در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

تست نفوذ با لینوکس کالی ::: معرفی ابزار wireshark

سلام به دوستان عزیز ITPro ای و علاقه‌مندان به مباحث امنیت شبکه. در ادامه سری اموزش های تست نفوذ با لینوکس کالی، به معرفی ابزار معروف و کاربردی Wireshark رسیدیم. در این مقاله سعی خواهیم نمود تا ضمن اشنایی شما با این ابزار، در رابطه با کارکرد آن نیز صحبت نماییم.

به عنوان یک متخصص امنیت، لازم است بدانید که شنود ترافیک های شبکه به چه اندازه در وظایف روزمره، حیاتی است. اگر بخواهید که مفهوم پروتکل را بدانید، مشکل یک کلاینت شبکه را برطرف کنید یا اینکه ترافیک را تحلیل نمایید، در نهایت سروکارتان به یک ابزار شنود کننده شبکه خواهد افتاد.

Wireshark


وایرشارک برای ضبط و جذب بسته های ترافیک در شبکه، از کتابخانه های Libpcap در لینوکس و Winpcap در ویندوز استفاده میکند. اگر کاربر در یک نشست (session) وایرشارک، هرگونه فیلتری را بر روی آن نشست اعمال کند، بسته های فیلتر شده کاهش یافته و فقط داده های مرتبط از موتور کپچر عبور خواهند نمود. موتور کپچر بسته های ورودی را کالبد شکافی کرده و پس از تحلیل آن ها، قبل از آن که خروجی را به کاربر نشان دهد، هرگونه فیلتر اضافی را در نمایش خروجی اعمال خواهد کرد. نکته ای که در کاربرد اسنیفرهای شبکه ای مانند وایرشارک وجود دارد اینست که میتوان با استفاده از فیلترهای نمایشی و کپچر تمام اطلاعاتی که مورد توجه شما نیستند را پاک نمایید.

تست نفوذ با لینوکس کالی ::: معرفی ابزار wireshark

تست نفوذ با لینوکس کالی ::: معرفی ابزار wireshark

درک کردن دامپ های شبکه


قبل از شروع بحث لازم است این نکته را اضافه کنم که یک فایل دامپ، فایلی است که از فرآیندهای سیستم لاگ برداری میکند. در ادامه میخواهیم بطور نمونه دامپ های pcap که نتیجه تلاش برای جستجوی وب سایت www.yahoo.com است، را مشاهده کرده و سعی کنیم که آن ها را درک نماییم. در زیر نمونه ای از پکت های کپچر شده وب سایت یاهو را میبینیم:

تست نفوذ با لینوکس کالی ::: معرفی ابزار wireshark

پکت1: پروتکل ARP بصورت broadcast بدنبال Default gateway میگردد.

پکت2: پروتکل ARP بصورت unicast آدرس MAC متعلق به default gateway را پاسخ میدهد.

پکت3: DNS در قالب یک A record (IPv4) درخواست جستجو برای yahoo.com را فوروارد میکند.

پکت4: DNS در قالب یک AAAA record (IPv6) درخواست جستجو را فوروارد میکند.

پکت5: پاسخ A record فوروارد شده از طرف DNS دریافت میشود.

پکت6: پاسخ AAAA record فوروارد شده از طرف DNS دریافت میشود.

پکت 7 تا9: انجام فرآیند 3-way handshake بر روی پورت 80 با yahoo.com.

پکت10: آغاز مذاکرات پروتکلی بر روی پروتکل HTTP. درخواست GET ارسال میشود.

کپچر و نمایش فیلترها


دامپ های کپچرشده تقریبا به همان واضحی هستند که در مثال بالا توضیح داده شد و معمولا شامل مقدار زیادی ترافیک در شبکه هستند. Broadcast های مختلف، سرویس های گوناگون شبکه و دیگر اپلیکیشن های در حال اجرا همه و همه زمانی که پای تحلیل و آنالیزشان به میان برسد، کار را به مراتب سخت تر میکنند. این موضوع زمانی قابل تحمل تر میشود که فیلترهای موجود در کپچر ترافیک بکمک ما میآیند. آن ها میتوانند بخشی از ترافیکی را که مورد توجه ما نیستند، فیلتر کنند. این فیلترها بصورت خاصی دقیقا به همان چیزی اشاره میکنند که ما قصد دیدن و تحلیل آن ها را داریم.

تست نفوذ با لینوکس کالی ::: معرفی ابزار wireshark

هنگامی که ترافیک کپچر شد، میتوانیم ترافیکی را که میخواهیم وایرشارک بما مشان دهد را با استفاده از فیلترهای نمایش انتخاب کنیم. تصویر زیر نمایشی از فیلتر "arp" که بر روی نشست جستجو شده yahoo.com اعمال شده است را نشان میدهد:

تست نفوذ با لینوکس کالی ::: معرفی ابزار wireshark

دنبال کردن جریان‌های TCP


همانطور که ممکن است قبلا خودتان به این موضوع رسیده باشید، تحلیل و درک پکت ها بعد از دهمین لاگ کمی پیچیده تر و سخت تر خواهد بود؛ چرا که آن ها صرفا شامل اطلاعات فرگمنت ( قطعه قطعه) شده خواهند بود. اکثر اسنیفرهای پیشرفته که وایرشارک یکی از آن ها میباشد، میدانند که چطور یک نشست خاص را سرهم بندی (reassemble) کنند و آن را بصورت فرمت های مختلف نشان دهند. جهت مشاهده یک جریان خاص TCP، روی پکتی که مورد نظرمان است کلیک راست کرده و سپس گزینه "Follow TCP Stream" را از منوی موجود انتخاب نمایید. جریان TCP در یک پنجره جدید همانطور که در شکل زیر نشان داده شده است، باز خواهد شد.

تست نفوذ با لینوکس کالی ::: معرفی ابزار wireshark

خوب دوستان در این مقاله بصورت خیلی ساده توانستیم علاوه بر آشنایی با ابزار wireshark، با نوع کارکرد آن نیز اشنا شویم. در مقاله بعدی بیشتر در مورد TCP Dump صحبت خواهیم نمود تا قطعات پازل علم امنیت شما کم کم تکمیل گردد.

سربلند و مانا باشید.

نویسنده: احسان امجدی

منبع: انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#جریان_tcp #تحلیل_ترافیک_با_wireshark #کپچر_ترافیک #لینوکس_کالی_چیست؟ #اموزش_تست_نفوذ #فایل_دامپ
عنوان
1 تست نفوذ با لینوکس کالی ::: مدیریت و اجرای سرویس‌ها رایگان
2 تست نفوذ با لینوکس کالی ::: محیط و اسکریپت نویسی Bash - بخش اول رایگان
3 تست نفوذ با لینوکس کالی ::: محیط و اسکریپت نویسی Bash - بخش دوم رایگان
4 تست نفوذ با لینوکس کالی ::: معرفی ابزار Netcat - بخش اول رایگان
5 تست نفوذ با لینوکس کالی ::: بایند کردن Shell توسط ابزار Netcat رایگان
6 تست نفوذ با لینوکس کالی ::: معرفی ابزار Ncat رایگان
7 تست نفوذ با لینوکس کالی ::: معرفی ابزار wireshark رایگان
زمان و قیمت کل 0″ 0
3 نظر
احسان بیگدلی

با سلام

بنده فردا صبح ساعت 9 الی 17 از طریق LMS (بصورت آموزش مجازی) و از تو خونه میخوام تو کارگاه Wireshark شرکت کنم و برای همین دوست داشتم یک آشنایی قبلی هم با خود نرم افزار و نحوه آنالیز کردنش بر روی Data Packet ها رو داشته باشم که خواستم از همینجا از این مقاله آموزشی که در سایت درج کردید تشکر کرده باشم.

احسان امجدی

خواهش میکنم دوست عزیز. خوشحالم که مورد استفاده واقع شد. البته دنیای وایرشارک خیلی بیشتر از حرف برای گفتن داره که فقط در این جا فرصت شد خلاصه ای از اون رو بگم..

احسان بیگدلی

کاملا موافقم...

کلاس ديروز عصري تمام اما هنوز به هر جا نگاه ميکنم انواع IP ها، Protocol ها و ... به در و ديوار ميبينم.... ;)

در کل کلاس خوبي بود اما مطالب ديگه اي هم بود که حتما در دوره هاي Wireshark پيشرفته شرکت خواهم کرد تا به اميد خدا بتونم به طور کامل از اين نرم افزار قدرتمند استفاده کنم.

باز هم ممنون از لطف شما

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....