نحوه ثبت ترافیک HTTP در Wireshark

Wireshark به شما امکان می دهد با ابزارهای مختلف ترافیک داخل شبکه خود را تجزیه و تحلیل کنید. اگر می خواهید ببینید در داخل شبکه شما چه می گذرد یا مشکلاتی با ترافیک شبکه یا بارگذاری صفحه دارید، می توانید از Wireshark استفاده کنید. این به شما امکان می دهد ترافیک را ضبط کنید، بنابراین می توانید متوجه شوید که مشکل چیست یا آن را برای پشتیبانی بیشتر ارسال کنید. به خواندن این مقاله ادامه دهید و یاد خواهید گرفت که چگونه ترافیک http را در Wireshark ضبط کنید.

نصب Wireshark

نصب Wireshark یک فرآیند آسان است. این ابزار رایگان در پلتفرم های مختلف است و در اینجا نحوه دانلود و نصب آن آمده است:

کاربران ویندوز و مک

1. مرورگر خود را باز کنید.
2. به https://www.wireshark.org/download.html مراجعه کنید .
3. نسخه دستگاه خود را انتخاب کنید.
   
4. Wireshark در دستگاه شما دانلود می شود.
5. آن را با پیروی از دستورالعمل های بسته نصب کنید.
   

کاربران لینوکس

اگر کاربر لینوکس هستید، می توانید Wireshark را در مرکز نرم افزار اوبونتو پیدا کنید. آن را از آنجا دانلود کنید و طبق دستورالعمل داخل پکیج نصب کنید.

ثبت ترافیک HTTP در Wireshark

اکنون که Wireshark را روی رایانه خود نصب کرده اید، می توانیم به جذب ترافیک http برویم. در اینجا مراحل انجام آن وجود دارد:

1. مرورگر خود را باز کنید - می توانید از هر مرورگری استفاده کنید.
2. پاک کردن کش – قبل از گرفتن ترافیک، باید کش مرورگر خود را پاک کنید. اگر به تنظیمات مرورگر خود بروید می توانید این کار را انجام دهید.
   
3. Wireshark را باز کنید.
   
4. روی «گرفتن» ضربه بزنید.
   
5. روی «Interfaces» ضربه بزنید. اکنون یک پنجره پاپ آپ روی صفحه نمایش خود خواهید دید.
6. رابط را انتخاب کنید. احتمالاً می خواهید ترافیک عبوری از درایور اترنت خود را تجزیه و تحلیل کنید.
   
7. پس از انتخاب رابط، روی «شروع» یا «Ctrl + E» ضربه بزنید.
   
8. اکنون به مرورگر خود بازگردید و از URL مورد نظر برای گرفتن ترافیک بازدید کنید.
   
9. پس از پایان کار، گرفتن ترافیک را متوقف کنید. به Wireshark برگردید و روی "Ctrl + E" ضربه بزنید.
   
10. ترافیک ضبط شده را ذخیره کنید. اگر مشکلات شبکه دارید و می خواهید ترافیک ضبط شده را برای پشتیبانی ارسال کنید، آن را در یک فایل با فرمت *.pcap ذخیره کنید.
    

گرفتن بسته ها در Wireshark

علاوه بر گرفتن ترافیک http، می‌توانید هر داده شبکه را که نیاز دارید در Wireshark ضبط کنید. در اینجا نحوه انجام این کار آمده است:

1. Wireshark را باز کنید.
   
2. لیستی از اتصالات شبکه موجود را می بینید که می توانید بررسی کنید. یکی را که به آن علاقه دارید انتخاب کنید. در صورت تمایل، می توانید چندین اتصال شبکه را به طور همزمان با فشار دادن "Shift + کلیک چپ" تجزیه و تحلیل کنید.
   
3. اکنون می توانید شروع به گرفتن بسته ها کنید. شما می توانید این کار را به چند روش انجام دهید: اولین مورد با ضربه زدن روی نماد باله کوسه در گوشه بالا سمت چپ است. مورد دوم روی «Capture» و سپس روی «شروع» ضربه بزنید. سومین راه برای شروع عکسبرداری، ضربه زدن روی "Ctrl + E" است.
   

در حین گرفتن، Wireshark تمام بسته های گرفته شده را به صورت بلادرنگ نمایش می دهد. هنگامی که ضبط بسته ها تمام شد، می توانید از همان دکمه ها/میانبرها برای توقف گرفتن استفاده کنید.

فیلترهای Wireshark

یکی از دلایلی که Wireshark امروزه یکی از مشهورترین آنالایزرهای پروتکل است، توانایی آن در اعمال فیلترهای مختلف بر روی بسته های ضبط شده است. فیلترهای Wireshark را می توان به فیلترهای ضبط و نمایش تقسیم کرد.

گرفتن فیلترها

این فیلترها قبل از گرفتن داده اعمال می شوند. اگر Wireshark داده هایی را بگیرد که با فیلترها مطابقت ندارند، آنها را ذخیره نمی کند و شما آنها را نخواهید دید. بنابراین، اگر می دانید به دنبال چه هستید، می توانید از فیلترهای ضبط برای محدود کردن جستجوی خود استفاده کنید.

در اینجا برخی از پرکاربردترین فیلترهای عکس برداری که می توانید استفاده کنید آورده شده است:

• میزبان 192.168.1.2 - تمام ترافیک مرتبط با 192.168.1.2 را ضبط کنید.
• پورت 443 - تمام ترافیک مرتبط با پورت 443 را ضبط کنید.
• پورت نه 53 - تمام ترافیک به جز ترافیک مرتبط با پورت 53 را ضبط کنید.

نمایش فیلترها

بسته به آنچه که در حال تجزیه و تحلیل هستید، بسته های ضبط شده شما ممکن است بسیار سخت باشد. اگر می‌دانید به دنبال چه هستید، یا اگر می‌خواهید جستجوی خود را محدود کنید و داده‌هایی را که نیاز ندارید حذف کنید، می‌توانید از فیلترهای نمایش استفاده کنید.

در اینجا برخی از فیلترهای نمایشی وجود دارد که می توانید استفاده کنید:

• http – اگر تعدادی بسته مختلف گرفته اید، اما می خواهید فقط ترافیک مبتنی بر http را ببینید، می توانید این فیلتر نمایشگر را اعمال کنید و Wireshark فقط آن بسته ها را به شما نشان می دهد.
• http.response.code == 404 – اگر در بارگذاری برخی صفحات وب مشکل دارید، این فیلتر ممکن است مفید باشد. اگر آن را اعمال کنید، Wireshark فقط بسته‌هایی را نشان می‌دهد که «404: Page not found» پاسخی بود.

توجه به تفاوت بین فیلترهای ضبط و نمایش بسیار مهم است. همانطور که مشاهده کردید، فیلترهای ضبط را قبلا اعمال می کنید و فیلترها را بعد از گرفتن بسته ها نمایش می دهید. با فیلترهای کپچر، همه بسته هایی را که با فیلترها تناسب ندارند کنار می گذارید. با فیلترهای نمایشگر، هیچ بسته ای را دور نمی اندازید. شما فقط آنها را از لیست در Wireshark پنهان می کنید.

ویژگی های اضافی Wireshark

اگرچه گرفتن و فیلتر کردن بسته ها چیزی است که Wireshark را معروف می کند، اما گزینه های مختلفی را نیز ارائه می دهد که می تواند فیلتر کردن و عیب یابی شما را آسان تر کند، به خصوص اگر در این زمینه تازه کار باشید.

گزینه رنگ آمیزی

می‌توانید بسته‌ها را در فهرست بسته‌ها با توجه به فیلترهای مختلف نمایش رنگ کنید. این به شما امکان می دهد بر بسته هایی که می خواهید تجزیه و تحلیل کنید تأکید کنید.

دو نوع قانون رنگ آمیزی وجود دارد: موقت و دائم. قوانین موقت فقط تا زمانی که برنامه را ببندید اعمال می شوند و قوانین دائمی ذخیره می شوند تا زمانی که دوباره آنها را تغییر دهید.

شما می توانید نمونه قوانین رنگ آمیزی را از اینجا دانلود کنید ، یا می توانید قوانین خود را ایجاد کنید.

حالت بی بند و باری

Wireshark ترافیک ورودی یا خروجی از دستگاهی را که در آن در حال اجراست ثبت می کند. با فعال کردن حالت بی‌وقفه، می‌توانید اکثر ترافیک شبکه محلی خود را ضبط کنید.

خط فرمان

اگر سیستم خود را بدون رابط کاربری گرافیکی (واسط کاربری گرافیکی) اجرا می کنید، می توانید از رابط خط فرمان Wireshark استفاده کنید. شما می توانید بسته ها را ضبط کرده و آنها را در یک رابط کاربری گرافیکی بررسی کنید.

آمار

Wireshark یک منوی "Statistics" را ارائه می دهد که می توانید از آن برای تجزیه و تحلیل بسته های ضبط شده استفاده کنید. به عنوان مثال، می توانید ویژگی های فایل را مشاهده کنید، ترافیک بین دو آدرس IP و غیره را تجزیه و تحلیل کنید.

سوالات متداول

چگونه می توانم داده های گرفته شده در WireShark را بخوانم؟

هنگامی که ضبط بسته ها تمام شد، Wireshark همه آنها را در یک صفحه لیست بسته نشان می دهد. اگر می خواهید بر روی یک عکس خاص تمرکز کنید، روی آن دوبار کلیک کنید و می توانید اطلاعات بیشتری در مورد آن بخوانید.

برای تجزیه و تحلیل آسان تر، می توانید تصمیم بگیرید که یک عکس خاص را در یک پنجره جداگانه باز کنید:

1. بسته مورد نظر برای خواندن را انتخاب کنید.

2. بر روی آن راست کلیک کنید.

3. روی «مشاهده» ضربه بزنید.

4. روی «نمایش بسته در پنجره جدید» ضربه بزنید.

در اینجا برخی از جزئیات از صفحه لیست بسته وجود دارد که به شما در خواندن عکس‌ها کمک می‌کند:

1. شماره - تعداد یک بسته ضبط شده.

2. زمان - این به شما نشان می دهد که چه زمانی بسته گرفته شده است با توجه به زمانی که شما شروع به گرفتن کرده اید. می توانید مقدار را در منوی "تنظیمات" سفارشی و تنظیم کنید.

3. منبع - این مبدا یک بسته ضبط شده به شکل یک آدرس است.

4. مقصد - آدرس مقصد یک بسته ضبط شده.

5. پروتکل - نوع بسته ضبط شده.

6. Length - طول یک بسته ضبط شده را به شما نشان می دهد. این در بایت بیان می شود.

7. اطلاعات - اطلاعات اضافی در مورد یک بسته ضبط شده. نوع اطلاعاتی که در اینجا می بینید به نوع بسته ضبط شده بستگی دارد.

تمام ستون های بالا را می توان با استفاده از فیلترهای نمایشی محدود کرد. بسته به آنچه به آن علاقه دارید، می‌توانید با اعمال فیلترهای مختلف، عکس‌های Wireshark را آسان‌تر و سریع‌تر تفسیر کنید.

در دنیای ماهی، Wireshark باشید

اکنون یاد گرفتید که چگونه ترافیک http را در Wireshark همراه با اطلاعات مفیدی در مورد برنامه ضبط کنید. اگر می خواهید شبکه خود را بررسی کنید، مشکلات را عیب یابی کنید یا مطمئن شوید که همه چیز مرتب است، Wireshark ابزار مناسبی برای شماست. استفاده و تفسیر آن آسان است و رایگان است.

آیا قبلا از Wireshark استفاده کرده اید؟ در بخش نظرات زیر به ما بگویید.