دليلك الشامل لاستخدام Wireshark: أفضل محلل حزم لشبكتك

6 min read Aldawsari
دقائق القراءة: 6

مقدمة إلى Wireshark: نافذتك على عالم الشبكات

يُعد Wireshark بلا منازع الأداة الرائدة في مجال تحليل حركة مرور الشبكات واعتراض الحزم. في هذا المقال، سنتعمق في استكشاف قدراته وميزاته لتمكينك من فهم ما يجري على شبكتك على المستوى المجهري.

Wireshark هو محلل شبكات يمنحك رؤية تفصيلية لما يحدث ضمن شبكتك. يسمح لك بتشريح حزم الشبكة على مستوى دقيق للغاية، مما يوفر لك معلومات معمقة حول كل حزمة على حدة. تم إطلاق Wireshark لأول مرة في عام 1998 (وكان يُعرف آنذاك باسم Ethereal)، ويمكن تشغيله على جميع أنظمة التشغيل الرئيسية. تفضل معظم المؤسسات والمنظمات الحكومية الآن Wireshark كمعيار لمحلل الشبكات الخاص بها. بالإضافة إلى ذلك، Wireshark مفتوح المصدر بالكامل، بفضل مجتمع مهندسي الشبكات حول العالم. وبينما تعتمد معظم أدوات الأمان على واجهة سطر الأوامر (CLI)، يأتي Wireshark بواجهة مستخدم رسومية (GUI) رائعة وسهلة الاستخدام.

فهم نموذج OSI: حجر الزاوية في تحليل الشبكات

إذا كنت جديدًا في عالم الشبكات، فمن الضروري أن نراجع أساسيات نموذج OSI (Open Systems Interconnection). يُعد هذا الفهم بالغ الأهمية لاستيعاب الوظائف الأساسية لـ Wireshark.

يُعد نموذج OSI معيارًا يحدد كيفية اتصال جهازين أو أكثر ببعضهما البعض. يقسم نموذج OSI بنية الشبكة إلى 7 طبقات، كل منها يؤدي وظيفة محددة:

  • الطبقة المادية (Physical Layer): مسؤولة عن الاتصال المادي الفعلي بين الأجهزة. يتم نقل البيانات في شكل bits (بتات).
  • طبقة ربط البيانات (Data Link Layer): تضمن خلو البيانات من الأخطاء. يتم نقل البيانات في شكل frames (إطارات).
  • طبقة الشبكة (Network Layer): تهتم بإيجاد أفضل (وأسرع) طريقة لإرسال البيانات. يتم إضافة عناوين IP addresses للمرسل والمستقبل إلى ترويسة الحزمة في هذه الطبقة.
  • طبقة النقل (Transport Layer): تعمل كجسر بين طبقة الشبكة وطبقة الجلسة. تستخدم بروتوكولات مثل TCP و UDP لإرسال واستقبال البيانات. تُسمى البيانات في هذه الطبقة Segment (شريحة).
  • طبقة الجلسة (Session Layer): تنشئ وتحافظ على جلسة اتصال بين الأجهزة.
  • طبقة العرض (Presentation Layer): يتم تحويل البيانات من الشرائح إلى تنسيق أكثر قابلية للفهم البشري هنا. تهتم بالتشفير وفك التشفير.
  • طبقة التطبيقات (Application Layer): الطبقة التي تتفاعل مباشرة مع المستخدم. إذا كنت تستخدم متصفحًا، فأنت تتفاعل مع طبقة التطبيقات.

يجب أن يساعدك الرسم التوضيحي أدناه على فهم كيفية عمل هذه المكونات معًا:

رسم توضيحي لنموذج OSI يوضح الطبقات السبع وعلاقاتها

إذا كنت مهتمًا بمعرفة المزيد عن نموذج OSI، فهناك مقال مفصل متاح لذلك.

الحزم (Packets): وحدات بناء الاتصال الشبكي

الآن بعد أن أصبح لديك فهم قوي لنموذج OSI، دعنا نلقي نظرة على حزم الشبكة. عندما يتم نقل البيانات من جهاز كمبيوتر إلى آخر، يتكون تدفق البيانات من وحدات أصغر تسمى packets (الحزم). عندما تقوم بتنزيل ملف من الإنترنت، يتم إرسال البيانات من الخادم كحزم. يتم إعادة تجميع هذه الحزم بواسطة جهاز الكمبيوتر الخاص بك لتزويدك بالملف الأصلي.

رسم توضيحي لهيكل حزمة IPv4 يوضح مكوناتها

يمكن أن تحتوي الحزمة على البيانات التالية:

  • عناوين IP المصدر والوجهة
  • البروتوكول المستخدم
  • منافذ المصدر والوجهة (source and destination ports)
  • طول البيانات، الأعلام (flags)، وقت البقاء (TTL)، وما إلى ذلك.

تحتوي كل حزمة على معلومات قيمة حول الأجهزة المشاركة في نقل الحزم. يتضمن كل نقل للبيانات آلاف أو حتى ملايين من هذه الحزم التي يتم إرسالها بين أجهزة المصدر والوجهة. الآن يمكنك فهم أهمية Wireshark. يتيح لك Wireshark التقاط كل من هذه الحزم وفحصها بحثًا عن البيانات. بالنسبة لمهندس الشبكات، Wireshark يشبه المجهر لعالم الأحياء.

يتيح لك Wireshark ‘الاستماع’ إلى شبكة حية (بعد إنشاء اتصال بها)، والتقاط الحزم وفحصها في الوقت الفعلي. كمهندس شبكات أو مخترق أخلاقي، يمكنك استخدام Wireshark لتصحيح أخطاء شبكاتك وتأمينها. وكمخترق ضار (وهو ما لا أوصي به)، يمكنك ‘التجسس’ على الحزم في الشبكة والتقاط معلومات مثل معاملات بطاقات الائتمان. لهذا السبب، من غير الحكمة الاتصال بشبكة عامة مثل شبكات المقاهي (Starbucks) وإجراء معاملات مالية أو الوصول إلى بيانات خاصة. حتى لو كانت المواقع التي تستخدم HTTPS يمكنها تشفير حزمك، فإنها لا تزال مرئية عبر الشبكة. وإذا أراد شخص ما اختراقها حقًا، فبإمكانه ذلك.

أساسيات استخدام Wireshark

الآن دعنا نلقي نظرة على كيفية البدء في استخدام Wireshark. يمكنك تنزيل وتثبيت Wireshark من هنا. يتميز Wireshark بواجهة مستخدم رسومية رائعة، على عكس معظم أدوات اختبار الاختراق. إليك كيف يبدو Wireshark عند تشغيله:

واجهة بدء تشغيل Wireshark تعرض خيارات التقاط الشبكة

يعرض Wireshark الشبكات التي أنت متصل بها، ويمكنك اختيار إحداها والبدء في الاستماع إلى حركة المرور على الشبكة.

واجهة المستخدم الرئيسية لـ Wireshark تعرض قائمة بالواجهات المتاحة

تتكون واجهة Wireshark من ثلاثة أجزاء رئيسية:

1. جزء قائمة الحزم (Packet List Pane)

يعرض هذا الجزء الحزم التي تم التقاطها. يمثل كل سطر حزمة فردية يمكنك النقر عليها وتحليلها بالتفصيل باستخدام الجزأين الآخرين.

جزء قائمة الحزم في Wireshark يعرض الحزم الملتقطة

2. جزء تفاصيل الحزمة (Packet Details Pane)

يمكنك تحديد حزمة ثم عرض معلومات الحزمة بمزيد من التفصيل باستخدام جزء تفاصيل الحزمة. يعرض معلومات مثل عناوين IP والمنافذ وغيرها من المعلومات الموجودة داخل الحزمة.

جزء تفاصيل الحزمة في Wireshark يعرض معلومات مفصلة عن حزمة مختارة

3. جزء بايتات الحزمة (Packet Bytes Pane)

يعرض هذا الجزء البيانات الخام للحزمة المحددة بالبايتات. يتم عرض البيانات بتنسيق hex dump، وهو عرض البيانات الثنائية بالنظام السداسي عشري.

جزء بايتات الحزمة في Wireshark يعرض البيانات الخام للحزمة بنظام Hex

الفلاتر (Filters): تضييق نطاق البحث

يحتوي Wireshark على فلاتر تساعدك على تضييق نوع البيانات التي تبحث عنها. هناك نوعان رئيسيان من الفلاتر:

1. فلاتر الالتقاط (Capture Filters)

يمكنك تعيين فلتر التقاط قبل البدء في تحليل الشبكة. عند تعيين فلتر التقاط، فإنه يلتقط فقط الحزم التي تتطابق مع هذا الفلتر. على سبيل المثال، إذا كنت تحتاج فقط إلى الاستماع إلى الحزم التي يتم إرسالها واستقبالها من عنوان IP معين، يمكنك تعيين فلتر التقاط على النحو التالي:

host 192.168.0.1

بمجرد تعيين فلتر التقاط، لا يمكنك تغييره حتى تكتمل جلسة الالتقاط الحالية.

2. فلاتر العرض (Display Filters)

يتم تطبيق فلاتر العرض على الحزم الملتقطة بالفعل. على سبيل المثال، إذا كنت ترغب في عرض الطلبات الصادرة من عنوان IP معين فقط، يمكنك تطبيق فلتر عرض على النحو التالي:

ip.src==192.168.0.1

نظرًا لأن فلاتر العرض يتم تطبيقها على البيانات الملتقطة، يمكن تغييرها في أي وقت أثناء التحليل. باختصار، تتيح لك فلاتر الالتقاط تصفية حركة المرور أثناء التقاطها، بينما تقوم فلاتر العرض بتطبيق هذه الفلاتر على الحزم الملتقطة. نظرًا لأن Wireshark يمكنه التقاط مئات الحزم على شبكة مزدحمة، فإن هذه الفلاتر مفيدة للغاية أثناء تصحيح الأخطاء.

الميزات الأساسية لـ Wireshark

الآن بعد أن أصبح لديك فهم جيد لأساسيات Wireshark، دعنا نلقي نظرة على بعض الميزات الأساسية. باستخدام Wireshark، يمكنك:

  • تحديد التهديدات الأمنية والنشاط الضار على الشبكة.
  • مراقبة حركة مرور الشبكة لتصحيح أخطاء الشبكات المعقدة.
  • تصفية حركة المرور بناءً على البروتوكولات والمنافذ والمعايير الأخرى.
  • التقاط الحزم وحفظها في ملف Pcap لتحليلها لاحقًا دون اتصال.
  • تطبيق قواعد تلوين على قائمة الحزم لتحليل أفضل.
  • تصدير البيانات الملتقطة إلى ملفات XML أو CSV أو ملف نص عادي.

الخلاصة

يُصنف Wireshark دائمًا ضمن أفضل 10 أدوات لأمن الشبكات كل عام. بفضل واجهته البسيطة والقوية، يُعد Wireshark سهل التعلم والعمل معه. إنه أصل قيم في مجموعة أدوات كل مختبر اختراق. نأمل أن يكون هذا المقال قد ساعدك في الحصول على فهم قوي لـ Wireshark.

الخلاصة التقنية

يُعد Wireshark أكثر من مجرد أداة لالتقاط الحزم؛ إنه مجهر رقمي يتيح للمحترفين التعمق في أدق تفاصيل الاتصالات الشبكية. قدرته على تحليل البروتوكولات المتعددة، وتوفير رؤى مفصلة حول كل طبقة من طبقات OSI، تجعله لا غنى عنه في مجالات مثل استكشاف الأخطاء وإصلاحها، وتحليل الأداء، والتدقيق الأمني. إن الفلاتر المتقدمة وواجهة المستخدم البديهية ترفع من كفاءة المحلل، مما يمكنه من عزل وتحديد المشكلات الأمنية أو التشغيلية بسرعة. في عصر تزايد فيه تعقيد الشبكات والتهديدات السيبرانية، يظل Wireshark حارسًا أمينًا، يكشف ما هو خفي ويعزز فهمنا للبنية التحتية الرقمية.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *