ما يجب معرفته
- Wireshark هو تطبيق مفتوح المصدر يلتقط ويعرض البيانات التي تنتقل ذهابًا وإيابًا على الشبكة.
- نظرًا لأنه يمكنه التنقل لأسفل وقراءة محتويات كل حزمة ، يتم استخدامه لاستكشاف مشكلات الشبكة وإصلاحها واختبار البرامج.
تنطبق الإرشادات الواردة في هذه المقالة على Wireshark 3.0.3 لنظامي التشغيل Windows و Mac.
الخط السفلي
المعروف في الأصل باسم Ethereal ، يعرض Wireshark البيانات من مئات البروتوكولات المختلفة على جميع أنواع الشبكات الرئيسية. يمكن عرض حزم البيانات في الوقت الفعلي أو تحليلها في وضع عدم الاتصال.يدعم Wireshark العشرات من تنسيقات ملفات الالتقاط / التتبع ، بما في ذلك CAP و ERF. تعرض أدوات فك التشفير المتكاملة الحزم المشفرة للعديد من البروتوكولات الشائعة ، بما في ذلك WEP و WPA / WPA2.
كيفية تنزيل Wireshark وتثبيته
يمكن تنزيل Wireshark مجانًا من موقع Wireshark Foundation على الويب لكل من macOS و Windows. سترى أحدث إصدار مستقر والإصدار التطويري الحالي. ما لم تكن مستخدمًا متقدمًا ، قم بتنزيل الإصدار الثابت.
أثناء عملية إعداد Windows ، اختر تثبيت WinPcap أو Npcapإذا طُلب منك ذلك لأن هذه تتضمن المكتبات المطلوبة لالتقاط البيانات الحية.
يجب تسجيل الدخول إلى الجهاز كمسؤول لاستخدام Wireshark. في Windows 10 ، ابحث عن Wireshark وحدد Run as administrator في macOS ، انقر بزر الماوس الأيمن فوق رمز التطبيق وحدد Get Info في إعدادات المشاركة والأذونات ، امنح المشرف امتيازات قراءة وكتابة.
التطبيق متاح أيضًا لنظام التشغيل Linux والأنظمة الأساسية الأخرى الشبيهة بـ UNIX بما في ذلك Red Hat و Solaris و FreeBSD. يمكن العثور على الثنائيات المطلوبة لأنظمة التشغيل هذه في أسفل صفحة تنزيل Wireshark ضمن قسم Third-Party Packages. يمكنك أيضًا تنزيل الكود المصدري لـ Wireshark من هذه الصفحة.
كيفية التقاط حزم البيانات باستخدام Wireshark
عند تشغيل Wireshark ، تسرد شاشة الترحيب اتصالات الشبكة المتاحة على جهازك الحالي. يُعرض على يمين كل منها رسم بياني خطي بنمط مخطط كهربية القلب يمثل حركة المرور المباشرة على تلك الشبكة.
لبدء التقاط الحزم باستخدام Wireshark:
-
حدد واحدة أو أكثر من الشبكات ، وانتقل إلى شريط القائمة ، ثم حدد Capture.
لتحديد شبكات متعددة ، اضغط مع الاستمرار على مفتاح Shiftأثناء التحديد.
Image -
في نافذة Wireshark Capture Interfaces ، حدد Start.
هناك طرق أخرى لبدء التقاط الحزم. حدد زعنفة القرش على الجانب الأيسر من شريط أدوات Wireshark ، اضغط على Ctrl + E، أو انقر نقرًا مزدوجًا فوق الشبكة.
Image -
حدد ملف> حفظ باسم أو اختر خيار تصديرلتسجيل الالتقاط.
Image -
لإيقاف الالتقاط ، اضغط على Ctrl + E. أو انتقل إلى شريط أدوات Wireshark وحدد الزر الأحمر Stopالموجود بجوار زعنفة القرش.
Image
كيفية عرض وتحليل محتويات الحزمة
تحتوي واجهة البيانات الملتقطة على ثلاثة أقسام رئيسية:
- جزء قائمة الحزم (القسم العلوي)
- جزء تفاصيل الحزمة (القسم الأوسط)
- جزء بايت الحزمة (القسم السفلي)
قائمة الحزم
يعرض جزء قائمة الحزم ، الموجود أعلى النافذة ، جميع الحزم الموجودة في ملف الالتقاط النشط. كل حزمة لها صفها الخاص والرقم المقابل المخصص لها ، جنبًا إلى جنب مع كل من نقاط البيانات هذه:
- لا: يشير هذا الحقل إلى الحزم التي هي جزء من نفس المحادثة. يبقى فارغًا حتى تحدد حزمة.
- الوقت:يتم عرض الطابع الزمني لوقت التقاط الحزمة في هذا العمود. التنسيق الافتراضي هو عدد الثواني أو الثواني الجزئية منذ إنشاء ملف الالتقاط المحدد هذا لأول مرة.
- المصدر:يحتوي هذا العمود على العنوان (IP أو غيره) حيث نشأت الحزمة.
- الوجهة:يحتوي هذا العمود على العنوان الذي يتم إرسال الحزمة إليه.
- Protocol:يمكن العثور على اسم بروتوكول الحزمة ، مثل TCP ، في هذا العمود.
- الطول:طول الحزمة ، بالبايت ، معروض في هذا العمود.
- معلومات:تفاصيل إضافية حول الحزمة مقدمة هنا. يمكن أن تختلف محتويات هذا العمود بشكل كبير اعتمادًا على محتويات الحزمة.
لتغيير تنسيق الوقت إلى شيء أكثر فائدة (مثل الوقت الفعلي من اليوم) ، حدد View> تنسيق عرض الوقت
عند تحديد حزمة في الجزء العلوي ، قد تلاحظ ظهور رمز واحد أو أكثر في العمود No.. تشير الأقواس المفتوحة أو المغلقة والخط الأفقي المستقيم إلى ما إذا كانت الحزمة أو مجموعة الحزم جزءًا من نفس المحادثة ذهابًا وإيابًا على الشبكة.يشير الخط الأفقي المكسور إلى أن الحزمة ليست جزءًا من المحادثة.
تفاصيل الحزمة
يعرض جزء التفاصيل ، الموجود في الوسط ، البروتوكولات وحقول البروتوكول للحزمة المحددة بتنسيق قابل للطي. بالإضافة إلى توسيع كل تحديد ، يمكنك تطبيق مرشحات Wireshark الفردية بناءً على تفاصيل محددة ومتابعة تدفقات البيانات بناءً على نوع البروتوكول بالنقر بزر الماوس الأيمن فوق العنصر المطلوب.
حزمة بايت
يوجد في الجزء السفلي جزء بايتات الحزمة ، والذي يعرض البيانات الأولية للحزمة المحددة في عرض سداسي عشري. يحتوي هذا التفريغ السداسي على 16 بايت ست عشري و 16 بايت ASCII جنبًا إلى جنب مع إزاحة البيانات.
تحديد جزء معين من هذه البيانات يبرز تلقائيًا القسم المقابل في جزء تفاصيل الحزمة والعكس صحيح. يتم تمثيل أي بايت لا يمكن طباعته بنقطة.
لعرض هذه البيانات بتنسيق بت بدلاً من السداسي العشري ، انقر بزر الماوس الأيمن في أي مكان داخل الجزء وحدد على هيئة بت.
كيفية استخدام مرشحات Wireshark
مرشحات الالتقاط ترشد Wireshark إلى تسجيل الحزم التي تفي بالمعايير المحددة فقط. يمكن أيضًا تطبيق المرشحات على ملف الالتقاط الذي تم إنشاؤه بحيث تظهر حزم معينة فقط. يشار إليها باسم مرشحات العرض.
يوفر Wireshark عددًا كبيرًا من المرشحات المحددة مسبقًا افتراضيًا. لاستخدام أحد هذه المرشحات الحالية ، أدخل اسمه في تطبيق مرشح العرض حقل الإدخال الموجود أسفل شريط أدوات Wireshark أو في أدخل مرشح الالتقاطحقل يقع في وسط شاشة الترحيب.
على سبيل المثال ، إذا كنت تريد عرض حزم TCP ، فاكتب tcp. تعرض ميزة الإكمال التلقائي لـ Wireshark الأسماء المقترحة أثناء بدء الكتابة ، مما يسهل العثور على اللقب الصحيح للمرشح الذي تبحث عنه.
طريقة أخرى لاختيار مرشح وهي تحديد إشارة مرجعية على الجانب الأيسر من حقل الإدخال. اختر إدارة تعبيرات عامل التصفية أو إدارة مرشحات العرضلإضافة عوامل تصفية أو إزالتها أو تحريرها.
يمكنك أيضًا الوصول إلى المرشحات المستخدمة سابقًا عن طريق تحديد السهم لأسفل على الجانب الأيمن من حقل الإدخال لعرض قائمة منسدلة للتاريخ.
يتم تطبيق فلاتر الالتقاط بمجرد أن تبدأ في تسجيل حركة مرور الشبكة. لتطبيق مرشح العرض ، حدد السهم الأيمن على الجانب الأيمن من حقل الإدخال.
قواعد لون Wireshark
بينما يحد التقاط Wireshark وعرضها لمرشحات الحزم التي يتم تسجيلها أو عرضها على الشاشة ، فإن وظيفة التلوين الخاصة بها تأخذ الأمور خطوة إلى الأمام: يمكنها التمييز بين أنواع الحزم المختلفة بناءً على تدرج لونها الفردي.يحدد هذا بسرعة موقع حزم معينة داخل مجموعة محفوظة بواسطة لون صفها في جزء قائمة الحزم.
يأتي Wireshark مع حوالي 20 قاعدة تلوين افتراضية ، يمكن تعديل كل منها أو تعطيلها أو حذفها. حدد View> قواعد التلوينللحصول على نظرة عامة حول معنى كل لون. يمكنك أيضًا إضافة عوامل التصفية الخاصة بك على أساس الألوان.
حدد عرض> تلوين قائمة الحزمللتبديل بين تشغيل وإيقاف تشغيل تلوين الحزمة.
الإحصائيات في Wireshark
تتوفر مقاييس مفيدة أخرى من خلال القائمة المنسدلة Statistics. تتضمن هذه المعلومات الحجم والتوقيت حول ملف الالتقاط ، جنبًا إلى جنب مع العشرات من المخططات والرسوم البيانية التي تتراوح في الموضوع من أعطال محادثة الحزمة إلى توزيع تحميل طلبات HTTP.
يمكن تطبيق عوامل تصفية العرض على العديد من هذه الإحصائيات عبر واجهاتها ، ويمكن تصدير النتائج إلى تنسيقات ملفات شائعة ، بما في ذلك CSV و XML و TXT.
ميزات Wireshark المتقدمة
يدعم Wireshark أيضًا الميزات المتقدمة ، بما في ذلك القدرة على كتابة منشورات البروتوكول في لغة برمجة Lua.
