Wireshark: راهنمای جامع و کاربردی تحلیل ترافیک شبکه

Wireshark یکی از قدرتمندترین ابزارهای تحلیل ترافیک شبکه است که به‌صورت گسترده توسط کارشناسان امنیت شبکه، مدیران سیستم و حتی توسعه‌دهندگان مورد استفاده قرار می‌گیرد. در ادامه، یک راهنمای جامع و کاربردی برای استفاده از Wireshark ارائه می‌دهم:


🎯 Wireshark چیست؟

Wireshark یک Network Protocol Analyzer یا تحلیل‌گر پروتکل‌های شبکه است که امکان ضبط و بررسی بسته‌های داده‌ای (Packets) که در شبکه منتقل می‌شوند را فراهم می‌کند. این ابزار متن‌باز (Open Source) بوده و روی سیستم‌عامل‌های مختلف مانند Windows، Linux و macOS قابل اجراست.


🛠️ نصب Wireshark

ویندوز:

  1. به سایت رسمی https://www.wireshark.org بروید.

  2. نسخه‌ی مربوط به ویندوز را دانلود و نصب کنید.

  3. هنگام نصب، گزینه نصب Npcap را هم فعال کنید (برای ضبط ترافیک الزامی است).

لینوکس (اوبونتو):

sudo apt update
sudo apt install wireshark

🔍 رابط کاربری Wireshark

  • Interface List: لیستی از کارت‌های شبکه برای انتخاب منبع ضبط.

  • Packet List Pane: لیست بسته‌های ضبط‌شده.

  • Packet Details Pane: جزئیات ساختار بسته.

  • Packet Bytes Pane: نمایش خام بایت‌های بسته (HEX + ASCII).


🎓 مفاهیم کلیدی Wireshark

اصطلاح توضیح
Packet یک واحد داده که از طریق شبکه ارسال می‌شود.
Capture Filter فیلتر برای ضبط فقط بسته‌های خاص.
Display Filter فیلتر برای نمایش بسته‌های خاص در بین بسته‌های ضبط‌شده.
Protocols پروتکل‌هایی مانند TCP, UDP, HTTP, DNS و … که می‌توان بررسی کرد.

🧪 مثال‌های عملی

1. فیلتر کردن ترافیک HTTP:

http

2. فیلتر کردن بر اساس IP خاص:

ip.addr == 192.168.1.1

3. فقط ترافیک TCP:

tcp

4. دنبال کردن یک ارتباط TCP:

  • روی یک Packet راست‌کلیک کنید.

  • گزینه Follow > TCP Stream را انتخاب کنید.


📦 ذخیره و صادرات بسته‌ها

  • از مسیر File > Save As می‌توانید بسته‌ها را با فرمت .pcap ذخیره کنید.

  • امکان استخراج تنها یک جریان یا Packet خاص نیز وجود دارد.


🔐 بررسی امنیتی با Wireshark

  • بررسی حملات ARP Spoofing:

    arp
  • تشخیص ترافیک مشکوک:

    • پورت‌های غیرمعمول (مثلاً 4444، 1337)

    • ارتباطات متعدد با آدرس‌های ناشناس

    • پکت‌هایی با اندازه‌های غیرعادی یا Flags عجیب در TCP


🧠 نکات حرفه‌ای

  • از Capture Filter برای جلوگیری از ضبط اضافی استفاده کنید:

    host 192.168.1.5 and port 80
  • حواست به Performance باشه؛ ضبط هم‌زمان همه ترافیک در شبکه‌های بزرگ ممکنه سیستم رو سنگین کنه.

  • از ویژگی Coloring Rules برای هایلایت کردن پروتکل‌ها استفاده کن.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

18 − 11 =