اگر میخواهید مشکلات شبکه را بررسی کنید و عیبهای آن را بیابید، باید از Wireshark استفاده کنید. وایرشارک یک برنامه کاربردی دقیقی و کاملاً پیشرفته برای گرفتن و بررسی ترافیک شبکه است.
ازآنجاییکه Wireshark ابزاری همهجانبه برای این کار است محبوبیت بسیار ویژهای در بین متخصصین شبکه دارد. در این مقاله به معرفی و آموزش Wireshark میپردازیم. مواردی که ما در این مطلب بحث خواهیم کرد شامل نحوه نصب و دانلود، نحوه گرفتن بستههای شبکه، نحوه استفاده از فیلترهای وایرشارک و . . . است. برای یادگیری علم شبکه، امنیت و موضوعاتی مثل هک و . . . میتوانید به صفحه آموزش امنیت شبکه مراجعه کتید.
Wireshark چیست؟
Wireshark یک برنامه نرمافزاری آنالیز پروتکل شبکه منبع باز است که توسط Gerald Combs در سال 1998 آغاز شد. یک سازمان جهانی متشکل از متخصصان شبکه و توسعهدهندگان نرمافزار، از Wireshark پشتیبانی میکنند و به بهروزرسانی برای فناوریهای جدید شبکه و روشهای رمزگذاری را میپردازند و از نظر پشتیبانی، وایرشارک یک ابزار بدون رقیب است.
استفاده از Wireshark کاملاً ایمن است. سازمانهای دولتی، شرکتها و مؤسسات آموزشی از Wireshark برای عیبیابی و اهداف آموزشی استفاده میکنند. برای عیبیابی و تست شبکه راهی بهتر از نگاه کردن به ترافیک زیر میکروسکوپ Wireshark وجود ندارد.
سؤالاتی در مورد قانونی بودن Wireshark وجود دارد زیرا یک بسته sniffer قدرتمند است. سمت Light of the Force میگوید که شما فقط باید از Wireshark در شبکههایی استفاده کنید که در آنها مجوز بازرسی بستههای شبکه رادارید. استفاده از وایرشارک برای نگاه کردن به شبکههای بدون مجوز، مسیری به سمت Dark Side است.
مقاله پییشنهادی : بهترین کتابها برای یادگیری امنیت شبکه
کاربرد وایرشارک
Wireshark یکی از بهترین ابزارهای ردیابی و تجزیهوتحلیل شبکه است، بااینحال، بهتر است زمانی از آن استفاده کنید که هدف مشخصی دارید و میدانید به دنبال چه چیزی هستید. قرار نیست از آن برای پیدا کردن مشکل جدید استفاده کنید.
نویز زیادی در شبکه وجود دارد. شما به چیزی مانند Varonis با Edge نیاز دارید تا وضعیت کلی را برای شما تحلیل کند و به شما نشان دهد که یک تهدید برای بررسی وجود دارد و سپس از Wireshark برای درک عمیقتر مشکلات استفاده میکنید تا بفهمید دقیقاً چه چیزی دربستهها خطرناک ایجاد میکند.
بهعنوانمثال، هنگامیکه محققان امنیتی Varonis cryptominer norman را کشف کردند، هشداری از Varonis دریافت کردند که به فعالیت شبکه و فایل مشکوک از چندین ماشین اشاره میکرد. در طول تجزیهوتحلیل cryptominer، محققان Varonis از Wireshark برای بررسی فعالیتهای شبکه برای برخی از ماشینهایی که بدرفتار میکردند استفاده کردند. Wireshark به تیم تحقیقاتی نشان داد که یک cyptominer جدید، norman، بهطور فعال با استفاده از DuckDNS با سرورهای فرمان و کنترل (C&C) ارتباط برقرار میکند. تیم Varonis توانست تمام آدرسهای IP سرورهای C&C را که مهاجمان با Wireshark استفاده میکردند ببینند تا شرکت بتواند ارتباط را قطع کرده و حمله را متوقف کند.
Wireshark چگونه کار میکند؟
در این قسمت از آموزش وایرشارک به نحوه کار کردن این فن آوری میپردازیم. وایرشارک یک ابزار ردیابی و تجزیهوتحلیل بسته در شبکه است. ترافیک شبکه را در شبکه محلی ضبط میکند و دادهها را برای تجزیهوتحلیل آفلاین ذخیره میکند. Wireshark ترافیک شبکه را از اترنت، بلوتوث، بی سیم (IEEE.802.11)، Token Ring، اتصالات Frame Relay و غیره میگیرد.
نکته 1: “بسته یا packet” یک پیام واحد از هر پروتکل شبکه (بهعنوانمثال، TCP، DNS و غیره) است.
نکته 2: ترافیک LAN یک نوع ترافیک در حال جریان است، یعنی یک کامپیوتر با Wireshark میتواند ترافیک بین دو رایانه دیگر را ببیند. اگر میخواهید ترافیک یک سایت خارجی را ببینید، باید بستهها را در کامپیوتر یا سرور محلی ضبط کنید.
Wireshark به شما امکان میدهد قبل از شروع ضبط یا در طول تجزیهوتحلیل، گزارش را فیلتر کنید، بنابراین میتوانید آنچه را که در ردیابی شبکه به دنبال آن هستید، محدود و صفر کنید. بهعنوانمثال، میتوانید فیلتری برای مشاهده ترافیک TCP بین دو آدرس IP تنظیم کنید. شما میتوانید آن را فقط طوری تنظیم کنید که بستههای ارسالشده از یک کامپیوتر را به شما نشان دهد. فیلترها در وایرشارک یکی از دلایل اصلی تبدیل آن به ابزار استاندارد برای تجزیهوتحلیل بستهها هستند.
مقاله پییشنهادی : چک لیست امنیت شبکه
نحوه دانلود Wireshark
دانلود و نصب Wireshark آسان است. مرحله اول این است که صفحه رسمی دانلود وایرشارک را برای سیستمعامل موردنیاز خود بررسی کنید. نسخه اصلی این برنامه رایگان است.
لینک دانلود وایرشارک:
https://www.wireshark.org/download.html
وایرشارک برای ویندوز
Wireshark در دو نوع ویندوز 32 بیتی و 64 بیتی عرضه میشود. نسخه صحیح را برای سیستمعامل خود انتخاب کنید. نسخه فعلی تا این لحظه 3.0.3 است. نصب آن بسیار ساده است و نباید طی فرایند نصب مشکلی پیش بیاید.
پیشنهاد مطالعه: آنچه که باید در مورد هک و امنیت بدانیم
Wireshark برای مک
Wireshark در مک بهعنوان یک نصب Homebrew در دسترس است. برای نصب Homebrew، باید این دستور را در اعلان ترمینال خود اجرا کنید:
/usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"
هنگامیکه سیستم Homebrew را در جای خود قراردادید، میتوانید به چندین پروژه منبع باز برای مک خود دسترسی داشته باشید. برای نصب وایرشارک این دستور را از ترمینال اجرا کنید:
brew install wireshark
Homebrew Wireshark و هر نوع وابستگی را دانلود و نصب میکند تا بهدرستی اجرا شود.
Wireshark برای لینوکس
نصب Wireshark بر روی لینوکس بسته به توزیع لینوکس میتواند کمی متفاوت باشد. دانلود و نصب Wireshark برای توزیعهای ابونتو، Red Hat Fedora و کالی لینوکس بهصورت زیر است.
نصب Wireshark روی اوبونتو
برای نصب Wireshark روی اوبونتو در ترمینال، این دستورات را اجرا کنید:
sudo apt-get install wireshark
sudo dpkg-reconfigure wireshark-common
sudo adduser $USER wireshark
این دستورات بسته را دانلود میکنند، بسته را بهروز میکنند و امتیازات کاربر را برای اجرای وایرشارک اضافه میکنند.
Red Hat Fedora
برای نصب وایرشارک در Red Hat Fedora، این دستورات را اجرا کنید:
sudo dnf install wireshark-qt
sudo usermod -a -G wireshark username
دستور اول نسخه GUI و CLI Wireshark را نصب میکند و دومی مجوزهایی را برای استفاده از Wireshark اضافه میکند.
نصب Wireshark روی کالی لینوکس
احتمالاً در کالی لینوکس Wireshark قبلاً نصبشده باشد؛ زیرا وایرشارک بخشی از بسته اولیه کالی لینوکس است. منوی خود را برای تأیید بررسی کنید. در زیر گزینه منو “Sniffing & Spoofing” قرار دارد.
بستههای داده در وایرشارک
اکنونکه Wireshark را نصبکردهایم، بیایید در این قسمت از آموزش وایرشارک نحوه فعال کردن sniffer بسته Wireshark و سپس تجزیهوتحلیل ترافیک شبکه را بررسی کنیم.
گرفتن بستههای داده در Wireshark
وقتی Wireshark را باز میکنید، صفحهای را میبینید که لیستی از تمام اتصالات شبکهای را که میتوانید نظارت کنید به شما نشان میدهد. شما همچنین دارای یک فیلد فیلتر ضبط هستید، بنابراین فقط ترافیک شبکهای را که میخواهید ببینید، ضبط میکنید.
شما میتوانید یک یا چند رابط شبکه را با استفاده از “Shift و کلیک چپ” انتخاب کنید. هنگامیکه رابط شبکه را انتخاب کردید، میتوانید ضبط را شروع کنید. راههای مختلفی برای انجام آن وجود دارد.
در این مرحله از آموزش Wireshark روی اولین دکمه در نوارابزار با عنوان ” Start Capturing Packets ” کلیک کنید.
میتوانید آیتم منو Capture -> Start را انتخاب کنید.
یا میتوانید از کلیدهای ctrl + E استفاده کنید.
در طول ضبط، وایرشارک بستههایی را که در زمان واقعی ضبط میکند به شما نشان میدهد.
هنگامیکه تمام بستههای موردنیاز خود را ضبط کردید، از همان دکمهها یا گزینههای منو استفاده میکنید تا ضبط را متوقف کنید.
بهترین روش برای ضبط بستهاین است که باید قبل ازآنجام تجزیهوتحلیل، ضبط بستههای Wireshark را متوقف کنید.
تجزیهوتحلیل بستههای داده در Wireshark
در این قسمت از آموزش Wireshark به تجزیهوتحلیل بستهها خواهیم پرداخت. Wireshark سه صفحه مختلف را برای بررسی دادههای بسته به شما نشان میدهد. Packet List، صفحه بالایی، لیستی از تمام بستههای موجود در ضبط است. هنگامیکه روی یک بسته کلیک میکنید، دو صفحه دیگر تغییر میکنند تا جزئیات بسته انتخابی را به شما نشان دهند. همچنین میتوانید بگویید که آیا بسته بخشی از یک مکالمه است یا خیر. در اینجا برخی از جزئیات در مورد هر ستون در صفحه بالاآمده است:
- شماره یا No: این ترتیب شماره بستهای است که ضبطشده است. براکت نشان میدهد که این بسته بخشی از یک مکالمه است.
- زمان Time: این ستون به شما نشان میدهد که چه مدت پس از شروع ضبط، این بسته ضبطشده است. اگر نیاز به نمایش چیز دیگری دارید، میتوانید این مقدار را در منوی تنظیمات تغییر دهید.
- منبع Source: این آدرس سیستمی است که بسته را ارسال کرده است.
- مقصد Destination: این آدرس مقصد آن بسته است.
- پروتکل Protocol: این نوع بسته است، بهعنوانمثال، TCP، DNS، DHCPv6 یا ARP.
- Length: این ستون طول بسته را برحسب بایت به شما نشان میدهد.
- اطلاعات Info: این ستون اطلاعات بیشتری در مورد محتویات بسته به شما نشان میدهد و بسته به نوع بسته آن متفاوت خواهد بود.
Packet Details، پنجره میانی، بسته به نوع بسته تا حد امکان اطلاعات قابلخواندن در مورد بسته را به شما نشان میدهد. میتوانید بر اساس متن هایلایت شده در این قسمت کلیک راست کرده و فیلتر ایجاد کنید.
پنجره پایین، Packet Bytes، بسته را دقیقاً همانطور که در هگزادسیمال گرفتهشده است نمایش میدهد.
وقتی به بستهای نگاه میکنید که بخشی از یک مکالمه است، میتوانید روی بسته کلیک راست کرده و دنبال کردن را انتخاب کنید تا فقط بستههایی را ببینید که بخشی از آن مکالمه هستند. توجه به پنجرهها و آگاهی از نحوه کار آنها در آموزش وایرشارک بسیار حائز اهمیت است.
فیلترهای وایرشارک
یکی از بهترین ویژگیهای وایرشارک فیلترهای ضبط Wireshark و فیلترهای نمایش Wireshark است؛ که در این آموزش Wireshark آنها را مورد تجزیهوتحلیل قرار میدهیم. فیلترها به شما این امکان را میدهند که مانیتورینگ شبکه را همانطور که نیاز دارید مشاهده کنید تا بتوانید مشکلات موجود را عیبیابی کنید.
فیلترهای ضبط Wireshark
فیلترهای ضبط بستههای ضبطشده توسط فیلتر را محدود میکنند. به این معنی که اگر بستهها با فیلتر مطابقت نداشته باشند، وایرشارک آنها را ذخیره نمیکند. در اینجا چند نمونه از فیلترهای ضبط آورده شده است:
- آدرس IP میزبان: این فیلتر جذب را به ترافیک به و از آدرس IP محدود میکند
- net 192.168.0.0/24: این فیلتر تمام ترافیک زیر شبکه را ضبط میکند.
- dst host IP-address: بستههای ارسالشده به میزبان مشخصشده را ضبط میکند.
- پورت 53: فقط در پورت 53 ترافیک را ضبط کنید.
- port not 53 and not arp: تمام ترافیک بهجز ترافیک DNS و ARP را ضبط کنید
فیلترهای نمایشگر Wireshark
فیلترهای نمایشگر Wireshark نمای مانیتورکردن شبکه را در حین تجزیهوتحلیل تغییر میدهند. بعد از توقف ضبط بسته، از فیلترهای نمایشگر برای محدود کردن بستهها در فهرست بستهها استفاده کنید تا بتوانید مشکل خود را عیبیابی کنید.
مفیدترین فیلتر نمایش طبق تجربه متخصصین، فیلتر زیر است:
ip.src==IP-address and ip.dst==IP-address
این فیلتر بستههایی را از یک کامپیوتر (ip.src) به کامپیوتر دیگر (ip.dst) به شما نشان میدهد. همچنین میتوانید از ip.addr برای نشان دادن بستهها به آن IP و از آن IP استفاده کنید. در این قسمت از آموزش Wireshark چند مورد دیگر وجود دارد:
tcp.port eq 25: این فیلتر تمام ترافیک پورت 25 را به شما نشان میدهد که معمولاً ترافیک SMTP است.
icmp: این فیلتر فقط ترافیک ICMP را در ضبط به شما نشان میدهد، بهاحتمالزیاد آنها پینگ هستند.
ip.addr!= IP_address: این فیلتر تمام ترافیک بهجز ترافیک به یا از کامپیوتر مشخصشده را به شما نشان میدهد.
تحلیلگران حتی فیلترهایی برای شناسایی حملات خاص میسازند، مانند فیلتر زیر که برای شناسایی کرم Sasser ساخته شده:
ls_ads.opnum==0x09
ویژگیهای دیگر Wireshark
فراتر از ضبط و فیلتر کردن، چندین ویژگی دیگر در Wireshark وجود دارد که میتواند به شما در تجزیهوتحلیل ترافیک شبکه کمک کند. ما در این بخش از آموزش وایرشارک به این ویژگیها میپردازیم.
گزینه رنگ آمیزی Wireshark
میتوانید Wireshark را طوری تنظیم کنید که بستههای شمارا در فهرست بستهها با توجه به فیلتر نمایش رنگآمیزی کند که به شما امکان میدهد روی بستههایی که میخواهید برجسته کنید تأکید کنید. به نمونه رنگ آمیزی زیر در عکس دقت کنید.
حالت بیقاعده Wireshark
بهطور پیشفرض، Wireshark فقط بستههایی را که به و از رایانهای که در آن اجرا میشود، میگیرد. با علامت زدن کادر اجرای وایرشارک در حالت Promiscuous در تنظیمات ضبط، میتوانید بیشتر ترافیک شبکه LAN را ضبط کنید.
خط فرمان Wireshark
اگر سیستمی را بدون رابط کاربری گرافیکی کار میکنید، وایرشارک یک رابط خط فرمان (CLI) ارائه میدهد. بهترین روش استفاده از CLI برای ضبط و ذخیره یک گزارش است تا بتوانید گزارش را با رابط کاربری گرافیکی مرور کنید.
دستورات وایرشارک
مهمترین دستورات Wireshark بهصورت زیر هستند که در این آموزش Wireshark به آنها شاره میکنیم.
- wireshark :
Wiresharkرا در حالت GUI اجرا کنید wireshark –h: پارامترهای خط فرمان موجود برای Wireshark را نشان میدهدwireshark –a duration:300 –i eth1 –w wireshark: ترافیک را در رابط اترنت 1 به مدت 5 دقیقه ضبط کنید. -a به معنای توقف خودکار ضبط است، -i مشخص میکند که چه رابطی باید ضبط شود.
متریک و آمار در وایرشارک
گزینههای قسمت Statistics جزئیات مربوط به مانیتورینگ شبکه را در اختیار شما قرار میدهند.
ویژگیهای ضبط فایل:
نمودار ورودی/خروجی Wireshark:
منابع و آموزشهای Wireshark
آموزشها و ویدیوهای زیادی در سطح اینترنت برای Wireshark وجود دارد که به شما نشان میدهد چگونه از Wireshark برای اهداف خود استفاده کنید. میتوانید آموزش Wireshark از وبسایت اصلی آن شروع کنید و ازآنجا قدمبهقدم نحوه کار را یاد بگیرید. شما میتوانید اسناد رسمی و معتبری را در وبسایت آنها بیابید.
