مرور الوقت، بدأ المتشممون في استخدام أغراض مختلفة تماما. في الواقع، يعد وجود أداة الشم في أيدي المهاجم أداة خطيرة إلى حد ما ويمكن استخدامها للحصول على كلمات المرور والمعلومات السرية الأخرى. ومع ذلك، لا ينبغي للمرء أن يعتقد أن المتشممون هم نوع من الأدوات السحرية التي يمكن لأي متسلل من خلالها بسهولة عرض المعلومات السرية المنقولة عبر الشبكة. وقبل أن نثبت أن الخطر الذي يشكله المتشممون ليس كبيرا كما يتم تقديمه في كثير من الأحيان، دعونا نفكر بمزيد من التفصيل في مبادئ عملها.
علاوة على ذلك، سننظر في هذه المقالة فقط في برامج المتشممين المصممة لشبكات Ethernet. المتشمم هو برنامج يعمل على مستوى محول الشبكة (بطاقة واجهة الشبكة) NIC (طبقة الارتباط) ويعترض كل حركة المرور سرًا. نظرًا لأن المتشممين يعملون في طبقة ارتباط البيانات لنموذج OSI، فلا يتعين عليهم اللعب وفقًا لقواعد البروتوكولات ذات المستوى الأعلى. يتجاوز المتشممون آليات التصفية (العناوين، والمنافذ، وما إلى ذلك) التي تستخدمها برامج تشغيل Ethernet ومكدس TCP/IP لتفسير البيانات. يلتقط متشممو الحزم من السلك كل ما يمر عبره. يمكن للمتشممين تخزين الإطارات بتنسيق ثنائي وفك تشفيرها لاحقًا للكشف عن معلومات ذات مستوى أعلى مخبأة بداخلها (الشكل 1).
لكي يتمكن المتشمم من التقاط كافة الحزم التي تمر عبر محول الشبكة، يجب أن يدعم برنامج تشغيل محول الشبكة الوضع المختلط. في وضع تشغيل محول الشبكة هذا يكون المتشمم قادرًا على اعتراض جميع الحزم. يتم تنشيط وضع تشغيل محول الشبكة هذا تلقائيًا عند تشغيل جهاز الشم أو ضبطه يدويًا بواسطة إعدادات جهاز الشم المقابلة.
يتم تمرير كل حركة المرور التي تم اعتراضها إلى وحدة فك تشفير الحزم، التي تحدد الحزم وتقسمها إلى مستويات التسلسل الهرمي المناسبة. اعتمادًا على قدرات متشمم معين، يمكن بعد ذلك تحليل معلومات الحزمة المقدمة وتصفيتها بشكل أكبر.
كان الخطر الأكبر هو المتشممون في تلك الأيام عندما تم نقل المعلومات عبر الشبكة بنص واضح (بدون تشفير)، وتم بناء الشبكات المحلية على أساس المكثفات (المحاور). ومع ذلك، فقد ولت تلك الأيام إلى الأبد، وفي الوقت الحاضر، فإن استخدام المتشممين للوصول إلى المعلومات السرية ليس بالمهمة السهلة بأي حال من الأحوال.
والحقيقة هي أنه عند بناء شبكات محلية تعتمد على المحاور، هناك وسيلة نقل بيانات مشتركة معينة (كابل الشبكة) وجميع عقد الشبكة تتبادل الحزم، وتتنافس على الوصول إلى هذه الوسيلة (الشكل 2)، والحزمة المرسلة بواسطة شبكة واحدة يتم إرسال العقدة إلى جميع منافذ المركز ويتم الاستماع إلى هذه الحزمة من قبل جميع العقد الأخرى على الشبكة، ولكن العقدة التي يتم توجيهها إليها هي فقط التي تستقبلها. علاوة على ذلك، إذا تم تثبيت أداة شم الحزم على إحدى عقد الشبكة، فيمكنها اعتراض جميع حزم الشبكة المتعلقة بجزء معين من الشبكة (الشبكة التي يشكلها المحور).
تعد المحولات أجهزة أكثر ذكاءً من محاور البث وتعزل حركة مرور الشبكة. يعرف المحول عناوين الأجهزة المتصلة بكل منفذ وينقل الحزم بين المنافذ الضرورية فقط. يتيح لك ذلك إلغاء تحميل المنافذ الأخرى دون الحاجة إلى إعادة توجيه كل حزمة إليها، كما يفعل المحور. وبالتالي، يتم إرسال الحزمة المرسلة بواسطة عقدة شبكة معينة فقط إلى منفذ التبديل الذي يتصل به مستلم الحزمة، وجميع عقد الشبكة الأخرى غير قادرة على اكتشاف هذه الحزمة (الشكل 3).
لذلك، إذا تم بناء الشبكة على أساس التبديل، فإن جهاز الشم المثبت على أحد أجهزة كمبيوتر الشبكة قادر على اعتراض تلك الحزم التي يتم تبادلها بين هذا الكمبيوتر وعقد الشبكة الأخرى فقط. نتيجة لذلك، من أجل أن تكون قادرا على اعتراض الحزم التي يتبادلها الكمبيوتر أو الخادم الذي يهم المهاجم مع عقد الشبكة الأخرى، من الضروري تثبيت جهاز شم على هذا الكمبيوتر (الخادم)، وهو في الواقع ليس بهذه البساطة. ومع ذلك، يجب أن تضع في اعتبارك أن بعض برامج استشعار الحزم يتم تشغيلها من سطر الأوامر وقد لا تحتوي على واجهة رسومية. من حيث المبدأ، يمكن تثبيت هذه المتشممين وتشغيلهم عن بعد ودون أن يلاحظها أحد من قبل المستخدم.
بالإضافة إلى ذلك، يجب عليك أيضًا أن تضع في اعتبارك أنه بينما تقوم المحولات بعزل حركة مرور الشبكة، فإن جميع المحولات المُدارة تحتوي على وظيفة إعادة توجيه المنفذ أو عكس المنفذ. أي أنه يمكن تكوين منفذ التبديل بطريقة تتكرر عليه جميع الحزم التي تصل إلى منافذ التبديل الأخرى. إذا كان في هذه الحالة جهاز كمبيوتر مزود بأداة شم الحزم متصلاً بمثل هذا المنفذ، فيمكنه اعتراض جميع الحزم المتبادلة بين أجهزة الكمبيوتر الموجودة على مقطع شبكة معين. ومع ذلك، كقاعدة عامة، تكون القدرة على تكوين المحول متاحة فقط لمسؤول الشبكة. وهذا لا يعني بالطبع أنه لا يمكن أن يكون مهاجمًا، ولكن لدى مسؤول الشبكة العديد من الطرق الأخرى للتحكم في جميع مستخدمي الشبكة المحلية، ومن غير المحتمل أن يقوم بمراقبتك بهذه الطريقة المتطورة.
سبب آخر يجعل المتشممين لم يعودوا خطيرين كما كانوا من قبل هو أن معظم البيانات الحساسة يتم نقلها الآن بشكل مشفر. تختفي الخدمات المفتوحة وغير المشفرة بسرعة من الإنترنت. على سبيل المثال، عند زيارة مواقع الويب، يتم استخدام بروتوكول SSL (طبقة المقابس الآمنة) بشكل متزايد؛ يتم استخدام SFTP (Secure FTP) بدلاً من FTP المفتوح، ويتم استخدام الشبكات الخاصة الافتراضية (VPN) بشكل متزايد للخدمات الأخرى التي لا تستخدم التشفير افتراضيًا.
لذا، يجب على أولئك الذين يشعرون بالقلق إزاء احتمالية الاستخدام الضار لمتشممي الحزم أن يضعوا ما يلي في الاعتبار. أولاً، لكي يشكل تهديدًا خطيرًا على شبكتك، يجب أن يكون المتشممون موجودين داخل الشبكة نفسها. ثانيًا، معايير التشفير الحالية تجعل من الصعب للغاية اعتراض المعلومات الحساسة. لذلك، في الوقت الحاضر، تفقد أدوات شم الحزم أهميتها تدريجياً كأدوات للقرصنة، لكنها في الوقت نفسه تظل أداة فعالة وقوية لتشخيص الشبكات. علاوة على ذلك، يمكن استخدام المتشممين بنجاح ليس فقط لتشخيص مشكلات الشبكة وتحديد موقعها، ولكن أيضًا لمراجعة أمان الشبكة. على وجه الخصوص، يتيح لك استخدام محللي الحزم اكتشاف حركة المرور غير المصرح بها، واكتشاف البرامج غير المصرح بها وتحديدها، وتحديد البروتوكولات غير المستخدمة لإزالتها من الشبكة، وإنشاء حركة مرور لاختبار الاختراق (اختبار الاختراق) من أجل التحقق من نظام الأمان، والعمل مع أنظمة كشف التسلل (نظام كشف التسلل (IDS).
يمكن تقسيم جميع برامج المتشممين إلى فئتين: المتشممون الذين يدعمون التشغيل من سطر الأوامر، والمتشممون الذين لديهم واجهة رسومية. ولكننا نلاحظ أن هناك متشممات تجمع بين هاتين الإمكانيتين. بالإضافة إلى ذلك، تختلف برامج التجسس عن بعضها البعض في البروتوكولات التي تدعمها، وعمق تحليل الحزم المعترضة، والقدرة على تكوين المرشحات، وإمكانية التوافق مع البرامج الأخرى.
عادةً ما تتكون نافذة أي أداة شم ذات واجهة رسومية من ثلاث مناطق. يعرض الأول منهم البيانات الموجزة للحزم التي تم اعتراضها. عادةً ما تعرض هذه المنطقة الحد الأدنى من الحقول، وهي: وقت اعتراض الحزمة؛ عناوين IP الخاصة بمرسل الحزمة ومستلمها؛ عناوين MAC للمرسل والمستلم، وعناوين منفذ المصدر والوجهة؛ نوع البروتوكول (الشبكة أو النقل أو طبقة التطبيق)؛ بعض المعلومات الموجزة حول البيانات التي تم اعتراضها. تعرض المنطقة الثانية معلومات إحصائية حول الحزمة الفردية المحددة، وأخيرًا تعرض المنطقة الثالثة الحزمة في شكل حرف سداسي عشري أو ASCII.
تسمح لك جميع أدوات شم الحزم تقريبًا بتحليل الحزم التي تم فك تشفيرها (وهذا هو السبب في أن أدوات شم الحزم تسمى أيضًا محللي الحزم أو محللي البروتوكول). يقوم المتشمم بتوزيع الحزم التي تم اعتراضها عبر الطبقات والبروتوكولات. بعض متشممي الحزم قادرون على التعرف على البروتوكول وعرض المعلومات الملتقطة. عادةً ما يتم عرض هذا النوع من المعلومات في المنطقة الثانية من نافذة الشم. على سبيل المثال، يمكن لأي متشمم التعرف على بروتوكول TCP، ويمكن للمتشممين المتقدمين تحديد التطبيق الذي أنشأ حركة المرور هذه. يتعرف معظم محللي البروتوكولات على أكثر من 500 بروتوكول مختلف ويمكنهم وصفها وفك تشفيرها بالاسم. كلما زادت المعلومات التي يستطيع المتشمم فك تشفيرها وعرضها على الشاشة، قلت الحاجة إلى فك التشفير يدويًا.
إحدى المشكلات التي قد يواجهها متشممو الحزم هي عدم القدرة على تعريف البروتوكول بشكل صحيح باستخدام منفذ آخر غير المنفذ الافتراضي. على سبيل المثال، لتحسين الأمان، قد يتم تكوين بعض التطبيقات المعروفة لاستخدام منافذ أخرى غير المنافذ الافتراضية. لذلك، بدلاً من المنفذ التقليدي 80، المخصص لخادم الويب، يمكن إعادة تكوين هذا الخادم قسراً إلى المنفذ 8088 أو أي منفذ آخر. بعض محللي الحزم في هذه الحالة غير قادرين على تحديد البروتوكول بشكل صحيح وعرض المعلومات فقط حول بروتوكول المستوى الأدنى (TCP أو UDP).
توجد برامج تجسس تأتي مع وحدات تحليلية برمجية مرفقة كمكونات إضافية أو وحدات مدمجة تسمح لك بإنشاء تقارير تحتوي على معلومات تحليلية مفيدة حول حركة المرور التي تم اعتراضها.
ميزة أخرى مميزة لمعظم برامج محلل الحزم هي القدرة على تكوين عوامل التصفية قبل التقاط حركة المرور وبعدها. تحدد المرشحات حزمًا معينة من حركة المرور العامة وفقًا لمعيار معين، مما يسمح لك بالتخلص من المعلومات غير الضرورية عند تحليل حركة المرور.
في هذه المقالة سننظر في إنشاء أداة شم بسيطة لنظام التشغيل Windows.
أي شخص مهتم، مرحبا بكم في القط.
اتمنى انك تجده مثيرا للإهتمام.
لماذا قد تكون هناك حاجة لهذا:
كيف ذلك؟ بسيط جدا.
تتمثل الخطوة الأساسية في تحويل تطبيق شبكة بسيط إلى محلل شبكة في تبديل واجهة الشبكة إلى الوضع المختلط، مما سيسمح لها باستقبال الحزم الموجهة إلى واجهات أخرى على الشبكة. يفرض هذا الوضع على بطاقة الشبكة قبول كافة الإطارات، بغض النظر عن الجهة التي يتم توجيهها إليها على الشبكة.
بدءًا من نظام التشغيل Windows 2000 (NT 5.0)، أصبح من السهل جدًا إنشاء برنامج للاستماع إلى مقطع من الشبكة، نظرًا لأنه يسمح لك برنامج تشغيل الشبكة الخاص به بضبط المقبس لتلقي كافة الحزم.
تفضل. من المعروف أن حزمة IP تتكون من رأس ومعلومات الخدمة والبيانات في الواقع. أنصحك بالبحث هنا لتحديث معلوماتك. دعنا نصف رأس IP في شكل بنية (بفضل المقالة الممتازة عن RSDN):
من حيث المبدأ، يمكنك المضي قدمًا ووصف رؤوس جميع البروتوكولات اللاحقة الموجودة أعلاه. للقيام بذلك، تحتاج إلى تحليل المجال بروتوكولفي الهيكل IPHeader. انظر إلى رمز المثال (نعم، يجب أن يكون هناك مفتاح تبديل، اللعنة!)، حيث يتم تلوين الرأس اعتمادًا على البروتوكول الذي قامت الحزمة بتغليفه في IP:
/* * تمييز الحزمة بالألوان */ void ColorPacket(const IPHeader *h, const u_long haddr, const u_long whost = 0) ( if (h->xsum) SetConsoleTextColor(0x17); // إذا لم تكن الحزمة فارغة وإلا SetConsoleTextColor(0x07) ; // حزمة فارغة if (haddr == h->src) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_RED | FOREGROUND_INTENSITY); // الحزمة "الأصلية" للعودة ) else if (haddr == h->dest ) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_GREEN | FOREGROUND_INTENSITY); // "أصلي" تلقي الحزمة ) if (h->protocol == PROT_ICMP || h->protocol == PROT_IGMP) (SetConsoleTextColor (0x70) ؛ // حزمة ICMP ) else if(h->protocol == PROT_IP || h->protocol == 115) ( SetConsoleTextColor(0x4F); // حزمة IP-in-IP، L2TP ) else if(h ->protocol == 53 ||. h->protocol == 56) ( SetConsoleTextColor(0x4C); // TLS, IP مع التشفير ) if(whost == h->dest || whost == h->src) ( SetConsoleTextColor (0x0A);
ومع ذلك، هذا يتجاوز نطاق هذه المقالة بشكل كبير. بالنسبة لمثالنا التدريبي، سيكون كافيًا إلقاء نظرة على عناوين IP الخاصة بالمضيفين الذين تأتي منهم حركة المرور وإليها، وحساب مقدارها لكل وحدة زمنية (البرنامج النهائي موجود في الأرشيف في نهاية المقالة) .
لعرض بيانات رأس IP، يجب عليك تنفيذ وظيفة لتحويل الرأس (وليس البيانات) لمخطط البيانات إلى سلسلة. وكمثال على التنفيذ، يمكننا أن نقدم الخيار التالي:
أقدم الكود المصدري والثنائي كما هو، كما كان قبل عدة سنوات. الآن أنا خائف من النظر إليه، ومع ذلك، فهو قابل للقراءة تمامًا (بالطبع، لا يمكنك أن تكون واثقًا جدًا من نفسك). حتى Visual Studio Express 2005 سيكون كافيًا للتجميع.
ما انتهينا إليه: