نحوه گرفتن بسته ها در WireShark

Wireshark یک ابزار تجزیه و تحلیل شبکه ارزشمند است که داده‌هایی را که از طریق شبکه‌های شما در حال حرکت هستند به قالبی قابل خواندن ترجمه می‌کند. شما می توانید مشکلات شبکه یا امنیتی را شناسایی کنید، پیاده سازی پروتکل های اشکال زدایی را انجام دهید، یا به سادگی با گرفتن بسته ها با Wireshark، ترافیک را نظارت کنید.

با گرفتن اطلاعات دقیقی که نیاز دارید، به آنچه در شبکه شما اتفاق می افتد نگاه دقیق تری بیندازید. در اینجا نحوه گرفتن انواع بسته ها در Wireshark آورده شده است.

نحوه گرفتن بسته ها

شروع فرآیند ضبط در Wireshark فقط چند کلیک طول می کشد. تنها کاری که باید انجام دهید این است که حالت ضبط را شروع کنید و داده ها بدون فیلتر شروع به ریختن می کنند. در حالی که این حالت بدون فیلتر زمانی عالی است که به گزارش کاملی از اتفاقات نیاز دارید، مقدار داده‌های گرفته شده به این شکل می‌تواند بسیار زیاد باشد. برای اینکه آن را قابل مدیریت تر کنید، می توانید از فیلترها استفاده کنید و فقط نوع خاصی از داده ها را ضبط کنید. در ادامه مراحل انجام این کار را خواهید دید.

در حال حاضر، بیایید ببینیم چگونه می توان تمام بسته ها را در Wireshark شروع کرد:

1. مطمئن شوید که آخرین نسخه Wireshark را نصب کرده اید. می توانید این برنامه را به صورت رایگان از وب سایت رسمی Wireshark دریافت کنید .
   
   
2. برنامه را راه اندازی کنید. صفحه خوش آمدگویی با لیست شبکه های شناسایی شده شما به استقبال شما می آید.
   
3. گرفتن بسته ها را به یکی از روش های زیر شروع کنید:
   • روی شبکه مورد نظر خود در لیست دوبار کلیک کنید.
     
   • یک یا چند رابط شبکه را انتخاب کنید و سپس روی نماد باله کوسه در نوار ابزار یا "Capture" و سپس "Start" در نوار منو کلیک کنید.
     
     

توجه: می‌توانید گزینه‌های ضبط - مانند حالت غیرقانونی - را قبل از شروع با کلیک کردن بر روی «گرفتن» و سپس «گزینه‌ها» نیز تنظیم کنید.

به محض اینکه روی رابط شبکه یا دکمه شروع کلیک کنید، به صفحه تصویربرداری هدایت خواهید شد. Wireshark را می‌بینید که بسته‌های داده را در زمان واقعی می‌گیرد. پس از رضایت از مقدار داده های جمع آوری شده، می توانید با کلیک کردن روی دکمه توقف قرمز در نوار ابزار بالا، گرفتن را متوقف کنید. بلافاصله تجزیه و تحلیل داده ها را شروع کنید یا با کلیک بر روی "File" و سپس "Save As..." در نوار منو، آن را برای بعد ذخیره کنید.

نحوه گرفتن بسته های UDP

پیروی از مراحل بالا از برنامه می خواهد تا تمام بسته ها را بگیرد. در حالی که انواع مختلف ترافیک به لطف کدگذاری رنگی در Wireshark به راحتی قابل تشخیص هستند، شما همچنان باید داده های زیادی را بررسی کنید. اگر فقط به دنبال اطلاعاتی در مورد بسته های خاصی هستید، می توانید از فیلترها برای آسان کردن کار خود استفاده کنید.

Wireshark از فیلترهای ضبط و نمایش پشتیبانی می کند. استفاده از فیلتر ضبط به این معنی است که برنامه فقط بسته هایی را که شما تعریف کرده اید می گیرد. فیلترهای نمایش صرفاً از طریق بسته هایی که قبلاً ضبط شده اند فیلتر می شوند. این دو فیلتر متفاوت عمل می کنند و از دستورات مختلفی استفاده می کنند، بنابراین باید تصمیم بگیرید که کدام یک به بهترین وجه با نیازهای شما مطابقت دارد.

اگر می‌خواهید فقط ترافیک UDP را ضبط کنید، قبل از شروع فرآیند ضبط از یک فیلتر ضبط استفاده کنید.

1. Wireshark را راه اندازی کنید.
   
2. در صفحه خوش آمدگویی به دنبال نوار فیلتر ضبط بگردید. این دقیقاً بالای لیست شبکه شما است.
   
3. "udp" را در نوار فیلتر ضبط وارد کنید و Enter را فشار دهید تا ترافیک UDP شروع شود. همچنین اگر می‌خواهید فیلتر خود را بیشتر مشخص کنید، می‌توانید پس از «udp» یک پورت خاص اضافه کنید.
   

نکته: یکی دیگر از راه‌های تنظیم فیلترهای ضبط، روی «عکسبرداری» و سپس «گزینه‌ها» در منو کلیک کنید. نوار فیلتر در پایین رابط ضبط خواهد بود.

Wireshark چگونه بسته های DHCP را ضبط کنیم

برای گرفتن انحصاری بسته های DHCP، باید شماره پورت مربوطه را در فیلتر ضبط وارد کنید. برای گرفتن بسته های DHCP از فیلتر ضبط "پورت 67" یا "پورت 68" یا ترکیبی از دو "پورت 67 یا پورت 68" استفاده کنید.

به طور مشابه، یک فیلتر نمایش می تواند بسته های DHCP را در صفحه ضبط شما فیلتر کند. با این حال، به یاد داشته باشید که فیلترهای نمایش از نحو متفاوتی نسبت به فیلترهای ضبط استفاده می کنند. شما باید "udp.port == 68" را در نوار فیلتر نمایش وارد کنید.

نحوه گرفتن بسته های پینگ

بهترین راه برای گرفتن بسته های پینگ (که در غیر این صورت به عنوان ترافیک اکو پروتکل کنترل پیام اینترنت (ICMP) شناخته می شود) در Wireshark استفاده از فیلتر نمایش در حالت ضبط است. در اینجا روند است.

1. Wireshark را باز کنید و فرآیند ضبط را همانطور که در بالا توضیح داده شد شروع کنید.
   
2. خط فرمان خود را باز کنید و آدرس مورد نظر خود را پینگ کنید.
   
3. به Wireshark برگردید و فرآیند ضبط را متوقف کنید.
   
4. با تایپ "icmp" در نوار فیلتر صفحه نمایش خود، یک فیلتر برای بسته های پینگ ایجاد کنید، سپس Enter را بزنید.
   

شما هم درخواست ها و هم پاسخ های پینگ را در لیست بسته ها خواهید دید.

Wireshark چگونه بسته ها را از یک آدرس IP خاص ضبط کنیم

اگر می‌خواهید عکس‌برداری خود را روی یک آدرس IP خاص متمرکز کنید، قبل از شروع عکس‌برداری، فیلتر ضبط زیر را وارد کنید: «میزبان [آدرس IP که می‌خواهید ضبط کنید]». به عنوان مثال، گرفتن بسته های مربوط به آدرس IP 111.11.1.1 به فیلتر "host 111.11.1.1" در نوار فیلتر ضبط نیاز دارد.

همچنین می‌توانید با اضافه کردن «src» برای مبدا یا «dst» برای مقصد در ابتدا به‌جای «host»:

• برای بسته هایی که از آدرس IP مورد نظر می آیند، "src 111.11.1.1" را تایپ کنید
• برای بسته هایی که به آدرس IP مورد نظر ارسال می شوند، "dst 111.11.1.1" را تایپ کنید.

به طور طبیعی، می‌توانید این فیلترها را ترکیب کنید تا ترافیکی را که می‌خواهید بیشتر جذب کنید، مشخص کنید. دو فیلتر را با "و" وصل کنید تا بسته ها بین دو آدرس IP که تعریف کرده اید حرکت کنند. به عنوان مثال، "src 111.11.1.1 و dst 222.22.2.2" فقط بسته های ارسال شده از 111.11.1.1 تا 222.22.2.2 را ضبط می کند.

از فیلترهای نمایش برای فیلتر کردن بسته های مربوط به یک آدرس IP خاص در مجموعه ای از داده های قبلاً ضبط شده استفاده کنید. برای آدرس IP فوق، "ip.addr == 111.11.1.1" را در نوار فیلتر صفحه نمایش خود وارد کنید و غیره.

سوالات متداول

چگونه می توانم بسته های روتر را در Wireshark ضبط کنم؟

تنها در صورتی می‌توانید بسته‌های روتر را با Wireshark ضبط کنید که روتری داشته باشید که از Port Mirroring پشتیبانی می‌کند. ابتدا باید ترافیک را به یک پورت LAN انعکاس دهید. فرآیند ممکن است بسته به دستگاه شما متفاوت باشد.

1. به LAN و سپس LAN Port Mirror بروید.

2. Port Mirroring را فعال کنید.

3. نقطه مبدا و مقصد را پیکربندی کنید.

اگر بتوانید ترافیک خود را از این طریق منعکس کنید، می توانید بسته های روتر را به طور معمول در حالت ضبط Wireshark ضبط کنید.

چرا من نمی توانم بسته ها را در Wireshark ضبط کنم؟

اگر Wireshark شما هیچ بسته‌ای را ضبط نمی‌کند، برای عیب‌یابی این مشکل، احتمالات زیر را بررسی کنید:

• مطمئن شوید که فیلترهای ضبط بیش از حد خاص را فعال ندارید.

• به‌روزرسانی‌های Wireshark را در منوی Help جستجو کنید.

• بررسی کنید که فایروال برنامه Wireshark شما را مسدود نمی کند.

اگر هیچ یک از عوامل فوق در مورد شما صدق نمی کند، به احتمال زیاد مشکل از سخت افزار شماست.

باید همه را ضبط کرد

گرفتن بسته ها با Wireshark فقط چند کلیک طول می کشد. احتمالاً این ساده ترین بخش کار عیب یابی شما خواهد بود. بعداً تمام ترافیک را ضبط کنید و بسته‌ها را فیلتر کنید یا از فیلترهای ضبط فقط برای ضبط یک نوع داده خاص استفاده کنید.

آیا با استفاده از این نکات توانستید بسته های مورد نظر خود را ضبط کنید؟ کدام فیلترهای ضبط Wireshark را مفیدتر می دانید؟ در بخش نظرات زیر به ما اطلاع دهید.