مصطفی چگنی
متخصص تجهیزات امنیتی و حفاظتی

کاملترین آموزش وایرشارک (Wireshark) | به همراه فیلم های آموزشی

بدیهی است ابزار وایرشارک (Wireshark) یک ابزار بسیار عمیق و پیشرفته است و نیازمند آموزش و داشتن دانش بالای شبکه و تحلیل ترافیک برای یادگیری خوب آن می باشید. ما در این مقاله قصد داریم شما را با اساس و اصول کار با این نرم افزار آشنا کنیم و اینکار را بصورت رایگان برای شما آماده کرده ایم و بدون شک کاملترین آموزش رایگان وایرشارک تصویری ، البته فراموش نکنید که قطعا برای ورود به دنیای تحلیل ترافیک شبکه ، یادگیری دوره آموزش نتورک پلاس به عنوان پیشنیاز الزامی است. همین آموزشی است که در آن هستیم ، اما اگر قصد دارید در وایرشارک حرفه ای تر شوید پیشنهاد می کنیم سری به دوره های آموزشی وایرشارک زیر بزنید :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

آموزش وایرشارک | آموزش Wireshark

وایرشارک چیست؟

قصد داشتیم که دوره pwk یا همون (penteration testing with kali) رو بگیم و فیلم بگیریم ولی فعلا نمیشه دیه گفتیم دست دست نکنیم بشینیم چون که فیلم نمیشه باید یه راه دیه باشه پیش خودمون فکر کردیم که بنویسیم . اما دوستان این نوید رو بهتون میدم که کل دوره pwk رو فیلم بگیرم در حد بمب بفرستم رو itpro ناراحت نباشین. خب درد و دل بسه اشکام تموم شد بریم سراغ اموزش نرم افزار wireshark:

wireshark

دوستان این مقاله آموزش چند قسمت میشه خودمم نمیدونم ولی میخوام زیرو بم این نرم افزار رو براتون طوری تشریح کنم که در حد خیلی خوب بتونید این نرم افزار رو یاد بگیرید : خب دوستان wireshark اصلا چیه؟ این برنامه تحلیل گر بسته های شبکه است و سعی میکنه هرچی تو شبکه رد و بدل میشه رو دریافت کنه و همه چی رو برا ما نشون بده.

مثل یه ابزار اندازه گیری میمونه چطور بگم مثل یه مولتی متر میمونه که بچه های برق ازش برا اندازه گیری استفاده میکنن.قبلنا استفاده از این ابزارا یا فقط برا افراد یا سازمان های خاصی مقدور بود یا باید هزینه میدادی تا از این جور ابزارا استفاده کنی.اما وقتی wireshark پا به عرصه گذاشت دیگه روال عوض شد و خیلی از جریانات رو به سمت خودش تغییر داد چون متن باز بود و مردم توسعه میدادن و همچنین محبوب شد اونم به روش یهویی.حالا مصطفی این wireshark که میگی کی ازش استفاده میکنه و به درد چه کسانی میخوره:

  1. مدیران شبکه برا از بین بردن مشکلاتی که تو شبکه به وجود میاد ازش استفاده میکنن
  2. دوستان امنیت کار برا مشکلات امنیتی که به وجود میاد ازش استفاده میکنن
  3. مهندسانی که میان پروتکلها رو توسعه میدن ازش استفاده میکن
  4. دوستانی که میخوان بدونن پشت پرده شبکه چی میگذره از این ابزار استفده میکنن

خیلی چیزا مثلا یه بار تو یه فیلم سینمایی ایرانی ازش استفاده شد اونم به عنوان ابزار هک که نمیدونم wireshark چطوری کار هک رو انجام میده یاد گرفتید به ما هم بگید. بگذریم

  • یه نکته: دوستان این نرم افزار رو هم ویندوز پشتیبانی میکنه هم لینوکس اگه kali دارین که پیشفرض روش هست اگه نسخه دیگری از لینوکس دارین که نداره یا برا ویندوز که میخوایین نصب کنین که نداره باید از لینک زیر اقدام به دانلود کنید از سایت رسمی خودش براتون لینک گذاشتم :

اگه هم بلد نیستین از سایت رسمی دانلود کنین. از سایتا ایرانی میتونین دانلود کنین نمونه زیاده در حد بازار 15 خرداد .حالا یه سری از این کارایی که wireshark میتونه انجام بده رو لیست میکنم که قشنگ یاد بگیریم که چیه و چیکار میکنه:

  1. گرفتن بسته های شبکه به صورت انلاین و ضبط اونا از طریق کارت شبکه
  2. نمایش packet های ارسالی و دریافتی با تمام جزئیات
  3. ذخیره تمام پکت های ضبط شده و همچنین باز کردن انها
  4. ورود وخروج بسته های از برنامه های دیگر
  5. و همچنین بسته ها رو فیلتر میکنه به روش های مختلف یا بر اساس نیاز
  6. جستجو در بسته های مختلف بر اساس نیاز ما
  7. ساخت مدل های اماری مختلف
  8. رنگ امیزی بسته ها بر اساس فیلتر ها
  9. و.. که خیلی میشه

  • حالا یه سری از این کارایی که wireshark نمیتونه انجام بده رو لیست میکنم که قشنگ یاد بگیریم که جریان چیه الکی مث این فیلما قیف و قپی نیاییم:

1- وایرشارک نرم افزار تست نفوذ نیست ولی میتونه در کنار نرم افزار های تست نفوذ به ما اطلاعاتی بده که سریعتر به خواستمون برسیم.
2- وایرشارک هیچی رو دستکاری نمیکنه فقط کار اندازه گیری رو انجام میده نه بسته ای ارسال میکنه نه چیزی فقط یه زمانی هست که شما میخوای یه سری چیزا رو تفکیک کنی که حتی اونم میشه غیر فعال کرد.


  • بزارید یه کم دقیق تر این نرم افزار رو بررسی کنم

یه ابزار متن باز هستش برای تحلیل و بررسی شبکه های کامپیوتری که میاد جریانی که تو سم هستش رو دریافت میکنه و بعدش به یه فرمتی تبدیل میکنهکه ما بفهمیم مهندسای مرکز لیندا میگن چاقو سوئیسیه(من چاقو سوئیسی ندیدم شما دیدی یه عکس برا ما ارسال کن ببینیم چطوره) فک کنم به خاطر اینه که همه ازش استفاده میکنن همه چی رو ریز نشون میده این برنامه تنها ابزاریه که خودش یه پکیج کامله ، دوستان میدونید این ابزار خوبیش چیه اینه که همه جوره پایه است چطور بگم همه کاره است ، بزارید براتون مثال بزنم : 

  1. وایر شارک محدوده وسیعی از پروتکل ها رو درون خودش جا داده مثل پروتکل های tcp,udp,http,apple talk
  2. رابط گرافیکی هستش: یعنی یه جورایی کاربرپسنده که به ما اجازه میده همه چی رو قشنگ و راحت ببینیم و بررسی کنیم تازه میتونیم بسته ها رو ارسال کنیم و اسامی رو جدا کنیم
  3. تحلیل ترافیک شبکه به صورت زنده: این برنامه میاد جریانی که تو کال شبکه است با کارت شبکه دریافت میکنه و بعد همه چی رو برا ما بیرونمیاره و جزئیات رو حتی برامون نماش میده اونم خوبیش اینه که همه این کارا رو به صورت انلاین انجام میده.
  4. متن باز هستش و مردم توسعه میدن در نتیجه رایگانه.

مژده مژده : شما هم میتوانید در قرعه کشی ما برنده شوید ا ببخشید اشتباه شد . شما هم میتوانید از توسعه دهندگان این نرم افزار باشد.

وایرشارک (Wireshark) چگونه کار می کند؟

دوستان شنود شبکه زمانی اتفاق میوفته که کارت شبکه شما در حالتی قرار بگیره که بهش میگن Promiscuous mode یا بی قاعده یعنی تمام پردازش ها به جای این که برن به سمت فریم کنترلی برن به سمت پردازشگر مرکزی.با این توصیفات وایرشارک 3 مرحله رو طی میکنه تا شنو رو انجام بده:

  1. Collection (جمع اوری): اولین کاری که وایرشارک میکنه میاد کارت شبکه رو تو حالت بی قاعده قرار میده تا بتونه جریانی که در بستر وجود داره رو توسط کارت شبکه دریافت کنه
  2. Conversion (تبدیل): در این مرحله وایرشارک میاد جریان دریافتی رو به فرمتی تبدیل میکنه تا برای ما قابل فهم باشه
  3. Analysis (تحلیل): تو این مرحله میاد داده های دریافتی رو تحلیل میکنه که خود این مرحله چن کار صورت میگیره:
  • تحلیل اولیه پکت ها مثال شناسایی نوع پروتکل ها
  • بررسی کانال ارتباطی شماره پورت یا درگاه نرم افزاری
  • تحلیل و بررسی سرایند های پروتکل دریافتی برای رسیدن به جزییات بیشتر و دقیق تر

دوستان اینی که من از وایرشارک گفتم شاید بگم هیچی نگفتم راس گفتم چون این ابزار کارش خیلی درسته و پیشرفته تره .

نصب وایرشارک

خب دوستان ما دیروز همش در مورد ابزار توضیح دادیم و گفتیم که چیکاره حسنه ولی یه مشکلی که هست اینه که تو نصب نرم افزار بعضیا گیر میکنن هیچ مشکلی نی امروز هم یه گریزی بر روی نصب میزنیم و همچنین یکم باهاش اشنا میشیم : اول میریم سراغ دوستانی که از ویندوز استفاده میکنند

شاگرد: استاد من یه سیستم دارم که مشخصاتش اینه این نرم افزارو جواب میده:

i5,8,1,4

استاد: داداش تو سیستم نخریدی تو data center خریدی.میخوام بگم بهتون این نرم افزار رو سیستم من که با هندل و زغال به کار خود ادامه میدهد و امروز فردا است جان به جهانیان تسلیم کند نیز این ابزارو جواب میده پس نگران سیستم و اینا نباشید اگه باز مشکلی داشتین در قسمت نظرات بگین.بریم سراغ دانلود و چگونگی دانلود و اینا.دیروزم گفتم امروزم میگم میرید تو سایت http://wireshark.org که این سایت بالا میاد:

وب سایت توسینسو

همونطوری که در عکس میبینید باید برید در قسمت منو های سایت و در منوی Get Acquainted میمونید تا زیر منو ها بیاد و download رو میزنید دانلود رو که میزنید سایت چون تک صفحه ایه میاد اینجا:

وب سایت توسینسو

شما فقط میری نسخه stable رو دانلود میکنی اگه سیستم عاملت 64 هستش 64 دانلود میکنی در غیر اینصورت 32 رو دانلود میکنی.دانلود که شد نرم افزارو مثل بقیه نرم افزارا با چند تا next نصب میکنی ولی یه نکته هست که باید بگم دوستان در کنار این نرم افزار یه بسته نرم افزاری نصب میشه به اسم wincap خب حالا این چیه و چیکار میکنه:

این بسته میاد کارت شبکه رو تو حالت بی قاعدگی قرار میده جاهای دیه هم ازش استفاده میشه مثلا شما زمانی هست که میخوا شبکه رو دور بزنی و یا اینکه بیایی یه کارایی صورت بدی مثلا همین وایرشارک که میاد بسته های دریافتی رو ذخیره میکنه یا تجزیه تحلیل میکنه این کارا رو با استفاده از این بسته نرم افزاری انجام میده.این از نصب ویندوز اگه بازم مشکلی در نصب داشتین در قسمت نظرات بیان بفرمایید.خب بریم سراغ دوستانی که خوش دارن همه جا که هستن ازادی رو احساس کنن حتی تو مجازی ( منظورم دوستانیه که از لینوکس استفاده میکنند)

  • میریم سراغ دوستانی که از لینوکس استفاده میکنند

بچه ها اگه از کالی استفاده میکنید این نرم افزار رو تو خودش داره و نیاز به نصب نداره اما یه موقعی هست که شما از یه نسخه ای از لینوکس استفاده میکنی که نداره و باید از روش های زیر که میگم نرم افزارو نصب کنید : خب شما میایید رو همین سایت وایرشارک در قسمت دانلود همون طوری که در عکس مشاهده میکنید میرید source code رو دانلود میکنید.

وب سایت توسینسو

سورس کد رو دانلود کردید چون فایلش فشرده است باید اونو استخراج کنید برا همین از این دستور استفاده کنید:

tar -xvf wireshark-2.0.4.tar.gz2

دستور بالارو چرا با tar.gz2 نوشتم چون با این فرمت فشرده شده پس باید از این فرمت استخراجش کنم.بعد از استخراج میریم رو همین پوشه وایرشارک با دستور زیر:

cd wireshark-2.0.4

بعدش دیه میریم برا نصب میاییم چیکار میکنیم میایم با استفاده از دستور make فایل منبع رو به حالت باینری تغییر میدیم.بعدش میاییم با استفاده از دستور install بنامه رو نصبش میکنیم.همین.دوستان روش های دیگری هم برا نصب نرم افزار تو لینوکس هست

مثل apt get install که میایی نرم افزارو مستقیم از طریق کد منبع نصبش میکنی و روش های دیه که اگه بخواییم زیاد بگیم خسته کننده میشه ولی اگه دوستان دوست داشتید به بقیه بگید در قسمت نظرات به بیان کنید ما هم خوشحال میشیم.دوستان کار نصب نرم افزار تموم شد حالا بیاید رخ دیوانه کننده این ابزار رو ببینیم. اینم رخ نرم افزار:

وب سایت توسینسو

خب بچه ها ما ابزارمون رو نصب کردیم بعد اجرا کردیم حاصل شد یه رخ زیبا حالا از این به بعد با این رخ دیوانه کننده باید بریم از بستر شبکه های مختلف اطلاعات بیرون بکشیم.فقط یه چیزی چون من ابزارو رو کالی دارم دیه از رو اون اموزش میدم ، اگه نسخش قدیمی تره اونو اپدیت میکنم که همه با هم پیش بریم اینو چرا گفتم خودمم نمیدونم.یهویی بود

آشنایی با محیط وایرشارک

تو این قسمت میخواییم یکم با محیط نرم افزار اشنا بشیم و یکم با منو هاش کار کنیم همچنین چند عدد بسته ثبت و ضبط کنیم و اگه تونستیم با بسته ها بازی کنیم اگه نه که بره برا جلسه بعد.دوستان من جلسه قبل یه چیزو جا انداختم اونم این بود که وایرشارک نسخه جدیدی ارائه کرده و کلا یه جورایی با نسخه های سری 1 فرق میکنه

و الان این سری 2 رو من رو ویندوز دارم فقط یه چیزی که تغییر کرده یه سری قابلیت عوض شده که سر جلسه خودش توضیح داده میشه ولی ممکنه کسی از این نسخه جدید استفاده کنه که بخواد بدونه چجوری کار میکنه و بخواد ازش استفاده کنه و همینطوربه مشکل نخوره من یه کم از این نسخه جدیده براتون بگم.دوستان ببینید این صفحه اصلی نسخه جدیده:

وب سایت توسینسو

فرقی که کرده از این نسخه قدیمی که تصویرش در زیر اومده به تصویر بالا تغییر کرده که بهتر هم است چون یه سری اضافات رو حذف کرده و برده جای دیگه.اون زیر عکسو نگاه کنید(خخخخخ)

وب سایت توسینسو

حالا دوستان کاری نداریم که چی شده ولی اگه خواستین با این نسخه جدیده کار کنین ما هم میگیم دیه کاریه که شده شانس ما وایرشارک اومده نسخه داده مارو انداخته تو چاله یکی نیست بگه بابا این چه کاریه که میکنی وایر حسابی دم به دیقه هی ورژن میده بیرون.

بریم سر درس : دوستان اولین کاری که میکنین اینه که برین کارت شبکه تون رو انتخاب کنین :  خب مصی چیکار کنیم: اول دوستانی که از نسخه جدیده استفاده میکنند : دوستان تو قسمت زیر میبینین میایید روی کارت شبکه تون کلیک میکنین و کارت شبکه مورد نظر که کارت شبکه اصلی تون هست رو انتخاب میکنین مثال من یه کارت شبکه اصلی دارم و دوتا مجازی پس رو اونی که دیتا ارسال و دریافت میشه کلیک میکنم:

وب سایت توسینسو

شاگرد: حالا یه سوال پیش میاد مصی چطور تشخیص بدم یه کارت شبکه کارت شبکه اصلیمه : استاد (علکی مثلا من استادم): میری یه صفحه مرورگر باز میکنی و اون کارت شبکه مورد نظر که اصلیه شروهع میکنه به دریافت دیتا و یا این که میری تو msdos یا همون cms یه سایتو پینگ میکنی اینطوری:

ping www.google.com

که بازم کارت شبکه مورد نظر شروع میکنه به کار کردن و روش کلیک میکنین.و بقیه داستان ، بعد کاری که میکنین اینه که میایین کلید های ترکیبی ctrl+e رو فشار میدین یا این که میاین رو منوی capture کلیک میکنین و بعدش start رو میزنین که نرم افزار شروع کنه به جمع اوری اطلاعات که میشه این زیر که میبینین:

وب سایت توسینسو

که بعدا باهاش کار داریم فعلا هیچی ( یعنی دستمون تو پوست گردوست در حال حاضر) گفتم پوست گردو: یادش بخیر بچه بودیم گردو نبود که بخوریم فصلش که میشد یکی دوتا که گیرمون میومد تمام پوست این گردو ها رو میزدیم به دست که دستمون سیاه شه که وقتی میریم پیش رفقا مایه دار سرخورده نشیم که نخوریدیم خخخخ دورانی بود تو بچگی هم همش 6 تایی میومدیم برا رفقا ، بریم سراغ دوستانی که با نسخه لینوکسی بیشتر حال میکنن یا این که پایه اون هستن

  • حالا دوستانی که از لینوکس کالی استفاده میکنن :
وب سایت توسینسو

اینی که میبینین نسخه قدیمیه میاید در پنل capture میرید رو interface list کلیک میکنین که یه پنجره کوچیک براتون باز میشه مث تصویر زیر : یا اینکه نشانگر ( یا همون علامت ماوس) رو ببرید به قسمت ابزار های در دسترس در زیر منو ها یه ابزار هست به اسم capture interfce کلیک میکنید باز تصویر زیر باز میشه:

وب سایت توسینسو

روش اتخاب کارت شبکه رو هم که تو قسمت بالا کلی گفتم همه مث هم هستن .

  • ولی دوستانی که از نسخه ویندوز استفاده میکنند اما از سری ورژن 1:

باز میایید تو interface list کلیک میکنید و از مث تصویر زیر کارت شبکه مورد نظر رو انتخاب میکنید:

وب سایت توسینسو

خب دوستان انتخاب که کردین دیه دکمه startرو کلیک مکنین و بسته ها دریافت بشه:مث اینی که میبینین:

وب سایت توسینسو

که یه سری پروتکل و اینا میبینین که تو جلستات بعد توضیح میدیم( بازم جریان پوست گردو) خب دوستان گریزی بزنیم بر کلیات صفحه ( از بالا شروع میکنم هر قسمت به یه شماره تبدیل میشه که در جلو عدد توضیح داده میشه)

  1. منوی های برنامه
  2. ابزار های دسترسی سریع به عملیات های مورد نظر
  3. پنل مشاهده جزئیات پروتکل ها و سایر چیزایی که میخواییم( در قسمت بعد کامل میگیم)
  4. پنل جزیئیات پروتکل های موجود
  5. پنل جزئیات پروتکل به صورت باینری و هگزا دسیمال

آشنایی با Menu ها

امروز میریم سراغ منو های وایرشارک ، دوستان اگه اینی که میبینید صفحه اصلی وایرشارک باشه پس جا داره که منو هاشو بشناسیم:

وب سایت توسینسو

دوستان چندتا منو داره که تو بقیه برنامه هم مشترکه مثل :

file,edit,view,help

میخوام بگم اگه با برنامه های دیه هم کار کرده باشین معمولا یه سری قابلیت تو این منو ها جاشده که همه مث هم هستن. خب بریم سراغ تشریح و توضیح منو های برنامه:

  1. file : تو این منو شما میتونید فایل هاتون رو باز کنید میتونید ادغام فایلهای دریافتی رو انجام بدید میتونید فایل هاتون رو ذخیره کنید پرینت بگیرین و فایل هایی رو که ضبط میکنین رو میتونین خارج کنین و همچنین خروج کامل از برنامه.
  2. edit : تو این منو شما میتونید یه بسته رو پیدا کنید و time shift رو بدست بیارید که تو نسخه 1 بهش میگفتن time refrence یا همون مرجع زمان و میتونید پکت ها رو نشانه گذاری کنید برا کارایی مث اولویت بندی پکت ها بر اساس دلخواه و یه چیز خیلی مهم اینکه میتونید با استفاده از pereferences وایرشارک رو ونجوری که دوست دارین ببینین ظاهر سازی کنید ( یه جورایی یعنی دستکاری وایرشارک) و...
  3. view : و این منو شما میتونید پکت های ضبط شده رو کنترل کنید میتونید رنگ پکت ها رو عوض کنید یا یه پکت رودر یه پنجره جداگانه ببینید و یا اینکه یه پکتبا رنگ دلخوا به برنامه اضافه کنید و تنظیم فونت و ...
  4. go : تو این منو میتونید برید به یه پکت مشخص مثال برید به پکت قبلی یا بعدی یا اولین و اخرین پکت
  5. capture : این منو شامل شروع کار ضبط متوقف کردن و ریست کردن همچنین میتونین کارت شبکه هاتون رو ریست کنین
  6. analyse : تو این منو میتونید فیلتر های نمایشی رو دستکاری کنید و همچنین فعال و غیر فعال کردن تجزیه پروتکل ها ( یعنی تجزیه یه پروتکل فعال باشه یکی نباشه) پیکر بندی و کد برداری توسط خودتون و همچنین دنبال کردن یک جریان tcp.
  7. statistics : تو این منو میتونید امار همه چی بیرون بکشین (خخخخ) اطلاعات اماری نشون میده.میتونید اطلاعات اماری رو مشاهده کنید میتونید سلسله مراتب پروکل ها رو به صورت اماری ببینید کلا امارو درمیاره...
  8. telephony : ریز هرچی که به شبکه های تلفن و موبایل مربوط میشه رو بیرون میکشه میتونید اسنیف هم انجام بدید (وایفای بزنید خخخ البته باید کارت شبکه وایرلس داشته باشین که من ندارم)
  9. wireless : میتونید اطلاعات شبکه های وایرلسی رو بررسی کنید البته کارت شبکه وایرلس فراموش نشه
  10. tools : این منو یه سری برنامه رو تو خودش جا داده مث firewall acl و کنسول وایرشارک و اینا.
  11. help : همون کمک گرفتن هستش که تو این منو همه چی تو وایرشارک موجوده اما زبان اصلی.

دوستان زیر این منو ها که در بالا گفته شد یه سری ابزار دسترسیع سریع هستش که فک نکنم دیه لازم به توضیح باشه فقط کافیه که نشانگر ماوس رو ببرید روش خود برنامه میگه که اون ابزار چیکار میکنه.دوستان اینم از منو ها میخواستم پنل ظبط رو هم بگم گفتم دیه چشماتون خسته میشه میزاریم واسه جلسه بعد

پنل های مختلف

دوستان جلسه قبلی در مورد منو ها صحبت کردیم امروز میریم رو پنل های مختلف برنامه رو کلا شرح میدیم.

  • پنل ضبط یا packet list

تو این پنل بسته های دریافتی از شبکه به صورت سلسله مراتبی برا ما به نمایش درمیاد هر سطر در این فهرست یک بسته را عنوان میکند(یعنی هر خط مربوط به یه بسته یا پکته) به کار جالی که تو این پنل داره اینه که میاد پکت ها رو جدا میکنه که تو هر سطر یه پروتکل با تمام جزئیاتش نمایش داده بشه.دوستان این پنل خودش به چندتا ستون تقسیم شده همونطوری که در زیر میبینید و بریم که این ستون ها رو تشریح کنیم:

وب سایت توسینسو
  • 1- no : این ستون عدد منحصر به فرد هر بسته را نشان میدهد که برای پیدا کردن یک بسته به کار میرود
  • 2- time : این ستون زمان ضبط یک بسته را نشان میدهد
  • 3- source : این ستون ip مقصر را نشان میدهد و میگوید بسته از کجا دریافت شده
  • 4- destination : این ستون میگوید ip address را نشان میدهد که بسته را دریافت کرده یعنی ip سیستم ما.
  • 5- protocol : این ستون نوع پروتکلی را نشان میدهد که در بسته دریافت شده
  • 6- lenght : این ستون اندازه بسته ضبط شده را به نمایش میگذارد
  • 7- info : این ستون ریز اطلاعات یک بسته را نشلن میدهد

این از ستون های این پنل یه خوبی که پنل نمایش packet list داره اینه که اومده پکت ها رو رنگ بندی کرده و حتی این قابلیت رو به کاربران میده که رنگ هر پکت رو با سلیقه خودشون انتخاب کنند.

  • پنل جزئیات بسته یا packet details

شاگرد: این پنل چطوری جزئیات رو نشون میده؟ استاد: با کلیک کردن بر رو هر بسته در پنل packet list جزئیات اون بسته در پنل packet details نمایش داده میشه ، این میشه پنل چزئیات بسته:

وب سایت توسینسو

این پنل جزئیات کامل یه بسته رو به صورت کامل توضیح میده اونم به صورت سلسله مراتبی در واقع تشریحش به صورت مدل tcp/ip هستش. نکته بسیار مهم: دوستان برای درک کامل این پنل باید مدل های tcp/ip . osi رو کامل کامل یاد بگیرین. این پنله که هکرا رو بدبخت میکنه ( از دست قانون نمیشه فرار کرد)

  • پنل بایت های بسته یا packet bytes

این پنلی که در زیر مشاهده میکنید کارایی که در زیر عکس مینویسم رو انجام میده:

وب سایت توسینسو

این پنل میاد داده هایی رو که از پکت دریافت کرده به صورت hexa نمایش میده که در خود پنل شما اعداد رو به سه مدل مشاهده میکنید از سمت چپ لیست میکنیم و مینویسیم:

  1. داده های جمع اوری شده رو به صورت باینری یا مبنا 2 نمایش میده.
  2. داده های دریافتی از هر پکت رو به صورت hexadecimal نمایش میده که همون مبنا 16 هستش
  3. کد اسکی معادل هر سطر رو نشون میده

دوستان یه نکته برای بررسی این پنل هم باید بر روی پکت مورد نظرتون کلیک کنید.

  • پنل وضعیت برنامه

این پنل وضعیت جاری برنامه را نمایش میدهد که اطلاعاتی شامل: وضعیت بسته ها تعداد بسته ها و محل ذخیره سازی بسته ها اینم از تصویر این پنل:

وب سایت توسینسو

نحوه کار با برنامه

دوستان جلسات قبلی هرچی یاد گیرفتیم کلا این بود که فهمیدیم برنامه چی هستش و چجوری کار میکنه اما از این جلسه به بعد کار ما شروع میشه و میریم تو فاز اجرا.

وب سایت توسینسو

دوستان همونطوری که در تصویر میبینید من برنامه رو اجرا کردم استارت رو برا کارت شبکه مورد نظر زدم و دارم انواع پکت رو بر اساس کارهایی که در شبکه انجام میدم دریافت میکنم خب تا این جا هیچی یعنی کارا تکراری بوده حالا اینجا رو داشته باشین.دوستان من میام cmd رو اجرا میکنم برای اجرای cmd مسیر زیر رو طی کنید:

Start>run>cmd

داخل cmd دستور زیر رو وارد میکنید:

Ping 8.8.8.8

توضیح دستور بالا: ما یه پینگ میگیریم dns ایران رو یعنی میخواییم تست بگیریم که ایا به اینترنت وصل هستیم یا نه اگه بخوام بهتر بگم 4 عدد بسته icmp به سمت سرور dns ارسال میکنیم که ایا از اون سرور پاسخی دریافت میکنیم یا نه اینم عکس دستور که در زیر مشاهده میکنید:

وب سایت توسینسو

حالا دوستان یه چیزی جالبی که هست داخل wireshrak یه اتفاقاتی داره صورت میگیره یعنی این تصویری که در زیر میبینید:

  • نکته : شما فقط بسته های icmp رو نگاه کنید
وب سایت توسینسو

ببینید من 4 تا بسته به سمت سرور ارسال کردم و 4 تا بسته از سمت سرور دریافت کردم.دوستان این خیلی باحاله باور کنید این چیزی که الان دارید تو پنل مشاهده میکنید یه جورایی فقط تو دنیای تئوری و تو کتابا دیدیم و یا فقط برامون تعریف کردن ولی الان داریم خودمون میبینیم چیزیه که میتونیم درکش کنیم

حالا بریم رو بسته ها رو ببینیم چی ازشون میتونیم بیرون بکشیم.اولین بسته icmp که من ارسال کردم که اگه ستون info رو نگاه کنید میبینید ما یه icmp request به سمت سرور ارسال کردم و اگه ttl رو نگاه کنید تو 15 میلی ثانیه ارسال شد و یه سری اطلاعات دیگه که باید ریزشو بریم تو پنل packet details بررسی میکنیم.رو پکت اول همون icmp اول کلیک کنید و برید رو پنل جزئیات که تو تصویر زیر میبینید:

وب سایت توسینسو

خب ما میاییم از بالا به پایین هر قسمت رو بررسی میکنیم قشنگ تصاویر رو دنبال کنید و توضیحات رو بررسی کنید:

وب سایت توسینسو

همونطوری که میبینید داخل این بسته که به سرور فرستاده شده خیلی هدرو و چیزا بهش میچسبه و ارسال میشه همون چیزایی که در مبحث لایه های 7 گانه osi برامون میگفتن و طرفی که میگفت برا خودشم تئوری گفته بودن و یه جورایی بلد نبود توضیح بده و کلا قید این لامثب که همه چی شبکه از این شروع شده رو میزدیم.

  • نکته: برید osi و tcp/ip رو خیلی عالی یاد بگیرید نیازه اونقدی نیازه که فکرشو نمیکنید ( برا همینه که اقای نصیری مرتب میگه به مفاهیم خیلی توجه کنید اینجور جا ها به دردمون میخوره) من هدر های این پکت رو لیست وار توضیح میدم:
Frame 14: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface 0

هدر اول که اولش نوشته فریم 14 یعنی شماره این پکت 14 هستش یعنی چهاردهمین پکتی هستش که برنامه دریافت کرده باز جلوش نوشته 74 byte on wire (592 bits) میگه 74 حجم این پکت 74 بایت هستش که شده حدود 592 بیت و بستری که کارت شبکه داره ازش استفاده میکنه کابلی هستش و بر روی کارت شبکه یا اینترفیس 0 ارسال شده به سرور.خب همین هدر رو باز میکنم بینم چه خبره ( یا خدا ببین چه خبره اینطوریاس که میگن پلیس فتا حواسش به همه چی هست)

Interface id: 0 (\Device\NPF_{950E6D9D-B2B0-41E1-9B9C-EDFD68B40A46})

نوشته اینترفیسی که استفاده شده 0 هستش.

Encapsulation type: Ethernet (1)

نوع انکپسولیشن یا همون روش در بر گرفتن که استفاده شده اترنت هستش.

Arrival Time: Jul 26, 2016 22:56:12.603223000 Iran Daylight Time

بعد میگه در چه زمانی این پکت به سمت سرور ارسال شد

[Time shift for this packet: 0.000000000 seconds]

چقدش ارسال نشد

Epoch Time: 1469557572.603223000 seconds

چقدش ارسال شد

[Time delta from previous captured frame: 8.299702000 seconds]

چقد منتظر بوده تا ارسال بشه

[Time delta from previous displayed frame: 8.299702000 seconds]

چقد از اطلعات برگشت خورد

[Time since reference or first frame: 20.358741000 seconds]

چقد طول کشید تا اولین بیت رو بگیره

Frame Number: 14

پکت ارسالی شماره 14 هستش

Frame Length: 74 bytes (592 bits)

اندزه پکت 74 بایته که میشه 592 بیت

Capture Length: 74 bytes (592 bits)

بعدش میگه برنامه رو چقد از دیتا ارسالی کار کرده که نشون داده رو همش انالیز انجام شده

[Frame is marked: False]

ایا فریمی تولید شده؟نه

[Frame is ignored: False]

ایا از فریمی گذشته ایم؟نه

[Protocols in frame: eth:ethertype:ip:icmp:data]

بعدش میگه از چه پروتکلی استفاده شده که پکت رو ارسال کرده رو بستر اترنت؟ که نشون داده

[Coloring Rule Name: ICMP]

بعدش میگه رنگی که برا این پروتکل استفاده شده برا icmp هستش

[Coloring Rule String: icmp || icmpv6]

رنگی که برا این پروتکل استفاده شده هم برا icmp v4 استفاده میشه و هم برا icmp v6 دوستان دمتون گرم که تا اینجا خوندیدبقیشو برا جلسه بعد میگم مطمئن باشید جلسه بعدی کف میکنید انقد بحث جالب میشه.لایک مطالب یادتون نره و با نظرات و انتفاداتی که به اموزش ها وارد میشه باعث میشه که هم قدرت اموزش بالا بره هم این که بنیه علمی قوی بشه. یه درخواست از همه دارم و اینه که برید OSI , TCP/IP رو خیلی عالی یاد بگیرید چون اینجا باید بلد باشین تا برنامه رو درک کنین.

  • نکته پایانی: هر پروتکلی که بررسی میشه بسته به لایه ای که اون پروتکل درونش هست با لایه های زیرینش جمع میشه مثال HTTP که تو لایه 7 هسش 7 لایه میگیره تو PACKET DETAILS الان اینجا چون ICMP تو لایه 4 هستش برنامه 4 لایه رو بررسی میکنه.

بررسی لایه ها

خب دوستان پایه این جلسه رو گذاشتیم بر ادامه جلسه قبلی جلسه قبلی اومدیم لایه چهارم رو از این پروتکل بررسی کردیم و امروز میخواییم به لایه های زیرین بپردازیم.من دیه این جلسه مقدمه ندارم سریع میرم سر اصل مطلب کسانی که میخوان بدونن جریان چیه جلسات قبل رو کامل بخونن.

وب سایت توسینسو
Ethernet II, Src: Giga-Byt_70:12:9e (00:1d:7d:70:12:9e), Dst: Tp-LinkT_b7:c5:5a (d8:5d:4c:b7:c5:5a)

خب دوستان این لایه سوم هستش بازش کنم ببینید برق از سرتون میپره که این نرم افزار داره چی نشون میده خب لایه رو باز میکنم .خود لایه سوم 3 تا زیر لایه داره یعنی هدر داره هدر اول:

Destination: Tp-LinkT_b7:c5:5a (d8:5d:4c:b7:c5:5a)

میگه که دیستنیشن ادرس شما یعنی مک ادرس شما که به سمت سرور درخواست ارسال کردین اینه و این مک ادرس از یه مودم tp-link با این ادرس ارسال شده که اگه شما بخواید ریز مدل رو بدونید فقط کافیه اطلاعات رو تو گوگل بریزید تا ببینید چی بهتون میده.همونطوری که مشاهده میکنید خود این لایه رو که باز میکنم یه سری هدر دیگه به من میده بریم بررسی کنیم

.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)

همونطوری که ملاحضه میکنید میگه ادرسی که ارسال شده یه ادرس فیزیکی معتبرمیتونه باشه که از طرف کارخانه سازنده بر روی دستگاه ست شده یا یک ادرس فیزیکی که معتبر نیست(من اینو فهمیدم شما چیز دیگه ای فک میکنید تو قسمت نظرات بگید) یه لایه برمیگردیم عقب این هدر رو چک میکنیم

Source: Giga-Byt_70:12:9e (00:1d:7d:70:12:9e)

میگه مک ادرس ای پی که شما پینگ گرفتی یا همون ای پی مقصد این هستش و یه مدلدستگاه رو نشون داده حالا همینو باز میکنم ببینم چیزی دستگیرم میشه یا نه

.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)

همونطوری که ملاحضه میکنید میگه ادرسی که ارسال شده یه ادرس فیزیکی معتبرمیتونه باشه که از طرف کارخانه سازنده بر روی دستگاه ست شده یا یک ادرس فیزیکی که معتبر نیست(من اینو فهمیدم شما چیز دیگه ای فک میکنید تو قسمت نظرات بگید) اما یه هدر دیگه هم هست که اینه:

Type: IPv4 (0x0800)

میگه که ای پی مقصد شما یا همون ای پی که پینگ گرفتی یه ای پی ورژن 4 هستش.خب این لایه سوم هم کارش تموم شد برمیگردیم به عقب و لایه 2 رو باز میکنیم که میشه اینی که میبینید:

Internet Protocol Version 4, Src: 192.168.1.100, Dst: 8.8.8.8

این لایه کلا ip ما رو مورد بررسی قرار داده و میخواد بسته ip رو که تو osi میشه network و درون لایه neywork ای پی ادرس قرار میگیره رو با ریز جزئیات مخصوص این عملایتی که انجام شده به ما نشون بده.خود لایه به ما میگه ادرس منبع یا سورس ادرس 192.168.1.100 هستش و ادرس مقصد یا دستینیشن ادرس 8.8.8.8 هستش و ورژن ای پی 4 خب بازش میکنیم:

0100 .... = Version: 4
.... 0101 = Header Length: 20 bytes (5)

ای پی ورژن 4 و اندازه این هدر 20 بایت هستش.

Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)

میگه چه سرویس های همراه این بسته عبور کردن که تو این عملیات هیچی نشون نمیده ممکنه شما یه ادرس اینترنتی رو با نرم افزار چک کنین یعنی یه بسته http که اینجا سرویس ها رو هم بهتون نشون بده.پس دیه داخلشو توضیح نمیدم برمیگردم به عقب و لایه بعدی رو بررسی میکنم.

Total Length: 60
Identification: 0x0eec (3820)

میگه که اندازه هدر 60 بایته و یه پورت شناسای کردم رو این ادرس که 3820 هستش که مخصوص tcp/udp هستش. بریم سراغ بعدی

Flags: 0x00

فلگ های ارسالی برای برقراری ارتباط رو نشون داده که بررسی نمیکنیم

Fragment offset: 0
Time to live: 128
Protocol: ICMP (1)

خب این افست فریم رو به ما نشون داده که صفر هستش . میگه ttl=128 شده برا این ادرس و پروتکلی که در اینجا بررسی شده icmp بودش

Header checksum: 0x0000 [validation disabled]

هدر هایی که همراه بسته ارسال میشه برا برقراری ارتباط

Source: 192.168.1.100
Destination: 8.8.8.8
[Source GeoIP: Unknown]
[Destination GeoIP: Unknown]

ادرس منبع و مقصد رو نشون داده و میگه نمیدونم این دو تا سیستم ای پی ها رو از کدوم منبع دریافت کردن.خب این هدر هم تموم میشه بریم سراغ بعدی.

Internet Control Message Protocol

خب میگه icmp یعنی پروتکل کنترل پیام اینترنت بازش میکنیم که هدر هاشو بررسی کنیم.

Type: 8 (Echo (ping) request)
Code: 0
Checksum: 0x4d5a [correct]
Identifier (BE): 1 (0x0001)
Identifier (LE): 256 (0x0100)
Sequence number (BE): 1 (0x0001)
Sequence number (LE): 256 (0x0100)
[Response frame: 395]

میگه شما 8 تا پیغام پینگ جمعا ارسال و دریافت کردین که کدش 0 بوده و شناسه های ارسالی و دریافتی رو به صورت هگزا نشون داده که ترتیب شماره ها رو هم به صورت هگزا نمایش داده و شماره فریم واکنشی یا دریافتی ما 395 بوده. بریم رو هدر data و هدر درونش:

Data (32 bytes)
Data: 6162636465666768696a6b6c6d6e6f707172737475767761...
[Length: 32]

میگه که این اطلاعات رو من از این داده ها به دست اوردم که 32 بایت بود. خب دوستان من تو پینگی که گرفتم 8 تا پروکل icmp رد و بدل شد که فقط اولین بسته رو من اومدم باز کردم شما میتونید همشونو باز کنید و بررسی کنید

فیلتر کردن Packet

شاگرد: فیلتر کردن بسته ها یعنی چی؟ استاد:مهمترین و تخصصی ترین بحث در وایرشارک توانایی فیلتر کردن بسته هاست فیلتر ها یک نقش کلیدی در ضبط بسته های اطلاعاتی دارند.زمانی هست که در شبکه محلی و یا بر روی یک سرویس دهنده یا همون سرور مشکلاتی برای بسته ها به وجود میاد و حالا برای از بین بردن این سربار ها که باعث اختلال در شبکه میشود را میتوان با فیلتر ها بررسی کرد و مشکل را حل کرد.حالا خود این فیلترها رو در برنامه میتوان به دو طریق اعمال کرد:1- فیلتر های ضبط 2- فیلتر های نمایش

1- فیلتر های ضبط: فیلتر هایی که برای شنود بسته های اطلاعاتی مورد استفاده است که ما میخواهیم ضبط شوند یعنی ما فقط میخواهیم یه سری بسته خاص را بررسی کنیم برای اعمال این نوع فیلتر ها باید دستورات برنامه winpcap رو در وایرشارک اعمال کنیم حالا برا این کار شما میتونید برید رو منو capture و گزینه option رو بزنید تا این پنجره براتون باز بشه:

وب سایت توسینسو

باز که شد در قسمت فیلتر ها قواعد دستوری خودتون رو وارد میکنید تا عملیاتی که میخوایین رو وایرشارک براتون اجرا کنه:

شاگرد : سوالی که پیش میاد اینه که این قواعد و دستورات رو چطوری یاد بگیریم؟

استاد: این قاعده ای که براتون در زیر مینویسم قاعده نوشتن و اعمال فیلتر در وایرشارک هستش:

ببینید این الگو مال برنامه winpcap هستش اما ما میایم تو وایرشارک مینویسم تا خروجی مورد نظر حاصل بشه:

<protocol name><direction><host(s)><value><logical operating><expression>

خب طبق قاعده بالا ما میایم رو کارت شبکه مورد نظر کلیک میکنیم و فیلتر مورد نظر رو اعمال میکنیم:

http src port 80

مثلا من وب سایت tosinso.com رو باز کردم و میرم سروقت برنامه توپنل پکت ها میبیم پکته که داره دیافت میشه پیش خودم میگم من فقط درخواست http و dns داشتم پس این دوتا رو چک میکنم برا این کار در زیر ابزار های دسترسی سریع یه پکت فیلتر هستش که من فیلتر هامو انجا اعمل میکنم اینطوری مینویسم:

http src port 80 

یعنی درخواست های http رو پیدا کن . اونهایی که پورت منبعشون 80 بوده.و همینطور میتونید درخواست های arp رو چک کنید که در شبکه broadcast میشه برای شناسایی مک ادرس ها:

arp

حالا شما میخوایید یه سری اطلاعات از یه منبع خاص به دست بیارید که اینطوری میشه:

Src 5.221.35.68 port 80

ببینید فیلتر ها چقدر باحالن اگه این فیلتر ها نباشن ما باید تمام بسته ها رو ثبت و ضبط کنیم و بین کوهی از اطلاعات به دنبال بسته مورد نظر بگردیم.

  • نکته: دوستان اگر شما قواعد رو اشتباه وارد قسمت فیلتر کنید پس زمینه قسمت فیلتر قرمز میشه و اگه درست باشه سبز میشه.

خب حالا این اعمال فیلتر در ضبط بسته ها بود بریم سراغ قسمت بعدی یعنی اعمال فیلتر در نمایش بسته ها

2- فیلتر های نمایش: برای انجام و اعمال این نوع فیلتر ها باید به همان صفحه اصلی برنامه برگردیم و در قسمت فیلتر ها قواعد مورد نظر رو اعمل کنیم و ببینم چطوری میشه اینا رو اعمال کرد:

<protocol><string>.<coperasion operator><value><logical operator><expression>

خب این از قواعد فیلتر نمایشی بریم یه مثال بزنیم:

برا نمایش بسته های tcp که از پورت 80 استفاده میکنند از این دستور استفاده میشه:

Tcp.port==80

زمانی که دکمه اینتر رو فشار میدید تمام بسته های tcp که از پورت80 استفاده کردن رو نمایش میده:

در جواب دوستمون که در قسمت 6 یه سوال پرسیدن که میشه بسته های مورد نظر رو در جاهای خاص میشه پیگیری کرد باید این مثال رو بزنم:

Ip.addr==192.168.1.100

این دستور میگه تمام پکت های ارسالی و دریافتی این ip مورد نظر رو بررسی کن.زمانی که اینتر بزنید در پنل بسته ها همه چی برامون به نمایش درماد در مورد این ip خب اینم از قسمت فیلتر های وایرشارک.

Display Filter چیست؟

دو جلسه قبل کامل در مورد فیلترها نوشتیم ولی بعضی از دوستان میخوان بدونن که ایا میشه این دستورات یه جایی باشه و هر وقت خواستیم اجرا کنیم و یعنی دم ستمون باشه اره هست : برا انجام عملیاتی از پیش تعیین شده باید تجهیزات لازم رو مهیا کنیم

خب تو وایرشارک هم یه سری تجهیزات هست به اسم display filter که میاییم عملیات فیلترینگ بسته مورد نظر رو درون این پنجره ست میکنیم و عملیاتمون رو شروع میکنیم.خب مسیر زیر رو برید تا پنجره مورد نظر باز بشه : در قسمت منوها میرید رو منو analyze و بعدش display filters رو انتخاب کنید تا پنجره زیر براتون باز بشه:

وب سایت توسینسو

پنجره باز که شد میبینید یه سری فیلتر در خود برنامه وجود داره ولی ما میخواییم فیلتر دلخواه خودمونو داشته باشیم پس رو دکمه + کلیک میکنید تا یه فیلتر براتون درست بشه بعدش که باز شد دیه فیلتر مورد نظرتون رو درست میکنید و درونش قرار میدید : اون دوتا دکمه دیه یکیش – هستش که برا حذف فیلتر انتخابیه و اون یکی هم برا کپی فیلتر هاست برا این که فیلتر رو کپی کنید و در قسمت فیلتر نمایشی paste کنید تا فیلتر مورد نظر اعمال بشه و بعدش ضبط اطلاعات.

مثال:

Tcp or udp port is 80(http)                                       ip.addr == network.itpro.com

توضیح دستور بالا : که میاد پروتکل های مورد نظر رو با استفاده از پروتکل های tcp یا udp درمیاره و این پورت 80 هم جریانش اینه که ما با استفاده از پورت 80 به سایت دسترسی پیدا میکنیم یعنی پورتی که http ازش استفاده میکنه 80 هستش.

خب ok رو میزنید و دیه تموم میشه بعدش میرید رو صفحه اصلی برنامه زیر ابزار های دسترسی سریع ( همون فیلتر های نمایشی) حالا دیه یه کم از فیلتر مورد نظرتون رو وارد کنید تو صفحه ظاهر میشه و اینتر بزنید میره برا دریافت پکت ها.

نکته: دوستان اگه میخوایید فیلتر های بیشتری رو بدست بیارید و بیشتر در مورد این فیلتر ها یاد بگیرید تو نت سرچ کنید انواع فیلتر برای وایرشارک براتون به نمایش میده خب فک کنم دیه فیلتر ها رو ادامه ندیم بهتر باشه. بریم سراغ این جریان رنگ بندی پروتکل ها توسط برنامه:  همونطوری که میبینید برنامه میاد برا پروتکل ها یه رنگ برا نمایش انتخاب میکنه.خب اینا رو قبلا گفتم که برا کاربری که با برنامه کار میکنه خیلی خوبه و حالا یه سری چیز دیه.

  • شاگرد: اما اینجا یه بحثی مطرح میشه که ایا مثل فیلتر ها میشه برا پروتکل مورد نظر رنگی انتخابی اعمال کنیم
  • استاد بله در وایرشارک این قابلیت وجود دارد که توسط کاربر رنگ انتخابی او در برنامه اعمال شود. خب دوستان برا اجرا مسیر زیر رو برید:

در منو ها میرید رو view ماوس بعدش در زیر منوهای این منو قسمت coloring rules رو انتخاب کنید تا این پنجره براتون باز بشه:

وب سایت توسینسو

ببینید دوستان این رنگ بندی پیش فرض برنامه است که برا پروتکل ها در نظر گرفته شده اما شما میتونید این رنگ ها رو به سلیقه خودتون برا پروتکل های مورد نظر انتخاب کنید و اونا رو دستکاری کنید یه جورایی.

  • شاگرد: استاد چطوری؟

استاد: رو پروتکل موردنظر کلیک میکنید میایید پایین در قسمت پایین پنجره دو تا دکمه وجود داره یکی background و دیگری foreground که رنگ پروتکل رو عوض میکنه روشون کلیک کنید رنگ مورد نظر رو براشون ست کنید. جدای از این عملیات ها شما میتونید یه پروتکل اضافه کنید و رنگ مورد نظر رو براش انتخاب کنید و همچنین میتونید یه پروتکل با یه رنگ خاص از یه جایی دیه import کنید به برنامتون و همجنین از برنامه تون به جایی دیه export کیند.خب اینم از رنگ های برنامه دیه چی تو چمته داریم که رو کنیم؟

نمایش Packet ها

کار با بسته های اطلاعاتی در پنجره پکت لیست یا همون پنجره نمایش پکت ها : دوستان اصلا ما با این برنامه کار میکنیم که بتونیم با پکت ها سرو کله بزنیم و با اونا ور بریم جلسات قبلی من پکت icmp رو در حد توان بررسی کردم حالا میخوام با پک ها سرو کله زنم یکم کند و کاو در پنجره پکت لیست برای بررسی جزئیات پکت ها ، خب اول بریم سراغ پنجره جستجو در برنامه که یه منو هستش که به منو ها اضافه میشه برای جستجو در پکت ها بر اساس نیاز کاربر

  • جستجو برای پیدا کردن بسته مورد نظر

اگه این برنامه باشه در حالت اول

وب سایت توسینسو

دوستان برا اضافه کردن منو جستجو به برنامه که ماسوای منوی فیلتر نمایشی در برنامه است فقط کافی است که کلید ctrl+f رو بزنید تا منو زیر ظاهر بشه

وب سایت توسینسو

خب همونطوری که میبینید منو اومده و حالا ما میخواییم با استفاده از این منو بیاییم عملیات های جستجو رو بر روی پکت ها انجام بدیم ، طریقه کارکرد با منو اینطوریه که پکت مورد نظر رو درون text box مینویسید حالا با الگو های مختلف که در زیر میگم و دکمه find رو که میزنید براتون پیدا میشه دوستان اگه فیلتر رو که درون text box وارد میکنید درست باشه بک گراندش سبز میشه و اگه غلط باشه قرمز میشه و اینو بدونید با فیلتر نادرست جواب نادرست میگیرید ، بریم قابلیت هایی که برای این منو گذاشتن رو یاد بگیریم : یه دکمه سمت چپ تکس باکس هست که اگه روش کلیک کنید 4 تا گزینه داره که شامل (display filter,hex value,string,regular expression) اینا رو بررسی کنیم:

  1. display filter: اگه دکمه رو این عبارت باشه فقط کافیه شما در تکس باکس یه عبارتی مث عبارات درون فیلتر نمایشی بنویسید مثل : http و بعدش find رو بزنید که درخواست مورد نظر اجرا بشه.
  2. یعنی یک عدد سلسله مراتبی هگزا دسیمال باید وارد بشه و بعدش find رو بزنید تا اجرا بگیرید مثل : ( 7d 1b 00) رو داخل تکس باکس بنویسید وپکت مورد نظر پیدا میشه
  3. string : با استفاده از این گزینه شما باید دنبال یه رشته خاص بگردید مثلا شما دنبال یه رشته کاراکتر خاص هستید و فقط میخوایید اونا رو پیدا کنید که درون تکس باکس رشته کاراکتر مورد جستجو رو مینویسید و find تا پیدا بشه. حالا برا امتحات میتونید رو یه پکت کلیک کنید و در قسمت پکت بایت رشته کاراکتر اونو ببینید.
  4. regular expression : این گزینه عبارات منظم در وایرشارک نسخه 2 اضافه شده که ما میتونیم عبارات منظمی که در قسمت فیلتر تعریف کردیم اینجا وارد کنیم و نتیجه بگیریم

خب این 4 گزینه تموم شد بریم بعدی

یه چک باکس کنار این منو هست که نوشته case sensitive که اگه فعالش کنیم یعنی پکت ها رو بر اساس حروف بزرگ و کوچک هم بررسی میکنه تا پیدا بشن یه جورایی همون حساس به حروف بزرگ و کوچیک خودمون . کنار چک باکس یه منو کشویی باز شو هست که 3 گزینه داره اولی میگه بر اساس باریک و عریض بودن پکت دومی میگه بر اساس کد اسکی و نوشتار سبک utf-16 و پایینش هم میگه که پکت ها رو بر اساس نوشتار سبک utf-8 بررسی کن چیزی که هست اینه که یه پکت فارسی و غیره نداریم و لی ممکنه درون یه پکت اطلاعاتی باشه که بتونیم با سبک utf-8 اونو استخراج کنیم.باز سمت چپ این منو کشویی باز شو میگه اطلاعات رو میخوایی بر اساس کدوم پنجره پیدا کنی که سه تا پنجره داریم:

  • پکتس لیست : پنجره نمایش پکت
  • پکت دیتیل: محتویات پکت های دریافتی
  • پکت بایت : بررسی پکت ها بر اساس ساختار های بیتی و هگزا و اسکی.

علامت گذاری Packet ها

در این قسمت یکم به پکت ها میپردازیم و اینکه چه کارهایی میشه با پکت ها انجام داد.

  • علامت گذاری پکت ها

همونطوری که جلسه قبل گفتیم با استفاده از پنل جستجو اومدیم پکت ها رو شناسایی کردیم حالا امروز باید با پکت هایی که پیدا شده یکم سرو کله بزنیم.فکر کنید دارید یه سری بسته دریافت میکنید و باید بین همه جستجو انجام بدین بهتره که در همون لحظه بیاید اونا رو علامت گذاری کنید و در پایان دریافت پکت های مورد نظر به تحلیل پکت های علامت گذاری شده بپردازید.

وب سایت توسینسو

همونطوری که میبینید من یه سری پکت دریافت کردم حالا میخوام پکت ها رو علامت گذاری کنم و اونا رو بررسی کنم خب رو پکت مورد نظر راست کلیک میکنم و یه پنل برا اون پکت باز میشه بریم لیست باز شده رو یکی یکی بررسی کنیم .

وب سایت توسینسو
  1. Mark/unmark packet : میگه که پکت مورد نظر رو مارکش (انتخاب) کن یا از حالت مارک خارج کن ، ببینید زمانی که من پکت رو مارک میکنم رنگش تغییر میکنه (ابی نفتی) و وقتی رو یه بسته دیگه کلیک میکنید میبینید رنگش مشکی شده. پروتکل مورد نظر tcp
  2. Ignore/unignore packet : اگه این گزینه رو انتخاب کنید مثل اینه که پکت مورد نظر رو کنار کذاشتید و اگه دوباره این گزینه رو بزنید پکت برمیگرده (برا زمانیه که به پکتی نیاز نداریم)
  3. Set/unset time refrence: در حالت اولیه تمام بسته ها در حالت set time refrense هستند ولی زمانی که شما اینو اینتخاب میکنید در ستون time این بسته زمان دریافت اون مخفی میشه.
  4. Time shift : وقتی رو این گزینه کلیک میکنید یه پنجره باز میشه که شما میتونید با استفاده از اون شماره پکت مورد نظر رو جا به جا کنید مثلا اگه شماره پک ما 334 هستش اونو به 20 تغییر بدیم وجابه جا کنیم و همچنین یه زمان دلخواه برای بسته مورد نظر ست کنیم.
  5. Packet comment : زمانی که این گزینه رو میزنید یه پنجره باز میشه و شما میتونید داستان مورد نظر رو برای این بسته بنویسید.
  6. Edit resolved name: زمانی که این گزینه رو میزنید یه منو در پایین منوهای بالا رنامه براتون باز میشه که شما اسم دلخواه رو برای پکت انتخاب میکنید در کنارش یه منو کشویی هست که ip مقصد و مبدا رو نوشته و در سمت چپ یه دکمه هست که نوشته name resolation preferences زمانی که این گزینه رو میزنید دل و روده وایرشارک رو براتون بیرون میریزه و شما میتونید خیلی چیزا رو اینجا ببینید که در سایر جا ها نمیبینید و همچنین میتونید یه سری چیزا رو تغییر بدید. مثل ظاهر بسته ها و تغییر محتویات پروتکل ها انتخاب پورت دلخواه برای پروتکل های ارسالی و...
  7. Apply as filter : با انتخاب این گزینه شما میتوانید این بسته رو به فیلتر های نمایشی ارسال کنید
  8. Prepare a filter : با انتخاب این گزینه ip بسته مورد نظر در قسمت فیلتر های نمایشی ظاهر میشه و شما میتونید اون ip رو جستجو کنید
  9. Conversation filter : این گزینه یعنی مکلمات صورت گرفته ماوس رو میارید رو این بسته یه لیست دیه باز میشه که وقتی رو Ethernet کلیک میکنید مک ادرس کارت شبکه سیستم و مک ادرس کارت شبکه مودم براتون نمایش داده میشه وقتی رو ip کلیک میکنید ip سایت مورد نظر و همچنین ip کارت شبکه مودم براتون نمایش داده میشه. و وقتی رو tcp کلیک میکنید ip address ها رو نشون میده و در کنارش port هایی که ما با استفاده از اونا ارتباط برقرار کردیم و که برا من 80 و سایت مورد نظر2220 دوستان این بسته ای که ما بررسی کردیم این گزینه هاش فعال بود اما شما میتونید بسته هایی دیگه رو هم بررسی کنید که بقیه جزئیات رو ببینید
  10. Colorize conversation : این گزینه هم رنگ مکالمات صورت گرفتته رو برای پکت نشون میده و میتونید اونا رو ببینید و تغییر بدید
  11. Decode as : زمانی که بر روی این گزینه کلیک میکنید یه پنجره براتون باز میشه که که میگه بسته چی بوده از چه پورتی استفاده شده و نوع داده ای بسته چی بوده
  12. Show packet in new window: زمانی که این گزینه رو میزنید یه پنجره براتون باز میشه که پکت دیتیل و پکت بایت رو براتون نمایش میده.

بقیه گزینه ها در این لیست بیشتر برا نمایش جزئیات رو بسته ها هست که ما کاری باهاشون نداریم.

پنجره گراف

این جلسه در مورد پنجره گراف صحبت میکنیم و یکم درون محیط گرافیکی قدمی بر دیدگان وایرشارک میگزاریم. درون نرم افزار وایرشارک یک ابزار گرافیکی جا داده شده تا کاربران بتونن پکت ها رو به صورت گرافیکی هم رصد کنن کار جالبیه چون که کاربران میتونن به یه محیط گرافیکی دست پیدا کنن و پکت ها رو تجزیه تحلیل کنند.

اولین کاری که میکنید شروع میکنید به تحلیل ترافیک یعنی میرید رو منو capture بعدش استارت تا انالیز شروع بشه.خب واسه اینکه پنجره گرافیکی برنامه رو باز کنیم در قسمت منو های برنامه منو statictis رو میزنید و بر روی زیر منو i/o grafh کلیک میکنید تا پنجره زیر براتون باز بشه :

وب سایت توسینسو

خب حالا با این پنجره خیلی کار داریم بیایید این پنجره رو به چن قسمت تقسیم کنیم ( نام گذاری با خودتون به هر طریقی را یادگیری بهتر میتونید یه اسمی روی هر قسمت بزارین.

1- صفحه نمایش یا همون نمایش گراف که میشه تصویر زیر:

وب سایت توسینسو

اگه بخوایم در مورد این قسمت بگیم تو این قسمته که ما همه چی رو میبینیم یعنی پکت های دلخواه زمان دریافت پکت زمان ارسال و ...دوستان زمانی که نشانگر ماوس رو میارید رو این قسمت نشانگر تبدیل به یه دست میشه که میتونید انالیزی که در زمان استارت صورت گرفته تا زمان حال رو ببینید این کار رو با درگ دراپ کردن ماوس انجام بدین.

2- نمایش بسته ها و کمک : زمانی که ماوس رو میبرید رو صفحه نمایش در این قسمت نشون میده که چند بسته دریافت شده و چی بوده همچنین این قسمت help پنجره هم هست یعنی ماوس رو که میارید در این قسمت نگه میدارید یه صفحه کوچیک براتون باز میشه و عملیات هایی رو که میتونید در قسمت صفحه نمایش گراف ها انجام بدین رو یادتون میده که لیست اموزش های برنامه میشه تصویر زیر:

وب سایت توسینسو

مثلا میگه با علامت + روی کیبورد میتونید گراف ها رو بزرگتر کنید یا با - اونا رو کوچیکتر کنید و ...

3- نمایش گراف های دلخواه: این قسمت رو میتونید پنل ویرایش هم نام گذاری کنید هر چی دوست دارین بستگی به خودتون داره من پنل ویرایش میگم خب تو این قسمت ما میاییم پکت هایی رو که دوست داریم انتخاب میکنیم و بارنگ لخواه و اینا که خود این قسمت چندتایی ستون داره بریم ستون هاشو توضیح بدیم:

name : یعنی نام گراف مورد نظر رو وارد کنید من میزارم mostafa_che حالا چطوری فقط کافیه رو جایی که نوشته all packet دابل کلیک کنم تا شکل پنل به حالت زیر تغییر کنه و نام مورد نظر رو بنویسم:

وب سایت توسینسو

display filter : یعنی فیلتر نمایشی درون پنجره نمایش چی باشه مثال من مینویسم http شما میتونید یه فیلتر دلخواه وارد کنید

وب سایت توسینسو

color : رنگ گراف مورد نظر رو انتخاب میکنیم.

وب سایت توسینسو

style : نحوه نمایش گراف که شما متونید به سلیقه خودتون یکی رو انتخاب کنید

وب سایت توسینسو

y axis: محور مختصات عمودی گراف هستش که میگه پکتی رو که میخوای ضبط کنی که چطور باشه مدل های مختلفی هست مثل یه پکت یا یه بایت یا یه بیت و...

وب سایت توسینسو

y field : فیلد مورد نظر برای محور عمودی رو میتونید درونش وارد کنید مثال tcp

smoothing : که میگه شما میخوای هر چند وقت یک بار نمودار جریان براتون به نمایش دربیاد که بین گزینه هایی که داره انتخاب میکنید

بریم روی پنل اخر: که عکسو در زیر قرار دادم :

وب سایت توسینسو

دکمه + : میتونید یه عملیات ضبط گرافیکی اضافه کنید

دکمه - : یه عملیات رو با کلیک بر روی اون میتونید حذف کنید

دکمه دو مربع (خخ چیزی به نظرم نرسید) : دوبلیکیت هستش یعنی میتونید از یه عملیات کپی بگیرین

سمت راست دکمه ها دو تا رادیو باتون هست که نوشته ماوس چطور باشه اگه بزارین رو drags وقتی ماوس رو میبرین رو پنل نمایش علامت ماوس شبیه دست میشه که میتونید پنل رو جلو عقب ببرین اما اگه بزارین رو حالت zoom وقتی ماوس رو میبرین رو پنل نمایش یه قسمت رو انتخاب میکنین اون قسمت گراف بزرگ میشه

و میتونین بهتر ببینین ، سمت راستش یه منو کشویی هست که نوشته interval یعنی هر چند وقت یه بار پکت انالیز کنم اونم بسته به نظر شماست و کاری که انجام میدید ، از در کنارش یه چک باکس هست که نوشته time of day یعنی زمان دریافت بسته رو میندازه زیر پنل نمایش گراف من فعال میکنم و عکسشو نشونتون میدم:

وب سایت توسینسو

باز یه چک باکس دیه هست که نوشته log scale که یعنی نمایش گراف در پنل نمایش که زمانی فعالش میکنید پنل اینطوری میشه:

وب سایت توسینسو

دکمه ریست هم یعنی همون ctrlr+z خودمون که میگه برگرد به حالت قبلی یه دکمه هست که نوشته save as که با زدن این دکمه میتونید از تحلیل گرافیکی که دارین یه pdf داشته باشین

رفع مشکل در ضبط

تو این قسمت میخواییم مشکلاتی که در ثبت گزارشات در هنگام ضبط به وجود میاد رو رفع کنیم ، ببینید دوستان تو برنامه یه زمانی هست که شما اطلاعات رو ضبط میکنید بعد میبینید پکت ها مشکل دارن که برا رفع این مشکلات تو برنامه باید به گزارشات خبره مراجعه کرد که بهش میگن expert information یا (اطلاعات خبره) حالا این گزارشاتی که رنامه به ما میده شامل پروتکل ها و گزارشات و خرابی هنگام ضبط بسته و خیلی چیزایی دیگه ، خب من الان سایت itpro رو باز کردم و تو برنامه دارم گزارش گیری میکنم حالا بزارید اطلاعات خبره رو مشاهده کنیم برا این کار میرید تو منو analyse در قسمت زیر منوها نوشته expert information روش کلیک میکنید تا پنجره زیر براتون باز بشه:

وب سایت توسینسو

خب دوستان همونطوری که میبینید این پنجره 4 تا ستون داره که هرکدومو به صورت لیست در زیر توضیح میدیم:

  1. severity : خلاصه گزارشات رو به ما نشون میده
  2. group : این ستون طبقه بندی اطلاعات رو به ما نشون میده میگه که اطلاعات دریافتی بر اساس چه موضوعی طبقه بندی شده همونطوری که میبینید طبقه بندی ها شامل sequence,malformed هست و کل گروه ها شامل (checksum,sequence,response/request code) هستش
  3. protocol : این سون پروتکل دریافتی رو نشون میده
  4. count : این ستون موقعیت بسته های دریافتی را در کل فایل به ما نشون میده

خب این از ستون ها بریم سطر ها رو هم بررسی کنیم.

  1. error (خطا) : تمامی خطاهایی که در هنگام ضبط رخ داده را نمایش میدهد
  2. war یا warning ( هشدار ها) :اطلاعات هشدار دهنده که شامل بسته های خارج از نظم و خطای تقسیم بندی ر نمایش میدهد
  3. note (یادداشت) : اطلاعاتی در مورد بسته های تکراری و همچنین درباره پروتکل ها را به نمایش میگذارد
  4. chats (ارتباط یا مکالمات): این سطر اطلاعاتی در مورد فراخوانی های ارتباطی مثل درخواست های syn+ack و فراخوانی های برنامه های کاربردی را به نمایش میگذارد

خب دوستان این هم از سطر ها.

  • شاگرد: اما هنگامی که ما خطایی دریافت کنیم توضیح کامل این خطا ها رو باید کجا ببینیم؟
  • استاد : بر روی هر کروم از چت ها راست کلیک کنید و گزینه look up رو بزنید تا توضیح کامل خطا یا ارتباط شما رو بهتون نشون بده البته باید حتما ه اینترنت متصل باشید چون توضیح کامل ارور ها درون وب سایت ها یا فروم ها قرار دارن.

بیایید یه موضوع دیگه رو هم بررسی کنیم ببینید دوستان این مکالماتی که بین ما و سرور ها و یا کلاینت هایی که در دنیای نت انجام میگیره رو بیایید با هم ببینیم.برید تو منو statistcs بعد رو گزینه conversation کلیک کنید تا پنجره زیر براتون باز بشه:

وب سایت توسینسو

خب همونطوری که مشاهده میکنید این پنجره هم شامل چن تب است که هرکدوم ازر این تب ها شامل چند ستون میباشند که با هم بررسی میکنیم : قبلش یه چیزی بگم دوستان بستری که من الان دارم استفاده میکنم ethernet هستش شما ممکنه انالیز رو رو بستر فیبر انجام بدین یا رو بستر وایرلس پس برا نمایش همه اینا یه دکمه پایین پنجره سمت راست هست که نوشته conversation type وقتی روش کلیک میکنید یه لیست باز میشه اگه میخوایید همه رو فعال کنید من همه رو فعال میکنم که بتونم توضیح بدم. شما هم همه گزینه ها رو فعال کنید تا مشکلی براتون ایجاد نشه بریم سراغ تب ها و ستون های داخل هر تب :

1- bluetooth : ارتباطات بین بستر بلوتوث رو نشون میده حالا رو تب بلوتوث کلیک کنید تا ستون های داخلیشو بررسی کنیم :

  • address a : ادرس دستگاه فرستنده رو نشون میده که میشه سورس ادرس
  • address b: ادرس دستگاه گیرنده رو نشون میده که میشه دستینیشن ادرس
  • packet : پکت های ارسالی در هر مکالمه رو نشون میده
  • bytes : حجم پکتهای ردو بدل شده در هر سطر به بایت
  • packets: پکت های دریافتی در هر مکالمه
  • bytes a : میگه فرستنده چند بایت دیتا ارسال کرد
  • packets b-a: میگه گیرنده چه پکت هایی رو به فرستنده ارسال کرد
  • bytes b-a: میگه حجم دیتای ارسالی از گیرنده به فرستنده چقد بوده
  • real start : زمان شروع مکالمه دربرنامه که به میلی ثانیه میزنه
  • duration : مکالمه چقد طول کشید به میلی ثانیه نشون میده
  • bits a-b : بیت های ارسالی از فرستده به گیرنده
  • bits b-a : بیت های ارسالی از گیرنده به فرستنده

دوستان این ستون ها در تمام تب ها یکسان هستش بریم سراغ تب ها و توضیحشون:

  1. ethernet : مکالمات در بستر اترنت رو نشون میده که وقتی روش کلیک کنید اطلاعات دستگاه فرستنده و گیرنده و همچنین مک ادرس های دستگاه های مورد نظر رو نشون میده
  2. fddi : مکالمات بر روی بستر فیبر نوری
  3. ieee 802.11 : مکالمات بر روی بستر وایرلس
  4. ip v4 :مکالمات رد و بدل شده توسط ip v4
  5. ipv6 : مکالمات صورت گرفته توسط ip v6 با سرور های مورد نظر
  6. ipx : مکالمات صورت گرفته با سیستم هایی که از بستر ipx استفاده میکنند مثل محصولات apple یا ibm اگه اشتباه نکنم
  7. token ring : مکالمات در شبکه ها یا بستر های حلقه ای
  8. udp: مکالمات دریافتی توسط udp
  9. tcp : مکالمات دریافتی توسط tcp

خب اینم از این پنجره دوستان برا ازمایش اول برنامه رو باز کنید استارت ضبط مکالمات رو بزنید برنامه که شروع به کار کرد برید سایت itpro رو باز کنید بعدش بیایید تو این پنجره مکالمات صورت گرفته رو برسی کنید مطمئن باشید اطلاعات جالبی دستتونو میگیره.

شنود Packet ها

تو این قسمت میپردازیم به ادامه شنود بسته ها یا همون امار گیری : دوستان امار گیری کلا یعنی یه مرور دوباره ای داشته باشیم روی بسته هایی که در شبکه ضبط شده حالا اگه بخواییم بهترین قسمت های شنود ترافیک رو در شبکه بگیم چند تا گزینه در منو statistic وجود داره که یکی شو که به اسم conversation بود جلسه قبلی گفتیم و بقیه شونو تو این جلسه خدمت شریفتون عرض میکنیم.

  • 1- نمایش درختی پروتکل ها :

این پنجره اطلاعات اماری پروتکل ها رو به صورت درختی نمایش میده این پنجره میاد گزینه های اماری رو با توجه به لایه و نمایش اونا در فایل ضبط شده به صورت درصدی تنظیم میکنه.خب برا نمایش این پنجره میریم رو منو statistics بعدش رو گزینه protocol heirachy رو انتخاب کنید تا پنجرهزیر براتون باز بشه:

وب سایت توسینسو

همونطوری که میبینید این پنجره نمایش درختی پروتکل ها رو نشون داده بریم روی اموزش از تب های این پنجره شروع میکنیم:

  1. protocol : نام پروتکل ها
  2. Packets : مقدار پکت های دریافتی از پروتکل ها
  3. Percent Bytes : درصد پکت های دریافتی به بایت از پروتکل های انالیز شده
  4. Bytes : تعداد بایت های دریافتی از پروتکل ها ( یعنی فلان پروتکل دریافتی چند بایت شده)
  5. Bits/s : پهنای باند اشغال شده توسط پروتکل هنگام انالیز
  6. End Packets : تعداد بسته های مطلق پروتکل که در بالاترین سطح از پشته پروتکل قرار دارد
  7. End Bytes : تعداد بایت های مطلق پروتکل که در بالاترین سطح از پشته پروتکل قرار دارد
  8. End Bits/s : پهنای باند فلان پروتکل نسبت به زمانی که در بالاترینسطح از پشته قرار داشت.
  9. prcent packet : درصد پکت دیافتی از این پروتکل (یعنی چند درصد از این پروتکل رو انالیز کردیم)

خب این از تب های این پنجره نمایش درختی پروتکل ها هم که دیگه توضیحی نداره خودش معلومه فقط شما باید انالیزتون رو نسبت به تب هایی که گفتیم انجام بدین.

  • 2- امار گیر نقطه پایانی :

امارگیر نقطه انتهایی شبیه گزینه conversation هستش با این تفاوت که میاد امار ترافیک ورودی و خروجی از یک ادرس ای پی رو نشون میده.خب برا دیدن این پنجره به منو statistic رفته و بر روی گزینه endpoint کلیک میکنید:

وب سایت توسینسو
  • 3- گراف جریان 

گراف جریان یک نمایش جدول زمانی مبتنی بر امار های ارتباطی است که نشان دهنده مکالمات مختلف بر اساس فواصل زمانی است برای نمایش این پنجره بر روی منو statistic رفته و گزینه flow graph را انتخاب کنید تا پنجره زیر برای شما نمایان شود:

وب سایت توسینسو

خب همونطوری که میبینید در ستون سمت راست پنل نمایش پکت های دریافتی رو نشون میده در بالای پنل نمایش ip خودمون رو نشون میده و داخل پنل های نمایش نالیز پکت های دریافتی اگه بخوام کلی بگم میتونیم تو این پنجره میتونیم امار تحلیلی رو برای خواندن جدول زمانی فعالیت های شبکه مون داشته باشیم همچنین میتونیم بار ارسالی بر روی شبکه مون رو ببینیم البته این پنجره خودش دنیایه اگه میخوایید در مورد این پنجره بیشتر بدونید به این لینک مراجعه کنید : لینک

جداسازی اسامی

تو این جلسه به جداسازی اسامی و جمع کردن دوباره بسته ها میپردازیم ، تو این قسمت یه سری از ویژگی های وایرشارک رو بررسی میکنیم که فرایند تحلیل ترافیک رو برای ما راحتتر میکنند.

  • جداسازی اسامی در وایرشارک

ببینید اگه بخوام راحت بگم توی دنیا ما ادما رو با کدملی میشناسن و هر ادمی یه کد ملی داره که برای اون ادم منحصر به فرده اما هروقت که بخوان تو جامعه مارو صدا بزنن هیچوقت نمیان با کدملیمون مارو صدا بزنن خب پس هرکدوم از ادما یه اسم داره که مثلا میگن مصطفی یا محسن یا...

حالا تو وایرشارک یه سری ابزار وجود داره که میاد مک ادرس رو که اینطوریه ad:bc:00:08:5d:14 با استفاده از پروتکل های dns,arp یه نام دلخواه برای اینا استفاده کنیم حالا با این کار میتونیم دستگاه های مختلف در شبکه رو شناسایی کنیم خود وایرشارک ابزار های مختلفی برای جداسازی اسامی داره که نوع مک ادرس یکی از اوناست بزارید چند نمونه از اونا رو بگیم.

  1. جداسازی نام مک ادرس : این جداسازی با استفاده از پروتکل های arp/rarp انجام میشه که میان مک ادرس رو به ip ادرس تبدیل میکنن.
  2. جداسازی نام شبکه : این کار با استفاده از پروتکل dns انجام میشه که میاد ip ادرس رو به یک نام قابل فهم تبدیل میکنه
  3. جداسازی نام انتقال : با استفاده از عمل برای هر سرویس یک پورت یا درگاه برای شناسایی بهتر در نظر گرفته میشو مثال برای سرویس http درگاه 80 رو استفاده میکنه.

خب بزارید اینایی رو که گفتیم عملی کار کنیم:

  1. شروع به ضبط اطلاعات کنید
  2. برنامه رو stop کنید
  3. میرید رو منو capture گزینه option رو انتخاب میکنید تا یه پنجره براتون باز بشه تب option رو اننخاب کنید تا پنجره زیر براتو ظاهر بشه:
وب سایت توسینسو

سمت راست پنجره انواع name resolation رو میتونید فعال کنید.خب حالا بعد از انتخاب گزینه های دلخواه میبینید که همشون نیست پس برا انتخاب تمام ابزار ها و دیدن اونا به منو edit برید و گزینه preference رو انتخاب کنید تا پنجره زیر براتون ظاهر بشه :

وب سایت توسینسو

حالا تو منو سمت چپ برنامه name resolation رو انتخاب کنید تا این پنجره براتون باز بشه:

وب سایت توسینسو

خب حالا تو این پنجره بسته به نیازتون میتونید گزینه مورد نظر رو انتخاب کنید و ok رو بزنید که تو برنامه اعمال بشه.بزارید یکم از این پنجره براتون بگم همین پنجره اون پایینو نگاه کنید نوشته : geo ip database directories جلوش یه دکمه edit هست حالا این چیه:

زمانی که این دکمه رو میزنید شما خودتون میتونید یه geo ip به وایرشارک اضافه کنید این کار باعث میشه دیتابیس وایرشارک بهتر بشه و درنتیجه جداسازی رو بهتر انجام بده و در اخر با یه دیتابیس قوی تر کار جداسازی رو انجام بده همون جریان پوکمون هست که خودمون به نقشه اضافه میکنیم اینم یه geo ip بهش اضافه میکنن و از این حرفا که خودتون خبره این مسائلید:

حالا این تفکیکی که ما انجام میدیم یه سریمشکلات داره مثل: سربار اضافی روی بسته ها اعمال میکنه که پردازش اونا بیشتر طول میکشه و یه چیز دیه هم هست اونم اینه که شما وقتی داری ضبط زنده انجام میدی ممکنه تمام اطلاعات مورد نظر دریافت نشه و یه جورایی تداخل ایجاد بشه.

  • جمع اوری دوباره بسته ها:

فرایند جمع اوری بست ها میاد یه سری از بسته هایی رو که ضبط شده به صورت تکه تکه میکنه بعد این تیکه ها همه با هم ترکیب میشن و یه قالب کامل رو تشکیل میدن که نمایش رو میتونیم درون پنل packet byte که تو صفحه اصلی هستش ببینیم.حالا برای مثال یه درخواست http get میتونه به تکه های کوچکی تقسیم بشه حالا برای جمع اوری دوباره وایرشارک میاد فرایند انتقال درخواست رو تکمیل میکنه یه صفحه html مشابه ایجاد میکنه که اطلاعات در قالب کامل ظاهر بشه حالا اگه بخواییم اون اطلاعات جدید که وایرشارک اضافه کرد رو ببینیم میریم رو پنل جزئیات و اطلاعات رو کامل بررسی میکنیم:

مثال عملی: استارت کار رو در وایرشارک میزنیم

یه ادرس در مرور گر وارد میکنیم:

www.tosinso.com

بعد از اون میبینیم 8 تا درخواست http رد و بدل شده که 4 تا درخواست request و 4 تا درخواست get هستش.

وب سایت توسینسو

حالا واسه دیدن جزئیات درخواست مورد نظر کافیه که بر روی یکی از این پکت ها کلیک کنیم و بریم رو پنل جزئیات پروتکل که لیست جزئیات رو بیرون بکشیم و همونطوری که میبینید برنامه میاد تمام درخواست ها روتکه تکه میکنه بعد جمع اوری میکنه تا اطلاعات در پنل جزئیات کامل بشه و یک قالب مشخص بگیره.دلیل کار هم اینه که هم ما میبینیم چند تا پکت ردوبدل میشه و هم میتونیم اطلاعات کامل رو در یک جا ببینیم و همه رو بررسی نکنیم.

  • آیا یادگیری وایرشارک | Wireshark آسان است؟

    یادگیری محیط کار و نصب و کار کردن با وایرشارک چندان سخت نیست اما تجزیه و تحلیل ترافیک دریافتی و شنود شده در وایرشارک اصل ماجراست که شما باید در درک سرویس ها و پروتکل های شبکه به خوبی حرفه ای شوید و به مرور زمان از داخل وایرشارک تحلیل های ترافیکی درستی را در بیاورید.
  • آیا دستورات وایرشارک را باید کامل یاد گرفت؟

    یادگیری وایرشارک به عنوان یک تحلیل گر ترافیکی طبیعی است که کار چندان آسانی نیست اما شما می توانید از محیط گرافیکی هم برای تجزیه و تحلیل استفاده کنید و الزامی نیست که همه دستورات خط فرمانی Wireshark را یاد بگیرید

مصطفی چگنی
مصطفی چگنی

متخصص تجهیزات امنیتی و حفاظتی

mosifa.ir بازار بزرگ تجهیزات حفاظتی امنیتی ایران

27 تیر 1395 این مطلب را ارسال کرده

نظرات