آموزش وایرشارک (Wireshark)

دسته بندی: آموزش شبکه

وایرشارک

آنچه در این صفحه می خوانید:

معرفی وایرشارک

Wireshark یک آنالایزر پروتکل شبکه رایگان و اوپن سورس است. برای عیب یابی شبکه، تجزیه و تحلیل، توسعه پروتکل نرم افزار و ارتباطات و آموزش استفاده می شود. در ابتدا با نام Ethereal، این پروژه به دلیل مشکلات برند تجاری در ماه مه 2006 به Wireshark تغییر نام یافت. وایرشارک کراس پلتفرم است، با استفاده از ابزار ابزارک Qt در نسخه های فعلی برای پیاده سازی رابط کاربری خود و استفاده از pcap برای گرفتن بسته ها به کار گرفته می شود. این برنامه در لینوکس، macOS ،BSD ،Solaris برخی از سیستم عامل های مشابه یونیکس و Microsoft Windows اجرا می شود. همچنین نسخه مبتنی بر ترمینال (غیر GUI) با نام TShark وجود دارد. Wireshark و سایر برنامه های توزیع شده با آن مانند TShark، نرم افزاری رایگان هستند که تحت شرایط مجوز عمومی GNU منتشر می شوند.

وایرشارک مهمترین و گسترده ترین آنالایزر پروتکل شبکه در جهان است. این امکان را برای شما فراهم می کند تا ببینید که چه اتفاقی در شبکه شما در سطح میکروسکوپی رخ می دهد و دارای استاندارد de facto (و اغلب de jure) در بسیاری از شرکت های تجاری و غیرانتفاعی، آژانس های دولتی و مؤسسات آموزشی است. توسعه Wireshark به لطف کمک های داوطلبانه کارشناسان شبکه در سراسر جهان پیشرفت می کند و ادامه پروژه ای است که توسط جرالد کامبز در سال 1998 آغاز شد.

عملکرد وایرشارک

وایرشارک بسیار شبیه tcpdump است، اما دارای نمای جلوی گرافیکی و بعلاوه گزینه های مرتب سازی و فیلتر یکپارچه است. Wireshark به کاربر اجازه می دهد تا کنترلرهای رابط شبکه را در حالت اعلان قرار دهد (در صورت پشتیبانی از کنترل کننده رابط شبکه)، بنابراین آنها می توانند کلیه ترافیک قابل مشاهده در آن رابط از جمله ترافیک unicast که به آدرس MAC کنترل کننده رابط شبکه ارسال نشده است را مشاهده کنند. با این حال، هنگام گرفتن با یک آنالایزر بسته در حالت پیش فرض بر روی پورت روی سوئیچ شبکه، لزوماً تمام ترافیک از طریق سوئیچ به پورت که در آن صورت گرفته است ارسال نمی شود، بنابراین ضبط در حالت promiscuous لزوماً برای دیدن همه شبکه کافی نیست. ترافیک آینه سازی پورت یا شیرهای مختلف شبکه ضبط را به هر نقطه از شبکه گسترش می دهد. شیرهای منفعل ساده در برابر دستکاری بسیار دقیق هستند.

اگر یک دستگاه از راه دور بسته ها را ضبط کند و بسته های ضبط شده را با استفاده از پروتکل TZSP یا پروتکل مورد استفاده OmniPeek بسته به دستگاهی که Wireshark کار می کند ارسال کند، Wireshark آن بسته ها را جدا می کند، بنابراین می تواند بسته های ضبط شده بر روی یک دستگاه از راه دور را در زمان دستگیری آنالیز کند.

ویژگی های وایرشارک

Wireshark دارای مجموعه ای از ویژگی های غنی است که موارد زیر را شامل می شود:

  • بازرسی عمیق صدها پروتکل با اضافه شدن تعداد بیشتری از زمان ها
  • ضبط زنده و تجزیه و تحلیل آفلاین
  • بسته های three-pane استاندارد مرورگر
  • چند پلتفرمه: در Windows ،Linux ،macOS ،Solaris ،FreeBSD ،NetBSD و بسیاری دیگر از پلتفرم ها اجرا می شود.
  • داده های ضبط شده شبکه می توانند از طریق یک رابط کاربری گرافیکی یا از طریق ابزار TSY حالت TShark مرور شوند.
  • قدرتمندترین فیلترهای نمایش در صنعت
  • تجزیه و تحلیل غنی VoIP
  • بسیاری از فرمت های فایل ضبط مختلف را بخوانید و بنویسید: tcpdump (libpcap) ،Pcap NG ،Catapult DCT2000 ،Cisco Secure IDS iplog ،Microsoft Monitor Monitor Network ،General General Sniffer® (فشرده و فشرده نشده)، Sniffer® Pro و NetXray® ،Network Instrumenter Observer ،snoop NetScreen ،Novell LANalyzer ،RADCOM WAN/LAN Analyzer ،Shomiti/Finisar Surveyor ،Tektronix K12xx ،Visual Networks UpTime ،WildPackets EtherPeek/TokenPeek/AiroPeek و بسیاری دیگر
  • گرفتن پرونده های فشرده شده با gzip می تواند در پرواز فشرده شود.
  • داده های زنده را می توان از Ethernet ،IEEE 802.11 ،PPP/HDLC ،ATM، بلوتوث، USB، حلقه توکن، فریم رله، FDDI و غیره (بسته به بستر شما) خواند.
  • پشتیبانی از رمزگشایی برای بسیاری از پروتکل ها، از جمله IPsec ،ISAKMP ،Kerberos ،SNMPv3 ،SSL/TLS ،WEP و WPA / WPA2
  • برای تجزیه و تحلیل سریع و بصری قوانین رنگ آمیزی می توانند در لیست بسته ها اعمال شوند.
  • خروجی را می توان به XML ،PostScript® ،CSV یا متن ساده صادر کرد.

امکانات وایرشارک

Wireshark یک برنامه ضبط داده است که ساختار (کپسوله کردن) پروتکل های مختلف شبکه را درک می کند. این می تواند زمینه ها را به همراه معنی آنها مطابق پروتکل های مختلف شبکه مشخص، تجزیه و نمایش دهد. Wireshark از pcap برای گرفتن بسته ها استفاده می کند، بنابراین فقط می تواند بسته هایی را در انواع شبکه هایی که از pcap پشتیبانی می کنند ضبط کند.

  • داده ها را می توان از کابل اتصال به شبکه زنده ضبط کرد و یا از پرونده بسته های قبلاً ضبط شده را مطالعه کرد.
  • داده های زنده را می توان از انواع مختلف شبکه ها از جمله Ethernet ،IEEE 802.11 ،PPP و loopback مطالعه کرد.
  • داده های گرفته شده شبکه را می توان از طریق یک رابط کاربری گرافیکی یا از طریق نسخه پایانه (خط فرمان) ابزار، TShark جستجو کرد.
  • فایلهای ضبط شده را می توان از طریق برنامه ای ویرایش کرد یا از طریق سوئیچ های خط فرمان به برنامه "editcap" تبدیل کرد.
  • نمایش داده می تواند با استفاده از فیلتر صفحه نمایش تصفیه شود.
  • افزونه ها را می توان برای جدا کردن پروتکل های جدید ایجاد کرد.
  • تماس های VoIP در ترافیک ضبط شده قابل شناسایی است. اگر در یک کدگذاری سازگار کدگذاری شود، می توانید جریان رسانه را حتی پخش کنید.
  • ترافیک USB خام را می توان ضبط کرد.
  • اتصالات بی سیم همچنین می توانند تا زمانی که اترنت تحت نظارت را عبور دهند، فیلتر شوند.
  • تنظیمات مختلف، تایمر و فیلترها را می توان تنظیم کرد تا امکان فیلتر خروجی ترافیک اسیر شده فراهم شود.

فرمت فایل ردیابی شبکه بومی Wireshark فرمت libpcap است که توسط libpcap و WinPcap پشتیبانی می شود، بنابراین می تواند ردپای شبکه ضبط شده را با سایر برنامه هایی که از همان قالب استفاده می کنند، از جمله tcpdump و CA NetMaster تبادل کند. همچنین می توانید عکس های دیگر از آنالیزورهای شبکه، مانند snoop ،Sniffer Network General و Microsoft Network Monitor را بخوانید.

آیا این نوشته را دوست داشتید؟