في شبكات الكمبيوتر ، يعد الوضع غير المشترك وسيلة للعملية التي يكون فيها جهاز الشبكة ، مثل بطاقة واجهة الشبكة (نيك) أو محول على نظام مضيف ، يمكنه اعتراضه وقراءته بالكامل حزمة يصل ذلك بدلاً من فقط الحزم الموجهة إلى المضيف. عادةً ما يتم ترشيح حزم البيانات بواسطة NIC بحيث يمكنها فقط رؤية حركة المرور التي من المفترض أن تراها. يزيل الوضع المختلط هذا القيد بحيث يمكن لـ NIC قراءة جميع حركة مرور الشبكة.
الوضع غير المشترك هو تقنية شهيرة للأمان والمراقبة والإدارة التي تمكن نظام تشغيل الشبكة (NOS) من عرض أو “استنشاق” جميع حركة مرور الشبكة. يساعد ذلك في مراجعة نشاط شبكة الشبكة لتشخيص المشكلات واستكشافها وتحديد تدخلات الشبكة. ومع ذلك ، يمكن للجهات الفاعلة الخبيثة أيضًا استغلال الوضع للتطفل على حركة مرور الشبكة ، إما إلى المساومة على الأجهزة أو لسرقة البيانات السرية أو الحساسة.
ماذا يفعل الوضع المختلط؟
ينطبق الوضع المختلط على كل من NICs السلكية واللاسلكية. في كلتا الحالتين ، يضمن تشغيل الوضع أن كل شيء بيانات يتم استلام الحزمة التي يتم نقلها وقراءتها بواسطة وحدة التحكم. وبالتالي ، فإنه يتسبب في تمرير وحدة التحكم في جميع حركة المرور التي يتلقاها إلى وحدة المعالجة المركزية بدلاً من الإطارات فقط ، تتم برمجة على وجه التحديد لتلقيها.
هذا يعني أن NIC لا يقوم بتصفية الحزم. بدلاً من ذلك ، يمرر كل حزمة إلى NOS أو أي تطبيق مراقبة مثبت على الشبكة. يمكّن هذا أداة مراقبة الشبكة من فحص محتوى الإرسال للتهديدات المحتملة ومراجعة حركة الشبكة لأغراض التشخيص – على سبيل المثال ، لتحديد مشكلات الأداء أو العثور على السبب الجذري لـ كمون مشاكل.
في كوبري الشبكة ، قد تكون هناك حاجة إلى NIC للعمل في الوضع المختلط. في مثل هذه الحالة ، يجب دعم الوضع بواسطة كل محول شبكة و الإدخال/الإخراج برنامج التشغيل في نظام التشغيل المضيف. تتطلب بعض الأنظمة امتيازات Superuser لتمكين هذا الوضع.
يمكن أيضًا تكوين الوضع المختلط لجعل بيانات الحزمة متاحة لنظام التشغيل الضيف أو زائر على نظام المضيف.
الوضع المختلط والحزمة استنشاق
داخل الشبكات ، يتم استخدام الوضع غير المميز للتشغيل في استنشاق الحزم – ممارسة جمع وتسجيل الحزم التي تمر عبر الشبكة للتحليل ، مثل حركة المرور أو النطاق الترددي تحليل الاستخدام.
يمكن لأي NIC متصلًا بالشبكة الحصول على جميع حركة المرور ، ولكن يتم تكوين معظمها حتى لا تفعل ذلك. تعتمد Sniffer Packet الوضع غير المألوف لتغيير هذا التكوين. يمكن أن يكون محول الشبكة في وضع غير مختلط للأسباب التالية:
- تم تكوينه يدويًا باستخدام ifconfig أمر أو مجموعة ارتباط IP.
- يتم استخدام أداة المراقبة.
تقوم الحزمة Sniffer بجمع جميع حركة المرور التي تتدفق عبر الواجهة المادية ، ويفصلها أو إعادة تجميعها كما هو مطلوب ، ثم تقوم بتسجيلها في متطلبات الشبكة. يمكّن ذلك NIC أو محول من اجتياز جميع حركة مرور الشبكة كومةبغض النظر عن عناوين وجهة الحزم.
تعتمد معظم شركات Sniffers اليوم على البرمجيات ، على الرغم من استخدام شخير حزم الأجهزة أيضًا. مثال واحد على برنامج Sniffer Packet هو TCPDUMP. TCPDUMP مجاني محلل حزم الشبكة لواجهات محددة. TCPDUMP ، الذي يعمل تحت أ واجهة سطر الأوامر، يمكّن المستخدمين من العرض TCP/IP وحزم أخرى تم نقلها أو تلقيها عبر شبكة. يمكن حفظ بيانات الحزمة في ملف للتحليل اللاحق – على سبيل المثال ، لاستكشاف مشكلات الاتصال أو اكتشاف ماذا نظام اسم المجال الاستعلامات التي يرسلها الجهاز.
Wireshark هو برنامج آخر شهير لاستنشاق وتحليل الحزمة. هذه الأداة مفتوحة المصدر ، تتوفر بحرية تلتقط وتقدم بيانات حزمة حية مفصلة من واجهة شبكة لمساعدة المستخدمين على استكشاف مشاكل الشبكة ، وتحديد فجوات الأمان ، والتحقق من تطبيقات الشبكة وتصحيح الأخطاء بروتوكول التطبيقات. تتوفر إصدارات Wireshark لنظام التشغيل Windows و Linux ، وهي تتضمن ميزات لتصفية الحزم وحزم البحث وحفظ بيانات الحزم وحزم التصدير بتنسيقات ملفات مختلفة.
تطبيقات الوضع المختلط
غالبًا ما يستخدم الوضع غير المختلط مراقبة نشاط الشبكة وتشخيص مشاكل الاتصال. يتم منحها في بعض الأحيان إلى خادم Snoop الشبكة الذي يلتقط ويحفظ جميع الحزم للتحليل – على سبيل المثال ، لمراقبة استخدام الشبكة. بمساعدة Sniffer حزمة ، يمكن لمشرفي الشبكة الحصول على رؤى مفيدة في سلوك الشبكة وتحديد ما إذا كانت هذه السلوكيات مرغوبة. يمكنهم بعد ذلك تحديد الإجراءات التي يجب اتخاذها لتحسين أداء الشبكة.
شبكة أنظمة الكشف عن التسلل و أنظمة الوقاية من الاقتحام استخدم الوضع المختلط لتحليل الحزم وتحديد نشاط شاذ أو مشبوه أو ضار.
ما هي عيوب الوضع غير المختلط؟
يعد الوضع غير المشترك مفيدًا للغاية لمراقبة الشبكة وتحليل الشبكة واستكشاف الأخطاء وإصلاحها واكتشاف التسلل الشبكة. ومع ذلك ، يعتبر هذا الوضع غير آمن بسبب قدرته على الوصول إلى جميع حركة مرور الشبكة في شريحة. على سبيل المثال ، في نظام مع عدة الأجهزة الافتراضية، يتيح الوضع المختلط لكل مضيف رؤية جميع حزم الشبكات المخصصة لجميع أجهزة VM الأخرى على هذا النظام ، وليس فقط الحزم المخصصة لمصوريات VM الخاصة بهم. يمكن أن يفتح هذا الباب لانتهاكات الخصوصية وسرقة البيانات ، خاصة إذا كان أحد المضيفين أو أكثر أنظمة غير مصرح بها أو ضارة تابعة لها الهجمات الإلكترونية.
الوضع المختلط لديه أيضا قيود معينة. على سبيل المثال ، على الرغم من مشكلات تصحيح الأخطاء ، يجب ألا يستخدم المسؤولون TCPDUMP مع NIC في الوضع غير المألوف لأن TCPDUMP لن يظهر حزم البيانات التي يقبلها النظام في ظل الظروف العادية. أيضا ، الاعتماد على عناوين بروتوكول الإنترنت في إخراج TCPDUMP لتحديد الحزمة الصحيحة سوف تسفر عن رؤى غير صحيحة.
يمكن أن يعرض الوضع أيضًا معلومات خاطئة في المواقف الأخرى. على سبيل المثال ، إذا كان إيثرنت لا يتم تشغيل عرض العنوان ويكون NIC في الوضع غير المألوف ، وسيظهر – بشكل غير صحيح – أنه لا توجد مشاكل على الشبكة. بدون البصيرة المناسبة للمشاكل الفعلية ، يمكن أن تحدث مشكلات الأداء وحتى انقطاع الشبكة. لمنع مثل هذه الحوادث ، من المهم تشغيل عرض عنوان Ethernet في TCPDUMP.
كيفية تمكين الوضع المخلل في Windows
لا يمكن لأدوات سطر الأوامر المدمجة في Windows تمكين الوضع المباشر مباشرة ، لذلك سيحتاج المستخدمون إلى استخدام أدوات الطرف الثالث مثل Wireshark أو NMAP مشروع NPCAP في وضع المسؤول.
من السهل تشغيل الوضع غير المختلط في Wireshark:
- مفتوح wireshark.
- حدد المحول اللاسلكي.
- ضمن خيارات المحول ، تحقق من “تمكين الوضع غير المألوف”.
لتشغيل الوضع المختلط باستخدام NPCAP ، اكتب الأمر NPCAP -P
كيفية تمكين وتعطيل الوضع غير المخلل على NIC مع XenServer
Citrix Xenserver هو منصة المحاكاة الافتراضية الخادم التي تستخدم أ Hypervisor، Xen ، لتمكين المحاكاة الافتراضية لخوادم متعددة كمجموعة موارد مركزية واحدة. يتضمن XenServer وحدة تحكم نصية يمكن من خلالها تمكين الوضع المخلل على NIC المادي.
هذا يتطلب تشغيل الأمر # ifconfig eth0.
تشغيل ifconfig الأمر ، ولاحظ النتيجة:
eth0 Link encap:Ethernet HWaddr 00:1D:09:08:94:8A
inet6 addr: fe80::21d:9ff:fe08:948a/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:23724 errors:0 dropped:0 overruns:0 frame:0
TX packets:7517 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2169478 (2.0 MiB) TX bytes:5423377 (5.1 MiB)
Interrupt:17يمكن أيضًا استخدام وحدة التحكم النصية XenServer لتعطيل الوضع غير المتواصل ، باستخدام الأمر # ifconfig eth0 -Promisc.
تشغيل ifconfig القيادة مرة أخرى. إذا لم تكن هناك أخطاء ، فقد تم تعطيل الوضع المختلط.
ما هو الوضع غير المبرر؟
في الوضع المختلط ، تتيح NIC جميع الحزم ، لذلك يمكن قراءة الإطارات المخصصة للآلات الأخرى أو أجهزة الشبكة. ولكن في الوضع غير المميز ، عندما يتلقى NIC حزمة ، فإنه يسقطها ما لم تتم معالجتها إلى محددة عنوان التحكم في الوصول إلى الوسائط أو هو إطار البث أو البث المتعدد. ببساطة ، تلتقط NIC فقط حركة المرور التي يتم معالجتها على وجه التحديد إلى مضيفها.
لذلك ، عندما يتم إرسال حزمة بيانات في الوضع غير المسبق ، فإن جميع شبكة المنطقة المحلية (LAN) تستمع الأجهزة إلى البيانات لتحديد ما إذا كان عنوان شبكتهم مدرجًا في الحزمة. إذا لم يكن الأمر كذلك ، فسيتم نقل الحزمة إلى جهاز LAN التالي حتى يصل إلى عنوان الشبكة الصحيح. هذا الجهاز ثم يقرأ البيانات.
تعمل معظم NIC في الوضع غير المبرر حتى يتم تشغيل الوضع غير المتواصل.
https://www.youtube.com/watch؟v=WEXBQ1XGADW
Wireshark و TCPDUMP كلا من مسؤولي شبكة المساعدة في تحليل الحزم. تعلم كيف تتناقض واجهة المستخدم الرسومية البسيطة لـ Wireshark مع قدرات TCPDUMP ودراسة البرمجة النصية.
