Wireshark

نام : Wireshark

سال ساخت : 1998

آخرین ورژن : 3.7.1

دسته بندی : Packet Analyzer, Monitoring

سیستم عامل : windows, linux, mac

نسخه گرافیکی : دارد

معرفی

Wireshark یک ابزار تحلیلگر بسته های شبکه است. این ابزار تا حد امکان بسته جزئیات بسته های کپچر شده را نمایش می دهد. شما می توانید وایرشارک را به عنوان یک دستگاه اندازه گیری برای بررسی اتفاقات داخل کابل شبکه در نظر بگیرید،  همانند یک برقکار که برای بررسی اتفاقات داخل کابل برق (البته در سطح بالاتر) از ولت متر استفاده می کند. در گذشته، چنین ابزارهایی یا بسیار گران بودند، یا اختصاصی یا هر دو. با این حال، با ظهور وایرشارک، این موضوع تغییر کرد.

در اینجا دلایلی وجود دارد که افراد از وایرشارک استفاده می کنند :

  • مدیران شبکه از آن برای عیب یابی مشکلات شبکه استفاده می کنند.
  • مهندسان امنیت شبکه از آن برای بررسی مشکلات امنیتی استفاده می کنند.
  • مهندسان QA از آن برای تأیید برنامه های شبکه استفاده می کنند.
  • توسعه دهندگان از آن برای اشکال زدایی اجرای پروتکل ها استفاده می کنند.
  • افراد علاقه مند از آن برای یادگیری پروتکل های داخلی شبکه استفاده می کنند.

وایرشارک همچنین می تواند در بسیاری از موقعیت های دیگر مفید باشد.

ویژگی ها

  • برای یونیکس و ویندوز موجود است.
  • داده های بسته زنده را از یک رابط شبکه ضبط کنید.
  • فایل های حاوی داده های بسته گرفته شده با tcpdump/WinDump ،     Wireshark  و بسیاری دیگر از برنامه های ضبط بسته را باز کنید.
  • بسته‌ها را از فایل‌های متنی حاوی داده‌های بسته هگزا ایمپورت کنید.
  • نمایش بسته ها با اطلاعات پروتکل بسیار دقیق.
  • داده های بسته گرفته شده را ذخیره کنید.
  • برخی یا همه بسته ها را در تعدادی از فرمت های فایل ضبط صادر کنید.
  • بسته ها را بر اساس معیارهای زیادی فیلتر کنید.
  • بسته ها را با معیارهای زیادی جستجو کنید.
  • رنگی کردن نمایش بسته بر اساس فیلترها.
  • ایجاد آمارهای مختلف
  • و خیلی چیزهای دیگر …!

تصویری از رابط کاربری ابزار وایرشاک

محیط وایرشارک

فیلتر های کاربردی

ip.addr == 10.0.0.1 : تنظیم IP به عنوان مبدا یا مقصد    

ip.addr==10.0.0.1 && ip.addr==10.0.0.2 : یک فیلتر مکالمه بین دو آدرس IP تعریف شده تنظیم می کند.


tcp.port==4000 : یک فیلتر برای هر بسته TCP همراه با عدد 4000 که به عنوان پورت مبدا یا مقصد تنظیم می کند.


tcp.flags == 0x012 : تمام بسته های TCP SYN/ACK را نمایش می دهد – اتصالاتی را نشان می دهد که پاسخ مثبت داشتند. مربوط به این tcp.flags.syn==1 است.


ip.addr == 10.0.0.0/24 : بسته ها را نمایش می دهد که در این رنج IP شبکه قرار دارد.

frame contains traffic : تمام بسته هایی که حاوی کلمه “ترافیک” هستند را نمایش می دهد. هنگام جستجو در یک رشته خاص یا شناسه کاربری عالی است.


!(arp or icmp or stp) : arp، icmp،  stp یا هر پروتکل دیگری که ممکن است نویز پس‌زمینه باشد را نادیده می گیرد. به شما امکان می دهد روی ترافیک مورد نظر تمرکز کنید.

http or dns : فیلتری را برای نمایش تمام پروتکل های http و dns تنظیم می کند. این به شما امکان می دهد به پروتکل دقیقی که نیاز دارید محدود شوید. بنابراین، اگر نیاز به ردیابی ترافیک FTP  دارید، فقط باید آن را برای «ftp» تنظیم کنید.

مقالات اخیر