Wireshark چیست و آشنایی کامل با آن

در میان ابزارهای جدید شبکه که وظیفه تجزیه و تحلیل را بر عهده دارند، کمتر ابزاری به خوبی Wireshark توانسته توجه همه را جلب کند. در دنیای امروز هرجا سخن از تحلیلگر شبکه و ردیابی بسته‌ها باشد، اسم  Wireshark به‌عنوان یک ابزار همه‌کاره مطرح می‌شود. می‌دانیم که ابزارهای بسیاری برای شنود و تحلیل ردیابی بسته‌های شبکه وجود دارند؛ اما آیا همه آنها داده‌های عبوری را هم به‌صورت آنلاین و هم آفلاین ضبط و بررسی می‌کنند؟ سپس این اطلاعات را روی یک رابط کاربرپسند ارائه می‌کنند؟ بی‌آنکه نیاز باشد متخصص شبکه باشید و از چندوچون مدیریت شبکه سردرآورید؟ اصلا Wireshark چیست؟ چطور می‌توان از آن جهت ایمن‌سازی شبکه استفاده کرد؟ همراه ما باشید تا مفصل درباره آن صحبت کنیم.

Wireshark چیست؟

Wireshark چیست؟

در یک نگاه سطحی می‌توان گفت Wireshark یک تحلیلگر شبکه اوپن سورس و رایگان است. نرم‌افزاری ‌که امکان ردیابی و حفاظت از بسته‌های داده را به کاربر شبکه می‌دهد. به کمک این نزم‌افزار می‌توان ترافیک عبوری شبکه را مرور کرد و در زمان واقعی با آن تعامل داشت.  این ابزار اولین بار در سال ۱۹۹۸ توسعه یافت و با نام Ethereal شناخته شد. سپس در سال ۲۰۰۶، چیزی حدود یک دهه بعد، نامش به Wireshark تغییر کرد.

از این نرم‌افزار می‌توان برای عیب‌یابی مشکلات مرتبط با اتصال و عملکرد شبکه‌ها استفاده کرد و به متخصصان امنیت سایبری توانایی ردیابی اتصالات شبکه را می‌دهد. متخصصان شبکه با استفاده از Wireshark می‌توانند به محتویات تراکنش‌های مشکوک دسترسی پیدا کرده و فعالیت‌های مجرمانه و مخرب را شناسایی کنند. البته با وجود نقش مهم این نرم افزار در جعبه ابزار کارشناسان IT، اینطور نیست که فقط متخصصان IT بتوانند از آن برای ایمن‌سازی و درک شبکه‌ها استفاده کنند.

نگاهی به تاریخچه Wireshark

این ابزار ابتدا توسط جرالد کامبز در سال ۱۹۹۸ طراحی شد. در آن زمان، او برای یک ارائه دهنده خدمات اینترنتی (ISP) کوچک کار می‌کرد و به راهی برای تجزیه و تحلیل و بهینه‌سازی ترافیک تولید شده توسط کاربران آن ISP نیاز داشت. البته در آن سال‌ها ابزارهای دیگری برای تحلیل بسته‌ها و ترافیک شبکه وجود داشتند؛ اما مبلغشان از حدود ۱۵۰۰ دلار شروع می‌شد که برای شرکت او گران بود. به علاوه، بیشتر ابزارهای تجاری از Solaris و Linux که سرورهای اصلی مورد استفاده آن ISP بودند، پشتیبانی نمی‌کردند.

از آنجایی که برنامه های تجاری یا خیلی گران بودند یا عملکرد درستی نداشتند، Combs تصمیم گرفت ابزار خود را برای تجزیه و تحلیل و بهبود ترافیک شبکه طراحی کند. این شد که Wireshark به بازار معرفی شد.

نرم افزار Wireshark چه‌کار می‌کند؟

حال که فهمیدیم Wireshark چیست، بد نیست نگاهی به عملکرد آن بیندازیم.

اولین چیزی که باید درباره این برنامه بدانیم، این است که صرفا یک ابزار محدود نیست که چند آماتور و شبکه‌های زیرزمینی از آن استفاده کنند. موارد استفاده از Wireshark از شبکه‌های کوچک محلی تا شبکه‌های سازمان‌های دولتی، شرکت‌های تجاری و حتی سازمان‌های غیر انتفاعی گسترش پیدا می‌کند. حتی برای بسیاری از افراد Wireshark بهترین راه کسب اطلاعات بیشتر در مورد جزئیات شبکه است.

فرایند عملکرد این نرم‌افزار با دسترسی به یک اتصال شبکه شروع می‌شود. سپس تمام ترافیک عبوری از آن اکسس پوینت را ضبط، فیلتر و تجسم می‌کند. جالب است بدانید Wireshark می‌تواند از ده‌ها تا ده‌ها هزار بسته داده را در یک زمان ضبط کند.

اما بر خلاف بسیاری از sniffer های بسته، این ابزار می‌تواند برای تجزیه و تحلیل و عیب‌یابی شبکه‌ها هم به‌صورت بلادرنگ و هم به‌شکل آفلاین استفاده شود. Wireshark ترافیک را رهگیری کرده و آن عدد باینری را به قالبی تبدیل می‌کند که برای انسان قابل درک باشد. به این ترتیب مدیر شبکه به‌راحتی حجم ترافیک شبکه و تاخیر بین هاب (پرش داده‌ها) ها را به راحتی به‌دست می‌آورد. اما عملکرد این ابزار به همینجا ختم نمی‌شود!

ابزارهای داخلی که برای تجسم داده در این نرم افزار تعبیه شده‌اند، نیاز به ابزارهای جداگانه برای تجسم داده را مرتفع می‌سازند.

ویژگی‌های Wireshark چیست؟

Wireshark در ساختار خود از ترکیب چندین پروتکل شبکه بهره می‌برد. ویژگی‌های این نرم‌افزار عبارتند از:

• داده‌های ترافیک شبکه را به صورت زنده ضبط کرده و آن را برای تجزیه و تحلیل آفلاین ذخیره می‌کند.
• فایل‌های ضبط ایجاد شده توسط tcpdump/WinDump را برای تجزیه و تحلیل می‌خواند.
• می‌تواند بسته‌های داده با سیستم شماره‌گذاری هگزادسیمال (Hex) را تجزیه و تحلیل کند.
• قادر به ارائه اطلاعات عمیق و توضیحات جامع درباره بسته‌های داده است.
• بسته‌های داده ضبط شده می‌توانند با انواع مختلف فرمت فایل ذخیره و ارسال شوند.

آیا عملکرد Wireshark غیرقانونی نیست؟

Wireshark یک ابزار تحلیل و بهینه‌سازی شبکه معتبر است و هیچ نکته مخرب و منفی در مورد عملکرد آن وجود ندارد؛ بنابراین اگر در شرکت یا سازمان خود از آن استفاده می‌کنید، نیازی نیست این مسئله را پنهان کنید. اما از آنجایی که در بسیاری از موارد از ابزارهای فناوری اطلاعات، می‌توان برای فعالیت‌های مخرب و مضر استفاده کرد و همین‌طور در بسیاری از نقاط جهان، رهگیری ارتباطات الکترونیکی به هر دلیلی غیرقانونی است، بهتر است قبل از تجزیه و تحلیل هر شبکه‌ای باید از مدیر یا صاحب آن شبکه مجوزهای صریح را کسب کنید.

موارد استفاده از Wireshark چیست؟

Wireshark در مقایسه با سایر sniffer های بسته، یکی از کاربرپسندترین و مبتدی‌ترین رابط‌های کاربری را دارد. این ابزار با طیف گسترده‌ای از دستگاه‌ها سازگار است و می‌توانید بدون در نظر گرفتن نوع دستگاه، از سیستم‌عامل لینوکس، ویندوز، اوبونتو یا مک برای دسترسی به شبکه خود استفاده کنید.

۱. شنود شبکه (اسنیفینگ)

اسنیفینگ بسته یعنی مشاهده، جمع‌آوری و ثبت بسته‌های داده‌ای که در یک شبکه جریان دارند. هدف از sniffing، نظارت و اسکن داده‌های ورودی و خروجی از شبکه برای مشاهده جریان داده‌های مخرب یا مشکل‌ساز است.

شنود ناقض حریم خصوصی است. بنابراین اگر شبکه‌ای که در حال شنود کردن آن هستید، شبکه خصوصی خودتان نیست و در نتیجه بسته‌های داده‌ای که مشاهده و جمع‌آوری می‌کنید، مرتبط با شما نیست باید بدانید که یک کار غیراخلاقی و غیرقانونی انجام می‌دهید.

با تجزیه و تحلیل بسته‌های داده‌ای که با ابزار Wireshark به‌دست می‌آید، اطلاعاتی در مورد نحوه و زمان حرکت داده‌ها در شبکه و فعالیت‌های مشکوک و غیرقانونی کسب می‌کنید.

۲. عیب یابی مشکلات اتصال

ضبط و ذخیره بخشی از بسته‌های داده‌ای که از یک نقطه اتصال شبکه می‌گذرد، اولین گام تشخیص خطا در آن نقطه است. با استفاده از ابزارهای فیلتر و تجزیه و تحلیل Wireshark، می‌توانید میزان ارسال و دریافت بسته‌هایی که می‌توانند مسئول خطای شبکه باشند را محدود کنید.

خطاهای بسیار زیادی در انتقال داده می‌تواند اتصال را کند و مختل کند؛ زیرا سرور تلاش می‌کند همان داده‌ها را بارها و بارها ارسال کند. از آنجایی که مبدا، مقصد و مسیر کلی هر بسته‌ داده ضبط و تجزیه و تحلیل می‌شود، می‌توانید مشکلاتی مانند کندی یا عملکرد ضعیف سرورهای وب را شناسایی کنید. همچنین به ترافیک HTTP دسترسی خواهید داشت و می‌توانید پاسخ‌ها و درخواست‌های سرور و مشتری را تجزیه و تحلیل کنید.

۳. شناسایی و یادگیری از حملات قبلی

اینکه فکر کنید از اتصال Wi-Fi منزل شخصی خود استفاده می‌کنید پس اتصال شما کاملا امن است یک تفکر اشتباه است. حملات متعددی در شبکه‌های مختلف از خانگی تا سازمانی رخ می‌دهد که منجر به کاهش امنیت نقطه اتصال می‌شود. می‌توانید با نظارت و تجزیه و تحلیل جریان‌ بسته‌های شبکه آن‌ها را شناسایی کنید.

هر حمله‌ای از مسمومیت پروتکل ARP گرفته تا حملات سیلابی پروتکل ICMP و حملات VLAN hopping ردپای آشکاری بر جای می‌گذارد، حتی اگر ناموفق باشد. با ضبط منظم بسته‌های داده شبکه و سپس فیلتر کردن آن‌ها، می‌توانید این حملات را شناسایی کنید.

برای مطالعه بیشتر مقاله امنیت شبکه چیست را از دست ندهید.

Wireshark چه کارهایی انجام نمی‌دهد؟

حال که فهمیدید موارد استفاده از Wireshark چیست، خوب است بدانید این ابزار برای چه مواردی استفاده نمی‌شود؟ Wireshark یک IDS نیست که در صورت وقوع رویدادهای امنیتی مانند نفوذ در شبکه به کاربران هشدار دهد. با این حال، اگر داده‌ها در طول وقوع رویداد جمع‌آوری شده باشند، می‌توان از آن به عنوان یک ابزار قانونی برای شناسایی آنچه رخ داده استفاده کرد. این برنامه ترافیک شبکه را تحت تاثیر قرار نمی‌دهد و قادر به ارسال بسته‌ها نیست، بلکه فقط آنها را اندازه‌گیری و مشاهده می‌کند.

مقاله تست نفوذ شبکه را نیز مطالعه کنید.

Wireshark به عنوان یک ابزار یادگیری

کاربردهای عملی زیادی برای Wireshark وجود دارد. یکی از جنبه‌های مهم این نرم‌افزار که معمولا آن را نادیده می‌گیرند بحث یادگیری موثر است. بالا بردن کاپوت خودرو و نگاه به اجزای داخلی آن بهترین راه برای درک نحوه عملکرد موتور است؛ به همین ترتیب بالا بردن درب ترافیک شبکه و تماشای رفت و آمد بسته‌ها در سطح بایت و بررسی هدرهای بسته، یک روش قدرتمند یادگیری آموزش نحوه کار اینترنت به دیگران است.

ابهام زدایی از موتوری که اقتصاد یک کشور را اداره می‌کند، تنها می‌تواند به تصمیمات تجاری و اقتصادی آگاهانه‌تر و سیاست‌های بهتر دولت منجر شود و به مسئله صلاحیت نیروی کار نمی‌پردازد. Wireshark نیز در حال حاضر یکی از ارکان اصلی آموزشی در مهندسی شبکه است اما به تنهایی کافی نیست. یک یادگیرنده مشتاق می‌تواند به راحتی این تحلیلگر پروتکل شبکه را دانلود کند، نقطه دسترسی وای فای محلی خود را شنود کرده و شروع به بررسی ترافیک کند.

کلام آخر

شاید فکر کنید آسان‌ترین و بهترین راه برای ارسال اطلاعات در سازمان‌تان ایجاد یک شبکه است و پس از پیاده‌سازی آن با خیال راحت به انتشار اطلاعات بپردازید. در حالیکه به این سادگی‌ها نیست. متخصصین فناوری اطلاعات و شبکه می‌دانند که پیاده‌سازی شبکه تنها شروع ماجراست. هر شبکه پس از استقرار ممکن است به دلیل عوامل بیرونی یا اشکالات داخلی دچار رویدادهایی شود که تا مرحله سقوط پیش برود. داشتن ابزاری که بتوان به کمک آن به تجزیه و تحلیل بسته‌های عبوری و ترفیک شبکه بپردازد و یک مجموعه اطلاعات مرتب و منظم ارائه دهد در نگهداشت شبکه و افزایش کارایی و عملکرد آن از اهمیت فراوانی برخوردار است.

امیدواریم از خواندن این مقاله لذت برده باشید. اگر شما عزیزان اطلاعات بیشتری درباره Wireshark دارید، دانسته‌های خود را با ما و همراهان ما در میان بگذارید.

سوالات متداول