آموزش نرم افزار Wireshark و نکات کاربردی

آموزش نرم افزار Wireshark و نکات کاربردی

Wireshark که قبلا با نام Ethereal شناخته می شد، یک نرم افزار تجزیه و تحلیل شبکه FOSS (رایگان و متن باز) است که می تواند برای تشخیص مشکلات شبکه، تجزیه و تحلیل پروتکل های ارتباطی مانند TCP، DNS، HTTP و غیره استفاده شود. ویژگی های چشمگیر Wireshark باعث شده است که این برنامه از بسیاری از همتایان خود بهتر عمل کند. این ویژگی ها عبارتند از:

1- ضبط سریع بسته و آنالیز آفلاین

2- ارسال مشخصات بسته در قالب خوانا توسط انسان

3- استفاده از قوانین رنگ آمیزی بسته ها

در این آموزش چه مواردی مطرح می شود؟

در این راهنما نحوه استفاده از نرم افزار Wireshark برای گرفتن و آنالیز بسته ها را به شما آموزش می دهیم. در اینجا سیستم عامل اصلی ما کالی لینوکس است. خوب، بیایید شروع کنیم.

با نرم افزار Wireshark بسته ها را ضبط کنید

پس از راه اندازی Wireshark، لیستی از دستگاه هایی را مشاهده خواهید کرد که Wireshark می تواند بسته ها را از آنها ضبط کند.

درایو مورد نظر خود را انتخاب کنید و روی آن دوبار کلیک کنید تا بسته ها ذخیره شوند. در اینجا رابط “eth01” را انتخاب می کنیم. همانطور که مشاهده می کنید پس از انتخاب دستگاه، چندین پکیج روی صفحه نمایش داده می شود.

اگر در حالت غیرقانونی هستید، Wireshark بسته های دیگری را علاوه بر بسته های فهرست شده در رابط شبکه ما نشان می دهد. حالت Promiscuous به طور پیش فرض فعال است، اما اگر فعال نیست، می توانید به Capture و سپس Options بروید و از آنجا تیک “Enable mode promiscuous on all interfaces” (در پایین پنجره) را بزنید.

برای توقف ضبط ترافیک، روی نماد مربع قرمز در گوشه سمت چپ بالای پنجره کلیک کنید. اگر می خواهید فایل های ذخیره شده را بعدا بررسی کنید، کافیست روی File کلیک کنید و از آنجا روی گزینه Save کلیک کنید. به همین ترتیب، می توانید فایل های ذخیره شده را دانلود کنید و سپس روی File و سپس Open کلیک کنید تا آنها را بررسی کنید. سپس فایل خود را پیدا کنید و آن را باز کنید.

کد نویسی رنگ در Wireshark

Wireshark از رنگ های مختلفی برای نشان دادن انواع ترافیک استفاده می کند. به عنوان مثال، آبی روشن برای UDP، بنفش برای TCP و سیاه برای بسته های خطا استفاده می شود. برای درک معنی و تصحیح این رنگ ها می توانید به View و از آنجا به Coloring Rules بروید.

فیلتر کردن بسته ها در Wireshark

Wireshark این قابلیت را دارد که ترافیک خاص و انتخابی شما را فیلتر کند. ساده ترین راه برای استفاده از این ویژگی استفاده از نوار جستجو در بالای پنجره است. به عنوان مثال، اگر می خواهید ترافیک “TCP” را فیلتر کنید، TCP را در نوار جستجو تایپ کنید.

علاوه بر این، Wireshark شامل فیلترهای پیش فرض در بخش Analysis و گزینه Display Filters است. می‌توانید فیلتری را از این بخش انتخاب کنید یا فیلترهای سفارشی خود را برای استفاده بعدی در این بخش ذخیره کنید.

علاوه بر فیلتر ترافیک، می توانید مکالمات کامل TCP بین مشتری و سرور را نیز مشاهده کنید. برای این کار کافیست روی یک بسته کلیک راست کرده و در قسمت Follow گزینه TCP Stream را انتخاب کنید. هنگامی که این پنجره را می بندید، یک فیلتر به طور خودکار در نوار جستجوی فیلتر ظاهر می شود.

بازرسی بسته ها در Wireshark

برای مشاهده جزئیات مختلف در مورد یک بسته، روی بسته در جدول خلاصه ترافیک کلیک کنید. روش دیگری وجود دارد که با استفاده از آن می توانید یک فیلتر سفارشی از اینجا ایجاد کنید. برای این کار روی یکی از جزئیات بسته کلیک راست کنید تا گزینه Apply as Filter و زیر منوی آن ظاهر شود. برای ایجاد فیلتر، از زیر منوی مربوطه استفاده کنید.

آموزش امنیت شبکه از صفر تا صد (فیلم + جزوه PDF)

تست رانندگی Wireshark

اکنون بیایید روی یک مثال عملی با هم کار کنیم تا ضبط و بررسی ترافیک رابط شبکه با استفاده از Wireshark را بررسی کنیم. در اینجا Wireshark را روی کالی لینوکس نصب کرده ایم و در حال تعامل با رابط اترنت “eth0” هستیم. حالا مراحل زیر را انجام دهید:

1- پس از راه اندازی Wireshark، در صفحه اصلی رابط را از لیست دستگاه ها انتخاب کنید. برای شروع ضبط، روی نماد آبی در نوار بالا سمت چپ کلیک کنید یا روی نام رابط دوبار کلیک کنید.

2- حالا مرورگر خود را باز کنید و به صفحه www.howtoforge.com بروید. پس از باز شدن صفحه، روی نماد قرمز نزدیک دکمه شروع ضربه بزنید تا ضبط متوقف شود.

3- پنجره capture تمام بسته هایی که از یا به سیستم شما منتقل شده اند را نشان می دهد. ترافیک های مختلف در کدهای رنگی مختلف مانند آبی، سیاه، زرد روشن و غیره نمایش داده می شوند.

4- اگر به دنبال بسته هایی از یک پروتکل خاص مانند TCP هستید، از نوار فیلتر برای فیلتر کردن آن اتصالات استفاده کنید. بسیاری از فرآیندهای پس‌زمینه روی سیستمی اجرا می‌شوند که از دسترسی شبکه استفاده می‌کند و بنابراین بسته‌ها را با یک شبکه خارجی مبادله می‌کنند. ما می توانیم بسته های ارسال شده به سیستم خود را با استفاده از تابع فیلتر Wireshark فیلتر کنیم.

خواندن را از دست ندهید: 13 فیلم کاربردی آموزش شبکه های عصبی در متلب + pdf دانلود رایگان

به عنوان مثال، ما از فیلتر زیر برای فیلتر کردن بسته های TCP ارسال شده به سیستم خود استفاده می کنیم:

ip.dst == ‘your_system_ip’ && tcp

در قسمت “your_system_ip” باید IP سیستم خود را بنویسید. IP ما 161.18.168.192 است. حال بیایید محتویات بسته را بررسی کنیم. روی هر بسته کلیک راست کرده و از لیست گزینه ها به مسیر زیر بروید:

“ردیابی -> ردیابی جریان TCP”

با این کار پنجره جدیدی مانند تصویر زیر باز می شود:

اگر نمی توانید از Wireshark برای اتصال فوری به شبکه استفاده کنید، می توانید از فایل ردیاب بسته دانلود شده برای این منظور استفاده کنید.

آموزش تحلیل شبکه با نرم افزار Wireshark

فیلم های آموزشی Wireshark

 

 

 

 

 

 

 

 

نتیجه

Wireshark یک ابزار بسیار مهم برای تجزیه و تحلیل چیزها در شبکه شما است که به طور گسترده در بخش های مختلف فناوری اطلاعات مانند سازمان های دولتی، سازمان های تجاری و موسسات آموزشی مورد استفاده قرار می گیرد. هنگام عیب یابی مشکلات شبکه، بازرسی بسته ها نقش بسیار مهمی ایفا می کند و Wireshark این کار حیاتی را برای شما انجام می دهد. Wireshark اکنون به استاندارد صنعتی برای تجزیه و تحلیل ترافیک شبکه تبدیل شده است.