hiva-network.com

کارگاه تخصصی شبکه - هیوا شبکه

آموزش رایگان

ردگیری ترافیک شبکه به کمک Windows Firewall

Packet های رد و بدل شده به کامپیوتر را ردیابی کنید، به کمک Windows Firewall- تصویر 1

سلام به همه شما همراهان همیشگی هیوا شبکه.

اگر آموزش "چه کسانی، چه زمانی از کجا به کدام فایل های شما کنجکاو بوده اند؟ " را خوانده باشید، می دانید که با فعال سازی یک Policy محرمانه در Local Group Policy در ویندوز، می توانید کامپیوتر مهاجمی را که تلاش می کند به فایل های شما دسترسی داشته باشد شناسایی کنید و اطلاعات ارزشمندی در مورد زمان، نام فایل، سطح دسترسی، موفقیت آموز بودن یا نبودن دسترسی، اطلاعات بگیرید. در این آموزش که به نوعی می تواند مکمل آموزش بالا باشد می خواهیم یکی از کاربردهای Windows Firewall را به شما دوستان معرفی کنیم که به کمک آن می توانید ترافیک ارسالی و دریافتی از شبکه به کامپیوترتان را ردگیری کنید. با خواندن این مقاله یاد می گیرید که :

چگونه فرایند Log شدن ترافیک شبکه را برای یک یا چند کارت شبکه فعال کنید.

Log شدن ترافیک را برای شبکه های Private، Public و Domain فعال کنید.

چه نوع ترافیک هایی را Log کنید و چه نوع ترافیک هایی را Log نکنید.

 

و این اطلاعات را برای هر بسته خواهید داشت:

تاریخ، زمان، نوع بسته، پذیرفته شدن یا رد شدن، نوع پروتکل بسته، IP فرستنده، IP گیرنده، شماره پورت فرستنده، شماره پورت گیرنده، اندازه بسته ، TCPFlag، TCPSyn، TCPAck، TCPWin، ICMPType، ICMPCode، ارسالی یا دریافتی بودن

اما پیش از شروع بهتر است تعریفی از فایروال داشته باشیم:

فایروال چیست؟

فایروال یک سیستم امنیتی شبکه است که ترافیک ورودی و خروجی را بر اساس مجموعه ای از Rule های تعریف شده کنترل می کند. فایروال می تواند نرم افزاری و یا سخت افزاری باشد. از جمله فایروال های سخت افزاری قدرتمند می توان به فایرال های شرکت های Juniper و Cisco اشاره کرد.

بسیاری از ما برای راحتی بیشتر در کار با شبکه، در همان ابتدای کار، فایروال ویندوز را خاموش می کنیم. بدیهی است که با خاموش کردن فایروال ویندوز که یک سیستم امنیتی به شمار می رود، راحتی ما بیشتر می شود و البته راحتی افراد و برنامه های مهاجم و خرابکار. همچنین با خاموش کردن فایروال ویندوز بسیاری از امکانات جالب ویندوز را از دست می دهیم از جمله :

امکان Block کردن دسترسی برنامه ها به اینترنت و شبکه

Block کردن Port های خاص و همچنین Log شدن Packet های رد و بدل شده

پس برای به کارگیری این آموزش باید از روشن بودن فایروال ویندوزتان مطمئن شوید.

روشن کردن فایروال ویندوز:

برای این کار در منوی Start عبارت Firewall را Search کنید و در صورت خاموش بودن فایروال، از منوی سمت چپ، گزینه “Turn Windows Firewall On or Off” را انتخاب کنید و سپس فایروال را روشن نمایید.

 

فعال سازی Logging ترافیک شبکه برای شبکه Public

دکمه Win+R را بزنید.

عبارت wf.MSC را تایپ و Enter کنید تا Windows Firewall with Advance Security باز شود.

Packet های رد و بدل شده به کامپیوتر را ردیابی کنید، به کمک Windows Firewall- تصویر 2

در Windows Firewall with Advance Security در بخش سمت راست بر روی Properties کلیک کنید.

Packet های رد و بدل شده به کامپیوتر را ردیابی کنید، به کمک Windows Firewall- تصویر 3

پنجره ای مانند تصویر زیر باز می شود که شامل 4 بخش IPsec Setting، Public Profile، Private Profile، Domain Profile است.

 

Packet های رد و بدل شده به کامپیوتر را ردیابی کنید، به کمک Windows Firewall- تصویر 4

وارد تب Public Profile شوید.

در بخش State در قسمت Protected network connections بر روی Customize کلیک کنید.

در این بخش Connection ها و کارت شبکه هایی که می خواهید ترافیک آن ها را Log کنید مشخص کنید و OK کنید.

Packet های رد و بدل شده به کامپیوتر را ردیابی کنید، به کمک Windows Firewall- تصویر 5

در قسمت Logging بر روی Customize کلیک کنید.

Packet های رد و بدل شده به کامپیوتر را ردیابی کنید، به کمک Windows Firewall- تصویر 6

در پنجره باز شده در قسمت Name می توانید مسیر ذخیره سازی Log های مربوط به Public Profile را مشخص کنید.

در بخش Size limit می توانید بیشترین اندازه Log File را مشخص کنید.

اگر می خواهید Packet هایی را که توسط فایروال Block می شوند ببینید Log dropped Packet را بر روی Yes قرار دهید.

اگر می خواهید ارتباط هایی که با موفقیت با کامپیوترتان برقرار شده ثبت شوند، Log successful Connection را بر روی Yes قرار دهید. البته با فعال سازی این بخش Log File به سرعت پر خواهد شد!

ما برای ردگیری و ردیابی تمامی ترافیک های ورودی و خروجی، هر دو بخش را Yes قرار دادیم.

در نهایت بر روی OK کلیک کنید.

 

بررسی Log File ها

برای بررسی و آنالیز Log های ثبت شده وارد مسیری که Log File را در آن ذخیره کردید بشوید.

در صورتی که بخواهید Log File را باز کنید با پیغام Access is Denied روبرو می شوید.

Packet های رد و بدل شده به کامپیوتر را ردیابی کنید، به کمک Windows Firewall- تصویر 7

برای اینکه بتوانید Log File را ببینید باید یک کپی از این فایل بگیرید و آن را مورد بررسی قرار دهید.

محتوای فایل مورد به صورت زیر خواهد بود:

Packet های رد و بدل شده به کامپیوتر را ردیابی کنید، به کمک Windows Firewall- تصویر 8

 

می توانید همین مراحل را برای Profile های Private و Domain نیز انجام دهید. Domain Profile زمانی کاربرد خواهد داشت که کامپیوتر شما Join به Domain باشد.

در جدول زیر می توانید اطلاعاتی در مورد هر یک از فیلد ها که در تصویر بالا به صورت رنگی تفکیک شده اند ببینید.

 

NAME

DESCRIPTION

Date

Date of occurrence, in year-month-dateformat

Time

Time of occurrence, in hour:minute:secondformat

Action

The operation that was logged by the firewall, such asDROPfor dropping a connection,OPEN for opening a connection, and CLOSE for closing a connection

Protocol

The protocol used, such as TCP, UDP, or ICMP

Source IP (src-ip)

The IP address of the computer that started the connection

Destination IP (dst-ip)

The IP address of the computer to which the connection was attempted

Source Port (src-port)

The port number on the sending computer from which the connection was attempted

Destination Port (dst-port)

The port to which the sending computer was trying to make a connection

size

The packet size

tcpflags

Information about TCP control flags in TCP headers

tcpsyn

The TCP sequence of a packet

tcpack

The TCP acknowledgment number in the packet

tcpwin

The TCP window size of the packet

icmtype

Information about the ICMP messages

icmcode

Information about the ICMP messages

info

Information about an entry in the log

 

امیدواریم این آموزش برای شما دوستان مفید باشد.

با سپاس فراوان

هیوا شبکه

               دانلود رایگان PDF آموزش ردگیری ترافیک شبکه به کمک Windows Firewall

                                               twitter.com/hivanetwork                          


 

روزی یک خط، فرمان با خط فرمان

چطوری پوشه ای رو که با نام HivaShare به اشتراک گذاشته شده، از Share خارج می کنی؟
Net Share HivaShare /Delete

بیشتر بگو!

به دوستانتان هم بگویید...

Submit to FacebookSubmit to Google PlusSubmit to TwitterSubmit to LinkedIn

دوره های جدید

 

کانال تلگرام و اینستاگرام هیوا شبکه

telegram Hivashabakeinstagram hiva.network

تجهیزات شبکه

آمار بازدید سایت

4712172
امروز
هفته جاری
ماه جاری
بازدید کل
2435
13267
34712
4712172

آی‌پی شما: 54.164.198.240
امروز: پ، 22 آذر 1397

هر جای ایران که هستید...
ما پشتیبان و مشاور شما هستیم...

 

سامانه مشاوره و پشتیبانی

سازمان ها و ادارات ...

کارخانه ها و شرکت ها ...

 

تا راه اندازی و نگهداری از

سرویس های شبکه شما ...

با ما در تماس باشید ...

 

تلفن: 33241269-13

تلفن: 33260041-13

ایمیل: info@hiva-network.com

محصول ویژه برای شما

در جستجوی محصول آموزشی خاصی هستید اما هرچه جستجو می کنید آن را نمی یابید ؟

به ما بگویید...