در دنیای فناوری اطلاعات، ابزارهای کمی به اندازه Wireshark برای متخصصین شبکه حیاتی هستند. Wireshark یک ابزار قدرتمند تجزیه و تحلیل پروتکلهای شبکه است که به شما امکان میدهد تا ترافیک شبکه را در سطحی بسیار جزئی مشاهده و بررسی کنید. این ابزار به شما اجازه میدهد تا دادههای بستههای شبکه (Packet) را در زمان واقعی یا بهصورت آفلاین ذخیره، فیلتر، آنالیز و بررسی نمایید. این فرآیند مانند قراردادن ترافیک شبکه زیر میکروسکوپ است.
Wireshark چیست؟
Wireshark ابزاری برای تجزیه و تحلیل پروتکلهای شبکه است که بستههای داده (packets) را از طریق اتصال شبکهای، مثلاً بین رایانه شما و اینترنت، ضبط میکند. هر بسته (Packet) در شبکه اترنت، یک واحد مجزا از اطلاعات محسوب میشود.
Wireshark یکی از پرکاربردترین ابزارهای packet sniffer در جهان است. این ابزار قابلیتهای زیر را فراهم میکند:
- ضبط بستهها (Packet Capture): ضبط جریانهای زندهی ترافیک شبکه با امکان مشاهده هزاران بسته به صورت همزمان.
- فیلتر کردن (Filtering): استفاده از فیلترهای قدرتمند برای استخراج دادههای مورد نیاز.
- بصریسازی (Visualization): مشاهده محتویات داخلی بستهها، بررسی مکالمات کامل و جریانهای شبکه.
Wireshark برای چه مواردی استفاده میشود؟
- عیبیابی شبکهها: شناسایی مشکلات مربوط به کندی شبکه، افت اتصال، یا خطاهای ارتباطی.
- تحلیل امنیت شبکه: ردیابی ارتباطات مشکوک، شناسایی ترافیک رمزگذاریشده مشکوک و تحلیل حملات.
- آموزش و یادگیری: ابزاری مناسب برای درک عمیق از نحوهی عملکرد پروتکلهای TCP/IP، UDP، DHCP، ICMP و TLS.
محدودیتهای Wireshark
- به تنهایی قادر به رمزگشایی ترافیک رمزگذاریشده نیست.
- نمیتواند ترافیک سیستمهای دیگر را روی شبکه سوییچ شده (Switch) ببیند، مگر با تنظیمات خاص.
- هیچ هشدار واقعی به سبک IDS ارائه نمیدهد.
- به راحتی نمیتواند جعل IP (Spoofing) را تشخیص دهد.
موارد کاربرد متداول Wireshark
- بررسی بستههای ICMP برای یافتن مقاصد غیرقابل دسترس
- مشاهده نسخههای TLS برای ارتباطات امن وب
- شناسایی پکتهای برگشتی یا تکراری برای رفع شلوغی شبکه
- بررسی اتصالات مشکوک یا ناشناس در شبکه
نحوه نصب Wireshark
ویندوز:
- دریافت نسخه متناسب با ویندوز از www.wireshark.org
- اجرای فایل نصب با دسترسی Administrator
لینوکس (Debian-based):
sudo apt-get install wireshark
sudo dpkg-reconfigure wireshark-common
sudo usermod -a -G wireshark $USER
newgrp wireshark
wireshark &
نحوه ضبط بستهها با Wireshark
برای ضبط بستهها:
- به مسیر Capture > Options بروید.
- رابط فعال (مانند Ethernet یا Wi-Fi) را انتخاب و روی Start کلیک کنید.
- پس از اتمام، روی دکمه قرمز کلیک کنید تا ضبط متوقف شود.
معانی رنگها در Wireshark
| رنگ | نوع بسته |
|---|---|
| بنفش روشن | TCP |
| آبی روشن | UDP |
| سیاه | خطا در بسته |
| سبز روشن | HTTP |
| زرد روشن | SMB، NetBIOS |
| زرد تیره | Routing |
| خاکستری | TCP SYN, FIN, ACK |
میتوانید رنگبندیها را از مسیر View > Colorize Packet List تنظیم یا غیرفعال کنید.
فیلترگذاری در Wireshark
- برای نمایش ترافیک از IP خاص:
ip.addr == 18.224.161.65 - برای حذف ترافیک از یک IP خاص:
!(ip.src == 162.248.16.53) - برای مشاهده بستههای http:
http.request - برای بررسی پورت خاص:
tcp.port == 8080
کاربرد Wireshark در امنیت سایبری و DevOps
Wireshark بهعنوان بخشی از ابزارهای DevOps و تیمهای امنیتی، کمک میکند:
- حملات DDoS را با آنالیز حجم پکتها شناسایی کنند.
- رفتار سرویسها مانند Amazon AWS یا Box را بررسی کنند.
- تجهیزات مخفی یا ناشناخته روی شبکه را شناسایی کرده و حذف نمایند.
منبع : comptia
