H4x0r
./ عضو
بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته
ما هي أداة Wireshark؟
هي أداة مجانية ومفتوحة المصدر لتحليل حركة الشبكة والتي تسمح للمستخدم بالتقاط وفحص حركة الشبكة في الوقت الحقيقي.
يمكن استخدام Wireshark لتحليل حركة الشبكة من أجل اكتشاف المشاكل في الشبكة ومعرفة أسبابها، وللتحقق من أن الاتصالات الشبكية تتم بشكل آمن ومشفر، وأيضاً لمراقبة الأنشطة على الشبكة بشكل عام.
تعد Wireshark واحدة من أقوى أدوات تحليل حركة المرور المتاحة في العالم. هناك أغراض متعددة لاستخدامه:
1- اكتشاف مشكلات الشبكة واستكشاف الأخطاء وإصلاحها، مثل :
network load failure points and congestion
2- اكتشاف العيوب الأمنية، مثل :
rogue hosts, abnormal port usage, and suspicious traffic
3- التحقيق :
response codes and payload data
السلام عليكم ورحمة الله وبركاته
ما هي أداة Wireshark؟
هي أداة مجانية ومفتوحة المصدر لتحليل حركة الشبكة والتي تسمح للمستخدم بالتقاط وفحص حركة الشبكة في الوقت الحقيقي.
يمكن استخدام Wireshark لتحليل حركة الشبكة من أجل اكتشاف المشاكل في الشبكة ومعرفة أسبابها، وللتحقق من أن الاتصالات الشبكية تتم بشكل آمن ومشفر، وأيضاً لمراقبة الأنشطة على الشبكة بشكل عام.
تعد Wireshark واحدة من أقوى أدوات تحليل حركة المرور المتاحة في العالم. هناك أغراض متعددة لاستخدامه:
1- اكتشاف مشكلات الشبكة واستكشاف الأخطاء وإصلاحها، مثل :
network load failure points and congestion
2- اكتشاف العيوب الأمنية، مثل :
rogue hosts, abnormal port usage, and suspicious traffic
3- التحقيق :
response codes and payload data
ملاحظة: Wireshark ليس نظامًا لكشف التسلل (IDS). فهو يسمح فقط للمحللين باكتشاف الحزم والتحقيق فيها بعمق. كما أنه لا يقوم بتعديل الحزم .
الصورة أدناه توضح نافذة Wireshark الرئيسية:
جدول يوضع الأجزاء المحددة بصورة :
خلونا نفتح ملف Pcap و نتعرف على الواجهة الخاصة , الآن رح أحط خطوات فتح ملف في Wireshark :
الآن فتحنا الملف نشوف مع بعض الواجهة :
الآن يمكننا رؤية اسم الملف الذي تم فتحه و معالجته والعدد للحزم وتفاصيل الحزمة يتم عرض تفاصيل الحزمة في ثلاثة أجزاء مختلفة، مما يسمح لنا باكتشافها بتنسيقات مختلفة :
الآن فتحنا الملف نشوف مع بعض الواجهة :
الآن يمكننا رؤية اسم الملف الذي تم فتحه و معالجته والعدد للحزم وتفاصيل الحزمة يتم عرض تفاصيل الحزمة في ثلاثة أجزاء مختلفة، مما يسمح لنا باكتشافها بتنسيقات مختلفة :
إذا تلاحظ عند packet list في packet ملونة أخضر وأزرق فاتح ولو تفتح ملف مختلف رح تلاقي ألوان ثانية ليش ؟
تقوم Wireshark بتلوين الحزم حسب الظروف المختلفة والبروتوكول لاكتشاف الحالات الخطاء والبروتوكولات في اللقطات بسرعة (وهذا ما يفسر سبب تحول كل شيء تقريبًا إلى اللون الأخضر في لقطات الشاشة المقدمة). يمكن أن تساعد هذه النظرة السريعة على معلومات الحزمة في تتبع ما تبحث عنه بالضبط أثناء التحليل
تمام شفنا كيف ممكن نفتح ملف PCAP لي حركة مسجلة, الآن بدي أنا أعرض حركة الشبكة الموجودة عندي وأسجلها :
صورة عند التشغيل أوضح.
صورة عند التشغيل أوضح.
معرفة تفاصيل الملف مفيدة خاصة عند العمل مع ملفات pcap متعددة ستحتاج أحيانًا إلى معرفة تفاصيل الملف واسترجاعها (تجزئة الملف ووقت الالتقاط وتعليقات الملف والواجهة والإحصائيات) لتحديد الملف وتصنيفه وتحديد أولوياته. يمكنك عرض التفاصيل باتباع :
"Statistics → Capture File Properties"
وهيك بتشوف كل تفاصيل ملف PCAP -->
"Statistics → Capture File Properties"
وهيك بتشوف كل تفاصيل ملف PCAP -->
لما نختار حزمة من القائمة و نضغط عليها رح يعطيني معلومات و تفاصيل زي ما أنت شفت بالصورة, مكان المعلومات محطوط بمربع بلون الأحمر هاي المتفاصيل مقسمة على طبقات و كل طبقة لها تفاصيلها و هذه الطبقات تحاكي نظام OSI layers و هي متغيرة حسب كل حزمة. رح نتعرف على كل طبقة منهم خلونا نبدأ :
يمكننا أن نرى سبع طبقات متميزة للحزمة :
frame/packet, source [MAC], source [IP], protocol, protocol errors, application protocol, and application data
The Frame (Layer 1) : This will show you what frame/packet you are looking at and details specific to the Physical layer of the OSI model.
Ethernet II
Source [MAC] (Layer 2): This will show you the source and destination MAC Addresses; from the Data Link layer of the OSI mode
خلونا نشوف شو محتواه عن طريق صورة :
هو بتلاقي فيه Destination (MAC) و source (MAC) و Type >
3- IPv4
Source [IP] (Layer 3): This will show you the source and destination IPv4 Addresses; from the Network layer of the OSI model.
خلونا نشوف صورة و نشوف كيف تقسيمات .
شرح التفاصيل الموجودة ممكن يكون في مقال منفصل زي مثل ID و TTL و Header Checksum . احنا حاليًا نتعرف على أجزاء ونفهم ال Wireshark.
4- Tcp
Protocol (Layer 4): This will show you details of the protocol used (UDP/TCP) and source and destination ports; from the Transport layer of the OSI model.
Application Protocol (Layer 5): This will show details specific to the protocol used, such as HTTP, FTP, and SMB. From the Application layer of the OSI model.
خلصنا من Packet Details الآن نروح للـ Packet Numbers
تقوم Wireshark بحساب عدد الحزم التي تم فحصها وتعيين رقم فريد لكل حزمة. يساعد هذا في عملية تحليل اللقطات الكبيرة ويسهل الرجوع إلى نقطة معينة من الحدث.
Go to Packet
لو بدي اتبع حزمة معينة بقدر أبحث عن رقم الحزمة هيك :
وبغض النظر عن رقم الحزمة يمكن لـ Wireshark العثور على الحزم حسب محتوى الحزمة يمكنك استخدام القائمة
Go to Packet
لو بدي اتبع حزمة معينة بقدر أبحث عن رقم الحزمة هيك :
وبغض النظر عن رقم الحزمة يمكن لـ Wireshark العثور على الحزم حسب محتوى الحزمة يمكنك استخدام القائمة
اتبع الخطوات يلي بصورة لإجراء بحث داخل الحزم عن حدث معين محل اهتمام يساعد ذلك المحللين والمسؤولين في العثور على أنماط اختراق أو حدث محددة أو فشل أو تنزيل أو … إلخ
هناك نقطتان حاسمتان في العثور على الحزم:1- معرفة نوع الإدخال: تقبل هذه الوظيفة أربعة أنواع من المدخلات (Display filter, Hex, String and Regex)
2- اختيار مجال البحث: يمكنك إجراء عمليات بحث في الأجزاء الثلاثة (packet list, packet details, and packet bytes) يلي حكينا عنهم فوق، ومن المهم معرفة المعلومات المتوفرة في كل جزء للعثور على الحدث يلي انت بتبحث فيه .
على سبيل المثال، إذا حاولت العثور على المعلومات المتوفرة في جزء packet details وإجراء البحث في جزء packet list فتتمكن Wireshark من العثور عليها حتى لو كانت موجودة .
بتقدر تضيف تعليق على حزمة محددة بتساعدك على التذكير أو تحديد شيء معين. يعني مثلًا إذا أنت شكيت بحزمة ممكن تحط عليها تعليق و عشان بس ترجع تتذكر .
ممكن تحتوي ملفات الالتقاط على آلاف الحزم في ملف واحد فإن Wireshark ليس IDS , لذلك في بعض الأحيان يكون من الضروري فصل حزم معينة عن الملف والتعمق أكثر لحل أو تحليل منفصل لحزم معينة مشبوهة .
بإمكان Wireshark استخراج الملفات المنقولة بالنسبة للمحلل في التحقيق أو التتبع من الضروري اكتشاف الملفات المشتركة وحفظها لمزيد من التحقيق. يعني في صورة أو ملف لازم أحقق فيه تصدير الكائنات متاح فقط البروتوكول المحدد (DICOM وHTTP وIMF وSMB وTFTP).
يقوم Wireshark بعرض الحزم كما تم التقاطها لذا فإن التحقق من التدفق الافتراضي ليس الأفضل دائماً افتراضيًا يعرض Wireshark الوقت في “الثواني منذ بداية الالتقاط”، والاستخدام الشائع هو استخدام تنسيق عرض الوقت UTC للحصول على عرض أفضل خطوات تغير عرض الوقت .
تمتلك Wireshark محرك تصفية قويًا يساعد المحللين على تضييق نطاق traffic والتركيز على الأحداث المهمة.
لدى Wireshark نوعان من أساليب التصفية:capturing : يتم استخدام capturing فقط للحزم الصالحة للمرشح المستخدم.
viewing: تُستخدم عوامل تصفية العرض “viewing” الحزم الصالحة للمرشح المستخدم
رح نحكي عن الموضوع في مقالات القادمة زي ما حكينا بهذا المقال بنتعرف على Wireshark و شو بقدر أعمل فيه .
طيب بدي اعمل بحث أو تصفية يعني عندي ip هو المرسل أو src بدي أشوف كل الحزم يلي هذا ال ip كان هو src فيها عشان أحللهم ممكن أعمل التصفية بأكثر من طريقة ممكن أكتبه كتابة وممكن أعمله مثل هيك .
هسا رح يعرض فقط الحزم يلي كان فيها هذا ip src يعني أنا ضيقت نطاق الحزم عشان لما بدي أحلل يكون سلس .
تمام هسا فوق بل Apply as Filter لما اخترت التصفية حسب ip src رح يعطيني كل الحزم يلي كان فيها هذا ال ip src بدون ما يهتم بالبروتوكول أو إذا كانت الحزم مرتبطة ببعض طيب لو فرضنا بدنا نعمل تصفية لهذا ال ip src بس على تحديد شوي. يعني بدي أحدد إنه أي الحزمة مكونة من 2 ip بدي يعرضلي فقط الحزم يلي صار اتصال بين هذول ال2 ip و port معين شوف الصورة رح توضح الأمور:
افتراضيًا، يوفر جزء قائمة الحزم معلومات أساسية حول كل حزمة تمام بدي أضيف عمود جديد ممكن يساعدني بتحليل و حسب ظروف التحليل. يعني بدي أضيف عمود Type عشان اشوف type كل الحزم ممكن يفرق معي ممكن مثلًا أضيف عمود يظهرلي domain عشان أشوف domain الحزم و …الخ .
خلينا نشوف كيف ممكن نضيف عامود موجود بتفاصيل الحزم (Packet Details).
ورح نحكي لقدام كيف بدي أضيف حسب الحاجة .
إن أحسنت فمن الله و إن اسأت فمن نفسي و الشيطان
المرفقات
التعديل الأخير بواسطة المشرف:
