كيف تقرأ الحزم في Wireshark

بالنسبة للعديد من خبراء تكنولوجيا المعلومات ، فإن Wireshark هي أداة الانتقال لتحليل حزم الشبكة. يمكّنك البرنامج مفتوح المصدر من فحص البيانات المجمعة عن كثب وتحديد جذر المشكلة بدقة محسنة. علاوة على ذلك ، يعمل Wireshark في الوقت الفعلي ويستخدم الترميز اللوني لعرض الحزم الملتقطة ، من بين آليات أخرى رائعة.

في هذا البرنامج التعليمي ، سنشرح كيفية التقاط الحزم وقراءتها وتصفيتها باستخدام Wireshark. أدناه ، ستجد إرشادات خطوة بخطوة وتفاصيل لوظائف تحليل الشبكة الأساسية. بمجرد إتقان هذه الخطوات الأساسية ، ستتمكن من فحص تدفق حركة المرور في شبكتك وتحرّي المشكلات وإصلاحها بكفاءة أكبر.

تحليل الحزم

بمجرد التقاط الحزم ، ينظمها Wireshark في جزء قائمة حزم مفصلة يسهل قراءته بشكل لا يصدق. إذا كنت ترغب في الوصول إلى المعلومات المتعلقة بحزمة واحدة ، فكل ما عليك فعله هو تحديد موقعها في القائمة والنقر فوقها. يمكنك أيضًا توسيع الشجرة بشكل أكبر للوصول إلى تفاصيل كل بروتوكول موجود في الحزمة.

للحصول على نظرة عامة أكثر شمولاً ، يمكنك عرض كل حزمة تم التقاطها في نافذة منفصلة. إليك الطريقة:

متى تم إنشاء حسابي في gmail؟

حدد الحزمة من القائمة التي تحتوي على المؤشر ، ثم انقر بزر الماوس الأيمن.
افتح علامة التبويب عرض من شريط الأدوات أعلاه.
حدد إظهار الحزمة في نافذة جديدة من القائمة المنسدلة.

ملاحظة: من الأسهل بكثير مقارنة الحزم الملتقطة إذا عرضتها في نوافذ منفصلة.

كما ذكرنا ، يستخدم Wireshark نظام ترميز لوني لتصور البيانات. يتم تمييز كل حزمة بلون مختلف يمثل أنواعًا مختلفة من حركة المرور. على سبيل المثال ، عادةً ما يتم تمييز حركة مرور TCP باللون الأزرق ، بينما يتم استخدام اللون الأسود للإشارة إلى الحزم التي تحتوي على أخطاء.

بالطبع ، ليس عليك حفظ المعنى الكامن وراء كل لون. بدلاً من ذلك ، يمكنك التحقق على الفور:

انقر بزر الماوس الأيمن فوق الحزمة التي ترغب في فحصها.
حدد علامة التبويب عرض من شريط الأدوات أعلى الشاشة.
اختر قواعد التلوين من اللوحة المنسدلة.

سترى خيار تخصيص التلوين حسب رغبتك. ومع ذلك ، إذا كنت تريد فقط تغيير قواعد التلوين مؤقتًا ، فاتبع الخطوات التالية:

انقر بزر الماوس الأيمن فوق الحزمة في جزء قائمة الحزم.
من قائمة الخيارات ، حدد Colorize With Filter.
اختر اللون الذي تريد تسميته.

عدد

سيعرض لك جزء قائمة الحزم العدد الدقيق لبتات البيانات الملتقطة. نظرًا لأن الحزم منظمة في عدة أعمدة ، فمن السهل جدًا تفسيرها. الفئات الافتراضية هي:

رقم (رقم): كما ذكرنا ، يمكنك إيجاد العدد الدقيق للحزم الملتقطة في هذا العمود. ستبقى الأرقام كما هي حتى بعد تصفية البيانات.
الوقت: كما قد تكون خمنت ، يتم عرض الطابع الزمني للحزمة هنا.
المصدر: يظهر من أين نشأت الحزمة.
الوجهة: تعرض المكان الذي سيتم حفظ الحزمة فيه.
البروتوكول: يعرض اسم البروتوكول ، عادةً في اختصار.
الطول: يعرض عدد البايتات الموجودة في الحزمة الملتقطة.
معلومات: يتضمن العمود أي معلومات إضافية حول حزمة معينة.

زمن

نظرًا لتحليل Wireshark لحركة مرور الشبكة ، فإن كل حزمة يتم التقاطها تكون مختومة بختم زمني. يتم بعد ذلك تضمين الطوابع الزمنية في جزء قائمة الحزم وتكون متاحة للتفتيش لاحقًا.

لا تُنشئ Wireshark الطوابع الزمنية بنفسها. بدلاً من ذلك ، تحصل عليها أداة المحلل من مكتبة Npcap. ومع ذلك ، فإن مصدر الطابع الزمني هو في الواقع النواة. هذا هو السبب في أن دقة الطابع الزمني يمكن أن تختلف من ملف إلى ملف.

يمكنك اختيار التنسيق الذي سيتم عرض الطوابع الزمنية به في قائمة الحزم. بالإضافة إلى ذلك ، يمكنك تعيين الدقة المفضلة أو عدد المنازل العشرية التي يتم عرضها. بصرف النظر عن إعداد الدقة الافتراضي ، هناك أيضًا:

ثواني
أعشار من الثانية
مئات من الثانية
مللي ثانية
ميكروثانية
نانو ثانية

مصدر

كما يوحي الاسم ، مصدر الحزمة هو مكان المنشأ. إذا كنت ترغب في الحصول على الكود المصدري لمستودع Wireshark ، فيمكنك تنزيله باستخدام عميل Git. ومع ذلك ، تتطلب هذه الطريقة أن يكون لديك حساب GitLab. من الممكن القيام بذلك بدون حساب ، ولكن من الأفضل الاشتراك في حالة.

بمجرد تسجيل الحساب ، اتبع الخطوات التالية:

تأكد من عمل Git باستخدام هذا الأمر: $ git -–version.
تحقق مرة أخرى من تكوين عنوان بريدك الإلكتروني واسم المستخدم.
بعد ذلك ، اصنع نسخة من مصدر Workshark. استخدم $ git clone -o upstream [email protected]:wireshark/wireshark.git SSH URL لعمل النسخة.
إذا لم يكن لديك حساب GitLab ، فجرب عنوان HTTPS URL: $ git clone -o upstream https://gitlab.com/wireshark/wireshark.git .

سيتم بعد ذلك نسخ جميع المصادر إلى جهازك. ضع في اعتبارك أن الاستنساخ قد يستغرق بعض الوقت ، خاصة إذا كان لديك اتصال شبكة بطيء.

الوجهة

إذا كنت تريد معرفة عنوان IP لوجهة حزمة معينة ، فيمكنك استخدام مرشح العرض لتحديد موقعه. إليك الطريقة:

أدخل ip.addr == 8.8.8.8 في مربع مرشح Wireshark. ثم انقر فوق 'إدخال'.
سيتم إعادة تكوين جزء قائمة الحزم فقط لإظهار وجهة الحزمة. ابحث عن عنوان IP الذي تهتم به من خلال التمرير عبر القائمة.
بمجرد الانتهاء ، حدد مسح من شريط الأدوات لإعادة تكوين جزء قائمة الحزم.

بروتوكول

البروتوكول هو مبدأ توجيهي يحدد نقل البيانات بين الأجهزة المختلفة المتصلة بنفس الشبكة. تحتوي كل حزمة Wireshark على بروتوكول ، ويمكنك طرحه باستخدام مرشح العرض. إليك الطريقة:

في الجزء العلوي من نافذة Wireshark ، انقر فوق مربع الحوار Filter.
أدخل اسم البروتوكول الذي تريد فحصه. عادة ، تتم كتابة عناوين البروتوكول بأحرف صغيرة.
انقر فوق إدخال أو تطبيق لتمكين مرشح العرض.

طول

يتم تحديد طول حزمة Wireshark من خلال عدد وحدات البايت الملتقطة في مقتطف الشبكة المحدد هذا. يتوافق هذا الرقم عادةً مع عدد بايتات البيانات الأولية المدرجة أسفل نافذة Wireshark.

إذا كنت تريد فحص توزيع الأطوال ، فافتح نافذة Packet Lengths. جميع المعلومات مقسمة إلى الأعمدة التالية:

أطوال الرزم
عدد
متوسط
مين فال / ماكس فال
معدل
نسبه مئويه
معدل انفجار
بداية الاندفاع

معلومات

إذا كان هناك أي شذوذ أو عناصر مماثلة داخل حزمة معينة تم التقاطها ، فسوف يلاحظها Wireshark. سيتم بعد ذلك عرض المعلومات في جزء قائمة الحزم لمزيد من الفحص. بهذه الطريقة ، ستحصل على صورة واضحة لسلوك الشبكة غير النمطي ، مما سينتج عنه ردود فعل أسرع.

أسئلة وأجوبة إضافية

كيف يمكنني تصفية حزم البيانات؟

التصفية هي ميزة فعالة تسمح لك بالنظر في تفاصيل تسلسل بيانات معين. هناك نوعان من فلاتر Wireshark: الالتقاط والعرض. توجد فلاتر الالتقاط لتقييد التقاط الحزمة لتناسب متطلبات محددة. بمعنى آخر ، يمكنك التدقيق في أنواع مختلفة من حركة المرور من خلال تطبيق مرشح الالتقاط. كما يوحي الاسم ، تسمح لك مرشحات العرض بالتركيز على عنصر معين من الحزمة ، من طول الحزمة إلى البروتوكول.

يعد تطبيق المرشح عملية مباشرة جدًا. يمكنك كتابة عنوان المرشح في مربع الحوار أعلى نافذة Wireshark. بالإضافة إلى ذلك ، يقوم البرنامج عادةً بإكمال اسم المرشح تلقائيًا.

بالتناوب ، إذا كنت تريد التمشيط عبر مرشحات Wireshark الافتراضية ، فقم بما يلي:

1. افتح علامة التبويب تحليل في شريط الأدوات أعلى نافذة Wireshark.

كيف تجعل حسابك خاصا على الفيسبوك

2. من القائمة المنسدلة ، حدد عامل تصفية العرض.

3. تصفح القائمة وانقر على القائمة التي تريد تطبيقها.

أخيرًا ، إليك بعض مرشحات Wireshark الشائعة التي يمكن أن تكون مفيدة:

• لعرض عنوان IP الخاص بالمصدر والوجهة فقط ، استخدم: ip.src==IP-address and ip.dst==IP-address

• لعرض حركة مرور SMTP فقط ، اكتب: tcp.port eq 25

• لالتقاط كل حركة مرور الشبكة الفرعية ، قم بتطبيق: net 192.168.0.0/24

• لالتقاط كل شيء باستثناء حركة مرور ARP و DNS ، استخدم: port not 53 and not arp

كيف يمكنني التقاط حزم البيانات في Wireshark؟

بمجرد تنزيل Wireshark على جهازك ، يمكنك البدء في مراقبة اتصال الشبكة. لالتقاط حزم البيانات لتحليل شامل ، إليك ما عليك القيام به:

1. قم بتشغيل Wireshark. سترى قائمة بالشبكات المتاحة ، لذا انقر فوق الشبكة التي تريد فحصها. يمكنك أيضًا تطبيق مرشح الالتقاط إذا كنت تريد تحديد نوع حركة المرور.

2. إذا كنت تريد فحص شبكات متعددة ، فاستخدم مفتاح shift + زر التحكم بزر الماوس الأيسر.

3. بعد ذلك ، انقر فوق رمز زعنفة القرش في أقصى اليسار على شريط الأدوات أعلاه.

4. يمكنك أيضًا بدء الالتقاط بالنقر فوق علامة التبويب 'لقطة' وتحديد 'ابدأ' من القائمة المنسدلة.

5. طريقة أخرى للقيام بذلك هي استخدام ضغطات مفتاح التحكم - E.

عندما يلتقط البرنامج البيانات ، ستراها تظهر في جزء قائمة الحزم في الوقت الفعلي.

القرش بايت

على الرغم من أن Wireshark هو محلل شبكة متقدم للغاية ، إلا أنه من السهل تفسيره بشكل مدهش. جزء قائمة الحزم شامل للغاية ومنظم جيدًا. يتم توزيع جميع المعلومات في سبعة ألوان مختلفة ومعلمة برموز لونية واضحة.

علاوة على ذلك ، يأتي البرنامج مفتوح المصدر مع عدد كبير من المرشحات القابلة للتطبيق بسهولة والتي تسهل المراقبة. من خلال تمكين عامل تصفية الالتقاط ، يمكنك تحديد نوع حركة المرور التي تريد أن يقوم Wireshark بتحليلها. وبمجرد الحصول على البيانات ، يمكنك تطبيق العديد من عوامل تصفية العرض لعمليات بحث محددة. بشكل عام ، إنها آلية عالية الكفاءة ليس من الصعب إتقانها.

هل تستخدم Wireshark لتحليل الشبكة؟ ما رأيك في وظيفة الترشيح؟ أخبرنا في التعليقات أدناه إذا كانت هناك ميزة مفيدة لتحليل الحزم تخطيناها.