PCAP analysis
לכידה וחקירת תעבורת רשת
Cyber Defense SOC Analyst Boot Camp JOHN BRYCE 2022
Shmuel Lamdan
הקדמה
רשת האינטרנט הינה רשת תקשורת הנתונים הגדולה בעולם והיא מורכבת ממכשירים ומחשבים אין ספור. תפקידה של רשת האינטרנט הוא לאפשר למחשבים והתקנים מרחבי הגלובוס לתקשר ביניהם ולשתף מידע.
הקישור נעשה באופן חוטי על ידי שימוש בכבלים ובסיבים אופטיים, ובאופן אל-חוטי ע"י שימוש בלווינים, אנטנות וראוטרים אלחוטיים, בעזרת גלי מיקרו ורדיו.
המידע העובר ברשת מורכב ממילים, צלילים, תמונות, תוכנות ועוד. והאופן בו מידע רב זה מועבר בין כל מקור ליעדו הוא בצורה של חבילות.
במאמר זה יורחב מעט על האופן בו ניתן 'לתפוס' את אותן החבילות ועל מה ניתן להבין מתוכם.
הגדרות
Packet ובעברית חבילת מידע או חבילת נתונים היא הדרך בה הנתונים מועברים ברשת. חבילות מאפשרות לרשת המחשבים להעביר נתונים בצורה אמינה ויעילה.
בכל חבילת נתונים (פקטה) בסיסית קיימים שני חלקים: תקורה (header) מכיל את המידע הנחוץ על מנת להעביר את החבילה מהמקור אל היעד.
והנתונים: ( payload או data) המכילים את הנתונים בחבילה. (לחלק מהחבילות קיים גם חלק שלישי שנקרא trailer או סוגר ותפקידו לסמן שזהו סוף החבילה)
PCAP
קיצור של Packet Capture , תרגום: לכידת חבילה והוא ממשק ללכידת תעבורת רשת.
קבצי PCAP הם קבצים המכילים הקלטה של תעבורת הרשת שנערכה בין מקורות ויעדים בזמן מסוים, ומשמשים לניתוח ולניטור התעבורה.
נתוני קבצי PCAP מספקים את המידע הנצרך כדי למצוא ולפתור בעיות בביצועי הרשת וכן בשביל לחקור התקפות שנערכו ולהבין כיצד לשפר את ההגנה והתפקוד התקינים של הרשת.
PCAP analysis (ניתוח קבצי מנות)
ניתוח קבצי מנות היא דרך טובה לזהות פריצות לרשת ופעילות חשודה אחרת.
בעזרת תוכנות וכלים כמו Wireshark ניתן להקליט בזמן אמת את תעבורת הרשת ולתרגם אותה לפורמט הניתן לקריאה אנושית.
Wiresharkהיא תוכנה לניתוח מנות רשת. התוכנה חופשית, מבוססת קוד פתוח, המובילה והנפוצה ביותר כיום .היא משמשת לפתרון בעיות, לניתוח תעבורת רשת, פיתוח פרוטוקולי תוכנה ותקשורת ועוד. ומתאימה לשימוש על מגוון מערכות הפעלה כגון ווינדוס, מק ולינוקס ועוד.
השימושים העיקריים ב-Wireshark:
- מנהלי רשת משתמשים בה כדי לפתור בעיות רשת
- מהנדסי אבטחת רשת משתמשים בה כדי לבחון בעיות אבטחה
- מהנדסי QA משתמשים בה כדי לאמת יישומי רשת
- מפתחים משתמשים בה כדי לסנן באגים ביישומי פרוטוקול
- תלמידים משתמשים בה כדי ללמוד ולהבין פרוטוקולי רשת
Wireshark מאפשרת לסנן את סוג תעבורת הרשת הנלכדת ולאחר מכן לסנן שוב, מהתעבורה שנלכדה, את התעבורה הספציפית שתוצג.
שיטה זו מקלה על מלאכת חקירת תעבורת הרשת בכך שניתן לבחור לפי הצורך איזה מידע יוקלט ומה המידע שיוצג, מבלי הצורך להקליט את הכול ולעבור על כל המידע הרב שעבר ברשת באותו הזמן.
לאחר שתעבורת הרשת המסוננת נאספת, ניתן להשתמש במידע מהחבילות שנלכדו כדי לפתור בעיות כמו זיהוי שימוש מכביד של יישומים או התחקות אחר מקורה של תוכנה זדונית אשר פרצה לרשת.
לשם חידוד, Wireshark היא לא מערכת לזיהוי חדירה, היא לא תזהיר כאשר נעשה משהו אסור ברחבי הרשת, אולם כאשר נעשה דבר כזה היא יכולה לעזור להבין מה ואיך קרה. Wireshark לא משנה תעבורת רשת או שולחת תעבורת רשת משל עצמה, היא 'רק צופה' בתעבורה המתקיימת ברשת. מסננת מקליטה ומציגה את החבילות שעברו ברשת.
התקנת Wireshark(Windows)
ניתן להשיג את הגרסה העדכנית של Wireshark דרך האתר הרשמי בכתובת:
https://www.wireshark.org/download.html
(במהלך ההתקנה נישאל אם להתקין את ספריית Npcap ההכרחית ללכידת תעבורת רשת, לסמן כן. )
בברירת המחדל הממשק יראה כך כאשר נפתח את תוכנת Wireshark
- רשימת חיבורי הרשת השונים מימין משתנה ממחשב למחשב וממערכת הפעלה אחת לאחרת.
- ניתן לשים לב לחיבורים בהם מתקיימת תקשורת לפי הגרפים הפעילים משמאל.
האזנה, הקלטה ושמירת תעבורת רשת
- כדי להאזין לחיבור רשת מסוים, צריך ללחוץ על שם החיבור (ניתן להאזין למספר חיבורים בו זמנית ע"י בחירה מרובה באמצעות מקש CTRL) ולאחר מכן, לחיצה על סמל Wireshark למעלה מימין.
- עצירת ההקלטה מתבצעת ע"י לחיצה על הסמל המרובע האדום.
לאחר מכן ניתן לחקור, לשמור ולייצא את ההקלטה בתצורת קובץ PCAP בעזרת הסמלים השונים שבשורת המשימות למעלה.
- לאחר שהאזנו לתעבורת הרשת שלנו, או לאחר טעינת קובץ PCAP ממקור אחר, המסך יראה כך .
כאשר הנתונים בטבלה הינם, מלמעלה למטה
- שורת החיפוש דרכה ניתן לסנן את החבילות שנלכדו לפי מקור או יעד החבילה, הפרוטוקול אותו החבילה 'מדברת', פקודות ספציפיות הכלולות בחבילה ועוד אפשרויות רבות בהן ניתן לסנן את המידע שהוקלט.
- רשימת הפקטים (חבילות) שהוקלטו.
- פרטי כל חבילה שנבחרה מן הרשימה.
- הצגת המידע שבחבילה לפי בסיס הקסדצימלי ולפי קוד ASCII.
- ניתן גם להשתמש בכלים רבים המובנים בתוכנה לשם חקירה, הצגה וקבלת סטטיסטיקות על ומהמידע שהוקלט, לדוגמה הצגת הנתונים כגרף או טבלה, לפי קריטריונים כגון פרוטוקול, זמן, כמות, כיוון החבילות ועוד.
- כלי נוסף של Wireshark נקרא TShark והוא מאפשר דרך נוספת ללכידה, קריאה וניתוח של נתוני מנות, ללא שימוש בממשק בעל תצורה גרפית אלא ע"י שורת פקודה.
לשימוש בכלי כזה לעומת כלי בעל ממשק גרפי, קיימים יתרונות כמו האפשרות לקבל בדיוק מה שמבקשים ולא יותר, מה שמאפשר עבודה פשוטה ומהירה, נקייה ויעילה.
ולסיום, דוגמה לניתוח נתוני מנות הנעשה באמצעות התקן פיזי המתחבר לרשת ומקליט את התעבורה.
להתקן יש ממשק גרפי בעל אפשרויות רבות לחקירה ולמיפוי התעבורה.
לקריאה נוספת
Wiresharkc User’s Guide – https://www.wireshark.org/docs/wsug_html_chunked/index.html
קבצי PCAP להורדה וחקירה – https://www.netresec.com/?page=PcapFiles
התקן פיזי ללכידת מנות – https://packetpushers.net/savvius-upgrades-insight-packet-capture-appliances/
הדגמת שימוש ב-TShark – https://www.youtube.com/watch?v=w9mSPvacba0
Packet Sniffer – https://he.wikipedia.org/wiki/%D7%A8%D7%97%D7%A8%D7%97%D7%9F
תקשורת אינטרנט לוויניתStarlink – https://he.wikipedia.org/wiki/Starlink