Hoe netwerkverkeer vast te leggen en te analyseren met behulp van NetworkMiner
Netwerkbeveiliging is een van de belangrijkste aandachtspunten bij het maken of monitoren van een netwerk. De netwerkbeheerders voeren willekeurige audits uit van het netwerkverkeer door de netwerkgegevens vast te leggen en de pakketten te analyseren die van de ene host naar de andere worden verzonden. In dit artikel bespreken we hoe u netwerkverkeer kunt vastleggen en analyseren met behulp van de NetworkMiner-tool, maar pas na een korte les over packet sniffing.
Het verschil tussen actief en passief snuiven
Snuiven is een techniek voor het verzamelen van netwerkinformatie door netwerkpakketten te maken. Er zijn twee soorten snuiven: actief snuiven en passief snuiven. Bij actief snuiven verzendt de pakketsnuif-software verzoeken over het netwerk en berekent vervolgens in reactie de pakketten die door het netwerk gaan.
Passief snuiven vertrouwt niet op verzendverzoeken. Deze techniek scant het netwerkverkeer zonder te worden gedetecteerd op het netwerk. Het kan handig zijn op plaatsen waar netwerken kritieke systemen draaien, zoals procesbesturing, radarsystemen, medische apparatuur of telecommunicatie, enz.
Houd er rekening mee dat een pakketsniffer alleen op een gemeenschappelijk botsdomein kan werken. Dat betekent dat u alleen een pakketsniffer kunt gebruiken op een netwerk waarvan u deel uitmaakt. Dit houdt in dat een pakketsniffer niet kan worden gebruikt voor een hackpoging van buiten het netwerk.
Voorbereiding voor het uitvoeren van NetworkMiner
NetworkMiner is een hostcentrische netwerkanalysetool met passieve snuffelmogelijkheden. Hostcentrisch betekent dat het gegevens verzamelt met betrekking tot de hosts in plaats van de pakketten (dit wordt gedaan door de meeste actieve sniffing-tools).
De gebruikersinterface van NetworkMiner is verdeeld in tabbladen. Elk tabblad biedt een andere informatiehoek van de vastgelegde gegevens. Hieronder volgen de stappen voor het uitvoeren van NetworkMiner om het netwerkverkeer te analyseren:
1. Als u Windows 7 of Windows 8 gebruikt, moet u NetworkMiner.exe uitvoeren met beheerdersrechten.
2. Selecteer de netwerkinterface waarvoor de gegevens moeten worden vastgelegd.
3. Standaard is het tabblad Hosts geselecteerd. U kunt hosts sorteren op IP-adres, MAC-adres, hostnaam, besturingssysteem enz.
Druk op de startknop om het snuiven te starten.
Analyse van gegevens in NetworkMiner
Op het tabblad Hosts ziet u een lijst met hosts die op het netwerk zijn aangesloten. U kunt elke host uitbreiden om gedetailleerde informatie te zien, zoals het MAC-adres, de hostnaam, het besturingssysteem, TTL, open poorten, verzonden en ontvangen pakketten, enz. Een goede netwerkbeheerder heeft altijd een overzicht van welke gegevens naar en van zijn netwerk worden verzonden. De lijst met hosts geeft u een beter idee van het type netwerkverkeer dat u gebruikt.
Als u een verdachte host vindt, kunt u deze altijd blokkeren via uw firewall. De firewall moet de firewall zijn van waaruit al het netwerkverkeer passeert voordat de bestemmingen zijn bereikt. Als u de host op uw systeemfirewall blokkeert, wordt deze alleen op uw systeem geblokkeerd.
Als u een andere netwerksniffer gebruikt die het PCAP-bestand kan opslaan, kan NetworkMiner ook het PCAP-bestand analyseren en de gegevens offline laten doorlopen.
Een slimme functie van NetworkMiner is dat het de via het netwerk verzonden bestanden weer in elkaar kan zetten en vervolgens in volledige vorm kan downloaden. Dit kan gedaan worden op het tabblad Bestanden. U kunt ook afbeeldingen van het netwerkverkeer vastleggen en downloaden via het tabblad Afbeeldingen.
Het verzenden van wachtwoorden in clear kan zeer gevaarlijk zijn voor het netwerk als geheel. Als u wilt controleren of een host wachtwoorden verzendt in niet-gecodeerde tekst, kunt u deze zien op het tabblad Inloggegevens.
Conclusie
NetworkMiner kan erg handig zijn voor wifi-netwerken die voortdurend openstaan voor nieuwe bedreigingen. Het kan het netwerkverkeer regelmatig controleren en analyseren om kwetsbaarheden en zwakke plekken te blokkeren.
Als u een netwerk gebruikt, welke packet sniffing tool gebruikt u dan om uw beveiliging te controleren? Analyseert en controleert het? Ik had Wireshark gebruikt maar ben verliefd geworden op NetworkMiner vanwege de eenvoud en het gebruiksgemak.
Afbeeldingscredit: dekking van Crawdad Network-Reuters