WinDump و TcpDump دو Network Analyzer برای بررسی ترافیک
در شبکه می باشند. این دو ابزارهایی هستند برای مشاهده Packet های مبادله شده در شبکه ، TcpDump برای لینوکس و WindDump برای ویندوز مورد استفاده قرار میگیرد. در این مقاله قصد بر آن است تا آشنایی نسبتاً مناسبی با WinDump کسب نماییم.
WinDump نرم افزاری است که امکان مشاهده ترافیک جاری در شبکه را فراهم آورده و توانایی تحلیل را نیز در اختیار ادمین شبکه قرار میدهد. این نرم افزار به عبارتی یکی از ابزارهای شنود ترافیک محسوب میگردد که برای جمع آوری اطلاعات از شبکه، فیلتر بیت های مورد نظر و نمایش خروجی در فرمتی خوانا برای انسان استفاده میشود. همانطور که گفته شد WinDump همان TcpDump میباشد و یک آنالیز کننده Packetهای شبکه است و از طریق خط فرمان یا Command Line قابل اجر میباشد، WinDump کاملاً با TcpDump سازگار بوده و تمامی دستورات و ویژگی های آن را در ویندوز محیا مینماید. درصورتی که قصد شنود Packet های رد و بدل در شبکه خودمان را برای آنالیز کردن شبکه داشته باشیم، این ابزار به راحتی این مهم را فراهم می آورد تا Packetهای شبکه را بر روی یک کارت شبکه یا network Interface Card مشخصی ردیابی کنیم و به راحتی مسیر آنها را نیز شناسایی نماییم.
ترافیک شبکه در قالب بسته هایی از دیتا منتقل میشوند و هر بسته دیتا شامل اطلاعاتی است که باید در شبکه و بین نودهای مختلف جابجا شوند، این اطلاعات در TCP Header ذخیره مشوند. هدر TCP شامل آدرس های مبدأ و مقصد، اطلاعات مربوط به وضعیت بسته و اطلاعات هویتی پروتکل ها میباشد. مابقی فضای پکت شامل اصل اطلاعاتی است که باید منتقل شود. تجهیزاتی که مسئول مسیریابی در شبکه میباشند، اطلاعات موجود در این بسته ها را بررسی کرده و آن ها را به سمت مقصد صحیح که در هدرشان مشخص شده، هدایت میکنند. در شنود اطلاعات یا sniffing میتوان بصورت پسیو و غیر مستقیم اطلاعات را مانیتور کرده و یک کپی از آن ها تهیه کرد، در پروسه کار با Windump نوع شنود پسیو میباشد چون بصورت مستقیم بر روند ارسال اطلاعات اثری ندارد و در کنار آن کار خود را انجام میدهد. این ابزار شنود بسته های اطلاعاتی که قرار است توسط مدیران شبکه و اتکرها جهت تحلیل ترافیک موجود در شبکه استفاده شوند را بازسازی مینماید، در واقع دو کاربرد تحلیل اطلاعات و همچنین تشخیص وجود ارتباط بین مبدأ و مقصد در این ابزار شاخصه مهمی است.
نرم افزار TcpDump برای سیستم عامل ویندوز Windump می باشد که از کتابخانه Winpcap که نسخه تطبیق داده شده linpcap برای ویندوز می باشد، استفاده مینماید.
Winpcap نام دسته ای از کتابخانه های برنامه نویسی است که از طریق آنها میتوان اقدام به ضبط کردن ترافیک شبکه در سیستم عامل ویندوز نمود، در حقیقت winpcap پورتی از libpcap میباشد. برنامه های شنود و پویشگر شبکه میتوانند از این کتابخانه برای ضبط کردن و بدست آوردن بسته هایی که در حال گردش در شبکه هستند، استفاده کنند. در نسخه های جدیدتر این کتابخانه، میتوان بسته هایی را در لایه پیوند داده بر روی شبکه ارسال کرد یا لیست تمام رابط های شبکه را بدست آورد. این کتابخانه به زبان C نوشته شده است اما زبان های دیگر مانند جاوا، net. و دیگر زبان های مفسری هم میتوانند به کمک یک جلد کتابخانه آنرا در فرآیند خود پیاده سازی نمایند. از طریق کتابخانه ها بسته های شبکه از طریق کارت شبکه ضبط شده و در یک فایل ذخیره میگردند همچنین فایل هایی که حاوی بسته های ذخیره شده خوانده میشوند، در این صورت برنامه Windump می توانند بسته های شبکه را ضبط کرده و آنها را برای اهداف مختلف خود آنالیز کنند.
نصب نرم افزار WinDump برروی سیستم عامل ویندوز شامل دو مرحله، ابتدا نصب WinPcap و سپس نصب خود WinDump میباشد. دلیل نصب اولیه کتابخانه و لزوم وجود آن در سیستم این است که WinPcap درایورهایی برای Capture کردن Network ما هستند و به اپلیکیشن های شبکه این امکان را می دهد تا بتوانند Packet ها را در شبکه Capture کنند. این کتابخانه باتوجه به قابلیت هایی که دارد میتواند نقش یک موتور Filtering و Capturing کردن Packet ها در بسیاری از ابزارهای شبکه مانند Protocol Analyzer ها، Network Monitorها، Sniffer ها را ایفا نماید. در همین راستای شناخت اهمیت این کتابخانه باید گفت که یکی از ابزار های قوی به نام WireShark نیز در ابتدای نصب و استفاده به WinPcap نیاز دارد. در فرآیند فعال سازی برای نصب WinPcap کافی است از سایت اصلی https://www.winpcap.orginstalldefault.htm آخرین نسخه آن دانلود گردد و برای دانلود WinDump هم از آدرس http://www.winpcap.orgwindumpinstall/default.htm استفاده کرد، بعد از نصب WinDump باید Command Prompt را اجرا کنیم و دایرکتوری windump.exe را مطابق درایو نصب شده در سیستم تغییر دهیم.
. دستوراتی که برای کار کردن با WinDump مورد استفاده قرارمیگرند را میتوان بشرح زیر نام برد:
1. دستور WinDump.exe –help : به منظور این است که گزارشی از Option های نرم افزار داشته باشیم.
2. دستور WinDump.exe –D : لیستی از Interface های موجود که میتوان برروی آنها عملیات Capture Packet انجام داد را نشان میدهد.
3. دستور WinDump.exe : این دستور برای Capture کردن Packet ها بر روی تمام Interface های در دسترس است.
4. دستور WinDump.exe –i (interface number) : با استفاده از آن به Interface مشخص شده توسط پارامتر –i فرمان صادر میگردد.
5. دستور WinDump.exe –i (interface number) port (port number) : این خط فرمان دو قابلیت برای Capture اطلاعات را در اختیار کاربر نرم افزار قرار میدهد، یکی برای مشخص کردن شماره Interface مدنظر و دیگری هم برای شماره Port میباشد.
6. دستور WinDump.exe (output file name): جهت Capture کردن Packet ها بر روی Interface های در دسترس و سپس ذخیره کردن آن ها در یک Output File میباشد که می تواند برای آنالیز از آنها استفاده کرد.