Wireshark: The Basics - part (2)

[H4x0r]

السلام عليكم ورحمة الله وبركاته

تكملة للمقال الأول في Wireshark في هذا المقال رح نتكلم عن تفاصيل ممكن تكون مخفية نوعًا ما، رح تفيدك و تريحك أثناء التحليل و رح تفرق معك

بسم الله نبدأ...

هون في عظمة لو عرفت تستخدمهم صح رح تريحك أثناء التحليل:

خلونا نبلش :​

Statistics​

توفر هذه القائمة خيارات إحصائية متعددة جاهزة للتحقيق المساعدة المستخدمين على رؤية الصورة الكبيرة فيما يتعلق traffic والبروتوكولات المتاحة ونقاط النهاية والمحادثات. وبعض التفاصيل الخاصة بالبروتوكول مثل DHCP وDNS وHTTP/2. بالنسبة للمحلل الأمني من المهم معرفة كيفية الإستفادة من المعلومات الثابتة والذي سيساعد المحللين على إنشاء فرضية للتحقيق ( لما نمشي لقدام رح تتوضح الأمور .)

خلونا نشوف شو محتويات Statistics :

يلا نبلششش >>>>​

Resolved Addresses​

هون رح يعرضلك و يساعدك على تحديد عناوين IP وأسماء DNS المتوفرة في ملف الالتقاط من خلال توفير قائمة بالعناوين التي تم التقاطها وأسماء مضيفيها

لاحظ أن معلومات اسم المضيف مأخوذة من إجابات DNS في ملف الالتقاط. يمكن للمحللين التعرف بسرعة على المعلومات بدون البحث بكل حزمة خلينا نشوف كيف رح تعرض

جرب الآن أنت فوت سجل الـ traffic و فوت موقع كورة مثلًا وافتح على Resolved Addresses و حط على host رح يطلعلك .​

Protocol Hierarchy​

يقوم هذا الخيار بتقسيم جميع البروتوكولات المتاحة من ملف الالتقاط ويساعد المحللين على عرض البروتوكولات في عرض هرمي بناء على استخدام البروتوكل بنسبة مئوية. وبالتالي يمكن للمحللين عرض الاستخدام الاكثر والتركيز على الحدث الاهم " يعني بل مختصر هو بحكيلك شو البروتوكل الي تم استخدامها و بعطيك نسبة الاستخدا بحيث لو انتا بتعمل تحليل هاي المعلومة رح تفرق معك خلينا نشوف كيف "

الآن رح أحاول أشرحلك الفائدة بكل بساطة بصورة هو رح يكون من تحدي ctf بسيط, إن شاء المعلومة توصل :
هو المثال بسيط بس يمثل فائدة معرفة البروتوكلات و النسبة الاستخدام .

​

Conversation​

تمثل Conversation حركة traffic بين نقطتي نهاية محددتين. يوفر هذا الخيار قائمة المحادثات بخمسة تنسيقات أساسية؛ إيثرنت، IPv4، IPv6، TCP وUDP. وبالتالي يمكن للمحللين تحديد جميع المحادثات ونقاط نهاية الاتصال

يعني المختصر : رح يعطيك تفاصيل الاتصال يلي صار كم pacet مثلا جهاز A بعت لجاهز B و كم الحجم و مدى الاتصال و هاي التفاصيل هون ممكن تستفيد تعرف اكثر جهاز ارسل او اكثر جهاز كانت حركته غريبة في الشبكة .

​

Endpoints​

تعال معي عند الخيار الجميل هذا بعمل نفس وظيفة Conversation بس في شغلة زيادة هو في شغلتين مش بس شغلة.

الشغلة الأولى هذا الفرق الاول :

و الفرق الثاني الجميل :

ايوا بتقدر تعرف البلد و المدينة و الشركة و معلومات اضافية عن ip يلي بالشبكة .

الفرق صار واضح والاستخدام أظن.
​

IPv4 and IPv6​

قدمت جميع الخيارات التي تعرفنا عليها سابقا تقريبًا معلومات تحتوي على كلا الإصدارين من عناوين IP تحتوي قائمة الإحصائيات على خيارين لتضييق نطاق الإحصائيات الخاصة بالحزم التي تحتوي على إصدار IP محدد. وبالتالي يمكن للمحللين تحديد وإدراج جميع الأحداث المرتبطة بإصدارات IP محددة في نافذة واحدة واستخدامها للحدث محل الاهتمام

​

DNS​

يقوم هذا الخيار بتقسيم جميع حزم DNS من ملف الالتقاط ويساعد المحللين على عرض النتائج في عرض شجري استنادًا إلى عدادات الحزم والنسب المئوية لبروتوكول DNS. وبالتالي يمكن للمحللين عرض الاستخدام الإجمالي لخدمة DNS، بما في ذلك rcode, opcode, class, query type, service and query stats

​

HTTP​

هذا الخيار بتقسيم كافة حزم HTTP من ملف الالتقاط ويساعد المحللين على عرض النتائج في عرض شجرة استنادًا إلى عدادات الحزم والنسب المئوية لبروتوكول HTTP. وبالتالي يمكن للمحللين عرض الاستخدام الإجمالي لخدمة HTTP، بما في ذلك equest and response codes and the original requests

يمكنك الإطلاع على الدرس الأول من هذه السلسلة من خلال الرابط التالي: Wireshark: The Basics - part (1)​