الصفحة الرئيسية » howto » 5 الخدع القاتل للحصول على أقصى استفادة من Wireshark

    5 الخدع القاتل للحصول على أقصى استفادة من Wireshark

    تمتلك Wireshark عددًا قليلاً من الحيل في جعبتها ، بدءًا من التقاط الحركة البعيدة إلى إنشاء قواعد الجدار الناري استنادًا إلى الحزم التي تم التقاطها. اقرأ بعض النصائح المتقدمة إذا كنت تريد استخدام Wireshark كمحترف.

    لقد قمنا بالفعل بتغطية الاستخدام الأساسي لـ Wireshark ، لذا تأكد من قراءة مقالتنا الأصلية للحصول على مقدمة لأداة تحليل الشبكة القوية هذه.

    قرار اسم الشبكة

    أثناء التقاط الحزم ، قد تكون منزعجًا من أن Wireshark تعرض عناوين IP فقط. يمكنك تحويل عناوين IP إلى أسماء النطاقات بنفسك ، لكن ذلك ليس مناسبًا للغاية.

    يمكن لـ Wireshark حل عنوان IP هذا تلقائيًا لأسماء المجال ، على الرغم من عدم تمكين هذه الميزة بشكل افتراضي. عند تمكين هذا الخيار ، سترى أسماء النطاقات بدلاً من عناوين IP كلما أمكن ذلك. الجانب السلبي هو أنه يتعين على Wireshark البحث عن كل اسم نطاق ، وتلويث حركة المرور التي تم التقاطها مع طلبات DNS إضافية.

    يمكنك تمكين هذا الإعداد عن طريق فتح نافذة التفضيلات من تصحيح -> تفضيلات, النقر على تحليل الاسم لوحة والنقر على "تمكين تحليل اسم الشبكة"خانة الاختيار.

    بدء الالتقاط تلقائيا

    يمكنك إنشاء اختصار خاص باستخدام وسيطات سطر الأوامر Wirshark إذا كنت تريد بدء تشغيل الحزم دون تأخير. ستحتاج إلى معرفة رقم واجهة الشبكة التي تريد استخدامها ، استنادًا إلى ترتيب يعرض Wireshark الواجهات.

    قم بإنشاء نسخة من اختصار Wireshark ، ثم انقر بزر الماوس الأيمن عليه ، وانتقل إلى نافذة خصائصه وقم بتغيير وسائط سطر الأوامر. إضافة -أنا # ك في نهاية الاختصار ، استبدال # مع رقم الواجهة التي تريد استخدامها. يحدد الخيار -i الواجهة ، بينما يخبر الخيار -k Wireshark لبدء الالتقاط على الفور.

    إذا كنت تستخدم Linux أو نظام تشغيل آخر غير Windows ، فما عليك سوى إنشاء اختصار باستخدام الأمر التالي ، أو تشغيله من محطة طرفية لبدء الالتقاط على الفور:

    wireshark -i # -k

    لمزيد من اختصارات سطر الأوامر ، راجع صفحة دليل Wireshark.

    التقاط حركة المرور من أجهزة الكمبيوتر عن بعد

    يلتقط Wireshark الزيارات من واجهات النظام المحلية بشكل افتراضي ، ولكن هذا ليس الموقع الذي تريد التقاطه منه دائمًا. على سبيل المثال ، قد ترغب في التقاط حركة المرور من جهاز توجيه أو خادم أو جهاز كمبيوتر آخر في موقع مختلف على الشبكة. هذا هو المكان الذي تأتي فيه ميزة التقاط Wireshark عن بعد. تتوفر هذه الميزة فقط على Windows في الوقت الحالي - توصي الوثائق الرسمية لشركة Wireshark بأن مستخدمي Linux يستخدمون نفق SSH.

    أولا ، سيكون عليك تثبيت WinPcap على النظام البعيد. WinPcap يأتي مع Wireshark ، لذلك ليس لديك لتثبيت WinPCap إذا كان لديك بالفعل Wireshark مثبتة على النظام البعيد.

    بعد أن يتم إيقاف ، افتح نافذة الخدمات على الكمبيوتر البعيد - انقر فوق ابدأ ، اكتب services.msc في مربع البحث في قائمة ابدأ واضغط على Enter. حدد موقع بروتوكول التقاط الحزمة عن بعد الخدمة في القائمة وبدء ذلك. يتم تعطيل هذه الخدمة بشكل افتراضي.

    انقر على التقاط الخيارق الرابط في Wireshark ، ثم حدد التحكم عن بعد من مربع الواجهة.

    أدخل عنوان النظام البعيد و 2002 كميناء يجب أن يكون لديك الوصول إلى منفذ 2002 على النظام البعيد للاتصال ، لذلك قد تحتاج إلى فتح هذا المنفذ في جدار حماية.

    بعد الاتصال ، يمكنك تحديد واجهة على النظام البعيد من مربع القائمة المنسدلة الواجهة. انقر بداية بعد اختيار واجهة لبدء الالتقاط عن بعد.

    Wireshark في محطة (TShark)

    إذا لم يكن لديك واجهة رسومية على نظامك ، فيمكنك استخدام Wireshark من محطة طرفية باستخدام الأمر TShark.

    أولا ، إصدار tshark -D أمر. سيعطيك هذا الأمر أرقام واجهات الشبكة الخاصة بك.

    بمجرد لديك ، قم بتشغيل tshark -i # الأمر ، مع استبدال الرقم # برقم الواجهة الذي تريد التقاطه.

    تعمل TShark مثل Wireshark ، وتطبع حركة المرور التي تلتقطها إلى المحطة. استعمال على Ctrl-C عندما تريد إيقاف الالتقاط.

    لا تعد طباعة الحزم إلى المحطة السلوك الأكثر فائدة. إذا أردنا فحص حركة المرور بمزيد من التفصيل ، فيمكن أن نقوم بتفريغ TShark إلى ملف يمكننا فحصه فيما بعد. استخدم هذا الأمر بدلاً من تفريغ حركة المرور إلى ملف:

    tshark -i # -w اسم الملف

    لن يعرض لك TShark الحزم أثناء التقاطها ، ولكن سيتم احتسابها أثناء التقاطها. يمكنك استعمال ال ملف -> افتح الخيار في Wireshark لفتح ملف الالتقاط لاحقًا.

    لمزيد من المعلومات حول خيارات سطر الأوامر TShark ، راجع صفحة الدليل الخاصة به.

    إنشاء قواعد ACL في جدار الحماية

    إذا كنت مسؤول الشبكة المسؤول عن جدار الحماية وكنت تستخدم Wireshark للتكتم ، فقد ترغب في اتخاذ إجراء بناءً على حركة المرور التي تشاهدها - ربما لحظر بعض حركة المرور المشبوهة. وإيثار ريال قواعد ACL جدار الحماية تقوم الأداة بتوليد الأوامر التي ستحتاج إليها لإنشاء قواعد جدار الحماية على جدار الحماية الخاص بك.

    أولاً ، حدد حزمة تريد إنشاء قاعدة جدار حماية استناداً إليها عن طريق النقر فوقها. بعد ذلك ، انقر فوق أدوات القائمة واختيار قواعد ACL جدار الحماية.

    استخدم ال المنتج القائمة لتحديد نوع جدار الحماية الخاص بك. يدعم Wireshark Cisco IOS ، أنواع مختلفة من جدران الحماية Linux ، بما في ذلك iptables وجدار حماية Windows.

    يمكنك استعمال ال منقي مربع لإنشاء قاعدة استنادًا إلى عنوان MAC الخاص بالنظام أو عنوان IP أو المنفذ أو كل من عنوان IP والمنفذ. قد ترى خيارات تصفية أقل ، بناءً على منتج جدار الحماية.

    بشكل افتراضي ، تنشئ الأداة قاعدة ترفض حركة المرور الواردة. يمكنك تعديل سلوك القاعدة عن طريق إلغاء تحديد بالوارد أو أنكر خانات. بعد إنشاء قاعدة ، استخدم نسخ زر لنسخه ، ثم تشغيله على جدار الحماية الخاص بك لتطبيق القاعدة.


    هل تريد منا كتابة أي شيء محدد حول Wireshark في المستقبل؟ أخبرنا في التعليقات إذا كان لديك أي طلبات أو أفكار.