كيفية استخدام Wireshark لالتقاط الحزم وتصفيتها وفحصها
Wireshark ، أداة تحليل الشبكة المعروفة سابقًا باسم Ethereal ، تلتقط الحزم في الوقت الفعلي وتعرضها بتنسيق يمكن للبشر قراءته. يشتمل Wireshark على عوامل تصفية وترميز لوني وميزات أخرى تتيح لك التعمق في حركة مرور الشبكة وفحص الحزم الفردية.
سيساعدك هذا البرنامج التعليمي على التعرف بسرعة على أساسيات التقاط الحزم وتصفيتها وفحصها. يمكنك استخدام Wireshark لفحص حركة مرور شبكة برنامج مريب ، أو تحليل تدفق حركة المرور على شبكتك ، أو استكشاف مشكلات الشبكة وإصلاحها.
الحصول على Wireshark
يمكنك تنزيل Wireshark لنظام التشغيل Windows أو macOS من موقعه الرسمي على الويب. إذا كنت تستخدم Linux أو نظامًا آخر يشبه UNIX ، فمن المحتمل أن تجد Wireshark في مستودعات الحزم الخاصة به. على سبيل المثال ، إذا كنت تستخدم Ubuntu ، فستجد Wireshark في مركز برامج Ubuntu.
مجرد تحذير سريع: لا تسمح العديد من المؤسسات باستخدام Wireshark والأدوات المماثلة على شبكاتهم. لا تستخدم هذه الأداة في العمل ما لم يكن لديك إذن.
التقاط الحزم
بعد تنزيل Wireshark وتثبيته ، يمكنك تشغيله والنقر نقرًا مزدوجًا فوق اسم واجهة الشبكة ضمن Capture لبدء التقاط الحزم على تلك الواجهة. على سبيل المثال ، إذا كنت ترغب في تسجيل حركة المرور على شبكتك اللاسلكية ، فانقر فوق الواجهة اللاسلكية. يمكنك تكوين الميزات المتقدمة بالنقر فوق Capture> Options ، لكن هذا ليس ضروريًا في الوقت الحالي.
بمجرد النقر فوق اسم الواجهة ، سترى الحزم تبدأ في الظهور في الوقت الفعلي. يلتقط Wireshark كل حزمة يتم إرسالها من وإلى نظامك.
إذا كان لديك وضع مختلط ممكّنًا - يتم تمكينه افتراضيًا - فسترى أيضًا جميع الحزم الأخرى على الشبكة بدلاً من الحزم الموجهة إلى محول الشبكة فقط. للتحقق مما إذا كان الوضع المختلط ممكّنًا ، انقر فوق التقاط> خيارات وتحقق من تنشيط مربع الاختيار "تمكين الوضع المختلط على جميع الواجهات" في الجزء السفلي من هذه النافذة.
انقر فوق الزر "إيقاف" الأحمر بالقرب من الزاوية اليسرى العليا من النافذة عندما تريد إيقاف التقاط حركة المرور.
لون الترميز
من المحتمل أن ترى حزمًا مميزة بمجموعة متنوعة من الألوان المختلفة. يستخدم Wireshark الألوان لمساعدتك على تحديد أنواع حركة المرور في لمحة. بشكل افتراضي ، يشير اللون الأرجواني الفاتح إلى حركة مرور TCP ، والأزرق الفاتح يمثل حركة مرور UDP ، ويحدد اللون الأسود الحزم التي بها أخطاء - على سبيل المثال ، ربما تم تسليمها خارج الترتيب.
لعرض ما تعنيه أكواد الألوان بالضبط ، انقر فوق عرض> قواعد التلوين. يمكنك أيضًا تخصيص قواعد التلوين وتعديلها من هنا ، إذا أردت.
يلتقط عينة
إذا لم يكن هناك شيء مثير للاهتمام على شبكتك لتفحصه ، فقد غطت Wireshark. يحتوي موقع wiki على صفحة من ملفات الالتقاط النموذجية التي يمكنك تحميلها وفحصها. انقر فوق ملف> فتح في Wireshark وتصفح للوصول إلى الملف الذي تم تنزيله لفتحه.
يمكنك أيضًا حفظ اللقطات الخاصة بك في Wireshark وفتحها لاحقًا. انقر فوق ملف> حفظ لحفظ الحزم الملتقطة.
تصفية الحزم
إذا كنت تحاول فحص شيء محدد ، مثل حركة المرور التي يرسلها أحد البرامج عند الاتصال بالمنزل ، فهذا يساعد على إغلاق جميع التطبيقات الأخرى التي تستخدم الشبكة حتى تتمكن من تضييق نطاق حركة المرور. ومع ذلك ، من المحتمل أن يكون لديك كمية كبيرة من الحزم لتفحصها. وهنا يأتي دور فلاتر Wireshark.
الطريقة الأساسية لتطبيق عامل التصفية هي كتابته في مربع الفلتر أعلى النافذة والنقر فوق تطبيق (أو الضغط على Enter). على سبيل المثال ، اكتب "dns" وسترى حزم DNS فقط. عندما تبدأ في الكتابة ، سيساعدك Wireshark في الإكمال التلقائي للمرشح.
يمكنك أيضًا النقر فوق تحليل> عرض المرشحات لاختيار مرشح من بين المرشحات الافتراضية المضمنة في Wireshark. من هنا ، يمكنك إضافة عوامل التصفية المخصصة الخاصة بك وحفظها للوصول إليها بسهولة في المستقبل.
لمزيد من المعلومات حول لغة تصفية العرض الخاصة بـ Wireshark ، اقرأ صفحة تعبيرات مرشح عرض المبنى في وثائق Wireshark الرسمية.
شيء آخر مثير للاهتمام يمكنك القيام به هو النقر بزر الماوس الأيمن فوق حزمة وتحديد متابعة> تدفق TCP.
سترى محادثة TCP الكاملة بين العميل والخادم. يمكنك أيضًا النقر فوق بروتوكولات أخرى في قائمة "متابعة" لمشاهدة المحادثات الكاملة للبروتوكولات الأخرى ، إن أمكن.
أغلق النافذة وستجد أن الفلتر قد تم تطبيقه تلقائيًا. يعرض لك Wireshark الحزم التي تشكل المحادثة.
فحص الحزم
انقر فوق حزمة لتحديدها ويمكنك البحث لأسفل لعرض تفاصيلها.
يمكنك أيضًا إنشاء عوامل تصفية من هنا - فقط انقر بزر الماوس الأيمن فوق أحد التفاصيل واستخدم القائمة الفرعية "تطبيق كمرشح" لإنشاء عامل تصفية بناءً عليه.
Wireshark هي أداة قوية للغاية ، وهذا البرنامج التعليمي هو مجرد خدش لما يمكنك فعله به. يستخدمه المحترفون لتصحيح أخطاء تطبيقات بروتوكول الشبكة وفحص مشاكل الأمان وفحص بروتوكول الشبكة الداخلي.
يمكنك العثور على مزيد من المعلومات التفصيلية في دليل مستخدم Wireshark الرسمي وصفحات التوثيق الأخرى على موقع Wireshark الإلكتروني.