آشنایی با چند ابزار و فرمان خطایابی و مسیریابی شبکه
آشنایی با انواع ابزارها و فرمانهای خطایابی مسیرهای شبکه
Netstat
ابزار netstat برای مشاهده اطلاعات آماری TCP / IP و جزئیات مربوط به مولفههای TCP / IP و ارتباطاتی که یک میزبان با شبکه برقرار کرده است، استفاده میشود. اطلاعاتی که فرمان netstat ارائه میکند، به شرح زیر است:
پورتی که یک سرویس TCP / IP روی آن در حال اجرا است.
در حال حاضر کلاینت با چه شبکهای در ارتباط است.
از زمان برقراری ارتباط چند پیام توسط یک رابط شبکه پردازش شده است.
چه تعداد خطای دادهای روی یک رابط شبکه رخ داده است. بهطور مثال، فرض کنید شما یک مدیر شبکه هستید که مسئول فایلها، چاپ و سرورهای وب یک سازمان هستید. شما متوجه میشوید که وب سرور شما که دارای پردازندههای چندگانه، فضای ذخیرهسازی کافی روی هارد دیسک، و کارتهای شبکه متعدد است، بهطور ناگهانی مدت زمان پاسخگویی به درخواستهای HTTP دو برابر بیشتر از حالت عادی شده است. شما ضمن بررسی حافظه اصلی سرور و نرمافزار آن برای شناسایی مشکل، این قابلیت را در اختیار دارید که از فرمان netstat برای بررسی ترافیک وارد و خارج شونده از هر کارت شبکه استفاده کنید. شاید متوجه شوید که یک کارت شبکه به جای آنکه نیمی از ترافیک شبکه را مصرف کند، بیش از 80 درصد از ترافیک شبکه را به خود اختصاص میدهد یا ممکن است فرآیند ارزیابی سختافزاری کارت شبکه را انجام دهید و کشف کنید که مشکل از پردازنده کارت شبکه است که باعث شده است کندتر از سایر کارتهای شبکه کار کند. جدول زیر برخی از پارامترهای فرمان netstat در ویندوز را نشان میدهد که برای بررسی وضعیت شبکه یا اشکالزدایی از آنها استفاده میشود. شما میتوانید از netstat در سیستمعامل لینوکس همراه با مجموعهای از پارامترهای مختلف استفاده کنید.
توضیح
|
فرمان netstat
|
فهرست همه ارتباطات TCP / IP فعال روی ماشین محلی، از جمله پروتکل لایه انتقال (معمولا فقط TCP)، پیامهای فرستاده شده و دریافت شده، آدرس IP و وضعیت ارتباط جاری را نشان میدهد.
|
netstat
|
فهرست ارتباطات فعلی، از جمله آدرسهای IP و درگاهها را نشان میدهد.
|
netstat -n
|
فهرست ارتباطات فعلی، از جمله آدرسهای IP، پورتها و FQDNها را نشان میدهد.
|
netstat -f
|
همه ارتباطات TCP فعلی و پورتهای TCP و UDP که در حال گوش دادن است را نشان میدهد.
|
netstat –a
|
یک گزارش آماری در ارتباط با پیامهای ارسال شده از سوی یک رابط شبکه همچون خطاها و دادههای از دست رفته را نشان میدهد.
|
netstat -e
|
آمار مربوط به هر پیغام ارسال شده توسط یک میزبان را در ارتباط با پروتکلهای (TCP، UDP، IP یا ICMP) به شکل تفکیک شده نشان میدهد.
|
netstat -s
|
PID (شناسه پردازه) را برای هر پردازه با استفاده از یک ارتباط و اطلاعاتی در ارتباط با اتصال نشان میدهد.
|
netstat -o
|
اطلاعات جدول مسیریابی را نمایش میدهد.
|
netstat -r
|
نام هر پردازه را با استفاده از اتصال و اطلاعات مربوط به اتصال به شکل فهرست شده نشان میدهد. برای استفاده از این سوییچ باید خط فرمان را با مجوز مدیریتی اجرا کنید.
|
netstat -b
|
نکته: دقت کنید که پارامترهای فرمان netstat را میتوان در قالب یک فرمان واحد استفاده کرد، بهطور مثال، شما میتوانید از فرمان netstat -an برای نمایش آدرس آیپی و پورتهایی که روی ارتباط TCP فعال هستند و همچنین پورتهای UDP و TCP که در حال گوش کردن هستند استفاده کنید.
فرمان tracert یا traceroute
ابزار ویندوزی Tracert از رویکرد ارسال درخواستهای اکو پروتکل ICMP برای ردیابی مسیر دو گره شبکه و شناسایی همه هاپهایی که میان دو گره قرار دارند استفاده میکند. سیستمهای لینوکسی، یونیکس و macOS از دیتاگرامهای UDP یا در برخی موارد پیامهای TCP SYN در ارتباط با ابزارهای ردیابی مسیر استفاده میکنند، اما رویکرد به کارگفته شده در همه موارد یکسان است. Traceroute را میتوان به شکلی پیکربندی کرد که از پیامهای TCP یا ICMP استفاده کند. هر دو ابزار traceroute و tracert از یک روش آزمایش و خطا برای شناسایی گرهها در هر هاپ از مبدا تا مقصد استفاده میکنند. شکل زیر نحوه کارکرد ابزار traceroute در ارتباط با فرآیند ردیابی را نشان میدهد.
دو ابزار traceroute و tracert همراه با پارامترهای مختلفی که در جدول زیر مشاهده میکنید قابل استفاده هستند.
توضیح
|
فرمان
|
این سوییچ در زمان بررسی هاپها، تنها آیپی آنها را نشان داده و نام تبدیل شده آنها را باز نمیگرداند. اینکار باعث میشود فرآیند ردیابی با سرعت بیشتری به اتمام برسد.
|
traceroute –n google.com
یا
tracert –d google.com
|
اگر در نظر دارید تنها تعداد مشخصی از هاپها ردیابی شوند، کافی است از این سوییچ استفاده کنید. بهطور مثال میتوانید از دستور tracert -h 5 که تنها پنج هاپ را ردیابی میکند استفاده کنید.
|
traceroute –m 12 google.com
یا
tracert –h 12 google.com
|
این سوییچ حداکثر زمان انتظار برای دریافت پاسخ از هاپ را مشخص میکند. مقداری که بر مبنای میلیثانیه تعیین میشود.
|
traceroute –w 2 google.com
یا
tracert –w 2000 google.com
|
مقدار تعیین شده تعداد هاپها در اولین روپ را مشخص میکند. مقدار پیشفرض 1 است که فرآیند ردیابی را از اولین روتری که در مسیر قرار دارد آغاز میکند. پس از شروع کار، در هاپهای بعدی مکانیابی شبکه ممکن است با کاهش سرعت شدید همراه شود.
|
traceroute –f 3 google.com
|
این سوییچ مشخص میکند که دستور فوق باید از درخواستهای ECHO ICMP به جای دیتاگرامهای UDP استفاده کند.
|
traceroute –I google.com
|
این سوییچ مشخص میکند که باید هاپهای TCP SYN به جای دیتاگرامهای UDP استفاده کند.
|
traceroute –T google.com
|
تاکید میکند که تنها از بستههای IPv4 استفاده کند.
|
traceroute –4 google.com
یا
tracert –4 google.com
|
این سوییچ زمانی کاربرد دارد که در نظر داشته باشید یک مقصد را بر مبنای پروتکل IPv4 یا Ipv6 ردیابی کنید.
|
traceroute –6 google.com
یا
tracert –6 google.com
|
توجه داشته باشید که آزمایش مسیریابی ممکن است ممکن است ناتمام خاتمه پیدا کند. از دلایلی که باعث بروز این اتفاق میشوند به موارد زیر میتوان اشاره کرد:
1.شبکه بیش از حد برای پردازش پیامها شلوغ بوده و در نتیجه پیامهایی همچون UDP یا ICMP که اولویت پایینتری دارند پردازش نمیشوند.
2. یک دیوارآتش فرآیند انتقال پیامهای ICMP و UDP را مسدود کرده است، به ویژه اگر دریافت کننده بازه زمانی کوتاهی را تنظیم کرده باشد.
3.دستگاهی که فرآیند ردیابی را انجام میدهد از کار افتاده باشد.
اگر میخواهید مسیر میزبانی را ردیابی کنید که پشت یک دیوارآتش قرار دارد، بهتر از است ازTCP در traceroute استفاده کنید. در غیر این صورت، تلاشهای شما برای ردیابی بی نتیجه خواهند بود. دقت کنید پینگ از انتقال ICMP استفاده میکند که محدودیتهای مشابه با این ابزار را دارد. یک کار ممکن برای گذر از محدودیتهای اعمال شده از سوی دیوارآتش بهکارگیری پروبهای چندگانه UDP یا ICMP در یک بازه زمانی کوتاه است، این رویکرد مبتنی بر تکرار ممکن است تا حدودی مفید واقع شود. برای استفاده از این تکنیک باید از پارامتر -z همراه با تعیین مقداری در واحد ثانیه (بیشتر از 10) برای تعیین حداقل زمان انتظار میان پروبها استفاده کنید. این گزینه مانند بسیاری دیگر از گزینهها تنها در traceroute وجود داشته و در tracert در دسترس نیست. دقت کنید که ردیابی نمیتواند مشکلات پیکربندی روتر را شناسایی کرده یا تغییرات مسیرها در یک دوره زمانی را پیشبینی کند. بنابراین، ردیابی بهتر است در شبکهای که آشنا با آن هستید استفاده شود. ابزار traceroute یا tracert میتواند به شما در تشخیص مشکلات احتمالی شبکه یا تراکم شبکه کمک کند. در ادامه میتوانید بر مبنای تجربه خود و ارزیابی نتایج واقعی آزمون به پیشبینی آنچه بپردازید که ممکن است در آینده رخ دهد.
Pathping
ابزار مسیریابی ویندوزی Pathping ترکیبی از دو ابزار پینگ و tracert است که برای ارائه اطلاعات عمیقتر در مورد مسائل شبکه در امتداد یک مسیر استفاده میشود. این ابزار پینگهای چندگانه را برای هر هاپ در یک مسیر ارسال کرده و سپس اطلاعات تحلیل شده را درون یک گزارش تکمیلی ارسال میکند. برای مشاهده نمونهای از نوع اطلاعاتی که این ابزار ارائه میکند، دستور زیر را امتحان کنید:
Pathping google.com
برای متوقف کردن این فرمان از کلیدهای Ctrl+C استفاده کنید. سوییچهای مهم این فرمان در جدول زیر آورده شده است.
توضیح
|
فرمان pathping
|
این سویچ فرآیند تبدیل آدرسهای آیپی به نامها را انجام نمیدهد.
|
pathping –n google.com
|
حداکثر تعداد هاپهایی که پیامها تا رسیدن به میزبان باید دریافت کنند را تعیین میکند. پیشفرض، مقدار 30 است. این سوییچ باید همراه با تعیین تعداد مشخصی از هاپها استفاده شود.
|
pathping –h 12 google.com
|
زمان انتظار میان پینگها را تعیین میکند. مقدار وارد شده برای انتظار بر حسب میلیثانیه محاسبه میشود. (4000 میلیثانیه برابر با 4 ثانیه است.)
|
pathping –p 2000 google.com
|
تعداد محاورهها برای هر هاپ را محدود میکند. این سوییچ باید همراه با تعداد محاورههایی که اجرا خواهند شد استفاده میشود. مقدار پیشفرض 100 پینگ برای هر هاپ است که مدت زمان طولانی را طلب میکند.
|
pathping –q 4 google.com
|
لینوکس ابزار مخصوص به خودش را دارد که mtr نامیده شده و عملکردی یکسان با pathping دارد.
Tcpdump
tcpdump یک ابزار خط فرمان رایگان برای سیستمعاملهای لینوکس و یونیکس است. در شمارههای گذشته با ابزار Wireshark آشنا شدید و دیدید که چگونه از این ابزار تحلیلگر در دنیای ویندوز میتوانید استفاده کنید. دقت کنید tcpdump یک ابزار شنود بستهها است، در حالی که Wireshark یک ابزار تحلیلگر پروتکل است. تفاوت یک ابزار تحلیلگر و ابزار شنود بستهها در سطحی از تحلیل و تفسیری که ارائه میکنند نهفته است. شبیه به ابزار Wireshark، tcpdump ترافیکی که از یک رابط شبکه عبور میکند، را ضبط میکند. خروجی این ابزار را میتوان در یک فایل ذخیره کرد. با توجه به گزینههای پیکربندی قوی و رابط کاربری خط فرمان قدرتمند، این یک ابزار نزد کارشناسان حوزه امنیت و شبکه محبوب است. برای آنکه بتوانید از ابزار فوق استفاده کنید، باید از دستور sudo استفاده کرده یا به سیستمعامل خود با مجوز مدیریتی بالا وارد شوید تا به tcpdump دسترسی داشته باشید. برای انجام این کار، قبل از اجرای هر دستور tcpdump باید sudo را وارد کرده یا sudo su root را وارد کنید تا حساب کاربری شما مجوز دسترسی به ریشه را به دست آورد. جدول زیر مثالهایی از بهکارگیری فرمان tcpdump را نشان میدهد.
توضیح
|
فرمان tcpdump
|
بستههای SSH یا تلنت را فیلتر میکند. این سوییچ زمانی مفید است که tcpdump را روی یک دستگاه شبکه از راه دور اجرا میکنید.
|
tcpdump not port 22
یا
tcpdump not port 23
|
این سوییچ آدرسهای آیپی را به نامهای میزبان تبدیل نمیکند.
|
tcpdump -n
|
تعداد بستههای دریافت شده را به 50 عدد محدود میکند.
|
tcpdump -c 50
|
به همه واسطهای شبکه روی یک دستگاه گوش میدهد.
|
tcpdump -i any
|
تمام اینترفیسهای موجود برای ضبط کردن را فهرست میکند.
|
tcpdump -D
|
همه ترافیک به جزء ترافیک HTTP را فیلتر میکند.
|
tcpdump port http
|
فایل خروجی را با نام capture.cap ذخیره میکند.
|
tcpdump -w capture.cap
|
|
tcpdump -r capture.cap
|
آدرسهای مک تکراری
دستگاهها در شبکههای جداگانه میتوانند آدرس مک یکسانی را بدون هیچگونه مشکلی داشته باشند. دو دستگاه در شبکه یکسان با یک آدرس MAC مشکلساز میشوند. از آنجایی که آدرس MAC به صورت ایستا توسط سازنده تعیین میشود، ممکن است تعجب کنید که چگونه دو دستگاه احتمالا یک آدرس مک MAC دارند. گاهی اوقات تولید کنندگان (به طور تصادفی یا غفلت) یک آدرس MAC را برای دو یا چند دستگاه مجددا استفاده میکنند. علاوه بر این، آدرس MAC را میتوان جعل هویت کرد که یک مشکل امنیتی به نام spoofing را به وجود میآورد. شبکهای که دسترسی به آن محدود به دستگاههای خاص و بر مبنای آدرس مک دستگاهها است، به هکرها اجازه میدهد آدرس MAC یک دستگاه مورد تایید را شنود کرده و به شبکه دسترسی پیدا کنند. پیادهسازی چنین حملهای کار نسبتا سادهای است، به همین دلیل فیلتر کردن آدرس MAC یک راه قابل اعتماد برای کنترل دسترسی به شبکه نیست. در بیشتر موارد آدرس MAC تکراری تنها باعث ایجاد مشکلات متناوب در برقراری ارتباط شده و به کامپیوترها اجازه نمیدهد به راحتی به شبکه متصل شوند. برای حل این مشکل تهمیدات زیر را در نظر بگیرید:
گام اول: هر کامپیوتر بهطور مرتب باید آدرس آیپی و آدرس مک تکراری خود را به شکل پخشی روی شبکه منتشر کند تا دستگاههای دیگر درون شبکه بتوانند جداول ARP خود را بهروزرسانی کنند.
گام 2: سایر دستگاهها در پاسخ، باید رکوردهای خود را بهروزرسانی کرده و این اطلاعات بهروزشده را بسته به آخرین پیغامی که دریافت کردهاند برای سایر کامپیوترهای روی شبکه ارسال کنند.
گام 3: گاهی اوقات دستگاهها به درستی با یک کامپیوتر ارتباط برقرار میکنند و گاهی اوقات رکوردهای آنها اشتباه است. خوشبختانه، آدرسهای MAC تکراری یک مشکل نسبتا نادر هستند. . این مشکل بیشتر در زمان مدیریت چندین دستگاه مجازی در یک شبکه بزرگ و در برخی موارد به دلیل خطای انسانی رخ میدهد. اکثر سوئیچها میتوانند مشکل را شناسایی کرده و برخی از آنها قادر به تولید پیامهای خطای مفید در این ارتباط هستند. به همین دلیل است که مبحث بررسی آدرس مک و بهروزرسانی پیکربندی هر دستگاه به ویژه دستگاههای مجازی از اهمیت بالایی برخوردار است.
شکست سختافزاری
هنگامی که یک روتر، سوئیچ، کارت شبکه یا سختافزاری از کار میافتد، کار شما به عنوان یک تکنسین شبکه شناسایی محل خرابی سختافزاری است. حتا در شبکههای کوچکتر نیز همواره این چالش وجود دارد که دقیقا کدام دستگاه باعث بروز مشکل شده است. اگر چه شما میتوانید به صورت دستی هر یک از دستگاههای تحت شبکه بررسی کنید، اما با ترفند ساده زیر میتوانید در وقت خود صرفهجویی کنید.
1. از ابزار tracert یا traceroute (بسته به سیستمعامل) برای ردیابی روترهای مشکلدار و سایر دستگاهها در شبکههای بزرگتر استفاده کنید. از آنجایی که پیامهای ICMP اولویت پایینی دارند، مطمئن شوید که فرمان را چندین بار اجرا کرده و قبل از نتیجهگیری نتایج را با یکدیگر مقایسه کنید.
2. در نظر داشته باشید که روترها برای هدایت ترافیک به سمت مقصد طراحی شدهاند. اگر در نظر دارید گرهای که آن سوی یک شبکه قرار دارد را بررسی کرده و این گره یک روتر نیست، بهتر است چند مرتبه بازخوردهای tracert یا traceroute را بررسی کنید.
3. همانطور که دستگاه مشکلدار را زیر نظر گرفتهاید، از پینگ برای آزمایش اتصال به شبکه استفاده کنید.
شناسایی دستگاههای مجاور
روترها از طریق یک فرآیند به نام کشف همسایگی در مورد تمام دستگاهها در شبکهها اطلاعاتی به دست آورده و این اطلاعات را حفظ میکنند. این روند میتواند زمانیکه تغییرات در شبکه اعمال شده یا زمانی که یک مشکل رخ داده، دردسرآفرین شود. زیرا باعث به وجود آمدن علایم مبهم و پراکنده میشود. در شبکههای IPv4، کشف همسایگی توسط ARP با کمک پروتکل ICMP انجام میشود. شما میتوانید از دستور arp در ارتباط با دستگاههای مبتنی بر IPv4 برای تشخیص و برطرف کردن مشکلات جداول ARP استفاده کنید. اگر متوجه شدید که قطعی متناوب در ارتباط با آدرسهای خاصی رخ داده، شاید مجبور شوید تا جدول ARP را روی هر دستگاهی که دارای مشکل است اصلاح کنید. این کار دستگاه را مجبور میکند که جدول ARP خود را دوباره بارگذاری کند که باعث تصحیح خطاها میشود. دستگاههای IPv6 از پیامهای (NDP) سرنام (Neighbour Discovery Protocol) بر مبنای پیامهای پروتکل ICMPv6 استفاده میکنند تا بهطور خودکار دستگاههای مجاور را تشخیص دهند و هنگامی که گرههای همسایه از کار افتاده یا از شبکه حذف شدند، بهطور خودکار همه چیز را تنظیم کنند. NDP نیاز به ARP و برخی از توابع ICMP در شبکههای IPv6 را حذف میکند و در برابر حملات هکری نیز نسبت به ARP مقاومتر هستند.
نویسنده مقاله : حمیدرضا تائبی
منبع مقاله :
- 20 آذر 1398
- ادمین سایت
- 2353