مقدمة في تعلم الـ Network Forensics

Security
سنبدأ سويا تعلم علم التحليل الجنائي للشبكات network forensics و نبني عقلية المحقق الجنائي و نتعلم عمليا على حالات مختلفة
Mohamed Ewies
Dec. 10, 2023, 3:04 p.m.
mohamed_ewies
مقدمة في تعلم الـ Network Forensics

مقدمة

سنبدأ سويا تعلم علم التحليل الجنائي للشبكات network forensics قبل أن نبدأ انت تحتاج لأساسيات الشبكات.

انظر لهذه السلسلة من الفيديوهات باللغة العربية ستساعدك إن شاء الله أساسيات الشبكات 

اقرأ ايضا الجزء الثاني :تعلم الـ network forensics عن طريق الـ packet filtering في wireshark

اقرأ ايضا الجزء الثالث : تعلم الnetwork forensics عن طريق استعمال خاصية الإحصائيات في wireshark

اقرأ ايضا الجزء الرابع : تعلم الـ network forensics باستخدام Wireshark Protocol Streams و استخراج الملفات من الـ pcap

اقرأ ايضا الجزء الخامس : تعلم ال network forensics و التحقيق في حالات هجمات عملية بإستخدام wireshark

التحدي العملي الأول : حل تحدي Web Shell من منصة BTLO

التحدي العملي الثاني : حل تحدي Tomcat Takeover من منصة CyberDefenders


ما هو التحليل الجنائي للشبكات؟

الطب الشرعي للشبكة يتضمن التحليل الجنائي للشبكة , مراقبة ودراسة كيفية تواصل أجهزة الكمبيوتر مع بعضها البعض في الشبكة للعثور على أدلة حول من قد يفعل أشياء سيئة . وهذا أمر مهم لأن العديد من الأشخاص يستخدمون الشبكات لأشياء مثل إرسال رسائل البريد الإلكتروني والتسوق، لذلك يحتاج المحققون إلى أن يكونوا قادرين على متابعة المسار عبر الشبكة للعثور على الأدلة. غالبًا ما يتحرك المهاجمون عبر الشبكة قبل إصابة الهدف (lateral movement and pivoting) ، مما يترك آثارًا يمكن اكتشافها واسترجاعها من خلال التحليل الجنائي للشبكة. ومن خلال التقاط الأحداث على الشبكة وتسجيلها وتحليلها، يمكن للمحققين تحديد مصدر الهجمات الإلكترونية. يعد فهم التحاليل الجنائية للشبكة أمرًا بالغ الأهمية لتحديد الجرائم الإلكترونية ومنعها. فهو يساعد المحققين على اكتشاف الحالات الشاذة في حركة المرور، وتحديد أنماط الهجوم، واكتشاف التسلل.


أول الأدوات في التحقيقات : Wireshark

سنقدم نظرة عامة على Wireshark وميزاته والفوائد التي يقدمها لمحللي الأمن. ما هو Wireshark ؟ 
Wireshark هي أداة شاملة لتحليل الشبكة تقوم بالتقاط البيانات وتحليلها والتي تساعدك على استكشاف مشكلات الشبكة وإصلاحها وإجراء التحقيقات الجنائية من منظور الشبكة.


 تشمل الوظائف الرئيسية لبرنامج Wireshark ما يلي: 

 

  •  الالتقاط والتحليل: يتيح لك Wireshark التقاط حركة مرور الشبكة وإجراء تحليل مفصل، مما يتيح لك فحص الحزم والبروتوكولات والاتصالات بين الأنظمة.

  •  تشريح البروتوكول: توفر Wireshark أدوات تشريح البروتوكول المتقدمة التي يمكنها فك تشفير بروتوكولات الشبكة المختلفة وتفسيرها، مما يوفر نظرة ثاقبة حول بنية حزم الشبكة (network packets) ومحتواها.

  •  التصفية والبحث (filtering and search) : يوفر Wireshark إمكانات تصفية وبحث قوية، مما يسمح لك بالتركيز على حركة مرور محددة على الشبكة والعثور بسرعة على المعلومات ذات الصلة ضمن عمليات التقاط الحزم packets الكبيرة.

  •  التصور (visualization)وإعداد التقارير: توفر Wireshark أدوات التصور والقدرة على إنشاء تقارير مفصلة، مما يسهل فهم بيانات حركة مرور الشبكة .


فوائد وايرشارك:

  •   استكشاف الأخطاء وإصلاحها وحل المشكلات: من خلال تحليل حركة مرور الشبكة، يمكنك تحديد السبب الجذري للمشكلات، مثل زمن وصول الشبكة، أو فقدان الحزمة packet ، أو الأجهزة التي تم تكوينها configured بشكل خاطئ.

  •   التحليل الأمني: يُستخدم Wireshark على نطاق واسع في التحقيقات المتعلقة بأمن الشبكات. من خلال تحليل أنماط حركة مرور الشبكة وفحص حمولات الحزم packet payloads، يمكنك اكتشاف الحوادث الأمنية والتحقيق فيها، وتحديد الأنشطة الضارة، والكشف عن التهديدات المحتملة.

  •   تحسين الأداء: باستخدام Wireshark، يمكنك تحليل مقاييس أداء الشبكة، مثل استخدام النطاق الترددي bandwidth utilization ، وأوقات الاستجابة response time ، وزمن وصول التطبيق. تساعدك هذه المعلومات على تحسين تكوينات الشبكة network configurations وتحسين الأداء العام.

  •   الامتثال والتدقيق compliance and auditing : يمكن أن تساعد Wireshark في مراقبة الامتثال والتدقيق من خلال التقاط وتحليل حركة مرور الشبكة للامتثال للمعايير التنظيمية  compliance   with regulatory standards وتحديد انتهاكات السياسة المحتملة، وإنشاء تقارير تدقيق مفصلة.


التعرف على ال Wireshark :


الواجهة الرئيسية :
 

  1. شريط الأدوات: يوفر وصول سهل إلى الميزات شائعة الاستخدام، مما يسمح للمحللين بأداء مهام مثل التقاط الحزم وتصدير البيانات data export وملخصات تحليل الاتصالات communication analysis summary.
  2. عرض شريط التصفية display filter : يوفر القدرة على تصفية الحزم التي يتم عرضها، مما يسمح للمحللين بالتركيز على حركة مرور شبكة معينة محل اهتمام.
  3. الملفات الأخيرة recent : يعرض مجموعة من ملفات التقاط الحزم التي تم الوصول إليها مؤخرًا.
  4. مرشح الالتقاط والواجهات capture filter and interfaces : يحتوي على قائمة بالواجهات المتاحة على الجهاز الحالي، والتي يمكنك اختيار واجهة واحدة أو عدة واجهات لالتقاط حركة المرور منها.
  5. شريط الحالة status bar : يعرض تفاصيل حول ملفات التقاط الحزمة المفتوحة حاليًا.


واجهة تحليل الحزم (packet analysis) :
 

 

  1. اسم الملف: يعرض اسم الملف الذي تم تحميله في Wireshark.
  2. قائمة الحزم: يعرض ملخص للحزم الملتقطة، بما في ذلك رقم الحزمة والوقت وعناوين المصدر والوجهة والبروتوكولات.
  3. تفاصيل الحزمة: يوفر عرضًا شاملاً للحزمة المحددة، ويقدم معلومات مثل بيانات الحمولة وأي بيانات تعريف تم التقاطها.
  4. Packet Bytes: يقدم تمثيل hexadecimal وASCII للبيانات الأولية raw data للحزمة، مما يسمح بتحليل وفحص محتوى الحزمة.
  5. إجمالي عدد الحزم: يعرض هذا العدد الإجمالي للحزم التي تم التقاطها أو تحميلها .
  6. الحزم المعروضة: تشير إلى عدد الحزم المعروضة حاليًا في جزء قائمة الحزم .


Wireshark وخصائص الملفات :


الملفات الملتقطة (packed capture files)  :

تعد ملفات التقاط الحزم أمرًا أساسيًا لتحليل الشبكة والطب الشرعي، حيث توفر بيانات حركة مرور الشبكة المسجلة لإجراء فحص متعمق. سنركز يا صديقي على تنسيقين من ملفات التقاط الحزم المستخدمة على نطاق واسع: pcap وpcapng.


 pcap (التقاط الحزمة): 

إن تنسيق pcap، الذي طوره فريق tcpdump، هو تنسيق ملف التقاط حزم معتمد على نطاق واسع.
 يقوم بتخزين حركة مرور الشبكة التي تم التقاطها بتنسيق ثنائي binary، مع الحفاظ على تفاصيل الحزمة مثل الحمولات والطوابع الزمنية.
 يتم دعم ملفات pcap بواسطة العديد من أدوات تحليل الشبكة، مما يجعلها خيارًا جيدًا لالتقاط وتحليل حركة مرور الشبكة. 


pcapng (الجيل القادم من pcap):

 Pcapng هو تنسيق ملف التقاط حزم محسّن مصمم للتغلب على قيود تنسيق pcap. وهو يدعم الميزات المتقدمة مثل التقاط البيانات التعريفية للواجهة interface metadata، والتقاط الواجهة المتعددة multiple interface  وتخزين معلومات إضافية مثل التعليقات والكتل المحددة من قبل المستخدم user defined blocks  والتعليقات التوضيحية للحزمة. يوفر Pcapng مرونة وقابلية توسع أكبر من pcap، مما يتيح تحليلًا أكثر شمولاً للشبكة.


إمكانية التشغيل البيني والتحويل interoperability and conversion :

 لضمان إمكانية التشغيل البيني بين أدوات تحليل الشبكة المختلفة، قد يكون من الضروري تحويل ملفات التقاط الحزم بين تنسيقات pcap وpcapng. توفر أدوات مثل Wireshark وظيفة لتحويل ملفات الالتقاط من تنسيق إلى آخر، مما يسمح بالتعاون والتحليل السلس عبر منصات مختلفة .


الضغط وحجم الملف :

 يمكن أن تصبح ملفات التقاط الحزم كبيرة الحجم، خاصة مع جلسات الالتقاط الطويلة. لتقليل حجم الملف ومتطلبات التخزين، يمكن ضغط ملفات pcap وpcapng باستخدام خوارزميات الضغط القياسية مثل Gzip (.gz) أو Zstandard (.zst). تحتفظ ملفات الالتقاط المضغوطة بتنسيقها الأصلي ويمكن فك ضغطها لتحليلها مما يساعدنا على توفير المساحة يا صديقي :) .


التقاط خصائص الملفات (capture file properties) : 

سنشرح شئ من قائمة statistics ولا تقلق سنقم بشرح القائمة ومميزاتها اكثر في الدرس القادم إن شاء الله :)

 

يسمح هذا القسم بعرض وتحرير مثل هذه تعليقات. من خلال الاستفادة من الرؤى القيمة التي توفرها نافذة "خصائص ملف الالتقاط"، يمكن لمحللي الطب الشرعي للشبكة فحص ملفات الالتقاط وتحليلها بشكل فعال، واستخراج المعلومات المهمة والكشف عن أنماط ذات معنى داخل حركة مرور الشبكة التي تم التقاطها.

 

 

  1. الملف: معلومات عامة حول ملف الالتقاط، بما في ذلك مساره الكامل وحجمه وتجزئة التشفير وتنسيق الملف والتغليف.
  2. الوقت: الطوابع الزمنية للحزمة الأولى والأخيرة في الملف، مع الفارق الزمني بينهما. تساعد هذه المعلومات في تحديد مدة الالتقاط وإنشاء جدول زمني لربط أحداث الشبكة بالعناصر الأخرى. 
  3. الالتقاط: معلومات حول بيئة الالتقاط. لاحظ أن تنسيق pcapng يدعم هذه الميزة، بينما لا يدعمها تنسيق pcap ركز :) .
  4. الواجهات: تفاصيل حول واجهة (واجهات) الالتقاط المستخدمة أثناء الالتقاط، مما يوفر رؤى حول أجهزة الشبكة المعنية. 
  5. الإحصائيات: ملخص إحصائي لملف الالتقاط.
  6. التقاط تعليقات الملف: تسمح بعض تنسيقات ملفات الالتقاط، ولا سيما pcapng، بالتعليقات النصية للملف بأكمله. 


خاتمة :

وهكذا يا صديقي ولله الحمد أنتهينا من درسنا الأول في مقدمة للتحليل الجنائي للشبكات introduction into network forensics أراك في المقالة القادمة إن شاء الله , اسأل الله تعالى أن تكون المادة المشروحة سهلة ميسرة فإن وفقت فمن الله وإن أخفقت فمن عملي وعمل الشيطان نعوذ بالله من شرور أنفسنا ومن شرور أعمالنا ومن الشيطان الرجيم وادعموا إخوانكم المسلمين في فلسطين وإدلب وأفغنستان والإيغور وتركستان الشرقية وكل مكان بالدعاء والتوبة والطاعات ولا تتهاون او تخف أبدا من نصرة إخوانك قال رسول الله صلى الله عليه وسلم : إنَّ المُؤْمِنَ لِلْمُؤْمِنِ كَالْبُنْيَانِ يَشُدُّ بَعْضُهُ بَعْضًا. وشَبَّكَ أصَابِعَهُ. الراوي : أبو موسى الأشعري | المحدث : البخاري | المصدر : صحيح البخاري الصفحة أو الرقم: 481 | خلاصة حكم المحدث : [صحيح] واسأل نفسك دائما في كل كلمة أو زعم هل أنت صادق ؟ كي تثبت لأهلك أنك كبرت وأصبحت رجلا بالغا تحاول أن تتحمل المسؤليات وتساعدهم ما استطعت هكذا انت اثبت زعمك بالأفعال فالأفعال هي التي تثبت الأقوال ويا صديقي أن تتحمل مسؤلية إلقاء القمامة ليست كتحمل مسؤلية المساعدة في النفقات في المنزل وهذا هو تفاوت الصدق ولذلك اسألك هل أنت صادق في أنك مسلم لله تفعل ما يأمرك وتجتنب ما نهاك عنه وتسعى في النوافل ؟ تذكر الغرض من وجودك في الحياة قال تعالى : وَمَا خَلَقْتُ الْجِنَّ وَالْإِنسَ إِلَّا لِيَعْبُدُونِ

المصادر : 

Fundamentals of Network Forensics

Wireshark Docs

network forensics digital forensics network wireshark التحليل الجنائي الشبكات التحليل الجنائي للشبكات blue team forensics learn