Wireshark: راهنمای جامع و کاربردی تحلیل ترافیک شبکه

Wireshark یکی از قدرتمندترین ابزارهای تحلیل ترافیک شبکه است که به‌صورت گسترده توسط کارشناسان امنیت شبکه، مدیران سیستم و حتی توسعه‌دهندگان مورد استفاده قرار می‌گیرد. در ادامه، یک راهنمای جامع و کاربردی برای استفاده از Wireshark ارائه می‌دهم:

---

🎯 Wireshark چیست؟

Wireshark یک Network Protocol Analyzer یا تحلیل‌گر پروتکل‌های شبکه است که امکان ضبط و بررسی بسته‌های داده‌ای (Packets) که در شبکه منتقل می‌شوند را فراهم می‌کند. این ابزار متن‌باز (Open Source) بوده و روی سیستم‌عامل‌های مختلف مانند Windows، Linux و macOS قابل اجراست.

---

🛠️ نصب Wireshark

ویندوز:

1. به سایت رسمی https://www.wireshark.org بروید.

2. نسخه‌ی مربوط به ویندوز را دانلود و نصب کنید.

3. هنگام نصب، گزینه نصب Npcap را هم فعال کنید (برای ضبط ترافیک الزامی است).

لینوکس (اوبونتو):

---

🔍 رابط کاربری Wireshark

• Interface List: لیستی از کارت‌های شبکه برای انتخاب منبع ضبط.

• Packet List Pane: لیست بسته‌های ضبط‌شده.

• Packet Details Pane: جزئیات ساختار بسته.

• Packet Bytes Pane: نمایش خام بایت‌های بسته (HEX + ASCII).

---

🎓 مفاهیم کلیدی Wireshark

---

🧪 مثال‌های عملی

1. فیلتر کردن ترافیک HTTP:

2. فیلتر کردن بر اساس IP خاص:

3. فقط ترافیک TCP:

4. دنبال کردن یک ارتباط TCP:

• روی یک Packet راست‌کلیک کنید.

• گزینه Follow > TCP Stream را انتخاب کنید.

---

📦 ذخیره و صادرات بسته‌ها

• از مسیر File > Save As می‌توانید بسته‌ها را با فرمت .pcap ذخیره کنید.

• امکان استخراج تنها یک جریان یا Packet خاص نیز وجود دارد.

---

🔐 بررسی امنیتی با Wireshark

• بررسی حملات ARP Spoofing:

  arp


• تشخیص ترافیک مشکوک:

  • پورت‌های غیرمعمول (مثلاً 4444، 1337)

  • ارتباطات متعدد با آدرس‌های ناشناس

  • پکت‌هایی با اندازه‌های غیرعادی یا Flags عجیب در TCP

---

🧠 نکات حرفه‌ای

• از Capture Filter برای جلوگیری از ضبط اضافی استفاده کنید:

  host 192.168.1.5 and port 80


• حواست به Performance باشه؛ ضبط هم‌زمان همه ترافیک در شبکه‌های بزرگ ممکنه سیستم رو سنگین کنه.

• از ویژگی Coloring Rules برای هایلایت کردن پروتکل‌ها استفاده کن.