Network Packet Capturing and Analysis with Wireshark

التقاط حزم الشبكة وتحليلها باستخدام Wireshark

يعد اختبار الاختراق أحد أقوى وسائل الدفاع التي تستخدمها الشركات ضد الهجمات الإلكترونية. فمن خلال محاكاة الهجمات في بيئة آمنة وخاضعة للرقابة، يمكن لمختبري الاختراق تحديد نقاط الضعف في بيئة تكنولوجيا المعلومات وإصلاحها بسهولة أكبر قبل أن يتمكن الجهات الخبيثة من استغلالها.

الخبر السار هو أن مختبري الاختراق لا يفتقرون إلى الأدوات، بما في ذلك Wireshark، وهي أداة لالتقاط وتحليل الحزم يستخدمها عادةً مسؤولو الشبكات ومحترفو أمن تكنولوجيا المعلومات. إذًا، ما هو Wireshark، وكيف يتم استخدامه في اختبار الاختراق؟ سيغطي هذا البرنامج التعليمي الخاص بـ Wireshark كل ما تحتاج إلى معرفته حول استخدام Wireshark.

ما هو Wireshark؟

للإجابة على السؤال "ما هو برنامج Wireshark؟"، يجب عليك أولاً فهم مفهوم حزمة الشبكة. حزم الشبكة عبارة عن "قطع" أو وحدات بيانات يتم إرسالها بين جهازين متصلين على شبكة باستخدام بروتوكولات مثل TCP/IP. تتكون كل حزمة من رأس يحتوي على بيانات وصفية حول الحزمة (مثل مصدرها ووجهتها) وحمولة (المحتوى الفعلي للحزمة، مثل البريد الإلكتروني أو صفحة الويب).
Wireshark هو تطبيق برمجي مجاني مفتوح المصدر لالتقاط وتحليل حزم الشبكة. يمكن أن يساعد Wireshark المستخدمين في اكتساب رؤى قيمة حول نشاط الشبكة وتحديد المشكلات أو التهديدات من خلال التقاط وتحليل هذه الحزم.

استخدامات Wireshark

يعود قدر كبير من شعبية Wireshark إلى مرونتها وتعدد استخداماتها. تحتوي أداة Wireshark على العديد من حالات الاستخدام، بما في ذلك:

  • استكشاف الأخطاء وإصلاحها: يمكن لمسؤولي الشبكة فهم ما يحدث في بيئة تكنولوجيا المعلومات الخاصة بهم بشكل أفضل من خلال تحليل الحزم التي تم التقاطها في Wireshark. يمكن أن يساعد هذا في تشخيص مشكلات الشبكة واستكشاف الأخطاء وإصلاحها.
  • تحليل الشبكة: تعتبر الحزم التي يلتقطها برنامج Wireshark مفيدة لمراقبة الشبكة والتحقيق الجنائي فيها. على سبيل المثال، يمكن لبرنامج Wireshark اكتشاف العديد من الهجمات الشائعة المستندة إلى الشبكة، مثل فحص المنافذ والهجمات باستخدام FTP أو ICMP أو BitTorrent.
  • تطوير البرمجيات: يساعد Wireshark مهندسي البرمجيات أثناء عملية التطوير والاختبار. على سبيل المثال، يمكن أن يساعد Wireshark في تصحيح المشكلات المتعلقة بسلوك الشبكة غير المتوقع أو مشكلات الأداء.
  • التعليم: تدعم مؤسسة Wireshark غير الربحية تطوير Wireshark وتروج لاستخدامه في البرامج التعليمية. Wireshark هي أداة شائعة الاستخدام في شهادات اختبار الاختراق والتدريب.

مميزات برنامج Wireshark

يتمتع برنامج Wireshark بالعديد من الميزات والوظائف القيمة، مما يجعله إضافة لا تقدر بثمن لمجموعة أدوات أي متخصص في أمن تكنولوجيا المعلومات. تتضمن ميزات برنامج Wireshark ما يلي:

  • التقاط الحزم المباشرة: باستخدام Wireshark، يمكن للمستخدمين التقاط حزم الشبكة في الوقت الفعلي، مما يوفر رؤى محدثة حول نشاط الشبكة.
  • التحليل التفصيلي: يوفر Wireshark تفاصيل مختلفة حول رأس ومحتويات كل حزمة، مما يسمح للمستخدمين بتصفية حركة المرور التي يريدون عرضها وتحليلها.
  • دعم لآلاف البروتوكولات: حتى وقت كتابة هذا المقال، يعد Wireshark متوافقًا مع أكثر من 3000 بروتوكول شبكة، مما يجعله مفيدًا في مجموعة واسعة من التطبيقات (Wireshark).
  • دعم منصات متعددة: يعد Wireshark متوافقًا مع أنظمة التشغيل Windows وmacOS وLinux، مما يجعله في متناول ملايين المستخدمين المهتمين بالشبكات وأمان تكنولوجيا المعلومات.

استخدام Wireshark في اختبار الاختراق

على الرغم من أن Wireshark يتمتع بالعديد من الميزات وحالات الاستخدام، فإن أحد أكثر تطبيقاته شيوعًا هو اختبار الاختراق. تشمل الطرق التي يتم بها استخدام Wireshark في اختبار الاختراق ما يلي:

  • استطلاع الشبكة: يمكن لمختبري الاختراق استخدام Wireshark لإجراء الاستطلاع: تحديد الأهداف مثل المنافذ والأجهزة والخدمات استنادًا إلى نوع وكمية حركة المرور على الشبكة التي يتبادلونها.
  • تحليل حركة المرور: يمكن لـ Wireshark تشغيل عمليات مسح على حركة المرور على الشبكة للكشف عن إشارات النشاط الضار، مثل الحمولات غير العادية أو الزيادات في أنماط حركة المرور من موقع معين.
  • كسر كلمة المرور: يجب أن تستخدم حزم الشبكة التي تحتوي على بيانات اعتماد المستخدم مثل أسماء المستخدمين وكلمات المرور التشفير من أجل الأمان. ومع ذلك، يمكن لمختبري الاختراق محاولة تحديد هذه الحزم وكسرها لاختبار نقاط الضعف.
  • هجمات رفض الخدمة (DoS): تحاول هجمات رفض الخدمة منع المستخدمين الشرعيين من الوصول إلى خادم أو مورد من خلال إغراقها بحركة مرور ضارة. يمكن لمحترفي أمن تكنولوجيا المعلومات استخدام Wireshark للكشف عن هجمات رفض الخدمة والتخفيف منها من خلال حظر حركة المرور من مصادر أو مواقع محددة.

التقاط الحزم في Wireshark

للبدء في استخدام Wireshark، يجب على المستخدمين أولاً تحديد نوع حزم الشبكة التي يرغبون في التقاطها. يتضمن التقاط الحزم في Wireshark اتباع الخطوات التالية:

  1. حدد واجهة الشبكة: أولاً، يجب على المستخدمين تحديد واجهة الشبكة المناسبة التي سيتم التقاط الحزم منها. من المحتمل أن يكون هذا هو اسم محول الشبكة السلكي أو اللاسلكي الذي يستخدمه الجهاز الحالي.
  2. تكوين خيارات الالتقاط: يمكن لمستخدمي Wireshark الاختيار من بين خيارات متنوعة عند التقاط حزم الشبكة. يمكن للمستخدمين تكوين نوع الحزم المراد التقاطها، وعدد البايتات المراد التقاطها لكل حزمة، وحجم مخزن النواة لالتقاط الحزمة، واسم الملف وتنسيق الالتقاط، وغير ذلك الكثير.
  3. بدء التقاط الحزمة: بمجرد إعداد عملية التقاط الحزمة، يمكن للمستخدمين بدء عملية التقاط الحزمة باستخدام Wireshark. سيقوم Wireshark تلقائيًا بالتقاط جميع الحزم المرسلة والمستلمة بواسطة الجهاز الحالي وواجهة الشبكة باستخدام الخيارات المقدمة.
  4. إنهاء التقاط الحزمة: عند اكتمال العملية، يمكن للمستخدمين إيقاف التقاط الحزمة يدويًا أو تلقائيًا في Wireshark (على سبيل المثال، بعد التقاط عدد محدد من الحزم). سيتم حفظ النتائج في ملف لتحليلها لاحقًا.

تحليل حزم البيانات في Wireshark

بعد اكتمال التقاط الحزمة، يمكن للمستخدمين أيضًا إجراء تحليل لحزمة الشبكة باستخدام Wireshark. أولاً، يجب أن يكون المستخدمون على دراية بالمرشحات والخيارات المختلفة المتاحة في Wireshark. على سبيل المثال، يمكن لأداة Wireshark تسمية أنواع مختلفة من حركة المرور تلقائيًا بألوان مختلفة (على سبيل المثال، الحزم التي تستخدم TCP/IP بلون واحد أو الحزم التي تحتوي على أخطاء بلون آخر).

لتحليل حزم البيانات في Wireshark، افتح أولاً الملف المقابل الذي تم حفظه بعد عملية التقاط الحزمة. بعد ذلك، يمكن للمستخدمين تضييق نطاق بحثهم باستخدام خيارات التصفية في Wireshark. فيما يلي بعض الاحتمالات لاستخدام مرشحات Wireshark:

  • إظهار حركة المرور من منفذ معين فقط.
  • إظهار الحزم التي تحتوي على تسلسل بايتات معين فقط.
  • إظهار حركة المرور إلى مصدر معين أو من وجهة معينة فقط.

يمكن للمستخدمين تحديد حزمة معينة في واجهة Wireshark لعرض المزيد من التفاصيل حول هذه الحزمة. تحتوي لوحة تفاصيل الحزمة في Wireshark على معلومات إضافية حول عنوان IP الخاص بالحزمة والرأس وبيانات الحمولة والمزيد (Wireshark).

كيف يساعد C|PENT في اختبار Wireshark والاختراق

إذا كنت مهتمًا بتعزيز مهاراتك في اختبار الاختراق، فإن برنامج C|PENT (محترف اختبار الاختراق المعتمد) من EC-Council يوفر لك المزيج الصحيح من المعرفة النظرية والعملية بالإضافة إلى وحدات عملية لبدء أو تعزيز حياتك المهنية كمختبر اختراق. تقدم شهادة C|PENT تدريبًا مكثفًا يساعد الطلاب على إتقان أدوات وتقنيات اختبار الاختراق التي يحتاجون إليها في العالم الحقيقي.

هل أنت مستعد لتعزيز مسيرتك المهنية في مجال اختبار الاختراق؟ تعرف على المزيد حول شهادة CPENT .

مراجع

  1. Wireshark. مرجع مرشح العرض. https://www.wireshark.org/docs/dfref/
  2. Wireshark. 3.19. لوحة "تفاصيل الحزمة". https://www.wireshark.org/docs/wsug_html_chunked/ChUsePacketDetailsPaneSection.html

عن المؤلف

ديفيد تيدمارش هو مبرمج وكاتب. عمل كمطور برامج في معهد ماساتشوستس للتكنولوجيا، وحصل على درجة البكالوريوس في التاريخ من جامعة ييل، وهو حاليًا طالب دراسات عليا في علوم الكمبيوتر في جامعة تكساس في أوستن.

هل أنت مستعد للانتقال بمسيرتك المهنية في مجال الأمن السيبراني إلى المستوى التالي؟ لا تبحث أبعد من شهادات CPENT وLPT، وهي الشهادات الأكثر قيمة في عالم اختبار الاختراق اليوم. تعد هذه الشهادات من بين شهادات الأمن الأعلى أجراً على مستوى العالم، ويمكنها أن تفتح لك أبواب فرص عمل مربحة في صناعة الأمن السيبراني.

أطلق العنان لإمكانياتك مع شهادات CPENT وLPT!

مع مجموعة CPENT iLearn

مع مجموعة CPENT iLearn بسعر 999 دولارًا فقط، يمكنك الحصول على شهادتين دوليتين مرموقتين في نفس الوقت: CPENT وLPT من EC-Council. تتضمن هذه المجموعة الشاملة كل ما تحتاجه للتحضير لامتحان CPENT واجتيازه، بما في ذلك قسيمة امتحان CPENT ، والتي تتيح لك إجراء الامتحان عبر الإنترنت من خلال RPS في أي وقت يناسبك خلال 12 شهرًا.

توفر دورة الفيديو التعليمية ذاتية التوجيه عبر الإنترنت CPENT ، المتاحة على منصة iClass التابعة لـ EC-Council، إرشادات عملية وعملية لجعل استعدادك للاختبار سلسًا. مع إمكانية الوصول لمدة عام واحد، ستتلقى تعليمات من خبراء وإرشادات خطوة بخطوة، مما يضمن لك الاستعداد الجيد للنجاح في الاختبار.

ولكن هذا ليس كل شيء - تتضمن مجموعة CPENT iLearn أيضًا:

  • البرامج التعليمية الإلكترونية
  • الوصول إلى CyberQ Labs لمدة ستة أشهر
  • شهادة إتمام الدورة
  • دورة Cyber ​​Range لمدة 30 يومًا على نظام Aspen التابع لـ EC-Council لسيناريوهات التدريب الواقعية، مما يعزز فرصك في تحقيق درجة عالية في الامتحان.

عند الدفع، سوف تتلقى رمز LMS ورمز قسيمة الاختبار الخاص بك في غضون 1-3 أيام عمل، مما يضمن لك القدرة على بدء استعداداتك دون تأخير.

لا تفوت هذه الفرصة للارتقاء بمسيرتك المهنية في مجال الأمن السيبراني من خلال الحصول على شهادات CPENT وLPT. سجل اليوم وافتح عالمًا من الإمكانات!

قم بشراء مجموعة CPENT iLearn الخاصة بك هنا واحصل عليها خلال 1 - 3 أيام!

العودة إلى المدونة