تا %60 تخفیف خرید برای 4 نفر با صدور مدرک فقط تا
00 00 00
در توسینسو تدریس کنید

آموزش کالی لینوکس قسمت 7 : معرفی ابزار وایرشارک (Wireshark)

در ادامه سری اموزش های تست نفوذ با لینوکس کالی، به معرفی ابزار معروف و کاربردی Wireshark رسیدیم. در این مقاله سعی خواهیم نمود تا ضمن اشنایی شما با این ابزار، در رابطه با کارکرد آن نیز صحبت نماییم.به عنوان یک متخصص امنیت، لازم است بدانید که شنود ترافیک های شبکه به چه اندازه در وظایف روزمره، حیاتی است. اگر بخواهید که مفهوم پروتکل را بدانید، مشکل یک کلاینت شبکه را برطرف کنید یا اینکه ترافیک را تحلیل نمایید، در نهایت سروکارتان به یک ابزار شنود کننده شبکه خواهد افتاد.

Wireshark چیست؟

وایرشارک برای ضبط و جذب بسته های ترافیک در شبکه، از کتابخانه های Libpcap در لینوکس و Winpcap در ویندوز استفاده میکند. اگر کاربر در یک نشست (session) وایرشارک، هرگونه فیلتری را بر روی آن نشست اعمال کند، بسته های فیلتر شده کاهش یافته و فقط داده های مرتبط از موتور کپچر عبور خواهند نمود. موتور کپچر بسته های ورودی را کالبد شکافی کرده و پس از تحلیل آن ها، قبل از آن که خروجی را به کاربر نشان دهد، هرگونه فیلتر اضافی را در نمایش خروجی اعمال خواهد کرد. نکته ای که در کاربرد اسنیفرهای شبکه ای مانند وایرشارک وجود دارد اینست که میتوان با استفاده از فیلترهای نمایشی و کپچر تمام اطلاعاتی که مورد توجه شما نیستند را پاک نمایید.

وب سایت توسینسو
وب سایت توسینسو

درک کردن دامپ های شبکه

قبل از شروع بحث لازم است این نکته را اضافه کنم که یک فایل دامپ، فایلی است که از فرآیندهای سیستم لاگ برداری میکند. در ادامه میخواهیم بطور نمونه دامپ های pcap که نتیجه تلاش برای جستجوی وب سایت www.yahoo.com است، را مشاهده کرده و سعی کنیم که آن ها را درک نماییم. در زیر نمونه ای از پکت های کپچر شده وب سایت یاهو را میبینیم:

وب سایت توسینسو
  • پکت1: پروتکل ARP بصورت broadcast بدنبال Default gateway میگردد.
  • پکت2: پروتکل ARP بصورت unicast آدرس MAC متعلق به default gateway را پاسخ میدهد.
  • پکت3: DNS در قالب یک A record (IPv4) درخواست جستجو برای yahoo.com را فوروارد میکند.
  • پکت4: DNS در قالب یک AAAA record (IPv6) درخواست جستجو را فوروارد میکند.
  • پکت5: پاسخ A record فوروارد شده از طرف DNS دریافت میشود.
  • پکت6: پاسخ AAAA record فوروارد شده از طرف DNS دریافت میشود.
  • پکت 7 تا9: انجام فرآیند 3-way handshake بر روی پورت 80 با yahoo.com.
  • پکت10: آغاز مذاکرات پروتکلی بر روی پروتکل HTTP. درخواست GET ارسال میشود.

کپچر و نمایش فیلترها

دامپ های کپچرشده تقریبا به همان واضحی هستند که در مثال بالا توضیح داده شد و معمولا شامل مقدار زیادی ترافیک در شبکه هستند. Broadcast های مختلف، سرویس های گوناگون شبکه و دیگر اپلیکیشن های در حال اجرا همه و همه زمانی که پای تحلیل و آنالیزشان به میان برسد، کار را به مراتب سخت تر میکنند. این موضوع زمانی قابل تحمل تر میشود که فیلترهای موجود در کپچر ترافیک بکمک ما میآیند. آن ها میتوانند بخشی از ترافیکی را که مورد توجه ما نیستند، فیلتر کنند. این فیلترها بصورت خاصی دقیقا به همان چیزی اشاره میکنند که ما قصد دیدن و تحلیل آن ها را داریم.

وب سایت توسینسو

هنگامی که ترافیک کپچر شد، میتوانیم ترافیکی را که میخواهیم وایرشارک بما مشان دهد را با استفاده از فیلترهای نمایش انتخاب کنیم. تصویر زیر نمایشی از فیلتر "arp" که بر روی نشست جستجو شده yahoo.com اعمال شده است را نشان میدهد:

وب سایت توسینسو

دنبال کردن جریان‌های TCP

همانطور که ممکن است قبلا خودتان به این موضوع رسیده باشید، تحلیل و درک پکت ها بعد از دهمین لاگ کمی پیچیده تر و سخت تر خواهد بود؛ چرا که آن ها صرفا شامل اطلاعات فرگمنت ( قطعه قطعه) شده خواهند بود. اکثر اسنیفرهای پیشرفته که وایرشارک یکی از آن ها میباشد، میدانند که چطور یک نشست خاص را سرهم بندی (reassemble) کنند و آن را بصورت فرمت های مختلف نشان دهند. جهت مشاهده یک جریان خاص TCP، روی پکتی که مورد نظرمان است کلیک راست کرده و سپس گزینه "Follow TCP Stream" را از منوی موجود انتخاب نمایید. جریان TCP در یک پنجره جدید همانطور که در شکل زیر نشان داده شده است، باز خواهد شد.

وب سایت توسینسو

خوب دوستان در این مقاله بصورت خیلی ساده توانستیم علاوه بر آشنایی با ابزار wireshark، با نوع کارکرد آن نیز اشنا شویم. در مقاله بعدی بیشتر در مورد TCP Dump صحبت خواهیم نمود تا قطعات پازل علم امنیت شما کم کم تکمیل گردد.

سربلند و مانا باشید.

نویسنده: احسان امجدی

منبع: انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

نظر شما
برای ارسال نظر باید وارد شوید.
3 نظر
افرادی که این مطلب را خواندند مطالب زیر را هم خوانده اند