الصفحة الرئيسية » howto » كيفية التعرف على سوء استخدام الشبكة مع Wireshark

    كيفية التعرف على سوء استخدام الشبكة مع Wireshark

    Wireshark هو سكين الجيش السويسري من أدوات تحليل الشبكة. سواء كنت تبحث عن حركة مرور من نظير إلى نظير على شبكتك أو ترغب فقط في معرفة مواقع الويب التي يصل إليها عنوان IP محدد ، فإن Wireshark يمكن أن يعمل من أجلك.

    لقد قدمنا ​​في وقت سابق مقدمة إلى Wireshark. وهذا المنشور يعتمد على مشاركاتنا السابقة. ضع في اعتبارك أنك يجب أن تلتقط في موقع على الشبكة حيث يمكنك مشاهدة حركة مرور كافية على الشبكة. إذا قمت بعملية التقاط على محطة العمل المحلية ، فمن المحتمل ألا ترى غالبية حركة المرور على الشبكة. تستطيع Wireshark القيام بالتقاط الصور من مكان بعيد - تحقق من مشاركة Wireshark الخاصة بنا للحصول على مزيد من المعلومات حول ذلك.

    تحديد حركة المرور من نظير إلى نظير

    يعرض عمود بروتوكول Wireshark نوع بروتوكول كل حزمة. إذا كنت تنظر إلى التقاط Wireshark ، فقد تشاهد تورنت أو حركة مرور أخرى من نظير إلى نظير.

    يمكنك أن ترى فقط ما هي البروتوكولات المستخدمة على شبكتك من التسلسل الهرمي للبروتوكول أداة ، وتقع تحت الإحصاء قائمة طعام.

    تعرض هذه النافذة تصنيف استخدام الشبكة حسب البروتوكول. من هنا ، يمكننا أن نرى أن ما يقرب من 5 في المائة من الحزم على الشبكة هي رزم بت تورنت. لا يبدو ذلك كثيرًا ، ولكن يستخدم BitTorrent أيضًا حزم UDP. ما يقرب من 25 في المائة من الحزم المصنفة على أنها حزم بيانات UDP هي أيضاً حركة مرور بت تورنت هنا.

    يمكننا عرض حزم BitTorrent فقط عن طريق النقر بزر الماوس الأيمن على البروتوكول وتطبيقه كمرشح. يمكنك القيام بنفس الشيء مع أنواع أخرى من حركة المرور من نظير إلى نظير قد تكون موجودة ، مثل Gnutella أو eDonkey أو Soulseek.

    باستخدام الخيار تطبيق مرشح يطبق مرشح "تورنت.يمكنك تخطي قائمة النقر بزر الماوس الأيمن وعرض حركة بروتوكول بكتابة اسمها مباشرةً في مربع الفلتر.

    من حركة المرور التي تمت تصفيتها ، يمكننا أن نرى أن عنوان IP المحلي الخاص بـ 192.168.1.64 يستخدم BitTorrent.

    لعرض جميع عناوين IP التي تستخدم BitTorrent ، يمكننا تحديدها النهاية في ال الإحصاء قائمة طعام.

    انقر فوق إلى عناوين IPv4 علامة التبويب وتمكين "الحد لعرض مرشح"خانة الاختيار. سترى كل من عناوين IP البعيدة والمحلية المرتبطة بحركة مرور BitTorrent. يجب أن تظهر عناوين IP المحلية في أعلى القائمة.

    إذا كنت ترغب في رؤية أنواع مختلفة من البروتوكولات يدعم Wireshark وأسماء التصفية الخاصة بها ، حدد تمكين البروتوكولات تحت تحليل قائمة طعام.

    يمكنك البدء في كتابة بروتوكول للبحث عنه في نافذة البروتوكولات الممكّنة.

    رصد موقع الوصول

    الآن بعد أن عرفنا كيفية كسر المرور من خلال البروتوكول ، يمكننا كتابة "HTTP"في مربع الفلتر لمشاهدة حركة مرور HTTP فقط. مع تحديد الخيار "تمكين تحليل اسم الشبكة" ، سنرى أسماء مواقع الويب التي يتم الوصول إليها على الشبكة.

    مرة أخرى ، يمكننا استخدام النهاية الخيار في الإحصاء قائمة طعام.

    انقر فوق إلى عناوين IPv4 علامة التبويب وتمكين "الحد لعرض مرشح"خانة الاختيار مرة أخرى. يجب عليك أيضا التأكد من أن "تحليل الاسم"تم تمكين مربع الاختيار أو سترى عناوين IP فقط.

    من هنا ، يمكننا رؤية مواقع الويب التي يتم الوصول إليها. كما ستظهر في القائمة الشبكات الإعلانية ومواقع ويب الجهات الخارجية التي تستضيف البرامج النصية المستخدمة في مواقع الويب الأخرى.

    إذا أردنا تحطيم هذا العنوان بواسطة عنوان IP محدد لمعرفة ما الذي يتصفحه عنوان IP واحد ، فيمكننا القيام بذلك أيضًا. استخدم الفلتر المشترك http و ip.addr == [عنوان IP] لرؤية حركة HTTP المرتبطة بعنوان IP محدد.

    افتح مربع الحوار "نقاط النهاية" مرة أخرى وستظهر قائمة بمواقع الويب التي يتم الوصول إليها بواسطة عنوان IP المحدد هذا.


    هذا كله مجرد خدش سطح ما يمكنك القيام به مع Wireshark. يمكنك إنشاء فلاتر أكثر تقدمًا ، أو حتى استخدام أداة Firewall ACL Rules من مشاركة حيل Wireshark لدينا لحظر أنواع الزيارات التي ستجدها هنا بسهولة.