Logo ar.sync-computers.com
ذكري المظهر

استكشف شبكتك باستخدام wireshark

جدول المحتويات:

فيديو: الحلقة728: كيف تفحص ترافيك الشبكة وتكشف عن البرامج الضارة ببساطة (شهر نوفمبر 2024)

فيديو: الحلقة728: كيف تفحص ترافيك الشبكة وتكشف عن البرامج الضارة ببساطة (شهر نوفمبر 2024)
Anonim

ما هو Wireshark؟

روابط سريعة

  • ما هو Wireshark؟
  • تركيب Wireshark
    • شبابيك
    • ماك
    • لينكس
  • الواجهة
  • التقاط الخيارات
  • التقاط حركة المرور
  • قراءة البيانات
  • تصفية الحزم
    • التصفية أثناء الالتقاط
    • تصفية النتائج
  • متابعة حزم الحزمة
  • ختام الأفكار

Wireshark هو أداة تحليل شبكة قوية تتيح لك مراقبة حركة مرور الشبكة والتقاطها. فهو يلتقط حركة المرور على مستوى الحزمة ، مما يعني أنه يمكنك رؤية كل جزء من المعلومات التي يتم تمريرها حول شبكتك ، وما تحتويه ، وإلى أين تذهب.

تتيح لك هذه الأداة تصور وفهم تدفق حركة المرور داخل الشبكة. من خلال الاطلاع على البيانات التي يتم نقلها ، يمكنك أيضًا التعرف على أي مخاوف أمنية محتملة قد تواجهها وكذلك أي حركة مرور غير مرغوب فيها ، مثل البرامج الضارة ، وبرامج عرض النطاق الترددي ، وحتى الضيوف غير المرغوب فيهم على WiFi.

يعد Wireshark أيضًا أداة مهمة لأنه يسمح لك بمشاهدة كيفية إرسال البيانات التي تترك لشبكتك إلى الإنترنت الأكبر. على سبيل المثال ، يمكنك رؤية وقراءة طلبات HTTP ، مما يتيح لك معرفة البيانات التي يتم إرسالها بدون تشفير. قد تكون هذه مشكلة كبيرة جدًا ، خاصةً إذا كانت تلك البيانات تشبه كلمة مرور البنك.

تركيب Wireshark

Wireshark مفتوح المصدر وعبر منصة. إنه متاح مجانًا ولكل نظام تشغيل رئيسي. عناصر التحكم داخل البرنامج هي نفسها تمامًا في جميع المنصات ، لذلك لا داعي للقلق. الصور مأخوذة من نظام Linux ، ولكن كل شيء ستراه سيعمل على Windows و Mac أيضًا.

شبابيك

انتقل إلى صفحة تنزيل Wireshark ، وقم بتنزيل أحدث إصدار لإصدار Windows الخاص بك. تشغيل الناتج. exe. المثبت قياسي إلى حد ما. يمكنك النقر فوق معظمها واستخدام الإعدادات الافتراضية.

هناك شيء واحد تريد البحث عنه ، رغم ذلك. ستظهر لك شاشة تسألك عما إذا كنت تريد تثبيت WinPcap. يعد WinPcap أداة مساعدة إضافية لـ Wireshark على Windows والتي تتيح له التقاط كل حركة المرور على شبكة ، بدلاً من مجرد حركة مرور جهاز الكمبيوتر الخاص بك. قم بإلغاء تحديد المربع لتثبيت WinPcap. سوف يسألك أيضًا عن إصدار USB. هذا ليس ضروريًا ، لكن يمكنك تضمينه أيضًا.

بعد ذلك ، سيكتمل التثبيت. سيبدأ التثبيت الجديد لـ WinPcap. الإعدادات الافتراضية مقبولة هناك أيضًا.

ماك

انتقل إلى صفحة تنزيل Wireshark ، وانتزاع أحدث ملف .dmg. عندما ينتهي التنزيل ، انقر نقرًا مزدوجًا على الملف لفتحه. اسحب التطبيق المفتوح إلى مجلد / Applications لتثبيت Wireshark.

لينكس

تحتوي معظم توزيعات Linux على Wireshark في مستودعاتها. تثبيته مع مدير الحزمة الخاصة بك.

$ sudo apt install wireshark-gtk

حسب توزيعك ، سيُطلب منك ما إذا كنت تريد السماح للمستخدمين العاديين بالتقاط الحزم. يجب أن تقول "نعم". بعد تثبيت الحزمة ، أضف المستخدم الخاص بك إلى مجموعة Wireshark. تسجيل الخروج وتسجيل الدخول مرة أخرى ، عند الانتهاء.

sudo gpasswd - مستخدم wireshark

الواجهة

عند فتح Wireshark لأول مرة ، سترى شاشة مشابهة للشاشة أعلاه. يوجد عدد قليل من الأزرار الموجودة أعلاه في أشرطة الأدوات ، ويمكن أن تبدو ساحقة ، لكنها أبسط بكثير مما تعتقد.

واجهة الالتقاط الافتراضية هي نوع من الحرج. يمكنك تغيير التصميم لجعله أكثر راحة ، انقر فوق "تحرير". ابحث عن قائمة "التفضيلات" وأسفلها ، وافتحها. تحت التفضيلات ، سترى علامة التبويب "تخطيط" على اليسار. اختره سترى العديد من الرموز التي تصور خيارات تخطيط مختلفة. اختيار واحد الذي يبدو أفضل لك. عادةً ما يعمل الخيار الأول مع التخطيط المكدس بشكل جيد.

لا تقلق كثيرًا بشأن أشرطة الأدوات حتى الآن. الرموز الخمسة الأولى هي الأكثر أهمية. بالترتيب ، يسمحون لك بتحديد واجهة للتقاطها وتغيير إعدادات الالتقاط وبدء التقاط وإيقاف التقاط واستئناف واحد. الرموز نفسها هي بديهية إلى حد ما.

التقاط الخيارات

قبل أن تبدأ في التقاط حركة المرور ، يجب عليك استكشاف خيارات الالتقاط لمعرفة ما يمكن أن يفعله Wireshark. انقر على أيقونة خيارات الالتقاط. يجب أن تبدو وكأنها العتاد.

أول ما تراه في الجزء العلوي من النافذة هو جدول يسرد جميع واجهات الشبكة الخاصة بك. حدد المربع بجوار الواجهة التي تريد التقاطها. في معظم الحالات ، تكون الواجهة التي تريدها هي الواجهة التي تستخدمها للاتصال بالشبكة. سيكون هو الذي يتوافق مع منفذ Ethernet أو جهاز WiFi.

أسفل ذلك ، سترى مربعين. سوف يسأل المرء ما إذا كنت تريد استخدام الوضع المختلط. الوضع المختلط هو ما يسمح لك بمشاهدة التبادلات بين جميع الأجهزة على الشبكة ، وليس فقط جهاز الكمبيوتر الخاص بك. هي احتمالات ، تريد تمكين هذا. كن حذرا ، رغم ذلك. استخدام الوضع المختلط على شبكة لا تملكها أو ليس لديك إذن بإجراء اختبار لها أمر غير قانوني .

يغطي القسم التالي أسفل ملفات الالتقاط. يتيح لك Wireshark حفظ البيانات الملتقطة. يتيح لك الحقل الأول هناك تحديد وجهة واحدة لالتقاطك. أدناه ، يمكنك تحديد المربع لتمكين Wireshark من تفتيت سجل الالتقاط. يمكن أن تصبح السجلات كبيرة جدًا ، خاصة على الشبكات الأكبر حجمًا. تتيح لك هذه الميزة تقسيم بيانات الالتقاط تلقائيًا بناءً على الوقت أو حجم الملف. في كلتا الحالتين ، إنها ميزة ملائمة عند التعامل مع عمليات المسح على المدى الطويل أو شبكة مشغولة.

أدناه ، يمكنك التحكم في مدة الالتقاط. مرة أخرى ، يمكن أن تصبح عمليات الالتقاط كبيرة ، بحيث يمكنك تعيين الحد الأقصى للحجم. يمكنك أيضًا مهلة هذا ، وهو أمر جيد لأنه يتيح لك التقاط لقطة لإطار زمني محدد على شبكتك.

التقاط حركة المرور

بمجرد أن يكون لديك الإعدادات الخاصة بك بالترتيب ، يمكنك البدء في التقاط حركة المرور على الشبكة الخاصة بك. إذا لم تقم بهذا النوع من قبل من قبل ، فاستعد للدهشة. هناك حركة مرور أكثر مما تتدفق عبر شبكتك. لبدء الالتقاط ، انقر فوق الزر "ابدأ" في أسفل نافذة التكوين أو أيقونة زعنفة القرش. وفي كلتا الحالتين يعمل.

عند بدء التسجيل ، يعتمد مقدار حركة المرور التي تراها على الأجهزة الموجودة على شبكتك. على الرغم من أن معظم الأشخاص لن يكونوا قادرين على مواكبة عبء حركة المرور التي يرونها ، إلا أنه من الممكن تمامًا ألا تراه بجوار أي شيء. إذا كان الأمر كذلك ، فافتح متصفح ويب وابدأ في التنقل. سيبدأ التقاطك بالسرعة.

بعد تشغيل الالتقاط الخاص بك لمدة طويلة كما تريد اختبار ، انقر على زر التوقف في شريط الأدوات. ما لديك يجب أن تبدو مثل الصورة أعلاه.

قراءة البيانات

انقر فوق أحد الحزم التي قمت بالتقاطها. حاول العثور على طلب HTTP. أنها تميل إلى أن تكون أسهل في القراءة. عند تحديد حزمة ، يمتلئ القسمان الآخران من الشاشة بمعلومات حول القسم الذي اخترته.

يحتوي القسم الذي تحتاج إلى الانتباه إليه على علامات تبويب قابلة للطي. تتبع علامات التبويب هذه نموذج OSI ويتم ترتيبها من أدنى مستوى إلى أعلى مع أدنى معلومات مستوى في الأعلى. هذا يعني أن المعلومات الأكثر صلة بك ربما تكون في علامات التبويب السفلية.

تحتوي كل علامة تبويب على معلومات مختلفة حول الحزمة. في حزم HTTP ، سترى معلومات حول طلب HTTP ، بما في ذلك الاستجابة والرؤوس وربما حتى بعض HTML. قد تحتوي الأنواع الأخرى من الحزم على معلومات حول المنافذ المستخدمة والتشفير المستخدم والبروتوكولات وعناوين MAC.

تصفية الحزم

يمكن أن يكون الألم أثناء البحث عن كميات كبيرة من بيانات الالتقاط للعثور على ما تبحث عنه بالضبط. إنه غير فعال ، وهدر كبير للوقت. لدى Wireshark وظيفة تصفية تسمح لك بالفرز السريع للحزم للعثور على ما هو مناسب في أي وقت.

هناك بعض الطرق الأساسية التي تسمح لك Wireshark بتصفية النتائج. أولا ، لديها الكثير من المدمج في المرشحات. عند البدء في الكتابة في أحد حقول التصفية ، سيعرضها Wireshark كاقتراحات للإكمال التلقائي. إذا كان أي من هؤلاء هو ما تبحث عنه ، عظيم! التصفية ستكون سهلة للغاية.

يستخدم Wireshark أيضًا ما يسمى عوامل التشغيل المنطقية. يتم استخدام عوامل التشغيل المنطقية لتقييم ما إذا كان البيان صحيحًا أم لا. على سبيل المثال ، عندما تريد استيفاء شرطين ، يمكنك استخدام عامل التشغيل "و" بينهما لأن الشرط 1 والشرط 2 يجب أن يكون كلاهما صحيحًا. المشغل "أو" مشابه ، فقط يتطلب فقط أن يكون أحد شروطك صحيحًا. ربما يمكنك تخمين أن عامل التشغيل "لا" يبحث عن عدم وجود شرط.

بالإضافة إلى مشغلي Boolean ، يدعم Wireshark عوامل المقارنة. كما يوحي الاسم ، قارن عوامل المقارنة بين شرطين أو أكثر. يقومون بتقييم معادلة الشروط على أنها أكبر من أو تقل عن أو تساوي.

تصفية أثناء التقاط

من السهل جدًا تصفية نتائجك أثناء الالتقاط. افتح نسخة احتياطية من خيارات الالتقاط. ابحث عن زر "خيارات الالتقاط" باتجاه منتصف النافذة. يجب أن يكون هناك أيضًا حقل نص كبير بجانبه.

يمكنك إنشاء الفلتر من البداية في هذا الحقل ، أو يمكنك النقر فوق الزر واستخدام المرشحات المدمجة في Wireshark. حاول النقر على الزر. سيتم فتح نافذة جديدة مع قائمة المرشحات. يؤدي النقر فوق هذه المرشحات إلى ملء الحقول أدناه. الحقل السفلي هو المرشح الفعلي الذي يتم استخدامه. يمكنك تعديل هذا الفلتر كأساس لعوامل التصفية المخصصة الخاصة بك. عندما تكون جاهزًا ، انقر فوق "موافق". ثم ، قم بتشغيل المسح الضوئي كما تفعل عادةً. بدلاً من التقاط كل شيء ، سوف يلتقط Wireshark فقط الحزم التي تلائم ظروف الفلتر. هذا يجعل فرز وتصنيف بيانات الحزمة أسهل بكثير. لا تحتاج إلى البحث في الكثير من المعلومات الإضافية للعثور على ما تحتاج إليه.

تصفية النتائج

إذا قمت بالتقاط كامل أو التقاط أكثر قوة ، لكنك تريد التصفية خلاله بعد وقوعه ، يمكنك القيام بذلك أيضًا. بعد إجراء الالتقاط ، سترى شريط أدوات إضافي أسفل رموز التحكم. يتميز شريط الأدوات هذا بحقل "تصفية". يمكنك كتابة التعبيرات في تلك المقدمة لتصفية النتائج التي يعرضها Wireshark.

كما هو الحال مع التصفية أثناء الالتقاط ، هناك طريقة سهلة. انقر على زر "التعبير" لفتح نافذة تساعدك على تجميع تعبيرات الفلتر. يحتوي العمود الأيسر على قائمة الحقول. تتيح لك هذه الحقول اختيار المعلومات التي ستستهدفها. يحتوي العمود التالي على قائمة بالعلاقات الممكنة. معظمها هي رموز أقل من ، أكبر من ، مساوية ، ومجموعات من تلك. العمود الأخير هو للقيم. هذه هي القيم التي تقارن بها. بناءً على مجال عملك ، يمكنك اختيار القيمة التي تريد مقارنتها أو كتابتها.

يمكن أن تصبح هذه أكثر تعقيدًا ، ويمكنك إضافة المزيد من التعبيرات معًا. الذي يقع على مشغلي منطقية. هذه منطقية مختلفة ، رغم ذلك. يستخدم حقل التعبير هذا الرموز لـ و ، أو ، وليس بدلاً من الكلمات نفسها. || ترمز إلى "أو". && "و". بسيطة! ليس."

على سبيل المثال ، إذا كنت تريد كل شيء ما عدا UDP ، استخدم! udp. إذا كنت تريد HTTP أو TCP ، فجرب http || برنامج التعاون الفني. يمكنك دمجها أيضًا في التعبيرات الأكثر تعقيدًا. كلما زاد تعقيد تعبيرك ، زاد ترشيح المرشح الخاص بك.

متابعة حزم الحزمة

بمجرد الحصول على حزمة أو حزم تهمك ، يمكنك استخدام أداة مدمجة رائعة في Wireshark لمتابعة "المحادثة" بأكملها بين جهازي الكمبيوتر اللذين يتبادلان هذه الحزم. يتيح تدفقات الحزمة التالية لـ Wirshark تجميعها معًا وتشكيل صورة أكبر. في حالة حزم HTTP ، من المحتمل أن يقوم Wireshark بتجميع مصدر HTML لصفحة ويب. مع بعض برامج VOIP غير المشفرة ، يمكن لـ Wireshark استرداد الصوت المتبادل. نعم ، يمكنه بالفعل الاستماع إلى محادثات VOIP.

انقر بزر الماوس الأيمن على الحزمة التي تريد متابعتها. حدد "متابعة … دفق" ، مع استبدال النقاط ببروتوكول الحزمة. سوف يستغرق Wireshark بضع ثوان لربطه معًا. بعد الانتهاء ، سيقدم لك Wireshark النتيجة المكتملة. تعمل هذه الميزة على تسهيل رؤية ما يتم تبادله عبر الشبكة تمامًا. كما يوضح أيضًا مدى أهمية تشفير الشبكة ، نظرًا لأن هذه الميزة ستجمع فقط الهراء الكلي مع الحزم المشفرة.

ختام الأفكار

Wireshark هو أداة رائعة للغاية في تحليل الشبكة. يتيح لك الوصول لرؤية كل ما يجري على شبكتك. مع Wireshark ، يمكنك الحصول على فهم أكبر للمكان الذي تكمن فيه مشاكل الشبكة ، سواء من حيث السرعة والأمان. تذكر دائمًا استخدام Wireshark بعناية ، وفهم أنه تدخلي للغاية. لا تتجسس على الناس ، وتذكر أن تبقي Wireshark الخاص بك في حدود القانون.

استكشف شبكتك باستخدام wireshark

اختيار المحرر

كيفية فحص جهاز Mac الخاص بك بحثًا عن الجذور الخفية

إذا كان جهاز Mac الخاص بك يتصرف بشكل غريب وتشك في وجود rootkit ، فستحتاج إلى العمل على التنزيل والمسح الضوئي باستخدام عدة أدوات مختلفة. تجدر الإشارة إلى أنه يمكن أن يكون لديك برنامج rootkit مثبت ولا تعرفه حتى

كيفية جعل Safari&8217 ؛ s ميزة التصفح الخاص خاصة بالفعل

بمجرد فتح متصفح الويب الخاص بك ، يمكن تتبع جميع أنشطتك على الإنترنت (ويتم الآن) تتبعها. المواقع التي تزورها والأشياء التي تشتريها عبر الإنترنت والخدمات التي تقوم بتسجيل الدخول إليها

كيفية تحويل ملف MP3 أو M4A إلى نغمة iPhone

إذن ما هي نغمة iPhone على أي حال. حسنًا في الواقع ، إنه مجرد برنامج iTunes عادي

8 اختصارات لوحة مفاتيح OS X المفيدة

Apple هي الخيار الأول للمستخدمين الذين يريدون أن يكونوا أكثر إنتاجية وفعالية ، ولسبب وجيه. بعد كل شيء ، تم تجهيز macOS بالكثير من اختصارات لوحة المفاتيح التي تجعل العمل أسهل

اختصارات لوحة مفاتيح Mac عندما يتجمد جهاز Mac

مع كون أجهزة Mac من أكثر أجهزة الكمبيوتر موثوقية ، لا يشعر الكثير من المستخدمين بهذا الشعور الذي تشعر به عندما ترى عجلة الموت الدوارة على الشاشة. ولكن عندما يحدث ذلك ويتجمد جهاز الكمبيوتر الخاص بك ، فمن الجيد أن يكون لديك خيار استخدام اختصار لوحة المفاتيح الصحيح لحل المشكلة.

ابدأ مع التخريب باستخدام SvnX

إذا كنت مطورًا ، يتيح لك برنامج التحكم في الإصدار تتبع التغييرات التي تطرأ على شفرتك. يعد هذا ضروريًا في المشاريع التي تعمل فيها كجزء من فريق ، مما يتيح لك تتبع التغييرات فور حدوثها