التقاط حركة مرور الشبكة وتحليلها باستخدام Wireshark للتشخيصات
المحتويات
المقدمة
يوضح هذا المستند كيفية إستخدام Wireshark لالتقاط حركة مرور الشبكة وتحليلها لأغراض تشخيصية.
نظرة عامة
Wireshark هو تطبيق مجاني يمكنك إستخدامه لقراءة مجموعات الحزم وتحليلها (ويسمى أيضا "مقالب TCP"). تكشف عمليات التقاط الحزم جميع الاتصالات من خلال مهايئ شبكة على مستوى الحزمة، مما يجعل من الممكن عرض DNS و HTTP و ping وأنواع حركة مرور أخرى. وتعتبر عمليات التقاط الحزم قيمة بشكل خاص كخطوة تشخيصية لاستكشاف الأخطاء وإصلاحها بشكل عميق، ومع إدخال SIG، فإنها الآن جزء أساسي من عملية التشخيص.
ملاحظة: على قبض Wireshark كل حركة مرور البيانات على المهايئ المحدد. نظرا لأن مجموعات الحزم غالبا ما تحتوي على معلومات تعريف شخصية (PII)، فاستخدم دائما طريقة آمنة، مثل إرتباط مربع، لمشاركة ملفات الالتقاط مع الدعم.
الحصول على Wireshark
يمكنك تنزيل Wireshark لنظام التشغيل Windows أو MacOS أو Linux على: https://www.wireshark.org/
تجميع التقاط حزمة
- أختر محول الشبكة المتصل بالإنترنت وابدأ عملية الالتقاط في Wireshark.
- أثناء الالتقاط، قم بإعادة إنتاج المشكلة التي تريد تشخيصها.
- قم بإيقاف الالتقاط عند انتهائه ثم احفظ الملف على هيئة
.pcap.
المنافذ والبروتوكولات الأساسية
- تتصل معظم الحزم على بروتوكولات طبقة النقل TCP أو UDP
- على سبيل المثال، يقوم "DNS" بتشغيل "أعلى" UDP بشكل افتراضي. هو يحول إلى udp إن يفشل TCP.
- يعد HTTP و DNS بروتوكولات مشتركة تعمل على مجموعة من بروتوكول النقل + المنافذ.
بروتوكول طبقة النقل |
المنفذ |
اسم البروتوكول |
الاستخدام |
|---|---|---|---|
| TCP | 22 | بروتوكول النقل الآمن (SSH) | الوصول إلى VA عن بعد |
| TCP | 25 | SMTP | مراقبة VA |
| IP | 50 | ESP (حمولة أمان التضمين) | السرية، سلامة البيانات، مصادقة الأصل |
| IP | 51 | AH (رأس المصادقة) | تكامل البيانات، المصادقة الأصلية |
| UDP | 53 | DNS | افتراضي DNS |
| TCP | 53 | DNS | تجاوز فشل DNS |
| TCP | 80 | HTTP | حركة مرور الويب (غير مشفرة)، واجهات برمجة التطبيقات (API) |
| UDP | 123 | NTP | مزامنة وقت VA |
| TCP | 443 | HTTPS | حركة مرور الويب المشفرة وواجهات برمجة التطبيقات وموصلات الإعلانات إلى نقاط الوصول الخاصة (VAs) |
| UDP | 443 | HTTPS | استعلامات DNS المشفرة ل RC |
| UDP | 500 | آيك | مفاوضات نفق IPsec |
| UDP | 4500 | NAT-T | إجتياز NAT لأنفاق IPsec |
| TCP | 8080 | HTTP | موصلات الإعلانات لاتصالات VAs |
يساعدك التعرف على أسماء البروتوكولات والمنافذ واستخداماتها على تحديد حركة المرور ذات الصلة في Wireshark وتحليلها.
المشغلات الأساسية
عند إنشاء سلاسل مرشح في Wireshark، أستخدم المشغلات التالية:
==: يساوي (مثال:ip.dst==1.2.3.4)!=: غير متساوية (على سبيل المثال:ip.dst!=1.2.3.4)&&: (على سبيل المثال:ip.dst==1.2.3.4 & ip.src==208.67.222.22)||: أو (على سبيل المثال:ip.dst==1.2.3.4| ip.dst==1.2.3.5)
لخيارات المرشح المتقدمة، راجع وثائق Wireshark: 6-4 تعبيرات عامل تصفية عرض الإنشاء
عوامل التصفية
يمكن أن تحتوي مجموعات الحزم على آلاف الحزم. تساعدك المرشحات على التركيز على أنواع معينة من حركات المرور:
-
حسب البروتوكول:
DNS— عرض حركة مرور DNS فقطhttp|| dns— إظهار حركة مرور HTTP أو DNS
-
حسب عنوان IP:
ip.addr=<ip>— جميع حركات المرور إلى/من<ip>ip.src=<ip>— جميع حركات المرور من<ip>ip.dst=<ip>— جميع حركات المرور إلى<IP>
-
منوعات:
tcp.flags.reset==1— التحقق من عمليات إعادة ضبط TCP (حالات انتهاء المهلة)يحتوي DNS.qry.name على "[domain]"— استعلامات DNS تطابق مجالاtcp.port==80| udp.port==80— حركة مرور TCP أو UDP على المنفذ 80
عرض الحزم وتحليلها
بعد تحديد موقع الحزمة، قم بتمديد المقاطع داخل Wireshark لتحليل التفاصيل. تساعدك المعرفة بهيكل البروتوكول على ترجمة هذه التفاصيل وحتى إعادة بناء البيانات إذا لزم الأمر.
متابعة تدفق بيانات
أستخدم قائمة الحزم لتحديد موقع أزواج الطلب والاستجابة. انقر بزر الماوس الأيمن فوق حزمة وحدد متابعة > تدفق TCP أو تدفق UDP أو تدفق TLS أو تدفق HTTP لعرض الطلب وتسلسل الاستجابة ذوي الصلة.
- ويكون هذا أكثر فائدة مع البروتوكولات التي لها عمليات تبادل متعددة (على سبيل المثال، HTTP) من بروتوكولات الطلب الواحد (على سبيل المثال، DNS).
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
22-Oct-2025
|
الإصدار الأولي |
التعليقات