Wireshark یکی از ابزارهای تجزیه و تحلیل شبکه است که با عنوان Ethereal نیز شناخته میشود. این نرمافزار، پکتها را در لحظه میگیرد، و آنها را به فرمتی که برای کاربر قابل خواندن است، نمایش میدهد. Wireshark شامل فیلتر کردن، رنگی نشان دادن کدها و سایر ویژگیهایی است تا بتوانید بررسی عمیقی روی ترافیک شبکه انجام دهید.
در این آموزش به سرعت یاد میگیرید که چطور با استفاده از Wireshark پکتها را بگیرید، فیلتر و آنها را بررسی کنید. با استفاده از این ابزار میتوانید ترافیک شبکه برنامه مشکوکی را بررسی و آن را آنالیز کنید.
Wireshark را دانلود کنید
اگر از سیستم عاملهای Windows یا Mac استفاده میکنید، میتوانید Wireshark را از سایت رسمی این نرمافزار دانلود کنید. و اگر از یکی از توزیعهای سیستم عامل گنو/لینوکس استفاده میکنید (آفرین بر شما) از طریق مخازن میتوانید بسته نصبی را دریافت کنید.
توجه داشته باشید که برخی سازمانها و شرکتها، اجازه نمیدهند از Wireshark یا نرمافزارهای مشابه روی شبکهشان استفاده کنید. بنابراین مطمئن باشید که از قبل اجازه این کار را گرفته باشید.
گرفتن پکتها -Capturing Packets
بعد از دانلود و نصب این نرمافزار، میتوانید آن را اجرا کنید. Interface مورد نظرتان را انتخاب کنید، برای مثال اگر میخواهید ترافیک شبکه بیسیمتان را مانیتور کنید، باید wireless interface را انتخاب کنید.
به محض اینکه اینترفیس مورد نظر را انتخاب و دکمه Start را کلیک کردید، پکتها را در لحظه خواهید دید. Wireshark پکتهایی که از سیستم شما خارج و یا وارد سیستم شما میشوند را نشان میدهد.
اگر میخواهید گرفتن بستهها را متوقف کنید، از نوار ابزار بالا سمت چپ دکمه stop capture را کلیک کنید.
توضیح رنگها در Wireshark :
همانطور که میبینید، پکتها با چند رنگ سبز، آبی و سیاه نشان داده میشوند. این نوع نمایش برای تشخیص نوع ترافیک است. به صورت پیش فرض رنگ سبز ترافیک TCP، آبی پر رنگ ترافیک DNS، آبی کمرنگ ترافیک UDP و رنگ سیاه ترافیک پکتهای TCP که مشکلدار هستند -برای مثال پکتهایی که خارج از ترتیب به مقصد رسیدهاند- را مشخص میکنند.
مرور فایلهای قبلی
در صورتی که فایلهای قبلی را ذخیره کرده باشید، در صفحه اول پنجره Wireshark، در قسمت File میتوانید روی Open کلیک کنید و فایل مورد نظر را برای بررسی باز کنید.
فیلتر کردن پکتها
اگر بخواهید چیز بخصوصی را بررسی کنید – برای مثال ترافیک یک برنامه مشخص – میتوانید از فیلتر پکتها استفاده کنید. در اینصورت بقیه ترافیکها بسته میشوند و فقط ترافیک برنامهای که مشخص کردهاید نشان داده میشود.
معمولترین راه استفاده از امکان فیلتر Wireshark، استفاده از نوار فیلتر است. برای مثال اگر در قسمت فیلتر بنویسید dns، فقط پکتهای dns را میبینید.
همچنین با انتخاب Display Filters از منوی Analyze، میتوانید فیلتر جدید ایجاد کنید.
با راست کلیک کردن روی پکت و انتخاب Follow TCP Stream میتوانید، ارتباط کامل بین کلاینت و سرور را ببینید.
اگر پنجره را ببندید، خواهید دید که فیلتر جدید اعمال شده است.
بررسی پکتها :
روی یک پکت کلیک کنید، جزئیات فراوانی از آن پکت را در قسمت پایین خواهید دید.
Wireshark یک ابزار قدرتمند برای مانیتور ترافیک شبکه است. این مطلب فقط معرفی کوتاهی از Wireshark بود. در آینده به نحوه بررسی پکتها خواهیم پرداخت.
*تفاوت عکسهای این مطلب با نرمافزاری که شما دانلود میکنید، به دلیل تفاوت نسخهها است.
منبع: http://www.howtogeek.com/104278/how-to-use-wireshark-to-capture-filter-and-inspect-packets/
[…] شبکه خود را مانیتور کنید […]