چطور از وایرشارک استفاده کنیم

آخرین به روز رسانی: 20/07/1404
مشاهده این خبر 18 دقیقه زمان لازم دارد

اگر در حال عیب‌یابی مشکلات شبکه هستید و باید بسته‌های شبکه را به صورت جداگانه بررسی کنید، باید از وایرشارک استفاده کنید. وایرشارک ابزار پیش‌فرض و اصلی برای ضبط و بررسی ترافیک شبکه است و باید بدانید چگونه از آن استفاده کنید.

و از آنجا که وایرشارک ابزار غالب برای این کار است، بیایید به برخی از اصول پایه‌ای این برنامه بپردازیم، مانند اینکه کجا می‌توانید وایرشارک را دانلود کنید، چگونه بسته‌های شبکه را ضبط کنید، چگونه از فیلترها استفاده کنید و موارد دیگر.

وایرشارک چیست؟

وایرشارک یک نرم‌افزار تحلیل پروتکل شبکه متن‌باز است که به طور گسترده‌ای به عنوان استاندارد صنعت شناخته می‌شود. این نرم‌افزار توسط یک سازمان جهانی از متخصصان شبکه و توسعه‌دهندگان نرم‌افزار پشتیبانی می‌شود و به‌طور مداوم به‌روزرسانی‌هایی برای فناوری‌های جدید شبکه و روش‌های رمزنگاری منتشر می‌کند.

سازمان‌های دولتی، شرکت‌ها، سازمان‌های غیردولتی و مؤسسات آموزشی از وایرشارک برای عیب‌یابی و آموزش استفاده می‌کنند. واقعاً هیچ راه بهتری برای یادگیری شبکه‌های سطح پایین‌تر از مشاهده ترافیک شبکه زیر میکروسکوپ وایرشارک وجود ندارد.

شما تنها باید از وایرشارک در شبکه‌هایی استفاده کنید که مجوز بررسی بسته‌های شبکه را دارید. استفاده از وایرشارک برای مشاهده بسته‌ها بدون مجوز غیرقانونی است.

وایرشارک چگونه کار می‌کند؟

وایرشارک که از ابزارهای آموزش هک است یک ابزار sniffing بسته‌ها و تجزیه‌وتحلیل است. این نرم‌افزار ترافیک شبکه را از اتصالات اترنت، بلوتوث، بی‌سیم (IEEE.802.11)، حلقه توکن و فریم رله، بین دیگران، ضبط می‌کند و آن داده‌ها را برای تجزیه‌وتحلیل آفلاین ذخیره می‌کند.

یادداشت ویرایشگر: یک “بسته” یک پیام واحد از هر پروتکل شبکه (مثلاً TCP، DNS و غیره) است.

یادداشت ویرایشگر 2: ترافیک LAN به حالت پخش ارسال می‌شود، به این معنی که یک کامپیوتر با وایرشارک می‌تواند ترافیک بین دو کامپیوتر دیگر را مشاهده کند. برای مشاهده ترافیک به یک سایت خارجی، شما باید بسته‌ها را در کامپیوتر محلی ضبط کنید.

وایرشارک به شما این امکان را می‌دهد که قبل از شروع ضبط یا در حین تجزیه‌وتحلیل، لاگ‌ها را فیلتر کنید، بنابراین می‌توانید آنچه را که به دنبال آن هستید در ردیابی شبکه دقیقاً پیدا کنید. به عنوان مثال، می‌توانید فیلترهایی تنظیم کنید تا ترافیک TCP بین دو آدرس IP را مشاهده کنید یا فقط بسته‌هایی را نشان دهد که از یک کامپیوتر ارسال شده‌اند. فیلترهای وایرشارک یکی از دلایل اصلی تبدیل آن به ابزار استاندارد برای تجزیه‌وتحلیل بسته‌ها هستند.

وایرشارک کی باید استفاده شود؟

وایرشارک می‌تواند برای درک نحوه‌ی برقراری ارتباط در شبکه و تحلیل مشکلاتی که هنگام بروز مشکل در ارتباط به وجود می‌آید، استفاده شود.

وایرشارک به این افراد کمک می‌کند:

  • مدیران شبکه برای عیب‌یابی مشکلات در سراسر شبکه
  • مهندسان امنیتی برای بررسی مسائل امنیتی در شبکه
  • مهندسان QA برای تایید عملکرد برنامه‌ها
  • توسعه‌دهندگان برای اشکال‌زدایی پیاده‌سازی‌های پروتکل‌ها
  • کاربران شبکه برای یادگیری درباره‌ی یک پروتکل خاص

وایرشارک کی نباید استفاده شود؟

وایرشارک می‌تواند در عیب‌یابی بسیاری از مشکلات شبکه کمک کند و به عنوان یک ابزار آموزشی نیز استفاده شود. اما وایرشارک نمی‌تواند:

  • کمک به کاربری که پروتکل‌های شبکه را نمی‌شناسد: کاربران باید ابتدا بدانند که شبکه چگونه کار می‌کند تا بتوانند از وایرشارک استفاده کنند.
  • دستگیری ترافیک از مکان‌های غیر از کامپیوتر محلی شما و سیستم‌هایی که به آن متصل است: وایرشارک نمی‌تواند ترافیک تمام سیستم‌های دیگر در یک شبکه را ضبط کند.
  • اطلاع‌رسانی از هشدارها: نزدیک‌ترین کاری که وایرشارک می‌تواند انجام دهد، اعمال کدگذاری رنگی و نمایش بسته‌های خراب است.

چگونه وایرشارک را دانلود کنیم؟

دانلود و نصب وایرشارک بسیار ساده است. گام اول این است که به صفحه دانلود رسمی وایرشارک بروید و نسخه مناسب سیستم‌عامل خود را انتخاب کنید. نصب ساده است و نسخه پایه‌ای وایرشارک رایگان است.

وایرشارک برای ویندوز

وایرشارک برای ویندوز در دو نسخه 32-bit و 64-bit عرضه می‌شود. نسخه مناسب برای سیستم‌عامل خود را انتخاب کنید؛ نسخه فعلی در زمان نوشتن این مطلب 3.0.3 است.

وایرشارک برای مک

وایرشارک در مک به صورت نصب از طریق Homebrew در دسترس است.

برای نصب Homebrew، باید این دستور را در ترمینال خود وارد کنید:

/usr/bin/ruby -e “$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)”

پس از نصب Homebrew، می‌توانید به پروژه‌های متن‌باز مختلف برای مک دسترسی پیدا کنید. برای نصب وایرشارک، این دستور را از طریق ترمینال وارد کنید:

brew install wireshark

Homebrew وایرشارک و هر وابستگی لازم برای عملکرد صحیح آن را دانلود و نصب می‌کند.

وایرشارک برای لینوکس

نصب وایرشارک روی لینوکس ممکن است بسته به توزیع لینوکس کمی متفاوت باشد. اگر از یکی از توزیع‌های زیر استفاده نمی‌کنید، لطفاً دستورات را دوباره بررسی کنید.

اوبونتو

از ترمینال این دستورات را وارد کنید:

sudo apt-get install wireshark

sudo dpkg-reconfigure wireshark-common

sudo adduser $USER wireshark

این دستورات بسته را دانلود و به‌روزرسانی کرده و دسترسی‌های لازم برای اجرای وایرشارک را به کاربر اضافه می‌کند.

رد هت فدورا

از ترمینال این دستورات را وارد کنید:

sudo dnf install wireshark-qt

sudo usermod -a -G wireshark username

دستور اول نسخه GUI و CLI وایرشارک را نصب می‌کند و دستور دوم دسترسی‌های لازم برای استفاده از وایرشارک را اضافه می‌کند.

کالی لینوکس

وایرشارک احتمالاً از پیش نصب شده است زیرا جزو بسته‌های پایه است. برای تأیید، منوی خود را بررسی کنید و گزینه “Sniffing & Spoofing” را پیدا کنید.

بسته‌های داده در وایرشارک

حالا که وایرشارک را نصب کرده‌ایم، بیایید نحوه فعال‌سازی اسنیفر بسته‌های وایرشارک و سپس تحلیل ترافیک شبکه را مرور کنیم.

ضبط بسته‌های داده در وایرشارک

زمانی که وایرشارک را باز می‌کنید، صفحه‌ای را مشاهده می‌کنید که لیستی از تمامی اتصالات شبکه‌ای که می‌توانید نظارت کنید را نشان می‌دهد. همچنین یک فیلد فیلتر ضبط وجود دارد تا فقط ترافیک شبکه‌ای که می‌خواهید ببینید، ضبط شود.

ضبط بسته‌های داده در وایرشارک

شما می‌توانید از گزینه منو Capture -> Start استفاده کنید.

یا می‌توانید از کلید میانبر Control+E استفاده کنید.

در حین ضبط، وایرشارک بسته‌های ضبط شده را به صورت زنده به شما نمایش می‌دهد.

زمانی که تمام بسته‌های مورد نیاز را ضبط کردید، می‌توانید از همان دکمه‌ها یا گزینه‌های منو برای متوقف کردن ضبط استفاده کنید که قبلاً برای شروع استفاده کرده‌اید.

بهترین شیوه این است که ضبط بسته‌های وایرشارک را قبل از تحلیل متوقف کنید.

تحلیل بسته‌های داده در وایرشارک

وایرشارک سه پنل مختلف برای بررسی داده‌های بسته نمایش می‌دهد. لیست بسته‌ها، پنل بالایی، تمام بسته‌های ضبط شده را نمایش می‌دهد. وقتی بر روی یک بسته کلیک می‌کنید، دو پنل دیگر تغییر می‌کنند تا جزئیات مربوط به بسته انتخاب شده را نشان دهند. شما همچنین می‌توانید تشخیص دهید که آیا بسته بخشی از یک مکالمه است. در اینجا جزئیات هر ستون در پنل بالایی آمده است:

  • No.: این شماره ترتیب بسته ضبط شده است. براکت نشان می‌دهد که این بسته بخشی از یک مکالمه است.
  • Time: این ستون نشان می‌دهد که این بسته چقدر پس از شروع ضبط، ضبط شده است. شما می‌توانید این مقدار را در منوی تنظیمات تغییر دهید تا گزینه‌ای متفاوت نمایش داده شود.
  • Source: این آدرس سیستمی است که بسته را ارسال کرده است.
  • Destination: این آدرس مقصد بسته است.
  • Protocol: نوع بسته است. به عنوان مثال: TCP، DNS، DHCPv6، یا ARP.
  • Length: این ستون طول بسته را که به بایت اندازه‌گیری شده است، نشان می‌دهد.
  • Info: این ستون اطلاعات بیشتری در مورد محتوای بسته نشان می‌دهد که بسته به نوع بسته متفاوت است.

جزئیات بسته‌ها، پنل میانه، تا جایی که ممکن است اطلاعات قابل خواندن در مورد بسته را نمایش می‌دهد، بسته به نوع بسته. شما می‌توانید روی متن برجسته شده در این فیلد کلیک راست کرده و فیلترهایی بر اساس آن ایجاد کنید.

پنل پایینی، بایت‌های بسته، بسته را دقیقاً همانطور که ضبط شده است به صورت هگزادسیمال نمایش می‌دهد.

وقتی بسته‌ای که بخشی از یک مکالمه است را مشاهده می‌کنید، می‌توانید روی بسته کلیک راست کرده و گزینه Follow را انتخاب کنید تا فقط بسته‌هایی که بخشی از آن مکالمه هستند را مشاهده کنید.

فیلترهای وایرشارک

برخی از بهترین ویژگی‌های وایرشارک فیلترهای ضبط و فیلترهای نمایش هستند. فیلترها به شما این امکان را می‌دهند که ضبط را به روشی که نیاز دارید برای عیب‌یابی مشکلات مشاهده کنید. در اینجا چند فیلتر برای شروع آورده شده است.

فیلترهای ضبط وایرشارک

فیلترهای ضبط تعداد بسته‌های ضبط شده را بر اساس فیلتر انتخابی محدود می‌کنند. اگر بسته‌ها با فیلتر مطابقت نداشته باشند، وایرشارک آن‌ها را ذخیره نخواهد کرد. مثال‌هایی از فیلترهای ضبط عبارتند از:

  • host IP-address: این فیلتر ترافیک ضبط شده به و از آدرس IP را محدود می‌کند.
  • net 192.168.0.0/24: این فیلتر تمام ترافیک روی زیرشبکه را ضبط می‌کند.
  • dst host IP-address: بسته‌های ارسال شده به مقصد مشخص را ضبط می‌کند.
  • port 53: فقط ترافیک روی پورت 53 را ضبط می‌کند.
  • port not 53 and not arp: تمام ترافیک به جز ترافیک DNS و ARP را ضبط می‌کند.

فیلترهای نمایش وایرشارک

فیلترهای نمایش، دید ضبط را در حین تحلیل تغییر می‌دهند. پس از اینکه ضبط بسته‌ها را متوقف کردید، از فیلترهای نمایش برای محدود کردن بسته‌ها در لیست بسته‌ها استفاده کنید تا مشکل خود را عیب‌یابی کنید.

یکی از مفیدترین فیلترهای نمایش عبارت است از:

  • ip.src==IP-address and ip.dst==IP-address: این فیلتر بسته‌هایی را نشان می‌دهد که از یک کامپیوتر (ip.src) به کامپیوتر دیگر (ip.dst) ارسال شده‌اند. شما همچنین می‌توانید از ip.addr برای نمایش بسته‌هایی که به و از آن IP ارسال می‌شوند، استفاده کنید. فیلترهای دیگر عبارتند از:
    • tcp.port eq 25: این فیلتر تمام ترافیک روی پورت 25، که معمولاً ترافیک SMTP است، را نشان می‌دهد.
    • icmp: این فیلتر فقط ترافیک ICMP را در ضبط نشان می‌دهد، که احتمالاً پینگ‌ها هستند.
    • ip.addr != IP_address: این فیلتر تمام ترافیک به جز ترافیک به یا از کامپیوتر مشخص شده را نشان می‌دهد.

تحلیل‌گران حتی فیلترهایی برای شناسایی حملات خاص می‌سازند، مانند این فیلتر که برای شناسایی کرم Sasser استفاده می‌شود:

  • ls_ads.opnum==0x09

ویژگی‌های اضافی وایرشارک

فراتر از ضبط و فیلتر کردن، چندین ویژگی دیگر در وایرشارک وجود دارد که می‌تواند کار شما را آسان‌تر کند.

گزینه‌های رنگ‌آمیزی وایرشارک

شما می‌توانید وایرشارک را طوری تنظیم کنید که بسته‌ها را در لیست بسته‌ها بر اساس فیلتر نمایش رنگی کند، که به شما این امکان را می‌دهد که بسته‌هایی را که می‌خواهید برجسته کنید، نمایش دهید. برخی از مثال‌ها را در اینجا مشاهده کنید.

حالت پرومسکویس وایرشارک

به طور پیش‌فرض، وایرشارک فقط بسته‌هایی را که به و از کامپیوتری که در آن اجرا می‌شود، ضبط می‌کند. با علامت زدن گزینه اجرای وایرشارک در حالت پرومسکویس در تنظیمات ضبط، می‌توانید بیشتر ترافیک موجود در شبکه محلی را ضبط کنید.

خط فرمان وایرشارک

وایرشارک یک رابط خط فرمان (CLI) نیز فراهم می‌کند، اگر شما از سیستمی بدون رابط کاربری گرافیکی (GUI) استفاده می‌کنید. بهترین شیوه این است که از CLI برای ضبط و ذخیره یک لاگ استفاده کنید تا بتوانید آن را با GUI بررسی کنید.

دستورات وایرشارک

  • wireshark: اجرای وایرشارک در حالت GUI
  • wireshark –h: نمایش پارامترهای در دسترس برای خط فرمان وایرشارک
  • wireshark –a duration:300 –i eth1 –w wireshark: ضبط ترافیک روی رابط اترنت eth1 برای پنج دقیقه. –a به این معنی است که ضبط به طور خودکار متوقف می‌شود، -i مشخص می‌کند که کدام رابط ضبط شود.

متریک‌ها و آمار

در منوی Statistics، شما گزینه‌های زیادی برای مشاهده جزئیات ضبط خود پیدا خواهید کرد.

ویژگی‌های فایل ضبط:

گراف I/O وایرشارک:

منابع و آموزش‌های اضافی وایرشارک

آموزش‌ها و ویدیوهای زیادی وجود دارند که به شما نحوه استفاده از وایرشارک برای مقاصد خاص را نشان می‌دهند. باید جستجوی خود را از وب‌سایت اصلی وایرشارک آغاز کرده و از آنجا پیش بروید. شما همچنین می‌توانید مستندات رسمی و ویکی را در آن سایت پیدا کنید.

وایرشارک یک ابزار عالی برای ضبط و تحلیل شبکه است — اما بهترین زمان برای استفاده از آن زمانی است که بدانید چه چیزی را جستجو می‌کنید. شما نمی‌توانید از وایرشارک برای کشف یک مشکل جدید استفاده کنید زیرا ترافیک شبکه بسیار پر سر و صدا است. Varonis با Edge کمک می‌کند تا وضعیت کلی را درک کنید و تهدیدی را برای بررسی شناسایی کنید؛ سپس می‌توانید از وایرشارک برای بررسی عمیق‌تر تهدید درون بسته‌ها استفاده کنید.

یک مثال عالی از این موضوع زمانی است که محققان امنیتی Varonis کرم Norman crypto miner را کشف کردند، آن‌ها از چندین دستگاه هشدارهایی دریافت کردند که به فعالیت‌های مشکوک شبکه و فایل اشاره داشتند. در حین تحلیل کرم، محققان Varonis از وایرشارک برای بررسی فعالیت‌های شبکه برخی از دستگاه‌هایی که رفتار غیرعادی داشتند، استفاده کردند. وایرشارک به تیم تحقیقاتی نشان داد که یک کرم جدید به نام Norman به طور فعال با سرورهای C&C ارتباط برقرار می‌کند. تیم Varonis توانست با استفاده از وایرشارک تمام آدرس‌های IP سرورهای C&C که مهاجمان استفاده می‌کردند را مشاهده کند و شرکت توانست ارتباطات را قطع کند و حمله را متوقف کند.

مطالب پرطرفدار سایت:

  1. چطور سایت را سئو کنیم؟
  2. چطور به دندان مصنوعی عادت کنیم؟
  3. چرا باید از دوربین مداربسته استفاده کنیم ؟
  4. در مشهد چطور سوئیت و آپارتمان مبله پیدا کنیم؟
دسته بندی خبرهای باراناخبر
آخرین به روز رسانی: 20/07/1404
مشاهده این خبر 18 دقیقه زمان لازم دارد
دکمه بازگشت به بالا