هل شبكتك آمنة؟ كيفية تحليل حركة مرور الشبكة باستخدام Wireshark

Wireshark هو محلل بروتوكول الشبكة الرائد الذي يستخدمه متخصصو الأمن في جميع أنحاء العالم. يسمح لك باكتشاف الحالات الشاذة في شبكات الكمبيوتر والعثور على الأسباب الأساسية. سنوضح كيفية استخدام Wireshark في الأقسام التالية.

فكيف يعمل؟ وكيف يمكنك بالفعل استخدام Wireshark لالتقاط حزم البيانات؟

كيف يعمل Wireshark؟

جعلت مجموعة الميزات القوية لـ Wireshark منها واحدة من أفضل الأدوات لاستكشاف مشكلات الشبكة وإصلاحها. يستخدم العديد من الأشخاص Wireshark ، بما في ذلك مديرو الشبكة ومدققو الأمان ومحللي البرامج الضارة وحتى المهاجمين.

أفضل 7 أدوات لاستكشاف مشكلات الشبكة وإصلاحها

هل لديك مشكلة في التواصل؟ أو تريد فقط معرفة المزيد عن شبكتك المنزلية؟ يمكن أن تساعدك هذه الأدوات السبع في تحليل شبكتك واستكشاف الأخطاء وإصلاحها.

يسمح لك بإجراء عمليات فحص عميقة لحزم الشبكة الحية أو المخزنة. عندما تبدأ في استخدام Wireshark ، ستندهش بكمية المعلومات التي يمكن أن تقدمها. ومع ذلك ، فإن كثرة المعلومات غالبًا ما تجعل من الصعب البقاء على المسار الصحيح.

لحسن الحظ ، يمكننا التخفيف من ذلك عبر إمكانيات التصفية المتقدمة لـ Wireshark. سنناقشهم بالتفصيل لاحقًا. يتكون سير العمل من التقاط حزم الشبكة وتصفية المعلومات المطلوبة.

كيفية استخدام Wireshark لالتقاط الحزم

بمجرد بدء تشغيل Wireshark ، سيعرض واجهات الشبكة المتصلة بنظامك. يجب أن تلاحظ منحنيات تمثل اتصال الشبكة بجانب كل واجهة.

الآن ، تحتاج إلى اختيار واجهة محددة قبل أن تتمكن من البدء في التقاط الحزم. للقيام بذلك ، حدد اسم الواجهة وانقر على اللون الأزرق زعنفة القرش أيقونة. يمكنك أيضًا القيام بذلك عن طريق النقر المزدوج على اسم الواجهة.

سيبدأ Wireshark في التقاط الحزم الواردة والصادرة للواجهة المحددة. انقر فوق اللون الأحمر إيقاف مؤقت رمز لوقف الالتقاط. يجب أن تشاهد قائمة بحزم الشبكة المأخوذة أثناء هذه العملية.

سيعرض Wireshark المصدر والوجهة لكل حزمة إلى جانب البروتوكول. ومع ذلك ، في معظم الأحيان ، سوف تكون مهتمًا بمحتويات حقل المعلومات.

يمكنك فحص الحزم الفردية من خلال النقر عليها. بهذه الطريقة ، يمكنك عرض حزمة البيانات بالكامل.

كيفية حفظ الحزم الملتقطة في Wireshark

نظرًا لأن Wireshark يلتقط الكثير من حركة المرور ، فقد ترغب في بعض الأحيان في حفظها لتفتيشها لاحقًا. لحسن الحظ ، فإن حفظ الحزم التي تم التقاطها باستخدام Wireshark أمر سهل.

لحفظ الحزم ، قم بإيقاف الجلسة النشطة. ثم انقر فوق ملف ملف الموجود في القائمة العلوية. تستطيع ايضا استخذام السيطرة + S. لفعل هذا.

يمكن لـ Wireshark حفظ الحزم بتنسيقات متعددة ، بما في ذلك pcapng و pcap و dmp. يمكنك أيضًا حفظ الحزم الملتقطة بتنسيق آخر أدوات تحليل الشبكة يمكن استخدامها لاحقًا.

كيفية تحليل الحزم الملتقطة

يمكنك تحليل الحزم التي تم التقاطها مسبقًا عن طريق فتح ملف الالتقاط. مرة واحدة في النافذة الرئيسية ، انقر فوق ملف> فتح ثم حدد الملف المحفوظ ذي الصلة.

تستطيع ايضا استخذام السيطرة + O للقيام بذلك بسرعة. بمجرد تحليل الحزم ، قم بإنهاء نافذة الفحص بالذهاب إلى ملف> إغلاق.

كيفية استخدام مرشحات Wireshark

يوفر Wireshark عددًا كبيرًا من إمكانات التصفية القوية. المرشحات من نوعين - مرشحات العرض وعوامل تصفية الالتقاط.

استخدام مرشحات Wireshark Display

تُستخدم مرشحات العرض لعرض حزم معينة من جميع الحزم الملتقطة. على سبيل المثال ، يمكننا استخدام مرشح العرض icmp لعرض كافة حزم بيانات ICMP.

يمكنك الاختيار من بين عدد كبير من المرشحات. علاوة على ذلك ، يمكنك أيضًا تحديد قواعد التصفية المخصصة للمهام البسيطة. لإضافة عوامل تصفية مخصصة ، انتقل إلى تحليل> عرض المرشحات. اضغط على + أيقونة لإضافة عامل تصفية جديد.

استخدام مرشحات Wireshark Capture

تُستخدم مرشحات الالتقاط لتحديد الحزم المطلوب التقاطها أثناء جلسة Wireshark. ينتج حزمًا أقل بكثير من اللقطات القياسية. يمكنك استخدامها في المواقف التي تحتاج فيها إلى معلومات محددة حول حزم معينة.

أدخل مرشح الالتقاط في الحقل الموجود أعلى قائمة الواجهات في النافذة الرئيسية. حدد اسم الواجهة من القائمة واكتب اسم المرشح في الحقل أعلاه.

انقر فوق الزر الأزرق زعنفة القرش رمز لبدء التقاط الحزم. المثال التالي يستخدم ARP عامل التصفية لالتقاط معاملات ARP فقط.

استخدام قواعد تلوين Wireshark

يوفر Wireshark العديد من قواعد التلوين ، والتي كانت تسمى سابقًا مرشحات الألوان. إنها ميزة رائعة عند تحليل حركة مرور الشبكة الواسعة. يمكنك أيضًا تخصيصها بناءً على التفضيل.

لعرض قواعد التلوين الحالية ، انتقل إلى عرض> قواعد التلوين. هنا يمكنك العثور على قواعد التلوين الافتراضية للتثبيت الخاص بك.

يمكنك تعديلها بالطريقة التي تريدها. بالإضافة إلى ذلك ، يمكنك أيضًا استخدام قواعد التلوين الخاصة بالأشخاص الآخرين عن طريق استيراد ملف التكوين.

قم بتنزيل الملف الذي يحتوي على القواعد المخصصة ثم قم باستيراده عن طريق التحديد عرض> قواعد التلوين> استيراد. يمكنك تصدير القواعد بالمثل.

Wireshark في العمل

لقد ناقشنا حتى الآن بعض ميزات Wireshark الأساسية. دعونا نجري بعض العمليات العملية لتوضيح كيفية تكاملها.

لقد أنشأنا خادم Go أساسيًا لهذا العرض التوضيحي. تقوم بإرجاع رسالة نصية بسيطة لكل طلب. بمجرد تشغيل الخادم ، سنقوم بإجراء بعض طلبات HTTP والتقاط حركة المرور الحية. لاحظ أننا نقوم بتشغيل الخادم على المضيف المحلي.

أولاً ، نبدأ في التقاط الحزمة بالنقر نقرًا مزدوجًا فوق واجهة Loopback (المضيف المحلي). الخطوة التالية هي بدء تشغيل الخادم المحلي الخاص بنا وإرسال طلب GET. نحن نستخدم curl للقيام بذلك.

سوف يلتقط Wireshark جميع الحزم الواردة والصادرة أثناء هذه المحادثة. نريد عرض البيانات التي يرسلها خادمنا ، لذلك سنستخدم الامتداد http.response عرض مرشح لعرض حزم الاستجابة.

الآن ، سيخفي Wireshark جميع الحزم الأخرى الملتقطة ويعرض حزم الاستجابة فقط. إذا نظرت عن كثب في تفاصيل الحزمة ، يجب أن تلاحظ بيانات النص العادي التي يرسلها خادمنا.

أوامر Wireshark المفيدة

يمكنك أيضًا استخدام أوامر Wireshark المختلفة للتحكم في البرنامج من محطة Linux الخاصة بك. فيما يلي بعض أوامر Wireshark الأساسية:

• واير شارك يبدأ Wireshark في الوضع الرسومي.
• wireshark -h يعرض خيارات سطر الأوامر المتاحة.
• wireshark -i INTERFACE يختار INTERFACE كواجهة التقاط.

تشارك هو سطر الأوامر البديل لبرنامج Wireshark. يدعم جميع الميزات الأساسية وهو فعال للغاية.

تحليل أمان الشبكة باستخدام Wireshark

تجعل مجموعة الميزات الغنية في Wireshark وقواعد التصفية المتقدمة تحليل الحزم منتجًا ومباشرًا. يمكنك استخدامه للعثور على جميع أنواع المعلومات حول شبكتك. جرب وظائفه الأساسية لتتعلم كيفية استخدام Wireshark لتحليل الحزم.

Wireshark متاح للتنزيل على الأجهزة التي تعمل بنظام Windows و macOS و Linux.

كيفية تحويل Raspberry Pi الخاص بك إلى أداة مراقبة الشبكة

هل تريد مراقبة شبكتك أو أجهزتك البعيدة؟ إليك كيفية تحويل Raspberry Pi إلى أداة مراقبة الشبكة باستخدام Nagios.

عن المؤلف