Monitor Network Traffic

تُعدّ مراقبة حركة المرور على الشبكة خلال الهاتف إحدى أفضل الطرق لتحديد النشاط الضار دون التفاعل مع الهاتف المحمول وبالتالي تجاوز أي آلية قد تكون البرمجيات الضارة قد طورتها لتجنب الكشف، ولكنه أمر يتطلب أداة خارجية لتسجيل حركة المرور وبعض المعرفة بالشبكة لتحديد حركة المرور المشبوهة.

الحدود

تقوم العديد من تطبيقات الأجهزة المحمولة والبرمجيات الضارة الآن بتمكين "تثبيت طبقة مآخذ توصيل آمنة (SSL Pinning)" مما يجعل من الصعب علينا فك تشفير حركة المرور الخاصة بها. وتُعدّ الطريقة الوحيدة لتجاوز تثبيت طبقة مآخذ توصيل آمنة هي تجذير (root) أو اختراق حماية (jailbreak) جهاز واستخدام أدوات مثل فريدا (Frida). لكن من أجل تحقيق هدف التحليلات الجنائية نحتاج فقط إلى القيام بذلك إذا كنا نشك بشدة في أن حركة المرور الضارة مخفية بتشفير تثبيت طبقة مآخذ توصيل آمنة.

مراقبة استعلامات خدمة أسماء المجالات

بدلًا من مراقبة حركة مرور الشبكة الكاملة والتي تتطلب إعدادًا معقّدًا يمكننا مراقبة استعلامات نظام اسم المجال، وتسمح معظم أنظمة التشغيل للمستخدمين بتكوين خوادم نظام اسم المجال الخاصة بهم. ويمكننا تكوين خادم نظام اسم المجال الخاص بنا لتسجيل الاستعلامات وتوجيه الجهاز قيد الاختبار إلى خادمنا.

يمكننا نشر خادم نظام اسم المجال الخاص بنا من خلال:

  • تطبيق باي هول (Pi-hole).

  • تطبيق أدغارد هوم (Adguard Home).

أو استخدم خادم نظام اسم المجال قائم على السحابة مثل نيكست دي إن إس (NextDNS). يُعدّ الجانب السلبي لخادم خدمة اسم المجال المستند إلى السحابة هو أن مزود السحابة سيكون قادرًا على رؤية استعلامات الأجهزة.

أحد مزودي خدمة أسماء المجالات السحابية هو نيكست دي إن إس والذي يسمح لك بتكوين خادم خدمة أسماء المجالات بدون حساب. يوفر نيكست دي إن إس أيضًا تطبيقات لأنظمة التشغيل الرئيسية لتكوين الجهاز لاستخدام الخادم المخصص الخاص بك. انتقل أولًا إلى https://my.nextdns.io/start لإنشاء معرّف تكوين مؤقت يجب عليك إدخاله في تطبيق نيكست دي إن إس. بعدها سيتم تسجيل جميع استعلامات نظام أسماء النطاقات التي يجريها الهاتف في علامة التبويب السجلات.

مراقبة حركة مرور الشبكة الكاملة من راوتر واي فاي

تتمثل إحدى طرق مراقبة حركة مرور الشبكة من هاتفك في تسجيل حركة المرور مباشرة من جهاز راوتر واي فاي المتصل به هاتفك المحمول. حسب جهاز راوتر واي فاي الخاص بك قد يكون من الممكن تسجيل حركة المرور مباشرة منه (باستخدام أداة مثل tcpdump).

إذا لم تتمكن من تسجيل حركة المرور باستخدام جهاز راوتر واي فاي الفعلي فيمكنك بسهولة إنشاء جهاز توجيه باستخدام رازبيري باي (Raspberry Pi) وبرنامج راسب أيه بي (RaspAP) (انظر هنا لمشاهدة دليل حول كيفية تثبيته).

بمجرد تثبيت جهاز راوتر الخاص بك، يمكنك الاتصال به باستخدام ssh والبدء في التقاط حركة المرور باستخدام tcpdump. ثم قم بتوصيل الهاتف المحمول الذي تريد اختباره بشبكة الواي فاي هذه وسجل حركة المرور لمدة 30 دقيقة حتى ساعة واحدة.

بعد نهاية التسجيل قم بتنزيل ملف pcap على جهاز الكمبيوتر الخاص بك وراجع حركة مرور الشبكة باستخدام واير شارك (WireShark). تحقق بشكل خاص من العناصر التالية:

  • اتصالات بعناوين بروتوكول الإنترنت بدون طلبات نظام اسم المجال.

  • اتصالات بالنطاقات غير المدرجة في قوائم أليكسا توب (Alexa Top).

  • اتصالات على منافذ بخلاف 80 و443.

إذا وجدت أي حركة مرور مشبوهة إلى عنوان بروتوكول الإنترنت أو نطاق يمكنك استخدام الأدوات التالية للحصول على مزيد من المعلومات عنه:

  • تسمح سنترال أوبس (CentralOps) برؤية مالك عنوان بروتوكول الإنترنت أو هو إز (WHOIS) للنطاق (لا يتطلب حسابًا).

  • تسمح ريسك آي كيو (RiskIQ) برؤية سجل نظام اسم المجال وفيه العديد من المؤشرات حول عناوين بروتوكولات الإنترنت والنطاقات الضارة (يتطلب حسابًا وعددًا محدودًا من الاستعلامات مع حساب مجاني).

  • تُعدّ إلينفولت أو تي إكس (AlienVault OTX) قاعدة بيانات كبيرة بالمؤشرات الضارة، يمكنك البحث عن عنوان بروتوكول الإنترنت هذا أو النطاق فيه لمعرفة ما إذا كان هناك نشاط ضار معروف منه (يتطلب حسابًا مجانيًا).

لإعداد بيئة لتحليل حركة المرور، راجع هذا الدليل.

مراقبة حركة مرور الشبكة باستخدام تطبيقات على الجهاز

تعمل هذه التطبيقات عادةً عن طريق إنشاء خادم شبكة ظاهرية خاصة على الجهاز وتكوين النظام لاستخدام خادم هذه الشبكة.

كيف تبحث عن حركة مرور مشبوهة؟

السلوكيات التالية أكثر إثارة للشك:

  • التطبيقات أو الاتصالات التي تولد الكثير من حركة مرور البيانات.

  • التطبيقات أو الاتصالات التي تحمّل بيانات أكثر من التنزيل.

  • الاتصالات التي تحدث بشكل دوري.

  • أسماء النطاقات الغريبة، والتي عند مواجهتها ما عليك سوى البحث عنها على Google أو VirusTotal.

  • منافذ غير شائعة.

  • إرسال أو استقبال البيانات عندما لا يكون الهاتف قيد الاستخدام، (مثل ما يكون المستخدم في فترة النوم.)

استخدام الشبكة الافتراضية الخاصة لحالات الطوارئ في المجال المدني

تقدم منظمة مشروع المجال المدني (Civil Sphere Project) وهي منظمة ولدت من مختبر أبحاث الستراتوسفير (Stratosphere Research Laboratory) في الجامعة التقنية التشيكية في براغ، خدمة شبكة ظاهرية خاصة طارئة لكشف الأجهزة المخترقة.

تسمح خدمة الشبكة الظاهرية الخاصة الطارئة بتحليل وتحديد حركة المرور المشبوهة من جهاز محمول يستخدمه الصحفيون والمنظمات غير الحكومية. عند تقديم الطلب سيرسل لك فريق المنظمة بيانات الاعتماد لتسجيل الدخول إلى الشبكة الخاصة بهم باستخدام هاتفك، وخلال استخدام الشبكة سيقومون بتسجيل جميع الزيارات القادمة من هاتفك لمدة أقصاها ثلاثة أيام. في نهاية التسجيل، سيقومون بتحليل حركة المرور باستخدام التقنيات الآلية واليدوية من أجل تحديد النشاط الضار أو المشكلات الأمنية في التطبيقات التي تعمل على هاتفك وإرسال نتيجة هذا التحليل إليك عبر البريد الإلكتروني.

يتمثل أحد قيود هذه التقنية في أنه يتعين عليك توفير حركة مرور الشبكة من هاتفك المحمول إلى منظمة تابعة لجهة خارجية أي منظمة مشروع المجال المدني، لكن يمكنك الاتصال بهم للحصول على مزيد من المعلومات حول كيفية تخزين هذه البيانات واستخدامها. تتمثل ميزة هذا الحل في أنه يمكنك الاعتماد عليها لتحليل حركة مرور الشبكة والتي يمكن أن تكون عملية معقدة وتستغرق وقتًا طويلًا.

تحقق من موقع الويب الخاص بهم لمزيد من المعلومات.

PreviousCheck for Suspicious MessagesNextNote: Monitoring Network Traffic on Linux

Last updated