Wireshark: تحليل حركة الشبكة

مقدمة: واش هو Wireshark ولماذا مهم؟

Wireshark هو أداة مفتوحة المصدر لتحليل حركة الشبكة، كتسمح للمستخدم بالتقاط، فحص، وتحليل البيانات اللي كتمشي عبر الشبكة ديالو. هاد الأداة مهمة بزاف للمهندسين، محترفي الأمن السيبراني، وحتى الهواة اللي بغاو يفهمو كيفاش البيانات كتتنقل بين الأجهزة.

من خلال Wireshark، تقدر تكتشف المشاكل في الشبكة، تعرف نوع البروتوكولات المستعملة، وحتى تراقب الهجمات أو الثغرات المحتملة.

التحميل والتثبيت: كيفاش تنزل Wireshark على جهازك

باش تبدأ تستعمل Wireshark، خاصك أولاً تنزل البرنامج وتثبته على جهازك. Wireshark متوفر مجاناً على جميع الأنظمة الرئيسية:

  • ويندوز: زور الموقع الرسمي wireshark.org، حمّل النسخة الخاصة بويندوز، ومن بعد شغل ملف التثبيت واتبع التعليمات.
  • لينكس: أغلب توزيعات لينكس كتحتوي على Wireshark في مستودعاتها، يمكنك تثبيته عبر الأمر المناسب في الطرفية، مثلاً على أوبونتو: sqlCopyEditsudo apt update sudo apt install wireshark
  • ماك: تقدر تستخدم Homebrew لتنصيب Wireshark: cssCopyEditbrew install --cask wireshark

خلال التثبيت، خاصك تسمح بالوصول إلى الشبكة، خصوصاً لتسجيل الحزم (packet capturing).

بعد التثبيت، فتح البرنامج وشوف الواجهة الرئيسية ل Wireshark جاهزة للعمل!

الواجهة الرئيسية: شرح الأدوات الأساسية

كي تفتح Wireshark، راك قدام واجهة منظمة وعامرة بالخيارات، هذي أهم الحوايج اللي لازم تعرفها:

  • شريط القوائم (Menu Bar): فيه أوامر باش تتحكم فالبرنامج، الإعدادات، وملفات التسجيل.
  • شريط الأدوات (Toolbar): فيه أزرار باش تبدا التقط الحزم، توقف، وتحكم بسرعة.
  • قائمة واجهات الشبكة (Interface List): تختار منها كارت الشبكة اللي حاب تراقب عليه.
  • نافذة عرض الحزم (Packet List Pane): كتشوف فيها كل الحزم اللي قاعدة تسجل، كل سطر يمثل حزمة وحدة.
  • نافذة التفاصيل (Packet Details Pane): تعرض لك تفاصيل الحزمة المختارة، كيما البروتوكولات والمعلومات التقنية عليها.
  • نافذة البيانات الخام (Packet Bytes Pane): تبين الحزمة في صيغة Hex و ASCII، للناس اللي يحبوا يحللو بعمق.

الفكرة هنا أنك تقدر تشوف حركة الشبكة بالتفصيل، من النظرة العامة حتى أصغر تفاصيل.

. التقاط الحزم: كيفية بدء جلسة التقاط حركة الشبكة

باش تبدأ تراقب حركة الشبكة عندك، لازم تدير جلسة التقاط (Capture Session) في Wireshark. هادي كيفاش:

  1. من الواجهة الرئيسية، شوف قائمة واجهات الشبكة (Interface List). راح تلقى كل كارت شبكة متصل بالجهاز، مع مؤشر نشاط حركة البيانات عليه.
  2. إختار الكارت اللي حاب تراقب عليه (مثلاً Ethernet أو Wi-Fi).
  3. ضغط على زر Start Capturing Packets (عادة زر شكل قرص أحمر أو الأيقونة اللي على شكل قرص) باش تبدأ التسجيل.
  4. Wireshark راح يبدا يعرض الحزم اللي قاعدة تمر عبر الشبكة في الوقت الحقيقي.
  5. باش توقف التقاط الحزم، اضغط على زر Stop (عادة مربع أحمر في شريط الأدوات).

ملاحظة مهمة: لازم يكون عندك صلاحيات إدارية (Administrator أو Root) باش تقدر تلتقط الحزم، خصوصاً في لينكس.

الفيلترات: شرح Capture Filters وDisplay Filters

في Wireshark كاين زوج أنواع تاع الفيلترات يعاونوك باش تركز غير على الحزم اللي راك حاب تشوفها:

  • Capture Filters (فلترة الالتقاط):
    هاذي تستعملها باش تحدد شنو نوع الحزم اللي رايح يتسجلو كي تبدا التقاط. مثلاً، تقدر تختار تسجل غير حزم HTTP ولا الحزم اللي جاية من IP معين.
    المزية: تخلي التسجيل أخف وأسرع، حيث ما تسجلش كامل الحزم.
    العيب: ما تقدرش تبدلها بعد ما تبدا.
  • Display Filters (فلترة العرض):
    هاذي تستعملها بعد ما تسجل الحزم، باش تصفّي الحزم اللي تشوفها في الشاشة.
    مثلاً، تقدر تكتب http باش تشوف غير حزم HTTP، ولا ip.addr == 192.168.1.1 باش تشوف الحزم اللي فيها هداك الـ IP.
    المزية: تقدر تبدلها في أي وقت، وما تأثرش على التسجيل.

تحليل البيانات: كيفاش تفهم حركة الشبكة وتفلترها

مني تسجل الحزم وتفلترها، لازم تعرف كيفاش تقرا المعلومات باش تفهم واش راه يصرا فالشبكة:

  • تفحص البروتوكولات: كل حزمة فيها بروتوكول (مثلاً TCP، UDP، HTTP). فهم البروتوكولات يساعدك تعرف نوع الخدمة أو التواصل اللي راه يصرا.
  • تتبع الجلسات: تقدر تستخدم ميزة “Follow TCP Stream” باش تشوف المحادثة كاملة بين جهازين. هذي مهمة باش تفهم بالضبط شنو تبدلو بيناتهم.
  • تحليل العناوين: راقب عناوين IP وMAC باش تعرف الأجهزة المشاركة في التبادل.
  • توقيت الحزم: الوقت اللي كتوصل فيه كل حزمة يعاونك تعرف إذا كاين مشاكل في الشبكة أو تأخيرات.
  • البحث عن الأنماط: استعمل الفلاتر باش تشوف الحزم اللي عندها سلوك غير عادي، مثلاً عدد كبير من الطلبات في وقت قصير، ممكن يكون هجوم.

بهاد الطريقة تقدر تفهم حركة الشبكة، تحل المشاكل، ولا تكتشف نشاطات مشبوهة.

نصائح عملية باش تستعمل Wireshark خير

باش تستفاد من Wireshark بالصح، ها بعض النصائح لي تعاونك:

  • استعمل الفيلترات بذكاء: ديما حاول تضيق الفيلترة على الحزم اللي راك باغي تشوفهم باش تسهل التحليل وتربح الوقت.
  • سجل غير وقت اللي تحتاج: ما تخليش التسجيل دايم لأنه يستهلك بزاف من موارد الجهاز.
  • رتب الواجهة تاعك: تقدر تبدل في طريقة عرض الحزم، وترتب الأعمدة باش تظهرلك المعلومات المهمة في الأول.
  • استعمل قواعد التلوين (Coloring Rules): باش تميز أنواع الحزم بألوان مختلفة، هذي تعطيك نظرة سريعة على الحاجات المهمة.
  • تعلم كيفاش تستعمل “Follow Stream”: هذي مهمة باش تتابع المحادثات بين الأجهزة بشكل مرتب وواضح.
  • ديما خزن نسخة من التسجيل: كي تحلل مشكل كبير، خلي الملف عندك باش تقدر ترجع له في أي وقت.

استعمالات متقدمة: تتبع جلسات TCP، تحليل VoIP، وغيرها

كي تولي متعود على الأساسيات، تقدر تستعمل Wireshark في حاجات متقدمة مثل:

  • تتبع جلسات TCP:
    تقدر تراقب سير المحادثة بين جهازيْن، تعرف وين وقع تأخير أو فقدان حزم، وتحدد مشاكل الشبكة بدقة.
  • تحليل VoIP:
    Wireshark يقدر يحلل مكالمات الصوت عبر الإنترنت (VoIP)، باش تفهم جودة المكالمات وتشوف المشاكل التقنية.
  • تحليل البروتوكولات الخاصة:
    كيما DNS، HTTP/2، TLS، وغيرها. هذا يساعد في كشف مشاكل متعلقة بالأمان أو الأداء.
  • التقاط البيانات عن بعد:
    تقدر تربط مع جهاز عن بعد وتاخذ الحزم من هناك باستخدام أوامر خاصة مثل tcpdump عبر SSH.

هاذي الوظائف المتقدمة تخليك تستعمل Wireshark كأداة قوية لفهم وتحليل الشبكة في تفاصيل معمقة.

الخلاصة والموارد الإضافية

Wireshark هي أداة قوية ومهمة لأي واحد حاب يفهم حركة الشبكة ويحللها بعمق. من تحميل البرنامج، للتقاط الحزم، لفهم الفلاتر، حتى التحليلات المتقدمة، تعلمت كيفاش تستعمل Wireshark خطوة بخطوة.

باش تزيد تتعلم أكثر، تقدر تزور المواقع الرسمية والدروس، وتشوف فيديوهات تعليمية تساعدك تطور مهاراتك أكثر.

روابط مفيدة:

  • الموقع الرسمي: wireshark.org
  • دليل المستخدم: Wireshark User Guide
  • فيديوهات تعليمية على يوتيوب
  • منتديات ومجتمعات الأمن السيبراني

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *