Wireshark: برنامج كلاسيكي لتحليل حزم الشبكة. مرشحات Wireshark: فصل القمح عن مرشح Pcap للكشف عن مسح منفذ Netbios

يعد Wireshark محللًا قويًا للشبكات يمكن استخدامه لتحليل حركة المرور التي تمر عبر واجهة الشبكة بجهاز الكمبيوتر الخاص بك. قد تحتاج إليه لاكتشاف مشكلات الشبكة وحلها، أو تصحيح أخطاء تطبيقات الويب، أو برامج الشبكة، أو المواقع. يتيح لك Wireshark عرض محتويات الحزمة بشكل كامل على جميع المستويات، حتى تتمكن من فهم كيفية عمل الشبكة بشكل أفضل عند المستوى المنخفض.

يتم التقاط جميع الحزم في الوقت الفعلي وتقديمها بتنسيق سهل القراءة. يدعم البرنامج نظام ترشيح قوي للغاية، وتمييز الألوان، وغيرها من الميزات التي ستساعدك في العثور على الحزم المناسبة. في هذا البرنامج التعليمي، سنلقي نظرة على كيفية استخدام Wireshark لتحليل حركة المرور. بدأ المطورون مؤخرًا العمل على الفرع الثاني من برنامج Wireshark 2.0، وتم إجراء العديد من التغييرات والتحسينات عليه، خاصة بالنسبة للواجهة. وهذا ما سنستخدمه في هذا المقال.

قبل الانتقال إلى النظر في طرق تحليل حركة المرور، تحتاج إلى التفكير في الميزات التي يدعمها البرنامج بمزيد من التفصيل، والبروتوكولات التي يمكنه العمل بها وما يمكنه فعله. فيما يلي الميزات الرئيسية للبرنامج:

  • التقاط الحزم في الوقت الفعلي من واجهات الشبكة السلكية أو أي نوع آخر من واجهات الشبكة، بالإضافة إلى قراءتها من ملف؛
  • يتم دعم واجهات الالتقاط التالية: Ethernet وIEEE 802.11 وPPP والواجهات الافتراضية المحلية؛
  • يمكن تصفية الحزم بناءً على العديد من المعلمات باستخدام المرشحات؛
  • يتم تمييز جميع البروتوكولات المعروفة في القائمة بألوان مختلفة، على سبيل المثال TCP وHTTP وFTP وDNS وICMP وما إلى ذلك؛
  • دعم التقاط حركة مكالمات VoIP؛
  • يتم دعم فك تشفير حركة مرور HTTPS في حالة توفر شهادة؛
  • فك تشفير حركة مرور WEP وWPA للشبكات اللاسلكية باستخدام المفتاح والمصافحة؛
  • عرض إحصائيات تحميل الشبكة.
  • عرض محتويات الحزمة لجميع طبقات الشبكة؛
  • يعرض وقت إرسال واستلام الطرود.

البرنامج به العديد من المميزات الأخرى، لكن هذه أهمها التي قد تهمك.

كيفية استخدام وايرشارك

أفترض أن البرنامج مثبت لديك بالفعل، ولكن إذا لم يكن الأمر كذلك، فيمكنك تثبيته من المستودعات الرسمية. للقيام بذلك، اكتب الأمر في أوبونتو:

سودو ملائمة تثبيت wireshark

بعد التثبيت، يمكنك العثور على البرنامج في القائمة الرئيسية للتوزيع. تحتاج إلى تشغيل Wireshark بحقوق المستخدم المتميز، وإلا فلن يتمكن من تحليل حزم الشبكة. يمكن القيام بذلك من القائمة الرئيسية أو عبر الوحدة الطرفية باستخدام أمر KDE:

وبالنسبة للجنوم/الوحدة:

تنقسم النافذة الرئيسية للبرنامج إلى ثلاثة أجزاء: يحتوي العمود الأول على قائمة بواجهات الشبكة المتاحة للتحليل، والثاني - خيارات فتح الملفات، والثالث - المساعدة.

تحليل حركة مرور الشبكة

لبدء التحليل، حدد واجهة الشبكة، على سبيل المثال eth0، وانقر فوق الزر يبدأ.

بعد ذلك، سيتم فتح النافذة التالية، والتي تحتوي بالفعل على دفق من الحزم التي تمر عبر الواجهة. وتنقسم هذه النافذة أيضًا إلى عدة أجزاء:

  • الجزء العلوي- هذه هي القوائم واللوحات ذات الأزرار المختلفة؛
  • قائمة الحزم- ثم يتم عرض تدفق حزم الشبكة التي ستقوم بتحليلها؛
  • محتويات الحزمة- يوجد أدناه محتويات الحزمة المحددة، وهي مقسمة إلى فئات حسب مستوى النقل؛
  • أداء حقيقي- في الجزء السفلي يتم عرض محتويات الحزمة بشكل حقيقي، وكذلك في شكل HEX.

يمكنك النقر على أي حزمة لتحليل محتوياتها:

نرى هنا حزمة طلب DNS للحصول على عنوان IP الخاص بالموقع، وفي الطلب نفسه يتم إرسال المجال، وفي حزمة الاستجابة نتلقى سؤالنا بالإضافة إلى الإجابة.

لعرض أكثر ملاءمة، يمكنك فتح الحزمة في نافذة جديدة عن طريق النقر المزدوج على الإدخال:

مرشحات ويرشارك

يعد تصفح الحزم يدويًا للعثور على ما تحتاجه أمرًا غير مريح للغاية، خاصة مع وجود مؤشر ترابط نشط. لذلك، لهذه المهمة فمن الأفضل استخدام المرشحات. يوجد سطر خاص أسفل القائمة لإدخال المرشحات. يمكنك النقر تعبيرلفتح مصمم المرشحات، ولكن هناك الكثير منها، لذلك سنلقي نظرة على أبسطها:

  • ip.dst- عنوان IP المستهدف؛
  • ip.src- عنوان IP الخاص بالمرسل؛
  • عنوان IP.addr- IP للمرسل أو المستلم؛
  • ip.proto- بروتوكول؛
  • tcp.dstport- ميناء المقصد؛
  • tcp.srcport- منفذ المرسل؛
  • ip.ttl- مرشح TTL، يحدد مسافة الشبكة؛
  • http.request_uri- عنوان الموقع المطلوب.

لتحديد العلاقة بين حقل وقيمة في عامل التصفية، يمكنك استخدام عوامل التشغيل التالية:

  • == - يساوي؛
  • != - غير متساوي؛
  • < - أقل؛
  • > - أكثر؛
  • <= - أقل أو متساوية؛
  • >= - أكثر أو يساوي؛
  • اعواد الكبريت- تعبير عادي؛
  • يتضمن- يتضمن.

لدمج تعبيرات متعددة يمكنك استخدام:

  • && - يجب أن يكون كلا التعبيرين صحيحين بالنسبة للحزمة؛
  • || - قد يكون أحد العبارات صحيحا .

الآن دعونا نلقي نظرة فاحصة على العديد من المرشحات باستخدام الأمثلة ونحاول فهم جميع علامات العلاقات.

أولاً، لنقم بتصفية جميع الحزم المرسلة إلى 194.67.215.. اكتب سلسلة في حقل التصفية وانقر فوق يتقدم. للراحة، يمكن حفظ مرشحات Wireshark باستخدام الزر يحفظ:

ip.dst == 194.67.215.125

ومن أجل تلقي ليس فقط الحزم المرسلة، ولكن أيضًا تلك المستلمة استجابةً من هذه العقدة، يمكنك الجمع بين شرطين:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

يمكننا أيضًا تحديد الملفات الكبيرة المنقولة:

http.content_length > 5000

من خلال تصفية نوع المحتوى، يمكننا تحديد جميع الصور التي تم تحميلها؛ دعونا نحلل حركة مرور Wireshark، والحزم التي تحتوي على كلمة صورة:

http.content_type يحتوي على صورة

لمسح عامل التصفية، يمكنك الضغط على الزر واضح. يحدث أنك لا تعرف دائمًا جميع المعلومات اللازمة للتصفية، ولكنك ترغب فقط في استكشاف الشبكة. يمكنك إضافة أي حقل من حقول الحزمة كعمود وعرض محتوياته في النافذة العامة لكل حزمة.

على سبيل المثال، أريد عرض TTL (مدة البقاء) لحزمة ما كعمود. للقيام بذلك، افتح معلومات الحزمة، وابحث عن هذا الحقل في قسم IP. ثم اتصل بقائمة السياق وحدد الخيار تطبيق كعمود:

وبنفس الطريقة، يمكنك إنشاء عامل تصفية بناءً على أي حقل مطلوب. حدده وأظهر قائمة السياق، ثم انقر فوق تطبيق كمرشحأو تحضير كمرشح، ثم حدد المحددلعرض القيم المحددة فقط، أو لم يتم اختيارهلإزالتها:

سيتم تطبيق الحقل المحدد وقيمته، أو في الحالة الثانية، سيتم إدراجه في حقل التصفية:

بهذه الطريقة، يمكنك إضافة حقل لأي حزمة أو عمود إلى عامل التصفية. يوجد أيضًا هذا الخيار في قائمة السياق. لتصفية البروتوكولات، يمكنك استخدام شروط أبسط. على سبيل المثال، دعنا نحلل حركة مرور Wireshark لبروتوكولي HTTP وDNS:

ميزة أخرى مثيرة للاهتمام في البرنامج هي استخدام Wireshark لتتبع جلسة معينة بين كمبيوتر المستخدم والخادم. للقيام بذلك، افتح قائمة السياق الخاصة بالحزمة وحددها اتبع تيار TCP.

سيتم بعد ذلك فتح نافذة ستجد فيها جميع البيانات المنقولة بين الخادم والعميل:

تشخيص مشاكل Wireshark

ربما تتساءل عن كيفية استخدام Wireshark 2.0 لاكتشاف المشكلات الموجودة على شبكتك. للقيام بذلك، يوجد زر دائري في الركن الأيسر السفلي من النافذة، عند النقر عليه، تفتح نافذة أدوات الخبراء. في ذلك، يقوم Wireshark بجمع كافة رسائل الخطأ ومشكلات الشبكة:

تنقسم النافذة إلى علامات تبويب مثل الأخطاء والتحذيرات والإشعارات والدردشات. يستطيع البرنامج تصفية العديد من مشاكل الشبكة والعثور عليها، وهنا يمكنك رؤيتها بسرعة كبيرة. يتم دعم مرشحات Wireshark هنا أيضًا.

تحليل حركة المرور Wireshark

يمكنك بسهولة فهم ما قام المستخدمون بتنزيله والملفات التي شاهدوها إذا لم يكن الاتصال مشفرًا. يقوم البرنامج بعمل جيد جدًا في استخراج المحتوى.

للقيام بذلك، تحتاج أولاً إلى إيقاف التقاط حركة المرور باستخدام المربع الأحمر الموجود على اللوحة. ثم افتح القائمة ملف -> كائنات التصدير -> HTTP:

الأسئلة الأكثر شيوعًا التي يطرحها المستخدمون عند العمل مع برنامج WireShark هي مرشحات التقاط حركة المرور. اليوم سوف نلقي نظرة على الأمثلة الأساسية الخاصة بهم ونوضح لك كيفية تكوينها بشكل صحيح!

في عملية تحليل مشكلات أداء الشبكة أو التطبيق، إذا لم يكن لدى شركتك نظام مركزي لمراقبة أداء التطبيق، فتحليل المشكلات من الطبقات 4 إلى 7 من نموذج شبكة OSI، ستحتاج إلى استخدام محلل البروتوكول (المعروف أيضًا باسم الشم).

إذا لم يكن لديك حل تجاري باستخدام أدوات التحليل التلقائي المضمنة أو النظام الخبير، فربما تكون الطريقة الصحيحة هي التالية:

    قم بتنزيل وتثبيت أحد أفضل برامج تحليل البروتوكولات المجانية على الكمبيوتر المحمول الخاص بك، WireShark (http://www.wireshark.org/download.html)؛

    احصل على الراحة مع واجهته؛

    دراسة مكدس البروتوكول وبنيته؛

    تعلم كيفية العمل مع المرشحات لالتقاط حركة المرور؛

    تعلم كيفية العمل مع المرشحات لتحليل حركة المرور.

في هذه المقالة، سنركز على النقطة قبل الأخيرة - كيفية إعداد المرشحات لالتقاط حركة المرور في WireShark.

أمثلة على إعداد مرشحات WireShark لالتقاط حركة المرور

بعد تحديد الواجهة، يمكننا المتابعة لالتقاط حركة المرور في وضع الكل في صف واحد، لكن هذا غير مستحسن، لأنه، على سبيل المثال، مع تحميل بنسبة 50% على واجهة جيجابت، يستغرق الأمر بضع مللي ثانية فقط لالتقاط إرسال 100.000 حزمة. ولذلك، من المهم أن نفهم ما هي المشكلة التي نحلها. ثم سيكون لدينا على الأقل عنوان (IP أو MAC) للمستخدم أو التطبيق الذي يشكو منه أو الخادم الذي يصل إليه.

وبالتالي، فإن أبسط مرشح في Wireshark هو عنوان IP الخاص بالجهاز (المضيف) ويبدو هذا المرشح كما يلي:

إذا كانت المشكلة أكثر عمومية ونحتاج إلى التقاط حركة المرور من شبكة فرعية منفصلة بغض النظر عن اتجاه إرسالها، فإننا نستخدم مرشحًا:

    صافي 192.168.0.0/24 أو صافي 192.168.0.0 قناع 255.255.255.0

عند التقاط حركة المرور من شبكة فرعية، سيبدو عامل التصفية كما يلي:

    src net 192.168.0.0/24 أو src net 192.168.0.0 قناع 255.255.255.0

وإذا كنت بحاجة إلى رؤية حركة المرور الواردة إلى شبكتنا الفرعية فقط للتحليل، فإن أيًا من المرشحات:

    صافي التوقيت الصيفي 192.168.0.0/24

    قناع dst net 192.168.0.0 255.255.255.0

إذا اشتكى المستخدم من عدم قدرته على فتح الصفحات في المتصفح، فقد تكون المشكلة مع خادم DNS (المنفذ 53) أو مع بروتوكول HTTP (المنفذ 80)، ثم نقوم بالتقاط حركة المرور باستخدام مرشح "المنفذ":

إذا قررنا التقاط كل حركة المرور لخادم معين دون مراعاة HTTP وFTP، فسيتم تكوين عامل التصفية باستخدام أي من هذين المثالين:

    المضيف 192.168.0.1 وليس (المنفذ 21 أو المنفذ 80)

    المضيف 192.168.0.1 وليس المنفذ 21 وليس المنفذ 80

إذا أردنا رؤية كل حركة المرور على المنفذ، باستثناء حركة مرور DNS وFTP وARP، فسيكون المنطق مشابهًا:

    ميناء لا DNS وليس 21 وليس ARP

عند التقاط حركة المرور من التطبيقات التي تستخدم منافذ ديناميكية من نطاق معين، سيبدو عامل التصفية صعبًا إذا كان إصدار Libcap أقل من 0.9.1:

    (برنامج التعاون الفني> 1500 وبرنامج التعاون الفني< 1550) or (tcp >1500 و برنامج التعاون الفني< 1550)

إذا كانت الإصدارات أحدث، فسيكون الفلتر أقل تهديدًا ومفهومًا:

    برنامج التعاون الفني بورترانج 1501-1549

لالتقاط إطارات Ethernet من نوع EAPOL (يسمى بروتوكول نقل رسائل EAP في معيار 802.1x EAPOL (تغليف EAP عبر الشبكة المحلية)):

    الأثير بروتو 0x888e

كمرجع، إليك قائمة بأنواع إطارات Ethernet لبروتوكولات محددة:

النوع الأثيري (السداسي العشري)

بروتوكول

0x0000 - 0x05DC

طول IEEE 802.3

0x0101 - 0x01FF

IP، بروتوكول الإنترنت

ARP، بروتوكول تحليل العنوان.

ترحيل الإطار ARP

تتابع الإطار الخام

DRARP، RARP الديناميكي. RARP، بروتوكول تحليل العنوان العكسي.

نوفيل نتوير IPX

EtherTalk (AppleTalk عبر إيثرنت)

خدمات IBM SNA عبر Ethernet

AARP، بروتوكول تحليل عنوان AppleTalk.

EAPS، تبديل الحماية التلقائية لشبكة إيثرنت.

IPX، تبادل حزم الإنترنت.

SNMP، بروتوكول إدارة الشبكة البسيط.

IPv6، الإصدار السادس من بروتوكول الإنترنت.

PPP، بروتوكول نقطة إلى نقطة.

GSMP، البروتوكول العام لإدارة التبديل.

MPLS، تبديل تسمية البروتوكولات المتعددة (البث الأحادي).

MPLS، تبديل تسمية البروتوكولات المتعددة (البث المتعدد).

PPPoE، PPP عبر الإيثرنت (مرحلة الاكتشاف).

PPPoE، PPP عبر الإيثرنت (مرحلة جلسة PPP).

LWAPP، بروتوكول نقطة الوصول خفيف الوزن.

LLDP، بروتوكول اكتشاف طبقة الارتباط.

EAPOL، EAP عبر الشبكة المحلية (LAN).

الاسترجاع (بروتوكول اختبار التكوين)

معرف بروتوكول علامة VLAN

معرف بروتوكول علامة VLAN

إذا كنت بحاجة إلى التقاط حركة مرور لبروتوكول IP محدد، فيمكنك استخدام عامل التصفية:

    IP proto TCP - التقاط حركة مرور TCP

    IP proto UDP - التقاط حركة مرور UDP

يتم استخدام أقصر مرشح لالتقاط حركة مرور IP:

لالتقاط حركة المرور أحادية البث فقط عند تحليل حركة المرور الصادرة والواردة إلى جهاز الشبكة، يتم استخدام عامل التصفية بالتنسيق التالي:

    لا البث وليس البث المتعدد

يمكن دمج المرشحات البسيطة التي تحدثنا عنها باستخدام رموز بسيطة:

    النفي: ! أولا

    جمعية: && أوو

    التناوب: ثانياأوأو

على سبيل المثال: لالتقاط حركة المرور من أو إلى جهاز يحمل العنوان 10.10.10.10، ولكن ليس من الشبكة 192.168.0.0، يتم الحصول على المرشح من خلال الدمج مع النفي:

    المضيف 10.10.10.10 && !نت 192.168

تعتبر المرشحات المعتمدة على وحدات البايت الإزاحة هي الأقوى وتجعل الحياة أسهل بكثير، ولكن لاستخدامها تحتاج إلى معرفة البروتوكول وموضع الحقول التي تبحث عنها في الحزمة. ستقوم عوامل التصفية النموذجية التالية بالتقاط الحزم ذات قيمة حقل محددة في الرؤوس أو الحمولة. إعدادها سهل:

نقوم بالتحويل بمقدار ثمانية بايتات في حزمة IP ونلتقط حركة المرور بقيمة TTL تبلغ 1

نقوم بالتقاط جميع حزم TCP بعنوان منفذ مصدر 80. وهذا يعادل مرشح منفذ src 80.

كمرجع، إليك البايت المُقابل للحقول الأكثر إثارة للاهتمام في الحزمة:

الحقل في الحزمة

الطول بالبايت

منقي

طول رأس IP

طول حزمة IP

مصدر عنوان IP

وجهة عنوان IP

تجزئة الملكية الفكرية

العلم = 3 والإزاحة = 13

IP & 0x2000 = 0x2000 أو IP & 0x1fff !=0x0000

منفذ وجهة TCP

طول رأس TCP

لتوحيد المعلومات المستلمة، سنقوم بإنشاء مرشح لالتقاط حركة المرور باستخدام طلب HTTP GET. يستخدم بروتوكول HTTP المنفذ 80، وهو بروتوكول النقل TCP. ستبدو القيمة السداسية العشرية للكلمة GET مثل 0x47455420. مثال على الفلتر الذي سنحصل عليه:

    المنفذ 80 وtcp[((tcp & 0xf0 >>2):4]=0x47455420

في هذه المادة، نظرنا في كيفية إعداد واستخدام أبسط عوامل التصفية الأساسية لالتقاط حركة المرور باستخدام محلل بروتوكول Wireshark.

حسنًا، أتمنى أن تكون الدروس السابقة جيدة. سأستمر أكثر. لنفترض أننا التقطنا مجموعة من الحزم، والآن نحتاج إلى العثور على بيانات معينة بين المجموعة.

أذكرك أنه يمكنك تنزيل Wireshark

أولاً، دعونا نفتح مثالاً لحركة المرور (أو نلتقط الحزم لدينا). بالمناسبة، إليك مكتبة لأمثلة حركة المرور، يمكنك تنزيلها بأمان للدراسة: http://wiki.wireshark.org/SampleCaptures

بالمناسبة، هناك أيضًا أمثلة على حركة المرور من أجهزة الكمبيوتر المصابة وآثار أحصنة طروادة وغيرها من المصائب. + لدي أيضًا مجموعة من الملفات المرورية، إذا كنت مهتمًا، فسوف أقوم بنشرها في الأرشيف، فهي ليست ذات وزن كبير. بالمناسبة، يمكنك إصابة جهاز الكمبيوتر الخاص بك بنوع من العدوى بنفسك (جهاز افتراضي) والتقاط حركة المرور، وأعتقد أن هذا مثير للاهتمام للغاية. وإذا أصيبت بفيروس في سيارة حقيقية، فاتصل بالمتخصصين: مساعدة الكمبيوتر في كييف. حسنا، دعونا نمضي قدما.

لذا، قمت بتنزيل مثال لحركة مرور http، وهو الأول في القائمة:

افتح نافذة البحث وانظر:


هذه هي الطريقة التي يتم بها البحث عن الحزم باستخدام بيانات معينة.

حسنا، الآن دعونا نتحدث عن الجمال، وهي راسكارسكا.

لفتح معالج التلوين، حدد عرض->قواعد التلوين من القائمة

سيتم فتح النافذة التالية:


أضف عنصرًا جديدًا باستخدام الزر NEW:


على سبيل المثال، سأقوم الآن بإنشاء قاعدة تسليط الضوء:

بروتوكول DNS اسم الاستجابةيحتوي على "google"، أكتبه في الفلتر: dns.resp.name، وحدد "يحتوي على" (يحتوي على) وحدد القيمة "google". أطبق القاعدة، وأصنع خلفية زرقاء وخطًا أسود.


يتم تمييز قاعدتنا بخط تحته خط.

في بعض الأحيان، عند استخدام الإنترنت، تنشأ المواقف التي يحدث فيها تسرب حركة المرور أو استهلاك غير متوقع لموارد النظام. لتحليل مصدر المشكلة واكتشافه بسرعة، يتم استخدام أدوات شبكة خاصة. سيتم مناقشة واحد منهم، WireShark، في المقالة.

معلومات عامة

قبل استخدام WireShark، تحتاج إلى التعرف على نطاقه ووظائفه وإمكانياته. باختصار: يتيح لك البرنامج التقاط الحزم في الوقت الفعلي في اتصالات الشبكة السلكية واللاسلكية. يُستخدم في Ethernet وIEEE 802.11 وPPP والبروتوكولات المشابهة. يمكنك أيضًا استخدام اعتراض حركة مرور مكالمات VoIP.

يتم توزيع البرنامج بموجب ترخيص GNU GPL، مما يعني أنه مجاني ومفتوح المصدر. يمكنك تشغيله على العديد من توزيعات Linux، وMacOS، كما يوجد نسخة لنظام التشغيل Windows.

كيفية استخدام واير شارك؟

أولاً، يجب عليك أولاً تثبيته على النظام. نظرًا لأن أحد توزيعات Linux الأكثر استخدامًا هو Ubuntu، فسيتم عرض جميع الأمثلة فيه.

للتثبيت، فقط اكتب الأمر في وحدة التحكم:

Sudo apt-get install wireshark

بعد ذلك سيظهر البرنامج في القائمة الرئيسية. يمكنك إطلاقه من هناك. ولكن من الأفضل القيام بذلك من المحطة، لأنها تحتاج إلى حقوق المستخدم المتميز. يمكن القيام بذلك على النحو التالي:

مظهر

يحتوي البرنامج على واجهة رسومية مريحة. سيرى المستخدم نافذة ودية مقسمة إلى 3 أجزاء. الأول يتعلق مباشرة بالالتقاط، والثاني يتعلق بفتح الملفات والعينات، والثالث هو المساعدة والدعم.

تحتوي كتلة الالتقاط على قائمة بواجهات الشبكة المتاحة للالتقاط. عندما تحدد، على سبيل المثال، eth0 وتنقر فوق الزر "ابدأ"، ستبدأ عملية الاعتراض.

يتم أيضًا تقسيم النافذة التي تحتوي على البيانات التي تم اعتراضها بشكل منطقي إلى عدة أجزاء. يوجد في الأعلى لوحة تحكم تحتوي على عناصر مختلفة. بعد ذلك قائمة الحزم. ويتم تقديمه على شكل جدول. هنا يمكنك رؤية الرقم التسلسلي للحزمة، ووقت اعتراضها، وعنوان الإرسال والاستلام. يمكنك أيضًا إزالة البيانات المتعلقة بالبروتوكولات المستخدمة وطولها والمعلومات المفيدة الأخرى.

يوجد أسفل القائمة نافذة تحتوي على محتويات البيانات الفنية للحزمة المحددة. وحتى أقل هناك عرض في شكل سداسي عشري.

يمكن توسيع كل عرض إلى نافذة أكبر لتسهيل قراءة البيانات.

تطبيق المرشحات

أثناء تشغيل البرنامج، تمر دائمًا أمام المستخدم عشرات أو حتى مئات الحزم. إن التخلص منها يدويًا أمر صعب للغاية ويستغرق وقتًا طويلاً. ولذلك، توصي تعليمات WireShark الرسمية باستخدام المرشحات.

يوجد لهم مجال خاص في نافذة البرنامج - التصفية. لتكوين عامل التصفية بشكل أكثر دقة، يوجد زر Expression.

ولكن في معظم الحالات، ستكون مجموعة المرشحات القياسية كافية:

  • ip.dst — عنوان IP الخاص بوجهة الحزمة؛
  • ip.src - عنوان المرسل؛
  • ip.addr - أي IP فقط؛
  • ip.proto - البروتوكول.

استخدام المرشحات في WireShark - التعليمات

لتجربة كيفية عمل البرنامج مع المرشحات، تحتاج إلى إدخال أمر معين. على سبيل المثال، ستعرض هذه المجموعة - ip.dst == 172.217.23.131 - جميع الحزم المتطايرة إلى موقع Google على الويب. لعرض كل حركة المرور - الواردة والصادرة على حد سواء - يمكنك الجمع بين صيغتين - ip.dst == 172.217.23.131 || ip.src == 172.217.23.131. وهكذا اتضح استخدام شرطين في سطر واحد في وقت واحد.

يمكنك استخدام شروط أخرى، على سبيل المثال ip.ttl< 10. Данная команда выведет все пакеты с длительностью жизни меньше 10. Чтобы выбрать данные по их размеру, можно применить такой подход — http.content_length > 5000.

ميزات إضافية

للراحة، لدى WireShark طريقة لتحديد معلمات الحزمة بسرعة باعتبارها الحقل المراد تحليله. على سبيل المثال، في حقل يحتوي على بيانات فنية، يمكنك النقر بزر الماوس الأيمن على الكائن المطلوب وتحديد تطبيق كعمود. ماذا يعني نقله إلى منطقة الحقل كعمود.

وبالمثل، يمكنك تحديد أي معلمة كمرشح. للقيام بذلك، يوجد عنصر "تطبيق كمرشح" في قائمة السياق.

جلسة منفصلة

يمكنك استخدام WireShark كشاشة بين عقدتين في الشبكة، على سبيل المثال، المستخدم والخادم. للقيام بذلك، حدد الحزمة التي تهتم بها، واستدعاء قائمة السياق وانقر فوق متابعة دفق TCP. ستعرض نافذة جديدة السجل الكامل للتبادل بين العقدتين.

التشخيص

لدى WireShark أداة منفصلة لتحليل مشاكل الشبكة. يطلق عليه أدوات الخبراء. يمكنك العثور عليه في الزاوية اليسرى السفلية، على شكل أيقونة مستديرة. سيؤدي النقر عليه إلى فتح نافذة جديدة تحتوي على عدة علامات تبويب - الأخطاء والتحذيرات وغيرها. بمساعدتهم، يمكنك تحليل أي فشل في العقد، وعدم وصول الحزم، واكتشاف المشكلات الأخرى في الشبكة.

حركة الصوت

كما ذكرنا سابقًا، يمكن لـ WireShark أيضًا اعتراض حركة المرور الصوتية. تم تخصيص قائمة اتصالات هاتفية كاملة لهذا الغرض. يمكن استخدام هذا للعثور على المشكلات في VoIP وإصلاحها بسرعة.

سيسمح لك عنصر VoIP Calls الموجود في قائمة Telephony بعرض المكالمات المكتملة والاستماع إليها.

تصدير الكائنات

ربما تكون هذه هي الوظيفة الأكثر إثارة للاهتمام في البرنامج. يسمح لك باستخدام WireShark كمعترض للملفات المنقولة عبر الشبكة. للقيام بذلك، تحتاج إلى إيقاف عملية الاعتراض وتصدير كائنات HTTP إلى قائمة "ملف". ستعرض النافذة التي تفتح قائمة بجميع الملفات المنقولة أثناء الجلسة، والتي يمكن حفظها في مكان مناسب.

أخيراً

لسوء الحظ، سيكون من الصعب العثور على الإصدار الحالي من WireShark باللغة الروسية على الإنترنت. اللغة الأكثر سهولة والأكثر استخدامًا هي اللغة الإنجليزية.

وينطبق الشيء نفسه على التعليمات التفصيلية لـ WireShark باللغة الروسية. يتم تقديم النسخة الرسمية من المطور باللغة الإنجليزية. هناك العديد من البرامج التعليمية القصيرة والقصيرة الخاصة بـ WireShark عبر الإنترنت للمبتدئين.

ومع ذلك، بالنسبة لأولئك الذين عملوا في مجال تكنولوجيا المعلومات لفترة طويلة، فإن فهم البرنامج لن يمثل أي صعوبات خاصة. والفرص العظيمة والوظائف الغنية سوف تضيء كل الصعوبات في التعلم.

تجدر الإشارة إلى أنه في بعض البلدان، قد يكون استخدام أداة الشم مثل WireShark أمرًا غير قانوني.

أثناء تصحيح مشكلة معينة، قد يتعين عليك أحيانًا تحليل حركة مرور البروتوكول الصادرة والواردة إلى جهازك. يعد Wireshark أحد أفضل الأدوات المستخدمة لهذا الغرض. في هذه المقالة سوف نتعلم كيفية استخدام مرشح عرض محلل بروتوكول الشبكة Wireshark.

1. قم بتنزيل وتثبيت Wireshark

بعد تنزيل الملف القابل للتنفيذ، ما عليك سوى النقر عليه لتثبيت Wireshark.

2. حدد واجهة وابدأ الالتقاط

بمجرد فتح wireshark، عليك أولاً تحديد واجهة شبكة معينة لجهازك. في معظم الحالات، يكون الجهاز متصلاً بواجهة شبكة واحدة فقط، ولكن في حالة وجود عدة واجهات، حدد الواجهة التي تريد مراقبة حركة المرور عليها.

من القائمة، انقر فوق "التقاط -> واجهات"، والتي ستظهر الشاشة التالية:

3. مصدر تصفية IP

يمكن تطبيق عامل تصفية المصدر لتقييد عرض الحزمة في wireshark على تلك الحزم التي تحتوي على عنوان IP المصدر فقط كما هو مذكور في عامل التصفية. الفلتر المطبق في المثال أدناه هو:

IP.src == 192.168.1.1

4. مرشح IP الوجهة

يمكن تطبيق مرشح الوجهة لتقييد عرض الحزمة في wireshark على تلك الحزم التي لها عنوان IP الوجهة فقط كما هو مذكور في عامل التصفية. على سبيل المثال:

IP.dst == 192.168.1.1

5. التصفية حسب البروتوكول

من السهل جدًا تطبيق عامل التصفية لبروتوكول معين. ما عليك سوى كتابة اسم هذا البروتوكول في علامة تبويب التصفية والضغط على زر الإدخال. في المثال أدناه حاولنا تصفية نتائج بروتوكول http باستخدام هذا الفلتر:

6. استخدام أو الشرط في الفلتر

يساعد هذا المرشح على تصفية الحزم التي تطابق شرطًا واحدًا أو آخر.

لنفترض أنه قد تنشأ حاجة لرؤية الحزم التي تحتوي إما على بروتوكول "http" أو "arp". وفي هذه الحالة لا يمكن تطبيق مرشحات منفصلة. لذلك يوجد تعبير مرشح '||' الذي يستخدم شرطين لعرض الحزم المطابقة لأي من الشرطين أو كليهما. في المثال أدناه، حاولنا تصفية حزم http أو arp باستخدام هذا الفلتر:

المتشعب||arp

7. تطبيق والحالة في الفلتر

يساعد هذا الفلتر على تصفية الحزمة التي تتطابق تمامًا مع شروط متعددة.

لنفترض أن هناك متطلبًا لتصفية تلك الحزم التي هي حزم HTTP فقط ولها عنوان IP المصدر باسم "192.168.1.4". استخدم هذا الفلتر:

http&&ip.src==192.168.1.4

8. قم بالتصفية حسب رقم المنفذ

يمكن القيام بذلك باستخدام عامل التصفية "tcp.port eq". على سبيل المثال:

Tcp.port مكافئ 80

9. مطابقة الحزم التي تحتوي على تسلسل معين

صيغة التصفية المستخدمة في هذا هي: "يحتوي على".

يحتوي برنامج التعاون الفني على 01:01:04

10. رفض الحزم بناءً على المصدر أو الوجهة

عامل التصفية هنا هو "ip.src !=" أو "ip.dst !=".

IP.dst != 192.168.1.1

إذا استمتعت بهذا المقال، فقد يعجبك أيضًا..