امنیت و شبکهبرنامه نویسی و IT

وایرشارک چیست؟ آموزش کار با وایرشارک

آشنایی با وایرشارک

اگر می‌خواهید مشکلات شبکه را بررسی کنید و عیب‌های آن را بیابید، باید از Wireshark استفاده کنید. وایرشارک یک برنامه کاربردی دقیقی و کاملاً پیشرفته برای گرفتن و بررسی ترافیک شبکه است.

ازآنجایی‌که Wireshark ابزاری همه‌جانبه برای این کار است محبوبیت بسیار ویژه‌ای در بین متخصصین شبکه دارد. در این مقاله به معرفی و آموزش Wireshark می‌پردازیم. مواردی که ما در این مطلب بحث خواهیم کرد شامل نحوه نصب و دانلود، نحوه گرفتن بسته‌های شبکه، نحوه استفاده از فیلترهای وایرشارک و . . . است.

برای یادگیری علم شبکه، امنیت و موضوعاتی مثل هک و . . . می‌توانید به صفحه آموزش امنیت شبکه مراجعه کتید.

 

Wireshark چیست؟

Wireshark یک برنامه نرم‌افزاری آنالیز پروتکل شبکه منبع باز است که توسط Gerald Combs در سال 1998 آغاز شد. یک سازمان جهانی متشکل از متخصصان شبکه و توسعه‌دهندگان نرم‌افزار، از Wireshark پشتیبانی می‌کنند و به به‌روزرسانی برای فناوری‌های جدید شبکه و روش‌های رمزگذاری را می‌پردازند و از نظر پشتیبانی، وایرشارک یک ابزار بدون رقیب است.

استفاده از Wireshark کاملاً ایمن است. سازمان‌های دولتی، شرکت‌ها و مؤسسات آموزشی از Wireshark برای عیب‌یابی و اهداف آموزشی استفاده می‌کنند. برای عیب‌یابی و تست شبکه راهی بهتر از نگاه کردن به ترافیک زیر میکروسکوپ Wireshark وجود ندارد.

سؤالاتی در مورد قانونی بودن Wireshark وجود دارد زیرا یک بسته sniffer قدرتمند است. سمت Light of the Force می‌گوید که شما فقط باید از Wireshark در شبکه‌هایی استفاده کنید که در آن‌ها مجوز بازرسی بسته‌های شبکه رادارید. استفاده از وایرشارک برای نگاه کردن به شبکه‌های بدون مجوز، مسیری به سمت Dark Side است.

 

مقاله پییشنهادی : بهترین کتاب‌ها برای یادگیری امنیت شبکه

 

کاربرد وایرشارک

Wireshark یکی از بهترین ابزارهای ردیابی و تجزیه‌وتحلیل شبکه است، بااین‌حال، بهتر است زمانی از آن استفاده کنید که هدف مشخصی دارید و می‌دانید به دنبال چه چیزی هستید. قرار نیست از آن برای پیدا کردن مشکل جدید استفاده کنید.

نویز زیادی در شبکه وجود دارد. شما به چیزی مانند Varonis با Edge نیاز دارید تا وضعیت کلی را برای شما تحلیل کند و به شما نشان دهد که یک تهدید برای بررسی وجود دارد و سپس از Wireshark برای درک عمیق‌تر مشکلات استفاده می‌کنید تا بفهمید دقیقاً چه چیزی دربسته‌ها خطرناک ایجاد می‌کند.

به‌عنوان‌مثال، هنگامی‌که محققان امنیتی Varonis cryptominer norman را کشف کردند، هشداری از Varonis دریافت کردند که به فعالیت شبکه و فایل مشکوک از چندین ماشین اشاره می‌کرد. در طول تجزیه‌وتحلیل cryptominer، محققان Varonis از Wireshark برای بررسی فعالیت‌های شبکه برای برخی از ماشین‌هایی که بدرفتار می‌کردند استفاده کردند. Wireshark به تیم تحقیقاتی نشان داد که یک cyptominer جدید، norman، به‌طور فعال با استفاده از DuckDNS با سرورهای فرمان و کنترل (C&C) ارتباط برقرار می‌کند. تیم Varonis توانست تمام آدرس‌های IP سرورهای C&C را که مهاجمان با Wireshark استفاده می‌کردند ببینند تا شرکت بتواند ارتباط را قطع کرده و حمله را متوقف کند.

 

کاربرد وایرشارک

 

Wireshark چگونه کار می‌کند؟

در این قسمت از آموزش وایرشارک به نحوه کار کردن این فن آوری می‌پردازیم. وایرشارک یک ابزار ردیابی و تجزیه‌وتحلیل بسته در شبکه است. ترافیک شبکه را در شبکه محلی ضبط می‌کند و داده‌ها را برای تجزیه‌وتحلیل آفلاین ذخیره می‌کند. Wireshark ترافیک شبکه را از اترنت، بلوتوث، بی سیم (IEEE.802.11)، Token Ring، اتصالات Frame Relay و غیره می‌گیرد.

نکته 1: “بسته یا packet” یک پیام واحد از هر پروتکل شبکه (به‌عنوان‌مثال، TCP، DNS و غیره) است.

نکته 2: ترافیک LAN یک نوع ترافیک در حال جریان است، یعنی یک کامپیوتر با Wireshark می‌تواند ترافیک بین دو رایانه دیگر را ببیند. اگر می‌خواهید ترافیک یک سایت خارجی را ببینید، باید بسته‌ها را در کامپیوتر یا سرور محلی ضبط کنید.

Wireshark به شما امکان می‌دهد قبل از شروع ضبط یا در طول تجزیه‌وتحلیل، گزارش را فیلتر کنید، بنابراین می‌توانید آنچه را که در ردیابی شبکه به دنبال آن هستید، محدود و صفر کنید. به‌عنوان‌مثال، می‌توانید فیلتری برای مشاهده ترافیک TCP بین دو آدرس IP تنظیم کنید. شما می‌توانید آن را فقط طوری تنظیم کنید که بسته‌های ارسال‌شده از یک کامپیوتر را به شما نشان دهد. فیلترها در وایرشارک یکی از دلایل اصلی تبدیل آن به ابزار استاندارد برای تجزیه‌وتحلیل بسته‌ها هستند.

 

مقاله پییشنهادی : چک لیست امنیت شبکه‌

 

نحوه دانلود Wireshark

دانلود و نصب Wireshark آسان است. مرحله اول این است که صفحه رسمی دانلود وایرشارک را برای سیستم‌عامل موردنیاز خود بررسی کنید. نسخه اصلی این برنامه رایگان است.

لینک دانلود وایرشارک:

https://www.wireshark.org/download.html

 

وایرشارک برای ویندوز

Wireshark در دو نوع ویندوز 32 بیتی و 64 بیتی عرضه می‌شود. نسخه صحیح را برای سیستم‌عامل خود انتخاب کنید. نسخه فعلی تا این لحظه 3.0.3 است. نصب آن بسیار ساده است و نباید طی فرایند نصب مشکلی پیش بیاید.

 

Wireshark برای مک

Wireshark در مک به‌عنوان یک نصب Homebrew در دسترس است. برای نصب Homebrew، باید این دستور را در اعلان ترمینال خود اجرا کنید:

 

/usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

 

هنگامی‌که سیستم Homebrew را در جای خود قراردادید، می‌توانید به چندین پروژه منبع باز برای مک خود دسترسی داشته باشید. برای نصب وایرشارک این دستور را از ترمینال اجرا کنید:

 

brew install wireshark

 

Homebrew Wireshark و هر نوع وابستگی را دانلود و نصب می‌کند تا به‌درستی اجرا شود.

 

Wireshark برای لینوکس

نصب Wireshark بر روی لینوکس بسته به توزیع لینوکس می‌تواند کمی متفاوت باشد. دانلود و نصب Wireshark برای توزیع‌های ابونتو، Red Hat Fedora و کالی لینوکس به‌صورت زیر است.

 

نصب Wireshark روی اوبونتو

برای نصب Wireshark روی اوبونتو در ترمینال، این دستورات را اجرا کنید:

sudo apt-get install wireshark

sudo dpkg-reconfigure wireshark-common

sudo adduser $USER wireshark

این دستورات بسته را دانلود می‌کنند، بسته را به‌روز می‌کنند و امتیازات کاربر را برای اجرای وایرشارک اضافه می‌کنند.

 

Red Hat Fedora

برای نصب وایرشارک در Red Hat Fedora، این دستورات را اجرا کنید:

sudo dnf install wireshark-qt

sudo usermod -a -G wireshark username

دستور اول نسخه GUI و CLI Wireshark را نصب می‌کند و دومی مجوزهایی را برای استفاده از Wireshark اضافه می‌کند.

 

نصب Wireshark روی کالی لینوکس

احتمالاً در کالی لینوکس Wireshark قبلاً نصب‌شده باشد؛ زیرا وایرشارک بخشی از بسته اولیه کالی لینوکس است. منوی خود را برای تأیید بررسی کنید. در زیر گزینه منو “Sniffing & Spoofing” قرار دارد.

 

بسته‌های داده در وایرشارک

اکنون‌که Wireshark را نصب‌کرده‌ایم، بیایید در این قسمت از آموزش وایرشارک نحوه فعال کردن sniffer بسته Wireshark و سپس تجزیه‌وتحلیل ترافیک شبکه را بررسی کنیم.

 

گرفتن بسته‌های داده در Wireshark

وقتی Wireshark را باز می‌کنید، صفحه‌ای را می‌بینید که لیستی از تمام اتصالات شبکه‌ای را که می‌توانید نظارت کنید به شما نشان می‌دهد. شما همچنین دارای یک فیلد فیلتر ضبط هستید، بنابراین فقط ترافیک شبکه‌ای را که می‌خواهید ببینید، ضبط می‌کنید.

 

آموزش Wireshark

 

شما می‌توانید یک یا چند رابط شبکه را با استفاده از “Shift و کلیک چپ” انتخاب کنید. هنگامی‌که رابط شبکه را انتخاب کردید، می‌توانید ضبط را شروع کنید. راه‌های مختلفی برای انجام آن وجود دارد.

در این مرحله از آموزش Wireshark روی اولین دکمه در نوارابزار با عنوان ” Start Capturing Packets ” کلیک کنید.

 

آموزش Wireshark

 

می‌توانید آیتم منو Capture -> Start را انتخاب کنید.

 

آموزش Wireshark

 

یا می‌توانید از کلیدهای ctrl + E استفاده کنید.

در طول ضبط، وایرشارک بسته‌هایی را که در زمان واقعی ضبط می‌کند به شما نشان می‌دهد.

 

آموزش وایرشارک

 

هنگامی‌که تمام بسته‌های موردنیاز خود را ضبط کردید، از همان دکمه‌ها یا گزینه‌های منو استفاده می‌کنید تا ضبط را متوقف کنید.

بهترین روش برای ضبط بسته‌این است که باید قبل ازآنجام تجزیه‌وتحلیل، ضبط بسته‌های Wireshark را متوقف کنید.

 

تجزیه‌وتحلیل بسته‌های داده در Wireshark

در این قسمت از آموزش Wireshark به تجزیه‌وتحلیل بسته‌ها خواهیم پرداخت. Wireshark سه صفحه مختلف را برای بررسی داده‌های بسته به شما نشان می‌دهد. Packet List، صفحه بالایی، لیستی از تمام بسته‌های موجود در ضبط است. هنگامی‌که روی یک بسته کلیک می‌کنید، دو صفحه دیگر تغییر می‌کنند تا جزئیات بسته انتخابی را به شما نشان دهند. همچنین می‌توانید بگویید که آیا بسته بخشی از یک مکالمه است یا خیر. در اینجا برخی از جزئیات در مورد هر ستون در صفحه بالاآمده است:

 

  • شماره یا No: این ترتیب شماره بسته‌ای است که ضبط‌شده است. براکت نشان می‌دهد که این بسته بخشی از یک مکالمه است.
  • زمان Time: این ستون به شما نشان می‌دهد که چه مدت پس از شروع ضبط، این بسته ضبط‌شده است. اگر نیاز به نمایش چیز دیگری دارید، می‌توانید این مقدار را در منوی تنظیمات تغییر دهید.
  • منبع Source: این آدرس سیستمی است که بسته را ارسال کرده است.
  • مقصد Destination: این آدرس مقصد آن بسته است.
  • پروتکل Protocol: این نوع بسته است، به‌عنوان‌مثال، TCP، DNS، DHCPv6 یا ARP.
  • Length: این ستون طول بسته را برحسب بایت به شما نشان می‌دهد.
  • اطلاعات Info: این ستون اطلاعات بیشتری در مورد محتویات بسته به شما نشان می‌دهد و بسته به نوع بسته آن متفاوت خواهد بود.

Packet Details، پنجره میانی، بسته به نوع بسته تا حد امکان اطلاعات قابل‌خواندن در مورد بسته را به شما نشان می‌دهد. می‌توانید بر اساس متن هایلایت شده در این قسمت کلیک راست کرده و فیلتر ایجاد کنید.

پنجره پایین، Packet Bytes، بسته را دقیقاً همان‌طور که در هگزادسیمال گرفته‌شده است نمایش می‌دهد.

وقتی به بسته‌ای نگاه می‌کنید که بخشی از یک مکالمه است، می‌توانید روی بسته کلیک راست کرده و دنبال کردن را انتخاب کنید تا فقط بسته‌هایی را ببینید که بخشی از آن مکالمه هستند. توجه به پنجره‌ها و آگاهی از نحوه کار آن‌ها در آموزش وایرشارک بسیار حائز اهمیت است.

 

فیلترهای وایرشارک

یکی از بهترین ویژگی‌های وایرشارک فیلترهای ضبط Wireshark و فیلترهای نمایش Wireshark است؛ که در این آموزش Wireshark آن‌ها را مورد تجزیه‌وتحلیل قرار می‌دهیم. فیلترها به شما این امکان را می‌دهند که مانیتورینگ شبکه را همان‌طور که نیاز دارید مشاهده کنید تا بتوانید مشکلات موجود را عیب‌یابی کنید.

 

فیلترهای ضبط Wireshark

فیلترهای ضبط بسته‌های ضبط‌شده توسط فیلتر را محدود می‌کنند. به این معنی که اگر بسته‌ها با فیلتر مطابقت نداشته باشند، وایرشارک آن‌ها را ذخیره نمی‌کند. در اینجا چند نمونه از فیلترهای ضبط آورده شده است:

  • آدرس IP میزبان: این فیلتر جذب را به ترافیک به و از آدرس IP محدود می‌کند
  • net 192.168.0.0/24: این فیلتر تمام ترافیک زیر شبکه را ضبط می‌کند.
  • dst host IP-address: بسته‌های ارسال‌شده به میزبان مشخص‌شده را ضبط می‌کند.
  • پورت 53: فقط در پورت 53 ترافیک را ضبط کنید.
  • port not 53 and not arp: تمام ترافیک به‌جز ترافیک DNS و ARP را ضبط کنید

 

فیلترهای نمایشگر Wireshark

فیلترهای نمایشگر Wireshark نمای مانیتورکردن شبکه را در حین تجزیه‌وتحلیل تغییر می‌دهند. بعد از توقف ضبط بسته، از فیلترهای نمایشگر برای محدود کردن بسته‌ها در فهرست بسته‌ها استفاده کنید تا بتوانید مشکل خود را عیب‌یابی کنید.

مفیدترین فیلتر نمایش طبق تجربه متخصصین، فیلتر زیر است:

ip.src==IP-address and ip.dst==IP-address

 

این فیلتر بسته‌هایی را از یک کامپیوتر (ip.src) به کامپیوتر دیگر (ip.dst) به شما نشان می‌دهد. همچنین می‌توانید از ip.addr برای نشان دادن بسته‌ها به آن IP و از آن IP استفاده کنید. در این قسمت از آموزش Wireshark چند مورد دیگر وجود دارد:

tcp.port eq 25: این فیلتر تمام ترافیک پورت 25 را به شما نشان می‌دهد که معمولاً ترافیک SMTP است.

icmp: این فیلتر فقط ترافیک ICMP را در ضبط به شما نشان می‌دهد، به‌احتمال‌زیاد آن‌ها پینگ هستند.

ip.addr!= IP_address: این فیلتر تمام ترافیک به‌جز ترافیک به یا از کامپیوتر مشخص‌شده را به شما نشان می‌دهد.

تحلیلگران حتی فیلترهایی برای شناسایی حملات خاص می‌سازند، مانند فیلتر زیر که برای شناسایی کرم Sasser ساخته شده:

ls_ads.opnum==0x09

 

ویژگی‌های دیگر Wireshark

فراتر از ضبط و فیلتر کردن، چندین ویژگی دیگر در Wireshark وجود دارد که می‌تواند به شما در تجزیه‌وتحلیل ترافیک شبکه کمک کند. ما در این بخش از آموزش وایرشارک به این ویژگی‌ها می‌پردازیم.

 

گزینه رنگ آمیزی Wireshark

می‌توانید Wireshark را طوری تنظیم کنید که بسته‌های شمارا در فهرست بسته‌ها با توجه به فیلتر نمایش رنگ‌آمیزی کند که به شما امکان می‌دهد روی بسته‌هایی که می‌خواهید برجسته کنید تأکید کنید. به نمونه رنگ آمیزی زیر در عکس دقت کنید.

 

آموزش وایرشارک

 

حالت بی‌قاعده Wireshark

به‌طور پیش‌فرض، Wireshark فقط بسته‌هایی را که به و از رایانه‌ای که در آن اجرا می‌شود، می‌گیرد. با علامت زدن کادر اجرای وایرشارک در حالت Promiscuous در تنظیمات ضبط، می‌توانید بیشتر ترافیک شبکه LAN را ضبط کنید.

 

خط فرمان Wireshark

اگر سیستمی را بدون رابط کاربری گرافیکی کار می‌کنید، وایرشارک یک رابط خط فرمان (CLI) ارائه می‌دهد. بهترین روش استفاده از CLI برای ضبط و ذخیره یک گزارش است تا بتوانید گزارش را با رابط کاربری گرافیکی مرور کنید.

 

دستورات وایرشارک

مهم‌ترین دستورات Wireshark به‌صورت زیر هستند که در این آموزش Wireshark به آن‌ها شاره می‌کنیم.

  • wireshark :Wireshark را در حالت GUI اجرا کنید
  • wireshark –h: پارامترهای خط فرمان موجود برای Wireshark را نشان می‌دهد
  • wireshark –a duration:300 –i eth1 –w wireshark: ترافیک را در رابط اترنت 1 به مدت 5 دقیقه ضبط کنید. -a به معنای توقف خودکار ضبط است، -i مشخص می‌کند که چه رابطی باید ضبط شود.

 

متریک و آمار در وایرشارک

گزینه‌های قسمت Statistics جزئیات مربوط به مانیتورینگ شبکه را در اختیار شما قرار می‌دهند.

 

آموزش وایرشارک

 

ویژگی‌های ضبط فایل:

 

آموزش وایرشارک

 

نمودار ورودی/خروجی Wireshark:

 

آموزش وایرشارک

 

منابع و آموزش‌های Wireshark

آموزش‌ها و ویدیوهای زیادی در سطح اینترنت برای Wireshark وجود دارد که به شما نشان می‌دهد چگونه از Wireshark برای اهداف خود استفاده کنید. می‌توانید آموزش Wireshark از وب‌سایت اصلی آن شروع کنید و ازآنجا قدم‌به‌قدم نحوه کار را یاد بگیرید. شما می‌توانید اسناد رسمی و معتبری را در وب‌سایت آن‌ها بیابید.

نوشته های مشابه

دکمه بازگشت به بالا