قمنا بتغطية مقدمة كاملة عن Wireshark، أداة تحليل الحزم. لقد قمنا بمراجعة الأقسام الرئيسية، والتقاط حركة المرور، وتشريح الحزم وتحليلها، واستخراج إحصائيات البروتوكول حول حركة المرور الملتقطة بالإضافة إلى تشريح وشرح تفاصيل الحزمة والتنقل. كان هذا جزءًا من أساسيات TryHackMe Wireshark & حاول عمليات حزم HackMe والتي تعد جزءًا من TryHackMe SOC المستوى 1.
احصل على ملاحظات دراسة تحليل حركة مرور الشبكة
الدورة التدريبية العملية الكاملة لإداة Metasploit
أبرز مقاطع الفيديو
Wireshark عبارة عن أداة مفتوحة المصدر ومتعددة الأنظمة الأساسية لتحليل حزم الشبكة قادرة على التعرف على حركة المرور المباشرة والتحقيق فيها وفحص عمليات التقاط الحزم (PCAP). يتم استخدامه بشكل شائع كواحد من أفضل أدوات تحليل الحزم. في هذه الغرفة، سوف نلقي نظرة على أساسيات Wireshark ونستخدمها لإجراء تحليل أساسي للحزم.
تعد Wireshark واحدة من أقوى أدوات تحليل حركة المرور المتاحة في العالم. هناك أغراض متعددة لاستخدامه:
- اكتشاف مشكلات الشبكة واستكشاف الأخطاء وإصلاحها، مثل نقاط فشل تحميل الشبكة والازدحام.
- اكتشاف العيوب الأمنية، مثل المضيفين المارقين، والاستخدام غير الطبيعي للمنفذ، وحركة المرور المشبوهة.
- التحقيق وتعلم تفاصيل البروتوكول، مثل رموز الاستجابة وبيانات الحمولة.
يُعرف تشريح الحزمة أيضًا باسم تشريح البروتوكول، والذي يبحث في تفاصيل الحزمة عن طريق فك تشفير البروتوكولات والحقول المتاحة. يدعم Wireshark قائمة طويلة من البروتوكولات الخاصة بالتشريح، ويمكنك أيضًا كتابة نصوص التشريح الخاصة بك. يمكنك العثور على مزيد من التفاصيل حول التشريح هنا.
تمتلك Wireshark محرك تصفية قويًا يساعد المحللين على تضييق نطاق حركة المرور والتركيز على الأحداث محل الاهتمام. لدى Wireshark نوعان من أساليب التصفية: مرشحات الالتقاط والعرض. تستخدم مرشحات الالتقاط "اسر" فقط الحزم صالحة للمرشح المستخدم. يتم استخدام مرشحات العرض ل "المعاينة" الحزم صالحة للمرشح المستخدم.
المرشحات عبارة عن استعلامات محددة مصممة للبروتوكولات المتوفرة في مرجع البروتوكول الرسمي الخاص بـ Wireshark. على الرغم من أن عوامل التصفية هي الخيار الوحيد للتحقيق في الحدث محل الاهتمام، إلا أن هناك طريقتين مختلفتين لتصفية حركة المرور وإزالة التشويش من ملف الالتقاط. يستخدم الأول الاستعلامات، ويستخدم الثاني قائمة النقر بزر الماوس الأيمن. يوفر Wireshark واجهة مستخدم رسومية قوية، و هناك قاعدة ذهبية للمحللين الذين لا يريدون كتابة استعلامات للمهام الأساسية: "إذا كان بإمكانك النقر عليه، فيمكنك تصفيته ونسخه".
توفر هذه الإحصائيات خيارات إحصائيات متعددة جاهزة للتحقيق لمساعدة المستخدمين على رؤية الصورة الكبيرة من حيث نطاق حركة المرور والبروتوكولات المتاحة ونقاط النهاية والمحادثات وبعض التفاصيل الخاصة بالبروتوكول مثل DHCP وDNS وHTTP/2. بالنسبة للمحلل الأمني، من المهم معرفة كيفية الاستفادة من المعلومات الثابتة. يقدم هذا القسم ملخصًا سريعًا لـ PCAP الذي تمت معالجته، والذي سيساعد المحللين على إنشاء فرضية للتحقيق. يمكنك استخدام ال "إحصائيات" القائمة لعرض كافة الخيارات المتاحة.
إجابات الغرفة
ما هو العدد الإجمالي للحزم؟
ما هو تجزئة SHA256 قيمة ملف الالتقاط؟
ما هو تاريخ وصول الحزمة؟ (تنسيق الإجابة: شهر/يوم/سنة)
ما هي قيمة TTL؟
ما هو حجم حمولة TCP؟
ما هي قيمة العلامة الإلكترونية؟
انتقل إلى الحزمة 12 وقراءة التعليقات. ما هو الجواب؟
هناك ".رسالة قصيرة" ملف داخل ملف الالتقاط. ابحث عن الملف واقرأه؛ ما هو اسم الأجنبي؟
انظر إلى قسم معلومات الخبراء. ما هو عدد التحذيرات؟
ما هو عدد الحزم المعروضة؟
انتقل إلى الحزمة رقم 33790 واتبع الدفق. ما هو العدد الإجمالي للفنانين؟
ما اسم الفنان الثاني؟
ما هو عدد محادثات IPv4؟
كم عدد البايتات (k) التي تم نقلها من عنوان MAC "Micro-St"؟
ما هو عدد عناوين IP المرتبطة بـ "مدينة كانساس"؟
ما هو عنوان IP المرتبط بمنظمة "Blicnet" AS؟
ما هو عنوان وجهة IPv4 الأكثر استخدامًا؟
ما هو الحد الأقصى لوقت الاستجابة لطلب الخدمة لحزم DNS؟
ما هو عدد طلبات HTTP التي تم إنجازها بواسطة "rad[.]msn[.]com؟
ما هو عدد الحزم ذات "قيمة TTL أقل من 10"؟
ما هو عدد الحزم التي تستخدم "منفذ TCP 4444"؟
ما هو عدد طلبات "HTTP GET" المرسلة إلى المنفذ "80"؟
ما هو رقم "النوع أ DNS استفسارات"؟
البحث عن كافة خوادم Microsoft IIS. ما هو عدد الحزم التي تحتوي على "الإصدار 7.5"؟
ما هو إجمالي عدد الحزم التي تستخدم المنافذ 3333 أو 4444 أو 9999؟
ما هو عدد الحزم التي تحتوي على "أرقام TTL الزوجية"؟
قم بتغيير ملف التعريف إلى "التحكم في المجموع الاختباري". ما هو عدد حزم "المجموع الاختباري لـ TCP السيئة"؟
استخدم زر التصفية الموجود لتصفية حركة المرور. ما هو عدد الحزم المعروضة؟
تجول الفيديو