Useful links : Upgrade To VIP | Advertising in IHO   |  Laws  | Contact US

قديم 11-28-2017, 07:14 AM   #1
yesecurity
[ عضو جديد ]
الصورة الرمزية yesecurity
 
تاريخ التسجيل  :  Nov 2017
رقم العضوية   :  47050
المشاركات   :  40
بمعدل  :  0.17 يوميا
قوة السمعة  : yesecurity is on a distinguished road  
حالة التواجد: yesecurity غير متواجد حالياً

 
افتراضي مقدمة عن Wireshark

السلام عليكم ورحمة الله وبركاته
ان شاء الله تكونوا في تمام الصحة والعافية


أولا ملفات ال pcap التي في الشرح موجودة في المرفقات.

Entry Menu

مقدمة Wireshark

عند استدعاء ويريشارك، هذه القائمة(menu) تسمح لك لتحديد خيارات لتكوين واجهات التقاط.
ويسمح لك للحصول على مساعدة لالتقاط الحزم أو الوصول إلى دليل المستخدم على الانترنت.

يعرض العمود الأوسط أسماء ملفات pcap التي تم عرضها مؤخرا باستخدام ويريشارك.
وقد جمع موقع ويريشارك مجموعة من ال pcaps
و هذه هي ال pcaps عن بعض البروتوكولات المشتركة
في حال كان لديك مصلحة خاصة في فحص واحد أو أكثر منهم.

لاستدعاء وايرشارك من سطر الأوامر اكتب :
wireshark

Main Menu

مقدمة Wireshark

هذه هي القائمة الرئيسية(Main menu) لفحص ملف pcap معين
أو نتيجة لجمع ترافيك حي.
في الأعلى، توفر خيارات قائمة ويريشارك خيارات أو للتحليل باستخدام أحد خياراتها.
تتضمن الخيارات أسفل خيارات القائمة الرئيسية شريط الأدوات الرئيسي(Main toolbar).
إذا حركت الماوس فوق أي من هذه الخيارات ، فسيظهر وصف موجز عنها.

هناك ثلاثة أجزاء مختلفة في الويريشارك .
يعرض جزء قائمة الحزم جميع الحزم التي تم التقاطها أو قرائتها.
وهذا يعطي معلومات أساسية عن كل حزمة. يقوم جزء تفاصيل الحزمة بفصل الحزمة المحددة بواسطة البروتوكول.
على سبيل المثال، في الملف 1.pcap تبعنا يحتوي على Ethernet ،IP و ICMP.
كل من هذه يمكن فحصها بمزيد من التفصيل عن طريق الضغط على المربع الصغير
بجانب كل بروتوكول. ويعرض جزء تمثيل الحزم بالبايت بايتات الحزمة بالنظام السداسي العشري
وال ASCII للحزمة المختارة أو جزء منها.

يشير ال status bar في الجزء السفلي إلى اسم الملف الذي تمت قراءته
وعدد الحزم التي تم التقاطها و / أو عرضها.

لعرض ملف pcap.1 يمكنك القيام باحد هذه الخيارات:
اخرج من وايرشارك واستدعيها من سطر الأوامر كالتالي:
wireshark 1.pcap
أو ابقى في الوايرشارك واضغط على open في العمود الأوسط (files)
ثم اذهب الى مكان الملف في جهازك.

تحليل ملف pcap

لنفترض أن لديك ملف pcap اسمه 2.pcap ، وهو ترافيك لمحاولة عملية تصيد احتيالي (phishing).
وتعلم أيضا أن السلسلة "filename = pdf641" هي جلسة HTTP تدل على قيام المستخدم
بزيارة الرابط الموجود في البريد الإلكتروني للتصيد الاحتيالي الذي وجه المستخدم
إلى تنزيل بعض الشيفرات الضارة. هذا كل ما تعرفه.

الإحصائيات

مقدمة Wireshark

يعد هذا مكانا رائعا للبدء عند محاولة تحديد بعض الأنشطة.
فهو يساعدك على الحصول على نظرة عامة على الصورة الكبيرة
لما قد يكون مفيدا للتحقيق بمزيد من التفصيل.

اضغط على statistics في ال Main menu

Summary و Protocol Hierarchy Statistics

مقدمة Wireshark

على اليسار لدينا ملخص الترافيك و على اليمين لدينا التسلسل الهرمي للبروتوكول.
يعرض الملخص عدد البايتات الموجودة في ال pcap وكذلك عدد الحزم المسجلة.
و يعرض الوقت عندما تم التقاط الحزمة الأولى والأخيرة.
الجزء العلوي يشير إلى أن الملف طوله (length)يساوي 548668 بايت.
ومع ذلك، عند النظر إلى قسم العرض في الجزء السفلي،نجد عدد البايت 534916
وهذا العدد يمثل عدد البايتات الفعلية في الحزم فقط، في حين أن عدد بايتات الملف يتضمن تلك البايتات نفسها،
مع ال metadata ك timestamp لكل record وال metadata لاتعتبر ضمن بايتات الحزم
لأنها لاتنتمي إلى الحزمة نفسها فقط نجدها في الإحصائيات تبع الملف pcap .

نجد نظرة عامة مفيدة جدا من البيانات في ال pcap في خيار التسلسل الهرمي للبروتوكول في الإحصائيات.
كما ترون أنه يصنف الترافيك حسب الطبقات ويشير إلى النسب المئوية التقريبية والحزم والبايتات،
وما إلى ذلك هذا يعطيك لمحة عامة عن أنواع الترافيك
التي تم العثور عليه في ال pcap وتعتبر نقطة انطلاق جيدة لفحص البيانات.

مع نظرة ثاقبة ، قد ترى أن هناك أكثر من 8ظھ من ترافيك HTTP UDP. كل هذا حول مذا؟
كما سنشاهد لاحقا، إذا نقرت على HTTP تحت ال UDP ثم انقر بزر الماوس الأيمن،
فستظهر قائمة فلترة. ثم بعد ذلك تتبع Apply as filter وتختار خيار وتضغط فسترى السجلات الموجودة في ال UDP HTTP .
ترافيك المنفذ 80 هو بالتأكيد TCP لأنه البروتوكول الموجود في IP header لتلك السجلات
بحيث يبدو خاطئا. الترافيك الآخر باسم "SSDP". وفقا لويريشارك ويكي:
هو Simple Service Discovery Protocole وصف بأنه بروتوكول HTTP. وهذا ما يفسر لماذا يعتبر ويريشارك أنه ترافيك UDP HTTP

مقدمة Wireshark

اذهب ل statistics ثم اضغط على Endpoints ثم اضغط مرة IPv4 و مرة على TCP لتشوف مثل الصورة

يوفر الخيار statistics endpoints نظرة جيدة في عناوين ال IP ومنافذ TCP/UDP .
هذا أكثر فائدة مع ملف pcap صغير و أكثر اتساقا مع عناوين IP وبروتوكولات قليلة.
بالضغط على IPv4 أعلى الشاشة تعرض إحصائيات لكل IP وعدد الحزم المربوطة بها , الحزم المرسلة والمستقبلة والبايتات.

وبالمثل، تعرض TCP endpoints أدناه، المحددة بواسطة TCP نفس أنواع الإحصاءات حسب المنفذ المرتبط بعنوان IP معين.

تحليل جلسة TCP

مقدمة Wireshark

واحدة من أكثر ميزات الويريشارك هو القدرة على إعادة بناء جلسات TCP أو UDP. أدوات مثل tcpdump
قادرون على رؤية وتحليل الترافيك كحزم واحدة. هذا جيد إذا كنت تبحث عن شيء في حزمة فردية أو اثنين،
ولكن غير كافية إذا كنت ترغب في رؤية الحزم ذات الصلة من حيث تيار (stream) أو من حيث جلسة أعيد بناؤها .

جلسة TCP

مقدمة Wireshark

هذه هي "المحادثة" الفعلية التي حدثت في جلسة TCP المرتبطة بالحزمة الأولى في ال pcap.
جانب العميل من المحادثة باللون الأزرق وجانب السيرفر باللون الأحمر. محتوى التيار هذا هو SMTP.
سنتحدث عن البروتوكول SMTP لاحقا . ولكن هذا يعطيك فكرة جيدة عن قوة ويريشارك.
إعادة تشكيل التيار هي واحدة من الوظائف الأكثر استخداما والأكثر قيمة في وايريشارك.

اضغط على clear لعرض الحزم مرة أخرى.

البحث عن حزمة

مقدمة Wireshark

ميزة أخرى في وايريشارك هو العثور على حزمة معينة استنادا إلى بعض المؤشرات التي تقوم بتاختيارها.
اضغط على Edit ثم Find packet لاحضار ال menu لتحدد ماذا تريد لوايرشارك أن يرى.

مقدمة Wireshark

تذكر في وقت سابق أن إحدى الأشياء التي تلقيتها حول هذا الترافيك كانت تلك السلسلة "filename=641.pdf"
من المرجح أن تكون مرتبطة بترافيك ضار، فلنبحث عن ذلك، فنحن نبحث عن قيمة السلسلة ونريد أن ننظر في بايتات الحزمة - أو payload السلسلة.

هناك خيارات بحث أخرى. يمكنك البحث عن قيمة بالنظام السداسي العشري في تفاصيل الحزمة (header fileds) أو حقل بايتات الحزمة (payload).
يتيح لك خيار display filter العثور على الحزمة استنادا إلى display filters التي يدعمها وايريشارك.
سنقوم بتفصيل كبير حول dispaly filters التي يدعمها وايرشارك،
ولكن الآن عليك فهم أن وايريشارك له تسميات خاصة به للبروتوكولات أو الحقول في البروتوكولات.
على سبيل المثال، الفيلتر تبع "udp.port = = 53" يقوم بإعلام ويريشارك بفحص فقط الترافيك تبع المنفذ UDP 53 (هو DNS عادة) .

إذا لم تضغط على زر clear لإرجاع عرض جميع الحزم بعد إختيار follow TCP stream فلن تجد السلسلة النصية.

وايريشارك يأخذنا إلى الحزمة حيث يتم العثور على السلسلة النصية.
ولكن، هو أكثر فائدة إذا كان يمكننا أن نرى السلسلة ال في الجلسة المتعلقة بالحزمة المبحوث عليها
لذلك سنقوم الجمع بين هذا مع Follow TCP stream . وقد انتقل ويريشارك إلى الحزمة
لذلك كل ما عليك القيام به هو النقر يمين على الماوس ويتم عرض القائمة التي فيها Follow TCP stream .
والنتيجة تظهر في الصورة اللاحقة.

مقدمة Wireshark

ترى جلسة HTTP حيث طلب المستخدم ملفا. يعرض سيرفر ال HTTP بعض المعلومات في القسم الثاني أعلاه
(باللون الأزرق إذا كنت تتابع على طول في وايريشارك) بما في ذلك header يحتوي على "filename = 641.pdf".

بالتوفيق

lr]lm uk Wireshark


الملفات المرفقة
نوع الملف: zip pcapFiles.zip‏ (31.8 كيلوبايت, المشاهدات 3)
توقيع : yesecurity




‏مشكلة الناس في مجال ال Cyber Security انها تتطبق دائما قبل أن تتعلم ف 100% ستفشل في التطبيق ولاتستطيع التقدم.
فاول خطوة لكي تكون جيد يجب ان تتعلم.

[email protected]
رد مع اقتباس
قديم 11-28-2017, 08:02 AM   #2
الباحث
[ عضو فعال ]
الصورة الرمزية الباحث
 
تاريخ التسجيل  :  May 2017
رقم العضوية   :  43592
المشاركات   :  284
بمعدل  :  0.64 يوميا
قوة السمعة  : الباحث is on a distinguished road  
حالة التواجد: الباحث غير متواجد حالياً

 
افتراضي

هذي مش مقدمه هذي متقدمه هههههههههه

يعني العافيه

رد مع اقتباس
قديم 11-30-2017, 08:31 AM   #3
Rusev
[ الادارة العامة ]
الصورة الرمزية Rusev
 
تاريخ التسجيل  :  Aug 2014
رقم العضوية   :  12807
الدولة :  Night
المشاركات   :  3,635
بمعدل  :  2.54 يوميا
قوة السمعة  : Rusev is a name known to allRusev is a name known to allRusev is a name known to allRusev is a name known to allRusev is a name known to allRusev is a name known to all  
حالة التواجد: Rusev غير متواجد حالياً

 
افتراضي

يعطيك الف عافية على الطرح اخي الغالي
ينقل للقسم المناسب اختبار الإختراق

توقيع : Rusev





الشيطان لا يحضر بصفة شيطان
بل يحضر بصفة شخص صالح
حتى يضلل الإنس
Rusev


(عندما تجد ما يباع باموال باهضة يقدم مجانا فعلم انه اصبح بلا قيمة )
رد مع اقتباس
قديم 02-23-2018, 06:09 AM   #4
RaStinG
[ عضو جديد ]
 
تاريخ التسجيل  :  Feb 2018
رقم العضوية   :  48443
المشاركات   :  31
بمعدل  :  0.21 يوميا
قوة السمعة  : RaStinG is on a distinguished road  
حالة التواجد: RaStinG غير متواجد حالياً

 
افتراضي

بططل .

رد مع اقتباس
قديم 03-08-2018, 11:19 PM   #5
nadeem95
[ عضو جديد ]
 
تاريخ التسجيل  :  Jan 2017
رقم العضوية   :  39972
المشاركات   :  26
بمعدل  :  0.05 يوميا
قوة السمعة  : nadeem95 is on a distinguished road  
حالة التواجد: nadeem95 غير متواجد حالياً

 
افتراضي

يعظيك العافية يا وحش ..

رد مع اقتباس
إضافة رد

مواقع النشر (المفضلة)
أدوات الموضوع
انواع عرض الموضوع

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة

الانتقال السريع

المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
[ شرح ] How to run wireshark as root 2MMDKS5 » Gnu/Linux 3 03-16-2017 12:17 AM
استفسار حول Wireshark Legacy Mr .killer » استفسارات ومشاكل الاعضاء 1 08-17-2016 03:43 AM
شرح أداة Arping و أداة Arping2 و علاقتها ببرنامج Wireshark في نظام باك تراك y1s2 » اختراق الاجـهـزه والايـمـيـلات 10 07-03-2016 01:55 PM
شرح استخراج الايبي من برنامج السكايبي باداة wireshark SPaRta » اختراق الاجـهـزه والايـمـيـلات 12 11-30-2013 11:25 AM