Nätverkssäkerhet är ett av huvudområdena när man skapar eller övervakar ett nätverk. Nätverksadministratörerna utför slumpvisa granskningar av nätverkstrafik genom att fånga nätverksdata och analysera paket som överförs från en värd till en annan. I den här artikeln kommer vi att diskutera hur man kan fånga och analysera nätverkstrafik med NetworkMiner-verktyget, men inte förrän efter en snabb lektion på paketet sniffar.

Skillnad mellan aktiv och passiv sniffing

Sniffing är en teknik för att samla nätverksinformation genom att fånga nätverkspaket. Det finns två typer av sniffing - aktiv sniffing och passiv sniffning. Vid aktiv sniffing skickar paketets sniffingsprogram begärningar via nätverket och beräknar sedan som svar paket som passerar genom nätverket.

Passiv sniffing litar inte på att skicka förfrågningar. Denna teknik skannar nätverkstrafiken utan att detekteras i nätverket. Det kan vara användbart på platser där nätverk kör kritiska system som processstyrning, radarsystem, medicinsk utrustning eller telekommunikation etc.

Observera att ett paketsniffer endast kan fungera på en gemensam kollisionsdomän. Det betyder att du bara kan använda en paketsniffer på ett nätverk som du är en del av. Detta innebär att ett paketsniffer inte kan användas för hackningsförsök utifrån nätverket.

Förbereder att köra NetworkMiner

NetworkMiner är ett värdcentrerat nätverksanalysverktyg med passiva sniffningsfunktioner. Host centric betyder att det sorterar data med avseende på värdarna istället för paketet (detta görs av de flesta aktiva sniffingsverktyg).

NetworkMiner användargränssnitt är uppdelat i flikar. Varje flik ger en annan informationsvinkel för den infångade data. Följande är stegen för att köra NetworkMiner för att kunna analysera nätverkstrafik:

1. Om du kör Windows 7 eller Windows 8 måste du köra NetworkMiner.exe med administrativa behörigheter.

2. Markera nätverksgränssnittet för vilket data ska fångas.

3. Som standard väljs fliken värdar. Du kan sortera värdar enligt IP-adress, MAC-adress, värdnamn, operativsystem etc.

Tryck på startknappen för att börja sniffningsprocessen.

Analysera data i NetworkMiner

På fliken värdar kommer du att se en lista över värdar som är anslutna till nätverket. Du kan expandera någon värd för att se detaljerad information som dess MAC-adress, värdnamn, operativsystem, TTL, öppna portar, paket som skickats, mottagna etc. En bra nätverksadministratör har alltid en översikt över vilken data som överförs till och från hans nätverk. Listan över värdar ger dig en bättre uppfattning om vilken typ av nätverkstrafik du använder.

Om du hittar en misstänkt värd kan du alltid blockera den via din brandvägg. Brandväggen ska vara den från vilken all nätverkstrafik passerar innan du når destinationerna. Om du blockerar värden i din brandvägg, blockeras den bara på ditt system.

Om du använder något annat nätverkssniffer som kan spara PCAP-filen kan NetworkMiner också analysera PCAP-filen och låta dig gå igenom data offline.

En smart funktion hos NetworkMiner är att den kan sätta ihop de filer som överförs via nätverket och sedan ladda ner dem i komplett form. Detta kan göras från fliken Filer. Du kan också fånga och hämta bilder från nätverkstrafiken från fliken Bilder.

Att skicka lösenord i klart kan vara mycket farligt för nätverket som helhet. Om du vill kontrollera om någon värd sänder lösenord i klar text kan du se den på fliken Credentials.

Slutsats

NetworkMiner kan vara mycket användbart för Wi-Fi-nätverk som ständigt är öppna för nya hot. Det kan regelbundet granska och analysera nätverkstrafik för att blockera sårbarheter och svaga områden.

Om du kör ett nätverk, vilket paketsnusningsverktyg använder du för att kontrollera din säkerhet? Analyserar och granskar den? Jag hade använt Wireshark men har blivit kär i NetworkMiner på grund av dess enkelhet och användarvänlighet.

Bildkredit: Crawdad Network-Reuters-täckning