ghost در شبکه

این یک داستان واقعی از یک سرور ghost است یک سرور phantom خیالی که تقریبا شبکه ما را دچار اختلال کرد و یک تکنیک سطح پایین آن را حل نمود

این یک داستان واقعی از یک سرور ghost است - یک سرور phantom (خیالی) که تقریبا شبکه ما را دچار اختلال کرد و یک تکنیک سطح پایین آن را حل نمود.

شبکه ما از مین‌فریم‌های عظیم به ماشین‌های ابتدایی ویندوز، یونیکس، ترمینال‌ها، NT و اکنون هزاران کلاینت هوشمند و فضایی از سرورهای اختصاصی قدرتمند تبدیل شد. ما هر جنبه از عملکرد آنها را مانیتور می‌کنیم. اما یک phantom اختلالاتی ایجاد کرد.

در شروع موضوع چندان غیرقابل حل به نظر نمی‌رسید. یک چاپگر شبکه دچار مشکل Overrun در بافر شد و چاپ را متوقف ساخت. ما تصور کردیم یک نقص سخت‌افزاری پیش آمده و چاپگر قدیمی را با یک چاپگر دیگر جایگزین کردیم، آن را پیکربندی نمودیم، دستگاه را دوباره بوت کردیم و سپس کار را ادامه دادیم.

سپس این اشکال در یک چاپگر دیگر پیش آمد. یک کنسول اصلی تنها برای یک لحظه دچار مشکل شد. کاربران اختلال هدر دیتا به صورت منقطع را گزارش دادند. رودیدادهای عجیب بدون الگوی تنظیم شده به طور مکرر اتفاقی می‌افتاد.

آیا یک ویروس کامپیوتر در سرور بود؟ شاید یک Worm شبکه روی درایو مشترک قرار داشت. نه چنین چیزهایی نبود. ما از یک رویکرد امنیتی چند سطحی در مقابل تهدیدهای ترکیبی استفاده می‌کردیم. Netops سیگنال‌هایی دریافت کرد. آنها تصادفی بودند اما مشخصا از داخل محیط نشات می‌گرفتند. ما یک سرور phantom داشتیم.

▪ نکته: موارد ارسالی و دریافتی را ثبت کنید:

بعضی از سرورهای بسیار قدیمی ما سالها کار می‌کردند. آنها دیگر به زحمت وظایف حفظ و نگهداری را که باید انجام می‌دادند، پیش می‌بردند. سخت‌افزارهای جدید می‌آمدند و می‌رفتند. بسیاری از دستگاه‌های قدیمی‌تر دیگر نمی‌توانستند به جز با حافظه anecdotal ردیابی شوند.

▪ نکته: کل دامنه IP خود را به طور دوره‌ای اسکن کنید.

اکثر سیستم‌های عامل جدید دامنه گسترده‌ای از فعالیت‌ها را مانیتور می‌کنند. آگاه باشید. آنها نمی‌توانند چیزی را که نمی‌بینند نشان دهند. سخت‌افزارهای بسیار قدیمی می‌توانند زیر رادار قرار گیرند. سرور phantom بدون نام ما،‌با دستگاه‌های معمولی غیرقابل شناسایی بود.

کنسول‌های برنامه می‌توانند کلاینت‌هایشان را نشان دهند اما هر ماشینی هر سرویسی را اجرا نمی‌کند. ما ناگهان متوجه شدیم که از یک متد منفرد، جامع و ساده برای آشکارکردن هر چیزی در شبکه برخوردار نیستیم. فرمان humble ping برای نجات صادر شد. این فرمان اتصالات را نشان می‌دهد و امکان گرفتن آدرس‌های IP و نام‌های ماشین را در شبکه به شما خواهد داد.

▪ نکته: از یک قاعده نامگذاری استاندارد و گویا، استفاده کنید.

نام گذاری‌های زیرکانه سرور ممکن است سرگرم‌کننده باشند اما هنگامی که می‌خواهید آیتم خاصی را با شتاب مسیریابی نمایید مشکلاتی ایجاد می‌شود. رمزگذاری محل و عملکرد‌ها در دستگاه در وقت صرفه‌جویی نموده و دردسرها را کاهش می‌دهد. شما باید هر سرور را با یک تگ حامل نام و آدرس IP آن در یک محل آشکار در هنگام وارد شدن در سرویس برچسب گذاری کنید. این تکنیک ممکن است چندان سطح بالا نباشد اما در هنگام یافتن آیتم مورد نظر به طور چشمگیری در وقت صرفه‌جویی می‌کند.

▪ نکته: لاگ‌ها را بخوانید

یک فایل لاگ می‌تواند کاملا اطلاع‌رسان باشد. اگر محتوای دیتا مفید است آن را به یک صفحه گسترده یا دیتابیس وارد نموده و مرتب شده آن را مشاهده نمایید. ماشین‌های قدیمی که مدت‌ها قبل در سرویس قرار گرفته‌اند احتمالا از نام‌های غیراستاندارد برخوردارند.

یک فایل لاگ، ping و یک مرتب‌سازی، سرور phantom ما را آشکار ساخت. بخش شبکه محل تخمینی آن را در ساختمان نشان داد. افراد بخش سیستم‌ها محل دقیق را به یاد نمی‌آورند اما افراد بخش آزمایشگاه به خاطر آوردند که بعضی تجهیزات منتقل شده بودند و ما سرانجام به کمک آنها آن را یافتیم.

این سرور در محلی خلوت قرار داشت و گویشی از SCO Unix را اجرا می‌کرد که در پشت چند نسخه سیستم عامل بود. هیچ کس از وجود دستگاه در آنجا خبر نداشت. احتمالا وقتی یکی از مدیران شبکه یو‌پی‌اس را بازسازی می‌نمود، چنین اتفاقی افتاده و این مدیر قبل از خارج ساختن آن از سرویس، بازنشسته شده است. کارکنان آنجا مدت‌ها پیش از آنجا رفته بودند.

دستگاه یک سرور آزمایشگاه کلینیکی بود که ارتباط با تجهیزات کسب دیتا را مانیتور می‌کرد. این سرور به آرامی وظیفه معمول خود را انجام می‌داد و به طور دوره‌ای یک اخطار (LAM(Look-At-Me در هنگام ایجاد مشکل صادر می‌کرد. پیام‌های LAM در شبکه نادیده گرفته می‌شدند تا زمانیکه با دیگر گروه‌های پیام سرور برخورد می‌نمودند . این برخورد به شکل اختلالات سیستم ظاهر می‌شد.

تجربه‌ای که در اینجا باید اندوخت این است که شبکه خود را بشناسید. منابعتان را ثبت کنید. اسکن‌ها را انجام دهید. گاهی اوقات یک عملکرد سطح پایین نیز می‌تواند مشکل شبکه شما را برطرف سازد.

نویسنده: Lee Ratzan

مترجم: مریم پویان‌پور