مشکل تداخل آدرس IP، تشخیص و چگونگی رفع آن

وجود یک ناسازگاری IP در شبکه شما می تواند مشکلات مختلفی را به دنبال داشته باشد و تشخیص تداخل آدرس IP اغلب به همان اندازه خود عیب یابی مشکل و زمان بر است. اگر در فکر این هستید که چگونه تداخل آدرس IP را برطرف کنید، در ادامه همراه ما باشید. در این مقاله، ما روش هایی را برای تشخیص، حل و جلوگیری از تعارض IP در شبکه خود بحث خواهیم کرد.

آدرس IP چیست؟

آدرس IP (“پروتکل اینترنت”) شماره شناسایی داده شده به یک دستگاه خاص در شبکه مانند کامپیوتر، تلفن همراه، روتر، سوئیچ شبکه و غیره است. این کد به دستگاه ها اجازه می دهد در سراسر شبکه شما ارتباط برقرار کنند، این یک رشته ی منحصر به فرد از اعداد است که به جریان صحیح اطلاعات کمک می کند. آدرس IP یک دستگاه از 32 عدد تشکیل شده است. بدون آدرس IP، داده ها نمی دانند از کجا به اینترنت سفر کنند.

می توانید یک آدرس IP را به عنوان کد پستی دستگاه در یک شبکه در نظر بگیرید. آدرس IP به دستگاه های شبکه شما کمک می کند تا داده ها را سریع و دقیق ارسال و دریافت کنند. اما، اگر بیش از یک آدرس IP در حال استفاده باشد، ممکن است مشکلاتی در انتقال داده های مناسب به مکان های مناسب وجود داشته باشد.

تقریباً هر سیستمی در یک شبکه معین، دارای آدرس IP عمومی و آدرس IP خصوصی است. همانطور که از نامها مشخص است، یک آدرس IP عمومی شما را به دنیای خارج پیوند می دهد در حالی که یک آدرس IP خصوصی فعالیت های محلی را در شبکه شما مدیریت می کند. علاوه بر خصوصی و عمومی، دو دسته اصلی آدرس IP وجود دارد:  آدرس IP پویا و آدرس IP ثابت.

 آدرس های IP پویا به طور خودکار در طول زمان تغییر می کنند، پردازش آن برای سرور ISP ساده ترین است و معمولاً با استفاده از DHCP ایجاد می شود. آدرس های IP ثابت با گذشت زمان ثابت می مانند، برای مدیریت و شناسایی ساده ترین هستند و معمولاً به صورت دستی تعیین می شوند.

زمانی که صحبت از شبکه های وسیع مشاغل و سازمان ها می شود، آدرس IP می تواند پویا و ثابت باشد. متأسفانه، اگر به طور دستی آدرس های IP را همراه با استفاده از DHCP ایجاد کنید، به طور تصادفی باعث ایجاد تداخل آدرس IP می شود. همچنین هنگام استفاده از بیش از یک سرور DHCP، داشتن آدرس های IP تکراری رایج است، به همین دلیل است که هرگز نباید این کار را انجام دهید.

IP Address Conflict چیست؟

 تداخل آدرس IP زمانی رخ می دهد که دو یا چند دستگاه در یک شبکه، آدرس IP را به اشتراک بگذارند. این برخورد باعث می شود که یک یا هر دو دستگاه ارتباط خود را با بقیه شبکه متوقف کنند، که می تواند منجر به مشکلات عدیده ای شود. پی بردن به چگونگی یافتن Conflict IP یا تداخل آدرس IP، و همچنین چگونگی رفع آن در هنگام وقوع، برای سلامت شبکه و دستگاه های آن بسیار مهم است.

نحوه تشخیص IP Address Conflict در شبکه ها:

معمولاً سیستم عامل شبکه شما در صورت برخورد با تداخل آدرس IP به شما اطلاع می دهد. بسته به سیستم عامل، این ممکن است به شکل یک پیام خطا باشد که به شما اطلاع می دهد یک آدرس IP تکراری در شبکه وجود دارد. هنگامی که سیستم شما یک IP Conflict پیدا می کند، رابط شبکه در هر دو طرف غیرفعال می شود. با این کار هر دستگاهی که دارای آدرس IP آسیب دیده است خاموش می شود و تا زمانی که  IP Conflict برطرف نشود، عملکردها غیرفعال می شوند. برای مثال ویندوز چنین پیغامی می دهد:

گاهی اوقات، شبکه شما تداخل آدرس IP را تشخیص نمی دهد و هیچ اعلانی وجود نخواهد داشت، که باعث می شود مشکل مورد توجه قرار نگیرد. هنگامی که این اتفاق می افتد، آدرس های IP معتبری را در شبکه خود مشاهده خواهید کرد، اما اتصال به درستی کار نمی کند یا متناوب است. همچنین ممکن است پیام های خطای “شبکه در دسترس نیست” دریافت کنید، که شما را از علت واقعی مشکل آگاه نمی کند.

ممکن است شنیده باشید که اختلافات آدرس IP خود به خود اصلاح می شود. اما عدم دستکاری Conflict IP می تواند منجر به عوارض بیشتری در شبکه شما شود. و وقتی تعارض آدرس IP به خودی خود برطرف می شود، معمولاً زمان کمی طول می کشد و باعث می شود مشکلات بیشتری در زیر سطح ظاهر شود. بهتر است بلافاصله پس از بروز مشکل، راه حل های تعارض IP را جستجو کنید.

اگر در سیستم عامل ویندوز به چنین مشکلی برخورد کردید می توانید با چند مرحله مسئله را حل کنید:

قبل از هر کاری سیستم خود را مجدداً راه اندازی کنید. گاهی اوقات ریستارت کردن، اغلب این مسئله را حل می کند.

اگر مشکل حل نشد مراحل زیر را انجام دهید:

1. روی Start کلیک کنید و Run را انتخاب کنید.
2. “cmd” را در کادر تایپ کرده و روی OK کلیک کنید.

3. “ipconfig /release” را تایپ کرده و Enter را فشار دهید. با این کار آدرس IP فعلی سیستم شما آزاد می شود.

4. “ipconfig /Renew” را تایپ کرده و Enter را فشار دهید. این مجموعه جدیدی از آدرس های IP را به رایانه شما اختصاص می دهد.

5. Exit را تایپ کرده و Enter را فشار دهید تا آن پنجره بسته شود.

اگر باز هم کار نکرد، یک روش دیگر تغییر تنظیمات TCP/IP است. این تنظیمات اساساً به رایانه شما نحوه برقراری ارتباط با دیگران را آموزش می دهد. برای انجام این کار، مایکروسافت توصیه می کند از پروتکل DHCP استفاده کنید، که به طور خودکار آدرس های IP را به سیستم های شبکه شما اختصاص می دهد.

برای فعال کردن DHCP یا تغییر تنظیمات TCP/IP:

1. Start را انتخاب کنید و وارد مسیر مقابل Settings > Network & Internet شوید.

2. در صورت داشتن شبکه Wi-Fi ، Wi-Fi > Manage known networks را انتخاب کنید. شبکه موردنظر را برای تغییر تنظیمات انتخاب کرده و Properties را انتخاب کنید. (برای شبکه اترنت، اترنت را انتخاب کنید).
3. در بخش اختصاص IP ، Edit را انتخاب کنید.

4. در زیر ویرایش تنظیماتIP ، Automatic (DHCP) یا Manual را انتخاب کنید.

برای تنظیم دستی تنظیمات IPv4:

1. در زیر ویرایش تنظیمات IP ، Manual را انتخاب کنید، سپس IPv4 را روشن کنید.

2. برای تعیین آدرس IP، آدرس IP، طول Subnet و Gateway را تایپ کنید.
3. برای تعیین آدرس سرور DNS ، در کادرهای Preferred DNS و Alternate DNS ، آدرس سرورهای DNS اصلی و ثانویه را تایپ کنید.

برای تنظیم دستی تنظیمات IPv6:

1. در زیر ویرایش تنظیمات IP، Manual را انتخاب کنید، سپس IPv6 را روشن کنید.

2. برای تعیین آدرس IP، آدرس IP، طول Subnet و Gateway را تایپ کنید.
3. برای تعیین آدرس سرور DNS ، در کادرهای Preferred DNS و Alternate DNS ، آدرس سرورهای DNS اصلی و ثانویه را تایپ کنید.
4. وقتی Automatic (DHCP) را انتخاب می کنید، تنظیمات آدرس IP و تنظیم آدرس سرور DNS به طور خودکار توسط روتر یا نقطه دسترسی دیگرتنظیم می شوند.
5. وقتی Manual را انتخاب می کنید، می توانید تنظیمات آدرس IP و آدرس سرور DNS خود را به صورت دستی تنظیم کنید.
6. Save را انتخاب کنید.

عوامل بوجود آمدن تداخل آدرس IP:

چند علت وجود دارد که ممکن است ناسازگاری آدرس IP رخ دهد، که برخی از آنها را در زیر شرح داده ایم:

ـ DHCP Errors:

خطاهای طبیعی ممکن است در سرور DHCP شما رخ دهد و باعث شود DHCP از آدرس IP یکسانی برای چندین دستگاه استفاده کند. گاهی اوقات DHCP به یک سیستم جدید آدرس IP پویا می دهد که قبلاً به عنوان آدرس IP ثابت استفاده می شده است. DHCP همچنین می تواند شماره آدرس IP تولید شده را از دست بدهد.

یکی از راه های پیشگیرانه برای جلوگیری از درگیری آدرس IP، تعریف محدوده DHCP است. دامنه DHCP، به DHCP مجموعه ای از آدرس های IP برای انتخاب می دهد، بنابراین می توانید شانس ایجاد آدرس های IP تکراری از DHCP را کاهش دهید. گرچه همه سرورهای DHCP، این کار را انجام نمی دهند. به عنوان مثال، ادمین شبکه ممکن است آدرس IP 192.168.1.10 را به دستگاه A (تخصیص IP ثابت) اختصاص داده باشد و سرورDHCP که در آن شبکه کار می کند، ممکن است همان آدرس IP را به دستگاه شبکه درخواست کننده اختصاص دهد. (تخصیص IP پویا) ؛ این می تواند باعث شود که دو دستگاه مختلف آدرس IP یکسانی داشته باشند و باعث ایجاد ناسازگاری IP در شبکه شود.

ـ خطای تکرار IP ثابت:

گاهی اوقات ادمین ممکن است به طور تصادفی دو آدرس IP ثابت یکسان ایجاد کند. در این شرایط با اختصاص مجدد یک آدرس IP ثابت به سیستم آسیب دیده، به راحتی می توان آن را اصلاح کرد.

ـ خطاهای حالت (standby) آماده به کار:

ناسازگاری آدرس IP می تواند بعد از ” standby” دستگاه از عدم استفاده برای مدتی رخ دهد. اگر به مدت زیادی دستگاه خاوش باشد، ممکن است آدرس IP آن فراخوانده شده و به دستگاه دیگری اختصاص داده شود، بنابراین وقتی دستگاه دیگری روشن می شود، از همان آدرس IP استفاده می کند.

ـ آدرس IP 0.0.0.0:

یک آدرس IP حاوی مقادیر فقط صفر، یک آدرس IP مشکل دار است. این بدان معناست که دستگاه شما می تواند شبکه را ببیند، اما چیزی در توانایی دریافت آدرس IP مناسب اختلال ایجاد می کند. چند راه برای رفع احتمالی این مشکل وجود دارد: به طور موقت فایروال دستگاه را غیرفعال کنید، سرور DHCP متصل را مجددا پیکربندی کرده و از فعال بودن آن اطمینان حاصل کنید و آداپتور شبکه خود را به درستی نصب کنید.

ـ تنظیمات شبکه معیوب:

خطاهای انسانی و پیکربندی در راه اندازی و مدیریت زیرساخت های شبکه پیچیده شامل چندین روتر، آداپتور و مودم می تواند باعث درگیری IP شود.

ـ خستگی روتر یا مودم:

استفاده بیش از حد از روترها و مودم های شبکه در شبکه های خانگی می تواند به دلیل لغزش های عملیاتی باعث ایجاد ناسازگاری آدرس IP شود.

چگونه از تداخل آدرس IP در شبکه ها جلوگیری کنیم:

رفع Conflict IP بستگی به این دارد که در وهله اول چه چیزی باعث ایجاد آن شده است. به عنوان مثال، اگر علت درگیری IP بین دو دستگاه، تنظیم دستی IP های استاتیک باشد، می توان با تغییر آدرس IP یکی از دستگاه ها و راه اندازی مجدد آن، این تعارض را برطرف کرد.

سه نوع رایج ناسازگاری آدرس IP وجود دارد که ممکن است در شبکه های سازمانی رخ دهد:

1. ناسازگاری IP توسط سرورهای DHCP ایجاد شده است
2. ناسازگاری IP بین سرور DHCP و تخصیص IP
3. تعارض IP بین رزرو IP و تخصیص IP

1ـ ناسازگاری IP توسط سرورهای DHCP ایجاد شده است:

سرورهای DHCP مسئول تنظیم خودکار پیکربندی آدرس IP به دستگاه هایی هستند که تحت عنوان لیزینگ IP شناخته می شوند ، برای فعال کردن اتصال به شبکه. آنها یک گزارش از اطلاعات اجاره نامه را که آدرس IP را به آدرس MAC دستگاهی که در حال دسترسی به آن است ترسیم می کنند. هرگونه خطا یا لغزش در این سوابق ممکن است منجر به تضاد آدرس IP در شبکه شود.

مورد 1: اطلاعات اجاره سرور

هنگامی که محدوده آدرس IP یک Subnet توسط بیش از یک سرور DHCP مدیریت می شود، مهم است که اطمینان حاصل کنید که اطلاعات اجاره IP-MAC در همه سرورهای DHCP درون Subnet یکسان است. ناسازگاری با آدرس MAC که از اطلاعات اجاره دو سرور DHCP بازیابی شده است نشان دهنده تضاد آدرس IP در شبکه است.

مورد 2: محدوده سرور همپوشانی دارد

هنگامی که بیش از یک سرور DHCP محدوده آدرس IP یک Subnet را مدیریت می کند، ممکن است همپوشانی دامنه آدرس بین سرورهای DHCP ایجاد شود و در نتیجه آدرس IP با هم در تضاد باشد.

راه حل:

برای شروع حل تداخل آدرس IP، آدرس MAC را بررسی کنید. اگر آدرس MAC مرتبط با آدرس IP متناقض مربوط به یک دستگاه شبکه یا میزبان است، با پیکربندی یک آدرس IP ثابت، اجاره DHCP خود را آزاد کنید، دامنه سرورهای DHCP را برای جلوگیری از همپوشانی تنظیم کنید و سپس دستگاه یا میزبان را برای استفاده پیکربندی کنید. یک آدرس IP اختصاص داده شده برای اتصال با شبکه.

2ـ ناسازگاری IP بین سرور DHCP و تخصیص IP

رزرو آدرس های IP به شما امکان می دهد یک IP خاص را در فضای آدرس خود به طور خاص کنار بگذارید. این IP های رزرو شده با آدرس MAC دستگاه پیکربندی می شوند. وقتی یک سرور DHCP این آدرس IP را به یک دستگاه شبکه دیگر اختصاص می دهد، نقض رزرواسیون منجر به تداخل آدرس IP می شود.

راه حل:

اگر آدرس MAC مرتبط با آدرس IP متناقض مربوط به دستگاه یا میزبان است، آدرس IP فعلی آن را رها کرد و دستگاه را با آدرس IP موجود پیکربندی کنید.

3ـ تعارض IP بین رزرو IP و تخصیص IP

IP های رزرو شده معمولاً با آدرس MAC ای مرتبط هستند که در سیستم مدیریت آدرس IP ذخیره شده اند. تعارض آدرس IP زمانی رخ می دهد که مخاطبین MAC با آدرس های MAC رزرو شده که توسط سیستم مدیریت آدرس IP، ردیابی می شود، تفاوت داشته باشد.

راه حل:

بررسی کنید آیا آدرس IP ثابت به MAC متعارض اختصاص داده شده است یا خیر. اگر بله، MAC را پیکربندی کنید تا آدرس IP را به صورت پویا از سرورهای DHCP دریافت کند. گزارشات سرور DHCP را برای وجود مغایرت بررسی کنید.

اگر آدرس MAC مرتبط با آدرس IP متضاد به یک پورت سوئیچ متصل است ، پورت سوئیچ را به طور موقت مسدود کنید.محدوده سرورهای DHCP را برای جلوگیری از همپوشانی تنظیم کنید، سپس پورت سوئیچ را مسدود کنید.

یکی از راه ها برای جلوگیری از Conflict IP در شبکه شما استفاده از نرم افزار های Conflict IP است که می تواند به تشخیص و حل بسیاری از اشکال Conflict IP کمک کند. یک اسکنر Conflict IP برای یافتن Conflict IP طراحی شده است و به شما امکان می دهد تمام آدرس های IP خود را از دستگاه های اصلی خود پیگیری کنید. این امر نه تنها در وقت و منابع شما صرفه جویی می کند بلکه به شما کمک می کند تا آدرس های IP شبکه خود را سازماندهی کنید تا از درگیری های آدرس IP در آینده جلوگیری کنید.

با کمک نرم افزارهای IP Conflict  چه کاری می توانید انجام دهید:

1. به طور مداوم تخصیص آدرس IP را کنترل کنید: با پیگیری اینکه کدام آدرس IP در کدام دستگاه استفاده می شود، نرم افزار شما به گونه ای طراحی شده است که از درگیری IP در شبکه شما جلوگیری می کند.
2. موجودی آدرس IP را در زمان واقعی نگه دارید: پیگیری مستمر آدرس های IP فعال به شما کمک می کند تا آدرس های IP قبلاً مورد استفاده را مجدداً اختصاص ندهید. بسیاری از برنامه های تشخیص ناسازگاری IP، موجودی آدرس های IP استفاده شده را ایجاد و به طور مداوم به روز می کنند تا از احتمال تغییر مکان بیشتر جلوگیری شود.
3. یک نمای منسجم از شبکه خود دریافت کنید: در جزئیات آدرس های IP در حال استفاده ، مواردی مانند Subnet ها، نام هاست و دستگاههای مرتبط، و وضعیت ها و هشدارهای گذشته و حال را مشاهده کنید.
4. تشخیص رفتار غیر عادی: علاوه بر مدیریت آدرس IP، نرم افزار ها می توانند سایر فعالیت های غیرقابل توضیح را که می تواند برای شبکه شما خطرناک یا مشکل ساز باشد، اشکار کنند.
5. کاهش زمان مدیریت: مدیریت و نظارت بر آدرس های IP شما، برنامه و قدرت مغز شما را آزاد می کند و به شما این امکان را می دهد تا بر موارد مهم تمرکز کنید.
6. تنظیمات IP خود را مستقیماً ویرایش کنید: شما می توانید به تنظیمات همه آدرس های IP خود در یک لحظه دسترسی داشته باشید و به شما این امکان را می دهد که هنگام مشاهده آدرس های IP و دستگاه های مربوطه، Conflict IP را برطرف کنید.

یکی از ابزار های توصیه شده برای تشخیص و حل Conflict IP، نرم افزار SolarWinds است.

بسته ی نرم افزاری IP SolarWinds (IPCB) را که حاوی SolarWinds IP Address Manager (IPAM) و SolarWinds User Device Tracker (UDT) است. IPCB می تواند به شما این امکان را بدهد که در چه زمانی یک ناسازگاری IP شناسایی شده است، همه Subnet ها تحت تأثیر این تعارض قرار گرفته اند و حتی چه نوع مشکلی ممکن است ایجاد شود – همه اینها به سادگی با حرکت دادن روی یک آدرس IP معین. IPCB برای حل Conflict IP با غیرفعال کردن خودکار پورت آسیب دیده طراحی شده است، که به شبکه شما اجازه می دهد تا زمانی که نتوانید Conflict IP را برطرف کنید، به طور عادی کار کند. همچنین می توانید آدرس های IP خود را سازماندهی کرده و دامین ، سوئیچ ها و پورت های DHCP خود را مدیریت کنید.

منبع : https://mrshabake.com/ip-address-conflict/

تفاوت پروتکل 802.1Q و ISL چیست؟

هنگامی که می خواهید ترافیک VLAN را بین دو سوئیچ انتقال دهید یک مشکل وجود دارد. ایا فیلدی وجود دارد که مشخص کند فریم اترنت ما به کدام VLAN تعلق دارد؟ چگونه یک سوییچ شبکه هنگام دریافت فریم متوجه می شود که ان به کدام  VLAN تعلق دارد؟ بنابراین به پروتکلی نیاز داریم که این اطلاعات را به ما بدهد.

پروتکل 802.1Q چیست؟

پروتکل 802.1Q از quality of service (QoS) و Virtual LAN (VLAN) در هنگام حرکت ترافیک در شبکه اترنت پشتیبانی می کند. پروتکل 802.1Q یکی از پروتکل های برچسب گذاری(تگ گذاری) VLAN است که توسط سوئیچ های سیسکو پشتیبانی می شود. این استاندارد توسط موسسه مهندسان برق و الکترونیک (IEEE) ایجاد شده است، بنابراین یک استاندارد عمومی است و می تواند در سوئیچ های غیر سیسکو نیز استفاده شود.

 VLAN ها برای تقسیم broadcast domain در لایه 2(Data Link) استفاده می شوند. یک شبکه محلی  مجازی است که برای انتقال داده ها به جای شبکه فیزیکی خود از LAN دیگری استفاده می کند. پروتکل 802.1Q به اندازه فریم اترنت اجازه می دهد تا چهار بایت به محدوده 68 تا 1522 بایت اضافه کند. این افزایش اندازه، به دلیل درج یک برچسب VLAN چهار بایتی در فریم است. برچسب ها، که شامل شناسه VLAN (VID) است، توسط آدرس MAC به هر فریم اترنت متصل می شوند. این VID 12 بیتی به هر VLAN اختصاص داده شده است و 4094 شناسه برای استفاده در دسترس است.

از trunk برای رد و بدل کردن ترافیک VLAN بین سوئیچ ها استفاده می شود. سوئیچ ها را می توان از طریق پورت trunk به یکدیگر متصل کرد. هنگامی که از ترانک استفاده می شود، دستگاه متصل فریم های اترنت دارای برچسب را دریافت می کند. استاندارد 802.1Q از پیکربندی منحصر به فرد VLAN های جداگانه پشتیبانی می کند.

فریم نرمال:

فریم 802.1:

از بین 4 بایت، یک VLAN، 12 بیتی وجود دارد که بیشترین اهمیت را دارد. این فیلد در مورد شماره VLAN که فریم به آن تعلق دارد می گوید. VLAN، می تواند از 1 تا 4094 متغیر باشد، یعنی برای 4094 VLAN پشتیبانی می شود. زیرا 0  و4095  VLAN های رزرو شده هستند. استاندارد 802.1Q از مفهوم Vlan Native پشتیبانی می کند(Vlan 1 که به صورت پیش فرض تعریف شده است)، یعنی ترافیک برای این Vlan بدون تگ باقی می ماند.

فریم tagging:

در بین دو سوئیچ، از فرایندی به نام VLAN trunking استفاده می شود. فرض می کنیم که کامپیوتر A یک فریم برودکست ارسال می کند. SW1 قبل از ارسال فریم به SW2، با قرار دادن ID VLAN در header، برچسب گذاری می کند. SW2 فریم را دریافت می کند و می داند که فریم متعلق به VLAN 3 است، بنابراین فریم را فقط برای کامپیوتر D ارسال می کند، زیرا این کامپیوتر در VLAN 3 است.

ISL چیست؟

ISL مخفف Inter-Switch Link است که یکی از پروتکل های VLAN است. ISL اختصاصی Cisco است و فقط بین سوئیچ های Cisco استفاده می شود. این برنامه در یک محیط VLAN، point-to-point کار می کند و تا 1000 VLAN را پشتیبانی می کند و فقط می تواند از طریق لینک های Fast Ethernet و Gigabit Ethernet استفاده شود.

ISL در لایه Data-Link مدل OSI (لایه 2) عمل می کند. اندازه فریم های ISL محصور شده از 94 بایت شروع می شود و به دلیل زمینه های اضافی که پروتکل در حین کپسوله سازی ایجاد می کند، می تواند تا 1548 افزایش یابد. VLAN ID یک مقدار 15 بیتی است که در یک سربرگ 26 بایتی از فریم یافت می شود. ISL همچنین 4 بایت CRC را در چارچوب تصحیح و کنترل خطا اضافه می کند.

ISL با قرار دادن یک هدر 26 بایت و 4 بایت CRC بین یک فریم اترنت کار می کند. CRC یک Frame Check Sequence (FCS) روی بسته ISL است تا از خراب بودن آن اطمینان حاصل شود.اندازه فریم ISL از 94 بایت تا 1548 بایت متغیر است. فریم محصور شده در سراسر بدون تغییر باقی می ماند. آدرس مبدا و آدرس مقصد در سرصفحه ISL از فریم محصور شده به ارث نمی رسد. آدرس مبدا در هدر ISL، کلید ارسال بسته ISL است. آدرس مقصد یکی از دو آدرس MAC multicast مخصوص ISL است.

وقتی دو سوئیچ متصل سیسکو به طور خودکار با DTP یک ترانک را مورد مذاکره قرار می دهند، ISL را بیشتر از 802.1Q انتخاب می کنند مگر اینکه یک سوئیچ آن را پشتیبانی نکند یا به طور خاص پیکربندی نشده باشد که از ISL استفاده کند.

قالب فریم ISL به صورت زیر است:

فیلد های ISL به شرح زیر است:

• DA (آدرس مقصد یا Destination Address): آدرس مقصد از آدرس MAC چندپخشی 01-00-0C-00-00-00 استفاده می کند. 40 بیت اول فیلد DA به گیرنده نشان می دهد که بسته در قالب Inter- Switch Link (ISL) ارسال شده است.
• Type: نوع فریم محصور شده: Ethernet (0000) ، Token Ring (0001) ، FDDI (0010) و ATM (0011).
• User: قسمت USER شامل یک کد 4 بیتی است. بیت های USER برای گسترش معنای میدان TYPE استفاده می شوند. مقدار فیلد USER پیش فرض “0000” است. برای فریم های اترنت، بیت های USER 0”” و “1” اولویت بسته را هنگام عبور از سوئیچ نشان می دهد.
• SA (آدرس مبدا یا Source Address): آدرس مبدا سوئیچ که فریم Inter-Switch Link (ISL) را منتقل می کند.
• Len: طول بسته.
• SNAP: پروتکل دسترسی به Subnet(SNAP) و Logical Link Control(LLC). فیلدAAAA03 SNAP یک مقدار ثابت 24 بیتی “AAAA03” است.
• HSA (High Bits of Source Address): فیلد HSA یک مقدار 24 بیتی است که 3 بایت بالایی (بخش شناسه سازنده) قسمت SA را نشان می دهد.
• VLAN (مقصد VLAN ID): ID VLAN بسته را نشان می دهد. VLAN ID یک مقدار 15 بیتی است که برای تشخیص فریم ها در VLAN های مختلف استفاده می شود. VLAN ID همچنین به عنوان “رنگ” فریم شناخته می شود.
• BPDU: نشان می دهد که یک فریم BPDU، یا CDP یا VTP است
• Index: فهرست پورت مبدا بسته.
• Res: فیلد رزرو شده برای اطلاعات بیشتر، به عنوان مثال Token Ring یا FDDI Frame Check Sequence. برای اترنت، این فیلد باید صفر باشد.
• Encapsulated Ethernet Frame: فریم اترنت واقعی.
• CRC: بررسی چهار بایتی بسته ISL برای اطمینان از خراب بودن آن.

 

مزایای ISL:

1. ISL برای برچسب گذاری اطلاعات استفاده می شود. این بدان معناست که ما می توانیم چندین VLAN را روی یک لینک trunk عبوردهیم و این به نوبه خود به سوئیچ کمک می کند تا به راحتی عضویت فریم VLAN را بر روی لینک ترانک شده تعیین کند.
2. این اتصال چند سوئیچ را همزمان با یکدیگر تسهیل می کند و در نتیجه اطلاعات مربوط به VLAN را حفظ می کند.
3. در مقایسه با اتصال سریع اترنت، عملکرد کامل سرعت سیم و تأخیر کم را ارائه می دهد.
4. در ISL نیازی به روتر برای تعامل/ارتباط نیست و بنابراین کاربران می توانند به طور موثر و سریع بدون هیچ تأخیری به سرورها دسترسی پیدا کنند.

معایب ISL:

1. ISL فقط بین سوئیچ های Cisco سازگار است. اگر کاربر می خواهد بین دو لینک ترانک متفاوت قرار بگیرد، ممکن است مجبور باشد از q1 استفاده کند.
2. ISL سربار زیادی در مقایسه با استاندارد 802.1Q دارد.
3. ISL فقط تا 1000 VLAN پشتیبانی می کند در حالی که q1 تا 4096 VLAN پشتیبانی می کند.
4. امروزه ISL به دلایل مختلف و مشکلات مرتبط با سوئیچینگ، به ویژه در VLAN Trunking، دیگر مورد استفاده قرار نمی گیرد. سیسکو ISL را منسوخ کرده است و برخی از سوئیچ های جدیدتر تولید شده توسط سیسکو حتی از آنها پشتیبانی نمی کنند. q1 معمولاً به جای آن استفاده می شود و حتی Cisco استفاده از آن را ترویج می کند. اکثر سوئیچ های امروزی از این پروتکل سوئیچینگ VLAN 802.1q استفاده می کنند.

 

آموزش پیکربندی پروتکل 802.1Q و ISL:

ابتدا باید طبق سناریوی مورد نظر خود Vlan بندی را انجام دهید.

سپس با توجه به پروتکل مورد استفاده ی خود می توانید ISL  یا 802.1q را پیکربندی کنید.

نحوه ی کانفیگ ISL:

Switch(config)#interface Fa0/1

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk encapsulation isl

نحوه ی کانفیگ استاندارد 802.1Q:

Switch(config)#interface Fa 0/1

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk encapsulation 802.1q

از دستور زیر می توانید برای بررسی وضعیت پورت، ترانک یا اکسس بودن پورت و نوع پروتکل به کار رفته شده استفاده کنید.

show interfaces {fastethernet | gigabitethernet} module/port switchport

#show interfaces fastethernet 0/1 switchport

Name: Fa0/1

Switchport: Enabled

Administrative mode: trunk

Operational Mode: trunk

Administrative Trunking Encapsulation: isl

Operational Trunking Encapsulation: isl

Negotiation of Trunking: Disabled

Access Mode VLAN: 0 ((Inactive))

Trunking Native Mode VLAN: 1 (default)

Trunking VLANs Enabled: ALL

Trunking VLANs Active: 1,2

Pruning VLANs Enabled: 2-1001

Priority for untagged frames: 0

Override vlan tag priority: FALSE

Voice VLAN: none

Appliance trust: none

Self Loopback: No

از دستور زیر برای بررسی پورت ها استفاده می شود. به عنوان مثال اینکه پورت موردنظر اجازه ی عبور ترافیک کدام vlan ها را دارد. در زیر اینترفیس 1/0 ترافیک های vlan10و20  را دریافت می کند.

#show interfaces trunk
Port   Mode  Encapsulation  Status    Native vlan
Fa0/1  on    802.1q         trunking  20
Port Vlans allowed on trunk
Fa0/1  10,20

منبع : https://mrshabake.com/802-1q-and-isl-protocol-differences/

Network Forensic چیست؟

Forensic در لغت به معنی پزشکی قانونی است. به روش های علمی اشاره دارد که برای حل جرم استفاده می شود. Forensic جمع آوری و تجزیه و تحلیل تمام شواهد فیزیکی مرتبط با جرم است تا بتواند در مورد مظنون نتیجه گیری کند. محققان برای تعیین چگونگی وقوع جرم، دیسک های سخت، رایانه یا سایر فناوری ها را بررسی می کنند. گرچه این یک تعریف کلی است، زیرا انواع مختلف Forensic وجود دارد.

 

در مبحث Digital Forensics انواع مختلفی وجود دارد که عبارتند از:

ـ Disk Forensics:

این کار با استخراج داده ها از رسانه های ذخیره سازی با جستجو در پرونده های فعال، اصلاح شده یا حذف شده سروکار دارد.

ـ Network Forensics:

یکی از زیرشاخه های پزشکی قانونی دیجیتال است. این امر برای جمع آوری اطلاعات مهم و شواهد قانونی مربوط به نظارت و تجزیه و تحلیل ترافیک شبکه رایانه ای است.

ـ Wireless Forensics:

این یک بخش از Network Forensic است. هدف اصلی ان ارائه ابزارهای مورد نیاز برای جمع آوری و تجزیه و تحلیل داده ها از ترافیک شبکه بی سیم است.

ـ Database Forensics:

این یک شاخه از Digital Forensic است که مربوط به مطالعه و بررسی پایگاه های داده و فراداده مربوط به آنها است.

ـ Malware Forensics:

این شاخه با شناسایی کد مخرب، برای بررسی میزان بارگذاری آنها، ویروس ها، کرم ها و غیره سروکار دارد.

ـ Email Forensics:

با بازیابی و تجزیه و تحلیل ایمیل ها، از جمله ایمیل های پاک شده، تقویم ها و مخاطبین، سر و کار دارد.

ـ Memory Forensics:

این کار با جمع آوری داده ها از حافظه سیستم (ثبات های سیستم، حافظه پنهان، حافظه RAM) به صورت خام و سپس حک کردن داده ها از Raw dump سرو کار دارد.

ـ Mobile Phone Forensics:

این کار عمدتا با بررسی و تجزیه و تحلیل دستگاه های تلفن همراه انجام می شود. به بازیابی مخاطبین تلفن و سیم کارت، گزارش تماس، پیام کوتاه، صوتی، ویدئویی و غیره ورودی و خروجی کمک می کند.

در این مقاله ما قصد داریم به مبحث Network Forensic بپردازیم.

Network Forensic چیست؟

روند ثبت و ضبط و تجزیه و تحلیل بسته های شبکه برای تعیین منبع حملات امنیتی شبکه تحت عنوان Network Forensics شناخته می شود.  Forensic مربوط به جمع آوری، نظارت و تجزیه و تحلیل فعالیت های شبکه برای کشف منبع حملات، ویروس ها، نفوذها یا نقض امنیت در شبکه یا در ترافیک شبکه است. علاوه بر این Forensic نیز فرآیند شناسایی الگوهای نفوذ و تمرکز بر فعالیت های حمله است همچنین برای خنثی سازی یا بررسی حملات شبکه مفید است به منظور تجزیه و تحلیل داده های ترافیک شبکه، داده ها را از سایت های مختلف و تجهیزات مختلف شبکه مانند فایروال ها و IDS جمع آوری می کنند. علاوه بر این، Network Forensics می تواند برای نظارت، جلوگیری و تجزیه و تحلیل حملات احتمالی استفاده شود.

 Network Forensic شامل 7 مرحله است:

1ـ شناسایی (Identification):

روند شناسایی تأثیر بسزایی در مراحل زیر دارد زیرا این مرحله مسیر ختم پرونده است. این مراحل شامل روند شناسایی و تعیین یک حادثه بر اساس شاخص های شبکه است.

2ـ حفظ (Preservation):

در فرآیند دوم، فرد آزمونگر داده ها را برای اهداف حفاظت و امنیت جدا می کند تا از استفاده مردم از دستگاه دیجیتال جلوگیری کند تا شواهد دیجیتالی دستکاری نشود. ابزارهای نرم افزاری بسیاری برای حفظ داده ها مانند Autopsy و Encase وجود دارد.

3ـ مجموعه (Collection):

جمع آوری فرآیند ضبط صحنه فیزیکی و تکثیر شواهد دیجیتالی با استفاده از روش ها و رویه های استاندارد است.

4ـ معاینه (Examination):

این فرایند شامل ثبت تمام داده های قابل مشاهده است. فرد آزمایش کننده ممکن است بسیاری از داده های فراداده را پیدا کند که ارائه آنها به دادگاه مفید است.

5ـ تحلیل و بررسی (Analysis):

پس از شناسایی و حفظ شواهد (داده ها)، عوامل تحقیق قطعات داده را بازسازی می کنند. براساس تجزیه و تحلیل داده ها، نماینده براساس شواهد نتیجه گیری می کند. نرم افزار Security Information and Event Management (SIEM) سابقه فعالیتهای موجود در محیط IT را ارائه می دهد. ابزارهای SIEM داده های گزارش و رویداد را در زمان واقعی تجزیه و تحلیل می کند تا نظارت بر تهدید، همبستگی رویداد و پاسخ حادثه را فراهم کند- با استفاده از مدیریت اطلاعات امنیتی (SIM) که داده های گزارش را جمع آوری، تجزیه و تحلیل و گزارش می کند.

6ـ ارائه (Presentation):

روند جمع بندی و توضیح نتیجه گیری انجام می شود. این مرحله باید با اصطلاحات انتزاعی در layperson نوشته شود و تمام اصطلاحات انتزاعی باید به جزئیات خاص مراجعه کنند.

7ـ پاسخ حادثه (Incident Response):

نفوذ شناسایی شده بر اساس اطلاعات جمع آوری شده برای اعتبارسنجی و ارزیابی حادثه است.

 

انواع Network Forensics:

ـ Ethernet:

Wireshark، ابزاری رایج که برای مانیتور و ضبط ترافیک شبکه استفاده می شود.میتوانید تمام داده های موجود در این لایه را انتخاب کنید و به کاربر اجازه می دهد تا رویدادهای مختلف را فیلتر کند. با استفاده از این ابزار، فقط در صورت انتقال یا دریافت بدون رمزگذاری صفحات وب سایت، پیوست های ایمیل و سایر ترافیک شبکه می توان بازسازی کرد. یک مزیت جمع آوری این داده ها اتصال مستقیم آنها به یک هاست است. اگر به عنوان مثال آدرس IP یا آدرس MAC هاست در یک زمان مشخص، مشخص باشد، تمام داده های ارسال شده به این آدرس IP یا MAC می توانند فیلتر شوند.

برای ایجاد ارتباط بین آدرس IP و MAC، جداول پروتکل ARP آدرسهای MAC را با آدرسهای IP مربوطه لیست می کند. برای جمع آوری اطلاعات روی این لایه، کارت رابط شبکه (NIC) از یک هاست می تواند در حالت ” promiscuous mode ” قرار گیرد. با این کار کل ترافیک به CPU منتقل می شود، نه فقط ترافیکی که برای هاست در نظر گرفته شده است.

با این حال، اگر مهاجم مطلع باشد که ممکن است اتصال وی شنود شود، ممکن است از رمزگذاری برای برقراری ارتباط خود استفاده کند. امروزه شکستن رمزگذاری تقریباً غیرممکن است اما این واقعیت که ارتباط مظنون با هاست به طور مداوم رمزگذاری شده است، ممکن است نشان دهنده این باشد که هاست دیگر،همدست مظنون است.

ـ TCP/IP:

در لایه network، پروتکل اینترنت (IP) وظیفه هدایت بسته های تولید شده توسط TCP را از طریق شبکه (به عنوان مثال اینترنت) با اضافه کردن اطلاعات مبدا و مقصد قابل تفسیر توسط روترهای سراسر شبکه بر عهده دارد. شبکه هایی مانند GPRS، از پروتکل های مشابه IP استفاده می کنند، بنابراین روش های توصیف شده برای IP نیز با آنها کار می کنند.

برای مسیریابی صحیح، هر روتر میانی باید یک جدول مسیریابی داشته باشد تا بداند بسته بعدی را کجا ارسال می کند. این جداول مسیریابی یکی از بهترین منابع اطلاعاتی در صورت بررسی جرم دیجیتالی و تلاش برای ردیابی یک مهاجم هستند. برای انجام این کار، لازم است بسته های مهاجم را دنبال کنید، مسیر ارسال را معکوس کنید و رایانه ای را که بسته از آن آمده است (یعنی مهاجم) پیدا کنید.

ـ Encrypted Traffic Analytics:

با توجه به گسترش رمزگذاری TLS در اینترنت، از آوریل 2021 تخمین زده می شود که نیمی از بدافزارها از TLS برای فرار از شناسایی استفاده می کنند. تجزیه و تحلیل ترافیک رمزنگاری شده با شناسایی ترکیبات مشکوک از ویژگی های TLS، معمولاً به شبکه ها یا سرورهای غیرمعمول، ترافیک را برای شناسایی ترافیک رمزگذاری شده ناشی از بدافزار و سایر تهدیدات بررسی می کند. رویکرد دیگر برای تجزیه و تحلیل ترافیک رمزنگاری شده از پایگاه داده تولید شده از اثر انگشت استفاده می کند ، اگرچه این تکنیک ها مورد انتقاد قرار گرفته اند که توسط هکرها به راحتی دور زده می شوند و نادرست هستند.

ـ Internet:

اینترنت می تواند منبع غنی از شواهد دیجیتالی از جمله مرور وب، ایمیل، گروه خبری، چت همزمان و ترافیک نظیر به نظیر باشد. به عنوان مثال، گزارش های سرور وب می تواند برای نشان دادن اینکه (یا اگر) مظنون به اطلاعات مربوط به فعالیت مجرمانه دسترسی پیدا کرده است استفاده شود. حساب های ایمیل اغلب می تواند حاوی شواهد مفیدی باشد. اما سرصفحه های ایمیل به راحتی جعل می شوند، بنابراین ممکن است از پزشکی قانونی شبکه برای اثبات منشأ دقیق مطالب مجازات آمیز استفاده شود. همچنین می توان با استفاده از استخراج اطلاعات حساب کاربری از ترافیک شبکه، از Network Forensic برای کشف اینکه چه کسی از رایانه خاصی استفاده می کند استفاده کرد.

 

هدف Network Forensic:

هدف از تجزیه و تحلیل Network Forensic کاملاً ساده است. به طور معمول در مورد حملات شبکه استفاده می شود. در بسیاری از موارد، برای نظارت بر شبکه برای شناسایی فعالانه ترافیک مشکوک یا حمله قریب الوقوع استفاده می شود. در طرف دیگر، برای جمع آوری شواهد از طریق تجزیه و تحلیل داده های ترافیک شبکه به منظور شناسایی منبع حمله استفاده می شود.

همه سازمان ها می توانند از Network Forensic بهره مند شوند:

Forensic می تواند نقش مهمی در محافظت از شبکه ها در برابر تهدیدات امنیتی ظریف و مخرب داشته باشد. Network Forensic می تواند یک سازمان را قادر به بررسی و متوقف کردن نقض داده هایی کند که باعث تهدید سازمان، هزینه های رقابتی یا هر دو می شود. جمع آوری یک سابقه کامل از فعالیت شبکه می تواند برای پرداختن به انبوهی از مسائل فنی، عملیاتی و سازمانی بسیار ارزشمند باشد.

 

چرا به Network Forensic نیاز دارید؟

سازمان ها وقتی به نیاز به یک رویکرد سیستماتیک برای حل سریع مشکلات امنیتی و عملکرد شبکه پی بردند، در Network Forensic سرمایه گذاری کردند. اما درسرعت 10گیگ و شبکه های سریعتر، Forensic اهمیت بیشتری پیدا کرده است زیرا تنها راهی که سازمان ها می توانند تجزیه و تحلیل دقیق از عبور و مرور از شبکه خود با سرعت 5Gbps یا بالاتر را انجام دهند. شبکه های امروزی داده های زیادی را انتقال می دهند به طوری که تنها راه برای نظارت و عیب یابی ترافیک، ابتدا ضبط آن است. بنابراین، در حالی که پزشکی قانونی شبکه هنوز ابزاری ارزشمند برای یافتن اثبات حملات امنیتی است، اکنون نیز یک ابزار “ضروری” برای تجزیه و تحلیل دقیق شبکه های مدرن است.

پزشکی قانونی می تواند در بسیاری از موارد برای حل مشکلات عملکرد، امنیت و سیاستگذاری در شبکه های پرسرعت امروز اعمال شود. این شامل:

ـ یافتن اثبات حمله امنیتی

ـ عیب یابی مشکلات عملکرد متناوب

ـ نظارت بر فعالیت کاربر برای انطباق با سیاست های IT و HR

ـ شناسایی منبع نشت داده ها

ـ نظارت بر معاملات تجاری

ـ عیب یابی VoIP وفیلم از طریق IP

 

آنچه برای پیاده سازی Network Forensic شبکه نیاز دارید:

برای تسهیل مناسب Network Forensic سه قابلیت اساسی لازم است:

ـ ضبط و ضبط داده ها: توانایی ضبط و ذخیره چندین ترابایت داده از شبکه های با توان بالا، از جمله 10گیگ و حتی 40 گیگ، بدون دراپ شدن و از دست دادن هیچ بسته ای.

ـ کشف داده ها: پس از ثبت داده ها در محیط ذخیره سازی، راه حل باید ابزاری برای فیلتر کردن موارد خاص مورد علاقه، به عنوان مثال  توسط آدرس IP، برنامه، زمینه و غیره فراهم کند. مهندسان فناوری اطلاعات به ابزارهای کشف برای غربالگری ترابایت داده ها متکی هستند برای پیدا کردن مکالمات خاص شبکه یا بسته های فردی به موقع.

ـ تجزیه و تحلیل داده ها: تجزیه و تحلیل خودکار، از جمله تجزیه و تحلیل تخصصی که زمینه وقایع شبکه را توضیح می دهد، به مهندسان فناوری اطلاعات کمک می کند تا رویدادهای شبکه را به سرعت غیر عادی یا غیر قابل توجه تشخیص دهند. به محض شناسایی این موارد، آنها می توانند وارد شده و اصلاحات مناسب را انجام دهند.

Forensic در لغت به معنی پزشکی قانونی است. به روش های علمی اشاره دارد که برای حل جرم استفاده می شود. Forensic جمع آوری و تجزیه و تحلیل تمام شواهد فیزیکی مرتبط با جرم است تا بتواند در مورد مظنون نتیجه گیری کند. محققان برای تعیین چگونگی وقوع جرم، دیسک های سخت، رایانه یا سایر فناوری ها را بررسی می کنند. گرچه این یک تعریف کلی است، زیرا انواع مختلف Forensic وجود دارد.

 

در مبحث Digital Forensics انواع مختلفی وجود دارد که عبارتند از:

ـ Disk Forensics:

این کار با استخراج داده ها از رسانه های ذخیره سازی با جستجو در پرونده های فعال، اصلاح شده یا حذف شده سروکار دارد.

ـ Network Forensics:

یکی از زیرشاخه های پزشکی قانونی دیجیتال است. این امر برای جمع آوری اطلاعات مهم و شواهد قانونی مربوط به نظارت و تجزیه و تحلیل ترافیک شبکه رایانه ای است.

ـ Wireless Forensics:

این یک بخش از Network Forensic است. هدف اصلی ان ارائه ابزارهای مورد نیاز برای جمع آوری و تجزیه و تحلیل داده ها از ترافیک شبکه بی سیم است.

ـ Database Forensics:

این یک شاخه از Digital Forensic است که مربوط به مطالعه و بررسی پایگاه های داده و فراداده مربوط به آنها است.

ـ Malware Forensics:

این شاخه با شناسایی کد مخرب، برای بررسی میزان بارگذاری آنها، ویروس ها، کرم ها و غیره سروکار دارد.

ـ Email Forensics:

با بازیابی و تجزیه و تحلیل ایمیل ها، از جمله ایمیل های پاک شده، تقویم ها و مخاطبین، سر و کار دارد.

ـ Memory Forensics:

این کار با جمع آوری داده ها از حافظه سیستم (ثبات های سیستم، حافظه پنهان، حافظه RAM) به صورت خام و سپس حک کردن داده ها از Raw dump سرو کار دارد.

ـ Mobile Phone Forensics:

این کار عمدتا با بررسی و تجزیه و تحلیل دستگاه های تلفن همراه انجام می شود. به بازیابی مخاطبین تلفن و سیم کارت، گزارش تماس، پیام کوتاه، صوتی، ویدئویی و غیره ورودی و خروجی کمک می کند.

در این مقاله ما قصد داریم به مبحث Network Forensic بپردازیم.

Network Forensic چیست؟

روند ثبت و ضبط و تجزیه و تحلیل بسته های شبکه برای تعیین منبع حملات امنیتی شبکه تحت عنوان Network Forensics شناخته می شود.  Forensic مربوط به جمع آوری، نظارت و تجزیه و تحلیل فعالیت های شبکه برای کشف منبع حملات، ویروس ها، نفوذها یا نقض امنیت در شبکه یا در ترافیک شبکه است. علاوه بر این Forensic نیز فرآیند شناسایی الگوهای نفوذ و تمرکز بر فعالیت های حمله است همچنین برای خنثی سازی یا بررسی حملات شبکه مفید است به منظور تجزیه و تحلیل داده های ترافیک شبکه، داده ها را از سایت های مختلف و تجهیزات مختلف شبکه مانند فایروال ها و IDS جمع آوری می کنند. علاوه بر این، Network Forensics می تواند برای نظارت، جلوگیری و تجزیه و تحلیل حملات احتمالی استفاده شود.

 

Network Forensic شامل 7 مرحله است:

1ـ شناسایی (Identification):

روند شناسایی تأثیر بسزایی در مراحل زیر دارد زیرا این مرحله مسیر ختم پرونده است. این مراحل شامل روند شناسایی و تعیین یک حادثه بر اساس شاخص های شبکه است.

2ـ حفظ (Preservation):

در فرآیند دوم، فرد آزمونگر داده ها را برای اهداف حفاظت و امنیت جدا می کند تا از استفاده مردم از دستگاه دیجیتال جلوگیری کند تا شواهد دیجیتالی دستکاری نشود. ابزارهای نرم افزاری بسیاری برای حفظ داده ها مانند Autopsy و Encase وجود دارد.

3ـ مجموعه (Collection):

جمع آوری فرآیند ضبط صحنه فیزیکی و تکثیر شواهد دیجیتالی با استفاده از روش ها و رویه های استاندارد است.

4ـ معاینه (Examination):

این فرایند شامل ثبت تمام داده های قابل مشاهده است. فرد آزمایش کننده ممکن است بسیاری از داده های فراداده را پیدا کند که ارائه آنها به دادگاه مفید است.

5ـ تحلیل و بررسی (Analysis):

پس از شناسایی و حفظ شواهد (داده ها)، عوامل تحقیق قطعات داده را بازسازی می کنند. براساس تجزیه و تحلیل داده ها، نماینده براساس شواهد نتیجه گیری می کند. نرم افزار Security Information and Event Management (SIEM) سابقه فعالیتهای موجود در محیط IT را ارائه می دهد. ابزارهای SIEM داده های گزارش و رویداد را در زمان واقعی تجزیه و تحلیل می کند تا نظارت بر تهدید، همبستگی رویداد و پاسخ حادثه را فراهم کند- با استفاده از مدیریت اطلاعات امنیتی (SIM) که داده های گزارش را جمع آوری، تجزیه و تحلیل و گزارش می کند.

6ـ ارائه (Presentation):

روند جمع بندی و توضیح نتیجه گیری انجام می شود. این مرحله باید با اصطلاحات انتزاعی در layperson نوشته شود و تمام اصطلاحات انتزاعی باید به جزئیات خاص مراجعه کنند.

7ـ پاسخ حادثه (Incident Response):

نفوذ شناسایی شده بر اساس اطلاعات جمع آوری شده برای اعتبارسنجی و ارزیابی حادثه است.

 

انواع Network Forensics:

ـ Ethernet:

Wireshark، ابزاری رایج که برای مانیتور و ضبط ترافیک شبکه استفاده می شود.میتوانید تمام داده های موجود در این لایه را انتخاب کنید و به کاربر اجازه می دهد تا رویدادهای مختلف را فیلتر کند. با استفاده از این ابزار، فقط در صورت انتقال یا دریافت بدون رمزگذاری صفحات وب سایت، پیوست های ایمیل و سایر ترافیک شبکه می توان بازسازی کرد. یک مزیت جمع آوری این داده ها اتصال مستقیم آنها به یک هاست است. اگر به عنوان مثال آدرس IP یا آدرس MAC هاست در یک زمان مشخص، مشخص باشد، تمام داده های ارسال شده به این آدرس IP یا MAC می توانند فیلتر شوند.

برای ایجاد ارتباط بین آدرس IP و MAC، جداول پروتکل ARP آدرسهای MAC را با آدرسهای IP مربوطه لیست می کند. برای جمع آوری اطلاعات روی این لایه، کارت رابط شبکه (NIC) از یک هاست می تواند در حالت ” promiscuous mode ” قرار گیرد. با این کار کل ترافیک به CPU منتقل می شود، نه فقط ترافیکی که برای هاست در نظر گرفته شده است.

با این حال، اگر مهاجم مطلع باشد که ممکن است اتصال وی شنود شود، ممکن است از رمزگذاری برای برقراری ارتباط خود استفاده کند. امروزه شکستن رمزگذاری تقریباً غیرممکن است اما این واقعیت که ارتباط مظنون با هاست به طور مداوم رمزگذاری شده است، ممکن است نشان دهنده این باشد که هاست دیگر،همدست مظنون است.

ـ TCP/IP:

در لایه network، پروتکل اینترنت (IP) وظیفه هدایت بسته های تولید شده توسط TCP را از طریق شبکه (به عنوان مثال اینترنت) با اضافه کردن اطلاعات مبدا و مقصد قابل تفسیر توسط روترهای سراسر شبکه بر عهده دارد. شبکه هایی مانند GPRS، از پروتکل های مشابه IP استفاده می کنند، بنابراین روش های توصیف شده برای IP نیز با آنها کار می کنند.

برای مسیریابی صحیح، هر روتر میانی باید یک جدول مسیریابی داشته باشد تا بداند بسته بعدی را کجا ارسال می کند. این جداول مسیریابی یکی از بهترین منابع اطلاعاتی در صورت بررسی جرم دیجیتالی و تلاش برای ردیابی یک مهاجم هستند. برای انجام این کار، لازم است بسته های مهاجم را دنبال کنید، مسیر ارسال را معکوس کنید و رایانه ای را که بسته از آن آمده است (یعنی مهاجم) پیدا کنید.

ـ Encrypted Traffic Analytics:

با توجه به گسترش رمزگذاری TLS در اینترنت، از آوریل 2021 تخمین زده می شود که نیمی از بدافزارها از TLS برای فرار از شناسایی استفاده می کنند. تجزیه و تحلیل ترافیک رمزنگاری شده با شناسایی ترکیبات مشکوک از ویژگی های TLS، معمولاً به شبکه ها یا سرورهای غیرمعمول، ترافیک را برای شناسایی ترافیک رمزگذاری شده ناشی از بدافزار و سایر تهدیدات بررسی می کند. رویکرد دیگر برای تجزیه و تحلیل ترافیک رمزنگاری شده از پایگاه داده تولید شده از اثر انگشت استفاده می کند ، اگرچه این تکنیک ها مورد انتقاد قرار گرفته اند که توسط هکرها به راحتی دور زده می شوند و نادرست هستند.

ـ Internet:

اینترنت می تواند منبع غنی از شواهد دیجیتالی از جمله مرور وب، ایمیل، گروه خبری، چت همزمان و ترافیک نظیر به نظیر باشد. به عنوان مثال، گزارش های سرور وب می تواند برای نشان دادن اینکه (یا اگر) مظنون به اطلاعات مربوط به فعالیت مجرمانه دسترسی پیدا کرده است استفاده شود. حساب های ایمیل اغلب می تواند حاوی شواهد مفیدی باشد. اما سرصفحه های ایمیل به راحتی جعل می شوند، بنابراین ممکن است از پزشکی قانونی شبکه برای اثبات منشأ دقیق مطالب مجازات آمیز استفاده شود. همچنین می توان با استفاده از استخراج اطلاعات حساب کاربری از ترافیک شبکه، از Network Forensic برای کشف اینکه چه کسی از رایانه خاصی استفاده می کند استفاده کرد.

 

هدف Network Forensic:

هدف از تجزیه و تحلیل Network Forensic کاملاً ساده است. به طور معمول در مورد حملات شبکه استفاده می شود. در بسیاری از موارد، برای نظارت بر شبکه برای شناسایی فعالانه ترافیک مشکوک یا حمله قریب الوقوع استفاده می شود. در طرف دیگر، برای جمع آوری شواهد از طریق تجزیه و تحلیل داده های ترافیک شبکه به منظور شناسایی منبع حمله استفاده می شود.

همه سازمان ها می توانند از Network Forensic بهره مند شوند:

Forensic می تواند نقش مهمی در محافظت از شبکه ها در برابر تهدیدات امنیتی ظریف و مخرب داشته باشد. Network Forensic می تواند یک سازمان را قادر به بررسی و متوقف کردن نقض داده هایی کند که باعث تهدید سازمان، هزینه های رقابتی یا هر دو می شود. جمع آوری یک سابقه کامل از فعالیت شبکه می تواند برای پرداختن به انبوهی از مسائل فنی، عملیاتی و سازمانی بسیار ارزشمند باشد.

 

چرا به Network Forensic نیاز دارید؟

سازمان ها وقتی به نیاز به یک رویکرد سیستماتیک برای حل سریع مشکلات امنیتی و عملکرد شبکه پی بردند، در Network Forensic سرمایه گذاری کردند. اما درسرعت 10گیگ و شبکه های سریعتر، Forensic اهمیت بیشتری پیدا کرده است زیرا تنها راهی که سازمان ها می توانند تجزیه و تحلیل دقیق از عبور و مرور از شبکه خود با سرعت 5Gbps یا بالاتر را انجام دهند. شبکه های امروزی داده های زیادی را انتقال می دهند به طوری که تنها راه برای نظارت و عیب یابی ترافیک، ابتدا ضبط آن است. بنابراین، در حالی که پزشکی قانونی شبکه هنوز ابزاری ارزشمند برای یافتن اثبات حملات امنیتی است، اکنون نیز یک ابزار “ضروری” برای تجزیه و تحلیل دقیق شبکه های مدرن است.

پزشکی قانونی می تواند در بسیاری از موارد برای حل مشکلات عملکرد، امنیت و سیاستگذاری در شبکه های پرسرعت امروز اعمال شود. این شامل:

ـ یافتن اثبات حمله امنیتی

ـ عیب یابی مشکلات عملکرد متناوب

ـ نظارت بر فعالیت کاربر برای انطباق با سیاست های IT و HR

ـ شناسایی منبع نشت داده ها

ـ نظارت بر معاملات تجاری

ـ عیب یابی VoIP وفیلم از طریق IP

 

آنچه برای پیاده سازی Network Forensic شبکه نیاز دارید:

برای تسهیل مناسب Network Forensic سه قابلیت اساسی لازم است:

ـ ضبط و ضبط داده ها: توانایی ضبط و ذخیره چندین ترابایت داده از شبکه های با توان بالا، از جمله 10گیگ و حتی 40 گیگ، بدون دراپ شدن و از دست دادن هیچ بسته ای.

ـ کشف داده ها: پس از ثبت داده ها در محیط ذخیره سازی، راه حل باید ابزاری برای فیلتر کردن موارد خاص مورد علاقه، به عنوان مثال  توسط آدرس IP، برنامه، زمینه و غیره فراهم کند. مهندسان فناوری اطلاعات به ابزارهای کشف برای غربالگری ترابایت داده ها متکی هستند برای پیدا کردن مکالمات خاص شبکه یا بسته های فردی به موقع.

ـ تجزیه و تحلیل داده ها: تجزیه و تحلیل خودکار، از جمله تجزیه و تحلیل تخصصی که زمینه وقایع شبکه را توضیح می دهد، به مهندسان فناوری اطلاعات کمک می کند تا رویدادهای شبکه را به سرعت غیر عادی یا غیر قابل توجه تشخیص دهند. به محض شناسایی این موارد، آنها می توانند وارد شده و اصلاحات مناسب را انجام دهند.

منبع : https://mrshabake.com/what-is-forensic/

اساس نامگذاری سوئیچ های سیسکو:

سوئیچ های شبکه از جمله سوئیچ های سیسکو به عنوان پر مصرف ترین تجهیزات شبکه در دنیا به شمار می روند. این سوئیچ ها در انواع مختلفی تولید و به بازار عرضه شده اند. به همین دلیل شناخت کلیه این تجهیزات برای کارشناسان IT دشوار و حتی غیر ممکن می باشد. اما کمپانی سیسکو جهت نامگذاری این تجهیزات از یک روش خاص استفاده می کند. ما در این مقاله سعی داریم تا شما را با این قوانین و همچنین قابلیت هایی که هر کدام از آنها ارائه می نمایند آشنا کنیم.

برای مشاهده ویدئو  نامگذاری سوئیچ سیسکو به لینک مراجعه کنید. 

اساس نامگذاری سوئیچ های سیسکو سری 2:

این سوئیچ ها در لایه 2 فعالیت دارند و در انواع مختلفی تولید شده اند. در ادامه با نحوه نامگذاری سوئیچ سیسکو آشنا خواهیم شد. برای مثال سوئیچ زیر را در نظر بگیرید:

نکته: این مدل تنها جهت درک بهتر شما قرار داده شده است و مبنای توضیح اعداد زیر آنان می باشد.

1ـ WS: این حروف که در ابتدای اکثر سوئیچ های سیسکو آمده است به معنای مدل سوئیچ بردی است که از رمزگذاری 40 بیتی پروتکل IPSEC پشتیبانی می کند.

2ـ در این قسمت همانطور که در تصویر بالا مشاهده می کنید علامت C گذاشته شده است که به معنی Chassis یا شاسی می باشد. البته لازم به ذکر است که ممکن است به جای این حرف از حروفی مانند X (ماژول های مرکزی پردازشی)، G (ماژول های فیبر 1 گیگابیتی) و E ( امکان استفاده از اینترفیس های 10 گیگ به کمک کارت های توسعه) استفاده شود.

3ـ این عدد که در اینجا 2 می باشد نشان دهنده لایه فعالیت سوئیچ می باشد.

4ـ دراین قسمت مدل دستگاه قرار داده می شود.

5ـ در این قسمت سری دستگاه نمایش داده می شود که هر کدام نشان دهنده قابلیت خاصی هستند که می تواند یکی از گزینه های زیر باشد:

ـ خالی: ممکن است در این قسمت هیچ حرفی قرار داده نشود که مدل اولیه سوئیچ های سیسکو با پورت های 100 مگابیت Downlink و یک گیگابیت Uplink می باشد.

ـ V2: کمپانی سیسکو این مدل را که امروزه اصلا در بازار موجود نمی باشد به نام Revision تولید و به بازار عرضه کرد.

ـ +: این سری هم دارای پورت های 100 مگابیتی می باشند اما ظرفیت رم و فلش در آنها افزایش یافته است.

ـ G: در این سری پورت های Downlink و Uplink به یک گیگابیت تغییر یافته است. البته لازم به ذکر است که در این سری ها ماژول های SFP نیز اضافه شدند. یعنی ما در این سری ها امکان استفاده از پورت های Combo ( امکان استفاده از پورت های اترنت و SFP در پورت های Uplink ) را داریم.

ـ S: این سری از سوئیچ ها علاوه بر پورت های یک گیگابیتی Downlink، دارای قابلیت Stack تا چهار دستگاه را نیز دارا می باشند.

ـ X: این سری نیز همانند سری S دارای پورت های یک گیگابیتی Downlink بوده اما از قابلیت Stack تا هشت دستگاه را پشتیبانی می کنند.

ـ XR: کلیه قابلیت های سری X را داشته، تنها تفاوت آن این است که می توان در این سری از سوئیچ ها پاور Redundant قرار داد.

ـ CX: این سری از سوئیچ ها، بیشتر برای سوئیچ های 8 پورت استفاده می شود و به صورت Compact قرار داده شده اند. به این معنی که حجم کوچکتری نسبت به سایر سوئیچ ها دارند.

6ـ در این قسمت تعداد پورت قرار داده می شود که به ترتیب می تواند 8/12/24 و 48 پورت باشد.

7ـ این قسمت نشان دهنده وضعیت پورت های Downlink می باشد، که ممکن است با T ( اترنت )، S ( اسلات های SFP )، L ( 8 پورت) POE ، P ( پورت های اترنت POE ))، FP ( Full POE) و LP ( Low POE نمایش داده شود.

8ـ حرف بعدی نوع پورت های Uplink را نشان می دهد که می تواند یکی از حروف Q ( پورت Uplink گیگابیت اترنت )، T ( پورت Uplink گیگابیت اترنت و SFP ، C (پورت Combo Uplink گیگابیت اترنت و SFP )، (S ( اسلات ماژول های SFP ) و D ( اسلات ماژول SFP و SFP+ ) باشد.

9ـ این قسمت نشان دهنده نوع لایسنس موجود بر روی دستگاه می باشد که می توانید LL یا S ( نسخه IOS موجود بر روی دستگاه LANLite است )، L ( نسخه IOS موجود بر روی دستگاه LANBase است ) و I ( نسخه IOS موجود بر روی دستگاه IPLite می باشد ) را مشاهده نمایید.

اساس نامگذاری سوییچ سیسکو سری 3:

این سوئیچ ها در لایه 3 فعالیت دارند و در انواع مختلفی تولید شده اند. در ادامه با نحوه نامگذاری این سوئیچ های شبکه سیسکو آشنا خواهیم شد. برای مثال سوئیچ زیر را در نظر بگیرید:

نکته : این مدل تنها جهت درک بهتر شما قرار داده شده است و مبنای توضیح اعداد زیر آنان می باشد.

1ـ همان طور که در قسمت قبل توضیح داده شد این حروف نشان دهنده مدل سوئیچ بردی است که از رمزگذاری 40 بیتی پروتکل IPSEC پشتیبانی می کند.

2ـ در این قسمت همانطور که در تصویر بالا مشاهده می کنید علامت C گذاشته شده است که به معنی Chassis یا شاسی می باشد. البته لازم به ذکر است که ممکن است به جای این حرف از حروفی مانند X ( ماژول های مرکزی پردازشی )، G ( ماژول های فیبر 1 گیگابیتی) و E ( امکان استفاده از اینترفیس های 10 گیگ به کمک کارت های توسعه) استفاده شود.

3ـ این عدد که در اینجا 3 می باشد نشان دهنده لایه فعالیت سوئیچ می باشد.

4ـ دراین قسمت مدل دستگاه قرار داده می شود. در حال حاضر سوئیچ های سری 3850 جدیدترین سوئیچ های سیسکو به شمار می روند. البته در این قسمت سایر مدل های سوئیچ لایه 3 نظیر 3560،3750 و3650 قرار می گیرند.

نکته: در سری های 3850  بر خلاف سوئیچ های 2960  سری ساختی وجود ندارد اما در سایر سوئیچ ها مانند 3750 سری X و G  را داریم که سری G نشان دهنده پورت های گیگابیت و X نشان دهنده سرعت و پشتیبانی از قابلیت +SFP می باشند.

5ـ در این قسمت تعداد پورت قرار داده می شود که به ترتیب می تواند 8/12/24 و 48 پورت باشد.

6ـ این قسمت نشان دهنده وضعیت پورت های Downlink می باشد که شامل T ( پورت اترنت )، P ( پشتیبانی از پورت POE+ )، PW/F/PF ( پشتیبانی از پورت POE+ بر روی 48  پورت )، U ( پشتیبانی از تکنولوژی UPOE )، S ( اسلات ماژول SFP ) و XS ( اسلات ماژول SFP و +SFP ) می باشند.

7ـ این قسمت نشان دهنده نوع لایسنس موجود بر روی دستگاه می باشد که می توانید S (نسخه IOS موجود بر روی دستگاه IPBase است)، L (نسخه IOS موجود بر روی دستگاه LANLite است) و E (نسخه IOS موجود بر روی دستگاه IPServices می باشد) را مشاهده نمایید.

منبع : نامگذاری سوئیچ سیسکو

درباره سوئیچ های سیسکو:

کمپانی سیسکو همواره طیف وسیعی از سوئیچ های مختلف اعم از ماژولار و ثابت را تولید می کند. این تنوع در تولید سبب می شود تا شما بتوانید مطابق با نیازمندی های شرکت خود سوئیچ مورد نیاز خود را خریداری نمایید. به طور کلی استفاده از سوئیچ های شبکه مناسب می تواند فعالیت های تجاری شما را گسترش دهد و بتوانید همسو با گسترش فناوری اطلاعات پیشرفت نمایید.

در میان انواع سوئیچ ها, سوئیچ های Nexus و Catalyst از همه محبوب تر هستند. سوئیچ های نکسوس سیسکو راه حل انعطاف پذیر و غنی از ویژگی های مختلف را جهت یکپارچه سازی و سهولت استفاده فراهم می کنند. همچنین سوئیچ های کاتالیست سیسکو نیز امکان ایجاد ترافیک بهتری را فراهم می کند.

امروزه استفاده از سوئیچ های سری کاتالیست در دیتا سنترها بسیار رواج دارد به طوری که اکثر شرکت ها اعم از بزرگ و کوچک از این سری از سوئیچ های سیسکو جهت ارتقای کسب و کار خود استفاده می کنند.

حال برای پاسخ به این سوال که کدام بهتر است و یا اینکه چه تفاوت هایی با یکدیگر دارند اجازه دهید تا با مطالعه ادامه مطلب به سوالات خود پاسخ دهیم.

سوئیچ های نکسوس سیسکو:

سوئیچ های سیسکو نکسوس برای اولین بار در سال 2008 رونمایی شد تا دسترسی همه سرورها به منابع ذخیره سازی و شبکه فراهم شود.از طرف دیگر، این سوئیچ ها به رفع نیاز شبکه های محاسباتی یا ذخیره موازی کمک کرده اند. امروزه، سوئیچ های Nexus از NX-OS به عنوان سیستم عامل خود استفاده می کنند.اینها در داشتن یک بستر مرکز داده با بسته های نرم افزاری ماژولار عملکرد خوبی دارند. همچنین این سیستم عامل برای اجرا در دیتاسنترهای حساسی مناسب است که تحمل خطا و قابلیت اطمینان در آن‌ها از اهمیت بالایی برخوردارند.

سوئیچ های کاتالیست سیسکو:

سوئیچ های Cisco Catalyst انواع کنترل کننده های بی سیم، سوئیچ های شبکه و نقاط دسترسی بی سیم را ارائه می دهد. این سوئیچ های شبکه از IOS به عنوان سیستم عامل خود استفاده می کنند. برای شروع به یک کد عبور یا ترکیبی از رمز ورود و جزئیات نام کاربری نیاز دارید. این سوئیچ ها برای شبکه های سازمانی که به تعداد زیادی دستگاه شبکه نیاز دارند و زمان و سرعت کار اهمیت زیادی دارد، بسیار مناسب هستند.

 

تفاوت میان سوئیچ های Nexus و Catalyst:

سوئیچ های Cisco Nexus اغلب نیاز به نگهداری بیشتری نسبت به سوئیچ های Catalyst و برخی دیگر از محصولات Cisco دارند. شاید دلیل آن استفاده از NX-OS به عنوان سیستم عامل است که بروزرسانی و نگهداری آن دشوار است. گرچه مطمئناً این سوئیچ ها قدرتمند هستند و از بسیاری جهات می توان از آنها استفاده کرد ، اما بدون راهنمایی و دانش متخصص، راه اندازی سوئیچ های Nexus دشوار است. این در حالی است که استفاده از سویئچ های سری کاتالیست به دلیل سیستم عامل IOS آسان تر می باشد.

سوئیچ های سیسکو نکسوس به دلیل عملکرد، تراکم بالا و ارسال سریع بسته، در دسترس بودن و انعطاف پذیری شناخته می شوند. توابع مرکز داده بسیار کمی (به عنوان مثال سرویس های ابری ، مجازی سازی و غیره) وجود دارد که سوئیچ های Cisco Nexus نمی توانند پشتیبانی کنند.

سوئیچ های Cisco Catalyst دارای انواع سخت افزار مقاوم و قابل انعطاف هستند. کاربران نهایی آنها را به راحتی پیکربندی می کنند. علاوه بر این، سوئیچ های Catalyst کاملاً از VLAN پشتیبانی می کنند و نرم افزار آن برای اهداف مختلف قابل توسعه است.

هنگام انتخاب از میان سوئیچ های Cisco Catalyst و Nexus، باید چند محدودیت را در نظر گرفت. سوئیچ های Cisco Nexus اغلب نیاز به نگهداری بیشتری نسبت به سوئیچ های Catalyst و برخی دیگر از محصولات Cisco دارند. به دلیل استفاده از سیستم عامل NX-OS، بروزرسانی و نگهداری آنها دشوار است. گرچه این سوئیچ ها قدرتمند هستند و از بسیاری جهات می توان از آنها استفاده کرد، اما بدون راهنمایی و دانش لازم راه اندازی سوییچ های Nexus دشوار است.

از لحاظ قیمتی با ورود به فاکتور بازگشت سرمایه، خرید سویچ های Nexus سیسکو امکان دسترسی به هزاران سرور را فراهم می کند ، که به نوبه خود تعداد قابل توجهی از ماشین های مجازی را برای استفاده در یک پورت ارائه می دهد. بنابراین در روی سوییچ های Nexus میزان بازگشت سرمایه خوبی است.

هنگامی که صحبت از ROI (بازگشت سرمایه) به میان می آید، سوئیچ های Cisco Catalyst معمولاً بیشتر دوام می آورند به طوری که می توان این سوئیچ ها را بدون آنکه از شبکه خارج کرد مدت زمان بیشتری استفاده کرد، که این عامل هزینه نگهداری را به شدت کاهش می دهد.

 

حال از میان این دو نوع سوئیچ سیسکو کدامیک را خریداری کنیم؟

به طور کلی انتخاب تجهیزات شبکه کاملاً به نیازهای شما بستگی دارد. ابتدا باید نیازهای خود را بشناسید سپس با توجه به بودجه در نظر گرفته شده خرید خود را انجام دهید.

منبع: 

تفاوت میان سوئیچ های Nexus و Catalyst