NetworkSecurity

چگونه از وایرشارک استفاده کنیم؟

توسط امیر حسین قابلی 10,767 1

وایرشارک یک برنامه رایگان است که به شما اجازه می دهد تا data های ارسالی و دریافتی را در شبکه خود مشاهده کنید و توانایی تمرین و خواندن محتویات هر بسته را داشته باشید. معمولا برای رفع مشکلات شبکه و نیز توسعه و آزمایش نرم افزار مورد استفاده قرار می گیرد. این پروتکل منبع باز آنالیزگر به طور گسترده ای به عنوان استاندارد صنعت پذیرفته شده است، و در طول سال ها جوایز زیادی را بدست آورده است.

اصالتا وایرشارک که به عنوان یک Ethereal شناخته می‌شود، یک رابط کاربر پسند دارد که می تواند داده ها را از صدها پروتکل مختلف در تمام انواع شبکه های اصلی نمایش دهد. این بسته های داده را به صورت لحظه ای یا آفلاین می‌توان با ده ها نوع از فرمت های فایل ضبط / ردیابی از جمله CAP و ERF. آنالیز کرد. ابزار رمزگشایی یکپارچه به شما امکان می دهد بسته های رمزنگاری شده برای چندین پروتکل محبوب مانند WEP و WPA / WPA2 را مشاهده کنید.

دانلود و نصب وایرشارک

وایرشارک را می توان بدون هیچ هزینه ای از Foundationwebsite وایرشارک برای هر دو سیستم عامل macOS و ویندوز دانلود کرد. اگر شما یک کاربر پیشرفته هستید، توصیه می شود فقط آخرین نسخه را دانلود کنید. در طول فرآیند راه اندازی (فقط ویندوز) شما همچنین باید WinPcap را در صورت درخواست، نصب کنید، زیرا این کتابخانه شامل یک کتابخانه مورد نیاز برای capture کردن live data ها می باشد.

این برنامه همچنین برای لینوکس و اکثر سیستم عامل های دیگر UNIX مانند Red Hat، Solaris و FreeBSD نیز موجود است. نسخه های باینری مورد نیاز برای این سیستم عامل ها می توانند در پایین صفحه دانلود در بخش Third-Party Packages یافت شوند.

نحوه ی capture کردن DataPacket ها در وایرشارک

هنگامی که شما برای اولین بار وایرشارک را راه اندازی می کنید، یک صفحه خوشامد شبیه به تصویر بالا باید قابل مشاهده باشد، که حاوی لیستی از اتصالات شبکه موجود در دستگاه فعلی شما باشد. در این مثال، متوجه خواهید شد که انواع اتصال زیر نشان داده شده است: اتصال شبکه بلوتوث، اترنت، شبکه مجازی VirtualBox، Wi-Fi . در سمت راست نشان داده شده یک گراف خطی به سبک EKG است که نشان دهنده ترافیک زنده در آن شبکه مربوطه است.

نحوه ی capture کردن DataPacket ها در وایرشارکبرای شروع captureکردن بسته ها ابتدا بر روی شبکه مورد نظر کلیک کنید و یا اگر می خواهید همزمان چند شبکه را رکورد کنید با گرفتن دکمه Shift یا Ctrl ،شبکه ها را انتخاب کنید. هنگامی که هدف مورد نظربرای capture کردن انتخاب می شود، پس زمینه آن به رنگ آبی یا خاکستری در می آید. بر روی دکمه ی capture از منوی اصلی به سمت بالای وایرشارک کلیک کنید. هنگامی که منوی کشویی ظاهر می شود، گزینه شروع را انتخاب کنید. شما همچنین می توانید از طریق یکی از کلید های میانبر زیر capture بسته ها را آغاز کنید.

  • Keyboard : فشردن دکمه ی Ctrl + E
  • Mouse : برای شروع captureکردن packet ها ازشبکه مورد نظر یه راحتی روی آن دابل کلیک کنید.
  • Toolbar: روی دکمه ی کوسه آبی که در سمت چپ بالای نوار ابزار وایرشارک قرار دارد کلیک کنید .

عملیات Live capture با جزئیات packet ها در پنجره وایرشارک که در آنها ثبت می شود نمایش داده می شود. برای متوقف کردن عملیات، یکی از اقدامات زیر را انجام دهید:

  • Keyboard : فشردن دکمه ی Ctrl + E
  • Toolbar : بر روی دکمه قرمز توقف که در کنار دکمه کوسه در نوار ابزار وایرشارک واقع شده است کلیک کنید.

مشاهده و تجزیه و تحلیل محتویات بسته در وایرشارک

اکنون که شما برخی از داده های شبکه را رکورد کرده اید، وقت آن است که نگاهی به بسته های رکورد شده بیندازید. همانطور که در تصویر بالا نشان داده شده است،رابط packet های capture شده حاوی سه بخش اصلی است: پنجره لیست بسته، قسمت جزئیات بسته و بایت های بسته.

مشاهده و تجزیه و تحلیل محتویات بسته در وایرشارکلیست Packet ها در وایرشارک

لیست packet ها در بالای پنجره ، تمام بسته های موجود در فایل رکورد فعال را نشان می دهد. هر بسته دارای ردیف خود و شماره مربوط به آن همراه با اطلاعات داده ها می باشد.

  • Time : برچسب زمانی که کی این packet رکورد شد در این ستون نمایش داده می شود، با فرمت پیش فرض، تعداد ثانیه ها از زمانی که این فایل خاص برای اولین بار ایجاد شد. برای تغییر این فرمت به چیزی که ممکن است کمی مفیدتر باشد، مانند زمان واقعی روز، گزینه گزینه Format Time را از منوی View وایرشارک که در بالای رابط اصلی قرار دارد را انتخاب کنید.
  • Source : این ستون حاوی آدرس (IP یا دیگر) که در آن بسته ایجاد شده است می‌باشد .
  • Destination : این ستون شامل آدرس هایی است که بسته به آن ارسال می شود.
  • Protocol : نام پروتکل بسته (به عنوان مثال TCP) را می توان در این ستون پیدا کرد.
  • Length : طول بسته به صورت بایت ها در این ستون نمایش داده می شود.
  • Info : جزئیات بیشتر در مورد Packet ها در اینجا ارائه شده است. محتویات این ستون می تواند بسته به محتوای packet متفاوت باشد.

هنگامی که یک بسته در بالای صفحه انتخاب می شود، ممکن است یک یا چند علامت در ستون اول ظاهر شود. محدوده باز و یا بسته و همچنین یک خط افقی مستقیم می تواند نشان دهد که آیا یک بسته یا گروهی از بسته های یکپارچه از یک مکالمه پشت و رو در شبکه مشابه هستند یا خیر. یک خط افقی شکسته نشان می دهد که یک بسته بخشی از صحبت گفتگو نیست.

جزئیات Packet ها

پنجره جزئیات که در وسط قرار دارد، پروتکلها و پروتکلهای زمینه بسته انتخاب شده را در فرمت قابل انعطاف ارائه می دهد. علاوه بر گسترش هر انتخاب، شما همچنین می توانید فیلتر های وایرشارک فردی را بر اساس جزئیات خاص اعمال کنید و همچنین جریانهای داده ها را بر اساس نوع پروتکل از طریق منوی زمینه اطلاعات تکمیل کنید که با کلیک راست بر روی آیتم دلخواه در این پنل قابل دسترسی است.

بایت های Packet ها

در پایین جعبه بایت بسته است، که داده های خام بسته انتخاب شده را در نمای هگزادسیمال نشان می دهد. این توزیع شش ضلعی حاوی 16 بایت هگزادسیمال و 16 بایت ASCII در کنار داده ها است. انتخاب بخش خاصی از این داده ها به صورت خودکار بخش مربوطه در قسمت جزئیات بسته را نشان می دهد و بالعکس. هر یک از بایت هایی که نمی توانند چاپ شوند، به ترتیب با یک دوره نمایان می شوند. شما می توانید این داده ها را در قالب بیتی به جای هگزادسیمال با کلیک راست در هر جای پنجره و انتخاب گزینه مناسب از منوی زمینه انتخاب کنید.

استفاده از فیلتر های وایرشارک

یکی از مهمترین ویژگی های مجموعه در وایرشارک قابلیت های فیلتر آن است، به خصوص هنگامی که شما با فایل هایی که در اندازه های قابل توجه هستند برخورد می کنید. فیلترهای رکورد را می توان قبل از شروع عملیات تنظیم کرد تا وایرشارک فقط بسته هایی که معیارهای مشخص شده شما را دارد ، ثبت کند.

فیلترها را می توان به یک فایل رکورد که قبلا ایجاد شده است اعمال کرد تا فقط بسته های مشخص نمایش داده شوند.از اینها به عنوان فیلترهای صفحه نمایش اشاره شده است. وایرشارک به طور پیش فرض تعداد زیادی از فیلترهای از پیش تعریف شده را فراهم می کند، به شما این امکان را می دهد که تعداد بسته های قابل مشاهده را تنها با فشردن چند دکمه یا کلیک های ماوس محدود کنید. برای استفاده از یکی از این فیلترهای موجود، نام آن را در قسمت Apply a display filter (واقع در زیر نوار ابزار وایرشارک)یا در فیلد Enter a capture filter(واقع در مرکز صفحه خوشآمد) قرار دهید.

راه های مختلفی برای دستیابی به این هدف وجود دارد. اگر نام فیلتر خود را می دانید، به سادگی آن را در فیلد مناسب تایپ کنید. برای مثال، اگر شما فقط می خواستید بسته های TCP را نمایش دهید، می توانید TCP را تایپ کنید. با تکمیل خودکار وایرشارک اسامی پیشنهاد شده را همان لحظه که شروع به تایپ کردید نشان می دهد، و پیدا کردن کلمه عبور صحیح برای فیلتر مورد نظر شما را آسان تر می‌کند. راه دیگری برای انتخاب یک فیلتر، کلیک کردن بر روی آیکون bookmark-like در سمت چپ زمینه ورود می‌باشد. این یک منو حاوی برخی ازفیلترهای معمول استفاده شده و همچنین یک گزینه برای مدیریت فیلترهای ضبط یا مدیریت فیلترهای نمایش است. اگر تصمیم به مدیریت هر دو نوع داشته باشید، رابط کاربری ظاهر خواهد شد که به شما امکان اضافه کردن، حذف یا ویرایش فیلترها را میدهد.

شما همچنین می توانید با انتخاب پیکان پایین، واقع در سمت راست فیلد ورودی که لیست کشویی فهرست را نمایش می دهد، به فیلترهای مورد استفاده قبلی دسترسی پیدا کنید. پس از تنظیم، فیلترهای رکورد به محض شروع ضبط ترافیک شبکه اعمال خواهند شد. با این حال، برای اعمال فیلتر نمایش، باید روی دکمه سمت راست فلش سمت راست فیلد ورود کلیک کنید.

قوانین رنگ آمیزی

هنگامی که که فیلترهای ضبط و نمایش وایرشارک به شما اجازه ی محدود ساختن بسته های ضبط شده یا نمایش داده شده روی صفحه را می دهد، قابلیت رنگ آمیزی آنها را به یک مرحله بیشتر می رساند و باعث می شود تفاوت بین انواع مختلف بسته بر اساس رنگ فردی آنها متفاوت باشد. این ویژگی مفید به شما امکان می دهد به سرعت بسته های خاصی را در یک مجموعه ذخیره شده توسط طرح رنگی ردیف خود در لیست بسته قرار دهید.

قوانین رنگ آمیزی وایرشارک

وایرشارک همراه با حدود 20 قانون پیش فرض رنگ بندی ساخته شده استکه هر کدام که را بخواهید می توانید ویرایش، غیرفعال یا حذف کنید. شما همچنین می توانید فیلتر های مبتنی بر سایه را از طریق رابط قوانین رنگی، که از منوی View قابل دسترسی است، اضافه کنید. علاوه بر تعیین معیار نام و فیلتر برای هر قانون، از شما خواسته می شود که هر دو رنگ پسزمینه و رنگ متن را هم مرتبط کنید. رنگ آمیزی بسته ها را می توان با استفاده از گزینه Colorize Packet List، در منوی View مشاهده کرد.

آمار

علاوه بر اطلاعات دقیق در مورد داده های شبکه شما نشان داده شده در پنجره اصلی وایرشارک، چندین معیار مفید دیگر از طریق منوی کشویی Statistics موجود در سمت بالای صفحه قابل دسترسی است که شامل اطلاعات اندازه و زمان بندی در مورد فایل ضبط خود، همراه با ده ها نمودار از تجزیه و تحلیل مکالمات بسته برای لود کردن request های HTTP می‌باشد. فیلترهای نمایش را می توان برای بسیاری از این آمار از طریق رابط های فردی خود اعمال کرد، و نتایج می تواند چند فرمت فایل های رایج از جمله CSV، XML و TXT را شامل شود.

ویژگی های پیشرفته

اگرچه ما بیشتر قابلیت های اصلی وایرشارک را در این مقاله پوشش داده ایم، مجموعه ای از ویژگی های اضافی در این ابزار قدرتمند که معمولا برای کاربران پیشرفته استفاده می شود وجود دارد که شامل توانایی نوشتن متون پروتکل خود در زبان برنامه نویسی Lua است.

70%
Awesome
  • Design
امیر حسین قابلی 1 پست ها 0 نظرات
مطالب مرتبط پست های این نویسنده
دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.

مطالب بیشتر

Wireshark 101: Packet Analysis Essentials

Wireshark for Network Forensics دانلود کتاب آموزش وایرشارک

Learn Wireshark – Second Edition – دانلود کتاب…

1 of 25