تعرف على برنامج Wireshark

 

ما هو Wireshark وكيف يتم استخدامه؟

أدوات قليلة مفيدة لمحترفي تكنولوجيا المعلومات مثل Wireshark ، أداة التقاط حزم الشبكة. سيساعدك Wireshark في التقاط حزم الشبكة وعرضها على مستوى دقيق. بمجرد تقسيم هذه الحزم ، يمكنك استخدامها للتحليل في الوقت الفعلي أو دون الاتصال بالإنترنت. تتيح لك هذه الأداة وضع حركة مرور الشبكة الخاصة بك تحت المجهر ، ثم تصفيتها والتنقيب فيها ، مع تكبير السبب الجذري للمشكلات ، والمساعدة في تحليل الشبكة وأمن الشبكة في النهاية. سيعلمك هذا البرنامج التعليمي المجاني من Wireshark كيفية التقاط حزم البيانات وتفسيرها وتصفيتها وفحصها لاستكشاف الأخطاء وإصلاحها بشكل فعال.

ما هو Wireshark؟

Wireshark هو محلل بروتوكول شبكة ، أو تطبيق يلتقط الحزم من اتصال الشبكة ، مثل من جهاز الكمبيوتر الخاص بك إلى مكتبك المنزلي أو الإنترنت. Packet هو الاسم الذي يطلق على وحدة منفصلة من البيانات في شبكة Ethernet نموذجية.

Wireshark هو أكثر متشمم الحزم استخدامًا في العالم. مثل أي برنامج شم آخر للحزم ، يقوم Wireshark بثلاثة أشياء:

1. التقاط الحزمة: يستمع Wireshark إلى اتصال الشبكة في الوقت الفعلي ثم يستحوذ على تدفقات كاملة من حركة المرور - من المحتمل جدًا عشرات الآلاف من الحزم في وقت واحد.
2. التصفية: Wireshark قادر على تقطيع وتقطيع كل هذه البيانات الحية العشوائية باستخدام المرشحات. من خلال تطبيق مرشح ، يمكنك الحصول على المعلومات التي تريد رؤيتها فقط.
3. التصور: يتيح لك Wireshark ، مثل أي متلصص جيد للحزم ، الغوص مباشرة في منتصف حزمة الشبكة. كما يسمح لك بتصور المحادثات بالكامل وتدفقات الشبكة.

يمكن مقارنة استنشاق الحزم بالكشف عن الكهوف - الذهاب داخل الكهف والمشي لمسافات طويلة. الأشخاص الذين يستخدمون Wireshark على شبكة ما يشبهون نوعًا ما أولئك الذين يستخدمون المصابيح الكاشفة لمعرفة الأشياء الرائعة التي يمكنهم العثور عليها. بعد كل شيء ، عند استخدام Wireshark على اتصال شبكة (أو مصباح يدوي في كهف) ، فأنت تستخدم بشكل فعال أداة للبحث عن الأنفاق والأنابيب لمعرفة ما يمكنك رؤيته.

ما هو استخدام Wireshark؟

يستخدم Wireshark العديد من الاستخدامات ، بما في ذلك استكشاف أخطاء الشبكات التي بها مشكلات في الأداء وإصلاحها. غالبًا ما يستخدم محترفو الأمن السيبراني Wireshark لتتبع الاتصالات وعرض محتويات معاملات الشبكة المشبوهة وتحديد دفعات من حركة مرور الشبكة. إنها جزء رئيسي من مجموعة أدوات أي محترف في تكنولوجيا المعلومات - ونأمل أن يكون لدى محترفي تكنولوجيا المعلومات المعرفة اللازمة لاستخدامها.

متى يجب استخدام Wireshark؟

Wireshark هي أداة آمنة تستخدمها الوكالات الحكومية والمؤسسات التعليمية والشركات والشركات الصغيرة والمنظمات غير الربحية على حد سواء لاستكشاف مشكلات الشبكة وإصلاحها. بالإضافة إلى ذلك ، يمكن استخدام Wireshark كأداة تعليمية.

يمكن لأولئك الجدد في مجال أمن المعلومات استخدام Wireshark كأداة لفهم تحليل حركة مرور الشبكة ، وكيف يحدث الاتصال عند تضمين بروتوكولات معينة وأين يحدث خطأ عند حدوث مشكلات معينة.

بالطبع ، لا يستطيع Wireshark فعل كل شيء.

أولاً ، لا يمكن أن تساعد المستخدم الذي لديه القليل من الفهم لبروتوكولات الشبكة. لا توجد أداة ، مهما كانت رائعة ، تحل محل المعرفة جيدًا. بمعنى آخر ، لاستخدام Wireshark بشكل صحيح ، عليك أن تتعلم بالضبط كيف تعمل الشبكة. هذا يعني أنك بحاجة إلى فهم أشياء مثل مصافحة TCP ثلاثية الاتجاهات والبروتوكولات المختلفة ، بما في ذلك TCP و UDP و DHCP و ICMP.

ثانيًا ، لا يمكن لـ Wireshark الحصول على حركة مرور من جميع الأنظمة الأخرى على الشبكة في ظل الظروف العادية. في الشبكات الحديثة التي تستخدم أجهزة تسمى المحولات ، يمكن لـ Wireshark (أو أي أداة قياسية أخرى لالتقاط الحزم) فقط التعرف على حركة المرور بين الكمبيوتر المحلي والنظام البعيد الذي يتحدث إليه.

ثالثًا ، بينما يمكن لـ Wireshark إظهار الحزم المشوهة وتطبيق الترميز اللوني ، إلا أنه لا يحتوي على تنبيهات فعلية ؛ لا يعد Wireshark نظامًا لاكتشاف التسلل (IDS).

رابعًا ، لا يمكن لـ Wireshark المساعدة في فك التشفير فيما يتعلق بحركة المرور المشفرة.

وأخيرًا ، من السهل جدًا محاكاة حزم IPv4. لا يمكن لـ Wireshark أن يخبرك حقًا ما إذا كان عنوان IP المعين الذي يعثر عليه في الحزمة الملتقطة حقيقيًا أم لا. يتطلب ذلك مزيدًا من المعرفة من جانب متخصص في تكنولوجيا المعلومات ، بالإضافة إلى برامج إضافية.

حالات استخدام Wireshark الشائعة

فيما يلي مثال شائع عن كيفية مساعدة التقاط Wireshark في تحديد المشكلة. يوضح الشكل أدناه مشكلة في الشبكة المنزلية ، حيث كان الاتصال بالإنترنت بطيئًا للغاية.

كما يوضح الشكل ، اعتقد جهاز التوجيه أن الوجهة المشتركة لا يمكن الوصول إليها. تم اكتشاف ذلك من خلال البحث في حركة مرور بروتوكول التحكم في رسائل الإنترنت IPv6 (ICMP) ، والتي تم تمييزها باللون الأسود. في Wireshark ، تعتبر أي حزمة مميزة باللون الأسود تعكس نوعًا من المشكلات.

في هذه الحالة ، ساعد Wireshark في تحديد أن جهاز التوجيه لا يعمل بشكل صحيح ولا يمكنه العثور على YouTube بسهولة. تم حل المشكلة عن طريق إعادة تشغيل مودم الكابل. بالطبع ، على الرغم من أن هذه المشكلة بالذات لم تستلزم استخدام Wireshark ، إلا أنه من الرائع إنهاء المشكلة بشكل رسمي.

عندما تلقي نظرة أخرى على الجزء السفلي من الشكل 2 ، يمكنك أن ترى أنه تم تمييز حزمة معينة. يُظهر هذا الأجزاء الداخلية لحزمة TCP التي تعد جزءًا من محادثة أمان طبقة النقل (TLS). هذا مثال رائع على كيفية التنقل لأسفل في الحزمة التي تم التقاطها.

لا يسمح لك استخدام Wireshark بقراءة المحتويات المشفرة للحزمة ، ولكن يمكنك تحديد إصدار TLS الذي يستخدمه المتصفح ويوتيوب الذي يستخدمه YouTube لتشفير الأشياء. ومن المثير للاهتمام أن التشفير انتقل إلى الإصدار 1.2 من TLS أثناء الاستماع.

غالبًا ما يتم استخدام Wireshark لتحديد مشكلات الشبكة الأكثر تعقيدًا. على سبيل المثال ، إذا واجهت الشبكة عددًا كبيرًا جدًا من عمليات إعادة الإرسال ، فقد يحدث ازدحام. باستخدام Wireshark ، يمكنك تحديد مشكلات إعادة الإرسال المحددة ، 

من خلال تأكيد هذا النوع من المشكلات ، يمكنك إعادة تكوين جهاز التوجيه أو التبديل لتسريع حركة المرور.

كيفية استخدام برنامج Wireshark

يمكنك تنزيل Wireshark مجانًا من www.wireshark.org كما أنه متاح مجانًا ، كتطبيق مفتوح المصدر بموجب ترخيص GNU General Public الإصدار 2.

كيفية تثبيت Wireshark على نظام Windows

إذا كنت من مستخدمي نظام تشغيل Windows ، فقم بتنزيل الإصدار المناسب لإصدارك المحدد. إذا كنت تستخدم Windows 10 ، على سبيل المثال ، فستحصل على مثبت Windows 64 بت واتبع المعالج للتثبيت. للتثبيت ، ستحتاج إلى أذونات المسؤول.

كيفية تثبيت Wireshark على نظام Linux

إذا كان لديك نظام Linux ، فعليك تثبيت Wireshark باستخدام التسلسل التالي (لاحظ أنك ستحتاج إلى الحصول على أذونات الجذر):

$ sudo apt-get install wireshark

$ sudo dpkg-reconfigure wireshark-common

$ sudo usermod -a -G wireshark $USER

$ newgrp wireshark

بمجرد الانتهاء من الخطوات المذكورة أعلاه ، يمكنك تسجيل الخروج وتسجيل الدخول مرة أخرى ، ثم بدء Wireshark:

$ wireshark &                                                      

 كيفية التقاط الحزم باستخدام Wireshark

بمجرد تثبيت Wireshark ، يمكنك البدء في جذب حركة مرور الشبكة. لكن تذكر: لالتقاط أي حزم ، يجب أن يكون لديك أذونات مناسبة على جهاز الكمبيوتر الخاص بك لوضع Wireshark في الوضع المختلط.

في نظام Windows ، يعني هذا عادةً أن لديك حق وصول المسؤول.

في نظام Linux ، يعني هذا عادةً أن لديك حق الوصول إلى الجذر.

طالما لديك الأذونات الصحيحة ، فلديك العديد من الخيارات لبدء الالتقاط بالفعل. ربما يكون الأفضل هو تحديد Capture >> Options من النافذة الرئيسية. سيؤدي ذلك إلى إظهار نافذة Capture Interfaces ، كما هو موضح أدناه في الشكل 4.

ستدرج هذه النافذة جميع الواجهات المتاحة. في هذه الحالة ، يوفر Wireshark العديد للاختيار من بينها.

في هذا المثال ، سنحدد واجهة Ethernet 3 ، وهي الواجهة الأكثر نشاطًا. يتخيل Wireshark حركة المرور من خلال إظهار خط متحرك يمثل الحزم على الشبكة.

بمجرد تحديد واجهة الشبكة ، ما عليك سوى النقر فوق الزر "ابدأ" لبدء الالتقاط. مع بدء الالتقاط ، من الممكن عرض الحزم التي تظهر على الشاشة ، كما هو موضح في الشكل 5 أدناه.

بمجرد التقاط جميع الحزم التي تريدها ، ما عليك سوى النقر فوق الزر الأحمر المربع في الأعلى. الآن لديك التقاط حزمة ثابتة للتحقيق.

ماذا يعني اللون الترميز في Wireshark

الآن بعد أن أصبح لديك بعض الحزم ، حان الوقت لمعرفة ما تعنيه. يحاول Wireshark مساعدتك في تحديد أنواع الحزم من خلال تطبيق ترميز لوني منطقي. يصف الجدول أدناه الألوان الافتراضية المعطاة لأنواع الحزم الرئيسية.

هل تريد معرفة المزيد عن Wireshark؟

إذا كنت تريد الغوص بشكل أعمق قليلاً ، فراجع الندوة التالية على الويب التي مدتها ساعة والتي تسمى استخدام Wireshark: عرض توضيحي عملي. إنه متاح عند الطلب - كل ما عليك فعله هو التسجيل ، ويمكنك مشاهدة الفيديو.

ويحتوي الجدول أدناه على روابط إلى Wireshark ، بالإضافة إلى التقاطات الحزم الفعلية التي يمكنك استخدامها لمعرفة المزيد. يمكنك حتى تنزيل "ورقة غش" سريعة في شكل PDF من Packetlife.net.

Resource	URL
Wireshark website	www.wireshark.org
Wireshark sample packet captures	https://wiki.wireshark.org/SampleCaptures
Packet captures galore, with an emphasis on security	www.malware-traffic-analysis.net
Packet captures by protocol	https://www.netresec.com/?page=pcapfiles
Additional packet captures	http://tcpreplay.appneta.com/wiki/captures.html
Wireshark cheat sheet	http://packetlife.net/media/library/13/Wireshark_Display_Filters.pdf