نحوه استفاده از Wireshark: یک آموزش کامل

2024 نویسنده: Abigail Brown | [email protected]. آخرین اصلاح شده: 2023-12-17 06:46

چه باید بدانیم

• Wireshark یک برنامه منبع باز است که داده هایی را که در حال رفت و برگشت در شبکه هستند ضبط و نمایش می دهد.
• چون می تواند محتویات هر بسته را باز کند و بخواند، برای عیب یابی مشکلات شبکه و تست نرم افزار استفاده می شود.

دستورالعمل های این مقاله برای Wireshark 3.0.3 برای Windows و Mac اعمال می شود.

خط پایین

که در ابتدا با نام Ethereal شناخته می شد، Wireshark داده های صدها پروتکل مختلف را در همه انواع شبکه های اصلی نمایش می دهد. بسته های داده را می توان در زمان واقعی مشاهده کرد یا به صورت آفلاین تجزیه و تحلیل کرد. Wireshark از ده ها فرمت فایل ضبط/ردیابی، از جمله CAP و ERF پشتیبانی می کند. ابزارهای رمزگشایی یکپارچه بسته های رمزگذاری شده را برای چندین پروتکل رایج از جمله WEP و WPA/WPA2 نمایش می دهند.

نحوه دانلود و نصب Wireshark

Wireshark را می توان بدون هیچ هزینه ای از وب سایت بنیاد Wireshark برای macOS و Windows بارگیری کرد. آخرین نسخه پایدار و نسخه توسعه‌یافته فعلی را خواهید دید. مگر اینکه کاربر پیشرفته ای باشید، نسخه پایدار را دانلود کنید.

در طول فرآیند راه‌اندازی ویندوز، نصب WinPcap یا Npcap را انتخاب کنید، زیرا این موارد شامل کتابخانه‌های مورد نیاز برای ضبط داده‌های زنده است.

برای استفاده از Wireshark باید به عنوان سرپرست وارد دستگاه شوید. در ویندوز 10، Wireshark را جستجو کنید و Run as administrator را انتخاب کنید در macOS، روی نماد برنامه کلیک راست کرده و دریافت اطلاعات را انتخاب کنید.در تنظیمات اشتراک گذاری و مجوزها ، به مدیر امتیاز Read & Write بدهید.

این برنامه همچنین برای لینوکس و دیگر پلتفرم های مشابه یونیکس از جمله Red Hat، Solaris و FreeBSD در دسترس است. باینری های مورد نیاز برای این سیستم عامل ها را می توان در پایین صفحه دانلود Wireshark در قسمت Third-Party Packages پیدا کرد. همچنین می توانید کد منبع Wireshark را از این صفحه دانلود کنید.

چگونه بسته های داده را با Wireshark ضبط کنیم

هنگامی که Wireshark را راه اندازی می کنید، یک صفحه خوش آمدگویی اتصالات شبکه موجود در دستگاه فعلی شما را فهرست می کند. در سمت راست هر کدام یک نمودار خطی به سبک EKG نمایش داده می‌شود که ترافیک زنده در آن شبکه را نشان می‌دهد.

برای شروع گرفتن بسته ها با Wireshark:

1. یک یا چند شبکه را انتخاب کنید، به نوار منو بروید، سپس Capture را انتخاب کنید.

   برای انتخاب چندین شبکه، کلید Shift را هنگام انتخاب خود نگه دارید.

   

2. در پنجره Wireshark Capture Interfaces ، شروع را انتخاب کنید. را انتخاب کنید.

   راه های دیگری برای شروع ضبط بسته وجود دارد. باله کوسه را در سمت چپ نوار ابزار Wireshark انتخاب کنید، Ctrl+E را فشار دهید، یا روی شبکه دوبار کلیک کنید.

   

3. File > ذخیره به عنوان را انتخاب کنید یا گزینه Export را برای ضبط عکس انتخاب کنید.

   

4. برای توقف گرفتن عکس، Ctrl+E را فشار دهید. یا، به نوار ابزار Wireshark بروید و دکمه قرمز Stop را که در کنار باله کوسه قرار دارد، انتخاب کنید.

   

نحوه مشاهده و تجزیه و تحلیل محتویات بسته

رابط داده های ضبط شده شامل سه بخش اصلی است:

• پنجره لیست بسته ها (بخش بالایی)
• پنجره جزئیات بسته (بخش میانی)
• پنجره بایت های بسته (بخش پایین)

فهرست بسته

پنجره لیست بسته ها که در بالای پنجره قرار دارد، همه بسته های موجود در فایل ضبط فعال را نشان می دهد. هر بسته دارای ردیف خاص خود و شماره مربوطه به آن اختصاص داده شده است، همراه با هر یک از این نقاط داده:

• No: این قسمت نشان می دهد که کدام بسته ها بخشی از یک مکالمه هستند. تا زمانی که یک بسته را انتخاب نکنید، خالی می ماند.
• Time: مهر زمانی زمانی که بسته گرفته شد در این ستون نمایش داده می شود. قالب پیش‌فرض تعداد ثانیه‌ها یا ثانیه‌های جزئی از اولین بار ایجاد این فایل ضبط خاص است.
• منبع: این ستون حاوی آدرس (IP یا موارد دیگر) است که بسته از آنجا شروع شده است.
• مقصد: این ستون حاوی آدرسی است که بسته به آن ارسال می شود.
• Protocol: نام پروتکل بسته، مانند TCP، را می توان در این ستون یافت.
• طول: طول بسته، بر حسب بایت، در این ستون نمایش داده می شود.
• اطلاعات: جزئیات بیشتر در مورد بسته در اینجا ارائه شده است. محتویات این ستون بسته به محتویات بسته می تواند بسیار متفاوت باشد.

برای تغییر قالب زمان به چیزی مفیدتر (مانند زمان واقعی روز)، View > Time Display Format را انتخاب کنید.

هنگامی که بسته ای در صفحه بالا انتخاب می شود، ممکن است متوجه شوید که یک یا چند علامت در ستون No. ظاهر می شود. براکت های باز یا بسته و یک خط افقی مستقیم نشان می دهد که آیا یک بسته یا گروهی از بسته ها بخشی از همان مکالمه رفت و برگشتی در شبکه هستند یا خیر.یک خط افقی شکسته نشان می دهد که یک بسته بخشی از مکالمه نیست.

جزئیات بسته

پنجره جزئیات، که در وسط یافت می شود، پروتکل ها و فیلدهای پروتکل بسته انتخابی را در قالبی جمع شونده ارائه می دهد. علاوه بر گسترش هر انتخاب، می‌توانید فیلترهای Wireshark جداگانه را بر اساس جزئیات خاص اعمال کنید و با کلیک راست بر روی مورد مورد نظر، جریان‌های داده را بر اساس نوع پروتکل دنبال کنید.

Packet Bytes

در پایین صفحه بایت های بسته قرار دارد که داده های خام بسته انتخاب شده را در نمای هگزا دسیمال نمایش می دهد. این تخلیه هگز حاوی 16 بایت هگزا دسیمال و 16 بایت اسکی در کنار افست داده است.

انتخاب یک بخش خاص از این داده به طور خودکار بخش مربوطه آن را در قسمت جزئیات بسته برجسته می کند و بالعکس. هر بایتی که قابل چاپ نیست با نقطه نشان داده می شود.

برای نمایش این داده ها در قالب بیت بر خلاف هگزادسیمال، در هر نقطه از پنجره کلیک راست کرده و به عنوان بیت را انتخاب کنید.

نحوه استفاده از فیلترهای Wireshark

فیلترهای Capture به Wireshark دستور می دهند فقط بسته هایی را ضبط کند که معیارهای مشخص شده را برآورده می کنند. همچنین می‌توان فیلترها را روی فایل ضبطی که ایجاد شده است اعمال کرد تا فقط بسته‌های خاصی نشان داده شوند. اینها به عنوان فیلترهای نمایش نامیده می شوند.

Wireshark تعداد زیادی فیلتر از پیش تعریف شده را به طور پیش فرض فراهم می کند. برای استفاده از یکی از این فیلترهای موجود، نام آن را در قسمت ورودی Apply a display filter واقع در زیر نوار ابزار Wireshark یا در Enter a capture filter وارد کنید.فیلد واقع در مرکز صفحه خوش آمدگویی.

برای مثال، اگر می خواهید بسته های TCP را نمایش دهید، tcp را تایپ کنید. ویژگی تکمیل خودکار Wireshark نام‌های پیشنهادی را با شروع تایپ نشان می‌دهد و پیدا کردن نام صحیح فیلتر مورد نظر را آسان‌تر می‌کند.

روش دیگری برای انتخاب فیلتر این است که نشانک را در سمت چپ فیلد ورودی انتخاب کنید. Manage Filter Expressions یا Manage Display Filters را برای افزودن، حذف یا ویرایش فیلترها انتخاب کنید.

همچنین می توانید با انتخاب فلش رو به پایین در سمت راست فیلد ورودی به فیلترهای استفاده شده قبلی دسترسی پیدا کنید تا لیست کشویی تاریخچه نمایش داده شود.

فیلترهای ضبط به محض شروع ضبط ترافیک شبکه اعمال می شوند. برای اعمال فیلتر نمایش، فلش سمت راست را در سمت راست فیلد ورودی انتخاب کنید.

قوانین رنگ Wireshark

در حالی که فیلترهای ضبط و نمایش Wireshark بسته هایی را که ضبط یا نمایش داده می شوند محدود می کند، عملکرد رنگ آمیزی آن همه چیز را یک قدم جلوتر می برد: می تواند بین انواع بسته ها بر اساس رنگ فردی آنها تمایز قائل شود.این به سرعت بسته های خاصی را در یک مجموعه ذخیره شده با رنگ ردیف آنها در صفحه لیست بسته ها قرار می دهد.

Wireshark دارای حدود 20 قانون رنگ آمیزی پیش فرض است که هر کدام را می توان ویرایش، غیرفعال یا حذف کرد. View > قوانین رنگ‌آمیزی را انتخاب کنید تا یک نمای کلی از معنای هر رنگ داشته باشید. همچنین می‌توانید فیلترهای مبتنی بر رنگ خود را اضافه کنید.

View > Colorize Packet List را برای روشن و خاموش کردن رنگ‌بندی بسته‌ها انتخاب کنید.

آمار در Wireshark

سایر معیارهای مفید از طریق منوی کشویی Statistics در دسترس هستند. اینها شامل اطلاعات اندازه و زمان در مورد فایل ضبط، همراه با ده ها نمودار و نمودار در موضوعات مختلف از تجزیه مکالمه بسته تا توزیع بار درخواست های HTTP است.

فیلترهای نمایش را می توان از طریق رابط هایشان برای بسیاری از این آمارها اعمال کرد و نتایج را می توان به فرمت های فایل رایج، از جمله CSV، XML، و TXT صادر کرد.

ویرشارک پیشرفته

Wireshark همچنین از ویژگی‌های پیشرفته، از جمله توانایی نوشتن جداکننده‌های پروتکل در زبان برنامه‌نویسی Lua پشتیبانی می‌کند.