وایر شارک (Wireshark) چیست ؟
وایر شارک (Wireshark) یک آنالیزور یا تحلیلگر پکت های شبکه است . یک تحلیلگر شبکه که پکت های ذخیره شده را با جزئیات زیادی نمایش میدهد .ما میتوانیم فکر کنیم یک تحلیلگر پکت های شبکه که دیوایس مورد نظر را اندازه گیری می کند .
همانند بررسی کردن آنچه در یک شبکه کابلی اتفاق می افتد . درست مانند اینکه یک متخصص برق با استفاده از یک ولت متر برای اندازه گیری آنچه در کابل برق اتفاق می افتد انجام میدهد (اما چند مرتبه بالاتر ) . در گذشته این ابزار بسیار گران قیمت یا اختصاصی بودند.
با معرفی وایر شارک همه چیز تغییر کرد . وایر شارک به صورت رایگان در دسترس است و همچنین متن باز است . و امروزه یکی از بهترین تحلیلگر های موجود شبکه است.
کاربردهای وایر شارک (Wireshark)
- مدیران شبکه از آن برای عیب یابی مشکلات شبکه استفاده می کنند.
- مهندسان امنیت شبکه از آن برای تست و یا حل مشکلات امنیتی استفاده می کنند.
- توسعه دهندگان از آن برای اشکال زدایی یا دیباگ کردن پروتکل های پیاده سازی استفاده می کنند.
- مردم از آن برای یادگیری پروتکل های داخلی شبکه استفاده می کنند.
- وایر شارک همچنین میتوتند برای بسیاری از مشکلات دیگر مفید باشد.
امکانات وایر شارک (Wireshark)
در زیر به برخی از امکانات وایر شارک اشاره شده است:
- برای یونیکس و ویندوز موجود است.
- گرفتن پکت داده ها به صورت زنده از رابط شبکه ( اینترفیس شبکه )
- باز کردن فایل های حاوی پکت داده ها که توسط tcpdump و WinDump و وایرشارک ویا خیلی از دیگر برنامه های ذخیره برنامه گرفته شده است .
- نمایش دادن پکت ها با دقیق ترین جزئیات پروتکل .
- ایمپورت کردن پکت ها از طریق یک فایل متنی .
- ذخیره کردن پکت داده ها ی ذخیره شده .
- ذخیره کردن بعضی یا همه ی پکت ها در شماره ای از فرمت های فایل ذخیره شده.
- فیلتر کردن پکت ها بر روی شاخه های زیادی
- جستجو برای پکت ها بر روی شاخه ای زیاد .
- رنگی کردن پکت نمایش داده شده بر پایه ی فیلتر ها.
- ایجاد آمار های مختلف و امکانات زیاد دیگر … با این حال برای درک واقعی این ابزار باید شروع به کار با آن کنید.
وایر شارک پکت ها را ضبط می کند و ما می توانیم محتوای آن را بررسی کنیم
ضبط زنده از رسانه های مختلف شبکه
وایرشارک قابلیت ضبط ترافیک ارتباطی میان بسیاری از واسط های مختلف شبکه را دارد ، از جمله شبکه کابلی ، بیسیم ، بلوتوث ، USB و انواع دیگر . انواع واسط خاص پشتیبانی شده ممکن است از جهت های مختلف و توسط فاکتور های مختلف محدود شده باشد . که شامل سخت افزار و سیستم عامل ما می باشد .
یک راز بزرگ درمورد 90 % هاستینگ های ایرانی، اورسل کردن بیش از حد است که باعث افت کیفیت سرورها میشود.
وان سرور با ارائه دسترسی های مختلف این امکان را به شما خواهد داد که تمامی منابع سرورتان را مدیریت و بررسی کنید و همچنین با ارائه گارانتی 100% برگشت وجه ریسک خرید شما را به %0 کاهش میدهد.
ایمپورت کردن فایل هایی که از برنامه های دیگر ذخیره شده است
وایرشارک می تواند بسته ها را از تعداد زیادی برنامه ضبط باز کند.
اکسپورت فیل ها برای خیلی از برنامه های دیگر
Wireshark می تواند بسته های گرفته شده را در قالب های مختلف ذخیره کند ، از جمله مواردی که توسط سایر برنامه های دیگر استفاده می شود.
متن باز بودن این نرم افزار
نرم افزار وایرشارک یک نرم افزار متن باز است . و زیر نظر (GNU General Public License (GPL انتشار یافته است.
ما می توانیم به صورت کاملا آزادانه از وایر شارک بر روی هر کامپیوتری که دوست داریم استفاده کنیم . بدون نیاز به لایسنس و پرداخت هزینه. تمامی سورس موجود به طور کاملا آزادانه زیر نظر GPL قرار دارند . و به همین دلیل برای ما خیلی آسان است که تا یک پروتوکل جدید را در وایر شارک اضافه کنیم . و هم چنین پلاگین ها یا درون متن برنامه بنویسیم و این کار اغلب انجام میشه !
آنچه در وایر شارک نیست
در این قسمت به چیز هایی که وایرشارک ارائه نمیدهد می پردازیم.
وایرشارک یک سیستم ردیابی نفوذ نیست . وقتی کسی کارهای عجیب و غریب در شبکه شما انجام دهد که مجاز به انجام آن نیست ، به شما هشدار نمی دهد.
اگرچه چیز عجیب و یا غریبی رخ دهد وایرشارک به شما ممکن است به شما کمک کند تا متوجه شوید که چه چیزی در حال رخ دادن است.
Wireshark موارد موجود در شبکه را دستکاری نمی کند ، بلکه فقط پارامتر ها را “اندازه گیری” می کند. وایر شارک به شبکه پکتی ارسال نمیکند.
منابع مورد نیاز
میزان منابع مورد نیاز Wireshark به محیط شما و به اندازه پرونده ضبط شده در حال تجزیه و تحلیل بستگی دارد. مقادیر زیر باید برای پرونده های ضبط کوچک و متوسط بیش از چند صد مگابایت مناسب باشد. پرونده های بزرگتر به حافظه و فضای دیسک بیشتری احتیاج دارند.
در سیستم های ویندوزی
- Wireshark باید از هر نسخه از ویندوز که در طول عمر پشتیبانی است پشتیبانی کند. در زمان نگارش این شامل ویندوز 10 ، 8.1 ، سرور 2019 ، سرور 2016 ، سرور 2012 R2 و سرور 2012 است.
- پردازنده های AMD 64/x86 یا پردازنده ی 32 بیتی x86 .
- مقدار 500 مگابایت رم موجود .در مواردی ممکن است نیاز به مقدار بیشتری هم باشد.
- مقدار 500 مگابایت فضای دیسک و همچنین در زمانی که شبکه گسترده است ممکن است مقدار فضای بیشتری نیاز باشد.
در سیستم عامل های مک
وایر شارک در سیستم عامل های مک 10.12 به بعد پشتیبانی می شود . وایر شارک در سیستم عامل های مک نیز مانند سیستم عامل های مایکروسافتی به نیاز مندی های اپل بستگی دارد.
سیستم عامل های لینوکس ، یونیکس و BSD
وایرشارک بر روی بیشتر پلتفرم هایی که یونیکس و شبه یونیکس هستند مانند لینوکس و بیشتر BSD ها اجرا می شود و نیاز مندی هایش مانند ویندوز است.
وایر شارک را از کجا تهیه کنیم
ما میتوانیم تا آخرین نسخه از این برنامه را از سایت رسمی وایر شارک دانلود کنیم :
https://www.wireshark.org/download.html
و همچنین هر نسخه ی جدید این برنامه هم هر یک یا دو ماه منتشر می شود.
گرفتن بسته های داده در وایرشارک
وقتی Wireshark را باز می کنید ، صفحه ای مشاهده می کنید که لیستی از تمام اتصالات شبکه ای را که می توانید نظارت کنید به شما نشان می دهد.
شما همچنین یک فیلد فیلتر ضبط دارید ، بنابراین فقط ترافیک شبکه ای را که می خواهید مشاهده کنید ضبط می کنید
با استفاده از “shift کلیک چپ” می توانید یک یا چند رابط (اینترفیس) شبکه را انتخاب کنید. پس از انتخاب رابط شبکه ، می توانید ضبط را شروع کنید و روشهای مختلفی برای انجام این کار وجود دارد.
روی اولین دکمه در نوار ابزار کلیک کنید با عنوان “Start Capturing Packets”
می توانید مورد منو Capture -> Start را انتخاب کنید
در حین ضبط ، Wireshark بسته هایی را که در لحظه ضبط می کند به شما نشان می دهد.
تجزیه و تحلیل بسته های داده در Wireshark
Wireshark سه صفحه مختلف را برای بازرسی داده های بسته به شما نشان می دهد. Packet List ، قسمت بالای صفحه ، لیستی از تمام بسته های موجود در ضبط است. وقتی روی یک بسته کلیک می کنید ، دو صفحه دیگر تغییر می کند تا جزئیات بسته انتخاب شده را به شما نشان دهد. در اینجا برخی از جزئیات مربوط به هر ستون آورده شده است.
NO : تعداد سفارش بسته ای است که به دست آمده شده است ، این بخشی از مکالمه است
TIME : این ستون به شما نشان می دهد که چه مدت پس از شروع ضبط ، این بسته ضبط شده است ، در صورت نیاز به نمایش متفاوت ، می توانید این مقدار را در فهرست تنظیمات تغییر دهید
SOURCE : این آدرس سیستمی است که بسته را ارسال کرده است
Destination : این آدرس مقصد آن بسته است
Protocol : نوع بسته است ، به عنوان مثال TCP ، DNS ، DHCPv6 یا ARP
Length : این ستون طول بسته را به بایت نشان می دهد
Info : این ستون اطلاعات بیشتری در مورد محتوای بسته به شما نشان می دهد و بسته به نوع بسته آن متفاوت خواهد بود
Packet Details ، در قسمت میانی ، بسته به نوع بسته بندی ، هرچه بیشتر اطلاعات قابل خواندن باشد در مورد بسته را به شما نشان می دهد. می توانید بر اساس متن برجسته شده در این قسمت ، کلیک راست کرده و فیلترهایی ایجاد کنید
پنجره پایین ، Packet Bytes ، بسته را دقیقاً همانطور که در Hexadecimal گرفته شده نشان می دهد.
وقتی به بسته ای که بخشی از مکالمه است نگاه می کنید ، می توانید روی بسته کلیک راست کرده و دنبال کردن را انتخاب کنید.
فیلترهای Wireshark
یکی از بهترین ویژگی های Wireshark فیلترهای Wireshark Capture Filters و Wireshark Filters Display است ، فیلترها به شما امکان می دهند ضبط را به همان شکلی که باید مشاهده کنید تا بتوانید مشکلات موجود را عیب یابی نمایید ، در اینجا چندین فیلتر برای شروع وجود دارد.
فیلترهای Wireshark Capture
فیلترهای ضبط ، بسته (پکت) های گرفته شده را محدود می کنند. یعنی اگر بسته ها با فیلتر مطابقت نداشته باشند ، Wireshark آنها را ذخیره نمی کند. در اینجا چند نمونه از فیلترهای ضبط وجود دارد.
host IP-address
این فیلتر ضبط را به ترافیک آدرس IP محدود می کند.
net 192.168.0.0/24
این فیلتر تمام ترافیک موجود در زیرشبکه (سابنت) را ضبط می کند.
dst host IP-address
پکت های ضبط شده به میزبان (هاست) مشخص شده را ضبط می کند.
port 53
فقط در پورت 53 ترافیک بگیرد.
port not 53 and not arp
ذخیره تمام ترافیک به جز ترافیک پورت های DNS و ARP.
فیلترهای نمایش Wireshark
فیلترهای نمایشگر Wireshark در هنگام تجزیه و تحلیل ، نمای ذخیره شده را تغییر می دهند. بعد از اینکه ضبط بسته را متوقف کردید ، از فیلترهای نمایشگر برای بسته شدن بسته ها در لیست بسته ها استفاده می کند تا بتوانید مشکل خود را عیب یابی کنید.
مفیدترین فیلتر نمایش:
ip.src==IP-address and ip.dst==IP-address
این فیلتر بسته های یک رایانه را (ip.src) به رایانه دیگر (ip.dst) به ما نشان می دهد. همچنین می توانید از ip.addr برای نشان دادن بسته های وارد شده به آن IP از آن استفاده کنید. در اینجا برخی مثال نیز دیگر وجود دارد.
tcp.port eq 25
این فیلتر تمام ترافیک در پورت 25 را نشان می دهد ، که معمولاً ترافیک SMTP است.
icmp
این فیلتر فقط ترافیک ICMP را در ضبط به ما نشان می دهد ، به احتمال زیاد آنها پینگ هستند.
ip.addr != IP_address
این فیلتر همه ترافیک ما را نشان می دهد ، به جز ترافیک ورودی یا از طریق رایانه مشخص شده.
تحلیلگران حتی برای تشخیص حملات خاص فیلترهایی می سازند ، مانند این فیلتر برای تشخیص worm Sasser .
ls_ads.opnum==0x09
ویژگی های اضافی Wireshark
فراتر از ضبط و فیلتر کردن ، چندین ویژگی دیگر در Wireshark وجود دارد که می تواند بسیار برای ما مفید باشد.
گزینه های رنگ آمیزی Wireshark
می توانید Wireshark را تنظیم کنیم تا بسته های ما در لیست بسته ها مطابق فیلتر نمایشگر رنگ آمیزی شود ، که به ما امکان می دهد روی بسته هایی که می خواهیم برجسته کنیم ، تأکید کنیم.
حالت بی قاعده Wireshark
به طور پیش فرض ، Wireshark فقط بسته هایی را که به کامپیوتر وارد میشود و در آنجا فعال می شود ضبط می کند. با علامت زدن کادر برای اجرای Wireshark در حالت Promiscuous (بی قاعده) در تنظیمات ضبط ، می توانیم بیشترین میزان ترافیک در شبکه را ضبط کنیم.
خط فرمان Wireshark
در صورت استفاده از سیستم بدون رابط کاربری گرافیکی ، Wireshark یک رابط خط فرمان (CLI) فراهم می کند. بهترین روش برای ضبط و ذخیره یک گزارش استفاده از CLI است ، تا بتوانیم گزارش را با GUI (گرافیکی) مرور کنیم.
دستورات Wireshark
wireshark
Wireshark را در حالت GUI (گرافیکی) اجرا می کند.
wireshark –h
پارامترهای خط فرمان موجود برای Wireshark را نشان می دهد.
wireshark –a duration:300 –i eth1 –w wireshark
به مدت 5 دقیقه از ترافیک Ethernet 1 استفاده می کند. –a به معنای توقف خودکار ضبط ، -i مشخصاتی که Ethernet باید آن ها را ضبط کند.
معیارها و آمار
در بخش فهرست آمار ، گزینه های زیادی را برای نشان دادن جزئیات مربوط به ضبط خود پیدا خواهیم کرد.
ویژگی های پرونده را ضبط کنیم
نمودار ورودی و خروجی Wireshark
اولین نفر باشید که نظر ارسال میکنید