برنامج Networkminer كأداة تحليل وتحقيق

إذا كنت مدير لشبكة أو تعمل في مجال أمن المعلومات فلا بد وأنّك تعاملت مع برنامج tcpdump و برنامج wireshark من أجل مراقبة البيانات المارة عبر الشبكة. ولهذا برنامج networkminer لن يكون غريباً.

ما يميّز networkminer عن tcpdump و wireshark هو أنّه يقوم بعملية تحليل وفرز أولي للبيانات المجموعة مما يجعل عملية التحقيق وتحليل البيانات المجموعة أسهل. لاحظ مثلاً الصورة التالية:

البرنامج قام بعملية فرز واظهار للصور من الحزم التي تمّ جمعها مباشرة ودون أي جهد من قبل المستخدم. لاحظ كذلك شريط البرنامج والذي يحتوي قائمة مفرزة بكل ما يقوم البرنامج بجمعه مقسّمة كل على حدة: مثلا hosts و frames و files إلخ.

files مثلاً يظهر جميع الملفات التي تم جمعها من أثناء تصفح المستخدمين للانترنت أو رفعهم لملفات عبر ال ftp وغير ذلك.

hosts يظهر العناوين (اسم الموقع أو الحاسب وال ip) بالإضافة إلى معلومات أخرى كما هو واضح في الصورة أدناه إحدى ميّزات البرنامج الرائعة هو احتواءه على برامج p0f وهو ما يجعله أداة جمع بيانات سلبية بمعنى أنه يقوم بجمع المعلومات بدون أن يرسل حزم في الشبكة وهو ما يجعل عملية اكتشافه صعبة. p0f يساعده على محاولة تحديد نظام التشغيل المستخدم سواء للمواقع التي تم زيارتها والأجهزة المتصلة بالشبكة.

الصورة التالية تظهر الحزم تم التقاطها لخدمة DNS على شكل استعلام وجواب.

البرنامج يقوم أيضاً بالتقاط كلمات المرور غير المشفرة وفرزها ولكن اترك ذلك لكم لتجربته.

ملاحظة: قمت بترجمة كلمة forensics وهي تعني طب شرعي حرفياً إلى تحقيق يمكن ذلك ترجمتها جمع أدلة ولكن لا أعلم ترجمة دقيقة لها فإن أحد كان يعلم بذلك فالرجاء إعلامي به. وجزاكم الله خيراً.