راه‌اندازی SPAN و RSPAN برای شنود ترافیک شبکه با Wireshark

شنود ترافیک شبکه یکی از مهم‌ترین ابزارهای تشخیص، مانیتورینگ و تحلیل عملکرد در زیرساخت‌های IT است. این کار به مدیران شبکه اجازه می‌دهد تا به‌صورت دقیق وضعیت ارتباطات میان دستگاه‌ها را بررسی کرده، مشکلات را شناسایی کنند و حتی از تهدیدات امنیتی بالقوه آگاه شوند. ابزار Wireshark، به‌عنوان محبوب‌ترین نرم‌افزار آنالیز پکت، زمانی بیشترین اثربخشی را دارد که بتوانید با روش‌هایی مثل SPAN و RSPAN، ترافیک هدف را به‌درستی به آن منتقل کنید. در این مقاله، به‌صورت گام‌به‌گام نحوه پیاده‌سازی SPAN و RSPAN روی سوئیچ سیسکو را برای شنود ترافیک شبکه با Wireshark آموزش داده می‌شود.

SPAN چیست و چه کاربردی در شنود ترافیک شبکه دارد؟

SPAN (Switched Port Analyzer) یا Port Mirroring یک قابلیت مهم در سوئیچ‌های مدیریتی است که امکان کپی کردن ترافیک یک یا چند پورت به پورتی دیگر را فراهم می‌کند. این قابلیت به شما کمک می‌کند تا بدون تأثیرگذاری روی ترافیک اصلی، آن را از طریق ابزاری مثل Wireshark مانیتور کنید.

برای مثال، اگر سروری دارید که به پورت شماره 10 سوئیچ متصل است، می‌توانید آن پورت را به پورت شماره 20 میرور کنید و روی پورت 20 یک لپ‌تاپ با Wireshark قرار دهید. تمام بسته‌های دریافتی و ارسالی از طریق پورت 10، به صورت کپی شده روی پورت 20 نیز ارسال می‌شود.

آموزش راه‌اندازی SPAN برای شنود ترافیک شبکه

پیش‌نیازها:

• سوئیچ مدیریت‌پذیر (مانند Cisco, MikroTik, HPE)
• دسترسی کنسول یا SSH به سوئیچ
• سیستم مانیتورینگ با Wireshark

مراحل راه‌اندازی SPAN در سوئیچ‌ سیسکو:

1. وارد محیط CLI سوئیچ شوید.
2. به حالت تنظیمات وارد شوید:
   enable configure terminal
3. یک session تعریف کنید:
   monitor session 1 source interface gigabitEthernet 1/0/10 monitor session 1 destination interface gigabitEthernet 1/0/20
4. تنظیمات را ذخیره کنید:
   end write memory

اکنون تمامی ترافیک پورت 10 به پورت 20 کپی می‌شود و دستگاه مانیتورینگ می‌تواند آن را با Wireshark دریافت و تحلیل کند. این ساده‌ترین و سریع‌ترین روش برای راه‌اندازی شنود ترافیک شبکه است.

Wireshark: ابزار کلیدی در شنود ترافیک شبکه

پس از پیکربندی SPAN، سیستم متصل به پورت مقصد باید آماده تحلیل پکت باشد. Wireshark اینجا وارد عمل می‌شود.

تنظیم Wireshark:

1. Wireshark را اجرا کنید.
2. کارت شبکه متصل به پورت SPAN را انتخاب نمایید.
3. روی Start کلیک کنید تا فرآیند Capture آغاز شود.
4. با استفاده از فیلترهایی مانند ip.addr == 192.168.1.10 یا tcp.port == 80 می‌توانید ترافیک خاصی را جدا کنید.

استفاده از Wireshark در کنار SPAN، ترکیبی قدرتمند برای شنود ترافیک شبکه به‌وجود می‌آورد که در تحلیل رفتار کاربران، شناسایی تاخیرها و عیب‌یابی نقش اساسی دارد.

RSPAN چیست و چه تفاوتی با SPAN دارد؟

اگر نیاز دارید ترافیک را از یک سوئیچ به سوئیچ دیگر ارسال و شنود کنید، SPAN کافی نیست. اینجاست که RSPAN (Remote SPAN) وارد می‌شود. این روش، ترافیک را از طریق VLAN مخصوصی به سوئیچ مقصد منتقل می‌کند.

RSPAN زمانی استفاده می‌شود که دستگاه شنود (Wireshark) روی یک سوئیچ دیگر قرار دارد یا لازم است ترافیک از نقاط مختلف شبکه تجمیع و تحلیل شود.

آموزش راه‌اندازی RSPAN برای شنود ترافیک شبکه

پیش‌نیازها:

• دو سوئیچ مدیریت‌پذیر متصل به هم
• پشتیبانی از RSPAN در سوئیچ‌ها
• VLAN اختصاصی برای حمل ترافیک RSPAN (مثلاً VLAN 999)

مراحل راه‌اندازی در سوئیچ مبدأ (Source Switch):

1. تعریف VLAN RSPAN:
   vlan 999 remote-span
2. تعریف session:
   monitor session 1 source interface gigabitEthernet 1/0/10 monitor session 1 destination remote vlan 999
3. اطمینان حاصل کنید که VLAN 999 در بین دو سوئیچ trunk شده است:
   interface gigabitEthernet 1/0/1 switchport trunk allowed vlan 999

مراحل راه‌اندازی در سوئیچ مقصد (Destination Switch):

1. تعریف VLAN مشابه:
   vlan 999 remote-span
2. تعریف destination session:
   monitor session 1 source remote vlan 999 monitor session 1 destination interface gigabitEthernet 1/0/24

اکنون ترافیک از سوئیچ مبدأ از طریق VLAN 999 به سوئیچ مقصد منتقل و روی پورت مقصد قابل شنود است.

مقایسه SPAN و RSPAN در شنود ترافیک شبکه

ویژگی	SPAN	RSPAN
محل مانیتورینگ	همان سوئیچ	سوئیچ دیگر نیز امکان‌پذیر است
نیاز به VLAN اضافی	ندارد	دارد (VLAN remote-span)
پیچیدگی راه‌اندازی	ساده	متوسط تا پیشرفته
کاربرد در شبکه‌های بزرگ	محدود	مناسب

نکات مهم هنگام شنود ترافیک شبکه با SPAN یا RSPAN

1. پورت مقصد نباید ترافیک دیگری داشته باشد.
2. اگر پورت مقصد روی حالت Access باشد، ممکن است ترافیک RSPAN را دریافت نکند.
3. استفاده هم‌زمان از چند SPAN ممکن است به منابع CPU سوئیچ آسیب بزند.
4. همیشه از کابل شبکه با کیفیت برای اتصال دستگاه شنود استفاده کنید.
5. در سناریوهای پیشرفته، ERSPAN برای شبکه‌های بزرگ‌تر قابل استفاده است (از طریق GRE Tunnel).

دو کاربرد عملی شنود ترافیک شبکه

تشخیص حملات ARP Spoofing

با مانیتور کردن پورت‌های مشکوک در شبکه، می‌توان حملاتی که با جعل ARP انجام می‌شوند را شناسایی کرد. فیلترهای Wireshark مانند arp یا eth.src == xx:xx:xx:xx:xx:xx به شما کمک می‌کنند مهاجم را پیدا کنید.

بررسی ترافیک اپلیکیشن‌ها

در محیط‌هایی که کاربران از نرم‌افزارهای متنوعی استفاده می‌کنند، شنود ترافیک شبکه می‌تواند الگوی مصرف اپلیکیشن‌ها را مشخص کند. این تحلیل برای بهینه‌سازی پهنای باند و ارتقاء کیفیت خدمات اهمیت دارد.

سوالات متداول درباره شنود ترافیک شبکه

1. آیا SPAN باعث افت عملکرد سوئیچ می‌شود؟
   در بارهای سنگین ممکن است منابع سوئیچ تحت فشار قرار گیرد، اما در استفاده نرمال مشکلی ندارد.
2. آیا همه سوئیچ‌ها SPAN را پشتیبانی می‌کنند؟
   فقط سوئیچ‌های مدیریت‌پذیر قابلیت SPAN را دارند.
3. چه تفاوتی بین SPAN و Port Mirroring است؟
   هیچ تفاوتی ندارند و دو واژه برای یک مفهوم هستند.
4. آیا می‌توان چند پورت را هم‌زمان مانیتور کرد؟
   بله، در صورت پشتیبانی سخت‌افزاری می‌توانید چندین منبع تعریف کنید.
5. آیا Wireshark روی همه سیستم‌عامل‌ها کار می‌کند؟
   بله، روی Windows، macOS و Linux قابل اجرا است.
6. شنود ترافیک شبکه در شبکه بی‌سیم هم ممکن است؟
   بله، اما نیاز به کارت شبکه‌ای دارد که حالت مانیتور را پشتیبانی کند.
7. آیا استفاده از SPAN قانونی است؟
   در محیط سازمانی بله، اما باید مطابق سیاست‌های حریم خصوصی باشد.
8. چرا ترافیک را در Wireshark نمی‌بینم؟
   ممکن است پورت مقصد درست پیکربندی نشده باشد یا کارت شبکه شما از Promiscuous Mode پشتیبانی نکند.
9. تفاوت RSPAN و ERSPAN چیست؟
   ERSPAN از GRE Tunnel برای انتقال ترافیک در سطح IP استفاده می‌کند ولی RSPAN از VLAN استفاده می‌کند.
10. بهترین کارت شبکه برای شنود ترافیک چیست؟
    کارت‌هایی که از Promiscuous و Monitor Mode پشتیبانی می‌کنند، بهترین گزینه‌اند.

جمع‌بندی

شنود ترافیک شبکه یک ابزار کلیدی برای مدیران سیستم است که با استفاده از تکنیک‌های SPAN و RSPAN و ابزار Wireshark به‌شکل مؤثر قابل پیاده‌سازی است. انتخاب بین SPAN و RSPAN به ساختار شبکه و نیاز تحلیل شما بستگی دارد. با رعایت اصولی که در این مقاله ذکر شد، می‌توانید یک سیستم مانیتورینگ دقیق، کارآمد و قابل اعتماد راه‌اندازی کنید. اگر به دنبال شناسایی تهدیدات، بهینه‌سازی عملکرد یا عیب‌یابی شبکه هستید، یادگیری شنود ترافیک شبکه یکی از مهارت‌های حیاتی برای شما خواهد بود.