Wireshark چیست و آشنایی کامل با آن
در میان ابزارهای جدید شبکه که وظیفه تجزیه و تحلیل را بر عهده دارند، کمتر ابزاری به خوبی Wireshark توانسته توجه همه را جلب کند. در دنیای امروز هرجا سخن از تحلیلگر شبکه و ردیابی بستهها باشد، اسم Wireshark بهعنوان یک ابزار همهکاره مطرح میشود. میدانیم که ابزارهای بسیاری برای شنود و تحلیل ردیابی بستههای شبکه وجود دارند؛ اما آیا همه آنها دادههای عبوری را هم بهصورت آنلاین و هم آفلاین ضبط و بررسی میکنند؟ سپس این اطلاعات را روی یک رابط کاربرپسند ارائه میکنند؟ بیآنکه نیاز باشد متخصص شبکه باشید و از چندوچون مدیریت شبکه سردرآورید؟ اصلا Wireshark چیست؟ چطور میتوان از آن جهت ایمنسازی شبکه استفاده کرد؟ همراه ما باشید تا مفصل درباره آن صحبت کنیم.
Wireshark چیست؟
Wireshark چیست؟
در یک نگاه سطحی میتوان گفت Wireshark یک تحلیلگر شبکه اوپن سورس و رایگان است. نرمافزاری که امکان ردیابی و حفاظت از بستههای داده را به کاربر شبکه میدهد. به کمک این نزمافزار میتوان ترافیک عبوری شبکه را مرور کرد و در زمان واقعی با آن تعامل داشت. این ابزار اولین بار در سال ۱۹۹۸ توسعه یافت و با نام Ethereal شناخته شد. سپس در سال ۲۰۰۶، چیزی حدود یک دهه بعد، نامش به Wireshark تغییر کرد.
از این نرمافزار میتوان برای عیبیابی مشکلات مرتبط با اتصال و عملکرد شبکهها استفاده کرد و به متخصصان امنیت سایبری توانایی ردیابی اتصالات شبکه را میدهد. متخصصان شبکه با استفاده از Wireshark میتوانند به محتویات تراکنشهای مشکوک دسترسی پیدا کرده و فعالیتهای مجرمانه و مخرب را شناسایی کنند. البته با وجود نقش مهم این نرم افزار در جعبه ابزار کارشناسان IT، اینطور نیست که فقط متخصصان IT بتوانند از آن برای ایمنسازی و درک شبکهها استفاده کنند.
نگاهی به تاریخچه Wireshark
این ابزار ابتدا توسط جرالد کامبز در سال ۱۹۹۸ طراحی شد. در آن زمان، او برای یک ارائه دهنده خدمات اینترنتی (ISP) کوچک کار میکرد و به راهی برای تجزیه و تحلیل و بهینهسازی ترافیک تولید شده توسط کاربران آن ISP نیاز داشت. البته در آن سالها ابزارهای دیگری برای تحلیل بستهها و ترافیک شبکه وجود داشتند؛ اما مبلغشان از حدود ۱۵۰۰ دلار شروع میشد که برای شرکت او گران بود. به علاوه، بیشتر ابزارهای تجاری از Solaris و Linux که سرورهای اصلی مورد استفاده آن ISP بودند، پشتیبانی نمیکردند.
از آنجایی که برنامه های تجاری یا خیلی گران بودند یا عملکرد درستی نداشتند، Combs تصمیم گرفت ابزار خود را برای تجزیه و تحلیل و بهبود ترافیک شبکه طراحی کند. این شد که Wireshark به بازار معرفی شد.
نرم افزار Wireshark چهکار میکند؟
حال که فهمیدیم Wireshark چیست، بد نیست نگاهی به عملکرد آن بیندازیم.
اولین چیزی که باید درباره این برنامه بدانیم، این است که صرفا یک ابزار محدود نیست که چند آماتور و شبکههای زیرزمینی از آن استفاده کنند. موارد استفاده از Wireshark از شبکههای کوچک محلی تا شبکههای سازمانهای دولتی، شرکتهای تجاری و حتی سازمانهای غیر انتفاعی گسترش پیدا میکند. حتی برای بسیاری از افراد Wireshark بهترین راه کسب اطلاعات بیشتر در مورد جزئیات شبکه است.
فرایند عملکرد این نرمافزار با دسترسی به یک اتصال شبکه شروع میشود. سپس تمام ترافیک عبوری از آن اکسس پوینت را ضبط، فیلتر و تجسم میکند. جالب است بدانید Wireshark میتواند از دهها تا دهها هزار بسته داده را در یک زمان ضبط کند.
اما بر خلاف بسیاری از sniffer های بسته، این ابزار میتواند برای تجزیه و تحلیل و عیبیابی شبکهها هم بهصورت بلادرنگ و هم بهشکل آفلاین استفاده شود. Wireshark ترافیک را رهگیری کرده و آن عدد باینری را به قالبی تبدیل میکند که برای انسان قابل درک باشد. به این ترتیب مدیر شبکه بهراحتی حجم ترافیک شبکه و تاخیر بین هاب (پرش دادهها) ها را به راحتی بهدست میآورد. اما عملکرد این ابزار به همینجا ختم نمیشود!
ابزارهای داخلی که برای تجسم داده در این نرم افزار تعبیه شدهاند، نیاز به ابزارهای جداگانه برای تجسم داده را مرتفع میسازند.
ویژگیهای Wireshark چیست؟
Wireshark در ساختار خود از ترکیب چندین پروتکل شبکه بهره میبرد. ویژگیهای این نرمافزار عبارتند از:
- دادههای ترافیک شبکه را به صورت زنده ضبط کرده و آن را برای تجزیه و تحلیل آفلاین ذخیره میکند.
- فایلهای ضبط ایجاد شده توسط tcpdump/WinDump را برای تجزیه و تحلیل میخواند.
- میتواند بستههای داده با سیستم شمارهگذاری هگزادسیمال (Hex) را تجزیه و تحلیل کند.
- قادر به ارائه اطلاعات عمیق و توضیحات جامع درباره بستههای داده است.
- بستههای داده ضبط شده میتوانند با انواع مختلف فرمت فایل ذخیره و ارسال شوند.
آیا عملکرد Wireshark غیرقانونی نیست؟
Wireshark یک ابزار تحلیل و بهینهسازی شبکه معتبر است و هیچ نکته مخرب و منفی در مورد عملکرد آن وجود ندارد؛ بنابراین اگر در شرکت یا سازمان خود از آن استفاده میکنید، نیازی نیست این مسئله را پنهان کنید. اما از آنجایی که در بسیاری از موارد از ابزارهای فناوری اطلاعات، میتوان برای فعالیتهای مخرب و مضر استفاده کرد و همینطور در بسیاری از نقاط جهان، رهگیری ارتباطات الکترونیکی به هر دلیلی غیرقانونی است، بهتر است قبل از تجزیه و تحلیل هر شبکهای باید از مدیر یا صاحب آن شبکه مجوزهای صریح را کسب کنید.
موارد استفاده از Wireshark چیست؟
Wireshark در مقایسه با سایر sniffer های بسته، یکی از کاربرپسندترین و مبتدیترین رابطهای کاربری را دارد. این ابزار با طیف گستردهای از دستگاهها سازگار است و میتوانید بدون در نظر گرفتن نوع دستگاه، از سیستمعامل لینوکس، ویندوز، اوبونتو یا مک برای دسترسی به شبکه خود استفاده کنید.
۱. شنود شبکه (اسنیفینگ)
اسنیفینگ بسته یعنی مشاهده، جمعآوری و ثبت بستههای دادهای که در یک شبکه جریان دارند. هدف از sniffing، نظارت و اسکن دادههای ورودی و خروجی از شبکه برای مشاهده جریان دادههای مخرب یا مشکلساز است.
شنود ناقض حریم خصوصی است. بنابراین اگر شبکهای که در حال شنود کردن آن هستید، شبکه خصوصی خودتان نیست و در نتیجه بستههای دادهای که مشاهده و جمعآوری میکنید، مرتبط با شما نیست باید بدانید که یک کار غیراخلاقی و غیرقانونی انجام میدهید.
با تجزیه و تحلیل بستههای دادهای که با ابزار Wireshark بهدست میآید، اطلاعاتی در مورد نحوه و زمان حرکت دادهها در شبکه و فعالیتهای مشکوک و غیرقانونی کسب میکنید.
۲. عیب یابی مشکلات اتصال
ضبط و ذخیره بخشی از بستههای دادهای که از یک نقطه اتصال شبکه میگذرد، اولین گام تشخیص خطا در آن نقطه است. با استفاده از ابزارهای فیلتر و تجزیه و تحلیل Wireshark، میتوانید میزان ارسال و دریافت بستههایی که میتوانند مسئول خطای شبکه باشند را محدود کنید.
خطاهای بسیار زیادی در انتقال داده میتواند اتصال را کند و مختل کند؛ زیرا سرور تلاش میکند همان دادهها را بارها و بارها ارسال کند. از آنجایی که مبدا، مقصد و مسیر کلی هر بسته داده ضبط و تجزیه و تحلیل میشود، میتوانید مشکلاتی مانند کندی یا عملکرد ضعیف سرورهای وب را شناسایی کنید. همچنین به ترافیک HTTP دسترسی خواهید داشت و میتوانید پاسخها و درخواستهای سرور و مشتری را تجزیه و تحلیل کنید.
۳. شناسایی و یادگیری از حملات قبلی
اینکه فکر کنید از اتصال Wi-Fi منزل شخصی خود استفاده میکنید پس اتصال شما کاملا امن است یک تفکر اشتباه است. حملات متعددی در شبکههای مختلف از خانگی تا سازمانی رخ میدهد که منجر به کاهش امنیت نقطه اتصال میشود. میتوانید با نظارت و تجزیه و تحلیل جریان بستههای شبکه آنها را شناسایی کنید.
هر حملهای از مسمومیت پروتکل ARP گرفته تا حملات سیلابی پروتکل ICMP و حملات VLAN hopping ردپای آشکاری بر جای میگذارد، حتی اگر ناموفق باشد. با ضبط منظم بستههای داده شبکه و سپس فیلتر کردن آنها، میتوانید این حملات را شناسایی کنید.
برای مطالعه بیشتر مقاله امنیت شبکه چیست را از دست ندهید.
Wireshark چه کارهایی انجام نمیدهد؟
حال که فهمیدید موارد استفاده از Wireshark چیست، خوب است بدانید این ابزار برای چه مواردی استفاده نمیشود؟ Wireshark یک IDS نیست که در صورت وقوع رویدادهای امنیتی مانند نفوذ در شبکه به کاربران هشدار دهد. با این حال، اگر دادهها در طول وقوع رویداد جمعآوری شده باشند، میتوان از آن به عنوان یک ابزار قانونی برای شناسایی آنچه رخ داده استفاده کرد. این برنامه ترافیک شبکه را تحت تاثیر قرار نمیدهد و قادر به ارسال بستهها نیست، بلکه فقط آنها را اندازهگیری و مشاهده میکند.
مقاله تست نفوذ شبکه را نیز مطالعه کنید.
Wireshark به عنوان یک ابزار یادگیری
کاربردهای عملی زیادی برای Wireshark وجود دارد. یکی از جنبههای مهم این نرمافزار که معمولا آن را نادیده میگیرند بحث یادگیری موثر است. بالا بردن کاپوت خودرو و نگاه به اجزای داخلی آن بهترین راه برای درک نحوه عملکرد موتور است؛ به همین ترتیب بالا بردن درب ترافیک شبکه و تماشای رفت و آمد بستهها در سطح بایت و بررسی هدرهای بسته، یک روش قدرتمند یادگیری آموزش نحوه کار اینترنت به دیگران است.
ابهام زدایی از موتوری که اقتصاد یک کشور را اداره میکند، تنها میتواند به تصمیمات تجاری و اقتصادی آگاهانهتر و سیاستهای بهتر دولت منجر شود و به مسئله صلاحیت نیروی کار نمیپردازد. Wireshark نیز در حال حاضر یکی از ارکان اصلی آموزشی در مهندسی شبکه است اما به تنهایی کافی نیست. یک یادگیرنده مشتاق میتواند به راحتی این تحلیلگر پروتکل شبکه را دانلود کند، نقطه دسترسی وای فای محلی خود را شنود کرده و شروع به بررسی ترافیک کند.
کلام آخر
شاید فکر کنید آسانترین و بهترین راه برای ارسال اطلاعات در سازمانتان ایجاد یک شبکه است و پس از پیادهسازی آن با خیال راحت به انتشار اطلاعات بپردازید. در حالیکه به این سادگیها نیست. متخصصین فناوری اطلاعات و شبکه میدانند که پیادهسازی شبکه تنها شروع ماجراست. هر شبکه پس از استقرار ممکن است به دلیل عوامل بیرونی یا اشکالات داخلی دچار رویدادهایی شود که تا مرحله سقوط پیش برود. داشتن ابزاری که بتوان به کمک آن به تجزیه و تحلیل بستههای عبوری و ترفیک شبکه بپردازد و یک مجموعه اطلاعات مرتب و منظم ارائه دهد در نگهداشت شبکه و افزایش کارایی و عملکرد آن از اهمیت فراوانی برخوردار است.
امیدواریم از خواندن این مقاله لذت برده باشید. اگر شما عزیزان اطلاعات بیشتری درباره Wireshark دارید، دانستههای خود را با ما و همراهان ما در میان بگذارید.
دیدگاهتان را بنویسید