شبکه
آلیاسیس آرتباط
بدون دیدگاه

آشنایی کامل با نرم افزار Wireshark

Wireshark پیشروترین تحلیل‌گر ترافیک شبکه جهانی و منبع مهمی برای همه متخصصان ایمنی یا مدیران سیستم است. با استفاده از این برنامه رایگان می‌توانید ترافیک شبکه را در لحظه ردیابی کنید. Wireshark همچنین بهترین راه برای عیب یابی مشکلات در شبکه شما است. مشکلات رایج که Wireshark می‌تواند پشتیبانی کند شامل بسته‌های از دست رفته، مشکلات پنهان و فعالیت‌های مخرب در شبکه است. این برنامه به شما کمک می‌کند تا ترافیک شبکه را ردیابی کنید و ابزارهایی را برای جستجو و کشف علت اصلی مشکل ارائه می‌دهد. مدیران از Wireshark برای شناسایی دستگاه‌های موجود در شبکه که درست کار نمی‌کنند و باعث از دست رفتن بسته‌ها می‌شوند، مشکلات تأخیر ناشی از حرکت ماشین‌ها که باعث دور شدن مسیر می‌شوند و حذف یا حتی هک داده‌ها استفاده می‌کنند. این نرم‌افزار ابزار قدرتمندی است که به دانش شبکه قوی نیاز دارد که شامل دانستن پشته TCP/IP و نحوه خواندن و تفسیر هدرهای بسته‌ها برای اکثر مشاغل مدرن است. به عنوان مثال، مسیریابی، ارسال و عملکرد DHCP.

طرز استفاده از Wireshark

برای استفاده صحیح از این برنامه، شما باید مختصات یک شرایط نرمال را بدانید تا تشخیص دهید چه چیزی غیر طبیعی است. Wireshark منابع آماری ساده‌ای را ارائه می‌دهد. در حالی که Wireshark یک تحلیلگر پروتکل شبکه است و نه یک دستگاه تشخیص نفوذ (IDS)، حذف ترافیک مخرب پس از مشخص شدن شرایط خطرناک، کماکان بسیار مفید خواهد بود. Wireshark همچنین می‌تواند برای ضبط و تجزیه و تحلیل ترافیک رمزگذاری شده TLS استفاده شود. مرورگرها کلیدهای جلسه متقارن را ذخیره می‌کنند و مدیر می‌تواند کلیدهای جلسه را با استفاده از تنظیمات صحیح مرورگر در Wireshark بارگیری کند و ترافیک اسکن نشده وب را بررسی کند. Wireshark دارای ابزارهای تعاملی برای تجزیه و تحلیل آماری است. این نرم‌افزار شناسایی الگوهای عمومی و به اشتراک گذاری نتایج مدیریتی را که کمتر فنی هستند، ترویج می‌کند.

چرا به WireShark نیاز داریم؟

قبل از استفاده از هر ابزاری، ابتدا باید بپرسیم که چرا به آن نیاز داریم. بسته‌ها می‌توانند برای هر کسی که مایل به عیب‌یابی مشکلات شبکه، اشکال‌زدایی پروتکل‌ها و یادگیری اصول ردیابی بسته‌ها هستند، بسیار مفید باشد. به عنوان یک تعریف استاندارد، یک Packet Sniffer شبکه ابزاری است که به تجزیه و تحلیل ترافیک شبکه که از سیستم یا LAN شما سرچشمه می‌گیرد کمک می‌کند. Wireshark به عنوان یک Packet Sniffer این امکان را در اختیار شما قرار می‌دهد.

Wireshark چگونه کار می‌کند؟

Wireshark ترافیک را رهگیری کرده و آن را برای انسان قابل خواندن می‌کند. این به شما کمک می‌کند تا به سرعت تشخیص دهید که چه ترافیکی از شبکه شما عبور می‌کند، چند وقت یکبار، چه تعداد تاخیر بین پرش‌های خاص وجود دارد و غیره.

اگرچه Wireshark بیش از دو هزار پروتکل شبکه را پشتیبانی می‌کند که بسیاری از آن‌ها مخفیانه، عجیب و غریب یا قدیمی هستند، متخصصان امنیتی مدرن می‌توانند Wireshark را ابزاری سریع و کارآمد در تجزیه و تحلیل بسته‌های IP بیابند. اکثر بسته‌های شبکه شما معمولا TCP، UDP و ICMP هستند. با توجه به حجم بالای ترافیکی که از یک شبکه تجاری معمولی عبور می‌کند، ابزارهای Wireshark به ویژه برای کمک به شما در فیلتر کردن این ترافیک مفید هستند. فیلترها فقط برای ثبت فرم‌های ترافیکی مورد نظر شما و برای دقت بیشتر در ترافیکی که می‌خواهید بررسی کنید استفاده می‌شوند. تحلیل‌گر پروتکل شبکه ابزارهای جستجو را فراهم می‌کند که به شما امکان می‌دهد به سرعت آنچه را که جستجو می‌کنید، از جمله عبارات منظم و برجسته سازی رنگ، پیدا کنید.

Wireshark برای لینوکس

بسته به توزیع لینوکس، نصب Wireshark در لینوکس می‌تواند کمی متفاوت باشد. به عنوان مثال در توزیع Ubuntu باید از روش زیر این نرم‌افزار را نصب کنید.

  • ابتدا دستور Sudo apt-get install Wireshark را اجرا کنید.
  • پس از آن، دستور sudopkg-reconfigure Wireshark-common را اجرا کنید.
  • در نهایت دستور sudoadduser $USER Wireshark.

این دستورات برنامه را دانلود، به روز می‌کنند و به کیت اجرایی Wireshark دسترسی‌ها را اضافه می‌کنند.

ویژگی‌های Wireshark

داده‌ها مستقیما از ارتباط فعلی یا از فایل‌های داده‌ای که قبلا از پیوند شبکه به دست آمده‌اند، خوانده می‌شوند. کاربران می‌توانند با استفاده از رابط کاربری گرافیکی یا مدل‌های دیگر به اطلاعات شبکه و داده‌های ضبط شده دسترسی داشته باشند. کاربران می‌توانند از سوئیچ‌های خط فرمان برای ویرایش قابل برنامه‌ریزی و تبدیل فایل‌های ضبط‌شده به چارچوب ویرایش استفاده کنند. ردیابی تماس‌های صوتی از طریق اینترنت در سراسر شبکه نیز می‌تواند با ترافیک نظارت شده امکان پذیر باشد.

۱) نظارت بر بسته‌ها

بسته‌های داخل شبکه به صورت بصری نمایش داده می‌شوند. کدهای رنگی برای هر نوع بسته موجود است. جزئیات بسته‌ها به صورت زیر نمایش داده می‌شود.

  • آدرس مقصد
  • محتویات بسته به صورت متنی
  • پورت مقصد (در صورت امکان)

۲) خواندن اطلاعات از یک فایل ضبط شده

این روش به شما کمک می‌کند تا بسته‌های dump را از یک فایل ضبط شده برای مطالعه بیشتر مورد بررسی قرار دهید. Wireshark از چندین فرمت پشتیبانی می‌کند، که برخی از آن‌ها عبارتند از:

  • برای کاربران شبکه مبتنی بر ویندوز: Catching Sniffer و Sniffer Pro
  • nettle HP-UX
  • فرمت Cisco Safe Intrusion Detection Program IPLog
  • فایل‌های ضبط شده TamosoftCommView

۳) خروجی گرفتن در یک فایل ضبط

Wireshark به شما کمک می‌کند تا آزمایش‌ها را به عنوان یک فایل ضبط ذخیره کنید تا بعدا روی آن‌ها کار کنید. این فرمت‌ها توسط WireShark پشتیبانی می‌شوند:

  • Visual Networks Visual UpTime traffic (*.*)
  • LANAlyzer Novell

۴) فیلترهای ضبط Wireshark

فیلترهای ضبط، بسته‌هایی را که فیلتر جمع آوری می‌کند محدود می‌کند. به عبارت دیگر، اگر فیلتر مطابقت نداشته باشد، بسته‌ها را ذخیره نمی‌کند. چند نمونه از فیلترهای ضبط به شرح زیر است:

  • آدرس IP میزبان: این فیلتر جذب ترافیک به آدرس IP و از آن را محدود می‌کند.
  • آدرس IP میزبان DST: بسته‌هایی برای ضبط به میزبان مشخص شده ارسال می‌شود.
  • پورت شماره ۵۳ و not arp: ضبط داده تمام نوار DNS و ARP.

چگونه از Wireshark استفاده کنیم؟

درست پس از باز کردن این ابزار می‌توانید صفحه ای را مانند شکل زیر مشاهده کنید:

نرم افزار Wireshark

همانطور که می‌بینید، Wireshark رابط‌های موجود را فهرست می‌کند که با آن می‌تواند بسته‌های شبکه را ضبط کند. به عنوان مثال می‌توانید از رابط با اسم مستعار WiFi برای برقراری ارتباط با شبکه جهانی استفاده کنید و نتایج کار WireShark را ببینید. در ادامه به بررسی محتویات یک بسته ضبط شده می‌پردازیم.

داخل یک بسته ضبط شده چیست؟

حالا بیایید به هدف اصلی این مقاله بپردازیم. برخی از بسته‌ها را می‌گیریم و جزئیات را مرور می‌کنیم. پس از انتخاب رابط (در این مورد، WiFi)، روی نماد دم کوسه کلیک کنید تا ضبط بسته‌ها شروع شود. وقتی چند بسته را گرفتیم، می‌توانیم نتایج را تجزیه و تحلیل کنیم. بیایید وارد اطلاعاتی شویم که به دست آورده‌ایم. گزارش‌های ثبت‌شده می‌توانند بسیار بزرگ باشند، اما گزینه‌ای برای فیلتر کردن اطلاعات مفید وجود دارد.

برخی از پرکاربردترین فیلترهایی که استفاده می‌شوند عبارتند از:

  • addr == x.x.x.x: فرض کنید شما فقط می‌خواهید بدانید چه اطلاعاتی از سیستم شما درخواست می‌شود، می‌توانید از این فیلتر استفاده کنید.
  • http یا dns/dhcp: در این مورد درخواستی به com داده شده‌ است. با استفاده از فیلتر می‌توانیم این اطلاعات را ببینم:

نرم افزار Wireshark

توجه: در این نمونه از VPN استفاده شده، بنابراین اطلاعات IP منبع کمک زیادی به شما نمی‌کند.

  • request:

همانطور که می‌بینید، این فیلتر نشان می‌دهد که از چه سیستم عاملی استفاده شده، پروتکل HTTP1.1 و همچنین مرورگر و نسخه آن که برای ارسال درخواست به سرور یوتیوب استفاده شده را نیز نشان می‌دهد. این اطلاعات بسیار مفیدی است که می‌توان با آن متوجه شد که سیستم عامل یا مرورگر قدیمی هستند و به‌روز نشده‌اند.

  • arp یا icmp: این فیلتر آدرس MAC کارت شبکه شما را نشان می‌دهد. اگر می‌خواهید بدانید کدام NIC درخواست را صادر کرده است، می‌توانید همین کار را انجام دهید. با استفاده از سرور DNS/DHCP خود، می‌توانید دقیقا متوجه شوید که چه کسی در LAN شما درخواستی را برای یک دامنه خاص صادر کرده است.
  • port=443:

این برای دیدن پورت TCP مورد استفاده برای ارتباط مفید است.

همانطور که می‌بینید، به معنای واقعی کلمه صدها فیلتر وجود دارد، و بسته به نیاز خود، می‌توانید فیلترهای مختلفی را تنظیم کنید و پیام‌ها را بخوانید.

جمع‌بندی

همانطور که دیدیم، Wireshark ابزاری ساده اما بسیار مفید و کاربردی برای ضبط داده‌های مربوط به بسته‌های شبکه است. مدیران و سرپرستان فناوری اطلاعات می‌توانند با استفاده از این ابزار وضعیت شبکه را تحت نظر داشته باشند. در این مطلب فقط به معرفی کلی و اشاره به برخی قابلیت‌های این نرم‌افزار بسنده شد.

منبع

بیشتر بخوانید:
شناسه مطلب: ۵۵۱۶
منبع:
وبلاگ تخصصی آلیاسیس
0.39
36
14
فیسبوک توییتر گوگل + لینکداین تلگرام واتس اپ کلوب
آلیاسیس آرتباط

مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هسته اصلی شرکت آلیاسیس ارتباط از سال 1383 تاکنون در زمینه فن آوری اطلاعات و ارتباطات ( ICT) فعالیت می نماید. شرکت آلیاسیس ارتباط با تجربه ای بالغ بر یک دهه حضور در صنعت فناوری اطلاعات و ارتباطات از تامین و توزیع تا ارائه خدمات مهندسی و خدمات پس از فروش به مجموعه کسب و کارهای بزرگ ، متوسط و کوچک در سه حوزه تجهیز تخصصی سخت افزارهای شبکه - ارائه خدمات مشاوره ، طراحی ، پیاده سازی ، پشتیبانی ، آموزش و خدمات پس از فروش در شبکه های محلی و گسترده ، امنیت شبکه ، مراکز داده و ارتباطات یکپارچه - ارائه راهکارهای جامع مبتنی بر شبکه های رایانه ایی ارائه خدمت می نماید.

دسترسی سریع