Wireshark یکی از قدرتمندترین ابزارهای تحلیل ترافیک شبکه است که بهصورت گسترده توسط کارشناسان امنیت شبکه، مدیران سیستم و حتی توسعهدهندگان مورد استفاده قرار میگیرد. در ادامه، یک راهنمای جامع و کاربردی برای استفاده از Wireshark ارائه میدهم:
🎯 Wireshark چیست؟
Wireshark یک Network Protocol Analyzer یا تحلیلگر پروتکلهای شبکه است که امکان ضبط و بررسی بستههای دادهای (Packets) که در شبکه منتقل میشوند را فراهم میکند. این ابزار متنباز (Open Source) بوده و روی سیستمعاملهای مختلف مانند Windows، Linux و macOS قابل اجراست.
🛠️ نصب Wireshark
ویندوز:
-
به سایت رسمی https://www.wireshark.org بروید.
-
نسخهی مربوط به ویندوز را دانلود و نصب کنید.
-
هنگام نصب، گزینه نصب
Npcap
را هم فعال کنید (برای ضبط ترافیک الزامی است).
لینوکس (اوبونتو):
🔍 رابط کاربری Wireshark
-
Interface List: لیستی از کارتهای شبکه برای انتخاب منبع ضبط.
-
Packet List Pane: لیست بستههای ضبطشده.
-
Packet Details Pane: جزئیات ساختار بسته.
-
Packet Bytes Pane: نمایش خام بایتهای بسته (HEX + ASCII).
🎓 مفاهیم کلیدی Wireshark
اصطلاح | توضیح |
---|---|
Packet | یک واحد داده که از طریق شبکه ارسال میشود. |
Capture Filter | فیلتر برای ضبط فقط بستههای خاص. |
Display Filter | فیلتر برای نمایش بستههای خاص در بین بستههای ضبطشده. |
Protocols | پروتکلهایی مانند TCP, UDP, HTTP, DNS و … که میتوان بررسی کرد. |
🧪 مثالهای عملی
1. فیلتر کردن ترافیک HTTP:
2. فیلتر کردن بر اساس IP خاص:
3. فقط ترافیک TCP:
4. دنبال کردن یک ارتباط TCP:
-
روی یک Packet راستکلیک کنید.
-
گزینه Follow > TCP Stream را انتخاب کنید.
📦 ذخیره و صادرات بستهها
-
از مسیر
File > Save As
میتوانید بستهها را با فرمت.pcap
ذخیره کنید. -
امکان استخراج تنها یک جریان یا Packet خاص نیز وجود دارد.
🔐 بررسی امنیتی با Wireshark
-
بررسی حملات ARP Spoofing:
-
تشخیص ترافیک مشکوک:
-
پورتهای غیرمعمول (مثلاً 4444، 1337)
-
ارتباطات متعدد با آدرسهای ناشناس
-
پکتهایی با اندازههای غیرعادی یا Flags عجیب در TCP
-
🧠 نکات حرفهای
-
از Capture Filter برای جلوگیری از ضبط اضافی استفاده کنید:
-
حواست به Performance باشه؛ ضبط همزمان همه ترافیک در شبکههای بزرگ ممکنه سیستم رو سنگین کنه.
-
از ویژگی Coloring Rules برای هایلایت کردن پروتکلها استفاده کن.